Mudar para IPv6 implica descartar o NAT. Isso é uma coisa boa?

109

Esta é uma pergunta canônica sobre IPv6 e NAT

Palavras-chave:

Portanto, nosso ISP configurou o IPv6 recentemente, e estive estudando o que a transição deve acarretar antes de entrar em conflito.

Eu notei três questões muito importantes:

  1. O roteador NAT do escritório (um antigo Linksys BEFSR41) não suporta IPv6. Nem qualquer roteador mais novo, o AFAICT. O livro que estou lendo sobre o IPv6 me diz que torna o NAT "desnecessário" de qualquer maneira.

  2. Se devemos nos livrar desse roteador e conectar tudo diretamente à Internet, começo a entrar em pânico. Não há nenhuma maneira de colocar nosso banco de dados de cobrança (com muitas informações de cartão de crédito!) Na internet para todo mundo ver. Mesmo que eu propusesse configurar o firewall do Windows nele para permitir que apenas 6 endereços tivessem acesso a ele, eu continuo suando frio. Não confio no Windows, no firewall do Windows ou na rede em geral o suficiente para estar remotamente confortável com isso.

  3. Existem alguns dispositivos de hardware antigos (ou seja, impressoras) que não possuem absolutamente nenhum recurso IPv6. E provavelmente uma lista completa de problemas de segurança que datam de 1998. E provavelmente não há como corrigi-los de alguma maneira. E nenhum financiamento para novas impressoras.

Ouvi dizer que o IPv6 e o ​​IPSEC devem proteger tudo isso de alguma forma, mas sem redes fisicamente separadas que tornam esses dispositivos invisíveis para a Internet, eu realmente não consigo entender como. Da mesma forma, posso realmente ver como as defesas que eu criar serão vencidas em pouco tempo. Estou executando servidores na Internet há anos e estou familiarizado com o tipo de coisas necessárias para protegê-los, mas colocar algo de Particular na rede como nosso banco de dados de cobrança sempre esteve completamente fora de questão.

Com o que devo substituir o NAT se não tivermos redes fisicamente separadas?

Ernie
fonte
9
Você pode tentar perguntar novamente isso? Neste momento, parece ser bastante argumentativo.
Zoredache
9
As coisas pelas quais você está chocado não existem. Talvez você deva reformatar sua pergunta de maneira a descrever as coisas que acredita serem fatos e pedir que as confirme. Em vez de reclamar das coisas que você supôs, funcionará de certa maneira.
Zoredache
25
Além disso - você está armazenando informações de cartão de crédito? E você tem tantas perguntas sobre segurança? Você já passou por uma auditoria PCI? Ou você está violando seu contrato armazenando os detalhes do cartão de crédito? Você pode analisar isso, pós-pressa.
mfinni
4
Não posso, em sã consciência, votar ou fechar esta questão com base no argumento de que o pôster está mal informado (certamente essa é a metade do objetivo do site). Concedido, o OP está saindo de uma grande tangente com base em uma suposição falsa, e a pergunta poderia ter uma reescrita.
Chris Thorpe
3
"No more NAT" é definitivamente um dos objetivos do IPv6. Embora, no momento, pareça (pelo menos aqui) que o interesse em oferecer IPv6 não seja muito grande, exceto nos datacenters (porque pacotes maiores significam mais largura de banda e mais largura de banda significa mais dinheiro para eles!). Para o DSL, é o contrário, praticamente todo mundo tem taxa fixa, portanto o IPv6 significa apenas mais problemas e mais custo para os provedores.
23411 dm.skt

Respostas:

185

Em primeiro lugar, não há o que temer em uma alocação de IP pública, desde que seus dispositivos de segurança estejam configurados corretamente.

Com o que devo substituir o NAT se não tivermos redes fisicamente separadas?

A mesma coisa com a qual os separamos fisicamente desde os anos 80, roteadores e firewalls. O grande ganho de segurança que você obtém com o NAT é que ele o força a uma configuração de negação padrão. Para obter qualquer serviço através dele, é necessário fazer explicitamente furos. Os dispositivos mais sofisticados permitem que você aplique ACLs baseadas em IP a esses buracos, como um firewall. Provavelmente porque eles têm 'Firewall' na caixa, na verdade.

Um firewall configurado corretamente fornece exatamente o mesmo serviço que um gateway NAT. Os gateways NAT são usados ​​com frequência porque são mais fáceis de acessar uma configuração segura do que a maioria dos firewalls.

Ouvi dizer que o IPv6 e o ​​IPSEC devem proteger tudo isso de alguma forma, mas sem redes fisicamente separadas que tornam esses dispositivos invisíveis para a Internet, eu realmente não consigo entender como.

Isso é um equívoco. Eu trabalho para uma universidade que possui uma alocação IPv4 / 16, e a grande maioria do nosso consumo de endereços IP está nessa alocação pública. Certamente todas as nossas estações de trabalho e impressoras para usuários finais. Nosso consumo RFC1918 é limitado a dispositivos de rede e certos servidores específicos em que esses endereços são necessários. Eu não ficaria surpreso se você apenas tremesse agora, porque certamente o fiz quando apareci no meu primeiro dia e vi o post-it no meu monitor com o meu endereço IP.

E, no entanto, sobrevivemos. Por quê? Porque temos um firewall externo configurado para negação padrão com taxa de transferência ICMP limitada. Só porque 140.160.123.45 é teoricamente roteável, não significa que você pode chegar lá de onde quer que esteja na Internet pública. É para isso que os firewalls foram projetados para fazer.

Dadas as configurações corretas do roteador, e diferentes sub-redes em nossa alocação podem ser completamente inacessíveis uma da outra. Você pode fazer isso em tabelas de roteadores ou firewalls. Esta é uma rede separada e satisfez nossos auditores de segurança no passado.

Não há nenhuma maneira de colocar nosso banco de dados de cobrança (com muitas informações de cartão de crédito!) Na internet para todo mundo ver.

Nosso banco de dados de cobrança está em um endereço IPv4 público e existe por toda a sua existência, mas temos provas de que você não pode chegar lá daqui. Só porque um endereço está na lista pública roteável da v4 não significa que é garantido que ele seja entregue. Os dois firewalls entre os males da Internet e as portas reais do banco de dados filtram o mal. Mesmo da minha mesa, atrás do primeiro firewall, não consigo acessar esse banco de dados.

As informações do cartão de crédito são um caso especial. Isso está sujeito aos padrões PCI-DSS, e os padrões afirmam diretamente que os servidores que contêm esses dados devem estar atrás de um gateway NAT 1 . Os nossos são e esses três servidores representam nosso uso total de endereços RFC1918. Ele não adiciona nenhuma segurança, apenas uma camada de complexidade, mas precisamos marcar essa caixa de seleção para auditorias.


A idéia original "IPv6 faz da NAT uma coisa do passado" foi apresentada antes que o boom da Internet realmente atingisse todo o mainstream. Em 1995, o NAT era uma solução alternativa para contornar uma pequena alocação de IP. Em 2005, foi consagrado em muitos documentos de Melhores Práticas de Segurança e em pelo menos um padrão importante (PCI-DSS para ser específico). O único benefício concreto que o NAT oferece é que uma entidade externa que realiza o reconhecimento na rede não sabe como é o cenário de IP atrás do dispositivo NAT (embora, graças ao RFC1918, eles tenham uma boa estimativa) e no IPv4 sem NAT (como como meu trabalho) não é esse o caso. É um pequeno passo na defesa em profundidade, não um grande.

A substituição dos endereços RFC1918 são os chamados endereços locais exclusivos. Como o RFC1918, eles não encaminham, a menos que os colegas concordem especificamente em deixá-los encaminhar. Ao contrário do RFC1918, eles são (provavelmente) globalmente únicos. Os tradutores de endereços IPv6 que convertem um ULA em um IP global existem na faixa de perímetro de faixa mais alta, definitivamente ainda não na faixa de SOHO.

Você pode sobreviver muito bem com um endereço IP público. Lembre-se de que 'public' não garante 'alcançável' e você ficará bem.


2017 update

Nos últimos meses, o Amazon vem adicionando suporte ao IPv6. Ele acabou de ser adicionado à sua oferta , e sua implementação fornece algumas pistas sobre como se espera que implantações em grande escala sejam feitas.

  • Você recebe uma alocação / 56 (256 sub-redes).
  • A alocação é uma sub-rede totalmente roteável.
  • Espera-se que você defina suas regras de firewall ( ) adequadamente restritivas.
  • Não existe NAT, ele nem é oferecido; portanto, todo o tráfego de saída virá do endereço IP real da instância.

Para adicionar um dos benefícios de segurança do NAT, eles agora oferecem um Gateway de Internet somente para saída . Isso oferece um benefício semelhante ao NAT:

  • As sub-redes por trás dele não podem ser acessadas diretamente da Internet.

Que fornece uma camada de defesa profunda, caso uma regra de firewall mal configurada permita acidentalmente o tráfego de entrada.

Esta oferta não converte o endereço interno em um único endereço, como o NAT. O tráfego de saída ainda terá o IP de origem da instância que abriu a conexão. Os operadores de firewall que desejam colocar recursos na lista de permissões na VPC terão melhor desempenho em bloqueios de rede na lista de permissões, em vez de endereços IP específicos.

Roteável nem sempre significa alcançável .


1 : Os padrões do PCI-DSS foram alterados em outubro de 2010, a declaração exigindo endereços RFC1918 foi removida e o 'isolamento de rede' o substituiu.

sysadmin1138
fonte
1
Marquei isso como Aceito porque é a resposta mais completa. Eu acho que desde cada tomo de configuração de firewall que eu já li (desde 1997, quando comecei no campo, e isso inclui a criação manual de firewalls do FreeBSD) enfatizou o uso do RFC1918, que isso realmente não fazia sentido para mim. Obviamente, como ISP, teremos alguns problemas com os usuários finais e seus roteadores baratos quando ficarmos sem endereços IPv4, e isso não desaparecerá tão cedo.
Ernie
"Os tradutores de endereços IPv6 que convertem um ULA em um IP global existem na faixa de perímetro de faixa mais alta, definitivamente ainda não na faixa de SOHO." Depois de resistir por muitos anos, o linux adicionou suporte para isso na versão 3.9.0.
Peter Green
2
Tenho uma pergunta sobre "Os gateways NAT são usados ​​com frequência porque são mais fáceis de acessar uma configuração segura do que a maioria dos firewalls". Para empresas com profissionais de TI ou para consumidores experientes, isso não é grande coisa, mas para consumidores em geral / pequenas empresas ingênuas não é algo que não está sendo "fácil" um enorme risco à segurança? Por exemplo, décadas de redes wifi "linksys" sem senha existiam porque não configurar a segurança era "mais fácil" do que configurá-la. Com uma casa cheia de dispositivos habilitados para IoT no nível do consumidor, não consigo ver minha mãe configurando corretamente um firewall IPv6. Você acha que isso é um problema?
Jason C
6
@JasonC Não, porque o equipamento de nível de consumidor já enviado é enviado com firewalls pré-configurados pelo ISP para negar toda a entrada. Ou não tem suporte à v6. O desafio são os usuários avançados que pensam que sabem o que estão fazendo, mas na verdade não sabem.
sysadmin1138
1
Uma excelente resposta, no geral, mas eu a diminuí com o voto porque mal se dirigia ao grande elefante na sala: configurar o dispositivo de segurança corretamente é algo que você não pode simplesmente dar como garantido.
22417 Kevin Keane
57

O roteador NAT do escritório (um antigo Linksys BEFSR41) não suporta IPv6. Nem qualquer roteador mais novo

O IPv6 é suportado por muitos roteadores. Só que não muitos dos mais baratos destinados a consumidores e SOHO. Na pior das hipóteses, basta usar uma caixa Linux ou atualizar novamente o roteador com dd-wrt ou algo assim para obter suporte ao IPv6. Existem muitas opções, você provavelmente só precisa procurar mais.

Se devemos nos livrar desse roteador e conectar tudo diretamente à Internet,

Nada sobre a transição para o IPv6 sugere que você deve se livrar de dispositivos de segurança de perímetro, como o seu roteador / firewall. Roteadores e firewalls ainda serão um componente necessário em praticamente todas as redes.

Todos os roteadores NAT atuam efetivamente como um firewall com estado. Não há nada mágico sobre o uso de endereços RFC1918 que o proteja tanto assim. É a parte estável que faz o trabalho duro. Um firewall configurado corretamente também o protegerá se você estiver usando endereços reais ou particulares.

A única proteção que você obtém dos endereços RFC1918 é que permite que as pessoas se livrem de erros / preguiça na configuração de seu firewall e ainda assim não sejam tão vulneráveis.

Existem alguns dispositivos de hardware antigos (ou seja, impressoras) que não possuem absolutamente nenhum recurso IPv6.

Assim? É pouco provável que você precise disponibilizá-lo pela Internet e, na sua rede interna, continue executando o IPv4 e o IPv6 até que todos os seus dispositivos sejam suportados ou substituídos.

Se a execução de vários protocolos não for uma opção, talvez seja necessário configurar algum tipo de gateway / proxy.

IPSEC deve tornar tudo isso seguro de alguma forma

IPSEC criptografou e autentica pacotes. Não tem nada a ver com a eliminação do seu dispositivo de fronteira e protege mais os dados em trânsito.

Zoredache
fonte
2
Certo de muitas maneiras.
sysadmin1138
3
Exatamente, adquira um roteador real e você não precisará se preocupar. O SonicWall tem algumas opções excelentes para fornecer a segurança necessária e oferecerá suporte ao IPv6 sem problemas. Essa opção provavelmente oferecerá melhor segurança e desempenho do que o que você possui atualmente. ( news.sonicwall.com/index.php?s=43&item=1022 ) Como você pode ver neste artigo, também é possível fazer a tradução de ipv4 para ipv6 com dispositivos sonicwall para aqueles que não conseguem lidar com o ipv6.
precisa saber é o seguinte
34

Sim. NAT está morto. Houve algumas tentativas de ratificar padrões para o NAT através do IPv6, mas nenhum deles decolou.

Na verdade, isso causou problemas para os provedores que estão tentando atender aos padrões PCI-DSS, pois na verdade o padrão afirma que você deve estar protegido por um NAT.

Para mim, esta é uma das notícias mais maravilhosas que já ouvi. Eu odeio o NAT e odeio o NAT de operadora ainda mais.

O NAT só foi concebido para ser uma solução bandaid para passar até que o IPv6 se tornasse padrão, mas se tornou arraigado na sociedade da Internet.

Para o período de transição, lembre-se de que IPv4 e IPv6 são, além de um nome semelhante, totalmente diferentes 1 . Portanto, os dispositivos que são de pilha dupla, seu IPv4 serão NATted e seu IPv6 não. É quase como ter dois dispositivos totalmente separados, embalados em um único pedaço de plástico.

Então, como funciona o acesso à Internet IPv6? Bem, a maneira como a internet funcionava antes do NAT ser inventado. Seu ISP atribuirá um intervalo de IPs (o mesmo que agora, mas geralmente atribui a / 32, o que significa que você obtém apenas um endereço IP), mas agora terá milhões de endereços IP disponíveis. Você pode preencher esses endereços IP conforme desejar (com configuração automática ou DHCPv6). Cada um desses endereços IP estará visível em qualquer outro computador na Internet.

Parece assustador, certo? Seu controlador de domínio, seu PC de mídia doméstica e seu iPhone, com seu estoque oculto de pornografia, serão acessíveis pela Internet ?! Bem não. É para isso que serve um firewall. Outro ótimo recurso do IPv6 é que ele força os firewalls de uma abordagem "Permitir tudo" (como a maioria dos dispositivos domésticos) a uma abordagem "Negar tudo", na qual você abre serviços para endereços IP específicos. 99,999% dos usuários domésticos manterão seus firewalls padrão e totalmente bloqueados, o que significa que nenhum tráfego não solicitado será permitido.

1 Ok, há muito mais do que isso, mas eles não são de forma alguma compatíveis um com o outro, mesmo que ambos permitam os mesmos protocolos rodando no topo

Mark Henderson
fonte
1
E todas as pessoas que afirmam que ter computadores atrás do NAT fornece segurança adicional? Eu ouço muito isso de alguns outros administradores de TI. Não importa se você disser que um firewall adequado é tudo o que você precisa, porque muitas dessas pessoas acreditam que o NAT adiciona uma camada de segurança.
user9274
3
@ user9274 - fornece segurança de duas maneiras: 1) oculta o seu endereço IP interno do mundo (é por isso que o PCI-DSS o exige) e 2) é um "salto" extra da Internet para a máquina local. Mas, para ser sincero, o primeiro é apenas "segurança através da obscuridade", que não é segurança, e, no segundo, um dispositivo NAT comprometido é tão perigoso quanto um servidor comprometido; assim, quando os invasores ultrapassam o NAT, é provável que entre na sua máquina de qualquer maneira.
Mark Henderson
Além disso, qualquer segurança obtida com o uso do NAT foi e é um benefício não intencional no esforço de evitar o esgotamento dos endereços IPv4. Certamente não era parte integrante do objetivo do projeto, que eu saiba.
Joeqwerty
7
Os padrões do PCI-DSS foram alterados no final de outubro de 2010 e o requisito NAT foi removido (seção 1.3.8 da v1.2). Então, mesmo eles estão alcançando os tempos.
sysadmin1138
2
@ Mark, não tenho certeza se vale a pena mencionar, mas o NAT64 está decolando, mas não é o NAT que a maioria das pessoas pensa. Ele permite que apenas redes IPv6 acessem a Internet IPv4 sem a 'cooperação' do cliente; requer suporte ao DNS64 para fazê-lo funcionar.
Chris S
18

O requisito do PCI-DSS para NAT é conhecido por ser um teatro de segurança e não uma segurança real.

O PCI-DSS mais recente desistiu de chamar o NAT de um requisito absoluto. Muitas organizações passaram nas auditorias do PCI-DSS com IPv4 sem o NAT mostrando firewalls com estado como "implementações de segurança equivalentes".

Existem outros documentos do teatro de segurança por aí pedindo o NAT, mas, como destrói as trilhas de auditoria e dificulta a investigação / mitigação de incidentes, um estudo mais aprofundado do NAT (com ou sem PAT) é um negativo de segurança líquida.

Um bom firewall de estado sem NAT é uma solução muito superior ao NAT em um mundo IPv6. No IPv4, o NAT é um mal necessário a ser tolerado em prol da conservação de endereços.

Owen DeLong
fonte
2
NAT é "segurança lenta". E com a "segurança lenta" vem a falta de atenção aos detalhes e a conseqüente perda da segurança pretendida.
Skaperen
1
Totalmente de acordo; embora a maneira como a maioria das auditorias do PCI-DSS seja realizada (auditoria por macaco com lista de verificação) seja toda uma segurança preguiçosa e carregue essas falhas.
MadHatter
Para aqueles que afirmam que o NAT é "teatro de segurança", eu gostaria de apontar para o artigo do Networking Nerd sobre a vulnerabilidade do Memcached alguns meses atrás. networkingnerd.net/2018/03/02/… Ele é um ávido defensor do IPv6, e odeia o NAT, mas teve que ressaltar que milhares de empresas deixaram seus servidores em cache em aberto na Internet devido a regras de firewall que "não eram trabalhada com cuidado ". O NAT obriga a ser explícito sobre o que você permite em sua rede.
Kevin Keane
12

(Tristemente) levará um tempo até que você possa se safar de uma rede única de IPv6 de pilha única. Até então, a pilha dupla com preferência pelo IPv6, quando disponível, é o caminho a ser executado.

Embora a maioria dos roteadores de consumidor não suporte IPv6 com firmware padrão, muitos podem suportá-lo com firmwares de terceiros (por exemplo, Linksys WRT54G com dd-wrt, etc.). Além disso, muitos dispositivos de classe empresarial (Cisco, Juniper) suportam o IPv6 pronto para uso.

É importante não confundir o PAT (NAT muitos para um, como é comum em roteadores de consumidores) com outras formas de NAT e com firewall sem NAT; Depois que a Internet se tornar apenas IPv6, os firewalls ainda impedirão a exposição de serviços internos. Da mesma forma, um sistema IPv4 com NAT um para um não é protegido automaticamente; esse é o trabalho de uma política de firewall.

techieb0y
fonte
11

Existe uma enorme confusão sobre esse assunto, pois os administradores de rede veem o NAT de uma maneira e os clientes residenciais e de pequenas empresas veem isso de outra. Deixe-me esclarecer.

O NAT estático (às vezes chamado de um para um) não oferece absolutamente nenhuma proteção para sua rede privada ou um PC individual. Alterar o endereço IP não faz sentido no que diz respeito à proteção.

NAT / PAT sobrecarregado dinâmico, como o que a maioria dos gateways residenciais e pontos de acesso Wi-Fi faz absolutamente ajuda a proteger sua rede privada e / ou seu PC. Por design, a tabela NAT nesses dispositivos é uma tabela de estado. Ele monitora as solicitações de saída e as mapeia na tabela NAT - as conexões atingem o tempo limite após um certo período de tempo. Quaisquer quadros de entrada não solicitados que não correspondam ao que está na tabela NAT são descartados por padrão - o roteador NAT não sabe para onde enviá-los na rede privada. Dessa forma, o único dispositivo em que você está vulnerável a ser invadido é o seu roteador. Como a maioria das explorações de segurança é baseada no Windows - ter um dispositivo como este entre a Internet e o PC com Windows ajuda a proteger sua rede. Pode não ser a função pretendida originalmente, que era para economizar em IPs públicos, mas faz o trabalho. Como bônus, a maioria desses dispositivos também possui recursos de firewall que muitas vezes bloqueiam solicitações de ICMP por padrão, o que também ajuda a proteger a rede.

Dadas as informações acima, descartar o NAT ao migrar para o IPv6 pode expor milhões de dispositivos de consumidores e pequenas empresas a possíveis ataques de hackers. Isso terá pouco ou nenhum efeito nas redes corporativas, pois eles gerenciam profissionalmente os firewalls. As redes de consumidores e pequenas empresas podem não ter mais um roteador NAT baseado em * nix entre a Internet e seus PCs. Não há razão para que uma pessoa não possa mudar para uma solução apenas de firewall - muito mais segura se implantada corretamente, mas também além do escopo do que 99% dos consumidores entendem como fazer. O NAT sobrecarregado dinâmico oferece um pouco de proteção usando-o - conecte seu roteador residencial e você estará protegido. Fácil.

Dito isto, não há razão para que o NAT não possa ser usado exatamente da mesma maneira que está sendo usado no IPv4. De fato, um roteador pode ser projetado para ter um endereço IPv6 na porta WAN com uma rede privada IPv4 por trás dele e NAT (por exemplo). Esta seria uma solução simples para consumidores e residências. Outra opção é colocar todos os dispositivos com IPs IPv6 públicos - o dispositivo intermediário poderia atuar como um dispositivo L2, mas fornecer uma tabela de estados, inspeção de pacotes e firewall totalmente funcional. Essencialmente, sem NAT, mas ainda bloqueando os quadros de entrada não solicitados. O importante é lembrar que você não deve conectar o seu PC diretamente à sua conexão WAN sem nenhum dispositivo intermediário. A menos, claro, que você queira confiar no firewall do Windows. . . e essa é uma discussão diferente.

Haverá algumas dores de crescimento mudando para o IPv6, mas não há nenhum problema que não possa ser resolvido com bastante facilidade. Você precisará abandonar seu roteador IPv4 antigo ou gateway residencial? Talvez, mas haverá novas soluções baratas disponíveis quando chegar a hora. Espero que muitos dispositivos precisem apenas de um flash de firmware. O IPv6 foi projetado para se encaixar mais perfeitamente na arquitetura atual? Claro, mas é o que é e não vai desaparecer - então você pode aprender, viver, amar.

Computerguy
fonte
3
Pelo que vale, gostaria de reiterar que a arquitetura atual está fundamentalmente quebrada (roteabilidade de ponta a ponta) e isso cria problemas práticos em redes complexas (dispositivos NAT redundantes são excessivamente complexos e caros). Descartar o hack NAT reduzirá a complexidade e os possíveis pontos de falha, enquanto a segurança é mantida por simples firewalls com estado (não consigo imaginar por um segundo um roteador SOHO vindo sem o firewall com estado ativado por padrão, para que os clientes possam se conectar sem um pensamento).
Chris S
Às vezes, a roteabilidade de ponta a ponta quebrada é exatamente o que você deseja. Não quero que minhas impressoras e computadores possam ser roteados da Internet. Embora o NAT tenha começado como um hack, ele evoluiu para uma ferramenta muito útil, que em alguns casos pode melhorar a segurança, removendo o potencial de pacotes rotearem diretamente para um nó. Se eu tiver um IP RFC1918 atribuído estaticamente em um PC, sob nenhuma circunstância esse IP será roteável na Internet.
Computerguy
6
Roteabilidade quebrada é uma coisa ruim ™ . O que você deseja é que seus dispositivos sejam inacessíveis pela Internet (por firewall), isso não é a mesma coisa. Consulte Por que você usaria o IPv6 internamente? . Além disso, o RFC1918 afirma que esses endereços devem ser usados ​​apenas para redes privadas e o acesso à Internet deve ser fornecido apenas por gateways da camada de aplicativo (que o NAT não é). Para conexões externas, o host deve receber um endereço de uma alocação coordenada da IANA. Hacks, por mais úteis que sejam, comprometem-se desnecessariamente e não são o caminho "certo".
Chris S
10

Se o NAT sobreviver no mundo IPv6, provavelmente será 1: 1 NAT. Um formulário que um NAT nunca é visto no espaço IPv4. O que é NAT 1: 1? É uma tradução 1: 1 de um endereço global para um endereço local. O equivalente ao IPv4 converteria todas as conexões para 1.1.1.2 apenas para 10.1.1.2 e assim por diante para todo o espaço 1.0.0.0/8. A versão do IPv6 seria converter um endereço global em um endereço local exclusivo.

A segurança aprimorada pode ser fornecida girando frequentemente o mapeamento para endereços com os quais você não se importa (como usuários internos do escritório navegando no Facebook). Internamente, seus números de ULA permaneceriam os mesmos, para que o DNS com horizonte dividido continuasse a funcionar bem, mas externamente os clientes nunca estariam em uma porta previsível.

Mas, na verdade, é uma pequena quantidade de segurança aprimorada pelo incômodo que ela cria. A varredura de sub-redes IPv6 é uma tarefa realmente grande e inviável sem que haja um reconhecimento de como os endereços IP são atribuídos nessas sub-redes (método de geração MAC? Método aleatório? Atribuição estática de endereços legíveis por humanos?).

Na maioria dos casos, o que acontecerá é que os clientes atrás do firewall corporativo obterão um endereço global, talvez um ULA, e o firewall de perímetro será configurado para negar todas as conexões de entrada de qualquer tipo para esses endereços. Para todos os efeitos, esses endereços são inacessíveis do lado de fora. Depois que o cliente interno inicia uma conexão, os pacotes serão permitidos ao longo dessa conexão. A necessidade de alterar o endereço IP para algo completamente diferente é tratada forçando um invasor a folhear 2 ^ 64 endereços possíveis nessa sub-rede.

sysadmin1138
fonte
@ sysadmin1138: Eu gosto desta solução. Como atualmente entendo o IPv6, se o meu provedor de serviços de Internet me der um / 64, devo usá-lo em toda a minha rede se quiser que minhas máquinas sejam IPv6 acessíveis pela Internet. Mas se eu me cansar desse ISP e mudar para outro, agora tenho que renumerar tudo completamente.
Kumba #
1
@ sysadmin1138: No entanto, percebi que posso atribuir vários IPs a uma única interface muito mais fácil do que com o IPv4, para que eu possa usar o ISP-dado / 64 para acesso externo e meu próprio esquema ULA interno para comunicação entre hosts e use um firewall para tornar os endereços ULA inacessíveis do lado de fora. Mais trabalho de configuração envolvido, mas parece que evitará completamente o NAT.
Kumba #
@ sysadmin1138: AINDA não entendo por que o ULA é, para todos os efeitos, privado, mas espera-se que ainda seja globalmente único. É como dizer que eu posso ter um carro de qualquer marca e modelo disponível no momento, mas não qualquer marca / modelo / ano já usado por outra pessoa, mesmo que seja o meu carro e eu seja o único motorista que já terá.
Kumba #
2
@ Kumba A razão pela qual os endereços RFC 4193 devem ser globalmente exclusivos é garantir que você não precisará renumerar no futuro. Talvez um dia você precise mesclar duas redes usando endereços RFC 4193 ou uma máquina que já possa ter um endereço RFC 4193 talvez precise se conectar a uma ou mais VPNs, que também têm endereços RFC 4193.
kasperd
1
@Kumba Se todo mundo usasse o fd00 :: / 64 para o primeiro segmento de sua rede, certamente você entraria em conflito assim que qualquer par de duas dessas redes tivesse que se comunicar. O ponto da RFC 4193 é que, desde que você escolha seus 40 bits aleatoriamente, poderá atribuir os 80 bits restantes da maneira que desejar e mantenha-se confiante de que não precisará renumerar.
kasperd
9

O RFC 4864 descreve a proteção de rede local IPv6 , um conjunto de abordagens para fornecer os benefícios percebidos do NAT em um ambiente IPv6, sem realmente precisar recorrer ao NAT.

Este documento descreveu várias técnicas que podem ser combinadas em um site IPv6 para proteger a integridade de sua arquitetura de rede. Essas técnicas, conhecidas coletivamente como proteção de rede local, mantêm o conceito de um limite bem definido entre "dentro" e "fora" da rede privada e permitem firewall, ocultação de topologia e privacidade. No entanto, como preservam a transparência do endereço quando necessário, eles atingem esses objetivos sem a desvantagem da tradução de endereços. Portanto, a proteção de rede local no IPv6 pode fornecer os benefícios da conversão de endereços de rede IPv4 sem as desvantagens correspondentes.

Primeiro, ele descreve quais são os benefícios percebidos do NAT (e os desmascara quando apropriado), depois descreve os recursos do IPv6 que podem ser usados ​​para fornecer os mesmos benefícios. Ele também fornece notas de implementação e estudos de caso.

Embora seja muito longo para reimprimir aqui, os benefícios discutidos são:

  • Um gateway simples entre "dentro" e "fora"
  • O firewall stateful
  • Rastreamento de usuário / aplicativo
  • Ocultar privacidade e topologia
  • Controle independente de endereçamento em uma rede privada
  • Multihoming / renumeração

Isso abrange praticamente todos os cenários em que alguém poderia querer o NAT e oferece soluções para implementá-los no IPv6 sem o NAT.

Algumas das tecnologias que você usará são:

  • Endereços locais exclusivos: prefira estes na sua rede interna para manter suas comunicações internas internas e para garantir que as comunicações internas possam continuar, mesmo que o ISP tenha uma interrupção.
  • Extensões de privacidade IPv6 com vida útil curta do endereço e identificadores de interface não-obviamente estruturados: Eles ajudam a impedir o ataque de hosts individuais e a verificação de sub-rede.
  • IGP, IPv6 móvel ou VLANs podem ser usados ​​para ocultar a topologia da rede interna.
  • Juntamente com os ULAs, o DHCP-PD do ISP facilita a renumeração / multihoming do que com o IPv4.

( Veja a RFC para obter detalhes completos; mais uma vez, é muito tempo para reimprimir ou até obter trechos significativos.)

Para uma discussão mais geral sobre segurança de transição IPv6, consulte RFC 4942 .

Michael Hampton
fonte
8

Mais ou menos. Na verdade, existem "tipos" diferentes de endereços IPv6. O mais próximo da RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) é chamado "Endereço local exclusivo" e é definido na RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Então você começa com fd00 :: / 8, adiciona uma string de 40 bits (usando um algoritmo predefinido na RFC!) E acaba com um prefixo pseudo-aleatório / 48 que deve ser globalmente exclusivo. Você tem o restante do espaço de endereço para atribuir como desejar.

Você também deve bloquear fd00 :: / 7 (fc00 :: / 8 e fd00 :: / 8) no seu roteador (IPv6) para fora da sua organização - daí o "local" no nome do endereço. Esses endereços, enquanto estiverem no espaço de endereços global, não devem ser acessíveis ao mundo em geral, apenas dentro da sua "organização".

Se seus servidores PCI-DSS precisarem de um IPv6 para conectividade com outros hosts IPv6 internos, você deverá gerar um prefixo de ULA para sua empresa e usá-lo para esse fim. Você pode usar a configuração automática do IPv6 como qualquer outro prefixo, se desejar.

Dado que o IPv6 foi projetado para que os hosts possam ter vários endereços, uma máquina pode ter - além de um ULA - um endereço roteável globalmente. Portanto, um servidor da web que precise conversar com o mundo externo e com máquinas internas pode ter um endereço de prefixo atribuído ao ISP e seu prefixo ULA.

Se você quiser funcionalidade semelhante a NAT, também poderá ver o NAT66, mas em geral eu arquitetaria em torno do ULA. Se você tiver outras dúvidas, consulte a lista de discussão "ipv6-ops".

BARRAGEM
fonte
1
Hah. Escrevo todos esses comentários para sysadmin1138 e nem pensei em analisar sua resposta sobre o uso de endereços duplos para comunicações locais e globais. No entanto, discordo veementemente dos preceitos da ULA que precisam ser globalmente únicos. Eu não gosto randomizado, os números de 40 bits em tudo , especialmente para a minha rede interna, da qual eu sou o único usuário. Eles provavelmente precisam de um banco de dados mundial de ULAs para serem registrados (o SixXS executa isso), mas eliminam a confusão de números aleatórios e permitem que as pessoas sejam criativas. Como placas personalizadas. Você solicita um e, se for aceito, tenta outro.
Kumba #
1
@ Kumba eles estão tentando parar todas as redes usando os mesmos endereços - aleatoriamente significa que você não precisa de um banco de dados público e cada rede é independente; se você quiser emitir endereços IP centralmente, use apenas os globais!
Richard Gadsden
@ Richard: Isso é um ... Como posso dizer, conceito bobo, IMHO. Por que deveria importar se a pequena Joe Company em uma cidade de Montana usa o mesmo endereçamento IPv6 que outra pequena empresa em Perth, na Austrália? As chances dos dois cruzarem, embora não sejam impossíveis, são bastante improváveis. Se a intenção dos projetistas do IPv6 era tentar eliminar completamente o conceito de "redes privadas", eles precisariam ter seu café verificado, porque isso não é realisticamente viável.
Kumba
2
@ Kumba Acho que são as cicatrizes de quando você tenta mesclar duas grandes redes privadas IPv4 em 10/8 e precisa renumerar uma (ou mesmo as duas) delas que estão tentando evitar.
21811 Richard Gadsden
2
@ Richard: Exatamente, não há nada mais doloroso do que usar VPN para conectar-se a outra rede com a mesma sub-rede privada; algumas implementações simplesmente param de funcionar.
Hubert Kario
4

IMHO: não.

Ainda existem alguns lugares onde o SNAT / DNAT pode ser útil. Por exemplo, alguns servidores foram movidos para outra rede, mas não queremos / não podemos alterar o IP do aplicativo.

sumar
fonte
1
Você precisa usar nomes DNS em vez de endereços IP nas configurações do aplicativo.
simples
O DNS não resolve seu problema, se você precisar criar um caminho de rede sem modificar toda a topologia de roteamento e regras de firewall.
Sumar # 15/12
3

Felizmente, o NAT desaparecerá para sempre. É útil apenas quando você tem uma escassez de endereço IP e não possui recursos de segurança que não são fornecidos melhor, mais baratos e mais facilmente gerenciados por um firewall com estado.

Como IPv6 = não há mais escassez, significa que podemos livrar o mundo do feio truque que é o NAT.

crescer
fonte
3

Não vi uma resposta definitiva sobre como a perda de NAT (se realmente desaparecer) com o IPv6 afetará a privacidade do usuário.

Com os endereços IP de dispositivos individuais expostos publicamente, será muito mais fácil para os serviços da Web monitorar (coletar, armazenar, agregar ao longo do tempo, espaço e sites e facilitar uma infinidade de usos secundários) suas viagens pela Internet a partir de seus vários dispositivos. A menos que ... ISPs, roteadores e outros equipamentos tornem possível e fácil ter endereços IPv6 dinâmicos que podem ser alterados frequentemente para cada dispositivo.

É claro que não importa o que ainda teremos a questão de os endereços MAC estáticos serem públicos, mas isso é outra história ...

LogEx
fonte
2
Você só precisa ativar os endereços de privacidade. Isso lhe dará tanta privacidade quanto um NAT teria feito. Além disso, ao usar o IPv6, você ficará muito menos exposto a problemas causados ​​pela má seleção do IPID.
kasperd
2

Existem muitos esquemas para oferecer suporte ao NAT em um cenário de transição V4 para V6. No entanto, se você tiver uma rede IPV6 completa e se conectar a um provedor IPV6 upstream, o NAT não fará parte da nova ordem mundial, exceto que você poderá fazer um túnel entre redes V4 e redes V6.

A Cisco possui muitas informações gerais sobre cenários 4to6, migração e encapsulamento.

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

Também na Wikipedia:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

Greg Askew
fonte
2

A política e a prática comercial básica provavelmente promoverão ainda mais a existência do NAT. A infinidade de endereços IPv6 significa que os ISPs serão tentados a cobrar por dispositivo ou limitar as conexões apenas a um número restrito de dispositivos. Veja este artigo recente em /. por exemplo:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

Steve-o
fonte
2
Eu não tenho tanta certeza. Eu acho que haverá uma enorme revolta técnica contra qualquer ISP que tente cobrar por dispositivo. Embora eu possa entender por que os provedores de serviços de Internet pulariam nessa idéia, porque agora eles podem realmente dizer quantos dispositivos existem na outra extremidade de uma conexão.
Mark Henderson
1
Dada a mudança para fornecer algum nível de anonimato usando endereços temporários para conexões de saída, a imposição de regras por dispositivo seria complexa, se não impossível. Um dispositivo pode ter 2 ou mais endereços globais ativos nesse esquema, além de qualquer outro atribuído.
BillThor
2
@ Mark Henderson - Já existem provedores que cobram por dispositivo. A AT&T, por exemplo, cobra um valor extra pelo "tethering".
21411 Richard Gadsden
1
@ Richard - se fosse esse o caso, se eu fosse com a AT & T eu iria deixá-los como está quente
Mark Henderson
@ Mark - Isso é AT&T sem fio (veja os contratos do iPhone, por exemplo).
Richard Gadsden
-2

Para sua informação, qualquer pessoa interessante está usando NAT / NAPT com IPV6. Todos os sistemas operacionais BSD que possuem PF suportam NAT66. Funciona bem. Em um blog que usamos :

ipv6 nat (nat66) do FreeBSD pf

embora o nat66 ainda esteja em rascunho, o FreeBSD já o suporta há muito tempo.

(edite o pf.conf e insira os seguintes códigos)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

Estás pronto!

Funciona muito bem para nós, pessoas que usamos o squid com um único endereço IP há anos. Com o NAT do IPv6, posso obter 2 ^ 120 endereços privados (local do site), que incluem 2 ^ 56 sub-redes de comprimento com minhas 5/64 sub-redes. Isso significa que devo ser 100 bilhões de vezes mais inteligente que qualquer outro guru do IPv6 aqui, porque tenho mais endereços.: D

A verdade é que, apenas porque eu tenho mais endereços (ou posso ter usado o IPv6 por mais tempo que você), realmente não melhora o IPv6 (ou eu pelo mesmo problema). No entanto, torna o IPv6 mais complexo onde um firewall é necessário no lugar do PAT e o NAT não é mais um requisito, mas é uma opção. O objetivo do firewall é permitir todas as conexões de saída e manter o estado, mas bloquear as conexões iniciadas de entrada.

Quanto ao NAPT (NAT com PAT), levará algum tempo para tirar as pessoas da mentalidade. Por exemplo, até que nosso bisavô possa configurar seu próprio firewall IPv6 sem endereçamento local (endereços privados) e sem qualquer assistência do guru, pode ser uma boa ideia brincar com a possível idéia de NAT, pois isso será tudo o que ele sabe.

gnarlymarley
fonte
2
Seu equipamento SOHO médio, que eventualmente suporta IPv6, quase certamente virá sem o IPv6 NAT (que o NAT66 que você está citando não funciona da mesma forma que o NATv4, mas continuaremos assim mesmo) e virá com o padrão de negar regra para tráfego de entrada (juntamente com uma permissão de conexões de saída com estado), que fornece quase a mesma segurança que o equipamento IPv4 SOHO de hoje. Como outros já apontaram, entendemos que as pessoas ficam complacentes e confortáveis ​​com suas tecnologias de hackers, isso não significa que sejam necessárias ou pouco mais que um teatro de segurança.
Chris S
O NAT66 não precisa funcionar da mesma forma que o NAT44. Ele só precisa soar o mesmo para que possamos prender as pessoas mais rapidamente no IPv6. Quando eles entrarem no IPv6, poderemos trabalhar em equipe para que eles configurem corretamente um firewall. Ou trabalhamos em equipe ou precisamos começar a usar o NAT44444. Sua escolha.
gnarlymarley
Não é apenas PF. Em termos práticos, a maioria dos roteadores pode fazer o mesmo tipo de NAT no IPv6 que no IPv4, apenas com a testa franzida. Eu já vi esse recurso nos roteadores Fortinet e no OpenWRT.
Kevin Keane
-2

As recentes propostas apresentadas para o ipv6 sugeriram que os engenheiros que trabalham na nova tecnologia incorporarão o NAT ao ipv6, pelo motivo: O NAT oferece uma camada adicional de segurança

A documentação está no site ipv6.com, portanto parece que todas essas respostas informando que o NAT não oferece segurança estão parecendo um pouco envergonhadas

andrew
fonte
1
Talvez você possa expandir exatamente o que é o NAT que acha que oferece uma camada adicional de segurança? Especificamente, qual o risco contra qual ameaça específica é atenuada?
growse
A 'segurança' fornecida pelo NAT é ofuscada e forçando uma rede a uma postura de negação padrão, a primeira é discutível e a segunda é uma boa idéia. A negação por padrão pode ser alcançada por outros meios com a mesma facilidade e o IPv6 remove um dos principais motivos técnicos da NAT: escassez de IP.
sysadmin1138
2
Há uma página no IPv6.com sobre NAT . Entre outras coisas, há o seguinte: "A questão da segurança é frequentemente usada na defesa do processo de conversão de endereços de rede. No entanto, o princípio central da Internet é oferecer uma conectividade de ponta a ponta aos diferentes recursos da rede. " e também: "Como o IPv6 substitui lentamente o protocolo IPv4, o processo de conversão de endereço de rede se torna redundante e inútil."
Ladadadada
-6

Percebo que em algum momento futuro (que só pode ser especulado) os endereços IPv4 regionais inevitavelmente acabarão. Concordo que o IPv6 tem algumas sérias desvantagens para o usuário. A questão do NAT é extremamente importante, pois fornece inerentemente segurança, redundância, privacidade e permite que os usuários conectem quase quantos dispositivos quiserem sem restrição. Sim, um firewall é o padrão-ouro contra invasões de rede não solicitadas, mas o NAT não apenas adiciona outra camada de proteção, como também geralmente fornece um design padrão seguro, independentemente da configuração do firewall ou do conhecimento do usuário final, não importa como você o defina IPv4 com NAT e um firewall ainda é mais seguro por padrão do que o IPv6 com apenas um firewall. Outra questão é a privacidade, ter um endereço roteável da Internet em todos os dispositivos abrirá os usuários para todos os tipos de possíveis violações da privacidade, coleta de informações pessoais e rastreamento de maneiras que dificilmente se imaginam hoje em massa. Também sou da opinião de que, sem o Nat, seremos abertos a custos e controle adicionais por meio do ISP. Os provedores de serviços de Internet podem começar a cobrar taxas de uso por dispositivo ou por usuário, como já vemos no tethering USB, isso reduziria bastante a liberdade do usuário final de conectar abertamente qualquer dispositivo que entendesse na linha. A partir de agora, poucos provedores de serviços de Internet dos EUA oferecem IPv6 de qualquer forma, e acho que as empresas que não são de tecnologia demoram a mudar devido ao custo agregado com pouco ou nenhum valor agregado.

dirtrider
fonte
4
NAT é uma ilusão de segurança.
Skaperen
4
O NAT não oferece nenhuma proteção. É o firewall automático que você obtém com o NAT que fornece qualquer "proteção" que você possa ter enquanto desfruta de todas as desvantagens do NAT.
Michael Hampton