Wenn Sie zu IPv6 wechseln, müssen Sie NAT löschen. Ist das eine gute sache

Dies ist eine kanonische Frage zu IPv6 und NAT

Verbunden:

• Wie funktioniert das IPv6-Subnetz und wie unterscheidet es sich vom IPv4-Subnetz?
• Wie kann ich meine Zehen in die dynamische IPv6-Netzwerkadressierung eintauchen?
• IPv6 ohne nat aber was ist mit einer isp Änderung?

Deshalb hat unser ISP kürzlich IPv6 eingerichtet, und ich habe untersucht, was der Übergang bedeuten sollte, bevor ich in den Kampf einspringe.

Ich habe drei sehr wichtige Probleme festgestellt:

1. Unser Office-NAT-Router (ein alter Linksys BEFSR41) unterstützt IPv6 nicht. Auch kein neuerer Router, AFAICT. Das Buch, das ich über IPv6 lese, sagt mir, dass es NAT sowieso "unnötig" macht.

2. Wenn wir diesen Router einfach loswerden und alles direkt mit dem Internet verbinden sollen, gerate ich in Panik. Ich werde unsere Abrechnungsdatenbank (mit vielen Kreditkarteninformationen!) Auf keinen Fall ins Internet stellen, damit jeder sie sehen kann. Selbst wenn ich vorschlage, die Windows-Firewall so einzurichten, dass nur 6 Adressen überhaupt darauf zugreifen können, bricht ich immer noch in kaltem Schweiß aus. Ich vertraue Windows, der Windows-Firewall oder dem Netzwerk nicht so sehr, dass ich mich damit auch nur annähernd auskenne.

3. Es gibt einige alte Hardwaregeräte (dh Drucker), die überhaupt keine IPv6-Fähigkeit haben. Und wahrscheinlich eine Wäscheliste mit Sicherheitsproblemen aus der Zeit um 1998. Und wahrscheinlich keine Möglichkeit, sie tatsächlich auf irgendeine Weise zu patchen. Und keine Finanzierung für neue Drucker.

Ich habe gehört, dass IPv6 und IPSEC das alles irgendwie sicher machen sollen, aber ohne physisch getrennte Netzwerke, die diese Geräte für das Internet unsichtbar machen, kann ich wirklich nicht sehen, wie. Ich kann auch wirklich sehen, wie jede Verteidigung, die ich aufbaue, in kurzer Zeit überrollt wird. Ich betreibe seit Jahren Server im Internet und bin mit den Dingen, die zum Schutz dieser Server erforderlich sind, gut vertraut, aber es kam nie in Frage, etwas Privates wie unsere Abrechnungsdatenbank ins Netzwerk zu stellen.

Womit sollte ich NAT ersetzen, wenn wir keine physisch getrennten Netzwerke haben?

In erster Linie gibt es nichts zu befürchten, wenn Sie eine öffentliche IP-Zuweisung vornehmen, solange Ihre Sicherheitsgeräte richtig konfiguriert sind.

Womit sollte ich NAT ersetzen, wenn wir keine physisch getrennten Netzwerke haben?

Das gleiche, womit wir sie seit den 1980er Jahren physisch getrennt haben, Router und Firewalls. Der einzige große Sicherheitsgewinn, den Sie mit NAT erzielen, besteht darin, dass Sie dazu gezwungen werden, die Konfiguration standardmäßig zu verweigern. Um einen Service zu erhalten , müssen Sie explizit Löcher stanzen. Die schickeren Geräte ermöglichen es Ihnen sogar, IP-basierte ACLs auf diese Lücken anzuwenden, genau wie bei einer Firewall. Wahrscheinlich, weil sie tatsächlich 'Firewall' auf der Box haben.

Eine korrekt konfigurierte Firewall bietet genau den gleichen Dienst wie ein NAT-Gateway. NAT-Gateways werden häufig verwendet, da sie einfacher in eine sichere Konfiguration zu gelangen sind als die meisten Firewalls.

Ich habe gehört, dass IPv6 und IPSEC das alles irgendwie sicher machen sollen, aber ohne physisch getrennte Netzwerke, die diese Geräte für das Internet unsichtbar machen, kann ich wirklich nicht sehen, wie.

Das ist ein Irrtum. Ich arbeite für eine Universität mit einer / 16-IPv4-Zuweisung, und die überwiegende Mehrheit unseres IP-Adressverbrauchs erfolgt über diese öffentliche Zuweisung. Sicherlich alle unsere Endbenutzer-Workstations und -Drucker. Unser RFC1918-Verbrauch ist auf Netzwerkgeräte und bestimmte Server beschränkt, für die solche Adressen erforderlich sind. Es würde mich nicht wundern, wenn Sie gerade erschaudern würden, denn ich tat es mit Sicherheit, als ich an meinem ersten Tag auftauchte und das Post-It mit meiner IP-Adresse auf meinem Monitor sah.

Und doch überleben wir. Warum? Weil wir eine externe Firewall haben, die für die Standardverweigerung mit begrenztem ICMP-Durchsatz konfiguriert ist. Nur weil 140.160.123.45 theoretisch routingfähig ist, heißt das nicht, dass Sie von jedem Ort im öffentlichen Internet dorthin gelangen können. Dafür wurden Firewalls entwickelt.

Wenn die richtigen Routerkonfigurationen und unterschiedliche Subnetze in unserer Zuordnung vorhanden sind, sind sie möglicherweise nicht voneinander zu erreichen. Sie können dies in Routertabellen oder Firewalls tun. Dies ist ein separates Netzwerk und hat unsere Sicherheitsprüfer in der Vergangenheit zufriedengestellt.

Ich werde unsere Abrechnungsdatenbank (mit vielen Kreditkarteninformationen!) Auf keinen Fall ins Internet stellen, damit jeder sie sehen kann.

Unsere Abrechnungsdatenbank befindet sich auf einer öffentlichen IPv4-Adresse und ist seit jeher vorhanden. Wir haben jedoch den Beweis, dass Sie von hier aus nicht dorthin gelangen können. Nur weil eine Adresse in der öffentlichen Routing-Liste von v4 enthalten ist, bedeutet dies nicht, dass die Zustellung garantiert ist. Die zwei Firewalls zwischen dem Bösen des Internets und den tatsächlichen Datenbankports filtern das Böse heraus. Selbst von meinem Schreibtisch aus, hinter der ersten Firewall, kann ich nicht zu dieser Datenbank gelangen.

Kreditkarteninformationen sind ein Sonderfall. Dies unterliegt den PCI-DSS-Standards, und die Standards geben direkt an, dass Server, die solche Daten enthalten, sich hinter einem NAT-Gateway ^{1 befinden müssen} . Unsere sind und diese drei Server repräsentieren unsere gesamte Serverauslastung von RFC1918-Adressen. Es erhöht nicht die Sicherheit, sondern nur die Komplexität, aber wir müssen dieses Kontrollkästchen für Audits aktivieren.

Die ursprüngliche Idee "IPv6 macht NAT der Vergangenheit an" wurde vorgebracht, bevor der Internetboom wirklich den vollen Mainstream erreichte. 1995 war NAT eine Problemumgehung, um eine kleine IP-Zuweisung zu umgehen. Im Jahr 2005 wurde es in vielen Dokumenten zu bewährten Sicherheitsmethoden und mindestens einem wichtigen Standard (PCI-DSS, um genau zu sein) verankert. Der einzige konkrete Vorteil von NAT besteht darin, dass eine externe Einheit, die im Netzwerk eine Aufklärung durchführt, nicht weiß, wie die IP-Landschaft hinter dem NAT-Gerät aussieht (obwohl sie dank RFC1918 eine gute Vermutung haben), und bei NAT-freiem IPv4 (z als meine Arbeit) ist das nicht der Fall. Es ist ein kleiner Schritt in der Tiefenverteidigung, kein großer.

Die Ersatzadressen für RFC1918 werden als eindeutige lokale Adressen bezeichnet. Wie RFC1918 leiten sie nicht weiter, es sei denn, Peers erklären sich ausdrücklich damit einverstanden, dass sie leiten. Im Gegensatz zu RFC1918 sind sie (wahrscheinlich) weltweit einzigartig. IPv6-Adressübersetzer, die eine ULA in eine globale IP umwandeln, gibt es im Perimeter-Getriebe mit höherer Reichweite, definitiv noch nicht im SOHO-Getriebe.

Mit einer öffentlichen IP-Adresse können Sie problemlos überleben. Denken Sie daran, dass "öffentlich" nicht garantiert "erreichbar", und Sie werden in Ordnung sein.

Update 2017

In den letzten Monaten hat Amazon aws IPv6-Unterstützung hinzugefügt. Es wurde gerade zu ihrem amazon-vpc- Angebot hinzugefügt , und ihre Implementierung gibt einige Hinweise darauf, wie groß angelegte Bereitstellungen voraussichtlich durchgeführt werden.

• Sie erhalten eine / 56-Zuweisung (256 Subnetze).
• Die Zuordnung ist ein vollständig routbares Subnetz.
• Es wird von Ihnen erwartet, dass Sie Ihre Firewall-Regeln ( Sicherheitsgruppen ) entsprechend einschränken.
• Es gibt kein NAT, es wird nicht einmal angeboten, sodass der gesamte ausgehende Datenverkehr von der tatsächlichen IP-Adresse der Instanz stammt.

Um einen der Sicherheitsvorteile von NAT wieder hinzuzufügen, bieten sie jetzt ein Internet-Gateway nur für Egress an . Dies bietet einen NAT-ähnlichen Vorteil:

• Dahinterliegende Subnetze können nicht direkt aus dem Internet erreicht werden.

Dies bietet eine Ebene der Tiefenverteidigung für den Fall, dass eine falsch konfigurierte Firewall-Regel versehentlich eingehenden Datenverkehr zulässt.

Dieses Angebot übersetzt die interne Adresse nicht wie NAT in eine einzelne Adresse. Ausgehender Datenverkehr hat weiterhin die Quell-IP der Instanz, die die Verbindung geöffnet hat. Firewall-Betreiber, die auf der Suche nach Whitelist-Ressourcen in der VPC sind, sind besser dran, Netblocks auf die Whitelist zu setzen als bestimmte IP-Adressen.

Routeable heißt nicht immer erreichbar .

¹ : Die PCI-DSS-Standards wurden im Oktober 2010 geändert, die Anweisung, die RFC1918-Adressen vorschreibt, wurde entfernt und durch "Netzwerkisolation" ersetzt.

Unser Office-NAT-Router (ein alter Linksys BEFSR41) unterstützt IPv6 nicht. Auch kein neuerer Router

IPv6 wird von vielen Routern unterstützt. Nur nicht so viele der billigen richten sich an Verbraucher und SOHO. Verwenden Sie im schlimmsten Fall einfach eine Linux-Box oder flashen Sie Ihren Router erneut mit dd-wrt oder etwas anderem, um IPv6-Unterstützung zu erhalten. Es gibt viele Möglichkeiten, man muss wahrscheinlich nur genauer hinschauen.

Wenn wir diesen Router einfach loswerden und alles direkt mit dem Internet verbinden sollen,

Nichts über eine Umstellung auf IPv6 spricht dafür, dass Sie Peripheriesicherheitsgeräte wie Ihren Router / Ihre Firewall entfernen sollten. Router und Firewalls werden nach wie vor in nahezu jedem Netzwerk benötigt.

Alle NAT-Router fungieren effektiv als Stateful Firewall. Die Verwendung von RFC1918-Adressen, die Sie so sehr schützen, ist nichts Magisches. Es ist das Stateful Bit, das die harte Arbeit erledigt. Eine richtig konfigurierte Firewall schützt Sie genauso gut, wenn Sie echte oder private Adressen verwenden.

Der einzige Schutz, den Sie vor RFC1918-Adressen erhalten, besteht darin, dass Benutzer mit Fehlern / Faulheit in Ihrer Firewall-Konfiguration davonkommen und dennoch nicht allzu anfällig sind.

Es gibt einige alte Hardwaregeräte (dh Drucker), die überhaupt keine IPv6-Fähigkeit haben.

Damit? Es ist kaum wahrscheinlich, dass Sie dies über das Internet bereitstellen müssen, und in Ihrem internen Netzwerk können Sie weiterhin IPv4 und IPv6 ausführen, bis alle Ihre Geräte unterstützt oder ersetzt werden.

Wenn das Ausführen mehrerer Protokolle nicht möglich ist, müssen Sie möglicherweise eine Art Gateway / Proxy einrichten.

IPSEC soll das alles irgendwie sicher machen

IPSEC verschlüsselt und authentifiziert Pakete. Es hat nichts damit zu tun, Ihr Grenzgerät loszuwerden, und es schützt die Daten während der Übertragung.

Ja. NAT ist tot. Es gab einige Versuche, Standards für NAT über IPv6 zu ratifizieren, aber keiner von ihnen ist jemals in Gang gekommen.

Dies hat tatsächlich Probleme für Anbieter verursacht, die versuchen, PCI-DSS-Standards zu erfüllen, da der Standard tatsächlich besagt, dass Sie sich hinter einem NAT befinden müssen.

Für mich sind dies einige der schönsten Neuigkeiten, die ich je gehört habe. Ich hasse NAT und ich hasse NAT der Carrier-Klasse noch mehr.

NAT sollte immer nur eine bandaide Lösung sein, um uns durchzubringen, bis IPv6 zum Standard wurde, aber es hat sich in der Internet-Gesellschaft verankert.

Für die Übergangszeit muss beachtet werden, dass IPv4 und IPv6, abgesehen von einem ähnlichen Namen, völlig unterschiedlich sind ¹ . Bei Geräten mit Dual-Stack wird IPv4 NAT-fähig und IPv6-fähig. Es ist fast so, als hätten Sie zwei völlig getrennte Geräte, die nur in einem Stück Plastik verpackt sind.

Wie funktioniert der IPv6-Internetzugang? Nun, die Art und Weise, wie das Internet vor der Erfindung von NAT funktionierte. Ihr ISP weist Ihnen einen IP-Bereich zu (wie jetzt, aber im Allgemeinen erhalten Sie eine / 32, was bedeutet, dass Sie nur eine IP-Adresse erhalten), aber Ihr Bereich enthält jetzt Millionen von verfügbaren IP-Adressen. Sie können diese IP-Adressen nach Belieben eingeben (mit automatischer Konfiguration oder DHCPv6). Jede dieser IP-Adressen ist von jedem anderen Computer im Internet aus sichtbar.

Klingt unheimlich, oder? Ihr Domain-Controller, Ihr Heim-Media-PC und Ihr iPhone mit Ihrem versteckten Vorrat an Pornografie sind alle über das Internet erreichbar ?! Nun, nein. Dafür ist eine Firewall gedacht. Ein weiteres großartiges Feature von IPv6 ist , dass es zwingt Firewalls von einem Ansatz „Alle zulassen“ (wie die meisten Heimgeräte sind) in einen Ansatz „Deny All“, wo Sie Dienste eröffnen für bestimmte IP - Adressen. 99,999% der Heimanwender behalten gerne ihre Firewalls standardmäßig und vollständig gesperrt bei, was bedeutet, dass kein unaufgeforderter Datenverkehr zugelassen wird.

¹ _{Ok, es gibt viel mehr als das, aber sie sind in keiner Weise miteinander kompatibel, obwohl beide die gleichen Protokolle zulassen, die oben ausgeführt werden}

Die PCI-DSS-Anforderung für NAT ist als Sicherheitstheater und nicht als tatsächliche Sicherheit bekannt.

Der jüngste PCI-DSS hat es aufgegeben, NAT als absolute Anforderung zu bezeichnen. Viele Organisationen haben PCI-DSS-Audits mit IPv4 ohne NAT bestanden und Stateful Firewalls als "äquivalente Sicherheitsimplementierungen" angezeigt.

Es gibt andere Security Theatre-Dokumente, in denen NAT gefordert wird. Da jedoch Audit-Trails zerstört und die Untersuchung / Abschwächung von Vorfällen erschwert wird, ist eine eingehendere Untersuchung von NAT (mit oder ohne PAT) ein negatives Netto-Sicherheitsergebnis.

Eine gute Stateful Firewall ohne NAT ist NAT in einer IPv6-Welt weit überlegen. In IPv4 ist NAT ein notwendiges Übel, um aus Gründen der Adresserhaltung toleriert zu werden.

Es wird (leider) eine Weile dauern, bis Sie mit einem Single-Stack-IPv6-Netzwerk davonkommen können. Bis dahin ist Dual-Stack mit der Präferenz für IPv6 (sofern verfügbar) die Art der Ausführung.

Während die meisten Consumer-Router IPv6 mit aktueller Firmware nicht unterstützen, können viele IPv6 mit Firmwares von Drittanbietern (z. B. Linksys WRT54G mit dd-wrt usw.) unterstützen. Viele Business-Class-Geräte (Cisco, Juniper) unterstützen IPv6 ab Werk.

Es ist wichtig, PAT (Many-to-One-NAT, wie es bei Consumer-Routern üblich ist) nicht mit anderen NAT-Formen und mit NAT-freiem Firewall zu verwechseln. Sobald das Internet nur noch IPv6 unterstützt, verhindern Firewalls die Verfügbarkeit interner Dienste. Ebenso ist ein IPv4-System mit Eins-zu-Eins-NAT nicht automatisch geschützt. Das ist die Aufgabe einer Firewall-Richtlinie.

Dieses Thema ist sehr verwirrend, da Netzwerkadministratoren NAT in einem Licht sehen und kleine Unternehmen und Privatkunden es in einem anderen Licht sehen. Lassen Sie mich das klarstellen.

Statisches NAT (manchmal auch Eins-zu-Eins-NAT genannt) bietet keinen Schutz für Ihr privates Netzwerk oder einen einzelnen PC. Das Ändern der IP-Adresse ist für den Schutz bedeutungslos.

Dynamisch überlastetes NAT / PAT, wie es die meisten Gateways und WLAN-Zugriffspunkte in Privathaushalten tun, schützt Ihr privates Netzwerk und / oder Ihren PC auf jeden Fall. Die NAT-Tabelle in diesen Geräten ist von Entwurf eine Statustabelle. Es verfolgt ausgehende Anforderungen und ordnet sie in der NAT-Tabelle zu - das Zeitlimit für Verbindungen wird nach einer bestimmten Zeit überschritten. Alle nicht angeforderten eingehenden Frames, die nicht mit den Angaben in der NAT-Tabelle übereinstimmen, werden standardmäßig gelöscht. Der NAT-Router weiß nicht, wohin sie im privaten Netzwerk gesendet werden sollen, und löscht sie daher. Auf diese Weise ist Ihr Router das einzige Gerät, das Sie für Hackerangriffe anfällig machen. Da die meisten Sicherheits-Exploits auf Windows basieren, kann ein solches Gerät zwischen dem Internet und Ihrem Windows-PC Ihr Netzwerk wirklich schützen. Es kann sein, dass es nicht die ursprünglich beabsichtigte Funktion ist. Das war, um öffentliche IPs zu sparen, aber es erledigt den Job. Als Bonus verfügen die meisten dieser Geräte auch über Firewall-Funktionen, mit denen ICMP-Anforderungen standardmäßig oft blockiert werden, was auch zum Schutz des Netzwerks beiträgt.

Angesichts der oben genannten Informationen kann der Verzicht auf NAT bei der Umstellung auf IPv6 dazu führen, dass Millionen von Geräten für Privatanwender und kleine Unternehmen potenziell gehackt werden. Dies hat keine oder nur geringe Auswirkungen auf Unternehmensnetzwerke, da sie über professionell verwaltete Firewalls verfügen. Consumer- und Small Business-Netzwerke verfügen möglicherweise nicht mehr über einen * nix-basierten NAT-Router zwischen dem Internet und ihren PCs. Es gibt keinen Grund, warum eine Person nicht auf eine reine Firewall-Lösung umsteigen könnte - viel sicherer, wenn sie richtig eingesetzt wird, aber auch jenseits des Bereichs, den 99% der Verbraucher verstehen. Dynamic Overloaded NAT bietet ein Minimum an Schutz, wenn Sie es nur verwenden - schließen Sie Ihren Router an, und Sie sind geschützt. Einfach.

Das heißt, es gibt keinen Grund, warum NAT nicht genauso verwendet werden kann, wie es in IPv4 verwendet wird. Tatsächlich könnte ein Router so ausgelegt sein, dass er eine IPv6-Adresse am WAN-Port hat, hinter der sich ein privates IPv4-Netzwerk befindet, auf dem sich beispielsweise NAT befindet. Dies wäre eine einfache Lösung für Verbraucher und Privatpersonen. Eine weitere Option besteht darin, alle Geräte mit öffentlichen IPv6-IPs zu versetzen. Das Zwischengerät könnte dann als L2-Gerät fungieren, jedoch eine Statustabelle, eine Paketüberprüfung und eine voll funktionsfähige Firewall bereitstellen. Im Wesentlichen kein NAT, blockiert aber weiterhin unerwünschte eingehende Frames. Wichtig ist, dass Sie Ihren PC nicht ohne Zwischengerät direkt an Ihr WAN anschließen. Es sei denn, Sie möchten sich auf die Windows-Firewall verlassen. . . und das ist eine andere Diskussion.

Es wird einige Probleme geben, die mit IPv6 einhergehen, aber es gibt kein Problem, das nicht leicht gelöst werden kann. Müssen Sie Ihren alten IPv4-Router oder Ihr Heim-Gateway fallen lassen? Möglicherweise, aber es werden kostengünstige neue Lösungen verfügbar sein, wenn es soweit ist. Hoffentlich benötigen viele Geräte nur einen Firmware-Flash. Könnte IPv6 so konzipiert sein, dass es sich nahtloser in die aktuelle Architektur einfügt? Sicher, aber es ist was es ist und es wird nicht verschwinden - also lernst du es genauso gut, lebst es, liebst es.

Wenn NAT in der IPv6-Welt überlebt, ist es höchstwahrscheinlich 1: 1 NAT. Ein Formular, das im IPv4-Raum noch nie als NAT gesehen wurde. Was ist 1: 1 NAT? Es ist eine 1: 1-Übersetzung einer globalen Adresse in eine lokale Adresse. Das IPv4-Äquivalent übersetzt alle Verbindungen zu 1.1.1.2 nur zu 10.1.1.2 usw. für den gesamten 1.0.0.0/8-Bereich. Die IPv6-Version besteht darin, eine globale Adresse in eine eindeutige lokale Adresse zu übersetzen.

Verbesserte Sicherheit kann durch häufiges Drehen der Zuordnung für Adressen erreicht werden, die Sie nicht interessieren (wie interne Office-Benutzer, die auf Facebook surfen). Intern würden Ihre ULA-Nummern gleich bleiben, sodass Ihr Split-Horizon-DNS weiterhin einwandfrei funktionieren würde, aber externe Clients würden sich niemals an einem vorhersehbaren Port befinden.

Aber es ist wirklich eine kleine Menge an verbesserter Sicherheit für den Ärger, den es verursacht. Das Scannen von IPv6-Subnetzen ist eine sehr große Aufgabe und ohne eine Überprüfung der IP-Adresszuweisung in diesen Subnetzen nicht möglich (MAC-Generierungsmethode? Zufällige Methode? Statische Zuweisung von lesbaren Adressen?).

In den meisten Fällen erhalten Clients hinter der Unternehmensfirewall eine globale Adresse, möglicherweise eine ULA, und die Perimeterfirewall wird so eingestellt, dass alle eingehenden Verbindungen zu diesen Adressen abgelehnt werden. In jeder Hinsicht sind diese Adressen von außen nicht erreichbar. Sobald der interne Client eine Verbindung initiiert, werden Pakete über diese Verbindung zugelassen. Die Notwendigkeit, die IP-Adresse in eine völlig andere Adresse zu ändern, wird dadurch gelöst, dass ein Angreifer gezwungen wird, 2 ^ 64 mögliche Adressen in diesem Subnetz zu durchsuchen.

RFC 4864 beschreibt IPv6 Local Network Protection , eine Reihe von Ansätzen zur Bereitstellung der wahrgenommenen Vorteile von NAT in einer IPv6-Umgebung, ohne tatsächlich auf NAT zurückgreifen zu müssen.

In diesem Dokument wurde eine Reihe von Techniken beschrieben, die an einem IPv6-Standort kombiniert werden können, um die Integrität seiner Netzwerkarchitektur zu schützen. Diese Techniken, die gemeinsam als lokaler Netzwerkschutz bezeichnet werden, behalten das Konzept einer genau definierten Grenze zwischen "innerhalb" und "außerhalb" des privaten Netzwerks bei und ermöglichen Firewalling, Ausblenden der Topologie und Datenschutz. Da sie jedoch die Adressentransparenz dort bewahren, wo sie benötigt wird, erreichen sie diese Ziele ohne den Nachteil der Adressübersetzung. Somit kann der lokale Netzwerkschutz in IPv6 die Vorteile der IPv4-Netzwerkadressübersetzung ohne die entsprechenden Nachteile bieten.

Zunächst werden die wahrgenommenen Vorteile von NAT erläutert (und gegebenenfalls entlarvt) und anschließend die Funktionen von IPv6 beschrieben, mit denen dieselben Vorteile erzielt werden können. Es enthält auch Implementierungshinweise und Fallstudien.

Es ist zwar zu lang, um hier nachgedruckt zu werden, die besprochenen Vorteile sind jedoch:

• Ein einfaches Tor zwischen "innen" und "außen"
• Die zustandsbehaftete Firewall
• Benutzer- / Anwendungsverfolgung
• Privatsphäre und Topologie versteckt
• Unabhängige Steuerung der Adressierung in einem privaten Netzwerk
• Multihoming / Umnummerierung

Dies deckt so ziemlich alle Szenarien ab, in denen man NAT haben möchte, und bietet Lösungen für die Implementierung in IPv6 ohne NAT.

Einige der Technologien, die Sie verwenden werden, sind:

• Eindeutige lokale Adressen: Bevorzugen Sie diese in Ihrem internen Netzwerk, um Ihre interne Kommunikation intern zu halten und um sicherzustellen, dass die interne Kommunikation auch dann fortgesetzt werden kann, wenn der ISP ausfällt.
• IPv6-Datenschutzerweiterungen mit kurzer Adresslebensdauer und nicht offensichtlich strukturierten Schnittstellenkennungen: Diese verhindern, dass einzelne Hosts und Subnetz-Scans angegriffen werden.
• IGP, Mobile IPv6 oder VLANs können verwendet werden, um die Topologie des internen Netzwerks auszublenden.
• Zusammen mit ULAs erleichtert DHCP-PD vom ISP das Umnummerieren / Multihoming im Vergleich zu IPv4.

( Ausführliche Informationen finden Sie in der RFC. Auch hier ist es viel zu lang, um sie erneut zu drucken oder wichtige Auszüge daraus zu entnehmen.)

Eine allgemeinere Erläuterung der IPv6-Übergangssicherheit finden Sie in RFC 4942 .

So'ne Art. Es gibt tatsächlich verschiedene "Typen" von IPv6-Adressen. Die dem RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) am nächsten gelegene Adresse heißt "Eindeutige lokale Adresse" und ist in RFC 4193 definiert:

http://en.wikipedia.org/wiki/Unique_local_address

Sie beginnen also mit fd00 :: / 8, fügen dann eine 40-Bit-Zeichenfolge hinzu (unter Verwendung eines vordefinierten Algorithmus im RFC!) Und erhalten ein Pseudozufalls-Präfix / 48, das global eindeutig sein sollte. Sie können den Rest des Adressraums zuweisen, wie Sie möchten.

Sie sollten auch fd00 :: / 7 (fc00 :: / 8 und fd00 :: / 8) an Ihrem (IPv6) -Router außerhalb Ihrer Organisation blockieren - daher das "Lokale" im Adressnamen. Diese Adressen sollten, während sie sich im globalen Adressraum befinden, nicht für die gesamte Welt erreichbar sein, nur innerhalb Ihrer "Organisation".

Wenn Ihre PCI-DSS-Server eine IPv6-Verbindung zu anderen internen IPv6-Hosts benötigen, sollten Sie ein ULA-Präfix für Ihr Unternehmen generieren und dieses für diesen Zweck verwenden. Sie können die automatische Konfiguration von IPv6 wie jedes andere Präfix verwenden, wenn Sie dies wünschen.

Da IPv6 so konzipiert wurde, dass Hosts mehrere Adressen haben können, kann ein Computer zusätzlich zu einem ULA auch eine global routbare Adresse haben. So kann ein Webserver, der sowohl mit der Außenwelt als auch mit internen Computern kommunizieren muss, sowohl eine ISP-zugewiesene Präfix-Adresse als auch Ihr ULA-Präfix haben.

Wenn Sie eine NAT-ähnliche Funktionalität wünschen, können Sie sich auch NAT66 ansehen, aber im Allgemeinen würde ich mich um ULA kümmern. Wenn Sie weitere Fragen haben, können Sie sich die Mailingliste "ipv6-ops" ansehen.

IMHO: nicht.

Es gibt noch einige Stellen, an denen SNAT / DNAT nützlich sein kann. Zum Beispiel wurden einige Server in ein anderes Netzwerk verschoben, aber wir möchten / können die IP-Adresse der Anwendung nicht ändern.

Hoffentlich wird NAT für immer verschwinden. Dies ist nur dann nützlich, wenn die IP-Adresse knapp ist und keine Sicherheitsfunktionen vorhanden sind, die nicht besser, billiger und einfacher von einer Stateful Firewall verwaltet werden können.

Da IPv6 keine Knappheit mehr bedeutet, können wir die Welt von dem hässlichen Hack befreien, der NAT ist.

Ich habe keine endgültige Antwort darauf gefunden, wie der Verlust von NAT (wenn es wirklich verschwindet) mit IPv6 die Privatsphäre der Benutzer beeinträchtigt.

Wenn die IP-Adressen einzelner Geräte öffentlich zugänglich gemacht werden, ist es für Webdienste viel einfacher, Ihre Reisen im Internet von Ihren verschiedenen Geräten aus zu überwachen (zu sammeln, zu speichern, zeitlich und räumlich zu aggregieren und eine Vielzahl von Nebennutzungen zu ermöglichen). Es sei denn ... ISPs, Router und andere Geräte ermöglichen und vereinfachen dynamische IPv6-Adressen, die für jedes Gerät häufig geändert werden können.

Natürlich, egal, was wir noch haben werden, das Problem, dass statische WLAN-MAC-Adressen öffentlich sind, aber das ist eine andere Geschichte ...

Es gibt viele Schemata zur Unterstützung von NAT in einem Übergangsszenario von V4 nach V6. Wenn Sie jedoch ein All-IPV6-Netzwerk haben und eine Verbindung zu einem Upstream-IPV6-Anbieter herstellen, ist NAT nicht Teil der neuen Weltordnung, mit der Ausnahme, dass Sie zwischen V4-Netzwerken über V6-Netzwerke tunneln können.

Cisco bietet zahlreiche allgemeine Informationen zu 4to6-Szenarien, Migration und Tunneling.

http://www.cisco.com/de/DE/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

Auch bei Wikipedia:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

Politik und grundlegende Geschäftspraktiken werden höchstwahrscheinlich die Existenz von NAT fördern. Die Fülle an IPv6-Adressen bedeutet, dass ISPs versucht sind, Gebühren pro Gerät zu erheben oder Verbindungen nur auf eine begrenzte Anzahl von Geräten zu beschränken. Siehe diesen letzten Artikel auf /. zum Beispiel:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

Zu Ihrer Information, jeder Interessierte kann NAT / NAPT mit IPV6 verwenden. Alle BSD-Betriebssysteme mit PF unterstützen NAT66. Funktioniert super. Aus einem Blog haben wir verwendet :

ipv6 nat (nat66) von FreeBSD pf

nat66 ist zwar noch im entwurf, aber FreeBSD pf unterstützt es schon lange.

(editiere die pf.conf und füge folgende Codes ein)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

Sie sind fertig!

Funktioniert hervorragend für uns Leute, die Squid seit Jahren mit einer einzigen IP-Adresse verwenden. Mit IPv6 NAT kann ich 2 ^ 120 private Adressen (standortlokal) erhalten, die 2 ^ 56 Subnetze mit meinen 5/64-Subnetzen umfassen. Das heißt, ich muss 100 Milliarden Mal schlauer sein als jeder andere IPv6-Guru hier, weil ich mehr Adressen habe

Die Wahrheit ist, dass nur, weil ich mehr Adressen habe (oder IPv6 möglicherweise länger als Sie verwendet habe), IPv6 (oder mich für das gleiche Problem) nicht wirklich besser macht. Dadurch wird IPv6 jedoch komplexer, wenn anstelle von PAT eine Firewall erforderlich ist und NAT nicht mehr erforderlich ist, sondern eine Option darstellt. Ziel der Firewall ist es, alle ausgehenden Verbindungen zuzulassen und den Status beizubehalten, eingehende initiierte Verbindungen jedoch zu blockieren.

Was NAPT (NAT mit PAT) angeht, wird es einige Zeit dauern, bis die Leute aus der Denkweise herauskommen. Zum Beispiel ist es eine gute Idee, mit der möglichen Idee von NAT zu spielen, bis wir Ihren Urgroßvater dazu bringen können, seine eigene IPv6-Firewall ohne standortlokale Adressierung (private Adressen) und ohne Unterstützung durch den Guru einzurichten alles was er weiß.

In den jüngsten Vorschlägen für ipv6 wurde vorgeschlagen, dass Ingenieure, die an der neuen Technologie arbeiten, NAT in ipv6 integrieren. Grund dafür ist: NAT bietet eine zusätzliche Sicherheitsebene

Die Dokumentation befindet sich auf der ipv6.com-Website, daher scheinen all diese Antworten, die besagen, dass NAT keine Sicherheit bietet, etwas verlegen zu sein

Mir ist klar, dass die regionalen IPv4-Adressen irgendwann (das kann man nur spekulieren) unweigerlich ausgehen werden. Ich bin damit einverstanden, dass IPv6 einige schwerwiegende Nachteile für den Benutzer hat. Das Thema NAT ist äußerst wichtig, da es von Natur aus Sicherheit, Redundanz und Datenschutz bietet und es Benutzern ermöglicht, nahezu beliebig viele Geräte ohne Einschränkung zu verbinden. Ja, eine Firewall ist der goldene Standard gegen unerwünschtes Eindringen in das Netzwerk. NAT bietet jedoch nicht nur eine weitere Schutzschicht, sondern im Allgemeinen auch ein sicheres Standarddesign, unabhängig von der Firewall-Konfiguration oder den Kenntnissen des Endbenutzers, unabhängig davon, wie Sie IPv4 definieren Mit NAT und einer Firewall ist IPv6 noch sicherer als mit einer Firewall. Ein weiteres Problem ist die Privatsphäre, Wenn auf jedem Gerät eine über das Internet routbare Adresse vorhanden ist, können Benutzer potenzielle Datenschutzverletzungen jeglicher Art, das Sammeln persönlicher Informationen und das Nachverfolgen von Informationen feststellen, die heute kaum mehr vorstellbar sind. Ich bin auch der Meinung, dass wir ohne Nat für zusätzliche Kosten und Kontrolle durch Isp's geöffnet werden können. Isps werden möglicherweise pro Gerät oder pro Benutzer aufgeladen, wie wir es bereits beim USB-Tethering sehen. Dies würde die Freiheit des Endbenutzers erheblich einschränken, jedes Gerät offen anzuschließen, das seiner Meinung nach auf diese Leitung passt. Ab sofort bieten nur wenige US-amerikanische ISPs IPv6 in irgendeiner Form an, und ich bin der Meinung, dass die Umstellung von Nicht-Tech-Unternehmen aufgrund der zusätzlichen Kosten mit geringem oder keinem Mehrwert nur langsam vonstatten gehen wird.