IPv6'ya geçmek NAT'ın düşürülmesini gerektirir. Bu iyi bir şey mi?

Bu IPv6 ve NAT ile ilgili Kanonik bir Soru

İlgili:

• IPv6 alt ağı nasıl çalışır ve IPv4 alt ağı bağlantısından farkı nedir?
• Parmak uçlarımı dinamik IPv6 ağ adreslemesine nasıl sokabilirim?
• Nat olmadan IPv6 ama bir isp değişiminden ne haber?

Böylece, ISS’niz yakın zamanda IPv6’yı kurdu ve bu yıpranmaya başlamadan önce geçişin ne yapması gerektiğini inceliyorum.

Çok önemli üç sorunu farkettim:

1. Ofisimiz NAT yönlendirici (eski bir Linksys BEFSR41) IPv6'yı desteklemiyor. AFAICT daha yeni bir yönlendirici de kullanmaz. IPv6 hakkında okuduğum kitap bana yine de NAT'ı "gereksiz" yaptığını söylüyor.

2. Eğer sadece bu yönlendiriciden kurtulup her şeyi doğrudan internete takmamız gerekiyorsa, paniklemeye başladım. Cehennemde yolu yok Fatura veritabanımızı (çok sayıda kredi kartı bilgisi olan!) İnternete herkesin görmesi için koyacağım. Windows güvenlik duvarını yalnızca 6 adresin erişebilmesine izin verecek şekilde kurmayı önermiş olsam bile, yine de soğuk terli bir şekilde dağıldım. Windows, Windows güvenlik duvarı veya bu ağla uzaktan bile rahat edebilecek kadar ağa güvenmiyorum.

3. Kesinlikle IPv6 özelliği olmayan birkaç eski donanım aygıtı (yani, yazıcılar) vardır. Ve muhtemelen 1998 yılına kadar uzanan bir güvenlik sorunları listesi. Bunları gerçekten hiçbir şekilde düzeltmenin bir yolu yok. Ve yeni yazıcılar için fon yok.

IPv6 ve IPSEC'in tüm bunları bir şekilde güvenli hale getirmesi gerektiğini duydum, ancak bu aygıtları İnternete görünmez yapan fiziksel olarak ayrılmış ağlar olmadan, gerçekten nasıl olduğunu göremiyorum. Aynı şekilde, oluşturduğum herhangi bir savunmanın kısa sürede nasıl aşılacağını da gerçekten görebiliyorum. Yıllardır internette sunucular işletiyorum ve bunları güvenceye almak için gerekli olan şeyleri çok iyi biliyorum, ancak fatura veritabanımız gibi ağa Özel bir şeyler koymak her zaman tamamen sorun dışı kaldı.

Fiziksel olarak ayrı ağlarımız yoksa NAT'ı ne ile değiştirmeliyim?

Öncelikle ve en önemlisi, güvenlik aygıtlarınız doğru yapılandırıldığı sürece halka açık bir IP tahsisinde bulunmaktan korkacak hiçbir şey yoktur.

Fiziksel olarak ayrı ağlarımız yoksa NAT'ı ne ile değiştirmeliyim?

Aynı şeyleri 1980'lerden bu yana fiziksel olarak ayırdık, yönlendiriciler ve güvenlik duvarları. NAT ile elde ettiğiniz büyük güvenlik kazancı, sizi varsayılan reddetme yapılandırmasına zorlamasıdır. Herhangi bir hizmeti almak için açıkça delikleri açmanız gerekir . Güvenlik donanımları, IP tabanlı ACL'leri, tıpkı bir güvenlik duvarı gibi, bu deliklere uygulamanıza bile izin verir. Muhtemelen kutuda 'Firewall' bulunduğundan, aslında.

Doğru yapılandırılmış bir güvenlik duvarı, NAT ağ geçidiyle tam olarak aynı hizmeti sağlar. NAT ağ geçitleri sıkça kullanılır, çünkü çoğu güvenlik duvarından daha güvenli bir konfigürasyona girmek daha kolaydır .

IPv6 ve IPSEC'in tüm bunları bir şekilde güvenli hale getirmesi gerektiğini duydum, ancak bu aygıtları İnternete görünmez yapan fiziksel olarak ayrılmış ağlar olmadan, gerçekten nasıl olduğunu göremiyorum.

Bu bir yanılgıdır. 16 IPv4 tahsisine sahip bir üniversite için çalışıyorum ve IP adres tüketimimizin büyük çoğunluğu bu kamu tahsisatı üzerinde. Kesinlikle tüm son kullanıcı iş istasyonlarımız ve yazıcılarımız. RFC1918 tüketimimiz, ağ aygıtları ve bu adreslerin gerekli olduğu belirli belirli sunucularla sınırlıdır. Az önce titriyorsanız şaşırmam, çünkü kesinlikle ilk günümde ortaya çıktığımda ve post-it'imi IP adresimle izledim.

Ve yine de hayatta kalırız. Neden? Çünkü, sınırlı ICMP verimi ile varsayılan olarak reddetmek için yapılandırılmış bir dış güvenlik duvarına sahibiz. 140.160.123.45 teorik olarak rutin olduğu için, halka açık internette her yerden oraya gidebileceğiniz anlamına gelmez. Güvenlik duvarları yapmak için tasarlanmıştı.

Doğru yönlendirici yapılandırmaları göz önüne alındığında ve tahsisimizdeki farklı alt ağlar birbirinden tamamen erişilemez. Bunu yönlendirici tablolarında veya güvenlik duvarlarında yapabilirsiniz. Bu ayrı bir ağ ve geçmişte güvenlik denetçilerimizi tatmin etti.

Cehennemde yolu yok Fatura veritabanımızı (çok sayıda kredi kartı bilgisi olan!) İnternete herkesin görmesi için koyacağım.

Fatura veritabanımızın halka açık bir IPv4 adresi var ve tüm varlığı için var ancak buradan oraya ulaşamayacağınıza dair kanıtımız var. Sırf bir adresin halka açık v4 listesinde olması, teslimatın garanti edileceği anlamına gelmez. İnternetin kötülükleri ile gerçek veritabanı portları arasındaki iki güvenlik duvarı kötülüğü filtreler. Masamdan bile, ilk güvenlik duvarının arkasında, o veritabanına giremiyorum.

Kredi kartı bilgileri özel bir durumdur. Bu, PCI-DSS standartlarına tabidir ve standartlar doğrudan bu tür verileri içeren sunucuların bir NAT ağ geçidi ^1'in arkasında olması gerektiğini belirtir . Bizimkiler ve bu üç sunucu RFC1918 adreslerinin toplam sunucu kullanımımızı temsil ediyor. Herhangi bir güvenlik eklemez, sadece bir karmaşıklık katmanıdır, ancak bu onay kutusunu denetimler için kontrol ettirmemiz gerekir.

Orijinal "IPv6, NAT'ı geçmişte bırakıyor" fikri, İnternet patlaması gerçekten de ana akım çarpmadan önce ortaya atıldı. 1995'te NAT, küçük bir IP tahsisini aşmak için bir geçici çözümdü. 2005 yılında, çoğu Güvenlik En İyi Uygulamalar belgesinde ve en az bir ana standartta (spesifik olmak üzere PCI-DSS) yer aldı. NAT'ın sağladığı tek somut avantaj, ağ üzerinde keşif gerçekleştiren bir dış varlığın IP manzarasının NAT cihazının arkasında nasıl göründüğünü bilmemesidir (RFC1918 sayesinde iyi bir tahminleri olsa da) ve NATsız IPv4'te (böyle işim olarak) durum böyle değil. Derinlemesine savunma konusunda küçük bir adım, büyük değil.

RFC1918 adreslerinin yerine, Benzersiz Yerel Adresler denir. RFC1918'de olduğu gibi, eşleri yönlendirmelerine izin vermeyi özellikle kabul etmedikleri sürece rota çizmezler. RFC1918'den farklı olarak, (muhtemelen) global olarak benzersizdir. Bir ULA'yı Global IP'ye çeviren IPv6 adres çeviricileri, kesinlikle henüz SOHO viteste değil, daha yüksek menzilli çevre viteste bulunmaktadır.

Genel bir IP adresi ile iyi hayatta kalabilirsiniz. Sadece 'halkın' 'ulaşılabilirliği' garanti etmediğini ve iyi olacağınızı unutmayın.

2017 güncellemesi

Son birkaç aydır, Amazon aws IPv6 desteği ekliyor. Sadece amazon-vpc tekliflerine eklendi ve bunların uygulanmasında ne kadar büyük ölçekli dağıtım yapılması gerektiği konusunda bazı ipuçları verildi.

• Size bir / 56 tahsisat (256 alt ağ) verilir.
• Tahsisat tamamen rutin bir alt ağdır.
• Güvenlik duvarı kurallarınızı ( güvenlik grupları ) uygun şekilde kısıtlayıcı ayarlamanız beklenir .
• NAT yoktur, teklif bile edilmez, bu nedenle tüm giden trafik, örneğin gerçek IP adresinden gelecektir.

NAT'ın güvenlik avantajlarından birini tekrar eklemek için, şimdi yalnızca Egress-Only Internet Gateway sunuyorlar . Bu bir NAT benzeri fayda sunar:

• Arkasındaki alt ağlara doğrudan internetten erişilemiyor.

Yanlış yapılandırılmış bir güvenlik duvarı kuralının yanlışlıkla gelen trafiğe izin vermesi durumunda, derinlemesine bir savunma katmanı sağlar.

Bu teklif, dahili adresi NAT'ın yaptığı gibi tek bir adrese çevirmez. Giden trafik hala bağlantıyı açan örneğin kaynak IP'sine sahip olacaktır. VPC'deki beyaz listeye kaynakları arayan Güvenlik duvarı operatörleri, belirli IP adresleri yerine beyaz listedeki netblocklardan daha iyi olacaktır.

Rutin her zaman ulaşılabilir anlamına gelmez .

¹ : Ekim 2010'da PCI-DSS standartları değişti, RFC1918 adreslerini zorunlu kılan açıklama kaldırıldı ve 'ağ yalıtımı' yerini aldı.

Ofisimiz NAT yönlendirici (eski bir Linksys BEFSR41) IPv6'yı desteklemiyor. Yeni yönlendiriciler de yok

IPv6 birçok yönlendirici tarafından desteklenir. Sadece ucuz olanların birçoğu tüketicilere ve SOHO'ya yönelik değil. En kötüsü, sadece bir Linux kutusu kullanın veya IPv6 desteğini almak için yönlendiricinizi dd-wrt veya başka bir şeyle yeniden başlatın. Pek çok seçenek var, muhtemelen daha sert görünmek zorundasınız.

Eğer sadece bu yönlendiriciden kurtulup her şeyi doğrudan İnternete bağlamamız gerekiyorsa,

IPv6'ya geçiş hakkında hiçbir şey, yönlendirici / güvenlik duvarı gibi çevre güvenlik cihazlarından kurtulmanız gerektiği anlamına gelmez. Yönlendiriciler ve güvenlik duvarları, hemen hemen her ağ için gerekli bir bileşen olacaktır.

Tüm NAT yönlendiricileri etkin bir şekilde durum bilgisi olan bir güvenlik duvarı görevi görür. RFC1918 adreslerinin kullanımında sizi o kadar koruyan sihir yoktur. Zor işi yapan durumlu bir bit. Doğru yapılandırılmış bir güvenlik duvarı, gerçek veya özel adres kullanıyorsanız sizi koruyacaktır.

RFC1918 adreslerinden alabileceğiniz tek koruma, güvenlik duvarı yapılandırmanızda insanların hata / tembellikten kaçmalarına izin vermesi ve yine de bu kadar savunmasız kalmamasıdır.

Kesinlikle IPv6 özelliği olmayan birkaç eski donanım aygıtı (yani, yazıcılar) vardır.

Yani? Bunu İnternet üzerinden erişilebilir hale getirmeniz gerekmeyebilir ve dahili ağınızda, tüm cihazlarınız desteklenene ya da değiştirilene kadar IPv4 ve IPv6'yı çalıştırmaya devam edebilirsiniz.

Birden fazla protokol çalıştırmak bir seçenek değilse, bir tür ağ geçidi / proxy kurmanız gerekebilir.

IPSEC'in bir şekilde tüm bunları güvenli hale getirmesi gerekiyor

IPSEC şifreli ve paketleri doğrular. Sınır cihazınızdan kurtulmakla alakası yoktur ve aktarımdaki verileri daha fazla korumaktadır.

Evet. NAT öldü. IPv6 üzerinden NAT standartlarını onaylamak için bazı girişimlerde bulunuldu, ancak hiçbiri sıfırlanmadı.

Bu aslında standart bir NAT'ın arkasında olmanız gerektiğini belirttiğinden, PCI-DSS standartlarını karşılamaya çalışan sağlayıcılar için sorunlara neden oldu.

Benim için bu, duyduğum en güzel haberlerden bazıları. NAT'tan nefret ediyorum, ve taşıyıcı sınıfı NAT'dan daha fazla nefret ediyorum.

NAT sadece IPv6 standart hale gelinceye kadar bizi ilerletmek için bir bandaid çözümü olması gerekiyordu, ancak internet topluluğuna gömüldü.

Geçiş dönemi için, IPv4 ve IPv6, birbirinden benzer adından vardır tamamen farklı olduğunu hatırlamak zorunda ¹ . Böylece Çift Yığınlı cihazlar olan IPv4'ünüz NATted olur ve IPv6'nız olmaz. Neredeyse tamamen ayrı iki cihaza sahip olmak gibi, sadece tek bir plastik parçaya paketlenmiş.

Peki, IPv6 internet erişimi nasıl çalışır? Peki, NAT’tan önce internetin çalışma şekli icat edildi. ISS'niz size bir IP aralığı atayacaktır (şimdikilerle aynıdır, ancak genellikle size bir a / 32 atarlar, bu yalnızca bir IP adresi alacağınız anlamına gelir), ancak menzilinizde artık milyonlarca kullanılabilir IP adresi olacaktır. Bu IP adreslerini seçtiğiniz gibi doldurmakta özgürsünüz (otomatik yapılandırma veya DHCPv6 ile). Bu IP adreslerinin her biri internetteki diğer herhangi bir bilgisayardan görülebilir.

Sesler korkutucu, değil mi? Etki alanı denetleyiciniz, ev ortamınızdaki PC'niz ve iPhone'unuzla gizli pornografi yığınınız Internet'ten erişilebilir durumda mı ?! Hayır, hayır. Güvenlik duvarı bunun için var. IPv6'nın bir başka harika özelliği de, güvenlik duvarlarını "Hepsine İzin Ver" yaklaşımından (çoğu ev cihazında olduğu gibi), belirli IP adresleri için hizmet açtığınız "Tümünü Reddet" yaklaşımına zorlamasıdır . Ev kullanıcılarının% 99,999'u güvenlik duvarlarını varsayılan olarak koruyacak ve tamamen kilitlenecektir; bu, istenmeyen bir trafiğe izin verilmeyeceği anlamına gelir.

¹ _{Tamam, bundan daha fazlası var, ancak her ikisi de üstte çalışan aynı protokollere izin vermelerine rağmen birbirleriyle uyumlu değiller.}

NAT için PCI-DSS gereksinimi, gerçek güvenlik değil güvenlik tiyatrosu olarak bilinir.

En yeni PCI-DSS, NAT'ı mutlak bir gereklilik olarak görmekten vazgeçti. Birçok kuruluş, NAT olmadan IPv4 ile PCI-DSS denetimlerini "eşdeğer güvenlik uygulamaları" olarak durum gösteren güvenlik duvarları göstererek geçti.

Orada NAT için çağrılan başka güvenlik tiyatrosu belgeleri var, ancak denetim izlerini yok ettiği ve olay incelemesini / azaltılmasını daha da zorlaştırdığı için, NAT'ın (PAT ile veya onsuz) daha derinlemesine bir incelemesinin net bir güvenlik negatifi olması nedeniyle.

NAT olmadan iyi durumlu bir güvenlik duvarı, bir IPv6 dünyasında NAT için son derece üstün bir çözümdür. IPv4'te NAT, adres korumasının uğruna tolere edilmesi gereken gerekli bir kötülüktür.

Tek bir yığın IPv6 yalnızca ağ ile kurtulmadan önce (ne yazık ki) bir süre olacaktır. O zamana kadar, mevcut olduğunda IPv6 tercihli çift yığın çalıştırma yoludur.

Tüketici yönlendiricilerin çoğu bugün IPv6'yı stok bellenimiyle desteklemeseler de, çoğu 3. parti aygıt yazılımlarıyla destekleyebilir (örneğin, dys-wrt ile Linksys WRT54G vb.). Ayrıca, çoğu işletme sınıfı aygıt (Cisco, Juniper) IPv6'yı kullanıma hazır destekler.

PAT'in (tüketici yönlendiricilerinde yaygın olduğu gibi) bire bir NAT'ın diğer NAT biçimleriyle ve NATsuz güvenlik duvarları ile karıştırılmaması önemlidir; İnternet yalnızca IPv6'ya dönüştüğünde, güvenlik duvarları dahili hizmetlerin açığa çıkmasını önleyecektir. Aynı şekilde, bire bir NAT içeren bir IPv4 sistemi otomatik olarak korunmaz; Güvenlik duvarı politikasının işi budur.

Şebeke yöneticileri NAT'ı bir ışıkta görüyor ve küçük işletme ve konut müşterileri bir başkasını görüyor. Bu konuda büyük bir kafa karışıklığı var. Netleştireyim.

Statik NAT (bazen bire bir NAT olarak adlandırılır), özel ağınız veya kişisel bir PC için kesinlikle koruma sağlamaz . IP adresini değiştirmek, korunma açısından anlamsızdır.

Dinamik Aşırı Yüklenmiş NAT / PAT, çoğu yerleşim ağ geçidi ve wifi AP'nin yaptığı gibi, özel ağınızı ve / veya PC'nizi kesinlikle korumanıza yardımcı olur. Bu cihazlarda NAT tablosunu tasarlayarak durum tablosu olur. Giden istekleri izler ve bunları NAT tablosunda eşler - bağlantılar belirli bir süre sonra zaman aşımına uğrar. NAT tablosunda olanlarla eşleşmeyen istenmeyen gelen tüm çerçeveler varsayılan olarak bırakılır - NAT yönlendirici, onları özel ağda nereye göndereceğini bilmediğinden onları bırakır. Bu şekilde, saldırıya maruz kalmaya açık bıraktığınız tek cihaz yönlendiricinizdir. Çoğu güvenlik açığı Windows tabanlı olduğundan, internet ve Windows PC'niz arasında böyle bir aygıt olması ağınızın korunmasına gerçekten yardımcı olur. Başlangıçta amaçlanan işlev olmayabilir, Bu halka açık IP'lerden tasarruf etmekti, ancak işi tamamladı. Bonus olarak, bu cihazların çoğu, çoğu zaman varsayılan olarak ICMP isteklerini engelleyen ve ayrıca ağın korunmasına yardımcı olan güvenlik duvarı özelliklerine de sahiptir.

Yukarıdaki bilgiler göz önüne alındığında, IPv6'ya taşınırken NAT ile atılması milyonlarca tüketici ve küçük işletme cihazını potansiyel hacklemeye maruz bırakabilir. Şirket ağlarını, profesyonelce güvenlik duvarlarını en üst düzeyde yönettiği için hiçbir etkisi olmayacak. Tüketici ve küçük işletme ağları artık internet ve bilgisayarları arasında * nix tabanlı bir NAT yönlendiricisine sahip olmayabilir. Bir kişinin yalnızca bir güvenlik duvarına geçememesi için hiçbir neden yoktur - doğru bir şekilde konuşlandırıldığında daha güvenlidir, ancak aynı zamanda tüketicilerin% 99'unun nasıl yapılacağını anlamasının kapsamı dışındadır. Dinamik Aşırı Yüklenmiş NAT, sadece ev yönlendiricinize taktığınızda büyük bir koruma sağlar - ve siz korundunuz. Kolay.

Bununla birlikte, NAT'ın IPv4'te olduğu gibi kullanılamamasının bir nedeni yoktur. Aslında, bir yönlendirici WAN portunda bir IPv6 adresine sahip olacak şekilde tasarlandı ve arkasında NAT'ın üzerine yerleştirdiği bir IPv4 özel ağı var (örneğin). Bu, tüketici ve konut sakinleri için basit bir çözüm olacaktır. Diğer bir seçenek de, tüm IPv6 IP'leri olan tüm cihazları koymaktır - orta cihaz daha sonra bir L2 cihazı olarak işlev görebilir, ancak bir durum tablosu, paket incelemesi ve tamamen çalışan bir güvenlik duvarı sağlayabilir. Temel olarak, NAT yok, ancak hala istenmeyen gelen kareleri engelliyor. Hatırlanması gereken önemli şey, PC'nizin hiçbir aracı aygıt olmadan doğrudan WAN bağlantınıza takmamanız gerektiğidir. Elbette Windows güvenlik duvarına güvenmek istemiyorsanız. . . ve bu farklı bir tartışma.

IPv6'ya geçen bazı ağrılar olacaktır, ancak oldukça kolay bir şekilde çözülemeyecek bir problem yoktur. Eski IPv4 yönlendiricinizi veya konut ağ geçidinizi hendek açmak zorunda kalacak mısınız? Belki, ama zamanı gelince uygun olmayan yeni çözümler olacaktır. Umarım birçok cihaz sadece bir ürün yazılımı flaşına ihtiyaç duyar. IPv6, mevcut mimariye daha sorunsuz uyacak şekilde tasarlanabilir mi? Tabii, ama olan bu ve uzaklaşma - Bu yüzden öğrenebilir, yaşayabilir, sevebilirsiniz.

Eğer NAT IPv6 dünyasında hayatta kalırsa, büyük olasılıkla 1: 1 NAT olacaktır. IPv4 alanında hiç görülmemiş bir NAT formu. 1: 1 NAT nedir? Genel bir adresin yerel bir adrese 1: 1 çevirisidir. IPv4 eşdeğeri, tüm bağlantıların 1.1.0.2'ye, yalnızca 10.0.1.2'ye ve böylece tüm 1.0.0.0/8 alanı için çevrilmesidir. IPv6 sürümü, genel bir adresi Benzersiz Yerel Adrese çevirmek olacaktır.

Önemsemediğiniz adresler için haritayı sık sık döndürerek daha fazla güvenlik sağlanabilir (Facebook'u gezen iç ofis kullanıcıları gibi). Dahili olarak, ULA numaralarınız aynı kalacaktı, böylelikle ufuk çizgisi DNS’iniz iyi bir şekilde çalışmaya devam edecekti, ancak harici olarak müşteriler hiçbir zaman öngörülebilir bir limanda olmayacaktı.

Fakat gerçekte, yarattığı güçlük için az miktarda gelişmiş güvenlik. IPv6 alt ağlarının taranması gerçekten çok büyük bir iştir ve IP adreslerinin bu alt ağlara nasıl atandığı konusunda bir keşif olmadan olanaksızdır (MAC oluşturma yöntemi? Rastgele yöntem? İnsan tarafından okunabilen adreslerin statik ataması?).

Çoğu durumda, gerçekleşecek olan şey, şirket güvenlik duvarının arkasındaki istemcilerin global bir adres, belki de bir ULA alacağı ve çevre güvenlik duvarının, bu tür adreslerle gelen tüm bağlantıları reddetmek üzere ayarlanacağıdır. Tüm niyet ve amaçlar için, bu adreslere dışarıdan erişilemez. Dahili istemci bir bağlantı başlattığında, bu bağlantı boyunca paketlere izin verilir. IP adresini tamamen farklı bir şeye çevirme ihtiyacı, bir saldırganı bu alt ağdaki 2 ^ 64 adresleri arasında parmak izlemeye zorlayarak gerçekleştirilir.

RFC 4864 , NAT'ın bir IPv6 ortamında algılanan faydalarını sağlamak için aslında NAT'a başvurmak zorunda kalmadan bir dizi yaklaşım olan IPv6 Yerel Ağ Korumasını açıklar .

Bu belge, ağ mimarisinin bütünlüğünü korumak için bir IPv6 sitesinde birleştirilebilecek birkaç teknik tanımlamıştır. Topluca Yerel Ağ Koruması olarak bilinen bu teknikler, özel ağın "iç" ile "dış" arasında iyi tanımlanmış bir sınır kavramını korur ve güvenlik duvarı, topoloji gizleme ve gizlilik sağlar. Ancak, ihtiyaç duyuldukları yerde adres şeffaflığını korudukları için, bu hedeflere adres çevirisinin dezavantajı olmadan ulaşırlar. Bu nedenle, IPv6'daki Yerel Ağ Koruması, IPv4 Ağ Adres Çevirisi'nin karşılık gelen dezavantajları olmadan yararlarını sağlayabilir.

Önce NAT'ın algılanan faydalarının ne olduğunu ortaya koyar (ve uygun olduğunda onları ayıklar), sonra da aynı faydaları sağlamak için kullanılabilecek IPv6'nın özelliklerini açıklar. Aynı zamanda uygulama notları ve vaka çalışmaları sağlar.

Burada yeniden basmak çok uzun olsa da, tartışılan faydalar:

• "İç" ve "Dış" arasında basit bir ağ geçidi
• Durum bilgisi olan güvenlik duvarı
• Kullanıcı / uygulama takibi
• Gizlilik ve topoloji gizleme
• Özel bir ağda adreslemenin bağımsız kontrolü
• Multihoming / renumbering

Bu, birinin NAT istemiş olabileceği tüm senaryoları kapsar ve bunları NAT olmadan IPv6'da uygulamak için çözümler sunar.

Kullanacağınız teknolojilerden bazıları:

• Benzersiz yerel adresler: Dahili iletişiminizi dahili tutmak ve ISS'nin kesintisi olsa bile dahili iletişimin devam etmesini sağlamak için dahili ağınızdakileri tercih edin.
• IPv6 gizlilik uzantıları, kısa adres kullanım ömrüne ve açıkça yapılandırılmamış arabirim tanımlayıcılarına sahip: Bunlar, tek tek ana bilgisayarlara ve alt ağ taramasına saldırmayı önler.
• IGP, Mobil IPv6 veya VLAN, dahili ağın topolojisini gizlemek için kullanılabilir.
• ULA'lar ile birlikte, ISS'den DHCP-PD, IPv4'e göre yeniden numaralandırmayı / çoğaltmayı kolaylaştırır.

( Tüm ayrıntılar için RFC'ye bakınız; yine, yeniden basmak ve hatta önemli alıntılar yapmak çok uzun.)

IPv6 geçiş güvenliği hakkında daha genel bir tartışma için, bkz. RFC 4942 .

Türü. IPv6 adreslerinin aslında farklı "türleri" var. RFC 1918'e en yakın (10/8, 172.16 / 12, 192.168 / 16), "Benzersiz yerel adres" olarak adlandırılır ve RFC 4193'te tanımlanmıştır:

http://en.wikipedia.org/wiki/Unique_local_address

Böylece fd00 :: / 8 ile başlar, sonra 40 bitlik bir dize ekler (RFC'de önceden tanımlanmış bir algoritma kullanarak!) Ve sonunda global olarak benzersiz olması gereken sözde rastgele / 48 ön ekini elde edersiniz. İstediğiniz şekilde atamak için adres alanının geri kalanına sahipsiniz.

Ayrıca (IPv6) yönlendiricinizde fd00 :: / 7 (fc00 :: / 8 ve fd00 :: / 8) yönlendiricinizi kuruluşunuzun dışına da engellemelisiniz - bu nedenle adres adındaki "yerel". Bu adresler, küresel adres alanındayken, "kuruluşunuzda" olmak üzere, genel olarak dünyaya erişilemez.

PCI-DSS sunucularınızın diğer dahili IPv6 ana bilgisayarlarına bağlantı için bir IPv6'ya ihtiyacı varsa, şirketiniz için bir ULA öneki oluşturmalı ve bu amaçla kullanmalısınız. İsterseniz IPv6'nın otomatik yapılandırmasını diğer tüm önekler gibi kullanabilirsiniz.

IPv6'nın, ana makinelerin birden fazla adres alabilmesi için tasarlandığı göz önüne alındığında, bir makinenin bir ULA'ya ek olarak küresel olarak yönlendirilebilen bir adresi de olabilir. Böylece hem dış dünyayla hem de dahili makinelerle konuşması gereken bir web sunucusu hem ISS tarafından atanmış bir prefex adresine hem de ULA ön ekinize sahip olabilir.

NAT benzeri işlevsellik istiyorsanız, NAT66'ya da bakabilirsiniz, ancak genel olarak ULA'nın çevresini tasarlarım. Başka sorularınız varsa, "ipv6-ops" posta listesine göz atmak isteyebilirsiniz.

IMHO: hayır.

SNAT / DNAT'ın faydalı olabileceği bazı yerler var. Örnek olarak bazı sunucular başka bir ağa taşındı, ancak uygulama IP'sini istemiyoruz / değiştiremiyoruz.

Umarım, NAT sonsuza dek gider. Yalnızca bir IP adresi kıtlığına sahip olduğunuzda ve daha iyi, daha ucuz ve durum bilgisi olmayan bir güvenlik duvarı tarafından daha kolay yönetilmeyen güvenlik özelliklerine sahip olmadığınızda yararlıdır.

IPv6'dan beri = artık kıtlık yok, bu, NAT olan çirkin hack dünyasını kurtarabileceğimiz anlamına geliyor.

IPv6 ile NAT kaybının (gerçekten ortadan kaybolursa) kullanıcı gizliliğini nasıl etkileyeceği konusunda kesin bir cevap görmedim.

Kamuya açık olarak yayınlanan bireysel IP adresleri sayesinde, web servislerinin Internet üzerinden seyahat ederken çeşitli cihazlarınızdan sürveille hale gelmesi (zaman, alan ve siteleri toplayıp biriktirmek ve çok sayıda ikincil kullanımı kolaylaştırmak) çok daha kolay olacaktır. ... ISS'ler, yönlendiriciler ve diğer donanımlar, her aygıt için sık sık değiştirilebilecek dinamik IPv6 adreslerine sahip olmayı mümkün ve kolaylaştırır.

Tabii ki statik wi-fi MAC adreslerinin kamuya açık olması konusundaki sorunumuz ne olursa olsun, yine de bir başka hikaye…

NAT'ı V4'ten V6'ya geçiş senaryosunda desteklemek için pek çok şema var. Bununla birlikte, tüm IPV6 ağınız varsa ve yukarı akış IPV6 sağlayıcısına bağlanıyorsanız, NAT, V6 ağları üzerinden V4 ağları arasında tünel açmanız dışında, yeni dünya düzeninin bir parçası değildir.

Cisco, 4 ila 6 senaryo, göç ve tünel oluşturma hakkında birçok genel bilgiye sahiptir.

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

Ayrıca Wikipedia'da:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

Politika ve temel iş uygulamaları büyük olasılıkla NAT'ın varlığını daha da ileri götürecek. IPv6 adreslerinin bolluğu, ISS'lerin cihaz başına şarj etmeye ya da yalnızca sınırlı sayıda cihaza bağlantıları sınırlamaya cazip olacağı anlamına gelir. / Hakkındaki bu son makaleye bakın. Örneğin:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

Bilginize, ilginç herkes NAT / NAPT kullanarak IPV6 kullanabilir. PF'ye sahip tüm BSD işletim sistemleri NAT66'yı destekler. Harika çalışıyor. Kullandığımız bir blogdan :

ipv6 nat (nat66) FreeBSD pf tarafından

nat66 hala taslak altında olmasına rağmen, FreeBSD pf zaten uzun süredir destekliyor.

(pf.conf dosyasını düzenleyin ve aşağıdaki kodları ekleyin)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

Hepiniz hazırsınız!

Yıllardır tek bir IP adresiyle kalamar kullananlar bizim için harika çalışıyor. IPv6 NAT ile, 5/64 alt ağlarım ile birlikte uzun 2 ^ 56 alt ağ içeren 2 ^ 120 özel adres (yerel site) alabilirim. Bu, diğer IPv6 gurularından 100 milyar kat daha akıllı olmalıyım çünkü daha fazla adrese sahibim .:D

Gerçek şu ki, sadece daha fazla adrese sahip olduğum (veya sizden daha uzun süre IPv6 kullanmış olabilirim), gerçekten IPv6'yı (veya aynı sorun için ben) daha iyi hale getirmiyor. Bununla birlikte, PAT ve NAT yerine bir güvenlik duvarının gerekli olduğu durumlarda IPv6'yı daha karmaşık hale getirir, artık bir gereklilik değildir, bir seçenektir. Güvenlik duvarının amacı, tüm giden bağlantılara izin vermek ve durumu korumak, ancak gelen başlatılan bağlantıları engellemektir.

NAPT'a gelince (PAT with NAT), insanları zihniyetten çıkarmak biraz zaman alacak. Örneğin, büyük büyükbabanıza kendi IPv6 güvenlik duvarını site yerel adresleme olmadan (özel adresler) ve herhangi bir guru yardımı olmadan ayarlamalarını sağlayabilene kadar, NAT’ın muhtemel fikri ile oynamak iyi bir fikir olabilir. bütün bildiği.

İpv6 için öne sürülen son teklifler, yeni teknoloji üzerinde çalışan mühendislerin NAT'ı ipv6'ya dahil etmelerini önerdi, bunun nedeni: NAT, ek bir güvenlik katmanı sunuyor

Belgeler ipv6.com web sitesinde yer almaktadır, bu yüzden NAT'ın hiçbir güvenlik sağlamadığını öne süren tüm bu cevapların biraz utanç verici göründüğünü belirttiği anlaşılıyor.

Gelecekte bir noktada (sadece speküle edilebilecek) bölgesel IPv4 adreslerinin kaçınılmaz olarak tükeneceğini biliyorum. IPv6'nın bazı ciddi dezavantajları olduğunu kabul ediyorum. NAT sorunu, doğal olarak güvenlik, artıklık, gizlilik sağladığı ve kullanıcıların neredeyse kısıtlama olmadan istedikleri kadar cihazı bağlanmalarına izin verdiği için son derece önemlidir. Evet, güvenlik duvarı istenmeyen ağ saldırılarına karşı altın standarttır, ancak NAT sadece başka bir koruma katmanı eklemekle kalmaz, güvenlik duvarı yapılandırmasından veya buradaki son kullanıcının bilgisinden bağımsız olarak, IPv4'ü nasıl tanımladığınızdan bağımsız olarak, varsayılan olarak güvenli bir tasarım sağlar. NAT ve bir güvenlik duvarı varsayılan olarak hala daha güvenli, IPv6 ise yalnızca bir güvenlik duvarı ile. Başka bir konu gizlilik, Her cihazda internet üzerinden yönlendirilebilir bir adrese sahip olmak, kullanıcıları bugün her türlü olası gizlilik ihlaline, kişisel bilgi toplanmasına ve bu tür bir kitleye neredeyse hayal bile edilemeyecek şekilde izlemeye açacaktır. Ayrıca Nat olmadan Isp'ler aracılığıyla ek maliyetler ve kontrole açılabileceğimize inanıyorum. ISP'ler USB bağlantısıyla gördüğümüz gibi aygıt başına ya da kullanıcı kullanım oranlarına göre şarj etmeye başlayabilir, bu, son kullanıcının o hatta hatta uygun gördükleri herhangi bir aygıtı açık bir şekilde bağlama özgürlüğünü büyük ölçüde azaltacaktır. Şu an itibariyle, ABD ISP'lerin IPv6'yı herhangi bir biçimde sunmadığı ve teknoloji dışı işlerin katma değeri düşük veya hiç değer kazanmadığı için değişmesinin yavaş olacağını düşünüyorum.