Vraag Overschakelen naar IPv6 houdt in dat NAT wordt verbroken. Is dat een goed iets?


Dit is een Canonical Question over IPv6 en NAT

Verwant:

Daarom heeft onze ISP recent IPv6 opgezet en heb ik onderzocht wat de overgang zou moeten inhouden voordat we de strijd in gaan.

Ik heb drie zeer belangrijke problemen opgemerkt:

  1. Onze kantoor-NAT-router (een oude Linksys BEFSR41) ondersteunt IPv6 niet. Noch een nieuwere router, AFAICT. Het boek dat ik over IPv6 lees, vertelt me ​​dat het NAT toch "onnodig" maakt.

  2. Als we gewoon van deze router af moeten komen en alles rechtstreeks op internet moeten aansluiten, begin ik in paniek te raken. Ik kan nooit onze factureringsdatabase (met veel creditcardgegevens!) Op het internet zetten zodat iedereen het kan zien. Zelfs als ik zou voorstellen om de firewall van Windows erop in te stellen om maar 6 adressen toe te staan, heb ik nog steeds last van koud zweet. Ik vertrouw Windows, de Windows-firewall of het netwerk niet zo ver dat het zelfs maar op afstand comfortabel is.

  3. Er zijn een paar oude hardwareapparaten (dwz printers) die helemaal geen IPv6-mogelijkheden hebben. En waarschijnlijk een waslijst met beveiligingsproblemen die dateert van rond 1998. En waarschijnlijk geen manier om ze op enigerlei wijze te patchen. En geen financiering voor nieuwe printers.

Ik hoor dat IPv6 en IPSEC dit allemaal op de een of andere manier veilig moeten maken, maar zonder fysiek gescheiden netwerken die deze apparaten onzichtbaar maken voor het internet, werkelijk kan niet zien hoe. Ik kan ook werkelijk zie hoe eventuele verdedigingen die ik maak in korte tijd worden overschreden. Ik run al jaren servers op internet en ik ben redelijk bekend met de dingen die nodig zijn om die te beveiligen, maar het plaatsen van iets Prive op het netwerk zoals onze factureringsdatabase is altijd volledig uit den boze.

Wat zou ik NAT moeten vervangen door, als we geen fysiek gescheiden netwerken hebben?


101
2017-09-24 23:33


oorsprong


Kun je dit opnieuw proberen te vragen? Op dit moment lijkt het tamelijk argumentatief te zijn. - Zoredache
De dingen die je bent geschrokken over bestaat niet. Misschien moet u uw vraag opnieuw formuleren op een manier die de dingen beschrijft waarvan u denkt dat het feiten zijn en vraag ons om ze te bevestigen. In plaats van te klagen over dingen waarvan je hebt aangenomen dat die op een bepaalde manier zullen werken. - Zoredache
Ook - bewaart u creditcardgegevens? En je hebt zoveel vragen over beveiliging? Heeft u ooit een PCI-audit doorstaan? Of verbreekt u uw contract door de creditcardgegevens op te slaan? Misschien wil je hier snel naar kijken. - mfinni
Ik kan niet met een goed geweten stemmen of stemmen om deze vraag te beantwoorden, hetzij op grond van het feit dat de poster slecht geïnformeerd is (zeker dat is de helft van het punt van de site). Toegegeven, het OP gaat uit van een grote raaklijn gebaseerd op een valse veronderstelling, en de vraag zou kunnen doen met een herschrijven. - Chris Thorpe
"No more NAT" is definitief een van de doelen in IPv6. Op het moment lijkt het (althans hier) dat interesse in het daadwerkelijk aanbieden van IPv6 niet erg groot is, behalve in datacenters (omdat grotere pakketten meer bandbreedte betekenen en meer bandbreedte betekent meer geld voor hen!). Voor DSL is het echter het tegenovergestelde, vrijwel iedereen heeft een flatrate, dus IPv6 betekent alleen meer problemen en meer kosten voor de providers. - dm.skt


antwoorden:


Eerst en vooral is er niets te vrezen van een openbare IP-toewijzing, zolang uw beveiligingsapparaten goed zijn geconfigureerd.

Wat zou ik NAT moeten vervangen door, als we geen fysiek gescheiden netwerken hebben?

Hetzelfde waarmee we ze sinds de jaren tachtig fysiek hebben gescheiden, routers en firewalls. De enige grote beveiligingswinst die u bij NAT krijgt, is dat het u dwingt tot een configuratie die de standaardwaarde weerlegt. Om te krijgen ieder dienst er doorheen, het moet uitdrukkelijk perforeer gaten. Met de liefhebber-apparaten kunt u zelfs IP-gebaseerde ACL's op die gaten toepassen, net als bij een firewall. Waarschijnlijk omdat ze 'Firewall' op de doos hebben, eigenlijk.

Een correct geconfigureerde firewall biedt precies dezelfde service als een NAT-gateway. NAT-gateways worden vaak gebruikt omdat ze dat zijn gemakkelijker om in een veilige configuratie te komen dan de meeste firewalls.

Ik hoor dat IPv6 en IPSEC dit allemaal op de een of andere manier veilig moeten maken, maar zonder fysiek gescheiden netwerken die deze apparaten onzichtbaar maken voor het internet, werkelijkkan niet zien hoe.

Dit is een misvatting. Ik werk voor een universiteit die een / 16 IPv4-toewijzing heeft, en de overgrote meerderheid van onze IP-adresconsumptie is op die publieke toewijzing. Zeker al onze werkstations en printers van eindgebruikers. Ons RFC1918-verbruik is beperkt tot netwerkapparaten en bepaalde specifieke servers waar dergelijke adressen vereist zijn. Het zou me niet verbazen als je net huiverde, omdat ik zeker deed toen ik op mijn eerste dag verscheen en de post-it op mijn monitor zag met mijn IP-adres.

En toch overleven we het. Waarom? Omdat we een externe firewall hebben geconfigureerd voor default-deny met beperkte ICMP-doorvoer. Alleen omdat 140.160.123.45 theoretisch routeerbaar is, wil dat nog niet zeggen dat u daar kunt komen waar u ook bent op het openbare internet. Dit is waar firewalls voor ontworpen waren.

Gegeven de juiste routerconfigs en verschillende subnetten in onze toewijzing kunnen volledig onbereikbaar voor elkaar zijn. U kunt dit doen in routertabellen of firewalls. Dit is een afzonderlijk netwerk en heeft in het verleden onze beveiligingsauditors tevredengesteld.

Ik kan nooit onze factureringsdatabase (met veel creditcardgegevens!) Op het internet zetten zodat iedereen het kan zien.

Onze factureringsdatabase bevindt zich op een openbaar IPv4-adres en is het hele bestaan ​​ervan geweest, maar we hebben het bewijs dat je hier niet kunt komen. Alleen omdat een adres op de openbare v4-lijst staat, betekent nog niet dat het gegarandeerd wordt afgeleverd. De twee firewalls tussen het kwaad van het internet en de feitelijke databasepoorten filteren het kwaad. Zelfs vanaf mijn bureau, achter de eerste firewall, kan ik niet bij die database komen.

Creditcard-informatie is een speciaal geval. Dat is onderhevig aan de PCI-DSS-normen, en de standaarden stellen direct dat servers die dergelijke gegevens bevatten achter een NAT-gateway moeten staan1. De onze is, en deze drie servers vertegenwoordigen ons totale servergebruik van RFC1918-adressen. Het voegt geen beveiliging toe, slechts een laagje complexiteit, maar we moeten dat selectievakje laten controleren voor audits.


Het originele "IPv6 maakt NAT tot het verleden behorend" idee werd naar voren gebracht voordat de internetboom echt volledig mainstream raakte. In 1995 was NAT een tijdelijke oplossing voor het omzeilen van een kleine IP-toewijzing. In 2005 was het verankerd in veel document met de beste beveiligingsmethoden en ten minste één belangrijke standaard (specifiek voor PCI-DSS). Het enige concrete voordeel dat NAT oplevert, is dat een externe entiteit die recon in het netwerk uitvoert, niet weet hoe het IP-landschap eruit ziet achter het NAT-apparaat (hoewel ze dankzij RFC1918 een goede inschatting hebben) en op NAT-vrije IPv4 (zoals als mijn werk) is dat niet het geval. Het is een kleine stap in verdediging-in-diepte, niet een grote.

De vervanging voor RFC1918-adressen zijn de zogenaamde unieke lokale adressen. Net als RFC1918 worden ze niet gerouteerd, tenzij leeftijdsgenoten er specifiek mee instemmen om ze te laten lopen. In tegenstelling tot RFC1918 zijn ze (waarschijnlijk) wereldwijd uniek. IPv6-adresvertalers die een ULA vertalen naar een wereldwijd IP-adres, bestaan ​​wel in het hogere bereik van de perimetertoepassing, zeker nog niet in de SOHO-uitrusting.

Je kunt prima overleven met een openbaar IP-adres. Houd er rekening mee dat 'publiek' geen 'bereikbaar' garandeert, en het komt goed.


2017 update

In de afgelopen paar maanden, Amazon  heeft IPv6-ondersteuning toegevoegd. Het is zojuist aan hun toegevoegd  aanbieden, en de implementatie ervan geeft enkele aanwijzingen over hoe grootschalige implementaties naar verwachting zullen worden uitgevoerd.

  • U krijgt een / 56 toewijzing (256 subnetten).
  • De toewijzing is een volledig routeerbaar subnet.
  • Er wordt van u verwacht dat u uw firewall-regels instelt () adequaat restrictief.
  • Er is geen NAT, het wordt zelfs niet aangeboden, dus al het uitgaande verkeer zal afkomstig zijn van het daadwerkelijke IP-adres van de instantie.

Om een ​​van de beveiligingsvoordelen van NAT weer toe te voegen, bieden ze nu een Egress-only Internet Gateway. Dit biedt één NAT-achtig voordeel:

  • Subnetten erachter zijn niet rechtstreeks toegankelijk via internet.

Dit biedt een uitgebreide beschermingslaag voor het geval een verkeerd ingestelde firewallregel per ongeluk binnenkomend verkeer toestaat.

Dit aanbod vertaalt het interne adres niet in een enkel adres zoals NAT dat doet. Uitgaand verkeer heeft nog steeds het bron-IP van het exemplaar dat de verbinding opende. Firewalloperators die bronnen in de VPC op de witte lijst willen plaatsen, zullen beter af zijn op het plaatsen van netblocks in plaats van specifieke IP-adressen.

routeable betekent niet altijd bereikbaar.


1: De PCI-DSS-normen zijn gewijzigd in oktober 2010, de verklaring met de verplichte RFC1918-adressen is verwijderd en 'netwerkisolatie' heeft deze vervangen.


182
2017-09-25 00:59



Ik heb dit gemarkeerd als geaccepteerd omdat het het meest complete antwoord is. Ik veronderstel dat sinds elke firewallconfiguratie die ik ooit gelezen heb (sinds ongeveer 1997, toen ik in het veld begon, en dat inclusief FreeBSD-firewalls met de hand bouwen) het gebruik van RFC1918 benadrukt heeft, dat dit niet echt logisch was naar mij. Natuurlijk, als een ISP zullen er enkele problemen zijn met eindgebruikers en hun goedkope routers wanneer de IPv4-adressen opraken, en dat zal niet snel verdwijnen. - Ernie
"IPv6-adresvertalers die een ULA naar een wereldwijd IP-adres vertalen, bestaan ​​wel in het hogere bereik van de perimetertoepassingen, zeker nog niet in de SOHO-uitrusting." Na jarenlang weerstand te hebben geboden, voegde linux hieraan in 3.9.0 ondersteuning toe. - Peter Green
Ik heb een vraag over "NAT gateways worden vaak gebruikt omdat ze zijn gemakkelijker om in een veilige configuratie te komen dan de meeste firewalls. "Voor bedrijven met pro-IT-personeel of voor goed geïnformeerde consumenten is dat geen groot probleem, maar voor de algemene consument / naïeve kleine onderneming is niet iets dat niet" gemakkelijk "is een groot beveiligingsrisico? tientallen jaren van wachtwoordloze "linksys" wifi-netwerken bestonden omdat het niet configureren van de beveiliging "eenvoudiger" was dan het configureren. Met een huis vol IoT-apparaten op consumentenniveau kan ik niet zien dat mijn moeder een IPv6-firewall correct configureert. probleem? - Jason C
@JasonC Nee, omdat de apparatuur op consumentenniveau die al wordt verzonden, wordt verzonden met firewalls die vooraf door de internetprovider zijn geconfigureerd om alle inkomende gesprekken te weigeren. Of geen v6-ondersteuning hebben. De uitdaging is de kracht-gebruikers die denken dat ze weten wat ze doen, maar eigenlijk niet. - sysadmin1138♦
Over het algemeen een uitstekend antwoord, maar ik heb het over het hoofd gezien omdat het nauwelijks de grote olifant in de kamer aansprak: het correct configureren van het beveiligingsapparaat is iets dat je niet zomaar als vanzelfsprekend kunt beschouwen. - Kevin Keane


Onze kantoor-NAT-router (een oude Linksys   BEFSR41) ondersteunt IPv6 niet. Noch   doet een nieuwere router

IPv6 wordt door veel routers ondersteund. Alleen niet dat veel van de goedkope gericht zijn op consumenten en SOHO. In het ergste geval gebruik je gewoon een Linux-box of flash je je router opnieuw met dd-toert of iets om IPv6-ondersteuning te krijgen. Er zijn veel opties, je zult waarschijnlijk alleen maar beter moeten zoeken.

Als we gewoon van ons af moeten komen   deze router en sluit alles aan   rechtstreeks op internet,

Niets over een overgang naar IPv6 suggereert dat u afstand moet doen van perimeterbeveiligingsapparaten, zoals uw router / firewall. Routers en firewalls zijn nog steeds een verplicht onderdeel van vrijwel elk netwerk.

Alle NAT-routers werken effectief als een stateful firewall. Er is niets magisch aan het gebruik van RFC1918-adressen die u zo veel beschermen. Het is het statische deel dat het harde werk doet. Een goed geconfigureerde firewall zal u net zo goed beschermen als u echte of privé-adressen gebruikt.

De enige bescherming die u krijgt van RFC1918-adressen is dat mensen kunnen wegkomen met fouten / luiheid in uw firewallconfiguratie en nog steeds niet zo kwetsbaar zijn.

Er zijn een paar oude hardwareapparaten (dwz printers) die helemaal geen IPv6-mogelijkheden hebben.

Zo? Het is nauwelijks waarschijnlijk dat u dit via internet beschikbaar moet stellen, en op uw interne netwerk kunt u IPv4 en IPv6 blijven gebruiken totdat al uw apparaten worden ondersteund of vervangen.

Als het uitvoeren van meerdere protocollen geen optie is, moet u mogelijk een soort gateway / proxy instellen.

IPSEC zou dit allemaal op de een of andere manier veilig moeten maken

IPSEC versleuteld en authenticeert pakketten. Het heeft niets te maken met het wegwerken van uw grensapparaat en heeft meer bescherming van de gegevens tijdens het transport.


56
2017-09-24 23:55



Precies op zoveel manieren. - sysadmin1138♦
Precies, zorg voor een echte router en u hoeft zich geen zorgen te maken. SonicWall heeft een aantal uitstekende opties om de beveiliging te bieden die u nodig hebt en ondersteunt IPv6 zonder problemen. Deze optie biedt waarschijnlijk betere beveiliging en betere prestaties dan wat u momenteel heeft. (news.sonicwall.com/index.php?s=43&item=1022) Zoals u in dit artikel kunt zien, kunt u ook ipv4 naar ipv6 vertalen met sonicwall-apparaten voor degenen die niet met ipv6 overweg kunnen. - MaQleod


Ja. NAT is dood. Er zijn enkele pogingen ondernomen om de standaarden voor NAT over IPv6 te ratificeren, maar geen van hen is ooit van de grond gekomen.

Dit heeft feitelijk problemen veroorzaakt voor providers die proberen te voldoen aan de PCI-DSS-normen, aangezien de standaard feitelijk stelt dat je achter een NAT moet staan.

Voor mij is dit een van de meest fantastische nieuwtjes die ik ooit heb gehoord. Ik haat NAT, en ik haat carrier-grade NAT zelfs meer.

NAT was alleen bedoeld als een oplossing met een bandaid om ons zover te krijgen dat IPv6 standaard werd, maar het werd ingebakken in de internetmaatschappij.

Voor de overgangsperiode moet je onthouden dat IPv4 en IPv6, afgezien van een vergelijkbare naam, totaal verschillend zijn 1. Dus apparaten die Dual-Stack zijn, uw IPv4 zal NATted zijn en uw IPv6 niet. Het is bijna alsof je twee volledig afzonderlijke apparaten hebt, net verpakt in het ene stuk plastic.

Dus, hoe werkt IPv6-internettoegang? Nou, de manier waarop het internet werkte voordat NAT werd uitgevonden. Uw internetprovider wijst u een IP-bereik toe (hetzelfde als nu, maar meestal krijgt u een / 32 toegewezen, wat betekent dat u slechts één IP-adres krijgt), maar uw bereik bevat nu miljoenen beschikbare IP-adressen. U bent vrij om deze IP-adressen in te vullen zoals u hebt gekozen (met auto-configuratie of DHCPv6). Elk van deze IP-adressen zal zichtbaar zijn vanaf elke andere computer op internet.

Klinkt eng, toch? Uw domeincontroller, home media-pc en uw iPhone met uw verborgen voorraad pornografie zijn allemaal toegankelijk vanaf internet ?! Welnee. Dat is waar een firewall voor is. Een andere geweldige functie van IPv6 is dat het krachten firewalls van een "Allow All" -benadering (zoals de meeste thuisapparaten zijn) in een "Deny All" -benadering, waarbij u diensten voor bepaalde IP-adressen opent. 99,999% van de thuisgebruikers houden hun firewalls graag standaard en volledig vergrendeld, wat betekent dat er geen ongezochte trafiek mag worden ingeschakeld.

1Ok, er is veel meer aan de hand dan dat, maar ze zijn op geen enkele manier compatibel met elkaar, ook al staan ​​ze beide dezelfde protocollen toe die bovenaan draaien


33
2018-03-23 23:42



Hoe zit het met alle mensen die beweren dat het hebben van computers achter NAT extra veiligheid biedt? Ik hoor dit veel van andere IT-beheerders. Het maakt niet uit of u zegt dat een juiste firewall alles is wat u nodig hebt, omdat zoveel van deze mensen geloven dat NAT een beveiligingslaag toevoegt. - user9274
@ user9274 - het biedt beveiliging op twee manieren: 1) het verbergt je interne IP-adres van de wereld (daarom PCI-DSS vereist dit), en 2) het is een extra "hop" van internet naar de lokale machine. Maar om eerlijk te zijn, de eerste is gewoon "beveiliging door middel van obscuriteit", wat helemaal geen beveiliging is, en wat betreft de tweede is een aangetast NAT-apparaat net zo gevaarlijk als een gecompromitteerde server, dus zodra de aanvallers voorbij zijn aan de NAT die waarschijnlijk ga toch in je machine zitten. - Mark Henderson♦
Bovendien was en is een onbedoelde verbetering van de uitputting van IPv4-adressen een mogelijke beveiliging door het gebruik van NAT. Het was zeker geen onlosmakelijk onderdeel van het ontwerpdoel, dat ik me bewust ben. - joeqwerty
De PCI-DSS-normen werden eind oktober 2010 gewijzigd en de NAT-vereiste werd verwijderd (paragraaf 1.3.8 van v1.2). Dus zelfs zij zijn de tijd aan het inhalen. - sysadmin1138♦
@Mark, niet zeker of het de moeite waard is om te vermelden, maar NAT64 komt van de grond, maar het is niet de NAT waar de meeste mensen aan denken. Hiermee kunnen alleen IPv6-netwerken toegang krijgen tot het IPv4-internet zonder samenwerking tussen clients; het vereist DNS64-ondersteuning om het te laten werken. - Chris S


De PCI-DSS-vereiste voor NAT is bekend als veiligheidstheater en niet als daadwerkelijke beveiliging.

De meest recente PCI-DSS is er van af gegaan NAT een absolute vereiste te noemen. Veel organisaties hebben PCI-DSS-audits met IPv4 doorstaan ​​zonder dat NAT stateful firewalls als "gelijkwaardige beveiligingsimplementaties" heeft getoond.

Er zijn andere beveiligde theaterdocumenten die NAT nodig hebben, maar omdat het auditpaden vernietigt en incidentonderzoek / -mitigatie bemoeilijkt, is een meer diepgaande studie van NAT (met of zonder PAT) een netto beveiligingsnegatief.

Een goede stateful firewall zonder NAT is een enorm superieure oplossing voor NAT in een IPv6-wereld. In IPv4 is NAT een noodzakelijk kwaad dat moet worden getolereerd omwille van het behoud van adressen.


18
2018-01-26 17:45



NAT is "luie beveiliging". En met 'luie beveiliging' komt gebrek aan aandacht voor detail en het daaruit voortvloeiende verlies van de beoogde beveiliging. - Skaperen
Helemaal mee eens; hoewel de manier waarop de meeste PCI-DSS-audits worden uitgevoerd (audit door aap met checklist) dat wel is allemaal luie beveiliging en draagt ​​die gebreken. - MadHatter
Voor diegenen die beweren dat NAT "veiligheidstheater" is, wil ik graag een paar maanden geleden verwijzen naar het artikel van The Networking Nerd over de kwetsbaarheid van Memcached. networkingnerd.net/2018/03/02/... Hij is een fervent IPv6-voorstander en NAT hater, maar moest erop wijzen dat duizenden bedrijven hun memcached-servers wijd open hadden gelaten op het internet vanwege firewallregels die "niet zorgvuldig werden gemaakt". NAT dwingt je expliciet te zijn over wat je toestaat in je netwerk. - Kevin Keane


Het zal (helaas) een tijdje duren voordat je weg kunt komen met een single-stack IPv6-netwerk. Tot die tijd is dual-stack met voorkeur voor IPv6 wanneer beschikbaar, de manier om te worden uitgevoerd.

Hoewel de meeste consumentenrouters tegenwoordig IPv6 met stockfirmware niet ondersteunen, kunnen veel routers het ondersteunen met externe firmwares (bijv. Linksys WRT54G met dd-toert, enz.). Ook ondersteunen veel apparaten van topklasse (Cisco, Juniper) IPv6 out-of-the-box.

Het is belangrijk om PAT (many-to-one NAT, zoals gebruikelijk bij consumer routers) niet te verwarren met andere vormen van NAT en met NAT-vrije firewalling; Zodra het internet IPv6-only wordt, zullen firewalls nog steeds de blootstelling van interne services voorkomen. Evenzo wordt een IPv4-systeem met één-op-één NAT niet automatisch beveiligd; dat is de taak van een firewallbeleid.


11
2017-09-24 23:52





Als NAT overleeft in de IPv6-wereld, is het hoogstwaarschijnlijk 1: 1 NAT. Een vorm een ​​NAT nooit gezien in IPv4-ruimte. Wat is 1: 1 NAT? Het is een 1: 1 vertaling van een wereldwijd adres naar een lokaal adres. Het IPv4-equivalent vertaalt alle verbindingen naar 1.1.1.2 alleen naar 10.1.1.2, enzovoort voor de volledige 1.0.0.0/8-ruimte. De IPv6-versie zou een globaal adres vertalen naar een uniek lokaal adres.

Verbeterde beveiliging kan worden geboden door de toewijzing regelmatig te roteren voor adressen die u niet interesseren (zoals interne kantoorgebruikers die op Facebook browsen). Intern zouden uw ULA-nummers hetzelfde blijven, dus uw split-horizon DNS zou prima blijven werken, maar extern zouden clients nooit op een voorspelbare poort staan.

Maar echt, het is een kleine hoeveelheid verbeterde beveiliging voor het gedoe dat het creëert. Het scannen van IPv6-subnetten is een erg grote taak en is niet haalbaar zonder enige reconferentie over hoe IP-adressen worden toegewezen aan die subnetten (MAC-generatiemethode? Willekeurige methode? Statische toewijzing van voor de mens leesbare adressen?).

In de meeste gevallen zal het gebeuren dat clients achter de firewall van het bedrijf een globaal adres krijgen, misschien een ULA, en dat de perimeter-firewall zo is ingesteld dat alle inkomende verbindingen van welke aard dan ook worden geweigerd aan die adressen. Voor alle doeleinden zijn deze adressen van buitenaf onbereikbaar. Zodra de interne client een verbinding tot stand heeft gebracht, worden pakketten langs die verbinding toegestaan. De noodzaak om het IP-adres te wijzigen in iets totaal anders, wordt afgehandeld door een aanvaller te dwingen om door 2 ^ 64 mogelijke adressen in dat subnet te bladeren.


9
2018-03-24 02:33



@ sysadmin1138: Ik vind deze oplossing leuk. Aangezien ik momenteel IPv6 begrijp, als mijn ISP me een / 64 geeft, zou ik die / 64 op mijn hele netwerk moeten gebruiken als ik wil dat mijn machines IPv6-internet toegankelijk zijn. Maar als ik genoeg heb van die ISP en naar een andere provider ga, moet ik nu alles opnieuw nummeren. - Kumba
@ sysadmin1138: Dat gezegd hebbende, heb ik echter gemerkt dat ik veel meer IP's kan toewijzen aan een enkele interface dan met IPv4, dus ik kan het gebruik van de door de ISP gegeven / 64 voor externe toegang en mijn eigen interne ULA-schema voor communiceert tussen hosts en gebruikt een firewall om de ULA-adressen van buitenaf onbereikbaar te maken. Er is meer instellingswerk bij betrokken, maar het lijkt erop dat NAT helemaal wordt vermeden. - Kumba
@ sysadmin1138: NOG STEEDS krabben mijn hoofd waarom ULA, voor alle intenties en doeleinden, privé zijn, toch wordt verwacht dat ze nog steeds wereldwijd uniek zijn. Het is alsof ik zeg dat ik een auto van elk merk en model op dit moment beschikbaar kan hebben, maar geen merk / model / jaar dat al door iemand anders is gebruikt, ook al is het mijn auto en zal ik de enige bestuurder zijn die het ooit zal hebben. - Kumba
@Kumba De reden dat RFC 4193-adressen wereldwijd uniek moeten zijn, is ervoor te zorgen dat u in de toekomst niet opnieuw hoeft te nummeren. Misschien moet je op een dag twee netwerken samenvoegen met behulp van RFC 4193-adressen, of een machine die al een RFC 4193-adres kan hebben, moet mogelijk verbinding maken met een of meer VPN's die ook RFC 4193-adressen hebben. - kasperd
@Kumba Als iedereen fd00 :: / 64 zou gebruiken voor het eerste segment op zijn netwerk, zou je zeker een conflict tegenkomen zodra een paar van twee van zulke netwerken moest communiceren. Het punt van RFC 4193 is dat zolang u uw 40 bits willekeurig kiest, u de resterende 80 bits kunt toewijzen zoals u wilt en vol vertrouwen blijven, dat u niet opnieuw hoeft te nummeren. - kasperd


RFC 4864 beschrijft IPv6 Local Network Protection, een reeks benaderingen voor het leveren van de waargenomen voordelen van NAT in een IPv6-omgeving, zonder feitelijk gebruik te hoeven maken van NAT.

Dit document beschrijft een aantal technieken die kunnen worden gecombineerd op een IPv6-site om de integriteit van de netwerkarchitectuur te beschermen. Deze technieken, gezamenlijk bekend als Lokale netwerkbeveiliging, behouden het concept van een goed gedefinieerde grens tussen 'binnen' en 'buiten' het particuliere netwerk en zorgen voor firewalling, verborgen topologie en privacy. Omdat ze echter zorgen voor transparantie van het adres waar ze nodig zijn, bereiken ze deze doelen zonder het nadeel van adresvertaling. Lokale netwerkbeveiliging in IPv6 kan dus de voordelen van IPv4-netwerkadresomzetting bieden zonder de bijbehorende nadelen.

Het geeft eerst aan wat de waargenomen voordelen van NAT zijn (en ontkracht ze indien nodig) en beschrijft vervolgens de kenmerken van IPv6 die kunnen worden gebruikt om dezelfde voordelen te bieden. Het bevat ook implementatienota's en casestudy's.

Hoewel het te lang is om hier opnieuw af te drukken, zijn de besproken voordelen:

  • Een eenvoudige toegangspoort tussen "binnen" en "buiten"
  • De stateful firewall
  • Volgen van gebruikers / toepassingen
  • Privacy en topologie verbergen
  • Onafhankelijke controle van adressering in een privaat netwerk
  • Multihoming / hernummering

Dit bestrijkt vrijwel alle scenario's waarin men NAT zou hebben gewild en biedt oplossingen voor de implementatie ervan in IPv6 zonder NAT.

Enkele van de technologieën die u zult gebruiken zijn:

  • Unieke lokale adressen: Geef de voorkeur aan uw interne netwerk om uw interne communicatie intern te houden en ervoor te zorgen dat de interne communicatie kan doorgaan, ook als de ISP uitvalt.
  • IPv6-privacy-extensies met korte adreslevensduren en niet-duidelijk gestructureerde interface-ID's: deze helpen voorkomen dat individuele hosts en subnet-scans worden aangevallen.
  • IGP, Mobile IPv6 of VLAN's kunnen worden gebruikt om de topologie van het interne netwerk te verbergen.
  • Samen met ULA's maakt DHCP-PD van de ISP hernummering / multihoming gemakkelijker dan met IPv4.

(Zie de RFC voor volledige details; nogmaals, het is veel te lang om nog meer herdrukken of zelfs maar belangrijke fragmenten te maken.)

Zie voor een meer algemene bespreking van IPv6-overgangsbeveiliging RFC 4942.


9
2018-05-13 18:37





Er is een enorme hoeveelheid verwarring over dit onderwerp, omdat netwerkbeheerders NAT in één oogopslag zien en kleine en huishoudelijke klanten het in een ander zien. Laat me het verduidelijken.

Statische NAT (soms een-op-een genoemd) aanbiedingen absoluut geen bescherming voor uw privénetwerk of een individuele pc. Het wijzigen van het IP-adres is zinloos wat beveiliging betreft.

Dynamische overbelaste NAT / PAT zoals de meeste residentiële gateways en wifi AP's absoluut helpen om uw privé-netwerk en / of uw pc te beschermen. De NAT-tabel in deze apparaten is een statustabel. Het houdt de uitgaande aanvragen bij en brengt ze in kaart in de NAT-tabel - de verbindingen komen na een bepaalde tijd vrij. Alle ongevraagde inkomende frames die niet overeenkomen met wat in de NAT-tabel staat, worden standaard weggelaten. De NAT-router weet niet waar deze in het privé-netwerk moet worden verzonden, zodat deze worden verwijderd. Op deze manier is uw router het enige apparaat dat u kwetsbaar laat om te worden gehackt. Omdat de meeste beveiligingsdetecties gebaseerd zijn op Windows - een dergelijk apparaat tussen internet en uw Windows-pc helpt u echt om uw netwerk te beschermen. Het is misschien niet de oorspronkelijk bedoelde functie, die moest worden opgeslagen op openbare IP's, maar het klopt. Als een bonus hebben de meeste van deze apparaten ook firewall-mogelijkheden die vaak ICMP-verzoeken standaard blokkeren, wat ook helpt om het netwerk te beschermen.

Gezien de bovenstaande informatie kan het weggooien met NAT bij verhuizing naar IPv6 miljoenen consumentenapparaten en apparaten voor kleine bedrijven blootstellen aan potentieel hacken. Het zal weinig tot geen effect hebben op bedrijfsnetwerken omdat ze professioneel beheerde firewalls op hun rand hebben. Consumenten- en kleine bedrijfsnetwerken hebben mogelijk niet langer een op * nix gebaseerde NAT-router tussen internet en hun pc's. Er is geen reden waarom een ​​persoon niet zou kunnen overschakelen naar een alleen-firewall-oplossing - veel veiliger indien correct geïmplementeerd, maar ook buiten het bereik van wat 99% van de consumenten begrijpt hoe te doen. Dynamisch overbelast NAT geeft een beetje bescherming door het gewoon te gebruiken - sluit je router aan en je bent beschermd. Gemakkelijk.

Dat gezegd hebbende, is er geen reden dat NAT niet op exact dezelfde manier zou kunnen worden gebruikt als het wordt gebruikt in IPv4. In feite zou een router kunnen worden ontworpen om één IPv6-adres op de WAN-poort te hebben met een IPv4-privénetwerk erachter dat NAT erop past (bijvoorbeeld). Dit zou een eenvoudige oplossing zijn voor consumenten en residentiële mensen. Een andere optie is om alle apparaten met openbare IPv6 IP's te plaatsen --- het tussenliggende apparaat zou dan als een L2-apparaat kunnen fungeren, maar een staatstabel, pakketinspectie en volledig functionerende firewall bieden. In wezen geen NAT, maar blokkeert nog steeds alle ongevraagde inkomende frames. Het belangrijkste dat u moet onthouden, is dat u uw pc's niet rechtstreeks op uw WAN-verbinding hoeft aan te sluiten zonder tussenapparatuur. Tenzij je natuurlijk op de Windows-firewall wilt vertrouwen. . . en dat is een andere discussie. Elk netwerk, zelfs thuisnetwerken, heeft een randapparaat nodig dat het lokale netwerk beschermt, naast het gebruik van de Windows-firewall.

Er zullen wat groeipijnen zijn naar IPv6, maar er is geen enkel probleem dat niet gemakkelijk kan worden opgelost. Zal je je oude IPv4-router of gateway voor thuisgebruik moeten vernietigen? Misschien, maar er zullen goedkope nieuwe oplossingen beschikbaar zijn als de tijd daar is. Hopelijk hebben veel apparaten alleen een firmwareflits nodig. Kan IPv6 zo zijn ontworpen dat het naadloos in de huidige architectuur past? Zeker, maar het is wat het is en het gaat niet weg - dus je kunt het net zo goed leren, het leven, ervan houden.


8
2018-06-09 14:38



Voor wat het waard is, wil ik herhalen dat de huidige architectuur fundamenteel wordt verbroken (end-to-end routability) en dit zorgt voor praktische problemen in complexe netwerken (redundante NAT-apparaten zijn te ingewikkeld en duur). Het laten vallen van de NAT-hack vermindert de complexiteit en mogelijke faalkansen, terwijl de beveiliging wordt gehandhaafd door eenvoudige stateful firewalls (ik kan me geen seconde voorstellen dat een SOHO-router zonder de stateful firewall standaard wordt ingeschakeld, zodat klanten kunnen plug-n-play zonder een gedachte). - Chris S
Soms is een gebroken end-to-end routeerbaarheid precies wat u zoekt. Ik wil niet dat mijn printers en pc's naar internet kunnen worden geleid. Hoewel NAT begon als een hack, is het geëvolueerd tot een zeer bruikbare tool die in sommige gevallen de beveiliging kan verbeteren door het potentieel voor pakketten om rechtstreeks naar een knooppunt te leiden, te verwijderen. Als ik een RFC1918 IP statisch op een pc heb toegewezen, is dat IP onder geen beding routeerbaar op het internet. - Computerguy
Broken routability is Een slecht ding. Wat u wilt is dat uw apparaten onbereikbaar zijn voor internet (door een firewall), dat is niet hetzelfde. Zien Waarom zou u IPv6 intern gebruiken?. RFC1918 stelt ook dat die adressen alleen voor privé-netwerken moeten worden gebruikt en dat toegang tot internet alleen moet worden geboden door gateways voor toepassingslagen (NAT is dat niet). Voor externe verbindingen moet aan de host een adres worden toegewezen van een door IANA gecoördineerde toewijzing. Hacks, hoe nuttig ook, maken onnodige compromissen en zijn niet de 'juiste' manier. - Chris S


Soort van. Er zijn eigenlijk verschillende "types" van IPv6-adressen. Het dichtst bij RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) wordt "Uniek lokaal adres" genoemd en wordt gedefinieerd in RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Dus begin je met fd00 :: / 8, voeg dan een 40-bits string toe (met behulp van een vooraf gedefinieerd algoritme in de RFC!), En je krijgt een pseudo-random / 48-voorvoegsel dat wereldwijd uniek zou moeten zijn. U hebt de rest van de adresruimte die u wilt toewijzen, zoals u dat wilt.

Je moet ook fd00 :: / 7 (fc00 :: / 8 en fd00 :: / 8) op je (IPv6) router buiten je organisatie blokkeren - vandaar de "local" in de adresnaam. Deze adressen moeten, hoewel ze zich in de algemene adresruimte bevinden, niet bereikbaar zijn voor de hele wereld, alleen binnen uw "organisatie".

Als uw PCI-DSS-servers een IPv6 nodig hebben voor connectiviteit met andere interne IPv6-hosts, moet u een ULA-prefix genereren voor uw bedrijf en dit voor dit doel gebruiken. Je kunt de auto-config van IPv6 gebruiken, net als elk ander voorvoegsel als je dat wilt.

Aangezien IPv6 zo is ontworpen dat hosts meerdere adressen kunnen hebben, kan een machine naast een ULA ook een wereldwijd routeerbaar adres hebben. Dus een webserver die zowel met de buitenwereld als met intern machines moet kunnen communiceren, kan zowel een door de ISP toegewezen prefixadres als uw ULA-voorvoegsel hebben.

Als je NAT-achtige functionaliteit wilt, kun je ook naar NAT66 kijken, maar in het algemeen zou ik architecten rond ULA zijn. Als u nog vragen heeft, kunt u de "ipv6-ops" mailinglijst bekijken.


7
2018-03-24 00:05



Hah. Ik schrijf al deze opmerkingen naar sysadmin1138 en dacht er zelfs niet aan om te kijken naar uw antwoord over het gebruik van dubbele adressen voor wereldwijde en lokale communicatie. Ik ben het echter absoluut niet eens met de voorschriften van ULA die wereldwijd uniek moeten zijn. Ik hou niet van gerandomiseerde, 40-bits getallen helemaal niet, vooral voor mijn interne LAN, waarvan ik ben de enige gebruiker. Ze hebben waarschijnlijk een werelddatabase van ULA's nodig om te worden geregistreerd (SixXS werkt zo), maar gooi het willekeurige getallen stuk en laat mensen creatief zijn. Zoals gepersonaliseerde kentekenplaten. U vraagt ​​er een aan en als het wordt genomen, probeert u het voor een ander. - Kumba
@Kumba ze proberen elk netwerk te stoppen met behulp van dezelfde adressen - willekeurig betekent dat je geen openbare database nodig hebt en elk netwerk onafhankelijk is; als u IP-adressen centraal wilt uitgeven, gebruik dan alleen wereldwijde! - Richard Gadsden
@Richard: Dat is een ... Hoe zet ik het, idioot concept, IMHO. Waarom zou het ertoe doen als kleine Joe Company in een stad in Montana dezelfde IPv6-adressering gebruikt als een ander klein bedrijf in Perth, Australië? De kans dat de twee elkaar kruisen, hoewel niet onmogelijk, is behoorlijk onwaarschijnlijk. Als de bedoeling van de IPv6-ontwerpers was om het concept van "privé-netwerken" volledig te schenden, dan moeten ze hun koffie laten controleren, omdat dat niet realistisch haalbaar is. - Kumba
@Kumba Ik denk dat het de littekens zijn van wanneer je in 10/8 twee grote IPv4-privénetwerken probeert samen te voegen en je één (of zelfs beide) ervan opnieuw moet nummeren dat ze proberen te vermijden. - Richard Gadsden
@Richard: Precies, er is niets pijnlijker dan VPN gebruiken om verbinding te maken met een ander netwerk met hetzelfde privé-subnet, sommige implementaties stoppen gewoon met werken. - Hubert Kario