Soru IPv6'nın benimsemesindeki gecikmeden NAT'ın büyük ölçüde sorumlu olduğunu düşünüyor musunuz?


Gerçekten böyle bir şey olup olmadığını merak ediyorum, ya da IPv6'nın yaygın bir şekilde benimsenmesi durumunda, bir ağdaki tüm makinelerin, daha güvenli olduğunu varsaymaksızın, tek bir (veya birkaç) IP adresinin arkasına gizleyeceğiz - ya da Sonunda güvenlik duvarlarımızı tüm bu güvenlikle başa çıkabilecek şekilde yapılandırabilecek miyiz?

Ve sizce IPv6 nihayet yaygın kabul görecek mi?


5
2018-04-30 16:12


Menşei




Cevaplar:


IPv6'nın benimsemesindeki gecikmeden NAT'ın büyük ölçüde sorumlu olduğunu düşünüyor musunuz?

Bir anlamda, kesinlikle. Erken bir IP tahsis krizi ile karşı karşıya kaldık, ancak şimdi büyük ölçüde çözüldü. Eğer ucuz NAT'ımız olmasaydık, yıllar önce IPv6'ya geçmemiz gerekiyordu, sadece çoğalmakta olan tüm internet bağlantılı cihazlara ayak uydurmak için.

Ancak, altyapının ne olduğunu unutmayın. Gerçekten mi değişikliğin önlenmesi. Altyapı bir sorun değilse, NAT mevcut olsa bile, uzun zaman önce değişmiş olurduk.

NAT altyapının yükseltilmesini önlemek için gerçekten bir çözümdü, ama bizi geride bırakan altyapı.

Güvenlik için tek bir IP adresinin arkasına saklanır mıyız?

NAT bize belirli bir miktarda güvenlik sağladı, ancak büyük bir özgürlük pahasına. IPv6 için mevcut olan NAT ya da NAT gibi cihazları göreceğimize inanıyorum, ama benim beklentim, interneti nasıl kullandığımıza dair daha fazla özgürlükten vazgeçeceğimizdir. İtme içeriği NAT'ın eline geçen bir şeydir ve iPhone, şu anda internet sunucularının yazılım ve veri kullanımı için uyardığı bir model kullanıyor.

Güvenlik duvarları NAT'ların özelliklerine sahip olacak ve NAT'ı göreceğiz çünkü ISP'ler bu şekilde çalışıyor, ancak insanlar internetin daha güçlü bir şekilde kullanılmasını istedikçe ortadan kalkacak.

IPv6 nihayet ne zaman geniş çapta kabul görecek?

Bu kademeli bir süreç olacak. Avrupa ve Japonya zaten çok önemli ilerlemeler kaydetti, ancak ABD’de çok fazla eski ekipman var.

Tüm ISP seviyesi ve satın alınan yönlendiriciler ve satın alınan cihazlar IPv6'yı ele alır, ancak eski ekipmanın temizlenmesinden yaklaşık 3-5 yıl önce ISS'lerin ve barındırma şirketlerinin IPv4'ü IPv4 lehine kullanmaya başlayabilecek kadar rahatlamış olmaları yeterli olacaktır.

Daha küçük yüksek teknoloji ülkeleri ilk önce (daha küçük altyapı) değişecek ve ABD küçük bir seviyeye gerileyecek. Ama ben 10 yıl içinde beklediğim gibi internet trafiğinin çoğunluğu IPv6 üzerinden yönlendirilecek ve ISS'lerin çoğu sadece IPv4'ten daha fazla IPv6 müşterisine sahip olacak.

-Adam


13
2018-04-30 16:37



"Büyük ölçüde çözüldüğünü" söylemezdim. Kriz gecikti ama çözülmedi. Sonunda IPv4 adresleri tükenecek. - Brad Wilson
NAT güvenliği artırmaz. Durumsal güvenlik duvarınız güvenliği artırır. Bir NAT'ın arkasında olmak, bilgisayarınıza mantıklı bir varsayılan güvenlik duvarı yapılandırmasının yapmasından daha da zorlaşmamı sağlamaz. - Dustin
@Dustin - Kullanıcı, gelen bağlantı noktası bağlantılarına izin verecek şekilde yapılandırmamışsa, NAT yoluyla yapamayacağınız belirli saldırılar vardır, bu nedenle sağladığınız güvenlik miktarıyla ilgili bir anlaşmazlık olsa da, güvenliği hiçbir şekilde artırmadığını iddia edemez. - Adam Davis
@Cristian - Tabi ki, ama bu, dışarıda bırakma ve dahil olma arasındaki farktır. NAT'ın internete bakan tarafını ağdan başlatmadan trafiğe izin vermesini sağlamak için çalışmalısınız. Tam bir IP adresi ile her şey varsayılan olarak gelir ve bunu değiştirmek için bazı işler yapmanız gerekir. NAT, kendinden daha güvenlidir. - Adam Davis
@Adam, bir varsayılan reddetme güvenlik duvarı, herhangi bir kenar yönlendiricinin, sıradan tüketici WiFi'lerinin bile oldukça sıradan bir parçasıdır. Bir IPv6 dünyasında NAT yapmasalar bile, varsayılan izinli kenar yönlendiricilere geri dönmeyeceğiz. - Richard Gadsden


IMHO (bir IETF katılımcısı olarak ve daha önce bir İSS'de ağ yöneticisi olarak) - NAT yok değil gecikmeli IPv6 uyarlaması.

IPv6'nın benimsenmesi birçok nedenden ötürü kendi aralarında tutuluyor:

  1. IPv6 global transit tedarikçilerin eksikliği
  2. çekirdek yönlendiricilerde destek eksikliği
  3. Müşteri yönlendiricilerde destek eksikliği
  4. güvenlik duvarlarında destek eksikliği
  5. istemci yazılımında destek eksikliği
  6. Bir "katil uygulama" eksikliği

Benim için, tüketici yönlendirici desteğinin (eksikliği) gerçek IPv6 katil olduğunu - çekirdekte destek sürekli gelişiyor.

Şu anda, bir ADSL bağlantısı üzerinden IPv6'yı ele alan tek tüketici yönlendiricileri hakkında Cisco'lar, ve bir düşük uçlu 800 serisi ünite, çoğu diğer üreticiden iyi bir kalite biriminden çok daha pahalıdır.


9
2018-04-30 16:23



Listenizin çoğu büyük olasılıkla NAT’tan kaynaklanıyor. Örneğin. Adreslerin kıtlığı yüzünden daha önce yapamayacağı şeyleri internet üzerinden yapabilseydi, katil bir uygulama olurdu. - Dustin
Hayır, bunlardan biri NAT'a bağlı değil. Birkaç yıl önce sadece IPv6 üzerinden erişilebilen bir porno sitesi için bir fikir vardı, ama ne olduğunu hatırlamıyorum. - Alnitak
+1 Tüketici Router desteğinin olmaması için! Henüz (2011'in başına) henüz adresleri tükenmiş değiliz! - unixman83
Eğer her ev, tüm cihazları desteklemek için bir 28'e ihtiyaç duyuyorsa, uzun bir süre önce IPv4 adresleri tükenirdi, bu nedenle NAT, IPv6'yı kesin olarak geciktirdi. NAT olmasaydı işim bir / 21'e ihtiyaç duyardı. Gerçekten büyük İSS'lerden bazıları bir / 7 hatta bir / 6'ya ihtiyaç duyacaktır. - Richard Gadsden
Haklısın, ama dürüst olmak gerekirse, diğer problemler yüzünden IPv6'mızın daha hızlı olacağını düşünmüyorum. Şimdi bile koşmaya gerçekten yakın olduğumuzda bile hala zor IPv6 tüketici sınıfı bağlantısı almak için. - Alnitak


Yaygın IPv6 benimsemeye en büyük engelleyici son kullanıcı ekipmanı. Altyapı son kullanıcıya kadar tamamen kullanılmadan IPv6'dan IPv4'e çeviri yapılması gerekecektir.


4
2018-05-30 02:17





Alnitak'ın CPE'ye bir sorun olduğuna işaret ediyor. Cisco ile bile, bir 877 (ADSL) almak için IPv6'ya gereksiniminiz var - bir 857 değil - ve ISS'ler, muhtemelen bulabilecekleri kadar ucuz olan modemlerle (yani ZyXEL 660) daha büyük olma emirleridir; IPv'yi destekliyorsa şanslısınız4 oldukça iyi.

Bu noktada, bilgisayarların çoğunun sadece bir IPv6 rotası reklamını yapan CPE ile sunulması durumunda çalışacağını, ancak diğer cihazların farklı bir hikaye olacağını umuyorum. WLAN kartlı bu ucuz mürekkep püskürtmeli yazıcı IPv6'yı destekliyor mu? Siemens DECT / SIP telefonum çalışmıyor. (Japonya'da, başka bir hikaye var, çünkü orada satışta sabit hatlı telefonlar var. gerektirir IPv6.)

RFC 1918, yeterli adres alanı sağlamadığından, yönetim ağları (yani, kablo kutunuza Comcast'in IP bağlantısı) çok yakında IPv6 olacaktır. Hücresel ağlar bunu kolaylaştırır, çünkü cihazlar merkezi olarak tedarik edilir. Kullanıcının bilgisayarlarını Intarwebz ile bağlayan bitler için, Japonya dışında birkaç yıl daha olacağından şüpheleniyorum.

Bu arada, ücretsiz pr0n sitesi ipv6experiment nokta com, ama hala canlı değil. (Bu bağlantı tamamen işe yaramaz, çünkü kötü şeyler birkaç tık uzakta.)


2
2018-05-30 01:41





İşte ilginç bir düşünce:

NAT aslında olabilir yardım et IPV6'nın benimsenmesi. Kendi özel hizmetlerini barındırmayan ortalama İnternet tüketicisi, genel Internet bağlantısı IPV6'ya geçerken özel (RFC1918) IPV4 adreslerini dahili olarak kullanmaya devam edebilir. En azından, aksine bir şey duyduğumu hatırlamıyorum.

Bunun etkisini düşünün ... eğer sadece WoW oynamak ve Facebook hesaplarını güncellemek için kullandıkları tüm IPV4 adreslerini geri alsaydık, artık fazla bir kıtlık olmazdı. Ve, bu kullanıcılar ne önemserdi? Şanslar çoğu, hiçbir zaman dış IP'lerinin ne olduğunu hiç bilmiyordu. Her yerde dinamik olduğunu ve bu yüzden değişime eğilimli olduğunu söylememeye gerek yok.

Bu arada, kamu hizmetleri du jour (örneğin, Google), noktalı ondalık isabet sayısı sıfırın altına düşene kadar IPV4 adreslerini tutmalıdır. Bu adamlar zaten NAT kullanmıyorlar. Yük dengeleme, belki de daha sık başvurulan port adresi çevirisi A.K.A. IP azaltmayı kolaylaştıran NAT aşırı yükü? Hayır.


1
2018-05-30 02:24



Hayır, katılmıyorum. Tüketici ekipmanı yine yükseltilmesi gerekiyor. Birinin ödemesi gerek. - unixman83


NAT’ın gecikmeden kısmen sorumlu olduğunu düşünüyorum. gerekIPv6'nın benimsenmesi için, dünyanın atanabilir IPv4 adresleri hakkında çalışmasını engellemeye yardımcı oldu. Güvenlik, kontrol ve yönetim nedenleriyle NAT'ın IPv6 kapsamında bile yaygın olarak kullanılmaya devam edeceğinden eminim.

Sanırım beş yıl içinde IPv6 kullanımında önemli bir artış görmeye başladım, ama% 5 veya% 50 penetrasyon olup olmayacağını tahmin etmeyeceğim.


0
2018-04-30 16:20



NAT, güvenliği hiçbir şekilde artırmaz. Örneğin, aynı IP adresi alanını kullanan iki ağı birbirine bağlamanız gerektiğinde, yönetimi son derece zor hale getirir. - Dustin
@Dustin: NAT’ın arkasında bir makine doğrudan internetten kesilemez. Elbette NAT güvenliği artırır. Her şey için bir son olmayacak ve hiçbir altın mermi yok, ama güvenlik geliştirmenin olmadığı sadece aptalca. NAT'ın diğer eleştirileriniz mantıklı, ama ben hiçbir zaman NAT dünyanın en güzel şey olduğunu söylemedim. - Eddie
@Eddie: NAT kullanmasanız bile, ağ geçidinde düzgün yapılandırılmış bir güvenlik duvarı kullanarak gelen bağlantıları engelleyebilirsiniz. NAT'ın size verdiği şey, sahte güvenliktir; btw NAT = SNAT + DNAT. - Cristian Ciupitu
@Eddie, bu bir varsayılan reddetme güvenlik duvarı var. Varsayılan olarak izin verilen bir NAT yönlendiriciniz varsa, diğer varsayılan izin sistemi kadar güvenli olmaz. İnsanlar NAT'ın bir güvenlik sağladığını düşünüyor çünkü NAT ve güvenlik duvarlarını varsayılan olarak reddetme aynı anda ve aynı cihazlarda geldi. - Richard Gadsden
@Richard Gadsen, @Cristian Ciupitu, ikinizin de söylediklerini anlıyorum. Ben sadece NAT'ın istemediği mutlakçı ifadeye tepki veriyorum herhangi bir şekilde güvenliği artırın, bu aptalcadır. - Eddie


Bence IPv6'nın benimsenmesi hızlanacak her şey bir IP adresine ihtiyaç duyar, ancak hepsinin bir yönlendiriciye bağlanması beklenemez.

Telefonlar, arabalar, termostatlar ve buzdolabınızın RFID tarayıcısı gibi şeyler.


0
2018-04-30 16:27





NAT, IPv4 adreslerini Otonom sistem Sayılar (daha fazla veya daha az), yani evet, gecikmeden sorumlu olduğunu düşünüyorum.


0
2018-04-30 16:17



"NAT, IPv4 adreslerini AS'lere dönüştürmenizi sağlar" - bu ne anlama geliyor? - Alnitak


Evet, tamamen evlat edinmeyi yavaşlattığına inanıyorum. Donanım ihtiyacı ve talebi takip eder. IPv6 adreslerinin yıllar önce kaybolması nedeniyle IPV6'ya yönelik bir talep olsaydık, uzun zamandır donanımın desteklenmesini sağlayacağız. Neden şimdi sınırlı donanım var? Çünkü 1 yıl önce talep yoktu.


0
2018-05-27 21:00