Soru IPv6'ya geçmek NAT'ı düşürmeyi ifade eder. Bu iyi bir şey mi?


Bu bir Kanonik Soru IPv6 ve NAT hakkında

İlgili:

Bu yüzden ISP'miz son zamanlarda IPv6 kurdu ve geçişe sıçramadan önce geçişin neleri gerektirdiğini inceliyorum.

Üç önemli meseleyi fark ettim:

  1. Ofisimiz NAT yönlendiricisi (eski bir Linksys BEFSR41) IPv6'yı desteklemiyor. Yeni bir yönlendirici de yok, AFAICT. IPv6 hakkında okuduğum kitap bana NAT'ı "gereksiz" hale getirdiğini söylüyor.

  2. Bu yönlendiriciden kurtulup her şeyi doğrudan internete bağlamamız gerekiyorsa panik yapmaya başlarım. Cehennemde hiçbir şekilde, herkesin görmesi için faturalama veritabanımızı (çok sayıda kredi kartı bilgisiyle!) İnternete koyacağım. Sadece 6 adresin herhangi bir girişine izin vermek için Windows 'güvenlik duvarı kurmayı teklif etsem bile, hala soğuk terler içinde patlayacağım. Windows, güvenlik duvarı veya ağ ile uzaktan bile rahat bir şekilde bağlanabilecek kadar güvenmiyorum.

  3. Kesinlikle hiçbir IPv6 yeteneği olmayan birkaç eski donanım aygıtı (yani, yazıcılar) var. Muhtemelen 1998 yılına kadar uzanan bir güvenlik sorunları listesi bulunmaktadır. Ve muhtemelen onları herhangi bir şekilde yamaları için hiçbir yolu yoktur. Ve yeni yazıcılar için finansman yok.

IPv6 ve IPSEC'in bu kadar güvenli bir şekilde hepsini yapmasını istediklerini duyuyorum, ancak bu cihazları İnternet'e görünmez kılan fiziksel olarak ayrılmış ağlar olmadan, Gerçekten mi nasıl olduğunu göremiyorum. Bende aynı şekilde Gerçekten mi Yarattığım herhangi bir savunmanın kısa sırayla nasıl taşacağını görün. Internet üzerinde yıllardır sunucularda çalışıyorum ve bunları güvence altına almak için gerekli olan şeylere oldukça aşinayım, ancak faturalama veritabanımız gibi ağdaki özel bir şey koymak her zaman tamamen sorundan çıktı.

Fiziksel olarak ayrı ağlarımız yoksa NAT ile neyi değiştirmeliyim?


101
2017-09-24 23:33


Menşei


Bunu tekrar sormayı deneyebilir misin? Şu anda oldukça tartışmacı gibi görünüyor. - Zoredache
Olduğun şeyler hakkında şok yok Belki de sorunuzu, gerçek olduğuna inandığınız şeyleri açıklayan bir şekilde yeniden biçimlendirmeniz ve onlardan onaylamamızı istemeniz gerekir. Aldığın şeyler hakkında şikâyet etmek yerine belli bir şekilde çalışacaksın. - Zoredache
Ayrıca - kredi kartı bilgilerinizi mi saklıyorsunuz? Ve güvenlik konusunda bu kadar çok soru var? PCI denetimini hiç geçtin mi? Yoksa kredi kartı bilgilerinizi saklayarak sözleşmenizi mi kırıyorsunuz? Buna bakmak isteyebilirsiniz, acele sonrası. - mfinni
Bu soruya, vicdan azabı atamıyorum ya da bu soruyu, posterin yanlış bilgilendirildiği gerekçesiyle (kesinlikle sitenin yarısı kadardır) oylayamam. Kabul edildiğinde, OP yanlış bir varsayımdan yola çıkarak büyük bir teğete girer ve soru yeniden yazılabilir. - Chris Thorpe
"Artık NAT yok", IPv6'daki hedeflerden kesinlikle biri. Şu anda, (en azından burada) IPv6'yı sunma konusundaki ilginin, veri merkezleri dışında çok büyük olmadığı (daha büyük paketler daha fazla bant genişliği ve daha fazla bant genişliği, onlar için daha fazla para demektir!) Gibi görünüyor. DSL için bunun tam tersi de olsa, hemen hemen herkesin dümdüz olması, bu yüzden IPv6 sadece sağlayıcılar için daha fazla sorun ve daha fazla maliyet anlamına geliyor. - dm.skt


Cevaplar:


İlk ve en önemlisi, güvenlik cihazlarınız doğru yapılandırıldığı sürece, kamu IP tahsisinde bulunmaktan korkacak hiçbir şey yoktur.

Fiziksel olarak ayrı ağlarımız yoksa NAT ile neyi değiştirmeliyim?

Aynı şeyi 1980'lerden, yönlendiricilerden ve güvenlik duvarlarından beri fiziksel olarak ayırdık. NAT ile aldığınız büyük bir güvenlik kazancı, sizi varsayılan reddetme yapılandırmasına zorlamanızdır. Elde etmek amacıyla herhangi aracılığıyla servis, sen zorunda açıkça delik açmak. Üretici cihazlar, IP tabanlı ACL'leri bir güvenlik duvarı gibi bu deliklere uygulamanıza bile izin verir. Muhtemelen kutuda 'Güvenlik Duvarı' olduğundan, aslında.

Doğru yapılandırılmış bir güvenlik duvarı NAT ağ geçidi ile tam olarak aynı hizmeti sağlar. NAT ağ geçitleri sıklıkla kullanılıyor çünkü Daha kolay Çoğu güvenlik duvarından daha güvenli bir yapılandırma yapmak.

IPv6 ve IPSEC'in bu kadar güvenli bir şekilde hepsini yapmasını istediklerini duyuyorum, ancak bu cihazları İnternet'e görünmez kılan fiziksel olarak ayrılmış ağlar olmadan, Gerçekten minasıl olduğunu göremiyorum.

Bu bir yanlış anlamadır. Bir / 16 IPv4 tahsisi olan bir Üniversite için çalışıyorum ve IP adres tüketimimizin büyük çoğunluğu bu kamu tahsisatında. Kesinlikle son kullanıcı iş istasyonlarımız ve yazıcılarımız. RFC1918 tüketimimiz ağ cihazları ve bu adreslerin gerekli olduğu belirli belirli sunucularla sınırlıdır. Şimdilik sadece titreyip şaşırmadım, çünkü ilk günümde geldiğimde kesinlikle yaptım ve post-it'i IP adresimle monitörümde gördüm.

Ve yine de, hayatta kalıyoruz. Niye ya? Sınırlı ICMP verimi ile varsayılan olarak reddetmek için yapılandırılmış bir dış güvenlik duvarımız var. Sadece 140.160.123.45 teorik olarak uygulanabilir olduğundan, halka açık internette nerede olursanız olacağınız anlamına gelmez. Bu, güvenlik duvarlarının yapacakları şeydir.

Doğru yönlendirici yapılandırmaları verildiğinde ve tahsisatımızdaki farklı alt ağlar birbirinden tamamen erişilemez. Bunu yönlendirici tablolarında veya güvenlik duvarlarında yapabilirsiniz. Bu ayrı bir ağdır ve geçmişte güvenlik denetçilerimizi memnun etmiştir.

Cehennemde hiçbir şekilde, herkesin görmesi için faturalama veritabanımızı (çok sayıda kredi kartı bilgisiyle!) İnternete koyacağım.

Faturalama veritabanımız halka açık bir IPv4 adresi üzerindedir ve tüm varlığı için olmuştur, ancak buradan oraya ulaşamadığınızı gösteren bir kanıtımız var. Sadece bir adres kamu v4 rutin listede olduğu için teslim edilmesinin garanti edildiği anlamına gelmez. İnternetin kötülükleri ile gerçek veritabanı portları arasındaki iki güvenlik duvarı kötülüğü filtreliyor. Masamdan bile, ilk güvenlik duvarının arkasında, o veritabanına ulaşamıyorum.

Kredi kartı bilgileri özel bir durumdur. Bu, PCI-DSS standartlarına tabidir ve standartlar, bu tür verileri içeren sunucuların bir NAT geçidinin arkasında olması gerektiğini belirtir.1. Bizimki ve bu üç sunucu, RFC1918 adreslerinin toplam sunucu kullanımını temsil ediyor. Herhangi bir güvenlik, sadece karmaşık bir katman eklemez, ancak bu onay kutusunu denetimler için kontrol etmemiz gerekir.


Orijinal "IPv6, NAT'ı geçmişte bırakıyor" fikri, internet patlamasının tam ana akımdan önce ortaya konmasıydı. 1995'te NAT, küçük bir IP tahsisi almak için bir çözümdü. 2005 yılında pek çok Güvenlik En İyi Uygulama belgesinde ve en az bir ana standartta (PCI-DSS'nin spesifik olması) kabul edilmiştir. NAT'ın sağladığı tek somut fayda, ağda keşif yapan bir dış varlığın, IP cihazının NAT aygıtının arkasında neye benzediğini (RFC1918 sayesinde iyi bir tahminde bulunmasına rağmen) ve NAT'tan bağımsız IPv4 ( Benim işim olarak) durum böyle değil. Savunma derinlemesine küçük bir adım, büyük değil.

RFC1918 adreslerinin yerine benzersiz Yerel Adresler denir. RFC1918 gibi, akranlar özellikle rotaya izin vermedikçe rota yapmazlar. RFC1918'in aksine, bunlar (muhtemelen) küresel olarak benzersizdir. Bir ULA'yı bir Küresel IP'ye çeviren IPv6 adres çeviricileri, kesinlikle daha fazla çevre dostu dişli çarkında var, kesinlikle SOHO vitesinde değil.

Halka açık bir IP adresiyle iyi geçinebilirsiniz. 'Kamu' un 'ulaşılabilir' olduğunu garanti etmediğini ve iyi olacağınızı unutmayın.


2017 güncellemesi

Son birkaç ayda Amazon  IPv6 desteği ekliyor. Sadece eklendi  teklif ve bunların uygulanması, büyük ölçekli dağıtımların nasıl yapılacağına dair bazı ipuçları verir.

  • Size bir / 56 tahsis (256 alt ağ) verilir.
  • Tahsis tamamen elverişli bir alt ağdır.
  • Güvenlik duvarı kurallarınızı ayarlamanız bekleniyor () uygun şekilde kısıtlayıcı.
  • NAT yok, teklif bile edilmiyor, bu yüzden tüm giden trafik, örneğin gerçek IP adresinden gelecektir.

NAT'ın güvenlik avantajlarından birini eklemek için şimdi bir Sadece İnternet Geçidi. Bu NAT benzeri bir avantaj sunar:

  • Arkasındaki alt ağlara doğrudan internet üzerinden erişilemez.

Yanlış yapılandırılmış bir güvenlik duvarı kuralı yanlışlıkla gelen trafiğe izin verdiğinde, derinlemesine bir savunma katmanı sağlar.

Bu teklif, iç adresi NAT'ın yaptığı gibi tek bir adrese çevirmez. Giden trafik hala bağlantıyı açan örneğin kaynak IP'sine sahip olacaktır. VPC'deki kaynakları beyaz listeye almak isteyen güvenlik duvarı operatörleri, belirli IP adresleri yerine beyaz listeye ekleyen netblock'lardan daha iyi olacaktır.

Routeable her zaman demek değildir ulaşılabilir.


1: Ekim 2010'da PCI-DSS standartları değişti, RFC1918 adreslerini bildiren deyim kaldırıldı ve 'ağ yalıtımı' değiştirildi.


182
2017-09-25 00:59



Bunu Kabul edildi olarak işaretledim çünkü daha eksiksiz bir cevap. Ben her zaman bu yana (Ben 1997 yılından bu yana, alanında başladım ve bu FreeBSD güvenlik duvarları el ile bina dahil) okuma her güvenlik duvarı konfigürasyonu RFC1918 kullanımını vurguladı, bu gerçekten herhangi bir anlamlı yapmadı sanırım bana göre. Elbette, bir İSS olarak, IPv4 adresleri bittiğinde son kullanıcılar ve onların ucuz yönlendiricileri ile ilgili bazı sorunlarımız olacak ve bu çok yakında yok olmayacak. - Ernie
"ULA'yı global bir IP'ye çeviren IPv6 adres çevirmenleri, daha yüksek menzilli çevre dişlilerinde var, kesinlikle SOHO viteslerinde yok." Uzun yıllar direnişe geçtikten sonra linux buna 3.9.0'da destek ekledi. - Peter Green
"Ağ geçitleri sık kullanılıyor çünkü onlar hakkında bir sorum var" Daha kolay Çoğu güvenlik duvarından daha güvenli bir konfigürasyona sahip olmak için. "BT uzmanları veya bilgili tüketiciler için büyük bir iş olan işletmeler için değil, genel tüketici / naif küçük işletmeler için büyük bir güvenlik riski" kolay "olmayacak bir şey değil midir? On yıllar boyunca parolasız "linksys" wifi ağları, güvenlik yapılandırmasının yapılandırılmasından "kolay" olduğu için var oldu. Tüketici düzeyinde IoT özellikli cihazlarla dolu bir evde, annemin IPv6 güvenlik duvarını doğru şekilde yapılandırdığını göremiyorum. sorun? - Jason C
@JasonC Hayır, zaten sevk edilen tüketici seviyesi dişlisi, tüm gelenleri inkar etmek için ISP tarafından önceden yapılandırılmış güvenlik duvarları ile gönderim yapıyor. Veya v6 desteğiniz yok. Zorluk, ne yaptığını bildiklerini düşünen, ama aslında yapmayan güç kullanıcılarıdır. - sysadmin1138♦
Genel olarak mükemmel bir cevap, ama onu reddettim çünkü odadaki büyük filin zorlukla ele alınıyordu: güvenlik cihazını doğru bir şekilde yapılandırmak sadece verilemeyecek bir şey. - Kevin Keane


Ofisimiz NAT yönlendiricisi (eski bir Linksys   BEFSR41) IPv6'yı desteklemiyor. ne de   herhangi bir daha yeni yönlendirici var mı

IPv6 birçok yönlendirici tarafından desteklenmektedir. Tüketicileri ve SOHO'yu hedef alan pek ucuz olan değil. En kötü durumda, bir Linux kutusu kullanın veya IPv6 desteğini almak için yönlendiricinizi dd-wrt veya başka bir şeyle yeniden yazın. Birçok seçenek var, muhtemelen daha sert bakmak zorunda.

Sadece kurtulmamız gerekiyorsa   bu yönlendirici ve her şeyi tak   doğrudan internete

IPv6'ya geçiş hakkında hiçbir şey yönlendirici / güvenlik duvarınız gibi çevre güvenlik aygıtlarından kurtulmanızı önerir. Yönlendiriciler ve güvenlik duvarları hala her ağın gerekli bir bileşeni olacaktır.

Tüm NAT yönlendiricileri etkin bir güvenlik duvarı görevi görür. Sizi koruyan RFC1918 adreslerinin kullanımıyla ilgili hiçbir şey yoktur. Bu zor işi yapan durumdur. Gerçek veya özel adresleri kullanıyorsanız, düzgün yapılandırılmış bir güvenlik duvarı sizi de koruyacaktır.

RFC1918 adreslerinden aldığınız tek koruma, insanların güvenlik duvarı yapılandırmanızda hata / tembelliğinden kurtulmalarına izin vermesi ve yine de bu kadar savunmasız olmalarıdır.

Kesinlikle hiçbir IPv6 yeteneği olmayan birkaç eski donanım aygıtı (yani, yazıcılar) var.

Yani? Internet üzerinden kullanılabilir hale getirmeniz ve iç ağınızda IPv4 ve IPv6'yı tüm aygıtlarınız desteklenene veya değiştirilinceye kadar sürdürmeye devam etmeniz pek olası değildir.

Birden çok protokol çalıştırmak bir seçenek değilse, bir çeşit ağ geçidi / proxy kurmanız gerekebilir.

IPSEC'in bir şekilde güvenliğini sağlaması gerekiyordu.

IPSEC şifreli ve paketleri doğrular. Sınır aygıtınızdan kurtulmakla ilgisi yoktur ve verileri aktarımda daha fazla korur.


56
2017-09-24 23:55



Pek çok yönden doğru. - sysadmin1138♦
Tam olarak, gerçek bir yönlendirici al ve endişelenmene gerek yok. SonicWall ihtiyacınız olan güvenliği sağlamak için bazı mükemmel seçeneklere sahiptir ve bir problem olmadan IPv6'yı destekleyecektir. Bu seçenek, şu anda sahip olduğunuzdan daha iyi bir güvenlik ve performans sunacaktır. (news.sonicwall.com/index.php?s=43&item=1022) Bu makalede de görebileceğiniz gibi, ipv4 ipv4 işlemek için sonicwall aygıtları ile ipv4 çeviri yapabilirsiniz. - MaQleod


Evet. NAT öldü. IPv6 üzerinden NAT için standartları onaylamak için bazı girişimlerde bulunuldu, ancak bunların hiçbiri hiçbir zaman topraktan kalkmadı.

Bu aslında aslında bir NAT arkasında olması gerektiğini belirttiği gibi, PCI-DSS standartlarını karşılamaya çalışan sağlayıcılar için sorunlara neden oldu.

Benim için bu, duyduğum en güzel haberlerden bazıları. NAT'tan nefret ediyorum ve taşıyıcı sınıfı NAT'tan daha çok nefret ediyorum.

NAT sadece IPv6 standart hale gelinceye kadar bize ulaşmak için bir bandaid çözüm olmak anlamına geliyordu, ancak internet toplumu içine girmişti.

Geçiş dönemi için, IPv4 ve IPv6'nın benzer bir ad dışında birbirinden tamamen farklı olduğunu hatırlamak zorundasınız. 1. Dolayısıyla, Dual-Stack olan cihazlar, IPv4'niz NAT olacaktır ve IPv6'nız değişmeyecektir. Neredeyse tek bir plastik parçanın içine paketlenmiş iki tamamen ayrı aygıta sahip olmak gibi.

Peki, IPv6 internet erişimi nasıl çalışır? Eh, internet NAT'tan önce çalışmak için kullanılan yol icat edildi. ISS'niz size bir IP aralığı atayacak (şimdikiyle aynıdır, ancak genellikle size bir / 32, yani sadece bir IP adresi alırsınız) atar, ancak aralığınızda artık milyonlarca IP adresi bulunur. Bu IP adreslerini seçtiğiniz gibi (otomatik yapılandırma veya DHCPv6 ile) doldurmak ücretsizdir. Bu IP adreslerinin her biri internetteki herhangi bir bilgisayardan görülebilir.

Kulağa korkutucu geliyor, değil mi? Etki alanı denetleyiciniz, ev medya PC'niz ve iPhone'unuzun gizli gizli porno çekimlerinizle İnternet'ten erişilebiliyor mu ?! Peki hayır. Güvenlik duvarı bunun için var. IPv6'nın bir başka harika özelliği de güçler "Tümüne İzin Ver" yaklaşımından (çoğu ev cihazı olduğu gibi), belirli IP adresleri için hizmet açtığınız bir "Tümünü Reddet" yaklaşımına güvenlik duvarları. Ev kullanıcılarının% 99,999'u, güvenlik duvarlarını varsayılan olarak ve tamamen kilitlenerek mutlu bir şekilde saklayacaktır; bu da, istenilmeyen trafiğe izin verilmeyeceği anlamına gelir.

1Tamam, bundan daha fazlası var, ama ikisi de aynı protokollerin üst üste koşmasına izin verseler bile, birbirleriyle hiçbir şekilde uyumlu değiller.


33
2018-03-23 23:42



NAT'ın arkasındaki bilgisayarların ek güvenlik sağladığını iddia eden tüm insanlar ne olacak? Bunu diğer bazı IT yöneticilerinden çok duyuyorum. Doğru bir güvenlik duvarının ihtiyacınız olan her şey olduğunu söylerseniz sorun olmaz, çünkü bu insanların birçoğu NAT'ın bir güvenlik katmanı eklediğine inanır. - user9274
@ user9274 - iki yolla güvenlik sağlar: 1) iç IP adresinizi dünyadan gizler (bu yüzden PCI-DSS bunu gerektirir) ve 2) İnternet'ten yerel makineye ekstra bir "atlama" yapar. Ama dürüst olmak gerekirse, birincisi sadece güvenlik değil, “gizlilik yoluyla güvenlik” ve ikincisi için bir NAT'ın tehlikeye girdiği bir cihaz, tehlikeye atılmış bir sunucu kadar tehlikeli, bu yüzden saldırganlar NAT'ı geçtiğinde muhtemelen Yine de makinene gir. - Mark Henderson♦
Buna ek olarak, NAT'ın kullanımıyla elde edilen herhangi bir güvenlik, IPv4 adreslerinin tükenmesini ortadan kaldırma çabalarında istenmeyen bir yarardı ve bu durumun bir yararı oldu. Bu kesinlikle farkında olduğum tasarım hedefinin parçası ve parsel değildi. - joeqwerty
PCI-DSS standartları Ekim 2010'un sonlarında değiştirildi ve NAT gereksinimi kaldırıldı (v1.2'nin 1.3.8 bölümü). Bu yüzden zamanla yetişiyorlar. - sysadmin1138♦
@Mark, bahsetmeye değer bir şey olup olmadığından emin değil, fakat NAT64 yerden kalkıyor, ama çoğu insan düşündüğü NAT değil. IPv6 sadece ağların istemcinin işbirliği olmadan IPv4 Internet'e erişmesini sağlar; Çalışması için DNS64 desteği gerektirir. - Chris S


NAT için PCI-DSS gerekliliği, güvenlik tiyatrosu ve gerçek güvenlik olarak bilinmemektedir.

En son PCI-DSS, NAT'ı mutlak bir gereklilikten kurtardı. Pek çok kuruluş, IPv4 ile PCI-DSS denetimlerini, durum bilgisi olmayan güvenlik duvarlarını "eşdeğer güvenlik uygulamaları" olarak göstermeden iletti.

NAT için çağrı yapan diğer güvenlik tiyatrosu dokümanları var, fakat denetim izlerini yok ettiği ve olay inceleme / azaltmayı daha da zorlaştırdığı için, NAT'ın (PAT ile veya olmadan) daha derinlemesine bir çalışmasının net bir güvenlik negatifi olmasını sağlıyor.

NAT olmayan iyi bir durumsal güvenlik duvarı, bir IPv6 dünyasında NAT'a çok daha üstün bir çözümdür. IPv4'te, NAT adres koruması için tolere edilmek istenen bir kötülüktür.


18
2018-01-26 17:45



NAT "tembel güvenlik" dir. Ve "tembel güvenlik" ile detaylara dikkat eksikliği ve amaçlanan güvenlik sonraki kaybı geliyor. - Skaperen
Kesinlikle katılmak; PCI-DSS denetimlerinin çoğunun gerçekleştirildiği yolda olsa da (kontrol listesindeki maymun tarafından denetleniyor) herşey tembel güvenlik ve bu kusurları taşır. - MadHatter
NAT'ın "güvenlik tiyatrosu" olduğunu iddia edenler için, birkaç ay önce Memelilere Yönelik Güvenlik açığı hakkında The Networking Nerd'in makalesine işaret etmek istiyorum. networkingnerd.net/2018/03/02/... O, hevesli bir IPv6 yandaşı ve NAT'ı tercih etti, ancak binlerce şirketin "dikkatle hazırlanmış" güvenlik duvarı kuralları nedeniyle memcached sunucularını internette açık bıraktığına dikkat çekti. NAT, ağınıza neye izin verdiğiniz konusunda açık olmanız için sizi zorlar. - Kevin Keane


Tek yığınlı bir IPv6 sadece ağ ile kurtulmak için bir süre (ne yazık ki) olacak. O zamana kadar, mevcut olduğunda IPv6 tercihi ile çift yığınlı çalışma şeklidir.

Tüketici yönlendiricilerinin çoğu bugün IPv6'yı stok bellenimi ile desteklemese de, birçoğu üçüncü parti yazılımlarla destekleyebilir (ör., Dd-wrt ile Linksys WRT54G, vb.). Ayrıca, birçok iş sınıfı aygıtı (Cisco, Juniper) IPv6'yı destekliyor.

PAT (tüketici yönlendiricilerinde yaygın olan bir çok NAT), NAT'ın diğer formlarıyla ve NAT içermeyen güvenlik duvarı ile karıştırılmaması önemlidir; İnternet sadece IPv6'ya dönüştüğünde, güvenlik duvarları dahili hizmetlerin açığa çıkmasını önleyecektir. Benzer şekilde, bire bir NAT içeren bir IPv4 sistemi otomatik olarak korunmaz; Bu bir güvenlik duvarı politikasının görevi.


11
2017-09-24 23:52





NAT IPv6 dünyasında hayatta kalırsa, büyük olasılıkla 1: 1 NAT olacaktır. IPv4 uzayında hiç görülmeyen bir NAT. 1: 1 NAT nedir? Yerel bir adrese global bir adresin 1: 1 çevirisi. IPv4 eşdeğeri, tüm bağlantıların 1.1.1.2'ye yalnızca 10.1.1.2'ye ve bu şekilde de 1.0.0.0/8 boşluğuna dönüştürülecektir. IPv6 sürümü, bir genel adresi Benzersiz Yerel Adrese çevirmek olurdu.

Önem vermediğiniz adresler (Facebook'a göz atan iç ofis kullanıcıları gibi) için eşleştirmeyi sık sık çevirerek gelişmiş güvenlik sağlanabilir. Dahili olarak, ULA numaralarınız aynı kalır, böylece split-horizon DNS'niz gayet iyi çalışmaya devam eder, ancak dışarıdan müşteriler asla öngörülebilir bir limanda olmayacaktır.

Ama gerçekten, yarattığı zorluk için az miktarda gelişmiş güvenlik var. IPv6 alt ağlarının taranması gerçekten çok büyük bir görevdir ve IP adreslerinin bu alt ağlara nasıl atanacağı hakkında bazı keşifler yapılmadan yapılabilir (MAC oluşturma yöntemi? Rasgele yöntem? İnsan tarafından okunabilir adreslerin statik ataması?).

Çoğu durumda, kurumsal güvenlik duvarının arkasındaki müşterilere genel bir adres, belki de bir ULA verilecek ve çevre güvenlik duvarı, bu adreslere gelen her türlü bağlantıyı reddetmek üzere ayarlanacaktır. Tüm niyet ve amaçlar için, bu adreslere dışarıdan ulaşılamaz. Dahili istemci bir bağlantı başlattığında, bu bağlantı boyunca paketlere izin verilir. IP adresini tamamen farklı bir şeye değiştirme ihtiyacı, bir saldırganın bu alt ağdaki 2 ^ 64 olası adrese basmasını zorlayarak ele alınır.


9
2018-03-24 02:33



@ sysadmin1138: Bu çözümü beğendim. Şu anda IPv6'yı anladığım kadarıyla, eğer ISP'm bana bir / 64 verdiyse, makinelerimin IPv6 internet üzerinden erişilebilir olmasını istiyorsam, bu / 64'ü tüm ağımda kullanmam gerekiyor. Ama eğer bu ISP'den bıkmış ve diğerine geçersem, şimdi her şeyi tamamen yeniden numaralandırmam gerekir. - Kumba
@ sysadmin1138: Bununla birlikte, tek bir arabirime birden çok IP'yi IPv4'ten çok daha kolay atayabildiğimi fark ettim, bu yüzden ISP-verilen / 64'ü harici erişim için ve kendi özel iç ULA şemasını kullanarak tahmin edebilirim ana bilgisayarlar arasında iletişim kurar ve ULA adreslerinin dışarıdan erişilememesi için bir güvenlik duvarı kullanın. Daha fazla kurulum çalışması dahil, ancak tamamen NAT'tan kaçınacak gibi görünüyor. - Kumba
@ sysadmin1138: ULA'nın neden tüm amaçlar ve amaçlar için özel olduğu konusunda kafamı çizeceğim, ancak yine de küresel olarak benzersiz olmaları bekleniyor. Sanki şu an mevcut olan herhangi bir marka ve modele sahip olabileceğimi söylemek gibi bir şey, ama benim başka bir kişi tarafından zaten kullanılmakta olan herhangi bir marka / model / yıl değil, benim arabam olsa da ve sahip olduğum tek sürücü olacağım. - Kumba
@Kumba RFC 4193 adreslerinin küresel olarak benzersiz olmasının sebebi, gelecekte yeniden numaralandırmanız gerekmeyeceğinden emin olmaktır. Belki bir gün, RFC 4193 adreslerini kullanarak iki ağı birleştirmeniz gerekir veya bir RFC 4193 adresine sahip olabilecek bir makine, RFC 4193 adreslerine sahip olan bir veya daha fazla VPN'ye bağlanabilir. - kasperd
@Kumba Herkes kendi ağında ilk segment için fd00 :: / 64 kullandıysa, bu iki ağın herhangi bir çiftinin iletişim kurması gerektiğinde, kesinlikle bir çatışmaya gireceksin. RFC 4193'ün noktası, 40 bitinizi rastgele seçmiş olmanız durumunda, kalan 80 biti atayabiliyorsunuz, ancak lütfen güvende olmanız gerekmediğinden emin olun. - kasperd


RFC 4864, IPv6 Yerel Ağ Korumasını açıklarNAT'ın bir LOV6 ortamında algılanan faydalarını sağlamak için, NAT'a başvurmak zorunda kalmadan bir dizi yaklaşım.

Bu belge, ağ mimarisinin bütünlüğünü korumak için bir IPv6 sitesinde birleştirilebilecek bazı teknikleri açıklamıştır. Yerel Ağ Koruması olarak bilinen bu teknikler, özel ağın "iç" ve "dış" arasında iyi tanımlanmış bir sınır kavramını muhafaza eder ve güvenlik duvarı, topoloji gizleme ve gizlilik sağlar. Ancak, ihtiyaç duyulduğu yerlerde adres şeffaflığını korudukları için, adres çevirisinin dezavantajı olmaksızın bu hedeflere ulaşırlar. Böylece, IPv6'daki Yerel Ağ Koruması, ilgili dezavantajlar olmaksızın IPv4 Ağ Adresi Çevirisi'nin faydalarını sağlayabilir.

Öncelikle NAT'ın algılanan faydalarının ne olduğunu ortaya koyar (ve uygun olduğunda bunları çıkarır), daha sonra aynı faydaları sağlamak için kullanılabilecek IPv6'nın özelliklerini tarif eder. Ayrıca uygulama notları ve vaka çalışmaları sağlar.

Burada yeniden basmak için çok uzun iken, tartışılan faydaları şunlardır:

  • "İç" ve "dış" arasındaki basit bir geçit
  • Durumsal güvenlik duvarı
  • Kullanıcı / uygulama takibi
  • Gizlilik ve topoloji gizleme
  • Özel bir ağda adresleme bağımsız denetimi
  • Multihoming / renumbering

Bu, NAT'ın istediği tüm senaryoları kapsar ve NAT olmadan IPv6'da bunları uygulamak için çözümler sunar.

Kullanacağınız bazı teknolojiler şunlardır:

  • Benzersiz yerel adresler: Dahili iletişiminizi dahili tutmak ve dahili iletişimin ISS'nin bir kesintisi olsa bile devam edebilmesini sağlamak için bunları iç ağınızda tercih edin.
  • Kısa adres ömürlerine ve açık bir şekilde yapılandırılmamış arayüz tanımlayıcılarına sahip IPv6 gizlilik uzantıları: Bunlar, tek tek ana bilgisayarlara ve alt ağ taramasına saldırmayı önlemeye yardımcı olur.
  • İç ağın topolojisini gizlemek için IGP, Mobil IPv6 veya VLAN kullanılabilir.
  • ULA'larla birlikte, ISP'den DHCP-PD, IPv4'ten daha kolay yeniden numaralandırmayı / çoklu giriş yapmayı kolaylaştırır.

(RFC'ye bakın tüm detaylar için; yine, yeniden basmak ya da hatta önemli alıntılar almak için çok uzun.)

IPv6 geçiş güvenliği hakkında daha genel bir tartışma için bkz. RFC 4942.


9
2018-05-13 18:37