Innanzitutto, non c'è nulla da temere dall'essere su un'allocazione IP pubblica, purché i dispositivi di sicurezza siano configurati correttamente.
Con cosa dovrei sostituire NAT, se non abbiamo reti fisicamente separate?
La stessa cosa con cui li separiamo fisicamente dagli anni '80, router e firewall. L'unico grande vantaggio in termini di sicurezza che si ottiene con NAT è che ti costringe a una configurazione di rifiuto predefinito. Per ottenere qualsiasi servizio attraverso di esso, è necessario eseguire esplicitamente i fori. I dispositivi più elaborati ti consentono persino di applicare ACL basati su IP a quei buchi, proprio come un firewall. Probabilmente perché hanno "Firewall" sulla scatola, in realtà.
Un firewall configurato correttamente fornisce esattamente lo stesso servizio di un gateway NAT. I gateway NAT sono spesso utilizzati perché sono più facili da accedere a una configurazione sicura rispetto alla maggior parte dei firewall.
Ho sentito che IPv6 e IPSEC dovrebbero rendere tutto questo sicuro in qualche modo, ma senza reti fisicamente separate che rendono questi dispositivi invisibili a Internet, non riesco davvero a vedere come.
Questo è un malinteso. Lavoro per un'università che ha un'allocazione IPv4 / 16 e la stragrande maggioranza del nostro consumo di indirizzi IP è destinata a tale allocazione pubblica. Certamente tutte le nostre workstation e stampanti per utenti finali. Il nostro consumo di RFC1918 è limitato ai dispositivi di rete e ad alcuni server specifici dove sono richiesti tali indirizzi. Non sarei sorpreso se tu brividi solo ora, perché l'ho fatto sicuramente quando mi sono presentato il mio primo giorno e ho visto il post-it sul mio monitor con il mio indirizzo IP.
Eppure sopravviviamo. Perché? Perché abbiamo un firewall esterno configurato per default-deny con throughput ICMP limitato. Solo perché 140.160.123.45 è teoricamente instradabile, non significa che puoi arrivarci ovunque tu sia su Internet pubblico. Questo è ciò che i firewall sono stati progettati per fare.
Date le giuste configurazioni del router e diverse sottoreti nella nostra allocazione possono essere completamente irraggiungibili l'una dall'altra. Puoi farlo nelle tabelle dei router o nei firewall. Questa è una rete separata e in passato ha soddisfatto i nostri revisori della sicurezza.
Non c'è modo all'inferno di mettere il nostro database di fatturazione (con molte informazioni sulla carta di credito!) Su Internet affinché tutti possano vederlo.
Il nostro database di fatturazione si trova su un indirizzo IPv4 pubblico ed è stato per tutta la sua esistenza, ma abbiamo la prova che non puoi arrivarci da qui. Solo perché un indirizzo è nell'elenco di instradamento v4 pubblico non significa che sia garantito che venga consegnato. I due firewall tra i mali di Internet e le attuali porte del database filtrano il male. Anche dalla mia scrivania, dietro il primo firewall, non riesco ad accedere a quel database.
Le informazioni sulla carta di credito sono un caso speciale. Ciò è soggetto agli standard PCI-DSS e gli standard dichiarano direttamente che i server che contengono tali dati devono essere dietro un gateway NAT 1 . I nostri sono e questi tre server rappresentano l'utilizzo totale del nostro server degli indirizzi RFC1918. Non aggiunge alcuna sicurezza, solo un livello di complessità, ma dobbiamo spuntare quella casella per i controlli.
L'idea originale "IPv6 rende il NAT un ricordo del passato" è stata proposta prima che il boom di Internet raggiungesse davvero il mainstream. Nel 1995 NAT era una soluzione alternativa per aggirare una piccola allocazione IP. Nel 2005 è stato sancito in molti documenti sulle migliori pratiche di sicurezza e in almeno uno dei principali standard (PCI-DSS per essere specifici). L'unico vantaggio concreto che NAT offre è che un'entità esterna che esegue la ricognizione sulla rete non sa come appare il panorama IP dietro il dispositivo NAT (anche se grazie a RFC1918 hanno una buona ipotesi), e su IPv4 privo di NAT (tale come il mio lavoro) non è così. È un piccolo passo nella difesa in profondità, non un grande passo.
La sostituzione per gli indirizzi RFC1918 sono quelli che vengono chiamati indirizzi locali univoci. Come RFC1918, non instradano a meno che i peer non concordino espressamente di lasciarli instradare. A differenza di RFC1918, sono (probabilmente) globalmente unici. I traduttori di indirizzi IPv6 che traducono un ULA in un IP globale esistono negli ingranaggi perimetrali di gamma superiore, sicuramente non ancora negli ingranaggi SOHO.
Puoi sopravvivere bene con un indirizzo IP pubblico. Tieni presente che "pubblico" non garantisce "raggiungibile" e andrà tutto bene.
Aggiornamento 2017
Negli ultimi mesi, Amazon Aws ha aggiunto il supporto IPv6. È stato appena aggiunto alla loro offerta amazon-vpc e la loro implementazione fornisce alcuni indizi su come ci si aspetta che vengano implementate su larga scala.
- Viene assegnata un'allocazione / 56 (256 subnet).
- L'allocazione è una sottorete completamente instradabile.
- Dovresti impostare le regole del firewall ( gruppi di sicurezza ) in modo appropriato restrittivo.
- Non esiste un NAT, non è nemmeno offerto, quindi tutto il traffico in uscita proviene dall'indirizzo IP effettivo dell'istanza.
Per aggiungere uno dei vantaggi in termini di sicurezza di NAT, ora offrono un gateway Internet solo per uscita . Ciò offre un vantaggio simile al NAT:
- Le sottoreti dietro di essa non sono accessibili direttamente da Internet.
Ciò fornisce un livello di difesa approfondito, nel caso in cui una regola del firewall configurata in modo errato consenta accidentalmente il traffico in entrata.
Questa offerta non traduce l'indirizzo interno in un singolo indirizzo come fa NAT. Il traffico in uscita avrà ancora l'IP di origine dell'istanza che ha aperto la connessione. Gli operatori di firewall che cercano di inserire nella whitelist le risorse nel VPC si troveranno meglio rispetto ai netblock della whitelist, piuttosto che a specifici indirizzi IP.
Instradabile non significa sempre raggiungibile .
1 : Gli standard PCI-DSS sono cambiati nell'ottobre 2010, la dichiarazione che impone gli indirizzi RFC1918 è stata rimossa e "isolamento di rete" lo ha sostituito.