Pertanyaan Beralih ke IPv6 berarti menjatuhkan NAT. Apakah itu bagus?


Ini adalah sebuah Pertanyaan Kanonis tentang IPv6 dan NAT

Terkait:

Jadi ISP kami telah menyiapkan IPv6 baru-baru ini, dan saya telah mempelajari apa yang harus dilakukan transisi sebelum terjun ke dalam keributan.

Saya telah memperhatikan tiga masalah yang sangat penting:

  1. Router NAT kantor kami (Linksys BEFSR41 lama) tidak mendukung IPv6. Juga tidak ada router baru, AFAICT. Buku yang saya baca tentang IPv6 memberi tahu saya bahwa itu membuat NAT "tidak perlu".

  2. Jika kita harus menyingkirkan router ini dan menyambungkan semuanya langsung ke Internet, saya mulai panik. Tidak ada cara di neraka saya akan menempatkan database penagihan kami (Dengan banyak informasi kartu kredit!) Di internet untuk dilihat semua orang. Bahkan jika saya mengusulkan untuk memasang firewall Windows di atasnya agar hanya mengizinkan 6 alamat untuk mengaksesnya, saya masih mengeluarkan keringat dingin. Saya tidak mempercayai Windows, firewall Windows, atau jaringan yang cukup besar bahkan jauh dari nyaman dengan itu.

  3. Ada beberapa perangkat keras lama (yaitu, printer) yang sama sekali tidak memiliki kemampuan IPv6 sama sekali. Dan kemungkinan daftar cucian masalah keamanan yang tanggal kembali ke sekitar 1998. Dan sepertinya tidak ada cara untuk benar-benar menambal mereka dengan cara apapun. Dan tidak ada dana untuk printer baru.

Saya mendengar bahwa IPv6 dan IPSEC seharusnya membuat semua ini aman entah bagaimana, tetapi tanpa jaringan yang terpisah secara fisik yang membuat perangkat ini tidak terlihat oleh Internet, saya sangat tidak bisa melihat caranya. Saya juga bisa sangat lihat bagaimana pertahanan yang saya buat akan diserbu dalam waktu singkat. Saya telah menjalankan server di Internet selama bertahun-tahun sekarang dan saya cukup akrab dengan hal-hal yang diperlukan untuk mengamankannya, tetapi menempatkan sesuatu yang pribadi di jaringan seperti basis data penagihan kami selalu benar-benar keluar dari pertanyaan.

Apa yang harus saya ganti dengan NAT, jika kita tidak memiliki jaringan yang terpisah secara fisik?


101
2017-09-24 23:33




Dapatkah Anda mencoba meminta ulang ini? Saat ini tampaknya cukup argumentatif. - Zoredache
Hal-hal seperti dirimu kaget tidak ada. Mungkin Anda harus memformat ulang pertanyaan Anda dengan cara menggambarkan hal-hal yang Anda percayai sebagai fakta dan meminta kami untuk mengonfirmasikannya. Daripada mengeluh tentang hal-hal yang Anda anggap akan bekerja dengan cara tertentu. - Zoredache
Juga - Anda menyimpan informasi kartu kredit? Dan Anda memiliki banyak pertanyaan tentang keamanan ini? Apakah Anda pernah lulus audit PCI? Atau apakah Anda melanggar kontrak Anda dengan menyimpan rincian kartu kredit? Anda mungkin ingin melihat ini, setelah tergesa-gesa. - mfinni
Saya tidak bisa dengan hati nurani yang kurang hati-hati atau memilih untuk menutup pertanyaan ini dengan alasan bahwa poster itu kurang informasi (pasti itu setengah dari lokasi). Memang, OP akan pergi pada garis singgung besar berdasarkan asumsi yang salah, dan pertanyaan itu bisa dilakukan dengan menulis ulang. - Chris Thorpe
"Tidak ada lagi NAT" adalah salah satu tujuan dalam IPv6. Meskipun pada saat ini, tampaknya (setidaknya di sini) bahwa minat untuk benar-benar menawarkan IPv6 tidak terlalu besar, kecuali di pusat data (karena paket yang lebih besar berarti lebih banyak bandwidth, dan lebih banyak bandwidth berarti lebih banyak uang untuk mereka!). Untuk DSL itu sebaliknya, hampir semua orang memiliki flatrate, jadi IPv6 hanya berarti lebih banyak masalah dan lebih banyak biaya untuk penyedia. - dm.skt


Jawaban:


Pertama dan terpenting, tidak ada yang perlu ditakuti dari alokasi IP publik, selama perangkat keamanan Anda dikonfigurasi dengan benar.

Apa yang harus saya ganti dengan NAT, jika kita tidak memiliki jaringan yang terpisah secara fisik?

Hal yang sama kami telah memisahkan mereka secara fisik sejak tahun 1980-an, router dan firewall. Satu keuntungan keamanan besar yang Anda dapatkan dengan NAT adalah memaksa Anda ke konfigurasi default-deny. Untuk mendapatkannya apa saja layanan melalui itu, Anda harus secara eksplisit membuat lubang. Perangkat yang lebih mewah bahkan memungkinkan Anda untuk menerapkan ACL berbasis IP ke lubang tersebut, seperti firewall. Mungkin karena mereka memiliki 'Firewall' di kotak, sebenarnya.

Sebuah firewall yang dikonfigurasi dengan benar menyediakan layanan yang persis sama dengan gateway NAT. NAT gateway sering digunakan karena mereka lebih mudah untuk masuk ke konfigurasi aman daripada kebanyakan firewall.

Saya mendengar bahwa IPv6 dan IPSEC seharusnya membuat semua ini aman entah bagaimana, tetapi tanpa jaringan yang terpisah secara fisik yang membuat perangkat ini tidak terlihat oleh Internet, saya sangattidak bisa melihat caranya.

Ini adalah kesalahpahaman. Saya bekerja untuk Universitas yang memiliki alokasi IPv4 / 16, dan sebagian besar dari konsumsi alamat IP kami adalah pada alokasi publik tersebut. Tentu saja semua workstation dan printer pengguna akhir kami. Konsumsi RFC1918 kami terbatas untuk perangkat jaringan dan server tertentu tertentu di mana alamat tersebut diperlukan. Saya tidak akan terkejut jika Anda baru saja menggigil, karena saya pasti melakukannya ketika saya muncul pada hari pertama saya dan melihat post-it di monitor saya dengan alamat IP saya.

Namun, kita bertahan hidup. Mengapa? Karena kami memiliki firewall eksterior yang dikonfigurasi untuk default-deny dengan throughput ICMP terbatas. Hanya karena 140.160.123.45 secara teoritis dapat ditelusuri, tidak berarti Anda bisa sampai di sana dari mana pun Anda berada di internet publik. Ini adalah apa yang dirancang untuk dilakukan firewall.

Mengingat konfigurasi router yang tepat, dan subnet yang berbeda dalam alokasi kami dapat benar-benar tidak dapat dijangkau satu sama lain. Anda dapat melakukannya di tabel router atau firewall. Ini adalah jaringan terpisah dan telah memuaskan auditor keamanan kami di masa lalu.

Tidak ada cara di neraka saya akan menempatkan database penagihan kami (Dengan banyak informasi kartu kredit!) Di internet untuk dilihat semua orang.

Basis data penagihan kami berada di alamat IPv4 publik, dan telah ada untuk seluruh keberadaannya, tetapi kami memiliki bukti bahwa Anda tidak dapat sampai di sana dari sini. Hanya karena alamat ada di daftar vable publik tidak berarti itu dijamin akan dikirimkan. Dua firewall antara kejahatan Internet dan port database aktual menyaring kejahatan. Bahkan dari meja saya, di belakang firewall pertama, saya tidak bisa masuk ke database itu.

Informasi kartu kredit adalah satu kasus khusus. Itu tunduk pada standar PCI-DSS, dan standar menyatakan secara langsung bahwa server yang berisi data tersebut harus berada di belakang gateway NAT1. Kami adalah, dan ketiga server ini mewakili penggunaan total server kami dari alamat RFC1918. Itu tidak menambahkan keamanan apa pun, hanya lapisan kerumitan, tetapi kita perlu memeriksakan kotak centang itu untuk audit.


Gagasan asli "IPv6 membuat NAT sesuatu dari masa lalu" diajukan sebelum booming Internet benar-benar mencapai mainstream penuh. Pada tahun 1995 NAT adalah solusi untuk mendapatkan sekitar alokasi IP kecil. Pada tahun 2005 itu diabadikan dalam banyak dokumen Praktik Terbaik Keamanan, dan setidaknya satu standar utama (khusus PCI-DSS). Satu-satunya manfaat konkret yang diberikan NAT adalah bahwa entitas eksternal yang melakukan pengintaian pada jaringan tidak tahu seperti apa lanskap IP di belakang perangkat NAT (meskipun berkat RFC1918 mereka memiliki dugaan yang baik), dan pada NAT-free IPv4 (seperti sebagai pekerjaan saya) bukan itu masalahnya. Ini langkah kecil dalam pertahanan mendalam, bukan yang besar.

Pengganti alamat RFC1918 adalah apa yang disebut Alamat Lokal Unik. Seperti RFC1918, mereka tidak merutekan kecuali rekan-rekan secara khusus setuju untuk membiarkan mereka merutekan. Tidak seperti RFC1918, mereka (mungkin) secara global unik. Penerjemah alamat IPv6 yang menerjemahkan ULA ke Global IP memang ada di gigi perimeter rentang yang lebih tinggi, pasti tidak di gigi SOHO belum.

Anda dapat bertahan dengan baik dengan alamat IP publik. Hanya perlu diingat bahwa 'publik' tidak menjamin 'terjangkau', dan Anda akan baik-baik saja.


Pembaruan 2017

Dalam beberapa bulan terakhir, Amazon  telah menambahkan dukungan IPv6. Itu baru saja ditambahkan ke mereka  menawarkan, dan penerapannya memberikan beberapa petunjuk tentang bagaimana penerapan skala besar diharapkan untuk dilakukan.

  • Anda diberi alokasi / 56 (256 subnet).
  • Alokasi adalah subnet yang sepenuhnya dapat dirutekan.
  • Anda diharapkan untuk mengatur aturan firewall Anda () secara tepat membatasi.
  • Tidak ada NAT, itu bahkan tidak ditawarkan, jadi semua lalu lintas keluar akan datang dari alamat IP sebenarnya dari instance.

Untuk menambahkan salah satu manfaat keamanan NAT kembali, mereka sekarang menawarkan Gateway Internet Egress-only. Ini menawarkan satu manfaat seperti NAT:

  • Subnet di belakangnya tidak dapat diakses langsung dari internet.

Yang memberikan lapisan pertahanan mendalam, dalam kasus aturan firewall misconfigred sengaja memungkinkan lalu lintas masuk.

Penawaran ini tidak menerjemahkan alamat internal ke dalam satu alamat seperti yang dilakukan NAT. Lalu lintas keluar akan tetap memiliki IP sumber dari instance yang membuka koneksi. Operator firewall yang mencari sumber daya daftar putih di VPC akan lebih baik dari netblock yang masuk daftar putih, daripada alamat IP tertentu.

Dapat ditelusuri tidak selalu berarti terjangkau.


1: Standar PCI-DSS berubah pada bulan Oktober 2010, pernyataan yang mewajibkan alamat RFC1918 dihapus, dan 'isolasi jaringan' menggantikannya.


182
2017-09-25 00:59



Saya menandai ini sebagai Diterima karena itu jawaban yang lebih lengkap. Saya kira bahwa karena setiap konfigurasi firewall tome yang pernah saya baca (sejak sekitar tahun 1997, ketika saya mulai di lapangan, dan itu termasuk membangun firewall FreeBSD dengan tangan) telah menekankan penggunaan RFC1918, bahwa ini tidak masuk akal untuk saya. Tentu saja, sebagai ISP kita akan memiliki beberapa masalah dengan pengguna akhir dan router murah mereka ketika kita kehabisan alamat IPv4, dan itu tidak akan pergi dalam waktu dekat. - Ernie
"Penerjemah alamat IPv6 yang menerjemahkan ULA ke Global IP memang ada di gigi perimeter rentang yang lebih tinggi, pasti tidak di gigi SOHO." Setelah menolak selama bertahun-tahun linux menambahkan dukungan untuk ini di 3.9.0. - Peter Green
Saya punya pertanyaan tentang "NAT gateway sering digunakan karena mereka lebih mudah untuk masuk ke konfigurasi aman daripada kebanyakan firewall ". Untuk bisnis dengan staf TI pro atau untuk konsumen berpengetahuan itu bukan masalah besar, tetapi untuk bisnis kecil konsumen / naif umum bukan sesuatu yang" tidak mudah "risiko keamanan yang besar? puluhan tahun jaringan koneksi "linksys" tanpa password ada karena tidak mengkonfigurasi keamanan "lebih mudah" daripada mengkonfigurasi. Dengan rumah yang penuh dengan perangkat tingkat konsumen IOT diaktifkan, saya tidak dapat melihat ibu saya dengan benar mengkonfigurasi firewall IPv6. Apakah Anda pikir ini masalah? - Jason C
@ JasonC Tidak, karena perangkat tingkat konsumen yang sudah dikirim dikirimkan dengan firewall yang telah dikonfigurasi oleh ISP untuk menolak semua masuk. Atau tidak memiliki dukungan v6. Tantangannya adalah pengguna kekuatan yang berpikir mereka tahu apa yang mereka lakukan, tetapi sebenarnya tidak. - sysadmin1138♦
Jawaban yang sangat baik secara keseluruhan, tetapi saya menurunkan suara karena itu tidak menjawab gajah besar di ruangan: mengkonfigurasi perangkat keamanan dengan benar adalah sesuatu yang tidak dapat Anda terima begitu saja. - Kevin Keane


Router NAT kantor kami (Linksys lama   BEFSR41) tidak mendukung IPv6. Maupun   apakah ada router yang lebih baru

IPv6 didukung oleh banyak router. Hanya saja tidak banyak yang murah ditujukan untuk konsumen dan SOHO. Kasus terburuk, cukup gunakan kotak Linux atau flash ulang router Anda dengan dd-wrt atau sesuatu untuk mendapatkan dukungan IPv6. Ada banyak pilihan, Anda mungkin hanya perlu melihat lebih keras.

Jika kita harus menyingkirkannya   router ini dan pasang semuanya   langsung ke internet,

Tidak ada apa pun tentang transisi ke IPv6 yang menyarankan Anda harus membuang perimeter perangkat keamanan, seperti router / firewall Anda. Router dan firewall akan tetap menjadi komponen yang diperlukan di hampir setiap jaringan.

Semua router NAT efektif bertindak sebagai firewall stateful. Tidak ada yang ajaib tentang penggunaan alamat RFC1918 yang melindungi Anda begitu banyak. Ini adalah bagian yang jelas yang melakukan kerja keras. Firewall yang dikonfigurasi dengan benar akan melindungi Anda juga jika Anda menggunakan alamat nyata atau pribadi.

Satu-satunya perlindungan yang Anda dapatkan dari alamat RFC1918 adalah yang memungkinkan orang-orang untuk lolos dengan kesalahan / kemalasan dalam konfigurasi firewall Anda dan masih belum sepenuhnya rentan.

Ada beberapa perangkat keras lama (yaitu, printer) yang sama sekali tidak memiliki kemampuan IPv6 sama sekali.

Begitu? Hampir tidak mungkin Anda harus membuatnya tersedia melalui Internet, dan di jaringan internal Anda, Anda dapat terus menjalankan IPv4, dan IPv6 sampai semua perangkat Anda didukung atau diganti.

Jika menjalankan beberapa protokol bukan merupakan pilihan, Anda mungkin harus mengatur beberapa jenis gateway / proxy.

IPSEC seharusnya membuat semua ini aman entah bagaimana

IPSEC mengenkripsi dan mengautentikasi paket. Ini tidak ada hubungannya dengan menyingkirkan perangkat perbatasan Anda, dan lebih melindungi data dalam perjalanan.


56
2017-09-24 23:55



Tepat dalam banyak hal. - sysadmin1138♦
Persis, dapatkan router asli dan Anda tidak perlu khawatir. SonicWall memiliki beberapa opsi bagus untuk menyediakan keamanan yang Anda butuhkan dan akan mendukung IPv6 tanpa masalah. Pilihan ini mungkin akan menawarkan keamanan dan kinerja yang lebih baik daripada apa yang Anda miliki saat ini. (news.sonicwall.com/index.php?s=43&item=1022) Seperti yang dapat Anda lihat di artikel ini, Anda juga dapat melakukan terjemahan ipv4 ke ipv6 dengan perangkat sonicwall bagi mereka yang tidak dapat menangani ipv6. - MaQleod


Iya nih. NAT mati. Ada beberapa upaya untuk meratifikasi standar untuk NAT over IPv6 tetapi tidak satupun dari mereka pernah keluar dari tanah.

Ini sebenarnya telah menyebabkan masalah bagi penyedia yang mencoba untuk memenuhi standar PCI-DSS, karena standar sebenarnya menyatakan bahwa Anda harus berada di belakang NAT.

Bagi saya, ini adalah beberapa berita terindah yang pernah saya dengar. Aku benci NAT, dan aku benci NAT kelas pekerja bahkan lebih.

NAT hanya pernah dimaksudkan untuk menjadi solusi bandaid untuk membawa kita sampai IPv6 menjadi standar, tetapi itu menjadi tertanam dalam masyarakat internet.

Untuk periode transisi, Anda harus ingat bahwa IPv4 dan IPv6, terlepas dari nama yang mirip, benar-benar berbeda 1. Jadi perangkat yang Dual-Stack, IPv4 Anda akan NATted dan IPv6 Anda tidak akan. Ini hampir seperti memiliki dua perangkat yang benar-benar terpisah, hanya dikemas ke dalam satu bagian plastik.

Jadi, bagaimana cara kerja akses internet IPv6? Nah, cara internet digunakan untuk bekerja sebelum NAT ditemukan. ISP Anda akan memberikan Anda rentang IP (sama seperti yang mereka lakukan sekarang, tetapi mereka umumnya menugaskan Anda / 32, yang berarti bahwa Anda hanya mendapatkan satu alamat IP), tetapi jangkauan Anda sekarang akan memiliki jutaan alamat IP yang tersedia di dalamnya. Anda bebas mengisi alamat IP ini seperti yang Anda pilih (dengan konfigurasi otomatis atau DHCPv6). Masing-masing dari alamat IP ini akan terlihat dari komputer lain di internet.

Kedengarannya menakutkan, bukan? Pengontrol domain Anda, PC media rumahan dan iPhone Anda dengan simpanan pornografi tersembunyi Anda semuanya dapat diakses dari internet ?! Yah, tidak. Itulah gunanya firewall. Fitur hebat lain dari IPv6 adalah itu pasukan firewall dari pendekatan "Izinkan Semua" (seperti kebanyakan perangkat rumah) menjadi pendekatan "Tolak Semua", tempat Anda membuka layanan untuk alamat IP tertentu. 99,999% pengguna rumahan dengan senang hati akan menjaga firewallnya tetap default dan benar-benar terkunci, yang berarti bahwa tidak ada trafffic yang tidak diminta akan diizinkan masuk.

1Ok ada cara lebih dari itu, tetapi mereka tidak kompatibel satu sama lain, meskipun keduanya mengizinkan protokol yang sama berjalan di atas


33
2018-03-23 23:42



Bagaimana dengan semua orang yang mengklaim bahwa memiliki komputer di belakang NAT memberikan keamanan tambahan? Saya mendengar ini banyak dari beberapa admin IT lainnya. Tidak masalah jika Anda mengatakan bahwa firewall yang tepat adalah semua yang Anda butuhkan, karena begitu banyak dari orang-orang ini percaya bahwa NAT menambahkan lapisan keamanan. - user9274
@ user9274 - ini memberikan keamanan dalam dua cara: 1) menyembunyikan alamat IP internal Anda dari dunia (itulah sebabnya mengapa PCI-DSS memintanya), dan 2) ini merupakan "lompatan" ekstra dari internet ke mesin lokal. Tapi jujur ​​saja, yang pertama hanya "keamanan melalui ketidakjelasan" yang bukan keamanan sama sekali, dan untuk kedua perangkat NAT yang dikompromikan sama berbahayanya dengan server yang disusupi, jadi setelah penyerang melewati NAT yang mungkin masuk ke mesin Anda. - Mark Henderson♦
Selain itu, keamanan apa pun yang diperoleh melalui penggunaan NAT adalah dan merupakan manfaat yang tidak diinginkan dalam upaya untuk mencegah penipisan alamat IPv4. Tentu saja itu bukan bagian dari tujuan desain, yang saya sadari. - joeqwerty
Standar PCI-DSS telah diubah pada akhir Oktober 2010 dan persyaratan NAT dihapus (bagian 1.3.8 dari v1.2). Jadi bahkan mereka mengejar ketinggalan zaman. - sysadmin1138♦
@Mark, tidak yakin apakah itu layak disebut tetapi NAT64 sudah keluar dari tanah, tapi itu bukan NAT kebanyakan orang pikirkan. Ini memungkinkan jaringan IPv6 saja untuk mengakses Internet IPv4 tanpa 'kerjasama' klien; itu membutuhkan dukungan DNS64 untuk membuatnya bekerja. - Chris S


Persyaratan PCI-DSS untuk NAT dikenal sebagai teater keamanan dan bukan keamanan sebenarnya.

PCI-DSS terbaru telah mundur dari memanggil NAT sebagai persyaratan mutlak. Banyak organisasi telah lulus audit PCI-DSS dengan IPv4 tanpa NAT yang menunjukkan firewall stateful sebagai "implementasi keamanan yang setara".

Ada dokumen-dokumen teater keamanan lain di luar sana yang menyerukan NAT, tetapi, karena ia menghancurkan jejak audit dan membuat investigasi / mitigasi insiden lebih sulit, studi yang lebih mendalam tentang NAT (dengan atau tanpa PAT) menjadi negatif keamanan bersih.

Sebuah firewall stateful yang bagus tanpa NAT adalah solusi yang jauh lebih superior untuk NAT di dunia IPv6. Dalam IPv4, NAT adalah kejahatan yang diperlukan untuk ditoleransi demi mengatasi konservasi.


18
2018-01-26 17:45



NAT adalah "keamanan yang malas". Dan dengan "keamanan yang malas" datang kurang perhatian terhadap detail, dan kerugian selanjutnya dari keamanan yang dimaksudkan. - Skaperen
Sangat setuju; meskipun cara sebagian besar audit PCI-DSS dilakukan (audit oleh monyet dengan daftar periksa) semua keamanan yang malas, dan membawa kekurangan itu. - MadHatter
Bagi mereka yang mengklaim bahwa NAT adalah "teater keamanan" saya ingin menunjukkan artikel The Networking Nerd tentang kerentanan Memcached beberapa bulan yang lalu. networkingnerd.net/2018/03/02/ ... Dia adalah pendukung setia IPv6, dan pembenci NAT, tetapi harus menunjukkan bahwa ribuan perusahaan telah meninggalkan server memcached mereka yang terbuka lebar di internet karena aturan firewall yang "tidak dibuat dengan hati-hati". NAT memaksa Anda untuk eksplisit tentang apa yang Anda izinkan ke jaringan Anda. - Kevin Keane


Ini (sayangnya) akan cukup lama sebelum Anda dapat pergi dengan jaringan satu-tumpukan IPv6 saja. Sampai saat itu, dual-stack dengan preferensi untuk IPv6 ketika tersedia adalah cara untuk menjalankannya.

Meskipun sebagian besar router konsumen tidak mendukung IPv6 dengan firmware saham hari ini, banyak yang dapat mendukungnya dengan firmware pihak ketiga (misalnya, Linksys WRT54G dengan dd-wrt, dll.). Selain itu, banyak perangkat kelas bisnis (Cisco, Juniper) mendukung IPv6 out-of-the-box.

Sangat penting untuk tidak membingungkan PAT (banyak-ke-satu NAT, seperti yang umum pada router konsumen) dengan bentuk lain NAT, dan dengan firewall NAT bebas; setelah internet menjadi hanya IPv6, firewall akan tetap mencegah pemaparan layanan internal. Demikian juga, sistem IPv4 dengan NAT satu-ke-satu tidak secara otomatis dilindungi; itulah tugas dari kebijakan firewall.


11
2017-09-24 23:52





Jika NAT bertahan di dunia IPv6, kemungkinan besar akan menjadi 1: 1 NAT. Suatu bentuk NAT tidak pernah terlihat di ruang IPv4. Apa itu 1: 1 NAT? Ini adalah terjemahan 1: 1 dari alamat global ke alamat lokal. Setara IPv4 akan menerjemahkan semua koneksi ke 1.1.1.2 hanya ke 10.1.1.2, dan seterusnya untuk seluruh ruang 1.0.0.0/8. Versi IPv6 akan menerjemahkan alamat global ke Alamat Lokal Unik.

Keamanan yang ditingkatkan dapat diberikan dengan sering memutar pemetaan untuk alamat yang tidak Anda pedulikan (seperti pengguna kantor internal yang menjelajahi Facebook). Secara internal, nomor ULA Anda akan tetap sama sehingga DNS split-horizon Anda akan terus berfungsi dengan baik, tetapi secara eksternal klien tidak akan pernah berada di port yang dapat diprediksi.

Namun sebenarnya, ini adalah sedikit peningkatan keamanan untuk kerumitan yang diciptakannya. Memindai subnet IPv6 adalah tugas yang sangat besar dan tidak mungkin dilakukan tanpa pengintaian ulang tentang bagaimana alamat IP diberikan pada subnet tersebut (metode generasi MAC? Metode acak? Penugasan statis dari alamat yang dapat dibaca manusia?).

Dalam banyak kasus, apa yang akan terjadi adalah klien di belakang firewall perusahaan akan mendapatkan alamat global, mungkin ULA, dan firewall perimeter akan diatur untuk menolak semua koneksi masuk dalam bentuk apa pun ke alamat tersebut. Untuk semua maksud dan tujuan, alamat tersebut tidak dapat dijangkau dari luar. Setelah klien internal memulai koneksi, paket akan diizinkan melalui koneksi itu. Kebutuhan untuk mengubah alamat IP ke sesuatu yang benar-benar berbeda ditangani dengan memaksa penyerang membolak-balik 2 ^ 64 kemungkinan alamat di subnet itu.


9
2018-03-24 02:33



@ sysadmin1138: Saya suka solusi ini. Seperti yang saya ketahui saat ini IPv6, jika ISP saya memberi saya / 64, saya seharusnya menggunakan / 64 itu di seluruh jaringan saya jika saya ingin komputer saya menjadi akses internet IPv6. Tetapi jika saya bosan dengan ISP itu dan pindah ke ISP lain, sekarang saya harus benar-benar memberi nomor baru pada semuanya. - Kumba
@ sysadmin1138: Namun demikian, saya perhatikan bahwa saya dapat menetapkan beberapa IP ke satu antarmuka jauh lebih mudah daripada dengan IPv4, jadi saya dapat menggunakan ISP yang diberikan / 64 untuk akses eksternal dan skema ULA internal pribadi saya sendiri untuk komunikasi antar host, dan menggunakan firewall untuk membuat alamat ULA tidak dapat dijangkau dari luar. Lebih banyak pekerjaan pengaturan yang terlibat, tetapi sepertinya itu akan menghindari NAT sama sekali. - Kumba
@ sysadmin1138: AKU MASIH menggaruk kepalaku mengapa ULA adalah, untuk semua maksud dan tujuan, pribadi, namun mereka diharapkan masih unik secara global. Ini seperti mengatakan bahwa saya dapat memiliki mobil dan model apapun yang saat ini tersedia, tetapi tidak ada make / model / tahun yang sudah digunakan oleh orang lain, meskipun itu mobil saya dan saya akan menjadi satu-satunya pembalap yang pernah ada. - Kumba
@Kumba Alasan RFC 4193 alamat harus unik secara global adalah untuk memastikan Anda tidak perlu memberi nomor baru di masa depan. Mungkin suatu hari Anda perlu menggabungkan dua jaringan menggunakan alamat RFC 4193, atau satu mesin yang mungkin sudah memiliki alamat RFC 4193 mungkin perlu terhubung ke satu atau lebih VPN, yang juga memiliki alamat RFC 4193. - kasperd
@Kumba Jika semua orang menggunakan fd00 :: / 64 untuk segmen pertama di jaringan mereka, maka Anda pasti akan mengalami konflik segera setelah sepasang dari dua jaringan tersebut harus berkomunikasi. Titik RFC 4193 adalah bahwa selama Anda memilih 40 bit Anda secara acak, Anda dapat menetapkan sisa 80 bit yang Anda inginkan dan tetap yakin, bahwa Anda tidak perlu memberi nomor baru. - kasperd


RFC 4864 menjelaskan Perlindungan Jaringan Lokal IPv6, satu set pendekatan untuk memberikan manfaat yang dirasakan NAT dalam lingkungan IPv6, tanpa benar-benar harus menggunakan NAT.

Dokumen ini telah menguraikan sejumlah teknik yang dapat digabungkan pada situs IPv6 untuk melindungi integritas arsitektur jaringannya. Teknik-teknik ini, yang dikenal secara kolektif sebagai Local Network Protection, mempertahankan konsep batas yang terdefinisi dengan jelas antara "di dalam" dan "di luar" jaringan pribadi dan memungkinkan firewall, penyembunyian topologi, dan privasi. Namun, karena mereka menjaga transparansi alamat di mana diperlukan, mereka mencapai tujuan-tujuan ini tanpa merugikan terjemahan alamat. Dengan demikian, Perlindungan Jaringan Lokal di IPv6 dapat memberikan manfaat dari IPv4 Network Address Translation tanpa kerugian terkait.

Ini pertama memaparkan apa yang dirasakan manfaat NAT (dan debunks mereka bila sesuai), kemudian menjelaskan fitur IPv6 yang dapat digunakan untuk memberikan manfaat yang sama. Ini juga menyediakan catatan implementasi dan studi kasus.

Meskipun terlalu panjang untuk dicetak ulang di sini, manfaat yang dibahas adalah:

  • Sebuah gerbang sederhana antara "di dalam" dan "di luar"
  • Firewall stateful
  • Pelacakan pengguna / aplikasi
  • Privasi dan topologi bersembunyi
  • Kontrol independen terhadap pengalamatan di jaringan pribadi
  • Multihoming / penomoran ulang

Ini cukup banyak mencakup semua skenario di mana seseorang mungkin ingin NAT dan menawarkan solusi untuk menerapkannya di IPv6 tanpa NAT.

Beberapa teknologi yang akan Anda gunakan adalah:

  • Alamat lokal yang unik: Lebih suka ini di jaringan internal Anda untuk menjaga komunikasi internal Anda internal dan untuk memastikan bahwa komunikasi internal dapat terus berlanjut bahkan jika ISP mengalami pemadaman.
  • Ekstensi privasi IPv6 dengan masa hidup alamat pendek dan pengidentifikasi antarmuka tidak terstruktur secara jelas: Ini membantu mencegah menyerang host individu dan pemindaian subnet.
  • IGP, Mobile IPv6 atau VLAN dapat digunakan untuk menyembunyikan topologi jaringan internal.
  • Bersamaan dengan ULAs, DHCP-PD dari ISP membuat penomoran ulang / multihoming lebih mudah daripada dengan IPv4.

(Lihat RFC untuk rincian lengkap; lagi, terlalu panjang untuk dicetak ulang atau bahkan mengambil cuplikan penting dari.)

Untuk diskusi yang lebih umum tentang keamanan transisi IPv6, lihat RFC 4942.


9
2018-05-13 18:37





Ada sejumlah besar kebingungan tentang subjek ini, karena administrator jaringan melihat NAT dalam satu cahaya, dan pelanggan bisnis dan perumahan kecil melihatnya di tempat lain. Biarkan saya mengklarifikasi.

NAT statis (kadang-kadang disebut one-to-one NAT) menawarkan sama sekali tidak ada perlindungan untuk jaringan pribadi Anda atau PC individual. Mengubah alamat IP tidak berarti sejauh menyangkut perlindungan.

Dynamic Overloaded NAT / PAT seperti apa yang kebanyakan gateway perumahan dan wifi AP lakukan benar-benar membantu melindungi jaringan pribadi Anda dan / atau PC Anda. Dengan desain tabel NAT di perangkat ini adalah tabel keadaan. Ini melacak permintaan keluar dan memetakan mereka di tabel NAT - waktu koneksi keluar setelah jangka waktu tertentu. Semua bingkai masuk yang tidak diminta yang tidak sesuai dengan apa yang ada di tabel NAT dijatuhkan secara default - router NAT tidak tahu kemana harus mengirimnya di jaringan pribadi sehingga ia menjatuhkannya. Dengan cara ini, satu-satunya perangkat yang Anda tinggalkan rentan diretas adalah router Anda. Karena sebagian besar eksploit keamanan berbasis Windows - memiliki perangkat seperti ini antara internet dan PC Windows Anda benar-benar membantu melindungi jaringan Anda. Ini mungkin bukan fungsi yang semula dimaksudkan, yang untuk menghemat IP publik, tetapi itu mendapat pekerjaan yang dilakukan. Sebagai bonus, sebagian besar perangkat ini juga memiliki kemampuan firewall yang sering kali memblokir permintaan ICMP secara default, yang juga membantu melindungi jaringan.

Mengingat informasi di atas, membuang dengan NAT ketika pindah ke IPv6 dapat mengekspos jutaan perangkat konsumen dan bisnis kecil ke peretasan potensial. Ini akan memiliki sedikit atau tidak berpengaruh pada jaringan perusahaan karena mereka memiliki firewall yang dikelola secara profesional di tepinya. Konsumen dan jaringan bisnis kecil mungkin tidak lagi memiliki router NAT berbasis * nix antara internet dan PC mereka. Tidak ada alasan bahwa seseorang tidak dapat beralih ke solusi firewall saja - jauh lebih aman jika diterapkan dengan benar, tetapi juga di luar lingkup apa yang 99% konsumen pahami bagaimana melakukannya. NAT dinamis kelebihan beban memberikan jumlah sedikit perlindungan hanya dengan menggunakannya - pasang di router perumahan Anda dan Anda terlindungi. Mudah.

Yang mengatakan, tidak ada alasan bahwa NAT tidak dapat digunakan dengan cara yang sama persis seperti yang digunakan dalam IPv4. Bahkan, sebuah router dapat dirancang untuk memiliki satu alamat IPv6 pada port WAN dengan jaringan privat IPv4 di belakangnya yang dipasangi NAT (misalnya). Ini akan menjadi solusi sederhana bagi konsumen dan masyarakat perumahan. Pilihan lain adalah untuk menempatkan semua perangkat dengan IPv6 IP publik --- perangkat perantara kemudian dapat bertindak sebagai perangkat L2, tetapi menyediakan tabel keadaan, inspeksi paket, dan firewall yang berfungsi penuh. Pada dasarnya, tidak ada NAT, tetapi masih memblokir frame masuk yang tidak diminta. Yang penting untuk diingat adalah Anda tidak perlu mencolokkan PC Anda langsung ke koneksi WAN Anda tanpa perangkat perantara. Kecuali tentu saja Anda ingin bergantung pada firewall Windows. . . dan itu diskusi yang berbeda. Setiap jaringan, bahkan jaringan rumah, memerlukan perangkat tepi yang melindungi jaringan lokal, selain menggunakan firewall Windows.

Akan ada beberapa rasa sakit yang terus berkembang ke IPv6, tetapi tidak ada masalah yang tidak akan dapat diselesaikan dengan mudah. Apakah Anda harus membuang router IPv4 lama Anda atau gateway perumahan? Mungkin, tetapi akan ada solusi baru yang murah yang tersedia ketika saatnya tiba. Mudah-mudahan banyak perangkat hanya membutuhkan flash firmware. Mungkinkah IPv6 dirancang agar lebih pas dengan arsitektur saat ini? Tentu, tetapi itu adalah apa dan itu tidak akan pergi - Jadi Anda mungkin juga mempelajarinya, menjalaninya, menyukainya.


8
2018-06-09 14:38



Untuk apa itu layak, saya ingin menegaskan kembali bahwa arsitektur saat ini secara mendasar rusak (end-to-end routability) dan ini menciptakan masalah praktis dalam jaringan yang kompleks (perangkat NAT berlebihan berlebihan dan mahal). Menjatuhkan peretasan NAT akan mengurangi kerumitan dan potensi kegagalan, sementara keamanan dijaga oleh firewall sederhana yang sederhana (Saya tidak dapat membayangkan untuk kedua router SOHO datang tanpa firewall stateful diaktifkan secara default sehingga pelanggan dapat plug-n-play tanpa Sebuah pemikiran). - Chris S
Terkadang, penerus end-to-end yang rusak persis seperti yang Anda inginkan. Saya tidak ingin printer dan PC saya dapat dialihkan dari internet. Sementara NAT dimulai sebagai hack, itu telah berevolusi menjadi alat yang sangat bermanfaat, yang dalam beberapa kasus dapat meningkatkan keamanan dengan menghapus potensi paket untuk rute langsung ke node. Jika saya memiliki IP RFC1918 yang ditetapkan secara statis pada PC, dalam keadaan apa pun IP itu tidak dapat ditelusuri di internet. - Computerguy
Routability rusak adalah Sesuatu yang buruk. Apa yang Anda inginkan adalah perangkat Anda tidak dapat dijangkau oleh Internet (oleh firewall), itu bukan hal yang sama. Lihat Mengapa Anda menggunakan IPv6 secara internal?. Juga, RFC1918 menyatakan bahwa alamat tersebut harus digunakan untuk jaringan pribadi saja, dan akses ke Internet seharusnya hanya disediakan oleh gateway lapisan aplikasi (yang NAT tidak). Untuk koneksi eksternal tuan rumah harus diberi alamat dari alokasi terkoordinasi IANA. Peretasan, tidak peduli seberapa berguna, membuat kompromi yang tidak perlu dan bukan cara yang 'benar'. - Chris S


Agak. Sebenarnya ada "tipe" alamat IPv6 yang berbeda. Yang paling dekat dengan RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) disebut "Alamat lokal unik" dan didefinisikan dalam RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Jadi, Anda mulai dengan fd00 :: / 8, lalu tambahkan string 40-bit (menggunakan algoritma yang telah ditentukan sebelumnya di RFC!), Dan Anda akan mendapatkan awalan pseudo-random / 48 yang harus unik secara global. Anda memiliki sisa ruang alamat untuk menetapkan apa pun yang Anda inginkan.

Anda juga harus memblokir fd00 :: / 7 (fc00 :: / 8 dan fd00 :: / 8) di router (IPv6) Anda di luar organisasi Anda — maka "lokal" di nama alamat. Alamat-alamat ini, sementara di ruang alamat global, seharusnya tidak dapat dijangkau oleh dunia pada umumnya, hanya dengan "organisasi" Anda.

Jika server PCI-DSS Anda memerlukan IPv6 untuk konektivitas ke host IPv6 internal lainnya, Anda harus membuat awalan ULA untuk perusahaan Anda dan menggunakannya untuk tujuan ini. Anda dapat menggunakan konfigurasi otomatis IPv6 seperti awalan lainnya jika Anda menginginkannya.

Mengingat bahwa IPv6 dirancang sedemikian rupa sehingga tuan rumah dapat memiliki banyak alamat, mesin dapat memiliki — selain ULA — alamat yang dapat secara global dirutekan juga. Jadi server web yang perlu berbicara dengan dunia luar, dan ke mesin internal, dapat memiliki alamat prefex yang ditetapkan oleh ISP dan awalan ULA Anda.

Jika Anda ingin fungsi seperti NAT Anda dapat melihat NAT66 juga, tetapi secara umum saya akan menjadi arsitek di sekitar ULA. Jika Anda memiliki pertanyaan lebih lanjut, Anda mungkin ingin memeriksa milis "ipv6-ops".


7
2018-03-24 00:05



Hah Saya menulis semua komentar tersebut ke sysadmin1138, dan bahkan tidak berpikir untuk melihat jawaban Anda tentang penggunaan alamat ganda untuk komunikasi global dan lokal. Namun, saya sangat tidak setuju dengan ajaran ULA yang perlu menjadi unik secara global. Saya tidak suka acak, angka 40-bit sama sekali, terutama untuk LAN internal saya, di antaranya saya adalah satu-satunya pengguna. Mereka mungkin memang membutuhkan database dunia ULAs untuk didaftarkan (SixXS menjalankannya), tetapi jatuhkan nomor acak berantakan dan biarkan orang menjadi kreatif. Seperti pelat nomor yang dipersonalisasi. Anda mengajukan permohonan untuk satu dan jika itu diambil, Anda mencoba untuk yang lain. - Kumba
@Kumba mereka mencoba menghentikan setiap jaringan menggunakan alamat yang sama - acak berarti Anda tidak memerlukan database publik dan setiap jaringan bersifat independen; jika Anda ingin memberikan alamat IP secara terpusat, maka gunakan saja yang global! - Richard Gadsden
@ Richard: Itu ... Bagaimana saya mengatakannya, konsep konyol, IMHO. Mengapa penting jika Perusahaan Joe kecil di sebuah kota di Montana menggunakan alamat IPv6 yang sama sebagai perusahaan kecil di Perth, Australia? Peluang kedua yang pernah menyeberang, meski bukan tidak mungkin, sangat tidak mungkin. Jika niat para perancang IPv6 adalah untuk mencoba dan sepenuhnya menghilangkan konsep "jaringan pribadi", maka mereka perlu memeriksa kopi mereka, karena itu tidak layak secara realistis. - Kumba
@Kumba Saya pikir ini adalah bekas luka dari ketika Anda mencoba menggabungkan dua jaringan privat IPv4 besar di 10/8 dan Anda harus memberi nomor satu (atau bahkan keduanya) dari mereka yang mereka coba hindari. - Richard Gadsden
@ Richard: Tepat, tidak ada yang lebih menyakitkan daripada menggunakan VPN untuk terhubung ke jaringan lain dengan subnet pribadi yang sama, beberapa implementasi hanya akan berhenti berfungsi. - Hubert Kario


Semoga NAT akan hilang selamanya. Ini berguna hanya ketika Anda memiliki kelangkaan alamat IP dan tidak memiliki fitur keamanan yang tidak disediakan lebih baik, lebih murah, dan lebih mudah dikelola oleh firewall stateful.

Karena IPv6 = tidak ada lagi kelangkaan, itu berarti kita dapat menyingkirkan dunia dari peretasan jelek yang NAT.


4
2018-03-23 23:44





IMHO: tidak.

Masih ada beberapa tempat di mana SNAT / DNAT dapat berguna. Untuk expample beberapa server dipindahkan ke jaringan lain, tetapi kami tidak ingin / kami tidak dapat mengubah IP aplikasi.


4
2018-03-24 01:23



Anda harus menggunakan nama DNS, bukan alamat IP dalam konfigurasi aplikasi Anda. - rmalayter
DNS tidak menyelesaikan masalah Anda, jika Anda perlu membuat jalur jaringan tanpa memodifikasi seluruh aturan topologi dan firewall Anda. - sumar