שאלה המעבר ל- IPv6 מרמז על הפלת NAT. האם זה דבר טוב?


זה קנוניקל שאלה על IPv6 ו- NAT

Related:

אז ספק שירותי האינטרנט שלנו יש להגדיר IPv6 לאחרונה, ואני כבר לומד מה המעבר צריך כרוך לפני לקפוץ לתוך המערכה.

הבחנתי בשלושה נושאים חשובים מאוד:

  1. נתב ה- NAT במשרד שלנו (Linkys BEFSR41 ישן) אינו תומך ב- IPv6. כמו כן, לא כל נתב חדש, AFAICT. הספר שאני קורא על IPv6 אומר לי שזה עושה NAT "מיותר" בכל מקרה.

  2. אם אנחנו אמורים פשוט להיפטר נתב זה תקע הכל ישירות לאינטרנט, אני מתחיל להיכנס לפאניקה. אין שום דרך בגיהינום אני אשים את מסד הנתונים החיוב שלנו (עם הרבה מידע על כרטיס האשראי!) באינטרנט לכולם לראות. גם אם הייתי מציע להגדיר את חומת האש של Windows על זה כדי לאפשר רק 6 כתובות כדי לקבל גישה כלשהי בכלל, אני עדיין פורץ זיעה קרה. אני לא סומך על Windows, חומת אש של Windows, או את הרשת מספיק גדול כדי להיות אפילו נוח עם זה.

  3. יש כמה התקני חומרה ישנים (כלומר, מדפסות) שאין להם שום יכולת IPv6 בכלל. וסביר להניח רשימת כביסה של בעיות אבטחה כי תאריך חזרה סביב 1998. וסביר להניח שאין דרך למעשה תיקון אותם בכל דרך שהיא. ואין מימון עבור מדפסות חדשות.

אני שומע כי IPv6 ו- IPSEC אמורים להפוך את כל זה לאיכשהו, אבל ללא רשתות מופרדות פיזית שהופכות התקנים אלה בלתי נראים לאינטרנט, אני באמת לא רואה איך. אני יכול גם כן באמת לראות איך כל הגנות אני יוצר יהיה מוצף תוך זמן קצר. אני מפעיל שרתים באינטרנט כבר שנים ואני מכיר את הדברים הדרושים כדי להבטיח את זה, אבל לשים משהו פרטי ברשת כמו באתר החיוב שלנו תמיד היה לגמרי מחוץ לשאלה.

מה אני צריך להחליף עם NAT, אם אין לנו רשתות נפרדות פיזית?


101
2017-09-24 23:33




אתה יכול לנסות לשאול את זה שוב? עכשיו זה נראה די טיעון. - Zoredache
הדברים שאתה המום לא קיימים. אולי אתה צריך מחדש את השאלה שלך בצורה המתארת ​​את הדברים שאתה מאמין הם עובדות ולבקש מאיתנו לאשר אותם. במקום להתלונן על דברים שיש לך להניח יעבוד בדרך מסוימת. - Zoredache
כמו כן - אתה מאחסן פרטי כרטיס אשראי? ויש לך את זה הרבה שאלות על ביטחון? האם אי פעם עבר ביקורת PCI? או שאתה מפר את החוזה שלך על ידי אחסון פרטי כרטיס האשראי? אולי כדאי לך להסתכל לתוך זה, אחרי בחיפזון. - mfinni
אני לא יכול במצפון טוב למטה להצביע או להצביע - כדי לסגור את השאלה הזאת על הטענה כי הכרזה הוא הודיע ​​(בטח זה חצי נקודה של האתר). אמנם, OP הולך על משיק גדול מבוסס על הנחה שקר, ואת השאלה יכול לעשות עם לכתוב מחדש. - Chris Thorpe
"לא עוד NAT" הוא בהחלט אחת המטרות IPv6. אם כי כרגע, נראה כי (לפחות כאן) כי עניין להציע IPv6 למעשה הוא לא גדול מאוד, למעט מרכזי נתונים (כי מנות גדולות יותר פירושו רוחב פס גדול יותר, רוחב פס יותר פירושו יותר כסף עבורם!). עבור DSL זה ההפך, אם כי די הרבה לכולם יש שטוח, כך IPv6 רק אומר יותר צרות ועלות יותר עבור ספקי. - dm.skt


תשובות:


בראש ובראשונה, אין מה לחשוש מלהיות על הקצאת IP ציבורית, כל עוד התקני האבטחה שלך מוגדרים נכון.

מה אני צריך להחליף עם NAT, אם אין לנו רשתות נפרדות פיזית?

אותו דבר שאנחנו כבר פיזית להפריד אותם עם מאז 1980, נתבים וחומות אש. אחד האבטחה הגדולה שאתה מקבל עם NAT היא שזה מכריח אותך לתוך התצורה ברירת המחדל להכחיש. בשביל לקבל כל שירות זה, אתה צריך במפורש לנקב חורים. מכשירים fancier אפילו מאפשרים לך ליישם ACLs מבוססי IP לחורים אלה, בדיוק כמו חומת אש. כנראה בגלל שיש להם 'חומת אש' על הקופסה, למעשה.

חומת אש מוגדרת כראוי מספקת בדיוק אותו שירות כמו שער NAT. שערי ה- NAT משמשים לעתים קרובות כי הם קל יותר להיכנס תצורה מאובטחת מאשר רוב חומות האש.

אני שומע כי IPv6 ו- IPSEC אמורים להפוך את כל זה לאיכשהו, אבל ללא רשתות מופרדות פיזית שהופכות התקנים אלה בלתי נראים לאינטרנט, אני באמתלא רואה איך.

זוהי טעות. אני עובד עבור האוניברסיטה שיש לה 16 / IPv4 הקצאת, ואת הרוב המכריע, המכריע של הצריכה שלנו כתובת ה- IP הוא על הקצאת הציבור. בהחלט את כל תחנות העבודה למשתמש הקצה שלנו ומדפסות. צריכת RFC1918 שלנו מוגבלת להתקני רשת ולשרתים ספציפיים מסוימים שבהם נדרשות כתובות כאלו. לא אהיה מופתע אם רק תצטמרר עכשיו, כי בהחלט עשיתי כשהגעתי ביום הראשון שלי וראיתי את זה לכתוב על המסך שלי עם כתובת ה- IP שלי.

ובכל זאת, אנחנו שורדים. למה? כי יש לנו חומת אש חיצונית מוגדרת עבור ברירת מחדל להכחיש עם תפוקה מוגבלת ICMP. רק בגלל 140.160.123.45 הוא ניתוב תיאורטית, לא אומר שאתה יכול להגיע לשם מכל מקום שאתה נמצא באינטרנט הציבורי. זה מה חומות אש נועדו לעשות.

בהתחשב בתצורות הנתב הנכון, subnets שונים ההקצאה שלנו יכול להיות בלתי מושגת לחלוטין אחד מהשני. אתה יכול לעשות את זה בטבלאות הנתב או חומות אש. זוהי רשת נפרדת, והיא השביעה את רואי החשבון שלנו בעבר.

אין שום דרך בגיהינום אני אשים את מסד הנתונים החיוב שלנו (עם הרבה מידע על כרטיס האשראי!) באינטרנט לכולם לראות.

מסד הנתונים שלנו לחיוב הוא על כתובת IPv4 ציבורית, והוא כבר על כל קיומו, אבל יש לנו הוכחה שאתה לא יכול להגיע לשם מכאן. רק בגלל כתובת היא ברשימה v4 vableable הציבור לא אומר שזה מובטחת להיות מועברת. שני חומות האש בין הרעות של האינטרנט לבין יציאות מסד הנתונים בפועל לסנן את הרוע. אפילו מהשולחן שלי, מאחורי חומת האש הראשונה, אני לא יכול להגיע למסד הנתונים.

פרטי כרטיס האשראי הם מקרה מיוחד אחד. זה כפוף לתקני PCI-DSS, והסטנדרטים קובעים ישירות שרתיבים המכילים נתונים כאלה צריכים להיות מאחורי שער NAT1. שלנו, ושלושת השרתים האלה מייצגים את סך השימוש בשרת שלנו בכתובות RFC1918. זה לא מוסיף כל אבטחה, רק שכבת המורכבות, אבל אנחנו צריכים לקבל את תיבת הסימון נבדקה לביקורות.


המקורי "IPv6 עושה NAT דבר של העבר" הרעיון הוצג לפני בום האינטרנט באמת פגע המיינסטרים. בשנת 1995 היה נאט פתרון לעקיפת הקצאת IP קטנה. בשנת 2005 זה היה מעוגן במסמך אבטחה Best Practices מסמך, לפחות תקן אחד גדול (PCI-DSS להיות ספציפי). היתרון הקונקרטי היחיד ש- NAT נותן הוא כי ישות חיצונית המבצעת שידור ברשת אינה יודעת איך נראה נוף ה- IP מאחורי התקן ה- NAT (למרות שבזכות RFC1918 יש להם ניחוש טוב) וב- IPv4 ללא NAT (כגון כמו העבודה שלי) זה לא המקרה. זה צעד קטן בהגנה מעמיקה, לא גדול.

החלפת כתובות RFC1918 היא מה שנקרא כתובות מקומיות ייחודיות. כמו RFC1918, הם לא נתיב אלא אם כן עמיתים מסכימים במיוחד לתת להם מסלול. בניגוד RFC1918, הם (כנראה) ייחודי בעולם. המתרגמים של כתובות IPv6 המתרגמים ULA ל- IP גלובלי קיימים בטווח ההיקף הגבוה יותר, בהחלט לא בציוד SOHO.

אתה יכול לשרוד בסדר גמור עם כתובת IP ציבורית. רק זכור כי "הציבור" אינו מבטיח "נגיש", ואתה תהיה בסדר.


2017 עדכון

בחודשים האחרונים, אמזון  כבר הוספת תמיכה IPv6. זה עתה נוספו להם  המציעה, ויישומם נותן כמה רמזים לגבי איך פריסות בקנה מידה גדול צפויים להיעשות.

  • אתה מקבל 56 / הקצאה (256 משנה).
  • ההקצאה היא תת-רשת משנה לחלוטין.
  • אתה צפוי להגדיר את כללי חומת האש שלך () מגבילה כראוי.
  • אין NAT, זה אפילו לא הציע, אז כל תנועה יוצאת יבוא מכתובת ה- IP בפועל של המופע.

כדי להוסיף אחד היתרונות האבטחה של NAT בחזרה, הם מציעים כעת שער כניסה בלבד לאינטרנט. זה מציע יתרון אחד כמו NAT:

  • לא ניתן לגשת אל רשתות משנה שמאחוריהן ישירות מהאינטרנט.

אשר מספק שכבה של הגנה לעומק, במקרה שלטון חומת אש misconfigred בטעות מאפשר תנועה נכנסת.

הצעה זו אינה מתרגמת את הכתובת הפנימית לכתובת אחת כפי ש- NAT עושה. לתנועה היוצאת עדיין יהיה מקור ה- IP של המופע שפתח את החיבור. מפעילי חומת אש המחפשים למשאבים ברשימה הלבנה ב - VPC יהיו טובים יותר מ - whitelisting netblocks, במקום כתובות IP ספציפיות.

ניתן לניתוב לא תמיד אומר נגיש.


1: תקני PCI-DSS השתנו באוקטובר 2010, ההצהרה המחייבת כתובות RFC1918 הוסרה, ו- "בידוד רשת" הוחלף.


182
2017-09-25 00:59



סימנתי את זה כ'מקובל 'כי זו התשובה המלאה יותר. אני מניח כי מאז כל תצורת חומת אש tome קראתי אי פעם (מאז 1997, כשהתחלתי בתחום, וזה כולל בניית חומות אש FreeBSD ביד) הדגיש את השימוש RFC1918, כי זה לא ממש הגיוני לי. כמובן, כמו ISP אנחנו הולכים להיות כמה בעיות עם משתמשי הקצה שלהם נתבים זולים כאשר אנו נגמרים של כתובות IPv4, וזה לא הולך משם בקרוב. - Ernie
"מתרגמי כתובות IPv6 המתרגמים ULA ל- IP גלובלי קיימים בטווח ההיקף הגבוה יותר, בהחלט לא בציוד SOHO". לאחר התנגדות במשך שנים רבות, לינוקס הוסיפה תמיכה ב -3.9.0. - Peter Green
יש לי שאלה לגבי "שערי ה- NAT משמשים לעתים קרובות כי הם קל יותר להיכנס לתצורה מאובטחת מאשר רוב חומות האש "עבור עסקים עם צוות IT Pro או לצרכנים ידע זה לא עניין גדול, אבל עבור הצרכן הכללי / תמים העסק הקטן הוא לא משהו לא להיות" קל "סיכון אבטחה ענק? עשרות שנים של סיסמאות "Linksys" רשתות WiFi קיים כי לא תצורת האבטחה היה "קל יותר" מאשר התצורה.עם בית מלא של הצרכן ברמה ברמה IoT מופעל התקנים אני לא יכול לראות את אמא שלי כראוי הגדרת חומת אש של IPv6. האם אתה חושב שזה בעיה? - Jason C
@ JasonC לא, כי הציוד ברמת הצרכן כבר נשלח הוא משלוח עם חומות אש שנקבע מראש על ידי ספק שירותי האינטרנט כדי להכחיש את כל נכנס. או אין תמיכה v6. האתגר הוא כוח המשתמשים שחושבים שהם יודעים מה הם עושים, אבל למעשה לא. - sysadmin1138♦
תשובה מצוינת הכוללת, אבל אני downvoted זה כי זה בקושי התייחס פיל גדול בחדר: הגדרת האבטחה של המכשיר כראוי הוא משהו שאתה לא יכול פשוט לקחת כמובן מאליו. - Kevin Keane


נתב המשרד NAT שלנו (Linksys הישן   BEFSR41) אינו תומך ב- IPv6. ולא   עושה כל נתב חדש יותר - -

IPv6 נתמך על ידי נתבים רבים. פשוט לא כל כך הרבה אלה זול מכוון לצרכנים סוהו. במקרה הגרוע ביותר, פשוט להשתמש בתיבת לינוקס או מחדש הבזק הנתב שלך עם dd-wrt או משהו כדי לקבל תמיכה IPv6. ישנן אפשרויות רבות, אתה כנראה רק צריך להסתכל קשה יותר.

אם אנחנו אמורים פשוט להיפטר   נתב זה תקע הכל   ישירות לאינטרנט,

שום דבר על מעבר IPv6 מציע לך להיפטר התקני אבטחה היקפיים, כמו הנתב / חומת האש. נתבים וחומות אש ימשיכו להיות מרכיב נדרש של כל רשת.

כל נתבי NAT ​​פועלים ביעילות כחומת אש ממלכתית. אין שום דבר קסם על השימוש בכתובות RFC1918 שמגינות עליך כל כך הרבה. זה הקטע הממלכתי שעושה את העבודה הקשה. חומת אש מוגדרת כראוי יגן עליך גם אם אתה משתמש בכתובות אמיתיות או פרטיות.

ההגנה היחידה שאתה מקבל מכתובות RFC1918 היא המאפשרת לאנשים לברוח עם שגיאות / עצלות בתצורת חומת האש שלך עדיין לא כל כך פגיע.

יש כמה התקני חומרה ישנים (כלומר, מדפסות) שאין להם שום יכולת IPv6 בכלל.

לכן? זה כמעט לא סביר כי תצטרך לעשות את זה זמין דרך האינטרנט, ועל הרשת הפנימית שלך, אתה יכול להמשיך להפעיל IPv4, ו IPv6 עד כל המכשירים שלך נתמכים או מוחלפים.

אם פועל מספר פרוטוקולים היא לא אופציה ייתכן שיהיה צורך איזה סוג של שער / פרוקסי.

IPSEC אמורים להפוך את כל זה מאובטח איכשהו

IPSEC מוצפן ומאמת מנות. זה אין שום קשר עם להיפטר המכשיר הגבול שלך, ויש לו יותר להגן על הנתונים במעבר.


56
2017-09-24 23:55



נכון בכל כך הרבה דרכים. - sysadmin1138♦
בדיוק, לקבל נתב אמיתי ואתה לא צריך לדאוג. SonicWall יש כמה אפשרויות מצוינות כדי לספק את האבטחה שאתה צריך יתמוך IPv6 ללא בעיה. אפשרות זו תציע אבטחה וביצועים טובים יותר ממה שיש לך כרגע. (news.sonicwall.com/index.php?s=43&item=1022) כפי שאתה יכול לראות במאמר זה, אתה יכול גם לעשות ipv4 כדי תרגום ipv6 עם התקני sonicwall עבור אלה שאינם יכולים להתמודד עם ipv6. - MaQleod


כן. NAT מת. היו כמה ניסיונות לאשרר סטנדרטים עבור NAT מעל IPv6 אבל אף אחד מהם אי פעם ירד מן הקרקע.

זה גרם למעשה בעיות עבור ספקי המנסים לעמוד בתקני PCI-DSS, כמו תקן למעשה קובע כי אתה חייב להיות מאחורי NAT.

עבורי, זהו חלק מן החדשות הנפלאות ביותר ששמעתי מעודי. אני שונא NAT, ואני שונאת NAT כיתה NAT אפילו יותר.

NAT היה רק ​​אי פעם להיות פתרון bandaid כדי להעביר אותנו עד IPv6 הפך סטנדרטי, אבל זה הפך מוטבע לתוך האינטרנט החברה.

עבור תקופת המעבר, אתה צריך לזכור כי IPv4 ו IPv6 הם, מלבד שם דומה, הם שונים לחלוטין 1. אז המכשירים שהם Dual-Stack, IPv4 שלך יהיה נטען ו IPv6 שלך לא. זה כמעט כמו שיש שני מכשירים נפרדים לחלוטין, רק ארוזים לתוך חתיכת פלסטיק אחת.

אז, איך גישה לאינטרנט IPv6 לעבוד? ובכן, הדרך שבה האינטרנט היה עובד לפני NAT ​​היה המציא. ספק שירותי האינטרנט יקצה לך טווח IP (כפי שהם עושים כעת, אך בדרך כלל הם יקצו לך / 32, כלומר תקבל רק כתובת IP אחת), אבל בטווח שלך יהיו מיליוני כתובות IP זמינות. אתה חופשי לאכלס את כתובות ה- IP האלה כפי שבחרת (עם תצורה אוטומטית או DHCPv6). כל אחת מכתובות ה- IP הללו תהיה גלויה מכל מחשב אחר באינטרנט.

נשמע מפחיד, נכון? בקר התחום שלך, הבית מדיה PC ו- iPhone שלך ​​עם סליק מוסתר של פורנוגרפיה כל הולך להיות נגיש מהאינטרנט ?! ובכן לא. זה בשביל זה חומת אש. עוד תכונה נהדרת של IPv6 הוא זה כוחות חומות אש מגישה "Allow All" (כמו רוב המכשירים הביתיים) לגישה "דחה הכל", שבה אתה פותח שירותים עבור כתובות IP מסוימות. 99.999% מהמשתמשים הביתיים ישמחו לשמור על ברירת המחדל שלהם לחלוטין ונעולים לחלוטין, מה שאומר כי לא ניתן להזמין את ה- trafffic ללא הזמנה.

1אוקי יש הרבה יותר מזה, אבל הם בשום אופן לא תואם אחד את השני, למרות ששניהם מאפשרים את אותם פרוטוקולים פועל למעלה


33
2018-03-23 23:42



מה עם כל האנשים הטוענים כי המחשבים מאחורי NAT ​​מספק ביטחון נוסף? אני שומע את זה הרבה ממנהלי IT אחרים. זה לא משנה אם אתה אומר כי חומת אש ראוי הוא כל מה שאתה צריך, כי כל כך הרבה אנשים מאמינים כי NAT ​​מוסיף שכבת אבטחה. - user9274
@ user9274 - הוא מספק אבטחה בשתי דרכים: 1) הוא מסתיר את כתובת ה- IP הפנימית שלך מהעולם (ולכן PCI-DSS דורש זאת), ו- 2) הוא "הופ" נוסף מהאינטרנט למכונה המקומית. אבל כדי להיות כנים, הראשון הוא רק "ביטחון באמצעות ערפול", כי הוא לא אבטחה בכלל, שכן עבור השני מכשיר נפגע NAT מסוכן בדיוק כמו שרת נפגע, אז פעם התוקפים הם עברו את NAT זה סביר להיכנס למכשיר שלך בכל מקרה. - Mark Henderson♦
בנוסף, כל ביטחון שנרכש באמצעות NAT היה ו הוא יתרון בלתי מכוון במאמץ כדי להדוף את דלדול כתובות IPv4. זה בהחלט לא היה חלק בלתי נפרד של המטרה עיצוב, כי אני מודע. - joeqwerty
תקני PCI-DSS תוקנו בסוף אוקטובר 2010 והדרישה של NAT הוסרה (סעיף 1.3.8 של גירסה 1.2). אז אפילו הם מדביקים את הזמן. - sysadmin1138♦
@ מארק, לא בטוח אם זה שווה להזכיר אבל NAT64 הוא מקבל את הקרקע, אבל זה לא NAT רוב האנשים חושבים. זה מאפשר לרשתות IPv6 רק לגשת לאינטרנט IPv4 ללא "שיתוף פעולה" הלקוח; זה דורש תמיכה DNS64 כדי לגרום לזה לעבוד. - Chris S


דרישת ה- PCI-DSS ל- NAT ידועה היטב כאמצעי אבטחה ולא בביטחון בפועל.

האחרונה PCI-DSS יש חזרה מן קורא NAT דרישה מוחלטת. ארגונים רבים עברו ביקורת PCI-DSS עם IPv4 ללא NAT המציג חומות אש ממלכתיות כמו "יישומי אבטחה מקבילים".

ישנם מסמכים אחרים לתיאטרון הביטחוני הקוראים ל- NAT, אך מכיוון שהוא משמיד שבילי ביקורת וגורם לחקירת אירועים / לקשיים קשים יותר, מחקר מעמיק יותר של NAT (עם או בלי PAT) יהיה שלילי שלילי.

חומת אש טובה ללא צורך ב- NAT היא פתרון מעולה ביותר ל- NAT בעולם IPv6. ב IPv4, NAT הוא רע הכרחי כדי להיות נסבל למען שימור כתובת.


18
2018-01-26 17:45



NAT הוא "אבטחה עצלן". עם "ביטחון עצלן" מגיע חוסר תשומת לב לפרטים, ואת ההפסד הבא של הביטחון נועד. - Skaperen
מסכים לחלוטין; אם כי רוב הביקורת PCI-DSS מבוצעות (ביקורת על ידי קוף עם רשימת) זה את כל ביטחון עצלן, ונושאת את הפגמים האלה. - MadHatter
עבור אלה הטוענים כי NAT ​​הוא "תיאטרון אבטחה" אני רוצה להצביע על Nerd של הרשתות מאמר על פגיעות Memcached לפני כמה חודשים. networkingnerd.net/2018/03/02/... הוא תומך נלהב ב- IPv6, ו- NAT שונא, אבל היה צריך לציין כי אלפי חברות השאירו את השרתים שלהם memcached פתוח לרווחה באינטרנט בשל כללי חומת האש כי "לא היו מעוצבים בקפידה". NAT מכריח אותך להיות מפורש לגבי מה שאתה מאפשר לרשת שלך. - Kevin Keane


זה יהיה (לצערי) להיות קצת לפני שאתה יכול לברוח עם רשת מחסנית IPv6 יחיד בלבד. עד אז, מחסנית כפולה עם העדפה עבור IPv6 כאשר זמין הוא הדרך לרוץ.

בעוד שרוב נתבי הצרכנים אינם תומכים ב- IPv6 עם קושחה של מלאי היום, רבים יכולים לתמוך בו עם firmwares של צד שלישי (לדוגמה, Linksys WRT54G עם dd-wrt וכו '). כמו כן, רבים התקנים ברמה עסקית (Cisco, Juniper) תמיכה IPv6 מחוץ לקופסה.

חשוב לא לבלבל PAT (NAT-to-1 NAT, כפי שהוא נפוץ על נתבי הצרכנים) עם צורות אחרות של NAT, ועם חומת אש ללא NAT; ברגע שהאינטרנט הופך ל- IPv6 בלבד, חומות אש ימנעו עדיין חשיפה של שירותים פנימיים. כמו כן, מערכת IPv4 עם NAT-to-one אינה מוגנת באופן אוטומטי; זה התפקיד של מדיניות חומת אש.


11
2017-09-24 23:52





אם NAT ישרוד בעולם IPv6, סביר להניח שהוא יהיה 1: 1 NAT. טופס NAT מעולם לא ראיתי בחלל IPv4. מהו 1: 1 NAT? זהו תרגום של 1: 1 של כתובת גלובלית לכתובת מקומית. המקבילה המקבילה ל- IPv4 תתרגם את כל החיבורים ל- 1.1.1.2 רק ל -10.1.1.2, וכן הלאה עבור כל שטח 1.0.0.0/8. גירסת IPv6 תהיה לתרגם כתובת גלובלית לכתובת מקומית ייחודית.

אבטחה משופרת יכולה להיות מסופקת על ידי סיבוב מיפוי לעתים קרובות עבור כתובות שלא אכפת לך (כמו משתמשים פנימיים במשרד גלישה פייסבוק). באופן פנימי, מספרי ה- ULA שלך יישארו כך שהשרת DNS המפוצל ימשיך לפעול בסדר גמור, אך לקוחות חיצוניים לעולם לא יהיו בנמל שניתן לחיזוי.

אבל באמת, זה כמות קטנה של אבטחה משופרת על הטרחה שהיא יוצרת. סריקה של רשתות משנה של IPv6 היא משימה גדולה מאוד, והיא בלתי אפשרית ללא כל התייחסות לאופן שבו כתובות IP מוקצות באותם רשתות משנה (שיטת דור MAC) שיטה אקראית, הקצאה סטטית של כתובות קריאות אנושיות?).

ברוב המקרים, מה שיקרה הוא כי לקוחות מאחורי חומת האש של החברה יקבלו כתובת גלובלית, אולי ULA, ואת חומת האש היקפית יוגדר להכחיש את כל הקישורים הנכנסים מכל סוג שהוא לכתובות אלה. לכל דבר ועניין, כתובות אלה אינן ניתנות להשגה מבחוץ. כאשר הלקוח הפנימי יוזם חיבור, מנות יורשו לעבור לאורך אותו חיבור. הצורך לשנות את כתובת ה- IP למשהו אחר לגמרי מטופל על ידי אילוץ תוקף לדפדף בין 2 ^ 64 כתובות אפשריות באותה רשת משנה.


9
2018-03-24 02:33



@ sysadmin1138: אני אוהב את הפתרון הזה. כפי שאני כרגע מבין IPv6, אם ספק שירותי האינטרנט שלי נותן לי / 64, אני אמור להשתמש כי / 64 על הרשת כולה שלי אם אני רוצה המכונות שלי להיות IPv6 אינטרנט נגישים. אבל אם אני נמאס עם ISP זה ולעבור אחרת, עכשיו אני צריך לשנות את כל מה שצריך. - Kumba
@ sysadmin1138: עם זאת, עם זאת, שמתי לב שאני יכול להקצות מספר רב של כתובות IP לממשק אחד הרבה יותר קל מאשר עם IPv4, אז אני יכול לראות באמצעות ספק שירותי אינטרנט / 64 עבור גישה חיצונית ותוכנית ULA פרטית פרטית שלי עבור הודעות בין המארחים, ולהשתמש בחומת אש כדי להפוך את כתובות ULA בלתי נגיש מבחוץ. עוד עבודה ההתקנה מעורב, אבל זה נראה כאילו זה יהיה למנוע לחלוטין NAT. - Kumba
@ sysadmin1138: אני עדיין לגרד את הראש שלי למה ULA הם, לכל דבר ועניין, פרטית, אך הם צפויים עדיין להיות ייחודי בעולם. זה כמו להגיד שאני יכול לקבל מכונית של כל ודגם זמין כרגע, אבל לא כל לעשות / מודל / שנה כבר בשימוש על ידי מישהו אחר, למרות שזה המכונית שלי ואני אהיה הנהג היחיד שזה יהיה אי פעם. - Kumba
@Kumba הסיבה RFC 4193 כתובות צריך להיות ייחודי בעולם היא להבטיח שלא תצטרך לשנות את המספר בעתיד. אולי יום אחד אתה צריך למזג שתי רשתות באמצעות RFC 4193 כתובות, או מכונה אחת אשר יכול כבר יש כתובת RFC 4193 ייתכן שיהיה צורך להתחבר VPN אחד או יותר, אשר יש גם כתובות RFC 4193. - kasperd
@Kumba אם כולם השתמשו fd00 :: / 64 עבור הקטע הראשון ברשת שלהם, אז בהחלט היית נתקל בסכסוך ברגע כל זוג של שתי רשתות כאלה היה צריך לתקשר. הנקודה של RFC 4193 היא שכל עוד אתה בוחר 40 סיביות שלך באופן אקראי, אתה יכול להקצות את 80 סיביות הנותרים עם זאת אתה רוצה להישאר בטוחים, כי לא תצטרך לשנות את המספר. - kasperd


RFC 4864 מתאר את הגנת הרשת המקומית IPv6, קבוצה של גישות לספק את היתרונות הנתפסים של NAT בסביבת IPv6, מבלי שיהיה צורך לפנות ל- NAT.

מסמך זה תיאר מספר טכניקות שניתן לשלב באתר IPv6 כדי להגן על השלמות של ארכיטקטורת הרשת שלה. טכניקות אלה, הידועות בשם "רשת מקומית להגנה", שומרות על הקונספט של גבול מוגדר היטב בין "בתוך" ו "מחוץ" הרשת הפרטית ומאפשרים חומת אש, טופולוגיה הסתרת ופרטיות. עם זאת, מכיוון שהם שומרים על שקיפות הכתובת במקום שבו היא נדרשת, הם משיגים את היעדים הללו ללא החסרון של תרגום כתובות. לכן, רשת מקומית הגנה IPv6 יכול לספק את היתרונות של IPv4 כתובת כתובת הרשת ללא החסרונות המתאימים.

זה הראשון מתאר מה היתרונות הנתפסים של NAT הם (ו debunks אותם כאשר מתאים), ואז מתאר את התכונות של IPv6 אשר ניתן להשתמש בהם כדי לספק את אותן הטבות. כמו כן הוא מספק הערות יישום ומקרים.

אמנם זה זמן רב מדי כדי להדפיס כאן, היתרונות שנדונו הם:

  • שער פשוט בין "בפנים" לבין "בחוץ"
  • חומת האש הממלכתית
  • מעקב אחר משתמשים / יישומים
  • פרטיות טופולוגיה הסתרת
  • שליטה עצמאית בפנייה לרשת פרטית
  • רב-תכליתי

זה די הרבה מכסה את כל התרחישים שבהם אחד יכול רצה NAT מציעה פתרונות ליישום אותם IPv6 ללא NAT.

חלק מהטכנולוגיות שבהן תשתמש הן:

  • כתובות מקומיות ייחודיות: העדף את אלה ברשת הפנימית שלך כדי לשמור על תקשורת פנימית פנימית, וכדי להבטיח תקשורת פנימית יכולה להימשך גם אם ISP יש הפסקה.
  • הרחבות פרטיות IPv6 עם אורך חיים קצר של כתובות ומזהי ממשק לא מובנים מאליהם: אלה מסייעים במניעת תקיפת מארחים בודדים וסריקת רשת משנה.
  • IGP, נייד IPv6 או VLANs ניתן להשתמש כדי להסתיר את הטופולוגיה של הרשת הפנימית.
  • יחד עם ULAs, DHCP-PD מספק שירותי האינטרנט עושה מחדש / multihoming קל יותר מאשר עם IPv4.

(ראה את RFC לפרטים מלאים; שוב, זה הרבה יותר מדי זמן להדפיס או אפילו לקחת קטעים משמעותיים מ).

לדיון כללי יותר בנושא אבטחה במעבר IPv6, ראה RFC 4942.


9
2018-05-13 18:37





יש כמות עצומה של בלבול בנושא זה, כמו מנהלי רשת לראות NAT באור אחד, ועסקים קטנים לקוחות מגורים לראות את זה אחרת. תן לי להבהיר.

סטאטית NAT (הנקראת לפעמים NAT-to-1 NAT) מציעה שום הגנה עבור הרשת הפרטית שלך או מחשב אישי. שינוי כתובת ה- IP הוא חסר משמעות מבחינת ההגנה.

דינמי נטען יתר על המידה / PAT כמו מה שערים מגורים ביותר ו- WiFi של AP לעשות בהחלט מסייעת להגן על הרשת הפרטית שלך ו / או המחשב. על ידי עיצוב השולחן NAT התקנים אלה הוא שולחן המדינה. הוא עוקב אחר הבקשות היוצאות ומפות אותן בטבלת ה- NAT - זמן החיבור יוצא לאחר פרק זמן מסוים. כל מסגרות נכנסות לא רצויות שאינן תואמות את מה שנמצא בטבלה NAT נשמטות כברירת מחדל - הנתב NAT אינו יודע לאן לשלוח אותם ברשת הפרטית כך שהוא טיפות אותם. בדרך זו, המכשיר היחיד שאתה משאיר פגיע להיות פרוצים לתוך הנתב שלך. מאז רוב מנצל אבטחה מבוססות Windows - שיש מכשיר כזה בין האינטרנט לבין המחשב של Windows באמת עוזר להגן על הרשת שלך. זה לא יכול להיות הפונקציה נועד במקור, אשר היה לשמור על IP של הציבור, אבל זה נעשה את העבודה. כבונוס, לרוב המכשירים האלה יש גם יכולות חומת אש, שפעמים רבות חוסמות בקשות ICMP כברירת מחדל, אשר גם מסייעות להגן על הרשת.

לאור המידע הנ"ל, להיפטר NAT עם המעבר IPv6 יכול לחשוף מיליוני הצרכן מכשירים עסקיים קטנים פריצה פוטנציאליים. זה יהיה מעט כדי לא להשפיע על רשתות ארגוניות כפי שהם מנוהלים באופן מקצועי חומות אש בקצה שלהם. רשתות צרכנים ורשתות עסקיות קטנות אולי כבר אין נתב NAT מבוסס nix בין האינטרנט לבין המחשב האישי שלהם. אין סיבה שאדם לא יכול לעבור לפתרון חומת אש בלבד - הרבה יותר בטוח אם הוא מתפרס כהלכה, אלא גם מעבר לטווח של 99% מהלקוחות להבין איך לעשות. Dynamic Overloaded NAT נותן מעט הגנה רק על ידי שימוש בו - תקע את הנתב מגורים ואתה מוגן. קל.

עם זאת, אין שום סיבה כי NAT ​​לא יכול לשמש בדיוק באותו אופן הוא נמצא בשימוש IPv4. למעשה, נתב יכול להיות מתוכנן להיות כתובת IPv6 אחת על יציאת WAN עם רשת פרטית IPv4 מאחורי זה כי NAT ​​על גבי זה (למשל). זה יהיה פתרון פשוט לצרכנים מגורים. אפשרות נוספת היא לשים את כל המכשירים עם IPv6 IP IP של הציבור - מכשיר ביניים ואז יכול לשמש מכשיר L2, אבל לספק שולחן המדינה, בדיקת מנות, וחומת אש מתפקדת במלואה. בעיקרון, לא NAT, אבל עדיין חסימת כל מסגרות נכנסות לא רצויות. הדבר החשוב לזכור הוא שאתה לא צריך לחבר את המחשב ישירות לתוך חיבור WAN שלך ללא מכשיר מתווך. אלא אם כן אתה רוצה להסתמך על חומת האש של Windows. . . וזה דיון אחר. כל רשת, אפילו רשתות ביתיות, זקוקים למכשיר קצה המגן על הרשת המקומית, בנוסף לשימוש בחומת האש של Windows.

יהיו כמה כאבי גוברת לעבור IPv6, אבל אין שום בעיה כי לא ניתן יהיה לפתור בקלות יחסית. האם אתה צריך תעלה את הנתב הישן IPv4 או שער מגורים? אולי, אבל יהיו פתרונות חדשים זולים זמין בבוא העת. יש לקוות התקנים רבים פשוט צריך פלאש קושחה. האם IPv6 תוכנן כך שיתאים בצורה חלקה יותר לארכיטקטורה הנוכחית? בטח, אבל זה מה שזה וזה לא הולך - אז אולי כדאי לך ללמוד את זה, לחיות את זה, אוהב את זה.


8
2018-06-09 14:38



עבור מה זה שווה, אני רוצה לחזור ולציין כי הארכיטקטורה הנוכחית שבורה באופן יסודי (Routability מקצה לקצה) וזה יוצר בעיות מעשיות ברשתות מורכבות (התקני NAT ​​מיותרים הם מורכבים מדי ויקר). הפלת ה- NAT גרזן תפחית מורכבות נקודות פוטנציאליות של כישלון, בעוד האבטחה נשמרת על ידי חומות אש פשוטים המדינה (אני לא יכול לדמיין לרגע נתב SOHO מגיע בלי חומת האש stateful מאופשר על ידי ברירת המחדל כך הלקוחות יכולים plug-n- לשחק ללא מחשבה). - Chris S
לפעמים שבירת מקצה לקצה היא בדיוק מה שאתה רוצה. אני לא רוצה המדפסות שלי ואת המחשב להיות מסוגל להיות מנותב מהאינטרנט. בעוד NAT התחיל כגרזן, הוא התפתח לכלי שמיש מאוד, שבמקרים מסוימים יכול לשפר את האבטחה על ידי הסרת פוטנציאל מנות לנתב ישירות הצומת. אם יש לי RFC1918 IP שהוקצו באופן סטטי על מחשב, בשום פנים ואופן זה IP הולך להיות ניתוב באינטרנט. - Computerguy
ניתוק שבור הוא דבר רע. מה שאתה רוצה הוא עבור התקנים שלך להיות נגיש על ידי האינטרנט (על ידי חומת אש), זה לא אותו דבר. ראה למה היית משתמש IPv6 פנימי?. כמו כן, RFC1918 קובע כי כתובת זו צריכה לשמש עבור רשתות פרטיות בלבד, וגישה לאינטרנט צריכה להיות מסופקת רק על ידי שערי שכבת יישומים (אשר NAT אינו). עבור חיבורים חיצוניים המארח צריך להיות מוקצה כתובת מתוך הקצאת IANA מתואמת. פריצות, לא משנה כמה שימושי, לעשות פשרות מיותרות ולא הדרך הנכונה. - Chris S


סוג של. יש למעשה "סוגים" שונים של כתובות IPv6. הקרוב ביותר ל- RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) נקרא "כתובת מקומית ייחודית" ומוגדר ב- RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

אז אתה מתחיל עם fd00 :: / 8, ולאחר מכן להוסיף מחרוזת 40 סיביות (באמצעות אלגוריתם מוגדר מראש ב RFC!), ואתה בסופו של דבר עם פסאודו אקראית / 48 קידומת כי צריך להיות ייחודי בעולם. יש לך את שאר שטח הכתובות להקצות כרצונך.

כמו כן, עליך לחסום את fd00 :: / 7 (fc00 :: / 8 ו- fd00 :: / 8) בנתב (IPv6) שלך מחוץ לארגון שלך - ומכאן "המקומי" בשם הכתובת. כתובות אלה, בעוד במרחב הכתובות העולמי, לא ניתן להגיע אל העולם בכללותו, רק עם ב- "הארגון" שלך.

אם שרתי ה- PCI-DSS זקוקים ל- IPv6 לצורך קישוריות למארחי IPv6 פנימיים אחרים, עליך ליצור קידומת ULA עבור החברה שלך ולהשתמש בה למטרה זו. אתה יכול להשתמש ב- IPv6 אוטומטי של תצורה בדיוק כמו כל קידומת אחרת, אם תרצה.

בהתחשב בכך IPv6 תוכנן כך המארחים יכולים להיות מספר כתובות, המכונה יכולה להיות - בנוסף ULA- כתובת ניתוב גלובלי גם כן. אז שרת אינטרנט שצריך לדבר עם העולם החיצון, ועם מכונות פנימיות, יכול להיות גם כתובת prefex מוקצה ISP וקידומת ULA שלך.

אם אתה רוצה פונקציונליות NAT כמו אתה יכול להסתכל על NAT66 גם, אבל באופן כללי הייתי אדריכל סביב ULA. אם יש לך שאלות נוספות ייתכן שתרצה לבדוק את רשימת התפוצה "ipv6-ops".


7
2018-03-24 00:05



חה. אני כותב את כל ההערות האלה sysadmin1138, ואפילו לא חושב להסתכל על התשובה שלך על השימוש בכתובות כפולות עבור פקודות גלובליות ומקומיות. עם זאת, אני מתנגדת בחריפות עם המצוות של ULA צריך להיות ייחודי בעולם. אני לא אוהב אקראי, 40 סיביות מספרים בכלל, במיוחד עבור LAN הפנימי שלי, אשר אני אני המשתמש היחיד. הם כנראה צריכים מסד נתונים עולמי של ULAs להיות רשום (SixXS פועל כזה), אבל ירידה בלגן מספר אקראי ולתת לאנשים להיות יצירתיים. כמו לוחות רישוי מותאמים אישית. אתה מחיל אחד ואם הוא נלקח, אתה מנסה אחר. - Kumba
@Kumba הם מנסים לעצור כל רשת אחת באמצעות כתובות זהות - אקראי אומר שאתה לא צריך מסד נתונים ציבורי וכל רשת עצמאית; אם אתה רוצה להוציא כתובות IP מרכזי, ואז פשוט להשתמש אלה גלובליים! - Richard Gadsden
@ ריצ'רד: זהו ... כיצד אני שם את זה, רעיון מטופש, IMHO. למה זה משנה אם חברה קטנה ג'ו בעיר מונטנה משתמש באותו IPv6 פונה כחברה קטנה אחרת פרת ', אוסטרליה? הסיכויים של שני המעבר אי פעם, בעוד לא בלתי אפשרי, הם בלתי סבירים למדי. אם כוונתם של מעצבי ה- IPv6 היתה לנסות ולבטל לחלוטין את המושג "רשתות פרטיות", אז הם צריכים לבדוק את הקפה שלהם, כי זה לא ריאלי מבחינה ריאלית. - Kumba
@Kumba אני חושב שזה הצלקות כאשר אתה מנסה למזג שתי רשתות IPv4 פרטית גדולה 10/8 ואתה צריך לשנות את אחד (או אפילו את שניהם) מהם שהם מנסים להימנע. - Richard Gadsden
@ ריצ'ארד: בדיוק, אין דבר כואב יותר מאשר להשתמש ב- VPN כדי להתחבר לרשת אחרת עם תת רשת פרטית, יישום מסוימים פשוט להפסיק לעבוד. - Hubert Kario


יש לקוות, NAT יסתלק לנצח. זה שימושי רק כאשר יש לך מחסור כתובת IP ואין לו תכונות אבטחה שאינן מסופקות טוב יותר, זול יותר ומנוהל בקלות רבה יותר על ידי חומת אש המדינה.

מאז IPv6 = לא עוד מחסור, זה אומר שאנחנו יכולים להיפטר העולם של מכוער גרזן כי הוא NAT.


4
2018-03-23 23:44





IMHO: לא.

יש עדיין כמה מקומות שבהם SNAT / DNAT יכול להיות שימושי. עבור expample כמה שרתים הועברו לרשת אחרת, אבל אנחנו לא רוצים / אנחנו לא יכולים לשנות את ה- IP של היישום.


4
2018-03-24 01:23



עליך להשתמש בשמות DNS במקום כתובת IP בתצורות היישומים שלך. - rmalayter
DNS אינו מגלגל את הבעיה, אם עליך ליצור נתיב רשת מבלי לשנות את כל טופולוגיית הניתוב וחוקי Firewall. - sumar