Wenn Sie zu IPv6 wechseln, müssen Sie NAT löschen. Ist das eine gute sache

109

Dies ist eine kanonische Frage zu IPv6 und NAT

Verbunden:

Deshalb hat unser ISP kürzlich IPv6 eingerichtet, und ich habe untersucht, was der Übergang bedeuten sollte, bevor ich in den Kampf einspringe.

Ich habe drei sehr wichtige Probleme festgestellt:

  1. Unser Office-NAT-Router (ein alter Linksys BEFSR41) unterstützt IPv6 nicht. Auch kein neuerer Router, AFAICT. Das Buch, das ich über IPv6 lese, sagt mir, dass es NAT sowieso "unnötig" macht.

  2. Wenn wir diesen Router einfach loswerden und alles direkt mit dem Internet verbinden sollen, gerate ich in Panik. Ich werde unsere Abrechnungsdatenbank (mit vielen Kreditkarteninformationen!) Auf keinen Fall ins Internet stellen, damit jeder sie sehen kann. Selbst wenn ich vorschlage, die Windows-Firewall so einzurichten, dass nur 6 Adressen überhaupt darauf zugreifen können, bricht ich immer noch in kaltem Schweiß aus. Ich vertraue Windows, der Windows-Firewall oder dem Netzwerk nicht so sehr, dass ich mich damit auch nur annähernd auskenne.

  3. Es gibt einige alte Hardwaregeräte (dh Drucker), die überhaupt keine IPv6-Fähigkeit haben. Und wahrscheinlich eine Wäscheliste mit Sicherheitsproblemen aus der Zeit um 1998. Und wahrscheinlich keine Möglichkeit, sie tatsächlich auf irgendeine Weise zu patchen. Und keine Finanzierung für neue Drucker.

Ich habe gehört, dass IPv6 und IPSEC das alles irgendwie sicher machen sollen, aber ohne physisch getrennte Netzwerke, die diese Geräte für das Internet unsichtbar machen, kann ich wirklich nicht sehen, wie. Ich kann auch wirklich sehen, wie jede Verteidigung, die ich aufbaue, in kurzer Zeit überrollt wird. Ich betreibe seit Jahren Server im Internet und bin mit den Dingen, die zum Schutz dieser Server erforderlich sind, gut vertraut, aber es kam nie in Frage, etwas Privates wie unsere Abrechnungsdatenbank ins Netzwerk zu stellen.

Womit sollte ich NAT ersetzen, wenn wir keine physisch getrennten Netzwerke haben?

networking ipv6 Ernie
quelle
9
Können Sie versuchen, das noch einmal zu fragen? Im Moment scheint es ziemlich argumentativ zu sein.
Zoredache
9
Die Dinge, über die Sie schockiert sind, existieren nicht. Vielleicht sollten Sie Ihre Frage so umformatieren, dass sie die Dinge beschreibt, von denen Sie glauben, dass sie Tatsachen sind, und uns bitten, sie zu bestätigen. Anstatt sich über Dinge zu beschweren, von denen Sie angenommen haben, wird dies auf eine bestimmte Weise funktionieren.
Zoredache
25
Auch - Sie speichern Kreditkarteninformationen? Und Sie haben so viele Fragen zur Sicherheit? Haben Sie jemals ein PCI-Audit bestanden? Oder brechen Sie Ihren Vertrag, indem Sie die Kreditkartendaten speichern? Vielleicht möchten Sie dies nach der Eile untersuchen.
Mfinni
4
Ich kann diese Frage nicht guten Gewissens herabstimmen oder abschließen, auch nicht, weil das Plakat schlecht informiert ist (das ist sicherlich der halbe Punkt der Website). Zugegeben, das OP bewegt sich auf der Grundlage einer falschen Annahme in einer großen Tangente, und die Frage könnte ein erneutes Schreiben vertragen.
Chris Thorpe
3
"No more NAT" ist definitiv eines der Ziele in IPv6. Im Moment scheint (zumindest hier) das Interesse, IPv6 tatsächlich anzubieten, nicht besonders groß zu sein, außer in Rechenzentren (weil größere Pakete mehr Bandbreite bedeuten und mehr Bandbreite mehr Geld für sie bedeutet!). Bei DSL ist das Gegenteil der Fall, so ziemlich jeder hat eine Flatrate. IPv6 bedeutet also nur mehr Ärger und mehr Kosten für die Anbieter.
dm.skt

Antworten:

185

In erster Linie gibt es nichts zu befürchten, wenn Sie eine öffentliche IP-Zuweisung vornehmen, solange Ihre Sicherheitsgeräte richtig konfiguriert sind.

Womit sollte ich NAT ersetzen, wenn wir keine physisch getrennten Netzwerke haben?

Das gleiche, womit wir sie seit den 1980er Jahren physisch getrennt haben, Router und Firewalls. Der einzige große Sicherheitsgewinn, den Sie mit NAT erzielen, besteht darin, dass Sie dazu gezwungen werden, die Konfiguration standardmäßig zu verweigern. Um einen Service zu erhalten , müssen Sie explizit Löcher stanzen. Die schickeren Geräte ermöglichen es Ihnen sogar, IP-basierte ACLs auf diese Lücken anzuwenden, genau wie bei einer Firewall. Wahrscheinlich, weil sie tatsächlich 'Firewall' auf der Box haben.

Eine korrekt konfigurierte Firewall bietet genau den gleichen Dienst wie ein NAT-Gateway. NAT-Gateways werden häufig verwendet, da sie einfacher in eine sichere Konfiguration zu gelangen sind als die meisten Firewalls.

Ich habe gehört, dass IPv6 und IPSEC das alles irgendwie sicher machen sollen, aber ohne physisch getrennte Netzwerke, die diese Geräte für das Internet unsichtbar machen, kann ich wirklich nicht sehen, wie.

Das ist ein Irrtum. Ich arbeite für eine Universität mit einer / 16-IPv4-Zuweisung, und die überwiegende Mehrheit unseres IP-Adressverbrauchs erfolgt über diese öffentliche Zuweisung. Sicherlich alle unsere Endbenutzer-Workstations und -Drucker. Unser RFC1918-Verbrauch ist auf Netzwerkgeräte und bestimmte Server beschränkt, für die solche Adressen erforderlich sind. Es würde mich nicht wundern, wenn Sie gerade erschaudern würden, denn ich tat es mit Sicherheit, als ich an meinem ersten Tag auftauchte und das Post-It mit meiner IP-Adresse auf meinem Monitor sah.

Und doch überleben wir. Warum? Weil wir eine externe Firewall haben, die für die Standardverweigerung mit begrenztem ICMP-Durchsatz konfiguriert ist. Nur weil 140.160.123.45 theoretisch routingfähig ist, heißt das nicht, dass Sie von jedem Ort im öffentlichen Internet dorthin gelangen können. Dafür wurden Firewalls entwickelt.

Wenn die richtigen Routerkonfigurationen und unterschiedliche Subnetze in unserer Zuordnung vorhanden sind, sind sie möglicherweise nicht voneinander zu erreichen. Sie können dies in Routertabellen oder Firewalls tun. Dies ist ein separates Netzwerk und hat unsere Sicherheitsprüfer in der Vergangenheit zufriedengestellt.

Ich werde unsere Abrechnungsdatenbank (mit vielen Kreditkarteninformationen!) Auf keinen Fall ins Internet stellen, damit jeder sie sehen kann.

Unsere Abrechnungsdatenbank befindet sich auf einer öffentlichen IPv4-Adresse und ist seit jeher vorhanden. Wir haben jedoch den Beweis, dass Sie von hier aus nicht dorthin gelangen können. Nur weil eine Adresse in der öffentlichen Routing-Liste von v4 enthalten ist, bedeutet dies nicht, dass die Zustellung garantiert ist. Die zwei Firewalls zwischen dem Bösen des Internets und den tatsächlichen Datenbankports filtern das Böse heraus. Selbst von meinem Schreibtisch aus, hinter der ersten Firewall, kann ich nicht zu dieser Datenbank gelangen.

Kreditkarteninformationen sind ein Sonderfall. Dies unterliegt den PCI-DSS-Standards, und die Standards geben direkt an, dass Server, die solche Daten enthalten, sich hinter einem NAT-Gateway 1 befinden müssen . Unsere sind und diese drei Server repräsentieren unsere gesamte Serverauslastung von RFC1918-Adressen. Es erhöht nicht die Sicherheit, sondern nur die Komplexität, aber wir müssen dieses Kontrollkästchen für Audits aktivieren.

Die ursprüngliche Idee "IPv6 macht NAT der Vergangenheit an" wurde vorgebracht, bevor der Internetboom wirklich den vollen Mainstream erreichte. 1995 war NAT eine Problemumgehung, um eine kleine IP-Zuweisung zu umgehen. Im Jahr 2005 wurde es in vielen Dokumenten zu bewährten Sicherheitsmethoden und mindestens einem wichtigen Standard (PCI-DSS, um genau zu sein) verankert. Der einzige konkrete Vorteil von NAT besteht darin, dass eine externe Einheit, die im Netzwerk eine Aufklärung durchführt, nicht weiß, wie die IP-Landschaft hinter dem NAT-Gerät aussieht (obwohl sie dank RFC1918 eine gute Vermutung haben), und bei NAT-freiem IPv4 (z als meine Arbeit) ist das nicht der Fall. Es ist ein kleiner Schritt in der Tiefenverteidigung, kein großer.

Die Ersatzadressen für RFC1918 werden als eindeutige lokale Adressen bezeichnet. Wie RFC1918 leiten sie nicht weiter, es sei denn, Peers erklären sich ausdrücklich damit einverstanden, dass sie leiten. Im Gegensatz zu RFC1918 sind sie (wahrscheinlich) weltweit einzigartig. IPv6-Adressübersetzer, die eine ULA in eine globale IP umwandeln, gibt es im Perimeter-Getriebe mit höherer Reichweite, definitiv noch nicht im SOHO-Getriebe.

Mit einer öffentlichen IP-Adresse können Sie problemlos überleben. Denken Sie daran, dass "öffentlich" nicht garantiert "erreichbar", und Sie werden in Ordnung sein.

Update 2017

In den letzten Monaten hat Amazon aws IPv6-Unterstützung hinzugefügt. Es wurde gerade zu ihrem amazon-vpc- Angebot hinzugefügt , und ihre Implementierung gibt einige Hinweise darauf, wie groß angelegte Bereitstellungen voraussichtlich durchgeführt werden.

  • Sie erhalten eine / 56-Zuweisung (256 Subnetze).
  • Die Zuordnung ist ein vollständig routbares Subnetz.
  • Es wird von Ihnen erwartet, dass Sie Ihre Firewall-Regeln ( Sicherheitsgruppen ) entsprechend einschränken.
  • Es gibt kein NAT, es wird nicht einmal angeboten, sodass der gesamte ausgehende Datenverkehr von der tatsächlichen IP-Adresse der Instanz stammt.

Um einen der Sicherheitsvorteile von NAT wieder hinzuzufügen, bieten sie jetzt ein Internet-Gateway nur für Egress an . Dies bietet einen NAT-ähnlichen Vorteil:

  • Dahinterliegende Subnetze können nicht direkt aus dem Internet erreicht werden.

Dies bietet eine Ebene der Tiefenverteidigung für den Fall, dass eine falsch konfigurierte Firewall-Regel versehentlich eingehenden Datenverkehr zulässt.

Dieses Angebot übersetzt die interne Adresse nicht wie NAT in eine einzelne Adresse. Ausgehender Datenverkehr hat weiterhin die Quell-IP der Instanz, die die Verbindung geöffnet hat. Firewall-Betreiber, die auf der Suche nach Whitelist-Ressourcen in der VPC sind, sind besser dran, Netblocks auf die Whitelist zu setzen als bestimmte IP-Adressen.

Routeable heißt nicht immer erreichbar .

1 : Die PCI-DSS-Standards wurden im Oktober 2010 geändert, die Anweisung, die RFC1918-Adressen vorschreibt, wurde entfernt und durch "Netzwerkisolation" ersetzt.

sysadmin1138
quelle
1
Ich habe dies als "Akzeptiert" markiert, da dies die vollständigere Antwort ist. Ich vermute, dass seit jeder Firewall-Konfiguration, die ich jemals gelesen habe (seit ungefähr 1997, als ich vor Ort angefangen habe, und dazu gehört das Erstellen von FreeBSD-Firewalls von Hand), die Verwendung von RFC1918 betont hat, dass dies keinen Sinn ergab mir. Natürlich werden wir als ISP einige Probleme mit Endbenutzern und ihren billigen Routern haben, wenn uns die IPv4-Adressen ausgehen, und das wird nicht so schnell verschwinden.
Ernie
"IPv6-Adressübersetzer, die eine ULA in eine globale IP umwandeln, gibt es im Perimeter-Bereich mit höherer Reichweite, definitiv noch nicht im SOHO-Bereich."
Peter Green
2
Ich habe eine Frage zu "NAT-Gateways werden häufig verwendet, weil sie einfacher in eine sichere Konfiguration zu gelangen sind als die meisten Firewalls". Für Unternehmen mit professionellen IT-Mitarbeitern oder für sachkundige Verbraucher ist das keine große Sache, aber für den allgemeinen Verbraucher / naiven Kleinunternehmer ist etwas, das nicht einfach ist, kein großes Sicherheitsrisiko. ZB gab es Jahrzehnte passwortloser "linksys" -Wifi-Netzwerke, weil die Konfiguration der Sicherheit "einfacher" war als die Konfiguration. In einem Haus voller IoT-fähiger Geräte für Endverbraucher kann ich meiner Mutter nicht vorstellen, eine IPv6-Firewall ordnungsgemäß zu konfigurieren. Halten Sie das für ein Problem?
Jason C
6
@JasonC Nein, da die bereits ausgelieferte Consumer-Ausrüstung Firewalls enthält, die vom ISP vorkonfiguriert wurden, um alle eingehenden Nachrichten abzulehnen. Oder Sie haben keine Unterstützung für V6. Die Herausforderung sind die Power-User, die glauben, zu wissen, was sie tun, es aber tatsächlich nicht tun.
sysadmin1138
1
Insgesamt eine ausgezeichnete Antwort, aber ich habe sie abgelehnt, weil sie den großen Elefanten im Raum kaum ansprach: Die richtige Konfiguration des Sicherheitsgeräts ist etwas, das man nicht für selbstverständlich hält.
Kevin Keane
57

Unser Office-NAT-Router (ein alter Linksys BEFSR41) unterstützt IPv6 nicht. Auch kein neuerer Router

IPv6 wird von vielen Routern unterstützt. Nur nicht so viele der billigen richten sich an Verbraucher und SOHO. Verwenden Sie im schlimmsten Fall einfach eine Linux-Box oder flashen Sie Ihren Router erneut mit dd-wrt oder etwas anderem, um IPv6-Unterstützung zu erhalten. Es gibt viele Möglichkeiten, man muss wahrscheinlich nur genauer hinschauen.

Wenn wir diesen Router einfach loswerden und alles direkt mit dem Internet verbinden sollen,

Nichts über eine Umstellung auf IPv6 spricht dafür, dass Sie Peripheriesicherheitsgeräte wie Ihren Router / Ihre Firewall entfernen sollten. Router und Firewalls werden nach wie vor in nahezu jedem Netzwerk benötigt.

Alle NAT-Router fungieren effektiv als Stateful Firewall. Die Verwendung von RFC1918-Adressen, die Sie so sehr schützen, ist nichts Magisches. Es ist das Stateful Bit, das die harte Arbeit erledigt. Eine richtig konfigurierte Firewall schützt Sie genauso gut, wenn Sie echte oder private Adressen verwenden.

Der einzige Schutz, den Sie vor RFC1918-Adressen erhalten, besteht darin, dass Benutzer mit Fehlern / Faulheit in Ihrer Firewall-Konfiguration davonkommen und dennoch nicht allzu anfällig sind.

Es gibt einige alte Hardwaregeräte (dh Drucker), die überhaupt keine IPv6-Fähigkeit haben.

Damit? Es ist kaum wahrscheinlich, dass Sie dies über das Internet bereitstellen müssen, und in Ihrem internen Netzwerk können Sie weiterhin IPv4 und IPv6 ausführen, bis alle Ihre Geräte unterstützt oder ersetzt werden.

Wenn das Ausführen mehrerer Protokolle nicht möglich ist, müssen Sie möglicherweise eine Art Gateway / Proxy einrichten.

IPSEC soll das alles irgendwie sicher machen

IPSEC verschlüsselt und authentifiziert Pakete. Es hat nichts damit zu tun, Ihr Grenzgerät loszuwerden, und es schützt die Daten während der Übertragung.

Zoredache
quelle
2
In vielerlei Hinsicht richtig.
sysadmin1138
3
Holen Sie sich genau einen echten Router und Sie müssen sich keine Sorgen machen. SonicWall bietet einige hervorragende Optionen für die erforderliche Sicherheit und unterstützt IPv6 problemlos. Diese Option bietet wahrscheinlich eine bessere Sicherheit und Leistung als die derzeitige. ( news.sonicwall.com/index.php?s=43&item=1022 ) Wie Sie in diesem Artikel sehen können, können Sie auch IPv4-IPv6-Übersetzungen mit Sonicwall-Geräten für diejenigen durchführen, die IPv6 nicht verarbeiten können.
MaQleod,
34

Ja. NAT ist tot. Es gab einige Versuche, Standards für NAT über IPv6 zu ratifizieren, aber keiner von ihnen ist jemals in Gang gekommen.

Dies hat tatsächlich Probleme für Anbieter verursacht, die versuchen, PCI-DSS-Standards zu erfüllen, da der Standard tatsächlich besagt, dass Sie sich hinter einem NAT befinden müssen.

Für mich sind dies einige der schönsten Neuigkeiten, die ich je gehört habe. Ich hasse NAT und ich hasse NAT der Carrier-Klasse noch mehr.

NAT sollte immer nur eine bandaide Lösung sein, um uns durchzubringen, bis IPv6 zum Standard wurde, aber es hat sich in der Internet-Gesellschaft verankert.

Für die Übergangszeit muss beachtet werden, dass IPv4 und IPv6, abgesehen von einem ähnlichen Namen, völlig unterschiedlich sind 1 . Bei Geräten mit Dual-Stack wird IPv4 NAT-fähig und IPv6-fähig. Es ist fast so, als hätten Sie zwei völlig getrennte Geräte, die nur in einem Stück Plastik verpackt sind.

Wie funktioniert der IPv6-Internetzugang? Nun, die Art und Weise, wie das Internet vor der Erfindung von NAT funktionierte. Ihr ISP weist Ihnen einen IP-Bereich zu (wie jetzt, aber im Allgemeinen erhalten Sie eine / 32, was bedeutet, dass Sie nur eine IP-Adresse erhalten), aber Ihr Bereich enthält jetzt Millionen von verfügbaren IP-Adressen. Sie können diese IP-Adressen nach Belieben eingeben (mit automatischer Konfiguration oder DHCPv6). Jede dieser IP-Adressen ist von jedem anderen Computer im Internet aus sichtbar.

Klingt unheimlich, oder? Ihr Domain-Controller, Ihr Heim-Media-PC und Ihr iPhone mit Ihrem versteckten Vorrat an Pornografie sind alle über das Internet erreichbar ?! Nun, nein. Dafür ist eine Firewall gedacht. Ein weiteres großartiges Feature von IPv6 ist , dass es zwingt Firewalls von einem Ansatz „Alle zulassen“ (wie die meisten Heimgeräte sind) in einen Ansatz „Deny All“, wo Sie Dienste eröffnen für bestimmte IP - Adressen. 99,999% der Heimanwender behalten gerne ihre Firewalls standardmäßig und vollständig gesperrt bei, was bedeutet, dass kein unaufgeforderter Datenverkehr zugelassen wird.

1 Ok, es gibt viel mehr als das, aber sie sind in keiner Weise miteinander kompatibel, obwohl beide die gleichen Protokolle zulassen, die oben ausgeführt werden

Mark Henderson
quelle
1
Was ist mit all den Leuten, die behaupten, dass Computer hinter NAT zusätzliche Sicherheit bieten? Ich höre das oft von anderen IT-Administratoren. Es spielt keine Rolle, ob Sie sagen, dass eine ordnungsgemäße Firewall alles ist, was Sie benötigen, da so viele dieser Leute glauben, dass NAT eine zusätzliche Sicherheitsebene bietet.
user9274
3
@ user9274 - Es bietet auf zwei Arten Sicherheit: 1) Es verbirgt Ihre interne IP-Adresse vor der Welt (weshalb PCI-DSS dies verlangt) und 2) Es ist ein zusätzlicher "Sprung" vom Internet zum lokalen Computer. Aber um ehrlich zu sein, das erste ist nur "Sicherheit durch Unbekanntheit", was überhaupt keine Sicherheit ist, und das zweite ist ein kompromittiertes NAT-Gerät genauso gefährlich wie ein kompromittierter Server Steigen Sie trotzdem in Ihre Maschine ein.
Mark Henderson
Darüber hinaus war und ist jede durch die Verwendung von NAT gewonnene Sicherheit ein unbeabsichtigter Vorteil, um die Verarmung von IPv4-Adressen zu verhindern. Es war sicherlich nicht Teil des gestalterischen Ziels, das mir bewusst war.
Joeqwerty
7
Die PCI-DSS-Standards wurden Ende Oktober 2010 geändert und die NAT-Anforderung wurde entfernt (Abschnitt 1.3.8 von v1.2). So holen auch sie mit der Zeit auf.
sysadmin1138
2
@Mark, ich bin mir nicht sicher, ob es erwähnenswert ist, aber NAT64 kommt auf den Markt, aber es ist nicht das NAT, an das die meisten Leute denken. Sie ermöglicht IPv6-Netzen den Zugriff auf das IPv4-Internet, ohne dass der Client mitarbeitet. Damit dies funktioniert, ist DNS64-Unterstützung erforderlich.
Chris S
18

Die PCI-DSS-Anforderung für NAT ist als Sicherheitstheater und nicht als tatsächliche Sicherheit bekannt.

Der jüngste PCI-DSS hat es aufgegeben, NAT als absolute Anforderung zu bezeichnen. Viele Organisationen haben PCI-DSS-Audits mit IPv4 ohne NAT bestanden und Stateful Firewalls als "äquivalente Sicherheitsimplementierungen" angezeigt.

Es gibt andere Security Theatre-Dokumente, in denen NAT gefordert wird. Da jedoch Audit-Trails zerstört und die Untersuchung / Abschwächung von Vorfällen erschwert wird, ist eine eingehendere Untersuchung von NAT (mit oder ohne PAT) ein negatives Netto-Sicherheitsergebnis.

Eine gute Stateful Firewall ohne NAT ist NAT in einer IPv6-Welt weit überlegen. In IPv4 ist NAT ein notwendiges Übel, um aus Gründen der Adresserhaltung toleriert zu werden.

Owen DeLong
quelle
2
NAT ist "faule Sicherheit". Und mit "fauler Sicherheit" geht ein Mangel an Liebe zum Detail und der damit einhergehende Verlust der beabsichtigten Sicherheit einher.
Skaperen
1
Stimme voll und ganz zu; Obwohl die Art und Weise, wie die meisten PCI-DSS-Audits durchgeführt werden (Audit durch Affen mit Checkliste), ist alles träge Sicherheit und birgt diese Mängel.
MadHatter
Für diejenigen, die behaupten, NAT sei "Sicherheitstheater", möchte ich auf den Artikel von The Networking Nerd über die Sicherheitsanfälligkeit in Memcached vor einigen Monaten verweisen. networkingnerd.net/2018/03/02/… Er ist ein begeisterter IPv6-Befürworter und NAT-Hasser, musste jedoch darauf hinweisen, dass Tausende von Unternehmen ihre memcached-Server aufgrund von Firewall-Regeln, die es nicht gab, im Internet offen gelassen hatten sorgfältig verarbeitet ". NAT zwingt Sie dazu, explizit anzugeben, was Sie in Ihrem Netzwerk zulassen.
Kevin Keane
12

Es wird (leider) eine Weile dauern, bis Sie mit einem Single-Stack-IPv6-Netzwerk davonkommen können. Bis dahin ist Dual-Stack mit der Präferenz für IPv6 (sofern verfügbar) die Art der Ausführung.

Während die meisten Consumer-Router IPv6 mit aktueller Firmware nicht unterstützen, können viele IPv6 mit Firmwares von Drittanbietern (z. B. Linksys WRT54G mit dd-wrt usw.) unterstützen. Viele Business-Class-Geräte (Cisco, Juniper) unterstützen IPv6 ab Werk.

Es ist wichtig, PAT (Many-to-One-NAT, wie es bei Consumer-Routern üblich ist) nicht mit anderen NAT-Formen und mit NAT-freiem Firewall zu verwechseln. Sobald das Internet nur noch IPv6 unterstützt, verhindern Firewalls die Verfügbarkeit interner Dienste. Ebenso ist ein IPv4-System mit Eins-zu-Eins-NAT nicht automatisch geschützt. Das ist die Aufgabe einer Firewall-Richtlinie.

techieb0y
quelle
11

Dieses Thema ist sehr verwirrend, da Netzwerkadministratoren NAT in einem Licht sehen und kleine Unternehmen und Privatkunden es in einem anderen Licht sehen. Lassen Sie mich das klarstellen.

Statisches NAT (manchmal auch Eins-zu-Eins-NAT genannt) bietet keinen Schutz für Ihr privates Netzwerk oder einen einzelnen PC. Das Ändern der IP-Adresse ist für den Schutz bedeutungslos.

Dynamisch überlastetes NAT / PAT, wie es die meisten Gateways und WLAN-Zugriffspunkte in Privathaushalten tun, schützt Ihr privates Netzwerk und / oder Ihren PC auf jeden Fall. Die NAT-Tabelle in diesen Geräten ist von Entwurf eine Statustabelle. Es verfolgt ausgehende Anforderungen und ordnet sie in der NAT-Tabelle zu - das Zeitlimit für Verbindungen wird nach einer bestimmten Zeit überschritten. Alle nicht angeforderten eingehenden Frames, die nicht mit den Angaben in der NAT-Tabelle übereinstimmen, werden standardmäßig gelöscht. Der NAT-Router weiß nicht, wohin sie im privaten Netzwerk gesendet werden sollen, und löscht sie daher. Auf diese Weise ist Ihr Router das einzige Gerät, das Sie für Hackerangriffe anfällig machen. Da die meisten Sicherheits-Exploits auf Windows basieren, kann ein solches Gerät zwischen dem Internet und Ihrem Windows-PC Ihr Netzwerk wirklich schützen. Es kann sein, dass es nicht die ursprünglich beabsichtigte Funktion ist. Das war, um öffentliche IPs zu sparen, aber es erledigt den Job. Als Bonus verfügen die meisten dieser Geräte auch über Firewall-Funktionen, mit denen ICMP-Anforderungen standardmäßig oft blockiert werden, was auch zum Schutz des Netzwerks beiträgt.

Angesichts der oben genannten Informationen kann der Verzicht auf NAT bei der Umstellung auf IPv6 dazu führen, dass Millionen von Geräten für Privatanwender und kleine Unternehmen potenziell gehackt werden. Dies hat keine oder nur geringe Auswirkungen auf Unternehmensnetzwerke, da sie über professionell verwaltete Firewalls verfügen. Consumer- und Small Business-Netzwerke verfügen möglicherweise nicht mehr über einen * nix-basierten NAT-Router zwischen dem Internet und ihren PCs. Es gibt keinen Grund, warum eine Person nicht auf eine reine Firewall-Lösung umsteigen könnte - viel sicherer, wenn sie richtig eingesetzt wird, aber auch jenseits des Bereichs, den 99% der Verbraucher verstehen. Dynamic Overloaded NAT bietet ein Minimum an Schutz, wenn Sie es nur verwenden - schließen Sie Ihren Router an, und Sie sind geschützt. Einfach.

Das heißt, es gibt keinen Grund, warum NAT nicht genauso verwendet werden kann, wie es in IPv4 verwendet wird. Tatsächlich könnte ein Router so ausgelegt sein, dass er eine IPv6-Adresse am WAN-Port hat, hinter der sich ein privates IPv4-Netzwerk befindet, auf dem sich beispielsweise NAT befindet. Dies wäre eine einfache Lösung für Verbraucher und Privatpersonen. Eine weitere Option besteht darin, alle Geräte mit öffentlichen IPv6-IPs zu versetzen. Das Zwischengerät könnte dann als L2-Gerät fungieren, jedoch eine Statustabelle, eine Paketüberprüfung und eine voll funktionsfähige Firewall bereitstellen. Im Wesentlichen kein NAT, blockiert aber weiterhin unerwünschte eingehende Frames. Wichtig ist, dass Sie Ihren PC nicht ohne Zwischengerät direkt an Ihr WAN anschließen. Es sei denn, Sie möchten sich auf die Windows-Firewall verlassen. . . und das ist eine andere Diskussion.

Es wird einige Probleme geben, die mit IPv6 einhergehen, aber es gibt kein Problem, das nicht leicht gelöst werden kann. Müssen Sie Ihren alten IPv4-Router oder Ihr Heim-Gateway fallen lassen? Möglicherweise, aber es werden kostengünstige neue Lösungen verfügbar sein, wenn es soweit ist. Hoffentlich benötigen viele Geräte nur einen Firmware-Flash. Könnte IPv6 so konzipiert sein, dass es sich nahtloser in die aktuelle Architektur einfügt? Sicher, aber es ist was es ist und es wird nicht verschwinden - also lernst du es genauso gut, lebst es, liebst es.

Computerguy
quelle
3
Für das, was es wert ist, möchte ich wiederholen, dass die aktuelle Architektur grundlegend kaputt ist (End-to-End-Routing) und dies praktische Probleme in komplexen Netzwerken schafft (redundante NAT-Geräte sind zu komplex und teuer). Das Löschen des NAT-Hacks reduziert die Komplexität und potenzielle Fehlerquellen, während die Sicherheit durch einfache Stateful-Firewalls gewährleistet wird (ich kann mir keinen zweiten SOHO-Router vorstellen, der ohne die standardmäßig aktivierte Stateful-Firewall auskommt, sodass Kunden ohne Plug-and-Play arbeiten können ein Gedanke).
Chris S
Manchmal ist eine fehlerhafte End-to-End-Routingfähigkeit genau das, was Sie wollen. Ich möchte nicht, dass meine Drucker und PCs über das Internet angesprochen werden. Während NAT als Hack begann, hat es sich zu einem sehr benutzerfreundlichen Tool entwickelt, das in einigen Fällen die Sicherheit verbessern kann, indem es die Möglichkeit beseitigt, dass Pakete direkt an einen Knoten weitergeleitet werden. Wenn ich eine statisch zugewiesene RFC1918-IP auf einem PC habe, kann diese IP unter keinen Umständen über das Internet geroutet werden.
Computerguy
6
Defekte Routingfähigkeit ist eine schlechte Sache . Sie möchten, dass Ihre Geräte über das Internet (per Firewall) nicht erreichbar sind. Dies ist jedoch nicht dasselbe. Siehe Warum sollten Sie IPv6 intern verwenden? . RFC1918 besagt außerdem, dass diese Adresse nur für private Netzwerke verwendet werden sollte und der Zugriff auf das Internet nur über Gateways der Anwendungsschicht erfolgen sollte (bei denen es sich nicht um NAT handelt). Für externe Verbindungen sollte dem Host eine Adresse aus einer von IANA koordinierten Zuordnung zugewiesen werden. Hacks, egal wie nützlich sie sind, machen unnötige Kompromisse und sind nicht der richtige Weg.
Chris S
10

Wenn NAT in der IPv6-Welt überlebt, ist es höchstwahrscheinlich 1: 1 NAT. Ein Formular, das im IPv4-Raum noch nie als NAT gesehen wurde. Was ist 1: 1 NAT? Es ist eine 1: 1-Übersetzung einer globalen Adresse in eine lokale Adresse. Das IPv4-Äquivalent übersetzt alle Verbindungen zu 1.1.1.2 nur zu 10.1.1.2 usw. für den gesamten 1.0.0.0/8-Bereich. Die IPv6-Version besteht darin, eine globale Adresse in eine eindeutige lokale Adresse zu übersetzen.

Verbesserte Sicherheit kann durch häufiges Drehen der Zuordnung für Adressen erreicht werden, die Sie nicht interessieren (wie interne Office-Benutzer, die auf Facebook surfen). Intern würden Ihre ULA-Nummern gleich bleiben, sodass Ihr Split-Horizon-DNS weiterhin einwandfrei funktionieren würde, aber externe Clients würden sich niemals an einem vorhersehbaren Port befinden.

Aber es ist wirklich eine kleine Menge an verbesserter Sicherheit für den Ärger, den es verursacht. Das Scannen von IPv6-Subnetzen ist eine sehr große Aufgabe und ohne eine Überprüfung der IP-Adresszuweisung in diesen Subnetzen nicht möglich (MAC-Generierungsmethode? Zufällige Methode? Statische Zuweisung von lesbaren Adressen?).

In den meisten Fällen erhalten Clients hinter der Unternehmensfirewall eine globale Adresse, möglicherweise eine ULA, und die Perimeterfirewall wird so eingestellt, dass alle eingehenden Verbindungen zu diesen Adressen abgelehnt werden. In jeder Hinsicht sind diese Adressen von außen nicht erreichbar. Sobald der interne Client eine Verbindung initiiert, werden Pakete über diese Verbindung zugelassen. Die Notwendigkeit, die IP-Adresse in eine völlig andere Adresse zu ändern, wird dadurch gelöst, dass ein Angreifer gezwungen wird, 2 ^ 64 mögliche Adressen in diesem Subnetz zu durchsuchen.

sysadmin1138
quelle
@ sysadmin1138: Mir gefällt diese Lösung. Nach meinem derzeitigen Verständnis von IPv6 soll ich IPv6 auf meinem gesamten Netzwerk verwenden, wenn mir mein ISP eine / 64 gibt, wenn ich möchte, dass meine Computer mit IPv6 über das Internet erreichbar sind. Aber wenn ich den ISP satt habe und zu einem anderen wechsle, muss ich jetzt alles komplett neu nummerieren.
Kumba
1
@ sysadmin1138: Allerdings ist mir aufgefallen, dass ich einer einzelnen Schnittstelle viel einfacher mehrere IPs zuweisen kann als mit IPv4, so dass ich die Verwendung von ISP-given / 64 für den externen Zugriff und mein eigenes internes ULA-Schema für vorhersagen kann Kommunikation zwischen Hosts, und verwenden Sie eine Firewall, um die ULA-Adressen von außen nicht erreichbar zu machen. Weitere Einrichtungsarbeiten sind erforderlich, aber es scheint, als würde NAT insgesamt vermieden.
Kumba
@ sysadmin1138: Ich kratzte mich immer noch am Kopf, warum ULA in jeder Hinsicht privat ist, aber es wird erwartet, dass sie immer noch global einzigartig sind. Es ist so, als ob ich sagen würde, dass ich ein Auto jeder Marke und jedes Modell zur Verfügung haben kann, aber keine Marke / Modell / Baujahr, die bereits von jemand anderem verwendet wurden, obwohl es mein Auto ist und ich der einzige Fahrer sein werde, den es jemals haben wird.
Kumba
2
@Kumba Der Grund, warum RFC 4193-Adressen global eindeutig sein sollten, besteht darin, sicherzustellen, dass Sie sie in Zukunft nicht mehr neu nummerieren müssen. Vielleicht müssen Sie eines Tages zwei Netzwerke mithilfe von RFC 4193-Adressen zusammenführen, oder ein Computer, der bereits eine RFC 4193-Adresse hat, muss eine Verbindung zu einem oder mehreren VPNs herstellen, die auch RFC 4193-Adressen haben.
Kasperd
1
@Kumba Wenn jeder für das erste Segment in seinem Netzwerk fd00 :: / 64 verwendet hätte, wäre er mit Sicherheit in einen Konflikt geraten, sobald zwei solcher Netzwerke miteinander kommunizieren mussten. Der Punkt von RFC 4193 ist, dass Sie, solange Sie Ihre 40 Bits nach dem Zufallsprinzip auswählen, die verbleibenden 80 Bits nach Belieben zuweisen und sicher sein können, dass Sie nicht neu nummerieren müssen.
Kasperd
9

RFC 4864 beschreibt IPv6 Local Network Protection , eine Reihe von Ansätzen zur Bereitstellung der wahrgenommenen Vorteile von NAT in einer IPv6-Umgebung, ohne tatsächlich auf NAT zurückgreifen zu müssen.

In diesem Dokument wurde eine Reihe von Techniken beschrieben, die an einem IPv6-Standort kombiniert werden können, um die Integrität seiner Netzwerkarchitektur zu schützen. Diese Techniken, die gemeinsam als lokaler Netzwerkschutz bezeichnet werden, behalten das Konzept einer genau definierten Grenze zwischen "innerhalb" und "außerhalb" des privaten Netzwerks bei und ermöglichen Firewalling, Ausblenden der Topologie und Datenschutz. Da sie jedoch die Adressentransparenz dort bewahren, wo sie benötigt wird, erreichen sie diese Ziele ohne den Nachteil der Adressübersetzung. Somit kann der lokale Netzwerkschutz in IPv6 die Vorteile der IPv4-Netzwerkadressübersetzung ohne die entsprechenden Nachteile bieten.

Zunächst werden die wahrgenommenen Vorteile von NAT erläutert (und gegebenenfalls entlarvt) und anschließend die Funktionen von IPv6 beschrieben, mit denen dieselben Vorteile erzielt werden können. Es enthält auch Implementierungshinweise und Fallstudien.

Es ist zwar zu lang, um hier nachgedruckt zu werden, die besprochenen Vorteile sind jedoch:

  • Ein einfaches Tor zwischen "innen" und "außen"
  • Die zustandsbehaftete Firewall
  • Benutzer- / Anwendungsverfolgung
  • Privatsphäre und Topologie versteckt
  • Unabhängige Steuerung der Adressierung in einem privaten Netzwerk
  • Multihoming / Umnummerierung

Dies deckt so ziemlich alle Szenarien ab, in denen man NAT haben möchte, und bietet Lösungen für die Implementierung in IPv6 ohne NAT.

Einige der Technologien, die Sie verwenden werden, sind:

  • Eindeutige lokale Adressen: Bevorzugen Sie diese in Ihrem internen Netzwerk, um Ihre interne Kommunikation intern zu halten und um sicherzustellen, dass die interne Kommunikation auch dann fortgesetzt werden kann, wenn der ISP ausfällt.
  • IPv6-Datenschutzerweiterungen mit kurzer Adresslebensdauer und nicht offensichtlich strukturierten Schnittstellenkennungen: Diese verhindern, dass einzelne Hosts und Subnetz-Scans angegriffen werden.
  • IGP, Mobile IPv6 oder VLANs können verwendet werden, um die Topologie des internen Netzwerks auszublenden.
  • Zusammen mit ULAs erleichtert DHCP-PD vom ISP das Umnummerieren / Multihoming im Vergleich zu IPv4.

( Ausführliche Informationen finden Sie in der RFC. Auch hier ist es viel zu lang, um sie erneut zu drucken oder wichtige Auszüge daraus zu entnehmen.)

Eine allgemeinere Erläuterung der IPv6-Übergangssicherheit finden Sie in RFC 4942 .

Michael Hampton
quelle
8

So'ne Art. Es gibt tatsächlich verschiedene "Typen" von IPv6-Adressen. Die dem RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) am nächsten gelegene Adresse heißt "Eindeutige lokale Adresse" und ist in RFC 4193 definiert:

http://en.wikipedia.org/wiki/Unique_local_address

Sie beginnen also mit fd00 :: / 8, fügen dann eine 40-Bit-Zeichenfolge hinzu (unter Verwendung eines vordefinierten Algorithmus im RFC!) Und erhalten ein Pseudozufalls-Präfix / 48, das global eindeutig sein sollte. Sie können den Rest des Adressraums zuweisen, wie Sie möchten.

Sie sollten auch fd00 :: / 7 (fc00 :: / 8 und fd00 :: / 8) an Ihrem (IPv6) -Router außerhalb Ihrer Organisation blockieren - daher das "Lokale" im Adressnamen. Diese Adressen sollten, während sie sich im globalen Adressraum befinden, nicht für die gesamte Welt erreichbar sein, nur innerhalb Ihrer "Organisation".

Wenn Ihre PCI-DSS-Server eine IPv6-Verbindung zu anderen internen IPv6-Hosts benötigen, sollten Sie ein ULA-Präfix für Ihr Unternehmen generieren und dieses für diesen Zweck verwenden. Sie können die automatische Konfiguration von IPv6 wie jedes andere Präfix verwenden, wenn Sie dies wünschen.

Da IPv6 so konzipiert wurde, dass Hosts mehrere Adressen haben können, kann ein Computer zusätzlich zu einem ULA auch eine global routbare Adresse haben. So kann ein Webserver, der sowohl mit der Außenwelt als auch mit internen Computern kommunizieren muss, sowohl eine ISP-zugewiesene Präfix-Adresse als auch Ihr ULA-Präfix haben.

Wenn Sie eine NAT-ähnliche Funktionalität wünschen, können Sie sich auch NAT66 ansehen, aber im Allgemeinen würde ich mich um ULA kümmern. Wenn Sie weitere Fragen haben, können Sie sich die Mailingliste "ipv6-ops" ansehen.

DAMM
quelle
1
Hah Ich habe all diese Kommentare an sysadmin1138 geschrieben und nicht einmal daran gedacht, Ihre Antwort zur Verwendung doppelter Adressen für globale und lokale Kommunikationen zu prüfen. Ich bin jedoch vehement anderer Meinung, dass ULA weltweit einzigartig sein muss. Ich mag nicht randomisierten, 40-Bit - Zahlen überhaupt , vor allem für meinen internen LAN, von denen ich bin der einzige Benutzer. Wahrscheinlich benötigen sie eine Weltdatenbank mit ULAs, um registriert zu werden (SixXS führt solche aus), lassen aber das Durcheinander mit den Zufallszahlen fallen und lassen die Leute kreativ sein. Wie personalisierte Nummernschilder. Sie bewerben sich für eine und wenn es genommen wird, versuchen Sie es für eine andere.
Kumba
1
@Kumba Sie versuchen, jedes einzelne Netzwerk mit denselben Adressen zu stoppen. Zufällig bedeutet, dass Sie keine öffentliche Datenbank benötigen und jedes Netzwerk unabhängig ist. Wenn Sie IP-Adressen zentral vergeben möchten, verwenden Sie einfach globale Adressen!
Richard Gadsden
@ Richard: Das ist ein ... Wie soll ich es ausdrücken, dummes Konzept, IMHO. Warum sollte es wichtig sein, wenn die kleine Joe Company in einer Stadt in Montana dieselbe IPv6-Adresse verwendet wie eine andere kleine Firma in Perth, Australien? Die Chancen, dass sich die beiden jemals kreuzen, sind zwar nicht unmöglich, aber ziemlich unwahrscheinlich. Wenn die IPv6-Designer versuchen wollten, das Konzept der "privaten Netzwerke" gänzlich abzuschaffen, müssen sie ihren Kaffee überprüfen lassen, da dies realistisch nicht machbar ist.
Kumba
2
@Kumba Ich denke, es sind die Narben von dem Versuch, zwei große private IPv4-Netzwerke in 10/8 zusammenzuführen und eines (oder sogar beide) neu zu nummerieren, die sie zu vermeiden versuchen.
Richard Gadsden
2
@Richard: Genau, es gibt nichts Schmerzhafteres als die Verwendung von VPN, um eine Verbindung zu einem anderen Netzwerk mit demselben privaten Subnetz herzustellen. Einige Implementierungen funktionieren einfach nicht mehr.
Hubert Kario
4

IMHO: nicht.

Es gibt noch einige Stellen, an denen SNAT / DNAT nützlich sein kann. Zum Beispiel wurden einige Server in ein anderes Netzwerk verschoben, aber wir möchten / können die IP-Adresse der Anwendung nicht ändern.

sumar
quelle
1
Sie müssen in Ihren Anwendungskonfigurationen DNS-Namen anstelle von IP-Adressen verwenden.
Malayter
DNS behebt Ihr Problem nicht, wenn Sie einen Netzwerkpfad erstellen müssen, ohne die gesamte Routingtopologie und die Firewallregeln zu ändern.
Kumar
3

Hoffentlich wird NAT für immer verschwinden. Dies ist nur dann nützlich, wenn die IP-Adresse knapp ist und keine Sicherheitsfunktionen vorhanden sind, die nicht besser, billiger und einfacher von einer Stateful Firewall verwaltet werden können.

Da IPv6 keine Knappheit mehr bedeutet, können wir die Welt von dem hässlichen Hack befreien, der NAT ist.

wachsen
quelle
3

Ich habe keine endgültige Antwort darauf gefunden, wie der Verlust von NAT (wenn es wirklich verschwindet) mit IPv6 die Privatsphäre der Benutzer beeinträchtigt.

Wenn die IP-Adressen einzelner Geräte öffentlich zugänglich gemacht werden, ist es für Webdienste viel einfacher, Ihre Reisen im Internet von Ihren verschiedenen Geräten aus zu überwachen (zu sammeln, zu speichern, zeitlich und räumlich zu aggregieren und eine Vielzahl von Nebennutzungen zu ermöglichen). Es sei denn ... ISPs, Router und andere Geräte ermöglichen und vereinfachen dynamische IPv6-Adressen, die für jedes Gerät häufig geändert werden können.

Natürlich, egal, was wir noch haben werden, das Problem, dass statische WLAN-MAC-Adressen öffentlich sind, aber das ist eine andere Geschichte ...

LogEx
quelle
2
Sie müssen nur Datenschutzadressen aktivieren. Das gibt Ihnen genauso viel Privatsphäre wie ein NAT. Durch die Verwendung von IPv6 sind Sie außerdem weniger Problemen ausgesetzt, die durch eine schlechte IPID-Auswahl verursacht werden.
Kasperd
2

Es gibt viele Schemata zur Unterstützung von NAT in einem Übergangsszenario von V4 nach V6. Wenn Sie jedoch ein All-IPV6-Netzwerk haben und eine Verbindung zu einem Upstream-IPV6-Anbieter herstellen, ist NAT nicht Teil der neuen Weltordnung, mit der Ausnahme, dass Sie zwischen V4-Netzwerken über V6-Netzwerke tunneln können.

Cisco bietet zahlreiche allgemeine Informationen zu 4to6-Szenarien, Migration und Tunneling.

http://www.cisco.com/de/DE/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

Auch bei Wikipedia:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

Greg Askew
quelle
2

Politik und grundlegende Geschäftspraktiken werden höchstwahrscheinlich die Existenz von NAT fördern. Die Fülle an IPv6-Adressen bedeutet, dass ISPs versucht sind, Gebühren pro Gerät zu erheben oder Verbindungen nur auf eine begrenzte Anzahl von Geräten zu beschränken. Siehe diesen letzten Artikel auf /. zum Beispiel:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

Steve-o
quelle
2
Ich bin mir nicht sicher. Ich denke, es wird eine große technische Revolte gegen jeden ISP geben, der versucht, pro Gerät Gebühren zu erheben. Obwohl ich sehen kann, warum ISPs auf diese Idee abspringen würden, können sie jetzt tatsächlich erkennen, wie viele Geräte sich am anderen Ende einer Verbindung befinden.
Mark Henderson
1
Angesichts der Tatsache, dass temporäre Adressen für ausgehende Verbindungen verwendet werden, um ein gewisses Maß an Anonymität zu gewährleisten, wäre die Durchsetzung der Regeln pro Gerät komplex, wenn nicht sogar unmöglich. Ein Gerät kann nach diesem Schema zusätzlich zu anderen zugewiesenen Adressen zwei oder mehr aktive globale Adressen haben.
BillThor
2
@ Mark Henderson - Es gibt bereits ISPs, die eine Gebühr pro Gerät erheben. Für "Tethering" erhebt AT & T beispielsweise eine zusätzliche Gebühr.
Richard Gadsden
1
@ Richard - wenn das der Fall wäre, wenn ich bei AT & T wäre, würde ich sie fallen lassen, als wäre es heiß
Mark Henderson
@Mark - Das ist AT & T wireless (siehe zum Beispiel die iPhone-Verträge).
Richard Gadsden
-2

Zu Ihrer Information, jeder Interessierte kann NAT / NAPT mit IPV6 verwenden. Alle BSD-Betriebssysteme mit PF unterstützen NAT66. Funktioniert super. Aus einem Blog haben wir verwendet :

ipv6 nat (nat66) von FreeBSD pf

nat66 ist zwar noch im entwurf, aber FreeBSD pf unterstützt es schon lange.

(editiere die pf.conf und füge folgende Codes ein)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip

Sie sind fertig!

Funktioniert hervorragend für uns Leute, die Squid seit Jahren mit einer einzigen IP-Adresse verwenden. Mit IPv6 NAT kann ich 2 ^ 120 private Adressen (standortlokal) erhalten, die 2 ^ 56 Subnetze mit meinen 5/64-Subnetzen umfassen. Das heißt, ich muss 100 Milliarden Mal schlauer sein als jeder andere IPv6-Guru hier, weil ich mehr Adressen habe

Die Wahrheit ist, dass nur, weil ich mehr Adressen habe (oder IPv6 möglicherweise länger als Sie verwendet habe), IPv6 (oder mich für das gleiche Problem) nicht wirklich besser macht. Dadurch wird IPv6 jedoch komplexer, wenn anstelle von PAT eine Firewall erforderlich ist und NAT nicht mehr erforderlich ist, sondern eine Option darstellt. Ziel der Firewall ist es, alle ausgehenden Verbindungen zuzulassen und den Status beizubehalten, eingehende initiierte Verbindungen jedoch zu blockieren.

Was NAPT (NAT mit PAT) angeht, wird es einige Zeit dauern, bis die Leute aus der Denkweise herauskommen. Zum Beispiel ist es eine gute Idee, mit der möglichen Idee von NAT zu spielen, bis wir Ihren Urgroßvater dazu bringen können, seine eigene IPv6-Firewall ohne standortlokale Adressierung (private Adressen) und ohne Unterstützung durch den Guru einzurichten alles was er weiß.

Gnarlymarley
quelle
2
Ihre durchschnittliche SOHO-Ausrüstung, die schließlich IPv6 unterstützt, wird mit ziemlicher Sicherheit ohne IPv6-NAT ausgeliefert (das NAT66, das Sie zitieren, funktioniert nicht wie NATv4, aber wir werden es trotzdem anwenden) und mit einer Standardregel zum Ablehnen Eingehender Datenverkehr (zusammen mit dem Status "Ausgehende Verbindungen zulassen"), der nahezu die gleiche Sicherheit bietet, die IPv4-SOHO-Geräte heutzutage bieten. Wie andere bereits betont haben, verstehen wir, dass Menschen mit ihren Hack-Technologien selbstgefällig und zufrieden sind. Das bedeutet nicht, dass sie notwendig sind oder nur Sicherheitstheater.
Chris S
NAT66 muss nicht mit NAT44 identisch sein. Es muss nur dasselbe klingen, damit wir schneller auf IPv6 umsteigen können. Sobald sie auf IPv6 umgestellt sind, sollten wir in der Lage sein, als Team daran zu arbeiten, dass sie eine Firewall ordnungsgemäß konfigurieren. Entweder arbeiten wir als Team oder wir müssen NAT44444 verwenden. Deine Entscheidung.
Gnarlymarley
Es ist nicht nur PF. In der Praxis können die meisten Router auf IPv6 die gleiche Art von NAT ausführen wie auf IPv4. Ich habe diese Funktion sowohl in Fortinet-Routern als auch in OpenWRT gesehen.
Kevin Keane
-2

In den jüngsten Vorschlägen für ipv6 wurde vorgeschlagen, dass Ingenieure, die an der neuen Technologie arbeiten, NAT in ipv6 integrieren. Grund dafür ist: NAT bietet eine zusätzliche Sicherheitsebene

Die Dokumentation befindet sich auf der ipv6.com-Website, daher scheinen all diese Antworten, die besagen, dass NAT keine Sicherheit bietet, etwas verlegen zu sein

Andrew
quelle
1
Vielleicht könnten Sie genauer erläutern, was NAT Ihrer Meinung nach für eine zusätzliche Sicherheitsebene bietet. Welches Risiko gegen welche besondere Bedrohung wird konkret gemindert?
wachsen
Die 'Sicherheit', die NAT bietet, ist die Verschleierung und das Zwingen eines Netzwerks in eine Position, in der der Standard verweigert wird. Ersteres ist umstritten, während letzteres eine gute Idee ist. Standardverweigerung kann jedoch genauso einfach auf andere Weise erreicht werden, und IPv6 beseitigt einen der wichtigsten technischen Gründe für NAT: IP-Knappheit.
sysadmin1138
2
Auf IPv6.com gibt es eine Seite über NAT . Unter anderem heißt es: "Das Sicherheitsproblem wird häufig bei der Verteidigung des Network Address Translation-Prozesses verwendet. Das Kernprinzip des Internets besteht jedoch darin, eine End-to-End-Konnektivität für die verschiedenen Netzwerkressourcen bereitzustellen. " und auch dies: "Da IPv6 das IPv4-Protokoll langsam ersetzt, wird der Netzwerkadressen-Übersetzungsprozess redundant und unbrauchbar."
Ladadadada
-6

Mir ist klar, dass die regionalen IPv4-Adressen irgendwann (das kann man nur spekulieren) unweigerlich ausgehen werden. Ich bin damit einverstanden, dass IPv6 einige schwerwiegende Nachteile für den Benutzer hat. Das Thema NAT ist äußerst wichtig, da es von Natur aus Sicherheit, Redundanz und Datenschutz bietet und es Benutzern ermöglicht, nahezu beliebig viele Geräte ohne Einschränkung zu verbinden. Ja, eine Firewall ist der goldene Standard gegen unerwünschtes Eindringen in das Netzwerk. NAT bietet jedoch nicht nur eine weitere Schutzschicht, sondern im Allgemeinen auch ein sicheres Standarddesign, unabhängig von der Firewall-Konfiguration oder den Kenntnissen des Endbenutzers, unabhängig davon, wie Sie IPv4 definieren Mit NAT und einer Firewall ist IPv6 noch sicherer als mit einer Firewall. Ein weiteres Problem ist die Privatsphäre, Wenn auf jedem Gerät eine über das Internet routbare Adresse vorhanden ist, können Benutzer potenzielle Datenschutzverletzungen jeglicher Art, das Sammeln persönlicher Informationen und das Nachverfolgen von Informationen feststellen, die heute kaum mehr vorstellbar sind. Ich bin auch der Meinung, dass wir ohne Nat für zusätzliche Kosten und Kontrolle durch Isp's geöffnet werden können. Isps werden möglicherweise pro Gerät oder pro Benutzer aufgeladen, wie wir es bereits beim USB-Tethering sehen. Dies würde die Freiheit des Endbenutzers erheblich einschränken, jedes Gerät offen anzuschließen, das seiner Meinung nach auf diese Leitung passt. Ab sofort bieten nur wenige US-amerikanische ISPs IPv6 in irgendeiner Form an, und ich bin der Meinung, dass die Umstellung von Nicht-Tech-Unternehmen aufgrund der zusätzlichen Kosten mit geringem oder keinem Mehrwert nur langsam vonstatten gehen wird.

dirtrider
quelle
4
NAT ist eine Illusion von Sicherheit.
Skaperen
4
NAT bietet überhaupt keinen Schutz. Es ist die automatische Firewall, die Sie mit NAT erhalten und die Ihnen einen "Schutz" bietet, während Sie gleichzeitig alle Nachteile von NAT genießen.
Michael Hampton