Frage Wenn Sie zu IPv6 wechseln, wird NAT gelöscht. Ist das eine gute Sache?


Das ist ein Kanonische Frage über IPv6 und NAT

Verbunden:

Also hat unser ISP kürzlich IPv6 eingerichtet, und ich habe studiert, was der Übergang beinhalten sollte, bevor ich in den Kampf stürze.

Ich habe drei sehr wichtige Probleme festgestellt:

  1. Unser Office-NAT-Router (ein alter Linksys BEFSR41) unterstützt IPv6 nicht. Es gibt auch keinen neueren Router, AFAICT. Das Buch, das ich über IPv6 lese, sagt mir, dass es NAT sowieso überflüssig macht.

  2. Wenn wir nur diesen Router loswerden und alles direkt ins Internet stecken sollen, fange ich an in Panik zu geraten. Es gibt keinen Weg in die Hölle Ich stelle unsere Abrechnungsdatenbank (mit vielen Kreditkarteninformationen!) Ins Internet, damit jeder sie sehen kann. Selbst wenn ich vorschlagen würde, die Firewall von Windows so einzurichten, dass nur 6 Adressen überhaupt darauf zugreifen können, stehe ich immer noch in kaltem Schweiß. Ich traue Windows, der Windows-Firewall oder dem Netzwerk nicht genug, um auch nur annähernd so komfortabel zu sein.

  3. Es gibt ein paar alte Hardware-Geräte (dh Drucker), die überhaupt keine IPv6-Fähigkeit haben. Und wahrscheinlich eine Wäscheliste mit Sicherheitsproblemen aus der Zeit um 1998. Und wahrscheinlich keine Möglichkeit, sie tatsächlich zu patchen. Und keine Finanzierung für neue Drucker.

Ich habe gehört, dass IPv6 und IPSEC das alles irgendwie absichern sollen, aber ohne physisch getrennte Netzwerke, die diese Geräte für das Internet unsichtbar machen Ja wirklich kann nicht sehen wie. Ich kann genauso Ja wirklich Sehen Sie, wie jede von mir erstellte Verteidigung in kurzer Zeit überrannt wird. Ich betreibe seit Jahren Server im Internet und kenne mich mit den notwendigen Dingen aus, um diese zu sichern, aber es ist immer völlig ausgeschlossen, etwas Private in das Netzwerk wie unsere Abrechnungsdatenbank zu setzen.

Was sollte ich NAT ersetzen, wenn wir keine physisch getrennten Netzwerke haben?


101
2017-09-24 23:33


Ursprung


Können Sie versuchen, dies erneut zu stellen? Gerade jetzt scheint es ziemlich argumentativ zu sein. - Zoredache
Die Dinge, die du bist schockiert über existiere nicht. Vielleicht sollten Sie Ihre Frage auf eine Weise neu formulieren, die Fakten beschreibt, von denen Sie glauben, dass sie Tatsachen sind, und Sie bitten, diese zu bestätigen. Anstatt sich über Dinge zu beschweren, von denen du angenommen hast, dass sie auf eine bestimmte Art funktionieren. - Zoredache
Außerdem - Sie speichern Kreditkarteninformationen? Und Sie haben so viele Fragen zur Sicherheit? Haben Sie jemals ein PCI-Audit bestanden? Oder brechen Sie Ihren Vertrag, indem Sie die Kreditkartendetails speichern? Vielleicht möchten Sie das nachhasten. - mfinni
Ich kann diese Frage nicht mit gutem Gewissen ablehnen oder ablehnen, weil das Plakat schlecht informiert ist (sicherlich ist das der halbe Punkt der Website). Zugegeben, das OP geht aufgrund einer falschen Annahme in eine große Tangente über, und die Frage könnte mit einem Umschreiben beginnen. - Chris Thorpe
"No more NAT" ist definitiv eines der Ziele in IPv6. Im Moment scheint es (zumindest hier), dass das Interesse, IPv6 anzubieten, nicht sonderlich groß ist, außer in Rechenzentren (weil größere Pakete mehr Bandbreite bedeuten und mehr Bandbreite bedeutet mehr Geld für sie!). Für DSL ist das Gegenteil der Fall, so ziemlich jeder hat Flatrate, also bedeutet IPv6 nur mehr Ärger und mehr Kosten für die Provider. - dm.skt


Antworten:


In erster Linie gibt es keine Angst vor einer öffentlichen IP-Zuweisung, solange Ihre Sicherheitsgeräte richtig konfiguriert sind.

Was sollte ich NAT ersetzen, wenn wir keine physisch getrennten Netzwerke haben?

Das Gleiche haben wir seit den 80er Jahren mit Routern und Firewalls gemacht. Der einzige große Sicherheitsgewinn, den Sie mit NAT erzielen, besteht darin, dass Sie in eine Standard-Deny-Konfiguration gezwungen werden. Um zu bekommen irgendein Service durch, Sie müssen ausdrücklich Schlaglöcher. Die schickeren Geräte erlauben Ihnen sogar, IP-basierte ACLs wie eine Firewall auf diese Löcher anzuwenden. Wahrscheinlich, weil sie tatsächlich "Firewall" auf der Box haben.

Eine korrekt konfigurierte Firewall bietet genau den gleichen Dienst wie ein NAT-Gateway. NAT-Gateways werden häufig verwendet, weil sie es sind einfacher in eine sichere Konfiguration als die meisten Firewalls.

Ich habe gehört, dass IPv6 und IPSEC das alles irgendwie absichern sollen, aber ohne physisch getrennte Netzwerke, die diese Geräte für das Internet unsichtbar machen Ja wirklichkann nicht sehen wie.

Dies ist ein Missverständnis. Ich arbeite für eine Universität, die eine / 16-IPv4-Zuweisung hat, und die große, überwiegende Mehrheit unserer IP-Adresse Verbrauch ist auf dieser öffentlichen Zuteilung. Sicherlich alle unsere Endbenutzer-Workstations und -Drucker. Unser RFC1918-Verbrauch ist auf Netzwerkgeräte und bestimmte spezifische Server begrenzt, auf denen solche Adressen benötigt werden. Ich wäre nicht überrascht, wenn du gerade erst gezittert hättest, weil ich es sicherlich getan habe, als ich an meinem ersten Tag auftauchte und das Post-It auf meinem Monitor mit meiner IP-Adresse sah.

Und dennoch, wir überleben. Warum? Weil wir eine externe Firewall haben, die für default-deny mit begrenztem ICMP-Durchsatz konfiguriert ist. Nur weil 140.160.123.45 theoretisch routbar ist, heißt das nicht, dass Sie von überall im öffentlichen Internet dorthin gelangen können. Dafür wurden Firewalls entwickelt.

Angesichts der richtigen Router-Konfigurationen, und verschiedene Subnetze in unserer Zuordnung können vollständig voneinander nicht erreichbar sein. Sie können dies in Router-Tabellen oder Firewalls tun. Dies ist ein separates Netzwerk und hat unsere Sicherheitsauditoren in der Vergangenheit zufrieden gestellt.

Es gibt keinen Weg in die Hölle Ich stelle unsere Abrechnungsdatenbank (mit vielen Kreditkarteninformationen!) Ins Internet, damit jeder sie sehen kann.

Unsere Abrechnungsdatenbank befindet sich auf einer öffentlichen IPv4-Adresse und war für die gesamte Existenz vorhanden, aber wir haben Beweise dafür, dass Sie von hier aus nicht dorthin gelangen können. Nur weil eine Adresse in der öffentlichen v4-Liste enthalten ist, bedeutet dies nicht, dass sie garantiert geliefert wird. Die zwei Firewalls zwischen den Übeln des Internets und den eigentlichen Datenbankports filtern das Böse heraus. Selbst von meinem Schreibtisch aus, hinter der ersten Firewall, kann ich nicht zu dieser Datenbank gelangen.

Kreditkarteninformationen sind ein besonderer Fall. Dies unterliegt den PCI-DSS-Standards und die Standards geben direkt an, dass Server, die solche Daten enthalten, hinter einem NAT-Gateway sein müssen1. Unsere sind, und diese drei Server repräsentieren unsere gesamte Server-Nutzung von RFC1918-Adressen. Es fügt keine Sicherheit hinzu, nur eine Ebene der Komplexität, aber wir müssen dieses Kontrollkästchen für Audits aktivieren.


Das ursprüngliche "IPv6 macht NAT zur Sache der Vergangenheit" wurde vorgebracht, bevor der Internet-Boom den vollen Mainstream erreichte. 1995 war NAT ein Workaround, um eine kleine IP-Zuteilung zu umgehen. Im Jahr 2005 wurde es in vielen Dokumenten zu Best Practices für Sicherheit und mindestens einem wichtigen Standard (PCI-DSS, um genau zu sein) verankert. Der einzige konkrete Vorteil, den NAT bietet, ist, dass eine externe Entität, die eine Rekonfiguration im Netzwerk durchführt, nicht weiß, wie die IP-Landschaft hinter dem NAT-Gerät aussieht (obwohl sie dank RFC1918 eine gute Vermutung hat) und auf NAT-freiem IPv4 (z wie meine Arbeit), ist das nicht der Fall. Es ist ein kleiner Schritt in der Tiefenverteidigung, kein großer.

Die Ersetzung für RFC1918-Adressen sind sogenannte Unique Local Addresses. Wie RFC1918 routen sie nicht, es sei denn, Peers stimmen ausdrücklich zu, sie zu routen. Im Gegensatz zu RFC1918 sind sie (wahrscheinlich) global einzigartig. IPv6-Adressübersetzer, die eine ULA in eine globale IP übersetzen, existieren in der Peripherieausrüstung des höheren Bereichs, definitiv nicht im SOHO-Gang.

Sie können mit einer öffentlichen IP-Adresse gut überleben. Denken Sie daran, dass 'öffentlich' nicht 'erreichbar' garantiert und Ihnen nichts passiert.


2017 Aktualisierung

In den letzten Monaten, Amazon  hat IPv6-Unterstützung hinzugefügt. Es wurde gerade ihren hinzugefügt  Angebot, und ihre Implementierung gibt einige Hinweise, wie große Bereitstellungen erwartet werden.

  • Sie erhalten eine Zuweisung von / 56 (256 Subnetze).
  • Die Zuordnung ist ein vollständig routbares Subnetz.
  • Es wird erwartet, dass Sie Ihre Firewall-Regeln festlegen () angemessen restriktiv.
  • Es gibt kein NAT, es wird nicht einmal angeboten, daher wird der gesamte ausgehende Datenverkehr von der tatsächlichen IP-Adresse der Instanz kommen.

Um einen der Sicherheitsvorteile von NAT wieder hinzuzufügen, bieten sie jetzt ein Nur ausgangssicheres Internet-Gateway. Dies bietet einen NAT-ähnlichen Vorteil:

  • Subnetze dahinter können nicht direkt aus dem Internet abgerufen werden.

Dies bietet eine Ebene der Tiefenverteidigung, falls eine falsch konfigurierte Firewall-Regel versehentlich eingehenden Datenverkehr zulässt.

Dieses Angebot übersetzt die interne Adresse nicht wie NAT in eine einzelne Adresse. Ausgehender Datenverkehr hat weiterhin die Quell-IP der Instanz, die die Verbindung geöffnet hat. Firewall-Betreiber, die nach White-Listen für Ressourcen in der VPC suchen, sollten lieber Netblocks als bestimmte IP-Adressen auf die weiße Liste setzen.

Wegfahrbar bedeutet nicht immer erreichbar.


1: Die PCI-DSS-Standards wurden im Oktober 2010 geändert, die Anweisung, die RFC1918-Adressen verlangt, wurde entfernt, und die "Netzwerkisolation" ersetzte sie.


182
2017-09-25 00:59



Ich habe dies als Akzeptiert markiert, weil es die vollständigere Antwort ist. Ich schätze, dass jeder Firewall-Konfigurations-Tome, den ich je gelesen habe (seit etwa 1997, als ich in diesem Bereich anfing, und der das Erstellen von FreeBSD-Firewalls von Hand beinhaltet), die Verwendung von RFC1918 betont hat, dass dies keinen Sinn ergab mir. Natürlich werden wir als ISP einige Probleme mit Endbenutzern und ihren billigen Routern haben, wenn uns die IPv4-Adressen ausgehen, und das wird nicht so bald verschwinden. - Ernie
"IPv6-Adressübersetzer, die eine ULA in eine globale IP übersetzen, existieren in der Peripherieausrüstung der höheren Reichweite, definitiv nicht in der SOHO-Ausrüstung." Nach jahrelangem Widerstand hat Linux in 3.9.0 Unterstützung dafür hinzugefügt. - Peter Green
Ich habe eine Frage zu "NAT-Gateways werden häufig verwendet, weil sie es sind einfacher um in eine sichere Konfiguration zu gelangen als die meisten Firewalls. "Für Unternehmen mit professionellen IT-Mitarbeitern oder für sachkundige Verbraucher ist das keine große Sache, aber für den allgemeinen Verbraucher / naives Kleinunternehmen ist nicht" einfach "ein riesiges Sicherheitsrisiko? Jahrzehnte passwortloser "Linksys" -WLAN-Netzwerke gab es, weil das Konfigurieren von Sicherheit "einfacher" als das Konfigurieren war. Mit einem Haus voller IoT-fähiger Geräte auf Consumer-Ebene kann ich nicht sehen, dass meine Mutter eine IPv6-Firewall richtig konfiguriert Problem? - Jason C
@JasonC Nein, da die bereits ausgelieferten Geräte auf Consumer-Ebene mit Firewalls ausgeliefert werden, die vom ISP so vorkonfiguriert wurden, dass alle eingehenden Verbindungen abgelehnt werden. Oder habe keine v6-Unterstützung. Die Herausforderung besteht darin, dass Power-User denken, dass sie wissen, was sie tun, aber eigentlich nicht. - sysadmin1138♦
Insgesamt eine ausgezeichnete Antwort, aber ich habe es abgelehnt, weil es kaum den großen Elefanten im Raum angesprochen hat: Die richtige Konfiguration des Sicherheitsgeräts ist etwas, was man nicht als selbstverständlich betrachten kann. - Kevin Keane


Unser Büro NAT Router (ein alter Linksys   BEFSR41) unterstützt IPv6 nicht. Noch   macht keinen neueren Router

IPv6 wird von vielen Routern unterstützt. Nur nicht so viele billige auf Endverbraucher und SOHO. Im schlimmsten Fall verwenden Sie einfach eine Linux-Box oder flashen Sie Ihren Router mit dd-wrt oder etwas neu, um IPv6-Unterstützung zu erhalten. Es gibt viele Möglichkeiten, Sie müssen wahrscheinlich nur härter aussehen.

Wenn wir nur loswerden sollen   dieser Router und alles einstecken   direkt ins Internet,

Nichts über einen Übergang zu IPv6 schlägt vor, dass Sie Perimeter-Sicherheitsgeräte wie Ihren Router / Firewall loswerden sollten. Router und Firewalls werden immer noch eine notwendige Komponente in fast jedem Netzwerk sein.

Alle NAT-Router fungieren effektiv als Stateful Firewall. Es gibt nichts Magisches über die Verwendung von RFC1918-Adressen, die Sie so sehr schützen. Es ist das Stateful Bit, das die harte Arbeit leistet. Eine richtig konfigurierte Firewall schützt Sie genauso, wenn Sie echte oder private Adressen verwenden.

Der einzige Schutz, den Sie von RFC1918-Adressen erhalten, ist, dass Menschen mit Fehlern / Faulheit in Ihrer Firewall-Konfiguration entkommen und immer noch nicht so anfällig sein können.

Es gibt ein paar alte Hardware-Geräte (dh Drucker), die überhaupt keine IPv6-Fähigkeit haben.

So? Es ist kaum wahrscheinlich, dass Sie diese über das Internet verfügbar machen müssen. In Ihrem internen Netzwerk können Sie weiterhin IPv4 und IPv6 ausführen, bis alle Ihre Geräte unterstützt oder ersetzt wurden.

Wenn das Ausführen mehrerer Protokolle nicht möglich ist, müssen Sie möglicherweise eine Art Gateway / Proxy einrichten.

IPSEC soll das alles irgendwie absichern

IPSEC verschlüsselt und authentifiziert Pakete. Es hat nichts damit zu tun, Ihr Grenzgerät loszuwerden und schützt die Daten während des Transports.


56
2017-09-24 23:55



In vielerlei Hinsicht. - sysadmin1138♦
Genau, erhalten Sie einen echten Router und Sie müssen sich keine Sorgen machen. SonicWall bietet einige hervorragende Optionen, um die von Ihnen benötigte Sicherheit zu bieten und IPv6 problemlos zu unterstützen. Diese Option bietet wahrscheinlich eine bessere Sicherheit und Leistung als das, was Sie derzeit haben. (news.sonicwall.com/index.php?s=43&item=1022) Wie Sie in diesem Artikel sehen können, können Sie ipv4 auch mit ipv6-Übersetzung mit sonicwall-Geräten für diejenigen, die nicht mit ipv6 umgehen können. - MaQleod


Ja. NAT ist tot. Es gab einige Versuche, Standards für NAT über IPv6 zu ratifizieren, aber keiner von ihnen kam jemals auf die Beine.

Dies hat tatsächlich Probleme für Anbieter verursacht, die versuchen, PCI-DSS-Standards zu erfüllen, da der Standard tatsächlich besagt, dass Sie hinter einem NAT sein müssen.

Für mich ist das eine der schönsten Neuigkeiten, die ich je gehört habe. Ich hasse NAT, und ich hasse Carrier-Grade NAT noch mehr.

NAT sollte eigentlich nur eine Bandaid-Lösung sein, um uns durchzubringen, bis IPv6 zum Standard wurde, aber es wurde in der Internet-Gesellschaft verankert.

Für die Übergangszeit müssen Sie daran denken, dass IPv4 und IPv6, abgesehen von einem ähnlichen Namen, völlig verschieden sind 1. Bei Geräten, die Dual-Stack sind, wird Ihr IPv4 NAT sein und Ihr IPv6 nicht. Es ist fast so, als hätten wir zwei völlig getrennte Geräte, die nur in das eine Stück Plastik verpackt sind.

Wie funktioniert der IPv6-Internetzugang? Nun, die Art und Weise, wie das Internet arbeitete, bevor NAT erfunden wurde. Ihr Internetdienstanbieter weist Ihnen einen IP-Bereich zu (wie Sie es jetzt tun, aber normalerweise weisen Sie ihm eine / 32 zu, was bedeutet, dass Sie nur eine IP-Adresse erhalten), aber Ihr Bereich enthält jetzt Millionen verfügbarer IP-Adressen. Sie können diese IP-Adressen nach Belieben auffüllen (mit automatischer Konfiguration oder DHCPv6). Jede dieser IP-Adressen wird von jedem anderen Computer im Internet sichtbar sein.

Klingt gruselig, oder? Dein Domain-Controller, dein Heim-Media-PC und dein iPhone mit deinem versteckten Vorrat an Pornografie werden alle aus dem Internet erreichbar sein ?! Nun, nein. Dafür ist eine Firewall zuständig. Ein weiteres großartiges Feature von IPv6 ist das Kräfte Firewalls von einem "Allow All" -Ansatz (wie die meisten Heimgeräte) in einen "Deny All" -Ansatz, wo Sie Dienste für bestimmte IP-Adressen öffnen. 99,999% der Heimanwender behalten ihre Firewalls standardmäßig bei und sind vollständig gesperrt, was bedeutet, dass kein unerwünschter Traffic erlaubt wird.

1Ok, es gibt viel mehr als das, aber sie sind in keiner Weise miteinander kompatibel, auch wenn beide die gleichen Protokolle erlauben, die obenauf laufen


33
2018-03-23 23:42



Was ist mit all den Leuten, die behaupten, dass Computer hinter NAT zusätzliche Sicherheit bieten? Ich höre das oft von anderen IT-Administratoren. Es spielt keine Rolle, ob Sie sagen, dass eine richtige Firewall alles ist, was Sie brauchen, weil so viele dieser Leute glauben, dass NAT eine Sicherheitsschicht hinzufügt. - user9274
@ user9274 - es bietet Sicherheit auf zwei Arten: 1) Es verbirgt Ihre interne IP-Adresse von der Welt (weshalb PCI-DSS es verlangen), und 2) es ist ein extra "Hop" aus dem Internet auf den lokalen Rechner. Aber um ehrlich zu sein, das erste ist nur "Sicherheit durch Dunkelheit", was überhaupt keine Sicherheit ist, und für das zweite ist ein kompromittiertes NAT-Gerät genauso gefährlich wie ein kompromittierter Server, also sobald die Angreifer hinter der NAT sind, kann das wahrscheinlich passieren leg dich trotzdem in deine Maschine. - Mark Henderson♦
Darüber hinaus war und ist jede durch die Verwendung von NAT gewonnene Sicherheit ein unbeabsichtigter Vorteil in dem Bemühen, die Erschöpfung von IPv4-Adressen zu verhindern. Es war sicherlich kein Teil des Design-Ziels, das mir bewusst ist. - joeqwerty
Die PCI-DSS-Standards wurden Ende Oktober 2010 geändert und die NAT-Anforderung wurde entfernt (Abschnitt 1.3.8 von v1.2). So holen sie auch die Zeiten ein. - sysadmin1138♦
@Mark, ich bin mir nicht sicher, ob es erwähnenswert ist, aber NAT64 geht auf, aber es ist nicht das NAT, an das die meisten Leute denken. Es ermöglicht nur IPv6-Netzwerken den Zugriff auf das IPv4-Internet ohne die Zusammenarbeit der Clients. Es erfordert DNS64-Unterstützung, damit es funktioniert. - Chris S


Die PCI-DSS-Anforderung für NAT ist bekanntlich Sicherheitstheater und keine tatsächliche Sicherheit.

Das neueste PCI-DSS hat sich vom Aufruf von NAT zurückgezogen. Viele Unternehmen haben PCI-DSS-Audits mit IPv4 ohne NAT bestanden, die Stateful-Firewalls als "äquivalente Sicherheitsimplementierungen" darstellen.

Es gibt andere Sicherheitstheater-Dokumente, die nach NAT verlangen, aber da es Audit-Trails zerstört und die Untersuchung / Abschwächung von Vorkommnissen schwieriger macht, ist eine gründlichere Untersuchung von NAT (mit oder ohne PAT) ein negatives Netto-Sicherheitsrisiko.

Eine gute Stateful Firewall ohne NAT ist eine deutlich bessere Lösung für NAT in einer IPv6-Welt. In IPv4 ist NAT ein notwendiges Übel, das toleriert werden muss, um die Adresse zu erhalten.


18
2018-01-26 17:45



NAT ist "faule Sicherheit". Und mit "fauler Sicherheit" kommt mangelnde Aufmerksamkeit für Details und der damit verbundene Verlust der Sicherheit, die beabsichtigt war. - Skaperen
Stimme voll und ganz zu; obwohl die meisten PCI-DSS-Audits durchgeführt werden (Audit von Affen mit Checkliste), ist es das alles faule Sicherheit und trägt diese Fehler. - MadHatter
Für diejenigen, die NAT als "Sicherheitstheater" bezeichnen, möchte ich auf den Artikel von The Networking Nerd zur Memcached-Schwachstelle vor einigen Monaten hinweisen. networkingnerd.net/2018/03/02/ ... Er ist ein begeisterter IPv6-Befürworter und NAT-Hasser, musste aber darauf hinweisen, dass Tausende von Unternehmen ihre Memcached-Server aufgrund von Firewall-Regeln, die "nicht sorgfältig ausgearbeitet wurden", im Internet weit offen gelassen haben. NAT zwingt Sie dazu, explizit anzugeben, was Sie in Ihr Netzwerk zulassen. - Kevin Keane


Es wird (leider) eine Weile dauern, bis Sie mit einem Single-Stack-IPv6-only-Netzwerk durchkommen können. Bis dahin ist Dual-Stack mit Präferenz für IPv6, wenn verfügbar, die Art zu laufen.

Während die meisten Consumer-Router heute IPv6 mit Standard-Firmware nicht unterstützen, können viele es mit Drittanbieter-Firmwares unterstützen (zB Linksys WRT54G mit dd-wrt, etc.). Außerdem unterstützen viele Business-Geräte (Cisco, Juniper) IPv6 out-of-the-box.

Es ist wichtig, PAT (Many-to-One-NAT, wie es bei Consumer-Routern üblich ist) nicht mit anderen Formen von NAT und mit NAT-freier Firewall zu verwechseln. Sobald das Internet zu IPv6 wird, werden Firewalls die Aussetzung interner Dienste verhindern. Ebenso ist ein IPv4-System mit 1: 1-NAT nicht automatisch geschützt. das ist die Aufgabe einer Firewall-Richtlinie.


11
2017-09-24 23:52





Wenn NAT in der IPv6-Welt überlebt, wird es höchstwahrscheinlich 1: 1-NAT sein. Eine Form einer NAT, die nie im IPv4-Bereich gesehen wurde. Was ist 1: 1 NAT? Es ist eine 1: 1 Übersetzung einer globalen Adresse in eine lokale Adresse. Das IPv4-Äquivalent würde alle Verbindungen zu 1.1.1.2 nur zu 10.1.1.2 und so weiter für den gesamten 1.0.0.0 / 8-Raum übersetzen. Die IPv6-Version würde eine globale Adresse in eine eindeutige lokale Adresse übersetzen.

Erhöhte Sicherheit kann durch häufiges Rotieren des Mappings für Adressen erreicht werden, die Sie nicht interessieren (wie interne Bürobenutzer, die Facebook durchsuchen). Intern wären Ihre ULA-Nummern gleich geblieben, so dass Ihr Split-Horizon-DNS auch weiterhin gut funktionieren würde, aber extern würden Clients nie auf einem vorhersehbaren Port sein.

Aber wirklich, es ist eine kleine Menge an verbesserter Sicherheit für den Ärger, den es schafft. Das Scannen von IPv6-Subnetzen ist eine wirklich große Aufgabe und nicht ohne Rückfrage möglich, wie IP-Adressen in diesen Subnetzen zugewiesen werden (MAC-Generierungsmethode? Random-Methode? Statische Zuweisung von lesbaren Adressen?).

In den meisten Fällen werden Clients hinter der Unternehmensfirewall eine globale Adresse erhalten, möglicherweise eine ULA, und die Perimeterfirewall wird so eingestellt, dass alle eingehenden Verbindungen jeder Art für diese Adressen abgelehnt werden. Diese Adressen sind praktisch von außen nicht erreichbar. Sobald der interne Client eine Verbindung initiiert, werden Pakete entlang dieser Verbindung zugelassen. Die Notwendigkeit, die IP-Adresse in etwas völlig anderes zu ändern, wird gehandhabt, indem ein Angreifer gezwungen wird, durch 2 ^ 64 mögliche Adressen in diesem Subnetz zu blättern.


9
2018-03-24 02:33



@ sysadmin1138: Ich mag diese Lösung. Wie ich derzeit IPv6 verstehe, sollte ich, wenn mein ISP mir ein / 64 gibt, das / 64 in meinem gesamten Netzwerk verwenden, wenn ich möchte, dass meine Computer IPv6-Internet-zugänglich sind. Aber wenn ich den ISP satt habe und zu einem anderen wechseln will, muss ich alles komplett neu nummerieren. - Kumba
@ sysadmin1138: Allerdings habe ich festgestellt, dass ich mehrere IPs viel einfacher als mit IPv4 einer einzelnen Schnittstelle zuweisen kann, so dass ich mit dem ISP-gegeben / 64 für den externen Zugriff und meine eigenen internen ULA-Schema für verwenden kann Kommunizieren zwischen Hosts und verwenden eine Firewall, um die ULA-Adressen von außen nicht erreichbar zu machen. Mehr Setup-Arbeit beteiligt, aber es scheint, als würde es NAT überhaupt vermeiden. - Kumba
@ sysadmin1138: Ich kratze mich immer noch daran, warum ULA in jeder Hinsicht privat sind, doch von ihnen wird erwartet, dass sie immer noch weltweit einzigartig sind. Es ist, als ob ich sagen könnte, dass ich ein Auto jeder Marke und jedes Modells haben kann, aber keine Marke / Modell / Jahr, die bereits von jemand anderem benutzt wird, obwohl es mein Auto ist und ich der einzige Fahrer sein werde. - Kumba
@ Kumba Der Grund, warum RFC 4193-Adressen global eindeutig sein sollten, besteht darin, sicherzustellen, dass Sie in der Zukunft nicht neu nummerieren müssen. Vielleicht müssen Sie eines Tages zwei Netzwerke mit RFC 4193-Adressen zusammenführen, oder eine Maschine, die bereits eine RFC 4193-Adresse haben könnte, muss sich möglicherweise mit einem oder mehreren VPNs verbinden, die ebenfalls über RFC 4193-Adressen verfügen. - kasperd
@Kumba Wenn alle fd00 :: / 64 für das erste Segment in ihrem Netzwerk verwendet hätten, würden Sie sicher in einen Konflikt geraten, sobald ein Paar von zwei solchen Netzwerken kommunizieren müsste. Der Punkt von RFC 4193 ist, dass Sie, solange Sie Ihre 40 Bits nach dem Zufallsprinzip auswählen, die restlichen 80 Bits beliebig zuweisen können und weiterhin zuversichtlich bleiben, dass Sie nicht neu nummerieren müssen. - kasperd


RFC 4864 beschreibt IPv6 Local Network Protection, eine Reihe von Ansätzen zur Bereitstellung der wahrgenommenen Vorteile von NAT in einer IPv6-Umgebung, ohne dass tatsächlich auf NAT zurückgegriffen werden muss.

Dieses Dokument beschreibt eine Reihe von Techniken, die auf einer IPv6-Site kombiniert werden können, um die Integrität der Netzwerkarchitektur zu schützen. Diese Techniken, die gemeinsam als lokaler Netzwerkschutz bezeichnet werden, behalten das Konzept einer klar definierten Grenze zwischen "innerhalb" und "außerhalb" des privaten Netzwerks bei und ermöglichen Firewalling, Topologieverbergung und Datenschutz. Da sie die Adresstransparenz jedoch dort bewahren, wo sie benötigt wird, erreichen sie diese Ziele ohne den Nachteil der Adressübersetzung. Daher kann der lokale Netzwerkschutz in IPv6 die Vorteile der IPv4-Netzwerkadressübersetzung ohne die entsprechenden Nachteile bieten.

Zuerst werden die Vorteile von NAT beschrieben (und wenn nötig entstört), dann werden die Eigenschaften von IPv6 beschrieben, die für die gleichen Vorteile genutzt werden können. Es enthält auch Implementierungshinweise und Fallstudien.

Während es zu lange ist, um hier erneut zu drucken, sind die diskutierten Vorteile:

  • Ein einfacher Zugang zwischen "innen" und "außen"
  • Die statusbehaftete Firewall
  • Benutzer- / Anwendungsverfolgung
  • Verbergen von Privatsphäre und Topologie
  • Unabhängige Kontrolle der Adressierung in einem privaten Netzwerk
  • Multihoming / Neunummerierung

Dies deckt praktisch alle Szenarien ab, in denen man NAT haben wollte und bietet Lösungen für die Implementierung in NAT ohne IPv6.

Einige der Technologien, die Sie verwenden werden, sind:

  • Eindeutige lokale Adressen: Ziehen Sie diese in Ihrem internen Netzwerk vor, um Ihre interne Kommunikation intern zu halten und sicherzustellen, dass die interne Kommunikation auch bei einem Ausfall des ISP fortgesetzt werden kann.
  • IPv6-Datenschutzerweiterungen mit kurzen Adresslebensdauern und nicht offensichtlich strukturierten Schnittstellenkennungen: Sie verhindern das Angreifen einzelner Hosts und das Subnetz-Scannen.
  • IGP, Mobile IPv6 oder VLANs können verwendet werden, um die Topologie des internen Netzwerks zu verbergen.
  • Zusammen mit ULAs vereinfacht DHCP-PD vom ISP das Neunummerieren / Multihoming einfacher als mit IPv4.

(Siehe RFC für vollständige Details; Wiederum ist es viel zu lang, um neu zu drucken oder sogar wichtige Auszüge daraus zu machen.)

Eine allgemeinere Diskussion der IPv6-Übergangssicherheit finden Sie unter RFC 4942.


9
2018-05-13 18:37