Il passaggio a IPv6 implica l'abbandono del NAT. Questa è una buona cosa?

Questa è una domanda canonica su IPv6 e NAT

Relazionato:

• Come funziona la sottorete IPv6 e in cosa differisce dalla sottorete IPv4?
• Come posso "immergere le dita dei piedi" nell'indirizzamento dinamico della rete IPv6?
• IPv6 senza nat ma che dire di una modifica isp?

Quindi il nostro ISP ha recentemente impostato IPv6 e ho studiato cosa dovrebbe comportare la transizione prima di buttarmi nella mischia.

Ho notato tre problemi molto importanti:

1. Il nostro router NAT per ufficio (un vecchio BEFSR41 di Linksys) non supporta IPv6. Né alcun router più recente, AFAICT. Il libro che sto leggendo su IPv6 mi dice che rende NAT "inutile" comunque.

2. Se dovessimo semplicemente sbarazzarci di questo router e collegare tutto direttamente a Internet, comincio a farmi prendere dal panico. Non c'è modo all'inferno di mettere il nostro database di fatturazione (con molte informazioni sulla carta di credito!) Su Internet affinché tutti possano vederlo. Anche se dovessi proporre di installare il firewall di Windows su di esso per consentire a solo 6 indirizzi di accedervi, mi sento comunque sudare freddo. Non mi fido di Windows, del firewall di Windows o della rete abbastanza grande da essere a mio agio in remoto.

3. Ci sono alcuni vecchi dispositivi hardware (cioè stampanti) che non hanno assolutamente alcuna capacità IPv6. E probabilmente un elenco di problemi di sicurezza risalenti al 1998. Probabilmente non c'è modo di correggerli in alcun modo. E nessun finanziamento per le nuove stampanti.

Ho sentito che IPv6 e IPSEC dovrebbero rendere tutto questo sicuro in qualche modo, ma senza reti fisicamente separate che rendono questi dispositivi invisibili a Internet, non riesco davvero a vedere come. Allo stesso modo, posso davvero vedere come tutte le difese che creo verranno superate in breve tempo. Ho gestito server su Internet ormai da anni e ho una certa familiarità con il genere di cose necessarie per proteggerli, ma mettere qualcosa di privato sulla rete come il nostro database di fatturazione è sempre stato del tutto fuori questione.

Con cosa dovrei sostituire NAT, se non abbiamo reti fisicamente separate?

Innanzitutto, non c'è nulla da temere dall'essere su un'allocazione IP pubblica, purché i dispositivi di sicurezza siano configurati correttamente.

Con cosa dovrei sostituire NAT, se non abbiamo reti fisicamente separate?

La stessa cosa con cui li separiamo fisicamente dagli anni '80, router e firewall. L'unico grande vantaggio in termini di sicurezza che si ottiene con NAT è che ti costringe a una configurazione di rifiuto predefinito. Per ottenere qualsiasi servizio attraverso di esso, è necessario eseguire esplicitamente i fori. I dispositivi più elaborati ti consentono persino di applicare ACL basati su IP a quei buchi, proprio come un firewall. Probabilmente perché hanno "Firewall" sulla scatola, in realtà.

Un firewall configurato correttamente fornisce esattamente lo stesso servizio di un gateway NAT. I gateway NAT sono spesso utilizzati perché sono più facili da accedere a una configurazione sicura rispetto alla maggior parte dei firewall.

Ho sentito che IPv6 e IPSEC dovrebbero rendere tutto questo sicuro in qualche modo, ma senza reti fisicamente separate che rendono questi dispositivi invisibili a Internet, non riesco davvero a vedere come.

Questo è un malinteso. Lavoro per un'università che ha un'allocazione IPv4 / 16 e la stragrande maggioranza del nostro consumo di indirizzi IP è destinata a tale allocazione pubblica. Certamente tutte le nostre workstation e stampanti per utenti finali. Il nostro consumo di RFC1918 è limitato ai dispositivi di rete e ad alcuni server specifici dove sono richiesti tali indirizzi. Non sarei sorpreso se tu brividi solo ora, perché l'ho fatto sicuramente quando mi sono presentato il mio primo giorno e ho visto il post-it sul mio monitor con il mio indirizzo IP.

Eppure sopravviviamo. Perché? Perché abbiamo un firewall esterno configurato per default-deny con throughput ICMP limitato. Solo perché 140.160.123.45 è teoricamente instradabile, non significa che puoi arrivarci ovunque tu sia su Internet pubblico. Questo è ciò che i firewall sono stati progettati per fare.

Date le giuste configurazioni del router e diverse sottoreti nella nostra allocazione possono essere completamente irraggiungibili l'una dall'altra. Puoi farlo nelle tabelle dei router o nei firewall. Questa è una rete separata e in passato ha soddisfatto i nostri revisori della sicurezza.

Non c'è modo all'inferno di mettere il nostro database di fatturazione (con molte informazioni sulla carta di credito!) Su Internet affinché tutti possano vederlo.

Il nostro database di fatturazione si trova su un indirizzo IPv4 pubblico ed è stato per tutta la sua esistenza, ma abbiamo la prova che non puoi arrivarci da qui. Solo perché un indirizzo è nell'elenco di instradamento v4 pubblico non significa che sia garantito che venga consegnato. I due firewall tra i mali di Internet e le attuali porte del database filtrano il male. Anche dalla mia scrivania, dietro il primo firewall, non riesco ad accedere a quel database.

Le informazioni sulla carta di credito sono un caso speciale. Ciò è soggetto agli standard PCI-DSS e gli standard dichiarano direttamente che i server che contengono tali dati devono essere dietro un gateway NAT ¹ . I nostri sono e questi tre server rappresentano l'utilizzo totale del nostro server degli indirizzi RFC1918. Non aggiunge alcuna sicurezza, solo un livello di complessità, ma dobbiamo spuntare quella casella per i controlli.

L'idea originale "IPv6 rende il NAT un ricordo del passato" è stata proposta prima che il boom di Internet raggiungesse davvero il mainstream. Nel 1995 NAT era una soluzione alternativa per aggirare una piccola allocazione IP. Nel 2005 è stato sancito in molti documenti sulle migliori pratiche di sicurezza e in almeno uno dei principali standard (PCI-DSS per essere specifici). L'unico vantaggio concreto che NAT offre è che un'entità esterna che esegue la ricognizione sulla rete non sa come appare il panorama IP dietro il dispositivo NAT (anche se grazie a RFC1918 hanno una buona ipotesi), e su IPv4 privo di NAT (tale come il mio lavoro) non è così. È un piccolo passo nella difesa in profondità, non un grande passo.

La sostituzione per gli indirizzi RFC1918 sono quelli che vengono chiamati indirizzi locali univoci. Come RFC1918, non instradano a meno che i peer non concordino espressamente di lasciarli instradare. A differenza di RFC1918, sono (probabilmente) globalmente unici. I traduttori di indirizzi IPv6 che traducono un ULA in un IP globale esistono negli ingranaggi perimetrali di gamma superiore, sicuramente non ancora negli ingranaggi SOHO.

Puoi sopravvivere bene con un indirizzo IP pubblico. Tieni presente che "pubblico" non garantisce "raggiungibile" e andrà tutto bene.

Aggiornamento 2017

Negli ultimi mesi, Amazon Aws ha aggiunto il supporto IPv6. È stato appena aggiunto alla loro offerta amazon-vpc e la loro implementazione fornisce alcuni indizi su come ci si aspetta che vengano implementate su larga scala.

• Viene assegnata un'allocazione / 56 (256 subnet).
• L'allocazione è una sottorete completamente instradabile.
• Dovresti impostare le regole del firewall ( gruppi di sicurezza ) in modo appropriato restrittivo.
• Non esiste un NAT, non è nemmeno offerto, quindi tutto il traffico in uscita proviene dall'indirizzo IP effettivo dell'istanza.

Per aggiungere uno dei vantaggi in termini di sicurezza di NAT, ora offrono un gateway Internet solo per uscita . Ciò offre un vantaggio simile al NAT:

• Le sottoreti dietro di essa non sono accessibili direttamente da Internet.

Ciò fornisce un livello di difesa approfondito, nel caso in cui una regola del firewall configurata in modo errato consenta accidentalmente il traffico in entrata.

Questa offerta non traduce l'indirizzo interno in un singolo indirizzo come fa NAT. Il traffico in uscita avrà ancora l'IP di origine dell'istanza che ha aperto la connessione. Gli operatori di firewall che cercano di inserire nella whitelist le risorse nel VPC si troveranno meglio rispetto ai netblock della whitelist, piuttosto che a specifici indirizzi IP.

Instradabile non significa sempre raggiungibile .

¹ : Gli standard PCI-DSS sono cambiati nell'ottobre 2010, la dichiarazione che impone gli indirizzi RFC1918 è stata rimossa e "isolamento di rete" lo ha sostituito.

Il nostro router NAT per ufficio (un vecchio BEFSR41 di Linksys) non supporta IPv6. Né alcun router più recente

IPv6 è supportato da molti router. Solo che non molti di quelli economici rivolti ai consumatori e SOHO. Nel peggiore dei casi, basta usare un box Linux o eseguire nuovamente il flashing del router con dd-wrt o qualcosa del genere per ottenere il supporto IPv6. Ci sono molte opzioni, probabilmente devi solo sembrare più difficile.

Se dovessimo semplicemente sbarazzarci di questo router e collegare tutto direttamente a Internet,

Nulla di una transizione verso IPv6 suggerisce che dovresti sbarazzarti dei dispositivi di sicurezza perimetrali, come il tuo router / firewall. Router e firewall saranno comunque un componente richiesto praticamente di ogni rete.

Tutti i router NAT funzionano efficacemente come firewall stateful. Non c'è nulla di magico nell'uso degli indirizzi RFC1918 che ti proteggono così tanto. È il bit stateful che fa il duro lavoro. Un firewall configurato correttamente ti proteggerà altrettanto bene se stai utilizzando indirizzi reali o privati.

L'unica protezione che ricevi dagli indirizzi RFC1918 è che consente alle persone di cavarsela con errori / pigrizia nella configurazione del tuo firewall e di non essere ancora così vulnerabile.

Ci sono alcuni vecchi dispositivi hardware (cioè stampanti) che non hanno assolutamente alcuna capacità IPv6.

Così? È quasi impossibile che sia necessario renderlo disponibile su Internet e sulla rete interna, è possibile continuare a eseguire IPv4 e IPv6 fino a quando tutti i dispositivi sono supportati o sostituiti.

Se l'esecuzione di più protocolli non è un'opzione, potrebbe essere necessario impostare un tipo di gateway / proxy.

L'IPSEC dovrebbe in qualche modo rendere tutto ciò sicuro

IPSEC crittografato e autentica i pacchetti. Non ha nulla a che fare con la rimozione del dispositivo di frontiera e ha una maggiore protezione dei dati in transito.

Sì. NAT è morto. Ci sono stati alcuni tentativi di ratificare gli standard per NAT su IPv6, ma nessuno di loro è mai decollato.

Ciò ha effettivamente causato problemi ai provider che stanno tentando di soddisfare gli standard PCI-DSS, poiché lo standard afferma in realtà che è necessario essere protetti da un NAT.

Per me, questa è una delle notizie più belle che abbia mai sentito. Odio il NAT e odio ancora di più il NAT di livello carrier.

NAT è sempre stato pensato per essere una soluzione bandaid per farci passare fino a quando IPv6 non è diventato standard, ma si è radicato nella società di Internet.

Per il periodo di transizione, è necessario ricordare che IPv4 e IPv6 sono, a parte un nome simile, totalmente diversi ¹ . Quindi i dispositivi che sono Dual-Stack, il tuo IPv4 sarà NATted e il tuo IPv6 no. È quasi come avere due dispositivi totalmente separati, appena impacchettati in un unico pezzo di plastica.

Quindi, come funziona l'accesso a Internet IPv6? Bene, il modo in cui Internet funzionava prima dell'invenzione del NAT. Il tuo ISP ti assegnerà un intervallo IP (come fanno ora, ma generalmente ti assegnano un / 32, il che significa che ottieni un solo indirizzo IP), ma il tuo intervallo ora avrà milioni di indirizzi IP disponibili. Sei libero di popolare questi indirizzi IP come hai scelto (con configurazione automatica o DHCPv6). Ognuno di questi indirizzi IP sarà visibile da qualsiasi altro computer su Internet.

Sembra spaventoso, vero? Il tuo controller di dominio, il PC multimediale domestico e il tuo iPhone con la tua scorta nascosta di pornografia saranno tutti accessibili da Internet ?! Beh no. Ecco a cosa serve un firewall. Un'altra grande caratteristica di IPv6 è che forza i firewall da un approccio "Consenti tutto" (come la maggior parte dei dispositivi domestici) a un approccio "Nega tutto", in cui si aprono servizi per determinati indirizzi IP. Il 99,999% degli utenti domestici manterrà felicemente i propri firewall predefiniti e totalmente bloccati, il che significa che non sarà consentito l'accesso a traffico non richiesto.

¹ _{Ok, c'è molto di più, ma non sono in alcun modo compatibili tra loro, anche se entrambi consentono lo stesso protocollo in esecuzione}

Il requisito PCI-DSS per NAT è noto per essere teatro della sicurezza e non sicurezza effettiva.

Il PCI-DSS più recente ha rinunciato a chiamare NAT un requisito assoluto. Molte organizzazioni hanno superato gli audit PCI-DSS con IPv4 senza che NAT mostrasse i firewall con stato come "implementazioni di sicurezza equivalenti".

Esistono altri documenti relativi al teatro della sicurezza che richiedono NAT, ma, poiché distrugge le piste di controllo e rende più difficile l'indagine / mitigazione degli incidenti, uno studio più approfondito del NAT (con o senza PAT) è negativo per la sicurezza della rete.

Un buon firewall con stato senza NAT è una soluzione di gran lunga superiore a NAT in un mondo IPv6. In IPv4, NAT è un male necessario per essere tollerato per motivi di conservazione degli indirizzi.

Ci vorrà (purtroppo) un po 'di tempo prima che tu possa scappare con una rete solo IPv6 a stack singolo. Fino ad allora, dual-stack con preferenza per IPv6 quando disponibile è il modo per eseguire.

Mentre la maggior parte dei router consumer non supporta IPv6 con firmware di serie oggi, molti possono supportarlo con firmware di terze parti (ad es. Linksys WRT54G con dd-wrt, ecc.). Inoltre, molti dispositivi di livello aziendale (Cisco, Juniper) supportano IPv6 immediatamente.

È importante non confondere PAT (NAT molti-a-uno, come è comune sui router di consumo) con altre forme di NAT e con firewall senza NAT; quando Internet diventerà solo IPv6, i firewall impediranno comunque l'esposizione dei servizi interni. Allo stesso modo, un sistema IPv4 con NAT one-to-one non viene automaticamente protetto; questo è il compito di una politica del firewall.

C'è molta confusione su questo argomento, poiché gli amministratori di rete vedono il NAT in una luce e i clienti delle piccole imprese e residenziali lo vedono in un'altra. Vorrei chiarire.

Il NAT statico (a volte chiamato NAT one-to-one) non offre assolutamente alcuna protezione per la tua rete privata o un singolo PC. La modifica dell'indirizzo IP non ha senso per quanto riguarda la protezione.

NAT / PAT con sovraccarico dinamico come quello che fanno la maggior parte dei gateway residenziali e degli AP wifi aiuta assolutamente a proteggere la tua rete privata e / o il tuo PC. In base alla progettazione, la tabella NAT in questi dispositivi è una tabella di stato. Tiene traccia delle richieste in uscita e le mappa nella tabella NAT - il timeout delle connessioni dopo un certo periodo di tempo. Tutti i frame in ingresso non richiesti che non corrispondono a ciò che si trova nella tabella NAT vengono eliminati per impostazione predefinita: il router NAT non sa dove inviarli nella rete privata, quindi li rilascia. In questo modo, l'unico dispositivo che stai lasciando vulnerabile agli hacker è il tuo router. Poiché la maggior parte degli exploit di sicurezza sono basati su Windows, avere un dispositivo come questo tra Internet e il PC Windows aiuta davvero a proteggere la tua rete. Potrebbe non essere la funzione originariamente prevista, che doveva salvare su IP pubblici, ma ha fatto il lavoro. Come bonus, la maggior parte di questi dispositivi ha anche funzionalità firewall che bloccano molte volte le richieste ICMP per impostazione predefinita, il che aiuta anche a proteggere la rete.

Alla luce delle informazioni di cui sopra, l'eliminazione di NAT quando si passa a IPv6 potrebbe esporre milioni di dispositivi consumer e di piccole imprese a potenziali hacker. Avrà un impatto minimo o nullo sulle reti aziendali in quanto hanno gestito in modo professionale i firewall al limite. Le reti dei consumatori e delle piccole imprese potrebbero non avere più un router NAT basato su * nix tra Internet e i loro PC. Non vi è alcun motivo per cui una persona non possa passare a una sola soluzione firewall: molto più sicura se distribuita correttamente, ma anche al di là di ciò che il 99% dei consumatori comprende come fare. Il NAT con sovraccarico dinamico offre un minimo di protezione semplicemente usandolo: collega il tuo router residenziale e sei protetto. Facile.

Detto questo, non vi è alcun motivo per cui NAT non possa essere utilizzato esattamente come viene utilizzato in IPv4. In effetti, un router potrebbe essere progettato per avere un indirizzo IPv6 sulla porta WAN con una rete privata IPv4 dietro di essa su cui NAT si trova (ad esempio). Questa sarebbe una soluzione semplice per i consumatori e le persone residenziali. Un'altra opzione è quella di mettere tutti i dispositivi con IP IPv6 pubblici: il dispositivo intermedio potrebbe quindi fungere da dispositivo L2, ma fornire una tabella di stato, l'ispezione dei pacchetti e un firewall perfettamente funzionante. In sostanza, nessun NAT, ma blocca comunque eventuali frame in entrata non richiesti. La cosa importante da ricordare è che non dovresti collegare i tuoi PC direttamente alla tua connessione WAN senza alcun dispositivo intermedio. A meno che ovviamente non si voglia fare affidamento sul firewall di Windows. . . e questa è una discussione diversa.

Ci saranno alcuni dolori crescenti che si spostano su IPv6, ma non c'è nessun problema che non sarà in grado di essere risolto abbastanza facilmente. Dovrai abbandonare il tuo vecchio router IPv4 o gateway residenziale? Forse, ma saranno disponibili nuove soluzioni economiche al momento opportuno. Spero che molti dispositivi abbiano solo bisogno di un flash del firmware. IPv6 potrebbe essere progettato per adattarsi meglio all'architettura attuale? Certo, ma è quello che è e non sta andando via - Quindi potresti anche impararlo, viverlo, amarlo.

Se NAT sopravvive nel mondo IPv6, molto probabilmente sarà NAT 1: 1. Una forma un NAT mai visto nello spazio IPv4. Che cos'è 1: 1 NAT? È una traduzione 1: 1 di un indirizzo globale in un indirizzo locale. L'equivalente IPv4 tradurrebbe tutte le connessioni in 1.1.1.2 solo in 10.1.1.2 e così via per l'intero spazio 1.0.0.0/8. La versione IPv6 sarebbe quella di tradurre un indirizzo globale in un indirizzo locale univoco.

La sicurezza avanzata potrebbe essere fornita ruotando frequentemente la mappatura degli indirizzi che non ti interessano (come gli utenti degli uffici interni che navigano su Facebook). Internamente, i tuoi numeri ULA rimarrebbero gli stessi, quindi il tuo DNS a orizzonte diviso continuerebbe a funzionare bene, ma i client esterni non sarebbero mai su una porta prevedibile.

Ma in realtà, è una piccola quantità di sicurezza migliorata per la seccatura che crea. La scansione di sottoreti IPv6 è un compito davvero grande ed è impossibile senza qualche ricognizione su come gli indirizzi IP sono assegnati su quelle sottoreti (metodo di generazione MAC? Metodo casuale? Assegnazione statica di indirizzi leggibili dall'uomo?).

Nella maggior parte dei casi, ciò che accadrà è che i client dietro il firewall aziendale riceveranno un indirizzo globale, forse un ULA, e il firewall perimetrale verrà impostato per negare tutte le connessioni in entrata di qualsiasi tipo a quegli indirizzi. A tutti gli effetti, tali indirizzi non sono raggiungibili dall'esterno. Una volta che il client interno avvia una connessione, i pacchetti saranno autorizzati attraverso quella connessione. La necessità di cambiare l'indirizzo IP in qualcosa di completamente diverso viene gestita forzando un utente malintenzionato a sfogliare tra 2 ^ 64 possibili indirizzi su quella sottorete.

RFC 4864 descrive la protezione della rete locale IPv6 , un insieme di approcci per fornire i benefici percepiti del NAT in un ambiente IPv6, senza dover ricorrere al NAT.

Questo documento ha descritto una serie di tecniche che possono essere combinate su un sito IPv6 per proteggere l'integrità della sua architettura di rete. Queste tecniche, note collettivamente come Protezione della rete locale, mantengono il concetto di un confine ben definito tra "dentro" e "fuori" dalla rete privata e consentono firewall, nascondimenti di topologie e privacy. Tuttavia, poiché mantengono la trasparenza degli indirizzi laddove necessario, raggiungono questi obiettivi senza lo svantaggio della traduzione degli indirizzi. Pertanto, la protezione della rete locale in IPv6 può offrire i vantaggi della traduzione dell'indirizzo di rete IPv4 senza i relativi svantaggi.

Descrive dapprima quali sono i benefici percepiti di NAT (e li elimina se del caso), quindi descrive le caratteristiche di IPv6 che possono essere utilizzate per fornire gli stessi benefici. Fornisce inoltre note di implementazione e case study.

Sebbene sia troppo lungo per ristampare qui, i vantaggi discussi sono:

• Un semplice gateway tra "dentro" e "fuori"
• Il firewall con stato
• Tracciamento utente / applicazione
• Privacy e topologia nascosti
• Controllo indipendente di indirizzamento in una rete privata
• Multihoming / rinumerazione

Questo praticamente copre tutti gli scenari in cui si sarebbe potuto desiderare NAT e offre soluzioni per implementarli in IPv6 senza NAT.

Alcune delle tecnologie che utilizzerai sono:

• Indirizzi locali univoci: preferisci questi sulla tua rete interna per mantenere le comunicazioni interne interne e per garantire che le comunicazioni interne possano continuare anche se l'ISP ha un'interruzione.
• Estensioni di privacy IPv6 con durata degli indirizzi brevi e identificatori di interfaccia non ovviamente strutturati: aiutano a prevenire l'attacco di singoli host e la scansione di sottoreti.
• IGP, Mobile IPv6 o VLAN possono essere utilizzati per nascondere la topologia della rete interna.
• Insieme agli ULA, DHCP-PD dell'ISP semplifica la rinumerazione / multihoming rispetto a IPv4.

( Vedi RFC per i dettagli completi; di nuovo, è troppo lungo per ristampare o addirittura prendere estratti significativi.)

Per una discussione più generale sulla sicurezza della transizione IPv6, vedere RFC 4942 .

Tipo. Esistono effettivamente "tipi" diversi di indirizzi IPv6. Il più vicino a RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) è chiamato "Indirizzo locale univoco" ed è definito in RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Quindi inizi con fd00 :: / 8, quindi aggiungi una stringa a 40 bit (usando un algoritmo predefinito in RFC!) E finisci con un prefisso pseudo-casuale / 48 che dovrebbe essere univoco a livello globale. Hai il resto dello spazio degli indirizzi da assegnare come desideri.

Dovresti anche bloccare fd00 :: / 7 (fc00 :: / 8 e fd00 :: / 8) sul tuo router (IPv6) all'esterno dell'organizzazione, da cui "locale" nel nome dell'indirizzo. Questi indirizzi, mentre si trovano nello spazio degli indirizzi globali, non dovrebbero essere raggiungibili dal mondo in generale, ma solo all'interno della tua "organizzazione".

Se i server PCI-DSS necessitano di un IPv6 per la connettività ad altri host IPv6 interni, è necessario generare un prefisso ULA per la propria azienda e utilizzarlo a tale scopo. Se lo desideri, puoi utilizzare la configurazione automatica di IPv6 come qualsiasi altro prefisso.

Dato che IPv6 è stato progettato in modo tale che gli host possano avere più indirizzi, una macchina può avere, oltre a un ULA, anche un indirizzo indirizzabile a livello globale. Quindi un web server che deve parlare sia con il mondo esterno, sia con le macchine interne, può avere sia un indirizzo prefex assegnato dall'ISP sia il prefisso ULA.

Se vuoi funzionalità simili a NAT puoi guardare anche NAT66, ma in generale progetterei l'ULA. Se hai ulteriori domande, ti consigliamo di consultare la mailing list "ipv6-ops".

IMHO: no.

Ci sono ancora alcuni posti in cui SNAT / DNAT può essere utile. Ad esempio alcuni server sono stati spostati su un'altra rete, ma non vogliamo / non possiamo cambiare l'IP dell'applicazione.

Eventualmente, NAT andrà via per sempre. È utile solo quando si dispone di una scarsità di indirizzo IP e non dispone di funzionalità di sicurezza che non sono fornite meglio, più economiche e più facilmente gestite da un firewall stateful.

Poiché IPv6 = non più scarsità, significa che possiamo liberare il mondo dal brutto hack che è NAT.

Non ho visto una risposta definitiva su come la perdita di NAT (se davvero scompare) con IPv6 influenzerà la privacy degli utenti.

Con gli indirizzi IP dei singoli dispositivi esposti pubblicamente, sarà molto più facile per i servizi Web monitorare (raccogliere, archiviare, aggregare nel tempo, nello spazio e nei siti e facilitare una moltitudine di usi secondari) i tuoi viaggi su Internet dai tuoi vari dispositivi. A meno che ... Gli ISP, i router e altre apparecchiature rendano possibile e facile avere indirizzi IPv6 dinamici che possono essere cambiati frequentemente per ogni dispositivo.

Ovviamente, qualunque cosa avremo ancora il problema che gli indirizzi MAC Wi-Fi statici siano pubblici, ma questa è un'altra storia ...

Esistono molti schemi per supportare NAT in uno scenario di transizione da V4 a V6. Tuttavia, se si dispone di una rete interamente IPV6 e ci si connette a un provider IPV6 a monte, NAT non fa parte del nuovo ordine mondiale, tranne per il fatto che è possibile eseguire il tunneling tra le reti V4 su reti V6.

Cisco ha molte informazioni generali su scenari 4to6, migrazione e tunneling.

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

Anche su Wikipedia:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

La politica e le pratiche commerciali di base favoriranno molto probabilmente l'esistenza del NAT. La pletora di indirizzi IPv6 significa che gli ISP saranno tentati di addebitare per dispositivo o limitare le connessioni solo a un numero limitato di dispositivi. Vedi questo recente articolo su /. per esempio:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

Cordiali saluti, chiunque sia interessante sta usando NAT / NAPT con IPV6 possibile. Tutti i sistemi operativi BSD che dispongono di PF supportano NAT66. Funziona alla grande. Da un blog abbiamo usato :

ipv6 nat (nat66) di FreeBSD pf

sebbene nat66 sia ancora in fase di bozza, ma FreeBSD pf lo supporta già da molto tempo.

(modifica pf.conf e inserisci i seguenti codici)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

Siete a posto!

Funziona alla grande per noi gente che usa calamari con un singolo indirizzo IP da anni. Con IPv6 NAT, posso ottenere 2 ^ 120 indirizzi privati ​​(sito locale) che include 2 ^ 56 subnet lunghe con le mie subnet 5/64. Ciò significa che devo essere 100 miliardi di volte più intelligente di qualsiasi altro guru IPv6 qui perché ho più indirizzi

La verità è che solo perché ho più indirizzi (o forse ho usato IPv6 più a lungo di te), in realtà non migliora IPv6 (o me per lo stesso problema). Tuttavia, rende IPv6 più complesso laddove è richiesto un firewall al posto di PAT e NAT non è più un requisito, ma è un'opzione. L'obiettivo del firewall è consentire tutte le connessioni in uscita e mantenere lo stato, ma bloccare le connessioni avviate in entrata.

Per quanto riguarda NAPT (NAT con PAT), ci vorrà del tempo per far uscire le persone dalla mentalità. Ad esempio, finché non riusciremo a convincere il tuo bisnonno a configurare il proprio firewall IPv6 senza indirizzamento sito locale (indirizzi privati) e senza assistenza del guru, potrebbe essere una buona idea giocare con la possibile idea di NAT poiché sarà tutto quello che sa.

Le recenti proposte avanzate per ipv6 hanno suggerito che gli ingegneri che lavorano sulla nuova tecnologia incorporeranno NAT in ipv6, motivo dato: NAT offre un ulteriore livello di sicurezza

La documentazione è sul sito Web ipv6.com, quindi sembrerebbe che tutte queste risposte affermando che NAT offre nessuna sicurezza sembrano un po 'imbarazzate

Mi rendo conto che in futuro (inevitabilmente ipotizzabile) gli indirizzi IPv4 regionali finiranno inevitabilmente. Sono d'accordo che IPv6 presenta alcuni gravi svantaggi per l'utente. Il problema del NAT è estremamente importante in quanto fornisce intrinsecamente sicurezza, ridondanza, privacy e consente agli utenti di connettere quasi tutti i dispositivi che desiderano senza restrizioni. Sì, un firewall è lo standard di riferimento contro le intrusioni indesiderate della rete, ma NAT non solo aggiunge un altro livello di protezione, ma fornisce anche una progettazione sicura di default indipendentemente dalla configurazione del firewall o dalle conoscenze dell'utente finale, indipendentemente da come lo si definisce IPv4 con NAT e un firewall è ancora più sicuro per impostazione predefinita rispetto a IPv6 con solo un firewall. Un altro problema è la privacy, avere un indirizzo instradabile su Internet su ogni dispositivo aprirà gli utenti a tutti i tipi di potenziali violazioni della privacy, raccolta di informazioni personali e tracciamento in modi che difficilmente sono oggi immaginabili in tale massa. Sono anche dell'opinione che senza Nat potremmo essere aperti a costi aggiuntivi e controllo tramite Isp. Gli ISP potrebbero iniziare a caricarsi per dispositivo o per tassi di utilizzo degli utenti come già vediamo con il tethering USB, ciò ridurrebbe notevolmente la libertà dell'utente finale di connettere apertamente qualsiasi dispositivo che ritenga idoneo sulla linea. A partire da ora pochi ISP statunitensi offrono IPv6 in qualsiasi forma e ritengo che le attività non tecnologiche saranno lente a cambiare a causa del costo aggiunto con poco o nessun valore acquisito.