Il passaggio a IPv6 implica l'abbandono del NAT. Questa è una buona cosa?


109

Questa è una domanda canonica su IPv6 e NAT

Relazionato:

Quindi il nostro ISP ha recentemente impostato IPv6 e ho studiato cosa dovrebbe comportare la transizione prima di buttarmi nella mischia.

Ho notato tre problemi molto importanti:

  1. Il nostro router NAT per ufficio (un vecchio BEFSR41 di Linksys) non supporta IPv6. Né alcun router più recente, AFAICT. Il libro che sto leggendo su IPv6 mi dice che rende NAT "inutile" comunque.

  2. Se dovessimo semplicemente sbarazzarci di questo router e collegare tutto direttamente a Internet, comincio a farmi prendere dal panico. Non c'è modo all'inferno di mettere il nostro database di fatturazione (con molte informazioni sulla carta di credito!) Su Internet affinché tutti possano vederlo. Anche se dovessi proporre di installare il firewall di Windows su di esso per consentire a solo 6 indirizzi di accedervi, mi sento comunque sudare freddo. Non mi fido di Windows, del firewall di Windows o della rete abbastanza grande da essere a mio agio in remoto.

  3. Ci sono alcuni vecchi dispositivi hardware (cioè stampanti) che non hanno assolutamente alcuna capacità IPv6. E probabilmente un elenco di problemi di sicurezza risalenti al 1998. Probabilmente non c'è modo di correggerli in alcun modo. E nessun finanziamento per le nuove stampanti.

Ho sentito che IPv6 e IPSEC dovrebbero rendere tutto questo sicuro in qualche modo, ma senza reti fisicamente separate che rendono questi dispositivi invisibili a Internet, non riesco davvero a vedere come. Allo stesso modo, posso davvero vedere come tutte le difese che creo verranno superate in breve tempo. Ho gestito server su Internet ormai da anni e ho una certa familiarità con il genere di cose necessarie per proteggerli, ma mettere qualcosa di privato sulla rete come il nostro database di fatturazione è sempre stato del tutto fuori questione.

Con cosa dovrei sostituire NAT, se non abbiamo reti fisicamente separate?


9
Puoi provare a chiedere nuovamente questo? In questo momento sembra essere abbastanza polemico.
Zoredache,

9
Le cose di cui sei scioccato non esistono. Forse dovresti riformattare la tua domanda in modo da descrivere le cose che ritieni siano fatti e chiederci di confermarle. Invece di lamentarti delle cose che hai assunto funzionerà in un certo modo.
Zoredache,

25
Inoltre, stai memorizzando i dati della carta di credito? E hai così tante domande sulla sicurezza? Hai mai superato un audit PCI? O stai rompendo il contratto memorizzando i dettagli della carta di credito? Potresti voler esaminare questo, dopo la fretta.
mfinni,

4
In buona coscienza non posso sottovalutare o votare per chiudere questa domanda sia per il fatto che il poster è mal informato (che sicuramente è metà del punto del sito). Certo, l'OP sta andando su una grande tangente basata su un presupposto falso, e la domanda potrebbe fare con una riscrittura.
Chris Thorpe,

3
"No more NAT" è definitivamente uno degli obiettivi di IPv6. Sebbene al momento, sembra (almeno qui) che l'interesse nell'offrire effettivamente IPv6 non sia terribilmente grande, tranne che nei datacenter (perché pacchetti più grandi significano più larghezza di banda e più larghezza di banda significa più soldi per loro!). Per DSL è il contrario, praticamente tutti hanno il piatto, quindi IPv6 significa solo più problemi e più costi per i provider.
dm.skt,

Risposte:


185

Innanzitutto, non c'è nulla da temere dall'essere su un'allocazione IP pubblica, purché i dispositivi di sicurezza siano configurati correttamente.

Con cosa dovrei sostituire NAT, se non abbiamo reti fisicamente separate?

La stessa cosa con cui li separiamo fisicamente dagli anni '80, router e firewall. L'unico grande vantaggio in termini di sicurezza che si ottiene con NAT è che ti costringe a una configurazione di rifiuto predefinito. Per ottenere qualsiasi servizio attraverso di esso, è necessario eseguire esplicitamente i fori. I dispositivi più elaborati ti consentono persino di applicare ACL basati su IP a quei buchi, proprio come un firewall. Probabilmente perché hanno "Firewall" sulla scatola, in realtà.

Un firewall configurato correttamente fornisce esattamente lo stesso servizio di un gateway NAT. I gateway NAT sono spesso utilizzati perché sono più facili da accedere a una configurazione sicura rispetto alla maggior parte dei firewall.

Ho sentito che IPv6 e IPSEC dovrebbero rendere tutto questo sicuro in qualche modo, ma senza reti fisicamente separate che rendono questi dispositivi invisibili a Internet, non riesco davvero a vedere come.

Questo è un malinteso. Lavoro per un'università che ha un'allocazione IPv4 / 16 e la stragrande maggioranza del nostro consumo di indirizzi IP è destinata a tale allocazione pubblica. Certamente tutte le nostre workstation e stampanti per utenti finali. Il nostro consumo di RFC1918 è limitato ai dispositivi di rete e ad alcuni server specifici dove sono richiesti tali indirizzi. Non sarei sorpreso se tu brividi solo ora, perché l'ho fatto sicuramente quando mi sono presentato il mio primo giorno e ho visto il post-it sul mio monitor con il mio indirizzo IP.

Eppure sopravviviamo. Perché? Perché abbiamo un firewall esterno configurato per default-deny con throughput ICMP limitato. Solo perché 140.160.123.45 è teoricamente instradabile, non significa che puoi arrivarci ovunque tu sia su Internet pubblico. Questo è ciò che i firewall sono stati progettati per fare.

Date le giuste configurazioni del router e diverse sottoreti nella nostra allocazione possono essere completamente irraggiungibili l'una dall'altra. Puoi farlo nelle tabelle dei router o nei firewall. Questa è una rete separata e in passato ha soddisfatto i nostri revisori della sicurezza.

Non c'è modo all'inferno di mettere il nostro database di fatturazione (con molte informazioni sulla carta di credito!) Su Internet affinché tutti possano vederlo.

Il nostro database di fatturazione si trova su un indirizzo IPv4 pubblico ed è stato per tutta la sua esistenza, ma abbiamo la prova che non puoi arrivarci da qui. Solo perché un indirizzo è nell'elenco di instradamento v4 pubblico non significa che sia garantito che venga consegnato. I due firewall tra i mali di Internet e le attuali porte del database filtrano il male. Anche dalla mia scrivania, dietro il primo firewall, non riesco ad accedere a quel database.

Le informazioni sulla carta di credito sono un caso speciale. Ciò è soggetto agli standard PCI-DSS e gli standard dichiarano direttamente che i server che contengono tali dati devono essere dietro un gateway NAT 1 . I nostri sono e questi tre server rappresentano l'utilizzo totale del nostro server degli indirizzi RFC1918. Non aggiunge alcuna sicurezza, solo un livello di complessità, ma dobbiamo spuntare quella casella per i controlli.


L'idea originale "IPv6 rende il NAT un ricordo del passato" è stata proposta prima che il boom di Internet raggiungesse davvero il mainstream. Nel 1995 NAT era una soluzione alternativa per aggirare una piccola allocazione IP. Nel 2005 è stato sancito in molti documenti sulle migliori pratiche di sicurezza e in almeno uno dei principali standard (PCI-DSS per essere specifici). L'unico vantaggio concreto che NAT offre è che un'entità esterna che esegue la ricognizione sulla rete non sa come appare il panorama IP dietro il dispositivo NAT (anche se grazie a RFC1918 hanno una buona ipotesi), e su IPv4 privo di NAT (tale come il mio lavoro) non è così. È un piccolo passo nella difesa in profondità, non un grande passo.

La sostituzione per gli indirizzi RFC1918 sono quelli che vengono chiamati indirizzi locali univoci. Come RFC1918, non instradano a meno che i peer non concordino espressamente di lasciarli instradare. A differenza di RFC1918, sono (probabilmente) globalmente unici. I traduttori di indirizzi IPv6 che traducono un ULA in un IP globale esistono negli ingranaggi perimetrali di gamma superiore, sicuramente non ancora negli ingranaggi SOHO.

Puoi sopravvivere bene con un indirizzo IP pubblico. Tieni presente che "pubblico" non garantisce "raggiungibile" e andrà tutto bene.


Aggiornamento 2017

Negli ultimi mesi, Amazon ha aggiunto il supporto IPv6. È stato appena aggiunto alla loro offerta e la loro implementazione fornisce alcuni indizi su come ci si aspetta che vengano implementate su larga scala.

  • Viene assegnata un'allocazione / 56 (256 subnet).
  • L'allocazione è una sottorete completamente instradabile.
  • Dovresti impostare le regole del firewall ( ) in modo appropriato restrittivo.
  • Non esiste un NAT, non è nemmeno offerto, quindi tutto il traffico in uscita proviene dall'indirizzo IP effettivo dell'istanza.

Per aggiungere uno dei vantaggi in termini di sicurezza di NAT, ora offrono un gateway Internet solo per uscita . Ciò offre un vantaggio simile al NAT:

  • Le sottoreti dietro di essa non sono accessibili direttamente da Internet.

Ciò fornisce un livello di difesa approfondito, nel caso in cui una regola del firewall configurata in modo errato consenta accidentalmente il traffico in entrata.

Questa offerta non traduce l'indirizzo interno in un singolo indirizzo come fa NAT. Il traffico in uscita avrà ancora l'IP di origine dell'istanza che ha aperto la connessione. Gli operatori di firewall che cercano di inserire nella whitelist le risorse nel VPC si troveranno meglio rispetto ai netblock della whitelist, piuttosto che a specifici indirizzi IP.

Instradabile non significa sempre raggiungibile .


1 : Gli standard PCI-DSS sono cambiati nell'ottobre 2010, la dichiarazione che impone gli indirizzi RFC1918 è stata rimossa e "isolamento di rete" lo ha sostituito.


1
Ho contrassegnato questo come Accettato perché è la risposta più completa. Immagino che dal momento che ogni tomo di configurazione del firewall che abbia mai letto (dal 1997 circa, quando ho iniziato a lavorare sul campo, e che includa la creazione manuale di firewall FreeBSD) abbia sottolineato l'uso di RFC1918, questo non ha davvero senso per me. Naturalmente, come ISP avremo alcuni problemi con gli utenti finali e i loro router economici quando finiremo gli indirizzi IPv4, e questo non scomparirà presto.
Ernie,

"I traduttori di indirizzi IPv6 che traducono un ULA in un IP globale esistono nella gamma perimetrale di fascia più alta, sicuramente non ancora nella trasmissione SOHO." Dopo aver resistito per molti anni Linux ha aggiunto il supporto per questa versione 3.9.0.
Peter Green,

2
Ho una domanda su "I gateway NAT sono spesso utilizzati perché sono più facili da accedere a una configurazione sicura rispetto alla maggior parte dei firewall". Per le aziende con personale IT professionale o per i consumatori consapevoli questo non è un grosso problema, ma per il consumatore generale / le piccole imprese ingenue non è qualcosa che non è "facile", un enorme rischio per la sicurezza? Ad esempio, esistevano decenni di reti wifi "linksys" senza password perché non configurare la sicurezza era "più semplice" che configurarla. Con una casa piena di dispositivi abilitati IoT a livello di consumatore, non riesco a vedere mia madre che configura correttamente un firewall IPv6. Pensi che questo sia un problema?
Jason C,

6
@JasonC No, perché gli equipaggiamenti di livello consumer già spediti vengono spediti con firewall preconfigurati dall'ISP per negare qualsiasi ingresso. O non hai il supporto v6. La sfida sono gli utenti esperti che pensano di sapere cosa stanno facendo, ma in realtà non lo sanno.
sysadmin1138

1
Una risposta eccellente nel complesso, ma l'ho sottovalutata perché si rivolgeva a malapena al grande elefante nella stanza: configurare correttamente il dispositivo di sicurezza è qualcosa che non puoi dare per scontato.
Kevin Keane,

57

Il nostro router NAT per ufficio (un vecchio BEFSR41 di Linksys) non supporta IPv6. Né alcun router più recente

IPv6 è supportato da molti router. Solo che non molti di quelli economici rivolti ai consumatori e SOHO. Nel peggiore dei casi, basta usare un box Linux o eseguire nuovamente il flashing del router con dd-wrt o qualcosa del genere per ottenere il supporto IPv6. Ci sono molte opzioni, probabilmente devi solo sembrare più difficile.

Se dovessimo semplicemente sbarazzarci di questo router e collegare tutto direttamente a Internet,

Nulla di una transizione verso IPv6 suggerisce che dovresti sbarazzarti dei dispositivi di sicurezza perimetrali, come il tuo router / firewall. Router e firewall saranno comunque un componente richiesto praticamente di ogni rete.

Tutti i router NAT funzionano efficacemente come firewall stateful. Non c'è nulla di magico nell'uso degli indirizzi RFC1918 che ti proteggono così tanto. È il bit stateful che fa il duro lavoro. Un firewall configurato correttamente ti proteggerà altrettanto bene se stai utilizzando indirizzi reali o privati.

L'unica protezione che ricevi dagli indirizzi RFC1918 è che consente alle persone di cavarsela con errori / pigrizia nella configurazione del tuo firewall e di non essere ancora così vulnerabile.

Ci sono alcuni vecchi dispositivi hardware (cioè stampanti) che non hanno assolutamente alcuna capacità IPv6.

Così? È quasi impossibile che sia necessario renderlo disponibile su Internet e sulla rete interna, è possibile continuare a eseguire IPv4 e IPv6 fino a quando tutti i dispositivi sono supportati o sostituiti.

Se l'esecuzione di più protocolli non è un'opzione, potrebbe essere necessario impostare un tipo di gateway / proxy.

L'IPSEC dovrebbe in qualche modo rendere tutto ciò sicuro

IPSEC crittografato e autentica i pacchetti. Non ha nulla a che fare con la rimozione del dispositivo di frontiera e ha una maggiore protezione dei dati in transito.


2
Proprio in così tanti modi.
sysadmin1138

3
Esatto, ottieni un vero router e non dovrai preoccuparti. SonicWall ha alcune opzioni eccellenti per fornire la sicurezza di cui hai bisogno e supporterà IPv6 senza problemi. Questa opzione offrirà probabilmente sicurezza e prestazioni migliori rispetto a quelle attualmente disponibili. ( news.sonicwall.com/index.php?s=43&item=1022 ) Come puoi vedere in questo articolo, puoi anche eseguire la traduzione da ipv4 a ipv6 con dispositivi sonicwall per coloro che non sono in grado di gestire ipv6.
MaQleod,

34

Sì. NAT è morto. Ci sono stati alcuni tentativi di ratificare gli standard per NAT su IPv6, ma nessuno di loro è mai decollato.

Ciò ha effettivamente causato problemi ai provider che stanno tentando di soddisfare gli standard PCI-DSS, poiché lo standard afferma in realtà che è necessario essere protetti da un NAT.

Per me, questa è una delle notizie più belle che abbia mai sentito. Odio il NAT e odio ancora di più il NAT di livello carrier.

NAT è sempre stato pensato per essere una soluzione bandaid per farci passare fino a quando IPv6 non è diventato standard, ma si è radicato nella società di Internet.

Per il periodo di transizione, è necessario ricordare che IPv4 e IPv6 sono, a parte un nome simile, totalmente diversi 1 . Quindi i dispositivi che sono Dual-Stack, il tuo IPv4 sarà NATted e il tuo IPv6 no. È quasi come avere due dispositivi totalmente separati, appena impacchettati in un unico pezzo di plastica.

Quindi, come funziona l'accesso a Internet IPv6? Bene, il modo in cui Internet funzionava prima dell'invenzione del NAT. Il tuo ISP ti assegnerà un intervallo IP (come fanno ora, ma generalmente ti assegnano un / 32, il che significa che ottieni un solo indirizzo IP), ma il tuo intervallo ora avrà milioni di indirizzi IP disponibili. Sei libero di popolare questi indirizzi IP come hai scelto (con configurazione automatica o DHCPv6). Ognuno di questi indirizzi IP sarà visibile da qualsiasi altro computer su Internet.

Sembra spaventoso, vero? Il tuo controller di dominio, il PC multimediale domestico e il tuo iPhone con la tua scorta nascosta di pornografia saranno tutti accessibili da Internet ?! Beh no. Ecco a cosa serve un firewall. Un'altra grande caratteristica di IPv6 è che forza i firewall da un approccio "Consenti tutto" (come la maggior parte dei dispositivi domestici) a un approccio "Nega tutto", in cui si aprono servizi per determinati indirizzi IP. Il 99,999% degli utenti domestici manterrà felicemente i propri firewall predefiniti e totalmente bloccati, il che significa che non sarà consentito l'accesso a traffico non richiesto.

1 Ok, c'è molto di più, ma non sono in alcun modo compatibili tra loro, anche se entrambi consentono lo stesso protocollo in esecuzione


1
Che dire di tutte le persone che affermano che avere computer dietro NAT offre maggiore sicurezza? Lo sento molto da altri amministratori IT. Non importa se dici che un firewall adeguato è tutto ciò di cui hai bisogno, perché molte di queste persone credono che NAT aggiunga un livello di sicurezza.
user9274

3
@ user9274 - fornisce sicurezza in due modi: 1) nasconde il tuo indirizzo IP interno dal mondo (motivo per cui PCI-DSS lo richiede), e 2) è un "hop" extra da Internet al computer locale. Ma ad essere onesti, il primo è solo "sicurezza attraverso l'oscurità" che non è affatto sicurezza, e come per il secondo un dispositivo NAT compromesso è pericoloso tanto quanto un server compromesso, quindi una volta che gli aggressori hanno superato il NAT, è probabile che entra comunque nella tua macchina.
Mark Henderson

Inoltre, qualsiasi sicurezza ottenuta attraverso l'uso del NAT è stata ed è un vantaggio non voluto nello sforzo di evitare l'esaurimento degli indirizzi IPv4. Certamente non era parte integrante dell'obiettivo di progettazione, di cui sono a conoscenza.
joeqwerty,

7
Gli standard PCI-DSS sono stati modificati alla fine di ottobre 2010 e il requisito NAT è stato rimosso (sezione 1.3.8 di v1.2). Quindi anche loro stanno recuperando il passo con i tempi.
sysadmin1138

2
@Mark, non sono sicuro se valga la pena menzionarlo, ma NAT64 sta decollando, ma non è il NAT a cui la maggior parte della gente pensa. Consente alle reti solo IPv6 di accedere a Internet IPv4 senza "cooperazione" del cliente; richiede il supporto DNS64 per farlo funzionare.
Chris S,

18

Il requisito PCI-DSS per NAT è noto per essere teatro della sicurezza e non sicurezza effettiva.

Il PCI-DSS più recente ha rinunciato a chiamare NAT un requisito assoluto. Molte organizzazioni hanno superato gli audit PCI-DSS con IPv4 senza che NAT mostrasse i firewall con stato come "implementazioni di sicurezza equivalenti".

Esistono altri documenti relativi al teatro della sicurezza che richiedono NAT, ma, poiché distrugge le piste di controllo e rende più difficile l'indagine / mitigazione degli incidenti, uno studio più approfondito del NAT (con o senza PAT) è negativo per la sicurezza della rete.

Un buon firewall con stato senza NAT è una soluzione di gran lunga superiore a NAT in un mondo IPv6. In IPv4, NAT è un male necessario per essere tollerato per motivi di conservazione degli indirizzi.


2
NAT è "sicurezza pigra". E con la "sicurezza pigra" arriva la mancanza di attenzione ai dettagli e la conseguente perdita della sicurezza che era prevista.
Skaperen,

1
Sono completamente d'accordo; anche se il modo in cui viene eseguita la maggior parte degli audit PCI-DSS (audit di scimmia con checklist) è tutta una sicurezza pigra e porta quei difetti.
MadHatter

Per coloro che sostengono che NAT sia "teatro della sicurezza", vorrei segnalare l'articolo di The Networking Nerd sulla vulnerabilità di Memcached qualche mese fa. networkingnerd.net/2018/03/02/… È un avido sostenitore di IPv6 e un odiatore della NAT, ma ha dovuto sottolineare che migliaia di aziende avevano lasciato i loro server memcached spalancati su Internet a causa delle regole del firewall che "non erano realizzato con cura ". NAT ti obbliga a essere esplicito su ciò che permetti nella tua rete.
Kevin Keane,

12

Ci vorrà (purtroppo) un po 'di tempo prima che tu possa scappare con una rete solo IPv6 a stack singolo. Fino ad allora, dual-stack con preferenza per IPv6 quando disponibile è il modo per eseguire.

Mentre la maggior parte dei router consumer non supporta IPv6 con firmware di serie oggi, molti possono supportarlo con firmware di terze parti (ad es. Linksys WRT54G con dd-wrt, ecc.). Inoltre, molti dispositivi di livello aziendale (Cisco, Juniper) supportano IPv6 immediatamente.

È importante non confondere PAT (NAT molti-a-uno, come è comune sui router di consumo) con altre forme di NAT e con firewall senza NAT; quando Internet diventerà solo IPv6, i firewall impediranno comunque l'esposizione dei servizi interni. Allo stesso modo, un sistema IPv4 con NAT one-to-one non viene automaticamente protetto; questo è il compito di una politica del firewall.


11

C'è molta confusione su questo argomento, poiché gli amministratori di rete vedono il NAT in una luce e i clienti delle piccole imprese e residenziali lo vedono in un'altra. Vorrei chiarire.

Il NAT statico (a volte chiamato NAT one-to-one) non offre assolutamente alcuna protezione per la tua rete privata o un singolo PC. La modifica dell'indirizzo IP non ha senso per quanto riguarda la protezione.

NAT / PAT con sovraccarico dinamico come quello che fanno la maggior parte dei gateway residenziali e degli AP wifi aiuta assolutamente a proteggere la tua rete privata e / o il tuo PC. In base alla progettazione, la tabella NAT in questi dispositivi è una tabella di stato. Tiene traccia delle richieste in uscita e le mappa nella tabella NAT - il timeout delle connessioni dopo un certo periodo di tempo. Tutti i frame in ingresso non richiesti che non corrispondono a ciò che si trova nella tabella NAT vengono eliminati per impostazione predefinita: il router NAT non sa dove inviarli nella rete privata, quindi li rilascia. In questo modo, l'unico dispositivo che stai lasciando vulnerabile agli hacker è il tuo router. Poiché la maggior parte degli exploit di sicurezza sono basati su Windows, avere un dispositivo come questo tra Internet e il PC Windows aiuta davvero a proteggere la tua rete. Potrebbe non essere la funzione originariamente prevista, che doveva salvare su IP pubblici, ma ha fatto il lavoro. Come bonus, la maggior parte di questi dispositivi ha anche funzionalità firewall che bloccano molte volte le richieste ICMP per impostazione predefinita, il che aiuta anche a proteggere la rete.

Alla luce delle informazioni di cui sopra, l'eliminazione di NAT quando si passa a IPv6 potrebbe esporre milioni di dispositivi consumer e di piccole imprese a potenziali hacker. Avrà un impatto minimo o nullo sulle reti aziendali in quanto hanno gestito in modo professionale i firewall al limite. Le reti dei consumatori e delle piccole imprese potrebbero non avere più un router NAT basato su * nix tra Internet e i loro PC. Non vi è alcun motivo per cui una persona non possa passare a una sola soluzione firewall: molto più sicura se distribuita correttamente, ma anche al di là di ciò che il 99% dei consumatori comprende come fare. Il NAT con sovraccarico dinamico offre un minimo di protezione semplicemente usandolo: collega il tuo router residenziale e sei protetto. Facile.

Detto questo, non vi è alcun motivo per cui NAT non possa essere utilizzato esattamente come viene utilizzato in IPv4. In effetti, un router potrebbe essere progettato per avere un indirizzo IPv6 sulla porta WAN con una rete privata IPv4 dietro di essa su cui NAT si trova (ad esempio). Questa sarebbe una soluzione semplice per i consumatori e le persone residenziali. Un'altra opzione è quella di mettere tutti i dispositivi con IP IPv6 pubblici: il dispositivo intermedio potrebbe quindi fungere da dispositivo L2, ma fornire una tabella di stato, l'ispezione dei pacchetti e un firewall perfettamente funzionante. In sostanza, nessun NAT, ma blocca comunque eventuali frame in entrata non richiesti. La cosa importante da ricordare è che non dovresti collegare i tuoi PC direttamente alla tua connessione WAN senza alcun dispositivo intermedio. A meno che ovviamente non si voglia fare affidamento sul firewall di Windows. . . e questa è una discussione diversa.

Ci saranno alcuni dolori crescenti che si spostano su IPv6, ma non c'è nessun problema che non sarà in grado di essere risolto abbastanza facilmente. Dovrai abbandonare il tuo vecchio router IPv4 o gateway residenziale? Forse, ma saranno disponibili nuove soluzioni economiche al momento opportuno. Spero che molti dispositivi abbiano solo bisogno di un flash del firmware. IPv6 potrebbe essere progettato per adattarsi meglio all'architettura attuale? Certo, ma è quello che è e non sta andando via - Quindi potresti anche impararlo, viverlo, amarlo.


3
Per quello che vale, vorrei ribadire che l'architettura attuale è sostanzialmente rotta (instradabilità end-to-end) e questo crea problemi pratici in reti complesse (i dispositivi NAT ridondanti sono eccessivamente complessi e costosi). Eliminare l'hack NAT ridurrà la complessità e i potenziali punti di errore, mentre la sicurezza è mantenuta da semplici firewall con stato (non posso immaginare per un secondo un router SOHO che arriva senza il firewall con stato abilitato di default in modo che i clienti possano plug-n-play senza un pensiero).
Chris S,

A volte la rotta end-to-end interrotta è esattamente ciò che desideri. Non voglio che le mie stampanti e il mio PC possano essere indirizzati da Internet. Mentre NAT ha iniziato come un hack, si è evoluto in uno strumento molto utilizzabile, che in alcuni casi può migliorare la sicurezza rimuovendo il potenziale per i pacchetti da indirizzare direttamente a un nodo. Se ho un IP RFC1918 assegnato staticamente su un PC, in nessun caso quell'IP sarà instradabile su Internet.
Computerguy,

6
La rotta interrotta è A Bad Thing ™ . Quello che vuoi è che i tuoi dispositivi non siano raggiungibili da Internet (dal firewall), non è la stessa cosa. Vedi Perché dovresti usare IPv6 internamente? . Inoltre, RFC1918 afferma che tali indirizzi dovrebbero essere utilizzati solo per reti private e l'accesso a Internet dovrebbe essere fornito solo da gateway a livello di applicazione (che NAT non è). Per le connessioni esterne all'host dovrebbe essere assegnato un indirizzo da un'allocazione coordinata IANA. Gli hack, non importa quanto utili, fanno compromessi inutili e non sono il modo "giusto".
Chris S,

10

Se NAT sopravvive nel mondo IPv6, molto probabilmente sarà NAT 1: 1. Una forma un NAT mai visto nello spazio IPv4. Che cos'è 1: 1 NAT? È una traduzione 1: 1 di un indirizzo globale in un indirizzo locale. L'equivalente IPv4 tradurrebbe tutte le connessioni in 1.1.1.2 solo in 10.1.1.2 e così via per l'intero spazio 1.0.0.0/8. La versione IPv6 sarebbe quella di tradurre un indirizzo globale in un indirizzo locale univoco.

La sicurezza avanzata potrebbe essere fornita ruotando frequentemente la mappatura degli indirizzi che non ti interessano (come gli utenti degli uffici interni che navigano su Facebook). Internamente, i tuoi numeri ULA rimarrebbero gli stessi, quindi il tuo DNS a orizzonte diviso continuerebbe a funzionare bene, ma i client esterni non sarebbero mai su una porta prevedibile.

Ma in realtà, è una piccola quantità di sicurezza migliorata per la seccatura che crea. La scansione di sottoreti IPv6 è un compito davvero grande ed è impossibile senza qualche ricognizione su come gli indirizzi IP sono assegnati su quelle sottoreti (metodo di generazione MAC? Metodo casuale? Assegnazione statica di indirizzi leggibili dall'uomo?).

Nella maggior parte dei casi, ciò che accadrà è che i client dietro il firewall aziendale riceveranno un indirizzo globale, forse un ULA, e il firewall perimetrale verrà impostato per negare tutte le connessioni in entrata di qualsiasi tipo a quegli indirizzi. A tutti gli effetti, tali indirizzi non sono raggiungibili dall'esterno. Una volta che il client interno avvia una connessione, i pacchetti saranno autorizzati attraverso quella connessione. La necessità di cambiare l'indirizzo IP in qualcosa di completamente diverso viene gestita forzando un utente malintenzionato a sfogliare tra 2 ^ 64 possibili indirizzi su quella sottorete.


@ sysadmin1138: mi piace questa soluzione. Come attualmente capisco IPv6, se il mio ISP mi dà un / 64, dovrei usarlo / 64 su tutta la mia rete se voglio che le mie macchine siano accessibili a Internet IPv6. Ma se mi stufo di quell'ISP e mi sposto in un altro, ora devo rinumerare completamente tutto.
Kumba,

1
@ sysadmin1138: Detto questo, tuttavia, ho notato che posso assegnare più IP a una singola interfaccia molto più facilmente rispetto a IPv4, quindi posso prevedere di utilizzare l'ISP-dato / 64 per l'accesso esterno e il mio schema ULA interno privato per comunica tra host e utilizza un firewall per rendere gli indirizzi ULA irraggiungibili dall'esterno. Sono necessarie ulteriori operazioni di installazione, ma sembra che eviterà del tutto il NAT.
Kumba,

@ sysadmin1138: ANCORA mi gratto il motivo per cui gli ULA sono, a tutti gli effetti, privati, ma si prevede che saranno ancora unici a livello globale. È come dire che posso avere un'auto di qualsiasi marca e modello attualmente disponibile, ma non qualsiasi marca / modello / anno già utilizzata da qualcun altro, anche se è la mia auto e sarò l'unico pilota che abbia mai avuto.
Kumba,

2
@Kumba Il motivo per cui gli indirizzi RFC 4193 dovrebbero essere univoci a livello globale è assicurarsi che non sarà necessario rinumerare in futuro. Forse un giorno dovresti unire due reti usando gli indirizzi RFC 4193, oppure una macchina che potrebbe già avere un indirizzo RFC 4193 potrebbe aver bisogno di connettersi a una o più VPN, che hanno anche indirizzi RFC 4193.
Kasperd,

1
@Kumba Se tutti usassero fd00 :: / 64 per il primo segmento della propria rete, allora si verificherebbe sicuramente un conflitto non appena una coppia di due di tali reti dovesse comunicare. Il punto di RFC 4193 è che finché scegli i tuoi 40 bit in modo casuale, puoi assegnare i restanti 80 bit come preferisci e rimanere fiducioso, che non dovrai rinumerare.
Kasperd,

9

RFC 4864 descrive la protezione della rete locale IPv6 , un insieme di approcci per fornire i benefici percepiti del NAT in un ambiente IPv6, senza dover ricorrere al NAT.

Questo documento ha descritto una serie di tecniche che possono essere combinate su un sito IPv6 per proteggere l'integrità della sua architettura di rete. Queste tecniche, note collettivamente come Protezione della rete locale, mantengono il concetto di un confine ben definito tra "dentro" e "fuori" dalla rete privata e consentono firewall, nascondimenti di topologie e privacy. Tuttavia, poiché mantengono la trasparenza degli indirizzi laddove necessario, raggiungono questi obiettivi senza lo svantaggio della traduzione degli indirizzi. Pertanto, la protezione della rete locale in IPv6 può offrire i vantaggi della traduzione dell'indirizzo di rete IPv4 senza i relativi svantaggi.

Descrive dapprima quali sono i benefici percepiti di NAT (e li elimina se del caso), quindi descrive le caratteristiche di IPv6 che possono essere utilizzate per fornire gli stessi benefici. Fornisce inoltre note di implementazione e case study.

Sebbene sia troppo lungo per ristampare qui, i vantaggi discussi sono:

  • Un semplice gateway tra "dentro" e "fuori"
  • Il firewall con stato
  • Tracciamento utente / applicazione
  • Privacy e topologia nascosti
  • Controllo indipendente di indirizzamento in una rete privata
  • Multihoming / rinumerazione

Questo praticamente copre tutti gli scenari in cui si sarebbe potuto desiderare NAT e offre soluzioni per implementarli in IPv6 senza NAT.

Alcune delle tecnologie che utilizzerai sono:

  • Indirizzi locali univoci: preferisci questi sulla tua rete interna per mantenere le comunicazioni interne interne e per garantire che le comunicazioni interne possano continuare anche se l'ISP ha un'interruzione.
  • Estensioni di privacy IPv6 con durata degli indirizzi brevi e identificatori di interfaccia non ovviamente strutturati: aiutano a prevenire l'attacco di singoli host e la scansione di sottoreti.
  • IGP, Mobile IPv6 o VLAN possono essere utilizzati per nascondere la topologia della rete interna.
  • Insieme agli ULA, DHCP-PD dell'ISP semplifica la rinumerazione / multihoming rispetto a IPv4.

( Vedi RFC per i dettagli completi; di nuovo, è troppo lungo per ristampare o addirittura prendere estratti significativi.)

Per una discussione più generale sulla sicurezza della transizione IPv6, vedere RFC 4942 .


8

Tipo. Esistono effettivamente "tipi" diversi di indirizzi IPv6. Il più vicino a RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) è chiamato "Indirizzo locale univoco" ed è definito in RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Quindi inizi con fd00 :: / 8, quindi aggiungi una stringa a 40 bit (usando un algoritmo predefinito in RFC!) E finisci con un prefisso pseudo-casuale / 48 che dovrebbe essere univoco a livello globale. Hai il resto dello spazio degli indirizzi da assegnare come desideri.

Dovresti anche bloccare fd00 :: / 7 (fc00 :: / 8 e fd00 :: / 8) sul tuo router (IPv6) all'esterno dell'organizzazione, da cui "locale" nel nome dell'indirizzo. Questi indirizzi, mentre si trovano nello spazio degli indirizzi globali, non dovrebbero essere raggiungibili dal mondo in generale, ma solo all'interno della tua "organizzazione".

Se i server PCI-DSS necessitano di un IPv6 per la connettività ad altri host IPv6 interni, è necessario generare un prefisso ULA per la propria azienda e utilizzarlo a tale scopo. Se lo desideri, puoi utilizzare la configurazione automatica di IPv6 come qualsiasi altro prefisso.

Dato che IPv6 è stato progettato in modo tale che gli host possano avere più indirizzi, una macchina può avere, oltre a un ULA, anche un indirizzo indirizzabile a livello globale. Quindi un web server che deve parlare sia con il mondo esterno, sia con le macchine interne, può avere sia un indirizzo prefex assegnato dall'ISP sia il prefisso ULA.

Se vuoi funzionalità simili a NAT puoi guardare anche NAT66, ma in generale progetterei l'ULA. Se hai ulteriori domande, ti consigliamo di consultare la mailing list "ipv6-ops".


1
Hah. Scrivo tutti questi commenti su sysadmin1138 e non ho nemmeno pensato di esaminare la tua risposta sull'utilizzo di indirizzi doppi per comunicazioni globali e locali. Tuttavia, non sono d'accordo con veemenza con i precetti dell'ULA che devono essere unici a livello globale. NON MI PIACE randomizzato, i numeri a 40 bit a tutti , soprattutto per la mia rete LAN interna, di cui io sono l'unico utente. Probabilmente hanno bisogno di un database mondiale di ULA per essere registrati (SixXS esegue tale), ma lasciano cadere il pasticcio di numeri casuali e lasciano che le persone siano creative. Come targhe personalizzate. Fai domanda per uno e se è preso, provi per un altro.
Kumba,

1
@Kumba stanno cercando di fermare ogni singola rete usando gli stessi indirizzi - a caso significa che non hai bisogno di un database pubblico e ogni rete è indipendente; se si desidera emettere indirizzi IP centralmente, utilizzare solo quelli globali!
Richard Gadsden,

@Richard: È un ... Come posso dirlo, concetto sciocco, IMHO. Perché dovrebbe importare se la piccola Joe Company in una città del Montana utilizza lo stesso indirizzo IPv6 di un'altra piccola azienda a Perth, in Australia? Le probabilità che i due attraversino sempre, anche se non impossibile, sono piuttosto improbabili. Se l'intenzione dei progettisti di IPv6 era di cercare di eliminare completamente il concetto di "reti private", allora hanno bisogno di controllare il loro caffè, perché non è realisticamente fattibile.
Kumba,

2
@Kumba Penso che siano le cicatrici di quando provi a unire due grandi reti private IPv4 in 10/8 e devi rinumerare una (o anche entrambe) che stanno cercando di evitare.
Richard Gadsden,

2
@Richard: Esatto, non c'è niente di più doloroso che usare VPN per connettersi a un'altra rete con la stessa sottorete privata, alcune implementazioni smetteranno di funzionare.
Hubert Kario,

4

IMHO: no.

Ci sono ancora alcuni posti in cui SNAT / DNAT può essere utile. Ad esempio alcuni server sono stati spostati su un'altra rete, ma non vogliamo / non possiamo cambiare l'IP dell'applicazione.


1
È necessario utilizzare nomi DNS anziché indirizzi IP nelle configurazioni dell'applicazione.
rmalayter,

Il DNS non risolve il problema, se è necessario creare un percorso di rete senza modificare l'intera topologia di routing e le regole di firewalling.
sumar,

3

Eventualmente, NAT andrà via per sempre. È utile solo quando si dispone di una scarsità di indirizzo IP e non dispone di funzionalità di sicurezza che non sono fornite meglio, più economiche e più facilmente gestite da un firewall stateful.

Poiché IPv6 = non più scarsità, significa che possiamo liberare il mondo dal brutto hack che è NAT.


3

Non ho visto una risposta definitiva su come la perdita di NAT (se davvero scompare) con IPv6 influenzerà la privacy degli utenti.

Con gli indirizzi IP dei singoli dispositivi esposti pubblicamente, sarà molto più facile per i servizi Web monitorare (raccogliere, archiviare, aggregare nel tempo, nello spazio e nei siti e facilitare una moltitudine di usi secondari) i tuoi viaggi su Internet dai tuoi vari dispositivi. A meno che ... Gli ISP, i router e altre apparecchiature rendano possibile e facile avere indirizzi IPv6 dinamici che possono essere cambiati frequentemente per ogni dispositivo.

Ovviamente, qualunque cosa avremo ancora il problema che gli indirizzi MAC Wi-Fi statici siano pubblici, ma questa è un'altra storia ...


2
Devi solo abilitare gli indirizzi di privacy. Ciò ti darà la stessa privacy che un NAT avrebbe fatto. Inoltre, utilizzando IPv6 sarai molto meno esposto ai problemi causati da una scarsa selezione dell'IPID.
Kasperd,

2

Esistono molti schemi per supportare NAT in uno scenario di transizione da V4 a V6. Tuttavia, se si dispone di una rete interamente IPV6 e ci si connette a un provider IPV6 a monte, NAT non fa parte del nuovo ordine mondiale, tranne per il fatto che è possibile eseguire il tunneling tra le reti V4 su reti V6.

Cisco ha molte informazioni generali su scenari 4to6, migrazione e tunneling.

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

Anche su Wikipedia:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms


2

La politica e le pratiche commerciali di base favoriranno molto probabilmente l'esistenza del NAT. La pletora di indirizzi IPv6 significa che gli ISP saranno tentati di addebitare per dispositivo o limitare le connessioni solo a un numero limitato di dispositivi. Vedi questo recente articolo su /. per esempio:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device


2
Non sono così sicuro. Penso che ci sarà una grande rivolta tecnica contro qualsiasi ISP che tenta di caricare per dispositivo. Anche se riesco a capire perché gli ISP dovrebbero saltare a questa idea, perché ora possono effettivamente dire quanti dispositivi si trovano all'altra estremità di una connessione.
Mark Henderson

1
Data la mossa di fornire un certo livello di anonimato utilizzando indirizzi temporanei per le connessioni in uscita, l'applicazione delle regole per dispositivo sarebbe complessa, se non impossibile. Un dispositivo potrebbe avere 2 o più indirizzi globali attivi nell'ambito di questo schema, oltre a qualsiasi altro assegnato.
BillThor,

2
@Mark Henderson - Esistono già ISP che caricano per dispositivo. AT&T, ad esempio, addebita un supplemento per il "tethering".
Richard Gadsden,

1
@Richard - se fosse così, se fossi con AT&T li lascerei cadere come fa caldo
Mark Henderson

@Mark - Questo è AT&T wireless (guarda i contratti di iPhone, per esempio).
Richard Gadsden,

-2

Cordiali saluti, chiunque sia interessante sta usando NAT / NAPT con IPV6 possibile. Tutti i sistemi operativi BSD che dispongono di PF supportano NAT66. Funziona alla grande. Da un blog abbiamo usato :

ipv6 nat (nat66) di FreeBSD pf

sebbene nat66 sia ancora in fase di bozza, ma FreeBSD pf lo supporta già da molto tempo.

(modifica pf.conf e inserisci i seguenti codici)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

Siete a posto!

Funziona alla grande per noi gente che usa calamari con un singolo indirizzo IP da anni. Con IPv6 NAT, posso ottenere 2 ^ 120 indirizzi privati ​​(sito locale) che include 2 ^ 56 subnet lunghe con le mie subnet 5/64. Ciò significa che devo essere 100 miliardi di volte più intelligente di qualsiasi altro guru IPv6 qui perché ho più indirizzi

La verità è che solo perché ho più indirizzi (o forse ho usato IPv6 più a lungo di te), in realtà non migliora IPv6 (o me per lo stesso problema). Tuttavia, rende IPv6 più complesso laddove è richiesto un firewall al posto di PAT e NAT non è più un requisito, ma è un'opzione. L'obiettivo del firewall è consentire tutte le connessioni in uscita e mantenere lo stato, ma bloccare le connessioni avviate in entrata.

Per quanto riguarda NAPT (NAT con PAT), ci vorrà del tempo per far uscire le persone dalla mentalità. Ad esempio, finché non riusciremo a convincere il tuo bisnonno a configurare il proprio firewall IPv6 senza indirizzamento sito locale (indirizzi privati) e senza assistenza del guru, potrebbe essere una buona idea giocare con la possibile idea di NAT poiché sarà tutto quello che sa.


2
La tua attrezzatura SOHO media che alla fine supporta IPv6 arriverà quasi sicuramente senza NAT IPv6 (che il NAT66 che stai citando non funziona come NATv4, ma lo faremo comunque) e verrà fornito con un valore predefinito per negare la regola per il traffico in entrata (insieme a consentire connessioni in uscita in modo statico) che fornisce quasi la stessa sicurezza dell'attrezzatura SOHO IPv4 di oggi. Come altri hanno sottolineato, comprendiamo che le persone diventano compiacenti e a loro agio con le loro tecnologie di hacking, ciò non significa che siano necessarie o poco più che un teatro della sicurezza.
Chris S,

NAT66 non deve funzionare allo stesso modo di NAT44. Deve solo suonare lo stesso in modo che possiamo chiamare le persone più velocemente su IPv6. Una volta che sono entrati in IPv6, dovremmo essere in grado di lavorare in gruppo per ottenere la corretta configurazione di un firewall. O lavoriamo in gruppo o dobbiamo iniziare a utilizzare NAT44444. La tua scelta.
gnarlymarley,

Non è solo PF. In termini pratici, la maggior parte dei router può eseguire lo stesso tipo di NAT su IPv6 come su IPv4, appena accigliato. Ho visto questa funzione nei router Fortinet e OpenWRT.
Kevin Keane,

-2

Le recenti proposte avanzate per ipv6 hanno suggerito che gli ingegneri che lavorano sulla nuova tecnologia incorporeranno NAT in ipv6, motivo dato: NAT offre un ulteriore livello di sicurezza

La documentazione è sul sito Web ipv6.com, quindi sembrerebbe che tutte queste risposte affermando che NAT offre nessuna sicurezza sembrano un po 'imbarazzate


1
Forse potresti ampliare esattamente ciò che riguarda NAT e pensi che offra un ulteriore livello di sicurezza? In particolare, quale rischio contro quale particolare minaccia è mitigata?
Crescere il

La "sicurezza" fornita da NAT è l'offuscamento e la forzatura di una rete in una posizione di negazione predefinita, la prima è discutibile mentre la seconda è una buona idea. Default-deny può essere raggiunto con altri mezzi con la stessa facilità e IPv6 rimuove uno dei principali motivi tecnici per NAT: scarsità IP.
sysadmin1138

2
C'è una pagina su IPv6.com su NAT . Tra le altre cose, ha questo da dire: "Il problema della sicurezza viene spesso utilizzato nella difesa del processo di traduzione degli indirizzi di rete. Tuttavia, il principio fondamentale di Internet è offrire una connettività end-to-end alle diverse risorse di rete. " e anche questo: "Poiché IPv6 sostituisce lentamente il protocollo IPv4, il processo di traduzione degli indirizzi di rete diventerà ridondante e inutile."
Ladadadada,

-6

Mi rendo conto che in futuro (inevitabilmente ipotizzabile) gli indirizzi IPv4 regionali finiranno inevitabilmente. Sono d'accordo che IPv6 presenta alcuni gravi svantaggi per l'utente. Il problema del NAT è estremamente importante in quanto fornisce intrinsecamente sicurezza, ridondanza, privacy e consente agli utenti di connettere quasi tutti i dispositivi che desiderano senza restrizioni. Sì, un firewall è lo standard di riferimento contro le intrusioni indesiderate della rete, ma NAT non solo aggiunge un altro livello di protezione, ma fornisce anche una progettazione sicura di default indipendentemente dalla configurazione del firewall o dalle conoscenze dell'utente finale, indipendentemente da come lo si definisce IPv4 con NAT e un firewall è ancora più sicuro per impostazione predefinita rispetto a IPv6 con solo un firewall. Un altro problema è la privacy, avere un indirizzo instradabile su Internet su ogni dispositivo aprirà gli utenti a tutti i tipi di potenziali violazioni della privacy, raccolta di informazioni personali e tracciamento in modi che difficilmente sono oggi immaginabili in tale massa. Sono anche dell'opinione che senza Nat potremmo essere aperti a costi aggiuntivi e controllo tramite Isp. Gli ISP potrebbero iniziare a caricarsi per dispositivo o per tassi di utilizzo degli utenti come già vediamo con il tethering USB, ciò ridurrebbe notevolmente la libertà dell'utente finale di connettere apertamente qualsiasi dispositivo che ritenga idoneo sulla linea. A partire da ora pochi ISP statunitensi offrono IPv6 in qualsiasi forma e ritengo che le attività non tecnologiche saranno lente a cambiare a causa del costo aggiunto con poco o nessun valore acquisito.


4
NAT è un'illusione di sicurezza.
Skaperen,

4
NAT non fornisce alcuna protezione. È il firewall automatico che ottieni con NAT che fornisce qualsiasi "protezione" di cui potresti godere mentre ti godi anche tutti gli svantaggi di NAT.
Michael Hampton
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.