fragen stichworte

Beim Umstieg auf IPv6 wird NAT gelöscht. Ist das eine gute Sache?

This is a Canonical Question about IPv6 and NAT

Related:

Unser ISP hat also kürzlich IPv6 eingerichtet, und ich habe untersucht, was der Übergang bedeuten sollte, bevor er in den Kampf gerät.

Ich habe drei sehr wichtige Probleme festgestellt:

  1. Unser Office-NAT-Router (ein alter Linksys BEFSR41) unterstützt kein IPv6. AFAICT auch keinen neueren Router. Das Buch, das ich über IPv6 lese, sagt mir, dass NAT sowieso "unnötig" ist.

  2. Wenn wir diesen Router einfach loswerden und alles direkt an das Internet anschließen, gerate ich in Panik. Es gibt keine Möglichkeit, dass ich unsere Abrechnungsdatenbank (mit vielen Kreditkarteninformationen!) Im Internet für jedermann zur Verfügung stellen kann. Selbst wenn ich vorschlagen sollte, die Windows-Firewall einzurichten, um nur 6 Adressen überhaupt Zugriff darauf zu haben, bricht mir immer noch der Schweiß aus. Ich vertraue weder Windows, der Firewall von Windows noch dem Netzwerk, das groß genug ist, um sich damit auch aus der Ferne wohlzufühlen.

  3. Es gibt ein paar alte Hardwaregeräte (z. B. Drucker), die überhaupt keine IPv6-Fähigkeit haben. Und wahrscheinlich eine Wäscheliste mit Sicherheitsproblemen aus der Zeit um 1998. Und wahrscheinlich keine Möglichkeit, sie in irgendeiner Weise zu korrigieren. Und keine Finanzierung für neue Drucker.

Ich habe gehört, dass IPv6 und IPSEC das alles irgendwie sicher machen sollen, aber ohne physikalisch getrennte Netzwerke, die diese Geräte für das Internet unsichtbar machen, kann ich nicht sehen, wie. Ich kann auch wirklich sehen, wie alle von mir erstellten Abwehrmechanismen in kurzer Zeit überlaufen werden. Ich betreibe seit Jahren Server im Internet und kenne mich mit den notwendigen Dingen aus, um diese Server abzusichern. Es ist jedoch immer völlig ausgeschlossen, etwas Privates wie unsere Abrechnungsdatenbank in das Netzwerk zu stellen.

Womit sollte ich NAT ersetzen, wenn wir keine physisch getrennten Netzwerke haben?

antworten

Zuallererst gibt es nichts zu befürchten, wenn Sie sich auf eine öffentliche IP-Zuweisung befinden, solange Ihre Sicherheitsgeräte richtig konfiguriert sind.

What should I be replacing NAT with, if we don't have physically separate networks?

Dieselbe Sache, mit der wir sie seit den 1980er Jahren physisch getrennt haben, Router und Firewalls. Der einzige große Sicherheitsgewinn, den Sie mit NAT erhalten, besteht darin, dass Sie dazu gezwungen werden, eine Konfiguration mit Standardverweigerung zu erzwingen. Um einen beliebigen -Dienst zu erhalten, müssen Sie explizit Löcher bohren. Die schickeren Geräte ermöglichen es Ihnen sogar, IP-basierte ACLs wie eine Firewall auf diese Lücken anzuwenden. Wahrscheinlich, weil sie eigentlich 'Firewall' auf der Box haben.

Eine korrekt konfigurierte Firewall bietet genau denselben Dienst wie ein NAT-Gateway. NAT-Gateways werden häufig verwendet, weil sie einfacher sind, um in eine sichere Konfiguration zu gelangen als die meisten Firewalls.

I hear that IPv6 and IPSEC are supposed to make all this secure somehow, but without physically separated networks that make these devices invisible to the Internet, I really can't see how.

Dies ist ein Missverständnis. Ich arbeite für eine Universität, die/16 IPv4-Zuweisungen hat, und der überwiegende Teil unseres IP-Adressverbrauchs bezieht sich auf diese öffentliche Zuweisung. Sicherlich alle unsere Endbenutzer-Workstations und Drucker. Unser RFC1918-Verbrauch ist auf Netzwerkgeräte und bestimmte Server beschränkt, auf denen solche Adressen erforderlich sind. Es würde mich nicht wundern, wenn Sie gerade jetzt frösteln würden, denn ich habe es sicherlich getan, als ich an meinem ersten Tag aufkam und das Post-It mit meiner IP-Adresse auf meinem Monitor sah.

Und doch überleben wir. Warum? Weil wir eine externe Firewall haben, die für Default-Deny mit begrenztem ICMP-Durchsatz konfiguriert ist. Nur weil 140.160.123.45 theoretisch routingfähig ist, bedeutet das nicht, dass Sie von überall dort hin gelangen, wo Sie sich im öffentlichen Internet befinden. Dafür wurden Firewalls entwickelt.

Wenn die richtigen Routerkonfigurationen vorhanden sind, können unterschiedliche Subnetze in unserer Zuordnung voneinander völlig nicht erreichbar sein. Sie können dies in Routertabellen oder Firewalls tun. Dies ist ein separates Netzwerk und hat unsere Sicherheitsauditoren in der Vergangenheit zufriedengestellt.

There's no way in hell I'll put our billing database (With lots of credit card information!) on the internet for everyone to see.

Unsere Abrechnungsdatenbank befindet sich auf einer öffentlichen IPv4-Adresse und ist während ihres gesamten Bestehens vorhanden. Wir haben jedoch den Beweis, dass Sie von hier aus nicht dort sein können. Nur weil sich eine Adresse in der öffentlichen v4-routable-Liste befindet, bedeutet dies nicht, dass sie garantiert zugestellt wird. Die zwei Firewalls zwischen den Übeln des Internets und den tatsächlichen Datenbankanschlüssen filtern das Übel heraus. Selbst von meinem Schreibtisch aus, hinter der ersten Firewall, kann ich nicht zu dieser Datenbank gelangen.

Kreditkarteninformationen sind ein Sonderfall. Dies unterliegt den PCI-DSS-Standards, und die Standards besagen direkt, dass Server, die solche Daten enthalten, hinter einem NAT-Gateway 1 stehen müssen. Unsere sind, und diese drei Server repräsentieren unsere gesamte Servernutzung von RFC1918-Adressen. Es bietet keine Sicherheit, nur eine Ebene der Komplexität, aber wir müssen dieses Kontrollkästchen für Audits aktivieren.


Die ursprüngliche Idee von "IPv6 macht NAT zur Vergangenheit" wurde vor dem eigentlichen Mainstream des Internet-Booms gemacht. 1995 war NAT ein Workaround, um eine kleine IP-Zuweisung zu umgehen. 2005 wurde es in vielen Security Best Practices-Dokumenten und mindestens einem wichtigen Standard (PCI-DSS, um genau zu sein) festgeschrieben. Der einzige konkrete Vorteil von NAT ist, dass eine externe Entität, die die Rekonstruktion im Netzwerk durchführt, nicht weiß, wie die IP-Landschaft hinter dem NAT-Gerät aussieht (obwohl sie dank RFC1918 eine gute Vermutung haben) und auf NAT-freiem IPv4 (wie z wie meine Arbeit ist das nicht der Fall. Es ist ein kleiner Schritt in die Tiefenverteidigung, kein großer Schritt.

Als Ersatz für RFC1918-Adressen werden sogenannte eindeutige lokale Adressen verwendet. Wie bei RFC1918 wird nicht weitergeleitet, es sei denn, Peers erklären sich ausdrücklich damit einverstanden, dass sie weitergeleitet werden. Im Gegensatz zu RFC1918 sind sie (wahrscheinlich) global einzigartig. IPv6-Adressumsetzer, die eine ULA in eine globale IP-Adresse umwandeln, befinden sich im Umkreiszahnrad, definitiv noch nicht im SOHO-Gang.

Mit einer öffentlichen IP-Adresse können Sie problemlos überleben. Denken Sie nur daran, dass "Öffentlichkeit" nicht "Erreichbar" garantiert, und Sie werden in Ordnung sein.


Aktualisierung 2017

In den letzten Monaten hat Amazon die IPv6-Unterstützung hinzugefügt. Es wurde gerade zu seinem -Angebot hinzugefügt, und ihre Implementierung gibt einige Hinweise, wie großflächige Bereitstellungen zu erwarten sind.

  • Sie erhalten eine/56-Zuordnung (256 Subnetze).
  • Die Zuweisung ist ein vollständig routbares Subnetz.
  • Es wird erwartet, dass Sie Ihre Firewall-Regeln () entsprechend restriktiv festlegen.
  • Es gibt kein NAT, es wird nicht einmal angeboten, sodass der gesamte ausgehende Datenverkehr von der tatsächlichen IP-Adresse der Instanz stammt.

Um einen der Sicherheitsvorteile von NAT wieder einzubauen, bieten sie jetzt ein Egress-only-Internet-Gateway an. Dies bietet einen NAT-ähnlichen Vorteil:

  • Auf dahinterliegende Subnetze kann nicht direkt aus dem Internet zugegriffen werden.

Dies bietet eine Tiefenverteidigung, falls eine falsch konfigurierte Firewall-Regel versehentlich eingehenden Datenverkehr zulässt.

Dieses Angebot übersetzt die interne Adresse nicht wie NAT in eine einzige Adresse. Ausgehender Datenverkehr hat immer noch die Quell-IP-Adresse der Instanz, die die Verbindung geöffnet hat. Firewall-Operatoren, die Ressourcen in der VPC auf die Whitelist setzen möchten, sind besser geeignet, Netblocks als bestimmte IP-Adressen zu verwenden.

Routable bedeutet nicht immer erreichbar.


1: Die PCI-DSS-Standards wurden im Oktober 2010 geändert, die Anweisung, dass RFC1918-Adressen vorgeschrieben sind, wurde entfernt und durch "Network Isolation" ersetzt.

Our office NAT router (an old Linksys BEFSR41) does not support IPv6. Nor does any newer router

IPv6 wird von vielen Routern unterstützt. Nur nicht so viele der billigen für Verbraucher und SOHO. Im schlimmsten Fall verwenden Sie einfach eine Linux-Box oder flashen Ihren Router mit dd-wrt oder so weiter, um IPv6-Unterstützung zu erhalten. Es gibt viele Möglichkeiten, Sie müssen wahrscheinlich nur härter aussehen.

If we're supposed to just get rid of this router and plug everything directly to the Internet,

Nichts an einer Umstellung auf IPv6 legt nahe, dass Sie Perimeter-Sicherheitsgeräte wie Ihren Router/Ihre Firewall entfernen sollten. Router und Firewalls werden in fast jedem Netzwerk immer noch benötigt.

Alle NAT-Router fungieren effektiv als zustandsbehaftete Firewall. Es ist nichts Magisches an der Verwendung von RFC1918-Adressen, die Sie so sehr schützen. Es ist das Stateful-Bit, das die harte Arbeit erledigt. Eine ordnungsgemäß konfigurierte Firewall schützt Sie genauso gut, wenn Sie echte oder private Adressen verwenden.

Der einzige Schutz, den Sie von RFC1918-Adressen erhalten, besteht darin, dass Benutzer mit Fehlern/Faulheit in der Firewallkonfiguration davonkommen und trotzdem nicht allzu anfällig sind.

There's a few old hardware devices (ie, printers) that have absolutely no IPv6 capability at all.

So? Es ist unwahrscheinlich, dass Sie dies über das Internet zur Verfügung stellen müssen. In Ihrem internen Netzwerk können Sie IPv4 und IPv6 weiter ausführen, bis alle Geräte unterstützt oder ersetzt werden.

Wenn die Ausführung mehrerer Protokolle nicht möglich ist, müssen Sie möglicherweise eine Art Gateway/Proxy einrichten.

IPSEC are supposed to make all this secure somehow

IPSEC verschlüsselt und authentifiziert Pakete. Es hat nichts mit dem Entfernen Ihres Grenzgeräts zu tun und schützt die Daten beim Transport.

Ja. NAT ist tot Es wurden einige Versuche unternommen, die Standards für NAT über IPv6 zu ratifizieren, aber keiner von ihnen ist jemals auf den Weg gebracht worden.

Dies hat zu Problemen bei Anbietern geführt, die versuchen, die PCI-DSS-Standards zu erfüllen, da der Standard tatsächlich besagt, dass Sie hinter einem NAT stehen müssen.

Dies ist für mich eine der wunderbarsten Neuigkeiten, die ich je gehört habe. Ich hasse NAT und ich hasse Carrier-Grade-NAT noch mehr.

NAT sollte immer nur eine bandaid-Lösung sein, um uns durchzuschlagen, bis IPv6 zum Standard wurde, aber es wurde in der Internetgesellschaft verwurzelt.

Für die Übergangszeit müssen Sie beachten, dass sich IPv4 und IPv6, abgesehen von einem ähnlichen Namen, völlig unterscheiden 1. Bei Geräten, die über Dual-Stack verfügen, wird Ihr IPv4 NATted und Ihr IPv6 nicht. Es ist fast so, als hätte man zwei völlig getrennte Geräte, die nur in einem Stück Plastik verpackt sind.

Wie funktioniert der IPv6-Internetzugang? Nun, die Art, wie das Internet vor der Erfindung von NAT funktioniert hat. Ihr ISP weist Ihnen einen IP-Bereich zu (genauso wie jetzt, aber normalerweise weisen Sie ihm/32 zu, was bedeutet, dass Sie nur eine IP-Adresse erhalten), aber Ihr Bereich wird jetzt Millionen von verfügbaren IP-Adressen enthalten. Sie können diese IP-Adressen nach Belieben auffüllen (mit automatischer Konfiguration oder DHCPv6). Jede dieser IP-Adressen ist von jedem anderen Computer im Internet aus sichtbar.

Hört sich unheimlich an, oder? Ihr Domänencontroller, Heim-Medien-PC und Ihr iPhone mit Ihrem versteckten Vorrat an Pornografie werden alle über das Internet erreichbar sein. Nun, nein. Dafür gibt es eine Firewall. Ein weiteres großartiges Feature von IPv6 ist, dass Firewalls von einem "Allow All" -Ansatz (wie bei den meisten Heimgeräten) zu einem "Deny All" -Ansatz gezwungen wird, in dem Sie Dienste für bestimmte IP-Adressen öffnen. 99,999% der Heimanwender behalten ihre Firewalls glücklich als Standard und sind vollständig gesperrt. Dies bedeutet, dass kein unerwünschter Verkehr in der Umgebung erlaubt ist.

1 Ok, es ist noch viel mehr als das, aber sie sind in keiner Weise miteinander kompatibel, auch wenn beide die gleichen Protokolle erlauben, die oben laufen

Die PCI-DSS-Anforderung für NAT ist bekanntermaßen ein Sicherheitsbereich und keine tatsächliche Sicherheit.

Das neueste PCI-DSS hat den Aufruf von NAT zur absoluten Voraussetzung gemacht. Viele Organisationen haben PCI-DSS-Prüfungen mit IPv4 ohne NAT bestanden und Stateful Firewalls als "gleichwertige Sicherheitsimplementierungen" angezeigt.

Es gibt andere Sicherheitstheater-Dokumente, die NAT fordern, aber da sie Prüfpfade zerstört und die Untersuchung von Vorfällen/die Eindämmung von Zwischenfällen erschweren, ist eine eingehendere Untersuchung von NAT (mit oder ohne PAT) eine Nettosicherheit Negativ.

Eine gute Stateful-Firewall ohne NAT ist NAT in einer IPv6-Welt weit überlegen. In IPv4 ist NAT ein notwendiges Übel, um aus Gründen der Adresserhaltung toleriert zu werden.

Es wird (leider) eine Weile dauern, bis Sie mit einem IPv6-Netzwerk mit nur einem Stack auskommen können. Bis dahin ist die Verwendung von Dual-Stack mit Präferenz für IPv6 die Verfügbarkeit.

Während die meisten Consumer-Router heutzutage kein IPv6 mit Standard-Firmware unterstützen, können viele es mit Drittanbieter-Firmwares unterstützen (z. B. Linksys WRT54G mit dd-wrt usw.). Außerdem unterstützen viele Geräte der Business-Klasse (Cisco, Juniper) IPv6-Standard.

Es ist wichtig, PAT (Many-to-One-NAT, wie es bei Consumer-Routern üblich ist) nicht mit anderen NAT-Formen und mit NAT-freier Firewall zu verwechseln. Sobald das Internet nur noch für IPv6 verfügbar ist, verhindern Firewalls die Verfügbarkeit interner Dienste. Ebenso ist ein IPv4-System mit Eins-zu-Eins-NAT nicht automatisch geschützt. Das ist die Aufgabe einer Firewall-Richtlinie.

Wenn NAT in der IPv6-Welt überlebt, ist dies höchstwahrscheinlich 1: 1-NAT. Ein Formular, das ein NAT nie im IPv4-Bereich gesehen hat. Was ist 1: 1 NAT? Es ist eine 1: 1-Übersetzung einer globalen Adresse in eine lokale Adresse. Das IPv4-Äquivalent würde alle Verbindungen in 1.1.1.2 nur in 10.1.1.2 und so weiter für den gesamten 1.0.0.0/8-Bereich übersetzen. Die IPv6-Version besteht darin, eine globale Adresse in eine eindeutige lokale Adresse zu übersetzen.

Verbesserte Sicherheit könnte durch häufiges Drehen des Mappings für Adressen, die Sie nicht interessieren (beispielsweise interne Office-Benutzer, die Facebook durchsuchen), bereitgestellt werden. Intern bleiben Ihre ULA-Nummern gleich, sodass Ihr Split-Horizon-DNS weiterhin einwandfrei funktioniert. Externe Clients befinden sich jedoch niemals auf einem vorhersagbaren Port.

Aber es ist wirklich eine kleine Verbesserung der Sicherheit für den damit verbundenen Aufwand. Das Scannen von IPv6-Subnetzen ist eine sehr große Aufgabe und ist ohne einige Umwege nicht möglich, wie die IP-Adressen in diesen Subnetzen zugewiesen werden (MAC-Generierungsmethode? Zufallsmethode? Statische Zuordnung von lesbaren Adressen?).

In den meisten Fällen erhalten Clients hinter der Unternehmensfirewall eine globale Adresse, möglicherweise eine ULA, und die Perimeterfirewall wird so eingestellt, dass alle eingehenden Verbindungen dieser Art an diese Adressen gesperrt werden. Diese Adressen sind in jeder Hinsicht von außen nicht erreichbar. Sobald der interne Client eine Verbindung initiiert, werden Pakete durch diese Verbindung hindurch zugelassen. Die Notwendigkeit, die IP-Adresse in etwas völlig anderes zu ändern, wird behandelt, indem ein Angreifer gezwungen wird, 2 ^ 64 mögliche Adressen in diesem Subnetz durchzugehen.

Dieses Thema ist sehr verwirrend, da Netzwerkadministratoren NAT in einem Punkt und Kleinunternehmen und Privatkunden in einem anderen Punkt sehen. Lass mich klarstellen.

Statisches NAT (manchmal auch Eins-zu-Eins-NAT genannt) bietet absolut keinen Schutz für Ihr privates Netzwerk oder einen einzelnen PC. Das Ändern der IP-Adresse ist für den Schutz ohne Bedeutung.

Dynamisch überlastetes NAT/PAT - wie die meisten privaten Gateways und WLAN-APs helfen absolut dabei, Ihr privates Netzwerk und/oder Ihren PC zu schützen. Die NAT-Tabelle in diesen Geräten ist standardmäßig eine Statustabelle. Es verfolgt ausgehende Anforderungen und ordnet sie in der NAT-Tabelle zu - die Verbindungen treten nach einer bestimmten Zeit ab. Alle nicht angeforderten eingehenden Frames, die nicht mit den Angaben in der NAT-Tabelle übereinstimmen, werden standardmäßig gelöscht. Der NAT-Router weiß nicht, wohin er im privaten Netzwerk gesendet werden soll. Auf diese Weise ist Ihr Router das einzige Gerät, auf das Sie sich verletzen können. Da die meisten Sicherheitsanfälligkeiten auf Windows basieren, trägt ein solches Gerät zwischen dem Internet und den Windows-PCs zum Schutz Ihres Netzwerks bei. Es ist möglicherweise nicht die ursprünglich beabsichtigte Funktion, die auf öffentlichen IP-Adressen gespeichert werden sollte, aber es wird erledigt. Als Bonus haben die meisten dieser Geräte auch Firewall-Funktionen, die häufig ICMP-Anforderungen blockieren, was auch zum Schutz des Netzwerks beiträgt.

Angesichts der oben genannten Informationen könnte die Entsorgung von NAT bei der Umstellung auf IPv6 Millionen von Geräten für Verbraucher und kleine Unternehmen potenziellem Hacking aussetzen. Unternehmensnetzwerke werden sich kaum oder gar nicht auswirken, da sie Firewalls am Rand professionell verwaltet haben. Consumer- und Small Business-Netzwerke verfügen möglicherweise nicht mehr über einen * nix-basierten NAT-Router zwischen dem Internet und ihren PCs. Es gibt keinen Grund, warum eine Person nicht nur zu einer Firewall-Lösung wechseln kann - viel sicherer, wenn sie richtig eingesetzt wird, aber auch über den Rahmen hinausgeht, was 99% der Verbraucher nicht verstehen. Dynamic Overloaded NAT bietet ein gewisses Maß an Schutz, wenn Sie es verwenden - stecken Sie den Router in Ihrem Heim ein und Sie sind geschützt. Einfach.

Das heißt, es gibt keinen Grund dafür, dass NAT nicht auf die gleiche Art und Weise verwendet werden kann, wie es in IPv4 verwendet wird. In der Tat könnte ein Router so ausgelegt sein, dass er eine IPv6-Adresse am WAN-Port besitzt, hinter der sich ein privates IPv4-Netzwerk befindet, auf dem sich NAT befindet (beispielsweise). Dies wäre eine einfache Lösung für Verbraucher und Privatpersonen. Eine weitere Option besteht darin, alle Geräte mit öffentlichen IPv6-IPs zu versehen. Das Zwischengerät kann dann als L2-Gerät fungieren, bietet jedoch eine Statustabelle, Paketprüfung und eine voll funktionsfähige Firewall. Im Wesentlichen kein NAT, aber dennoch unerwünschte eingehende Frames blockieren. Wichtig ist, dass Sie Ihren PC nicht ohne Zwischengerät direkt an Ihre WAN-Verbindung anschließen. Es sei denn, Sie möchten sich auf die Windows-Firewall verlassen. . . und das ist eine andere Diskussion. Für jedes Netzwerk, auch für Heimnetzwerke, ist ein Edge-Gerät erforderlich, das das lokale Netzwerk zusätzlich zum Einsatz der Windows-Firewall schützt.

Auf IPv6 wird es immer mehr Schmerzen geben, aber es gibt kein Problem, das nicht so einfach gelöst werden kann. Müssen Sie Ihren alten IPv4-Router oder das Gateway für Privatanschlüsse aufgeben? Vielleicht, aber es werden günstige neue Lösungen verfügbar sein, wenn die Zeit kommt. Hoffentlich benötigen viele Geräte nur einen Firmware-Flash. Konnte IPv6 so gestaltet werden, dass es nahtloser in die aktuelle Architektur passt? Sicher, aber es ist was es ist und es geht nicht weg - Sie können es also genauso gut lernen, leben, lieben.

RFC 4864 beschreibt den lokalen IPv6-Netzwerkschutz, eine Reihe von Ansätzen, um die wahrgenommenen Vorteile von NAT in einer IPv6-Umgebung bereitzustellen, ohne tatsächlich auf NAT zurückgreifen zu müssen.

This document has described a number of techniques that may be combined on an IPv6 site to protect the integrity of its network architecture. These techniques, known collectively as Local Network Protection, retain the concept of a well-defined boundary between "inside" and "outside" the private network and allow firewalling, topology hiding, and privacy. However, because they preserve address transparency where it is needed, they achieve these goals without the disadvantage of address translation. Thus, Local Network Protection in IPv6 can provide the benefits of IPv4 Network Address Translation without the corresponding disadvantages.

Zunächst werden die wahrgenommenen Vorteile von NAT dargelegt (und gegebenenfalls entbündelt), dann werden die Funktionen von IPv6 beschrieben, mit denen diese Vorteile erzielt werden können. Es enthält auch Implementierungshinweise und Fallstudien.

Es ist zwar zu lange, um es erneut zu drucken, jedoch werden folgende Vorteile diskutiert:

  • Ein einfaches Gateway zwischen "innen" und "außen"
  • Die Stateful-Firewall
  • Benutzer-/Anwendungsverfolgung
  • Datenschutz und Topologie versteckt
  • Unabhängige Kontrolle der Adressierung in einem privaten Netzwerk
  • Multihoming/Umnummerierung

Dies deckt so ziemlich alle Szenarien ab, in denen man sich NAT gewünscht hätte, und bietet Lösungen für deren Implementierung in IPv6 ohne NAT.

Einige der Technologien, die Sie verwenden werden, sind:

  • Eindeutige lokale Adressen: Bevorzugen Sie diese Adressen in Ihrem internen Netzwerk, um die interne Kommunikation intern zu halten und um sicherzustellen, dass die interne Kommunikation auch dann fortgesetzt werden kann, wenn der ISP ausfällt.
  • IPv6-Datenschutzerweiterungen mit kurzen Adresslebenszeiten und nicht offensichtlich strukturierten Schnittstellenkennungen: Diese helfen, Angriffe auf einzelne Hosts und das Scannen von Subnetzen zu verhindern.
  • IGP, Mobile IPv6 oder VLANs können zum Ausblenden der Topologie des internen Netzwerks verwendet werden.
  • Neben ULAs vereinfacht DHCP-PD vom ISP die Neunumerierung/Multihoming-Funktion einfacher als mit IPv4.

(Für vollständige Details siehe RFC; wiederum ist es viel zu lang, um einen erneuten Druck durchzuführen oder sogar einige Auszüge daraus zu machen.)

Allgemeine Informationen zur IPv6-Übergangssicherheit finden Sie unter RFC 4942.

Art von. Es gibt tatsächlich verschiedene "Typen" von IPv6-Adressen. Der am nächsten liegende RFC 1918 (10/8, 172.16/12, 192.168/16) wird als "eindeutige lokale Adresse" bezeichnet und ist in RFC 4193 definiert:

http://en.wikipedia.org/wiki/Unique_local_address

Sie beginnen also mit fd00 ::/8, fügen dann eine 40-Bit-Zeichenfolge hinzu (unter Verwendung eines vordefinierten Algorithmus im RFC!) und erhalten ein Pseudo-Random/48-Präfix, das global eindeutig sein sollte . Sie haben den Rest des Adressraums zu vergeben, wie Sie möchten.

Sie sollten fd00 ::/7 (fc00 ::/8 und fd00 ::/8) auch an Ihrem (IPv6) -Router außerhalb Ihres Unternehmens sperren - daher "local" im Adressnamen. Während sich diese Adressen im globalen Adressraum befinden, sollten sie der ganzen Welt nicht zugänglich sein, nur innerhalb Ihrer "Organisation".

Wenn Ihre PCI-DSS-Server IPv6 für die Verbindung mit anderen internen IPv6-Hosts benötigen, sollten Sie ein ULA-Präfix für Ihr Unternehmen generieren und es für diesen Zweck verwenden. Sie können die automatische Konfiguration von IPv6 wie jedes andere Präfix verwenden, wenn Sie möchten.

Da IPv6 so konzipiert wurde, dass Hosts mehrere Adressen haben können, kann ein Computer neben einer ULA auch eine global routbare Adresse haben. So kann ein Webserver, der sowohl mit der Außenwelt als auch mit internen Maschinen kommunizieren muss, sowohl eine vom ISP zugewiesene Prefex-Adresse als auch Ihr ULA-Präfix haben.

Wenn Sie eine NAT-ähnliche Funktion wünschen, können Sie sich auch NAT66 ansehen, aber im Allgemeinen würde ich mich um ULA kümmern. Wenn Sie weitere Fragen haben, können Sie die Mailingliste "ipv6-ops" lesen.

Hoffentlich wird NAT für immer verschwinden. Dies ist nur nützlich, wenn die IP-Adresse knapp ist und es keine Sicherheitsfunktionen gibt, die nicht besser, billiger und einfacher von einer Stateful-Firewall verwaltet werden können.

Da IPv6 = kein Mangel mehr ist, können wir die Welt von dem hässlichen Hack, der NAT ist, befreien.

IMHO: nicht.

SNAT/DNAT kann an einigen Stellen nützlich sein. Zum Beispiel wurden einige Server in ein anderes Netzwerk verschoben, aber wir wollen/können die IP der Anwendung nicht ändern.

Ich habe keine endgültige Antwort darauf erhalten, wie der Verlust von NAT (wenn er wirklich wegfällt) mit IPv6 die Privatsphäre der Benutzer beeinflusst.

Bei öffentlich zugänglichen IP-Adressen einzelner Geräte ist es für Web-Services viel einfacher, Ihre Reisen über das Internet (von Sammlern, Sammeln, Speichern, Aggregieren über Zeit und Raum und Standorte sowie Ermöglichung einer Vielzahl von sekundären Nutzungen) zu überbrücken Geräte. Wenn nicht ... ISPs, Router und andere Geräte dynamische IPv6-Adressen ermöglichen, die häufig für jedes Gerät geändert werden können.

Natürlich ist es egal, welche statischen WLAN-MAC-Adressen öffentlich sind, aber das ist eine andere Geschichte ...

Politik und grundlegende Geschäftspraktiken werden höchstwahrscheinlich die Existenz von NAT fördern. Die Vielzahl an IPv6-Adressen bedeutet, dass ISPs versucht werden, pro Gerät Gebühren zu berechnen oder Verbindungen nur auf eine begrenzte Anzahl von Geräten zu beschränken. Siehe diesen letzten Artikel zu/. zum Beispiel:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

Es gibt viele Schemata zur Unterstützung von NAT in einem Übergangsszenario von V4 nach V6. Wenn Sie jedoch über ein vollständig IPV6-Netzwerk verfügen und eine Verbindung zu einem Upstream-IPV6-Anbieter herstellen, ist NAT nicht Teil der neuen Weltordnung, es sei denn, Sie können zwischen V4-Netzwerken über V6-Netzwerke tunneln.

Cisco bietet viele allgemeine Informationen zu 4to6-Szenarien, Migration und Tunneling.

http://www.cisco.com/de/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/de/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

Auch bei Wikipedia:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms