Chuyển sang IPv6 ngụ ý giảm NAT. Đó có phải là một điều tốt?

Đây là một câu hỏi Canonical về IPv6 và NAT

Liên quan:

• Mạng con IPv6 hoạt động như thế nào và nó khác với mạng con IPv4 như thế nào?
• Làm cách nào tôi có thể 'nhúng ngón chân' vào địa chỉ mạng IPv6 động?
• IPv6 không có nat nhưng còn thay đổi isp thì sao?

Vì vậy, ISP của chúng tôi đã thiết lập IPv6 gần đây và tôi đã nghiên cứu về quá trình chuyển đổi nên đòi hỏi gì trước khi nhảy vào cuộc cạnh tranh.

Tôi đã nhận thấy ba vấn đề rất quan trọng:

1. Bộ định tuyến NAT văn phòng của chúng tôi (một Linksys BEFSR41 cũ) không hỗ trợ IPv6. Cũng không có bộ định tuyến mới hơn, AFAICT. Cuốn sách tôi đang đọc về IPv6 nói với tôi rằng dù sao nó cũng khiến NAT "không cần thiết".

2. Nếu chúng ta phải loại bỏ bộ định tuyến này và cắm mọi thứ trực tiếp vào Internet, tôi bắt đầu hoang mang. Không có cách nào trong địa ngục tôi sẽ đưa cơ sở dữ liệu thanh toán của chúng tôi (Với nhiều thông tin thẻ tín dụng!) Trên internet cho mọi người xem. Ngay cả khi tôi đề xuất thiết lập tường lửa của Windows trên nó để chỉ cho phép 6 địa chỉ có quyền truy cập vào nó, tôi vẫn toát mồ hôi lạnh. Tôi không tin tưởng Windows, tường lửa của Windows hoặc mạng đủ lớn để thậm chí có thể thoải mái từ xa với điều đó.

3. Có một vài thiết bị phần cứng cũ (ví dụ, máy in) hoàn toàn không có khả năng IPv6. Và có thể là một danh sách các vấn đề bảo mật xuất hiện từ khoảng năm 1998. Và có khả năng không có cách nào để thực sự vá chúng theo bất kỳ cách nào. Và không có tài trợ cho máy in mới.

Tôi nghe rằng IPv6 và IPSEC được cho là làm cho tất cả điều này an toàn bằng cách nào đó, nhưng không có các mạng riêng biệt làm cho các thiết bị này vô hình với Internet, tôi thực sự không thể thấy được. Tôi cũng có thể thực sự thấy bất kỳ phòng thủ nào tôi tạo ra sẽ bị tràn ngập trong thời gian ngắn. Tôi đã chạy các máy chủ trên Internet trong nhiều năm nay và tôi khá quen thuộc với những thứ cần thiết để bảo mật chúng, nhưng việc đưa một cái gì đó riêng tư lên mạng như cơ sở dữ liệu thanh toán của chúng tôi luôn hoàn toàn không được hỏi.

Tôi nên thay thế NAT bằng gì, nếu chúng ta không có các mạng riêng biệt?

Đầu tiên và quan trọng nhất, không có gì phải sợ khi phân bổ IP công cộng, miễn là các thiết bị bảo mật của bạn được cấu hình đúng.

Tôi nên thay thế NAT bằng gì, nếu chúng ta không có các mạng riêng biệt?

Điều tương tự chúng ta đã tách chúng ra từ những năm 1980, bộ định tuyến và tường lửa. Một lợi ích bảo mật lớn mà bạn có được với NAT là nó buộc bạn phải cấu hình từ chối mặc định. Để có được bất kỳ dịch vụ nào thông qua nó, bạn phải đục lỗ rõ ràng . Các thiết bị fancier thậm chí cho phép bạn áp dụng ACL dựa trên IP cho các lỗ đó, giống như tường lửa. Có lẽ bởi vì họ thực sự có 'Tường lửa' trên hộp.

Tường lửa được cấu hình chính xác cung cấp chính xác dịch vụ giống như cổng NAT. Cổng NAT thường được sử dụng vì chúng dễ dàng truy cập cấu hình an toàn hơn hầu hết các tường lửa.

Tôi nghe rằng IPv6 và IPSEC được cho là làm cho tất cả điều này an toàn bằng cách nào đó, nhưng không có các mạng riêng biệt làm cho các thiết bị này vô hình với Internet, tôi thực sự không thể thấy được.

Đây là một quan niệm sai lầm. Tôi làm việc cho một trường đại học có phân bổ / 16 IPv4 và phần lớn, phần lớn tiêu thụ địa chỉ IP của chúng tôi nằm trong phân bổ công khai đó. Chắc chắn tất cả các máy trạm và máy in của người dùng cuối của chúng tôi. Mức tiêu thụ RFC1918 của chúng tôi được giới hạn cho các thiết bị mạng và một số máy chủ cụ thể nơi yêu cầu các địa chỉ đó. Tôi sẽ không ngạc nhiên nếu bạn vừa mới rùng mình, bởi vì tôi chắc chắn đã làm khi tôi xuất hiện vào ngày đầu tiên của tôi và nhìn thấy bài đăng trên màn hình với địa chỉ IP của tôi.

Tuy nhiên, chúng ta tồn tại. Tại sao? Bởi vì chúng tôi có một tường lửa bên ngoài được cấu hình để từ chối mặc định với thông lượng ICMP hạn chế. Chỉ vì 140.160.123,45 có thể định tuyến theo lý thuyết, không có nghĩa là bạn có thể đến đó từ bất cứ nơi nào bạn có trên internet công cộng. Đây là những gì tường lửa được thiết kế để làm.

Với các cấu hình bộ định tuyến phù hợp và các mạng con khác trong phân bổ của chúng tôi có thể hoàn toàn không thể truy cập được lẫn nhau. Bạn có thể làm điều này trong các bảng định tuyến hoặc tường lửa. Đây là một mạng riêng biệt và đã làm hài lòng các kiểm toán viên bảo mật của chúng tôi trong quá khứ.

Không có cách nào trong địa ngục tôi sẽ đưa cơ sở dữ liệu thanh toán của chúng tôi (Với nhiều thông tin thẻ tín dụng!) Trên internet cho mọi người xem.

Cơ sở dữ liệu thanh toán của chúng tôi nằm trên một địa chỉ IPv4 công khai và đã tồn tại trong toàn bộ sự tồn tại của nó, nhưng chúng tôi có bằng chứng bạn không thể đến đó từ đây. Chỉ vì một địa chỉ nằm trong danh sách có thể định tuyến v4 công khai không có nghĩa là địa chỉ đó được đảm bảo sẽ được gửi. Hai tường lửa giữa các tệ nạn của Internet và các cổng cơ sở dữ liệu thực tế lọc ra tà ác. Ngay cả từ bàn làm việc của tôi, đằng sau bức tường lửa đầu tiên, tôi không thể truy cập cơ sở dữ liệu đó.

Thông tin thẻ tín dụng là một trường hợp đặc biệt. Điều đó tuân theo các tiêu chuẩn PCI-DSS và các tiêu chuẩn nêu rõ rằng các máy chủ chứa dữ liệu đó phải nằm sau cổng NAT ¹ . Chúng tôi là và ba máy chủ này đại diện cho tổng số sử dụng địa chỉ RFC1918 của máy chủ của chúng tôi. Nó không thêm bất kỳ bảo mật nào, chỉ là một lớp phức tạp, nhưng chúng ta cần kiểm tra hộp kiểm đó để kiểm tra.

Ý tưởng "IPv6 ban đầu làm cho NAT trở thành quá khứ" được đưa ra trước khi sự bùng nổ Internet thực sự đạt được xu hướng chính. Vào năm 1995, NAT là một giải pháp thay thế cho việc phân bổ IP nhỏ. Vào năm 2005, nó đã được ghi trong nhiều tài liệu Thực tiễn tốt nhất về bảo mật và ít nhất một tiêu chuẩn chính (cụ thể là PCI-DSS). Lợi ích cụ thể duy nhất mà NAT mang lại là một thực thể bên ngoài thực hiện điều chỉnh trên mạng không biết cảnh quan IP trông như thế nào đằng sau thiết bị NAT (mặc dù nhờ RFC1918, họ đã đoán đúng) và trên IPv4 không có NAT (như vậy như công việc của tôi) đó không phải là trường hợp. Đó là một bước nhỏ trong phòng thủ chuyên sâu, không phải là một bước lớn.

Sự thay thế cho các địa chỉ RFC1918 là những gì được gọi là Địa chỉ cục bộ duy nhất. Giống như RFC1918, họ không định tuyến trừ khi các đồng nghiệp đặc biệt đồng ý cho phép họ định tuyến. Không giống như RFC1918, chúng (có lẽ) là duy nhất trên toàn cầu. Các trình dịch địa chỉ IPv6 dịch ULA sang IP toàn cầu tồn tại trong thiết bị chu vi phạm vi cao hơn, chắc chắn chưa có trong thiết bị SOHO.

Bạn có thể tồn tại tốt với một địa chỉ IP công cộng. Chỉ cần lưu ý rằng 'công khai' không đảm bảo 'có thể truy cập' và bạn sẽ ổn.

Cập nhật 2017

Trong vài tháng qua, Amazon aws đã bổ sung hỗ trợ IPv6. Nó vừa được thêm vào sản phẩm amazon-vpc của họ và việc triển khai của họ đưa ra một số manh mối về việc triển khai quy mô lớn dự kiến ​​sẽ được thực hiện như thế nào.

• Bạn được cấp / 56 phân bổ (256 mạng con).
• Việc phân bổ là một mạng con hoàn toàn có thể định tuyến.
• Bạn được yêu cầu đặt quy tắc tường lửa ( nhóm bảo mật ) một cách thích hợp.
• Không có NAT, nó thậm chí không được cung cấp, vì vậy tất cả lưu lượng truy cập bên ngoài sẽ đến từ địa chỉ IP thực tế của thể hiện.

Để thêm một trong những lợi ích bảo mật của NAT trở lại, họ hiện đang cung cấp Cổng Internet chỉ dành cho Ewards . Điều này mang lại một lợi ích giống như NAT:

• Các mạng con phía sau nó không thể được truy cập trực tiếp từ internet.

Cung cấp một lớp bảo vệ chuyên sâu, trong trường hợp quy tắc tường lửa được định cấu hình sai vô tình cho phép lưu lượng truy cập vào.

Việc cung cấp này không dịch địa chỉ nội bộ thành một địa chỉ theo cách NAT thực hiện. Lưu lượng ra bên ngoài vẫn sẽ có IP nguồn của phiên bản đã mở kết nối. Các nhà khai thác tường lửa tìm kiếm các tài nguyên trong danh sách trắng trong VPC sẽ tốt hơn cho các mạng lưới danh sách trắng, thay vì các địa chỉ IP cụ thể.

Định tuyến không phải lúc nào cũng có nghĩa là có thể truy cập .

¹ : Các tiêu chuẩn PCI-DSS đã thay đổi vào tháng 10 năm 2010, tuyên bố bắt buộc các địa chỉ RFC1918 đã bị xóa và 'cách ly mạng' đã thay thế nó.

Bộ định tuyến NAT văn phòng của chúng tôi (một Linksys BEFSR41 cũ) không hỗ trợ IPv6. Cũng không có bộ định tuyến mới hơn

IPv6 được hỗ trợ bởi nhiều bộ định tuyến. Không phải là nhiều trong số những người giá rẻ nhắm vào người tiêu dùng và SOHO. Trường hợp xấu nhất, chỉ cần sử dụng hộp Linux hoặc flash lại bộ định tuyến của bạn bằng dd-wrt hoặc thứ gì đó để được hỗ trợ IPv6. Có nhiều lựa chọn, có lẽ bạn chỉ cần nhìn chăm chỉ hơn.

Nếu chúng ta phải thoát khỏi bộ định tuyến này và cắm mọi thứ trực tiếp vào Internet,

Không có gì về việc chuyển đổi sang IPv6 cho thấy bạn nên loại bỏ các thiết bị bảo mật vành đai, như bộ định tuyến / tường lửa của bạn. Bộ định tuyến và tường lửa vẫn sẽ là một thành phần bắt buộc của hầu hết mọi mạng.

Tất cả các bộ định tuyến NAT hoạt động hiệu quả như một tường lửa nhà nước. Không có gì kỳ diệu về việc sử dụng các địa chỉ RFC1918 bảo vệ bạn nhiều như vậy. Đó là một chút trạng thái làm công việc khó khăn. Một tường lửa được cấu hình đúng sẽ bảo vệ bạn tốt nếu bạn đang sử dụng địa chỉ thực hoặc riêng tư.

Sự bảo vệ duy nhất bạn nhận được từ các địa chỉ RFC1918 là cho phép mọi người thoát khỏi lỗi / sự lười biếng trong cấu hình tường lửa của bạn và vẫn không dễ bị tổn thương.

Có một vài thiết bị phần cứng cũ (ví dụ, máy in) hoàn toàn không có khả năng IPv6.

Vì thế? Hầu như bạn sẽ không cần phải cung cấp thông tin đó qua Internet và trên mạng nội bộ của mình, bạn có thể tiếp tục chạy IPv4 và IPv6 cho đến khi tất cả các thiết bị của bạn được hỗ trợ hoặc thay thế.

Nếu chạy nhiều giao thức không phải là một tùy chọn, bạn có thể phải thiết lập một số loại cổng / proxy.

IPSEC được cho là làm cho tất cả điều này an toàn bằng cách nào đó

IPSEC được mã hóa và xác thực các gói. Nó không có gì để làm với việc loại bỏ thiết bị viền của bạn và bảo vệ dữ liệu quá cảnh hơn.

Đúng. NAT đã chết. Đã có một số nỗ lực để phê chuẩn các tiêu chuẩn cho NAT qua IPv6 nhưng không ai trong số họ từng bước ra khỏi mặt đất.

Điều này thực sự đã gây ra vấn đề cho các nhà cung cấp đang cố gắng đáp ứng các tiêu chuẩn PCI-DSS, vì tiêu chuẩn thực sự nói rằng bạn phải đứng sau NAT.

Đối với tôi, đây là một số tin tức tuyệt vời nhất tôi từng nghe. Tôi ghét NAT, và tôi ghét NAT cấp tàu sân bay hơn nữa.

NAT chỉ là một giải pháp được trả tiền để giúp chúng tôi vượt qua cho đến khi IPv6 trở thành tiêu chuẩn, nhưng nó đã ăn sâu vào xã hội internet.

Đối với giai đoạn chuyển đổi, bạn phải nhớ rằng IPv4 và IPv6, ngoài một tên tương tự, hoàn toàn khác nhau ¹ . Vì vậy, các thiết bị là Dual-Stack, IPv4 của bạn sẽ được NAT và IPv6 của bạn sẽ không. Nó gần giống như có hai thiết bị hoàn toàn riêng biệt, chỉ được đóng gói vào một miếng nhựa.

Vậy, truy cập internet IPv6 hoạt động như thế nào? Chà, cách mà internet đã từng hoạt động trước khi NAT được phát minh. ISP của bạn sẽ chỉ định cho bạn một dải IP (giống như hiện tại, nhưng họ thường chỉ định cho bạn một / 32, có nghĩa là bạn chỉ nhận được một địa chỉ IP), nhưng phạm vi của bạn sẽ có hàng triệu địa chỉ IP có sẵn trong đó. Bạn có thể tự do điền các địa chỉ IP này như bạn đã chọn (với cấu hình tự động hoặc DHCPv6). Mỗi một trong những địa chỉ IP này sẽ hiển thị từ bất kỳ máy tính nào khác trên internet.

Nghe có vẻ đáng sợ phải không? Bộ điều khiển miền, PC phương tiện gia đình và iPhone của bạn với kho lưu trữ nội dung khiêu dâm ẩn của bạn đều có thể truy cập được từ internet?! Ồ không. Đó là những gì một tường lửa dành cho. Một tính năng tuyệt vời khác của IPv6 là nó buộc tường lửa từ cách tiếp cận "Cho phép tất cả" (vì hầu hết các thiết bị gia đình) vào cách tiếp cận "Từ chối tất cả", nơi bạn mở dịch vụ cho các địa chỉ IP cụ thể. 99,999% người dùng gia đình sẽ vui vẻ giữ tường lửa của họ mặc định và hoàn toàn bị khóa, điều đó có nghĩa là sẽ không cho phép buôn bán không được mời.

¹ _{Ok có nhiều cách hơn thế, nhưng chúng không tương thích với nhau, mặc dù cả hai đều cho phép các giao thức giống nhau chạy trên đầu trang}

Yêu cầu PCI-DSS cho NAT nổi tiếng là bảo mật và không bảo mật thực tế.

PCI-DSS gần đây nhất đã ủng hộ việc gọi NAT là một yêu cầu tuyệt đối. Nhiều tổ chức đã thông qua kiểm toán PCI-DSS với IPv4 mà không cần NAT hiển thị tường lửa trạng thái là "triển khai bảo mật tương đương".

Có những tài liệu khác của nhà hát an ninh ngoài kia đang kêu gọi NAT, nhưng, vì nó phá hủy các lối mòn kiểm toán và khiến việc điều tra / giảm thiểu sự cố trở nên khó khăn hơn, một nghiên cứu sâu hơn về NAT (có hoặc không có PAT) là một tiêu cực về an ninh mạng.

Một tường lửa có trạng thái tốt mà không có NAT là một giải pháp vượt trội so với NAT trong thế giới IPv6. Trong IPv4, NAT là một tội ác cần thiết được dung thứ cho mục đích bảo tồn địa chỉ.

Đáng buồn là sẽ mất một thời gian trước khi bạn có thể thoát khỏi một mạng chỉ có một ngăn xếp IPv6. Cho đến lúc đó, ngăn xếp kép với ưu tiên cho IPv6 khi có sẵn là cách để chạy.

Mặc dù hầu hết các bộ định tuyến người tiêu dùng không hỗ trợ IPv6 với phần mềm chứng khoán ngày nay, nhiều người có thể hỗ trợ nó với các phần mềm của bên thứ 3 (ví dụ: Linksys WRT54G với dd-wrt, v.v.). Ngoài ra, nhiều thiết bị cấp doanh nghiệp (Cisco, Juniper) hỗ trợ sẵn có IPv6.

Điều quan trọng là không nhầm lẫn PAT (nhiều NAT với nhau, như thường thấy trên các bộ định tuyến người tiêu dùng) với các hình thức NAT khác và với tường lửa không có NAT; một khi internet trở thành chỉ IPv6, tường lửa vẫn sẽ ngăn chặn các dịch vụ nội bộ. Tương tự, hệ thống IPv4 với NAT một-một không được bảo vệ tự động; đó là công việc của một chính sách tường lửa.

Có một sự nhầm lẫn lớn về chủ đề này, khi các quản trị viên mạng nhìn thấy NAT ở một khía cạnh, và các khách hàng doanh nghiệp và dân cư nhỏ nhìn thấy nó ở một khía cạnh khác. Hãy để tôi làm rõ.

NAT tĩnh (đôi khi được gọi là NAT một-một) hoàn toàn không bảo vệ mạng riêng của bạn hoặc PC riêng lẻ. Thay đổi địa chỉ IP là vô nghĩa khi có liên quan đến bảo vệ.

NAT / PAT quá tải động giống như những gì hầu hết các cổng dân cư và wifi AP hoàn toàn giúp bảo vệ mạng riêng và / hoặc PC của bạn. Theo thiết kế, bảng NAT trong các thiết bị này là bảng trạng thái. Nó theo dõi các yêu cầu gửi đi và ánh xạ chúng trong bảng NAT - thời gian kết nối hết sau một khoảng thời gian nhất định. Bất kỳ khung gửi đến không được yêu cầu nào không khớp với những gì trong bảng NAT đều bị bỏ theo mặc định - bộ định tuyến NAT không biết gửi chúng ở đâu trong mạng riêng để nó bỏ chúng. Theo cách này, thiết bị duy nhất bạn đang bị tấn công dễ bị tấn công là bộ định tuyến của bạn. Vì hầu hết các khai thác bảo mật đều dựa trên Windows - có một thiết bị như thế này giữa internet và PC Windows của bạn thực sự giúp bảo vệ mạng của bạn. Nó có thể không phải là chức năng dự định ban đầu, đó là để tiết kiệm IP công cộng, nhưng nó hoàn thành công việc. Như một phần thưởng, hầu hết các thiết bị này cũng có khả năng tường lửa, nhiều lần chặn các yêu cầu ICMP theo mặc định, điều này cũng giúp bảo vệ mạng.

Với các thông tin trên, việc xử lý với NAT khi chuyển sang IPv6 có thể khiến hàng triệu người tiêu dùng và các thiết bị kinh doanh nhỏ bị hack. Nó sẽ có ít hoặc không ảnh hưởng đến các mạng công ty vì họ có tường lửa được quản lý chuyên nghiệp ở rìa của họ. Mạng người tiêu dùng và doanh nghiệp nhỏ có thể không còn có bộ định tuyến NAT dựa trên * nix giữa internet và PC của họ. Không có lý do gì mà một người không thể chuyển sang giải pháp chỉ tường lửa - an toàn hơn nhiều nếu được triển khai chính xác, nhưng cũng vượt quá phạm vi của 99% người tiêu dùng hiểu cách làm. NAT quá tải động cung cấp một mô-đun bảo vệ chỉ bằng cách sử dụng nó - cắm vào bộ định tuyến dân cư của bạn và bạn được bảo vệ. Dễ dàng.

Điều đó nói rằng, không có lý do gì mà NAT không thể được sử dụng theo cùng một cách chính xác nó đang được sử dụng trong IPv4. Trên thực tế, một bộ định tuyến có thể được thiết kế để có một địa chỉ IPv6 trên cổng WAN với mạng riêng IPv4 đằng sau nó mà NAT đặt trên nó (ví dụ). Đây sẽ là một giải pháp đơn giản cho người tiêu dùng và dân cư. Một tùy chọn khác là đặt tất cả các thiết bị có IP IPv6 công cộng --- thiết bị trung gian sau đó có thể hoạt động như một thiết bị L2, nhưng cung cấp bảng trạng thái, kiểm tra gói và tường lửa hoạt động đầy đủ. Về cơ bản, không có NAT, nhưng vẫn chặn bất kỳ khung hình không mong muốn nào. Điều quan trọng cần nhớ là bạn không nên cắm trực tiếp PC của mình vào kết nối mạng WAN mà không có thiết bị trung gian. Tất nhiên trừ khi bạn muốn dựa vào tường lửa Windows. . . và đó là một cuộc thảo luận khác nhau.

Sẽ có một số khó khăn ngày càng tăng khi chuyển sang IPv6, nhưng không có vấn đề gì sẽ không thể giải quyết khá dễ dàng. Bạn sẽ phải bỏ bộ định tuyến IPv4 cũ hoặc cổng dân cư? Có thể, nhưng sẽ có những giải pháp mới rẻ tiền có sẵn khi thời gian đến. Hy vọng rằng nhiều thiết bị sẽ chỉ cần một flash firmware. IPv6 có thể được thiết kế để phù hợp hơn với kiến ​​trúc hiện tại không? Chắc chắn, nhưng đó là những gì nó đang có và nó sẽ không biến mất - Vì vậy, bạn cũng có thể học nó, sống nó, yêu nó.

Nếu NAT tồn tại trong thế giới IPv6, rất có thể đó sẽ là NAT 1: 1. Một hình thức NAT chưa từng thấy trong không gian IPv4. 1: 1 NAT là gì? Đó là bản dịch 1: 1 của địa chỉ toàn cầu sang địa chỉ địa phương. Tương đương với IPv4 sẽ chỉ dịch tất cả các kết nối sang 1.1.1.2 sang 10.1.1.2, v.v. cho toàn bộ không gian 1.0.0.0/8. Phiên bản IPv6 sẽ là dịch địa chỉ toàn cầu sang Địa chỉ cục bộ duy nhất.

Bảo mật nâng cao có thể được cung cấp bằng cách thường xuyên xoay bản đồ cho các địa chỉ mà bạn không quan tâm (như người dùng văn phòng nội bộ đang duyệt Facebook). Trong nội bộ, các số ULA của bạn sẽ giữ nguyên để DNS đường chân trời của bạn sẽ tiếp tục hoạt động tốt, nhưng các máy khách bên ngoài sẽ không bao giờ ở trên một cổng có thể dự đoán được.

Nhưng thực sự, đó là một lượng nhỏ bảo mật được cải thiện cho những rắc rối mà nó tạo ra. Quét các mạng con IPv6 là một nhiệm vụ thực sự lớn và không thể thực hiện được nếu không có sự điều chỉnh về cách gán địa chỉ IP trên các mạng con đó (phương pháp tạo MAC? Phương pháp ngẫu nhiên? Chỉ định tĩnh các địa chỉ có thể đọc được của con người?).

Trong hầu hết các trường hợp, điều sẽ xảy ra là các máy khách đằng sau tường lửa của công ty sẽ nhận được địa chỉ toàn cầu, có thể là ULA và tường lửa vành đai sẽ được đặt để từ chối tất cả các kết nối đến bất kỳ loại nào đến các địa chỉ đó. Đối với tất cả ý định và mục đích, những địa chỉ đó không thể truy cập được từ bên ngoài. Khi máy khách nội bộ khởi tạo kết nối, các gói sẽ được cho phép thông qua kết nối đó. Yêu cầu thay đổi địa chỉ IP thành một thứ hoàn toàn khác được xử lý bằng cách buộc kẻ tấn công ngón tay cái thông qua 2 ^ 64 địa chỉ có thể có trên mạng con đó.

RFC 4864 mô tả Bảo vệ mạng cục bộ IPv6 , một bộ các phương pháp tiếp cận để cung cấp các lợi ích nhận thức được của NAT trong môi trường IPv6, mà không thực sự phải dùng đến NAT.

Tài liệu này đã mô tả một số kỹ thuật có thể được kết hợp trên một trang IPv6 để bảo vệ tính toàn vẹn của kiến ​​trúc mạng của nó. Các kỹ thuật này, được gọi chung là Bảo vệ mạng cục bộ, giữ lại khái niệm ranh giới được xác định rõ giữa "bên trong" và "bên ngoài" mạng riêng và cho phép tường lửa, ẩn cấu trúc liên kết và quyền riêng tư. Tuy nhiên, vì họ bảo vệ tính minh bạch của địa chỉ ở những nơi cần thiết, họ đạt được những mục tiêu này mà không gặp bất lợi trong việc dịch địa chỉ. Do đó, Bảo vệ mạng cục bộ trong IPv6 có thể cung cấp các lợi ích của Dịch thuật địa chỉ mạng IPv4 mà không có các nhược điểm tương ứng.

Đầu tiên, nó đưa ra những lợi ích mà NAT nhận được là gì (và gỡ lỗi chúng khi thích hợp), sau đó mô tả các tính năng của IPv6 có thể được sử dụng để cung cấp những lợi ích tương tự. Nó cũng cung cấp ghi chú thực hiện và nghiên cứu trường hợp.

Mặc dù quá dài để in lại ở đây, những lợi ích được thảo luận là:

• Một cổng đơn giản giữa "bên trong" và "bên ngoài"
• Tường lửa nhà nước
• Theo dõi người dùng / ứng dụng
• Quyền riêng tư và cấu trúc liên kết ẩn
• Kiểm soát độc lập địa chỉ trong một mạng riêng
• Đa số / đánh số lại

Điều này khá nhiều bao gồm tất cả các kịch bản trong đó một người có thể muốn NAT và đưa ra các giải pháp để thực hiện chúng trong IPv6 mà không cần NAT.

Một số công nghệ bạn sẽ sử dụng là:

• Địa chỉ cục bộ duy nhất: Ưu tiên các địa chỉ này trên mạng nội bộ của bạn để giữ liên lạc nội bộ của bạn bên trong và để đảm bảo rằng các liên lạc nội bộ có thể tiếp tục ngay cả khi ISP bị cúp điện.
• Tiện ích mở rộng quyền riêng tư IPv6 với tuổi thọ địa chỉ ngắn và số nhận dạng giao diện có cấu trúc không rõ ràng: Chúng giúp ngăn chặn tấn công các máy chủ và quét mạng con riêng lẻ.
• IGP, Mobile IPv6 hoặc Vlan có thể được sử dụng để ẩn cấu trúc liên kết của mạng nội bộ.
• Cùng với ULAs, DHCP-PD từ ISP giúp việc đánh số lại / đa dạng dễ dàng hơn so với IPv4.

( Xem RFC để biết chi tiết đầy đủ; một lần nữa, quá lâu để in lại hoặc thậm chí lấy các trích đoạn quan trọng từ.)

Để thảo luận tổng quát hơn về bảo mật chuyển tiếp IPv6, xem RFC 4942 .

Loại. Thực tế có "loại" địa chỉ IPv6 khác nhau. Gần nhất với RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) được gọi là "Địa chỉ cục bộ duy nhất" và được xác định trong RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Vì vậy, bạn bắt đầu với fd00 :: / 8, sau đó thêm chuỗi 40 bit (sử dụng thuật toán được xác định trước trong RFC!) Và bạn kết thúc bằng tiền tố giả ngẫu nhiên / 48 phải là duy nhất trên toàn cầu. Bạn có phần còn lại của không gian địa chỉ để gán theo cách bạn muốn.

Bạn cũng nên chặn fd00 :: / 7 (fc00 :: / 8 và fd00 :: / 8) tại bộ định tuyến (IPv6) của bạn ra bên ngoài tổ chức của bạn do đó là "cục bộ" trong tên địa chỉ. Các địa chỉ này, trong khi ở không gian địa chỉ toàn cầu, không thể truy cập được trên toàn thế giới, chỉ với "tổ chức" của bạn.

Nếu máy chủ PCI-DSS của bạn cần IPv6 để kết nối với các máy chủ IPv6 nội bộ khác, bạn nên tạo tiền tố ULA cho công ty của mình và sử dụng nó cho mục đích này. Bạn có thể sử dụng cấu hình tự động của IPv6 giống như bất kỳ tiền tố nào khác nếu bạn muốn.

Do IPv6 được thiết kế để các máy chủ có thể có nhiều địa chỉ, một máy có thể có cùng với một ULA, một địa chỉ có thể định tuyến toàn cầu. Vì vậy, một máy chủ web cần nói chuyện với cả thế giới bên ngoài và với các máy bên trong, có thể có cả địa chỉ tiền tố được gán bởi ISP và tiền tố ULA của bạn.

Nếu bạn muốn chức năng giống NAT, bạn cũng có thể xem NAT66, nhưng nói chung tôi là kiến ​​trúc sư xung quanh ULA. Nếu bạn có thêm câu hỏi, bạn có thể muốn xem danh sách gửi thư "ipv6-ops".

IMHO: không phải.

Vẫn còn một số nơi SNAT / DNAT có thể hữu ích. Để lấy mẫu, một số máy chủ đã được chuyển sang mạng khác, nhưng chúng tôi không muốn / chúng tôi không thể thay đổi IP của ứng dụng.

Hy vọng, NAT sẽ ra đi mãi mãi. Nó chỉ hữu ích khi bạn khan hiếm địa chỉ IP và không có các tính năng bảo mật không được cung cấp tốt hơn, rẻ hơn và dễ dàng quản lý hơn bởi một tường lửa có trạng thái.

Vì IPv6 = không còn khan hiếm, điều đó có nghĩa là chúng ta có thể thoát khỏi thế giới của vụ hack xấu xí đó là NAT.

Tôi chưa thấy câu trả lời dứt khoát về việc mất NAT (nếu nó thực sự biến mất) với IPv6 sẽ ảnh hưởng đến quyền riêng tư của người dùng.

Với các địa chỉ IP của thiết bị riêng lẻ được hiển thị công khai, các dịch vụ web sẽ dễ dàng hơn nhiều cho việc giám sát (thu thập, lưu trữ, tổng hợp theo thời gian và không gian và trang web, đồng thời tạo điều kiện cho vô số sử dụng thứ cấp) của bạn trên internet từ các thiết bị khác nhau. Trừ khi ... ISP, bộ định tuyến và các thiết bị khác làm cho có thể dễ dàng và có các địa chỉ IPv6 động có thể thay đổi thường xuyên cho mỗi thiết bị.

Tất nhiên, không có vấn đề gì, chúng tôi vẫn sẽ có vấn đề về các địa chỉ MAC wi-fi tĩnh được công khai, nhưng đó là một câu chuyện khác ...

Có nhiều kế hoạch hỗ trợ NAT trong kịch bản chuyển đổi từ V4 sang V6. Tuy nhiên, nếu bạn có tất cả mạng IPV6 và kết nối với nhà cung cấp IPV6 ngược dòng, NAT không phải là một phần của trật tự thế giới mới, ngoại trừ việc bạn có thể đường hầm giữa các mạng V4 qua mạng V6.

Cisco có nhiều thông tin chung về các kịch bản 4to6, di chuyển và đường hầm.

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_ Products_Configuration_Guide_Ch CHƯƠNG.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

Cũng tại Wikipedia:

https://secure.wik mega.org/wikipedia/en/wiki/IPv6_transition_m cơ chế

Chính trị và thực tiễn kinh doanh cơ bản rất có thể sẽ tiếp tục tồn tại của NAT. Rất nhiều địa chỉ IPv6 có nghĩa là các ISP sẽ bị tính phí trên mỗi thiết bị hoặc chỉ giới hạn kết nối với một số thiết bị bị hạn chế. Xem bài viết gần đây trên /. ví dụ:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

FYI, bất cứ ai thú vị đều sử dụng NAT / NAPT với IPV6. Tất cả các hệ điều hành BSD có PF hỗ trợ NAT66. Công trình tuyệt vời. Từ một blog chúng tôi đã sử dụng :

ipv6 nat (nat66) bởi pf FreeBSD

Mặc dù nat66 vẫn còn trong dự thảo, nhưng pf FreeBSD đã hỗ trợ nó từ lâu.

(chỉnh sửa pf.conf và chèn các mã sau)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

Bạn đã sẵn sàng!

Hoạt động tuyệt vời cho những người đã sử dụng mực với một địa chỉ IP duy nhất trong nhiều năm. Với IPv6 NAT, tôi có thể nhận được 2 ^ 120 địa chỉ riêng (trang web cục bộ) bao gồm 2 ^ 56 mạng con dài với 5/64 mạng con của tôi. Điều đó có nghĩa là tôi phải thông minh hơn 100 tỷ lần so với bất kỳ chuyên gia IPv6 nào khác ở đây vì tôi có nhiều địa chỉ hơn.: D

Sự thật là chỉ vì tôi có nhiều địa chỉ (hoặc có thể đã sử dụng IPv6 lâu hơn bạn), thực sự không làm cho IPv6 (hoặc tôi cho cùng một vấn đề) tốt hơn. Tuy nhiên, điều đó làm cho IPv6 trở nên phức tạp hơn khi yêu cầu tường lửa thay cho PAT và NAT không còn là một yêu cầu, mà là một tùy chọn. Mục tiêu của tường lửa là cho phép tất cả các kết nối ra ngoài và giữ trạng thái, nhưng chặn các kết nối được khởi tạo trong nước.

Đối với NAPT (NAT với PAT), sẽ mất một thời gian để đưa mọi người ra khỏi suy nghĩ. Ví dụ: cho đến khi chúng tôi có thể khiến ông cố của bạn thiết lập tường lửa IPv6 của riêng mình mà không cần địa chỉ trang web địa chỉ (địa chỉ riêng) và không có bất kỳ sự trợ giúp nào của guru, có thể bạn nên chơi với ý tưởng khả thi về NAT vì điều đó sẽ là tất cả những gì anh ấy biết.

Các đề xuất gần đây được đưa ra cho ipv6 đã đề xuất các kỹ sư làm việc về công nghệ mới sẽ kết hợp NAT vào ipv6, lý do được đưa ra: NAT cung cấp thêm một lớp bảo mật

Tài liệu này có trên trang web ipv6.com, vì vậy có vẻ như tất cả những câu trả lời này nêu rõ NAT không cung cấp bảo mật có vẻ hơi xấu hổ

Tôi nhận ra rằng tại một số điểm trong tương lai (chỉ có thể suy đoán), địa chỉ IPv4 trong khu vực chắc chắn sẽ hết. Tôi đồng ý IPv6 có một số nhược điểm nghiêm trọng của người dùng. Vấn đề của NAT là vô cùng quan trọng vì nó vốn đã cung cấp bảo mật, dự phòng, quyền riêng tư và cho phép người dùng kết nối gần như nhiều thiết bị như họ muốn mà không bị hạn chế. Có một tường lửa là tiêu chuẩn vàng chống lại sự xâm nhập của mạng không được yêu cầu, nhưng NAT không chỉ thêm một lớp bảo vệ khác mà nó còn cung cấp một thiết kế mặc định an toàn bất kể cấu hình tường lửa hay kiến ​​thức của người dùng cuối, cho dù bạn định nghĩa nó như thế nào về IPv4 với NAT và tường lửa vẫn an toàn hơn theo mặc định thì IPv6 chỉ có tường lửa. Một vấn đề khác là quyền riêng tư, có một địa chỉ có thể định tuyến internet trên mọi thiết bị sẽ mở ra cho người dùng tất cả các loại vi phạm quyền riêng tư tiềm tàng, thu thập và theo dõi thông tin cá nhân theo cách mà ngày nay khó có thể tưởng tượng được trong khối lượng như vậy. Tôi cũng có ý kiến ​​rằng nếu không có Nat, chúng tôi có thể được mở ra để tăng thêm chi phí và kiểm soát thông qua Isp. Isp có thể bắt đầu sạc trên mỗi thiết bị hoặc theo tỷ lệ sử dụng của người dùng như chúng ta đã thấy bằng cách kết nối USB, điều này sẽ làm giảm đáng kể quyền tự do của người dùng cuối để kết nối công khai bất kỳ thiết bị nào họ thấy phù hợp trên đó. Ngay từ bây giờ, rất ít ISP của Hoa Kỳ cung cấp IPv6 dưới bất kỳ hình thức nào và tôi cảm thấy các doanh nghiệp phi công nghệ sẽ chậm chuyển đổi vì chi phí gia tăng với ít hoặc không có giá trị nào đạt được.