Pregunta Cambiar a IPv6 implica eliminar NAT. ¿Eso es algo bueno?


Esto es un Pregunta canónica sobre IPv6 y NAT

Relacionado:

Así que nuestro ISP ha configurado IPv6 recientemente, y he estado estudiando qué debe implicar la transición antes de saltar a la refriega.

He notado tres problemas muy importantes:

  1. Nuestro enrutador NAT de oficina (un antiguo Linksys BEFSR41) no es compatible con IPv6. Ni tampoco un router nuevo, AFAICT. El libro que estoy leyendo sobre IPv6 me dice que, de todos modos, hace que el NAT sea "innecesario".

  2. Si se supone que simplemente debemos deshacernos de este enrutador y conectar todo directamente a Internet, comienzo a entrar en pánico. No hay manera en el infierno de poner nuestra base de datos de facturación (¡con mucha información de tarjetas de crédito!) En Internet para que todos la vean. Incluso si tuviera que proponer la configuración del firewall de Windows en él para permitir que solo 6 direcciones tengan acceso a él, sigo rompiendo en un sudor frío. No confío en Windows, el firewall de Windows o en la red lo suficientemente amplia como para siquiera sentirme a gusto con eso.

  3. Hay algunos dispositivos de hardware antiguos (es decir, impresoras) que no tienen absolutamente ninguna capacidad de IPv6. Y probablemente una larga lista de problemas de seguridad que se remontan a alrededor de 1998. Y probablemente no haya manera de solucionarlos de ninguna manera. Y no hay fondos para nuevas impresoras.

Escuché que se supone que IPv6 e IPSEC hacen que todo esto sea seguro de alguna manera, pero sin redes físicamente separadas que hagan estos dispositivos invisibles para Internet, De Verdad no puedo ver como Yo tambien puedo De Verdad ver cómo cualquier defensa que cree será invadida en poco tiempo. He estado ejecutando servidores en Internet desde hace años y estoy bastante familiarizado con el tipo de cosas necesarias para asegurarlos, pero poner algo privado en la red como nuestra base de datos de facturación siempre ha sido totalmente imposible.

¿Con qué debería estar reemplazando NAT si no tenemos redes físicamente separadas?


101
2017-09-24 23:33


origen


¿Puedes intentar volver a preguntar esto? En este momento parece ser bastante argumentativo. - Zoredache
Las cosas que eres sorprendido por no existe Quizás debería reformatear su pregunta de una manera que describa las cosas que cree que son hechos y solicitarnos que las confirmemos. En lugar de quejarte de cosas que has asumido, funcionará de cierta manera. - Zoredache
Además, ¿estás almacenando información de la tarjeta de crédito? ¿Y tienes tantas preguntas sobre seguridad? ¿Alguna vez has pasado una auditoría de PCI? ¿O estás rompiendo tu contrato almacenando los detalles de la tarjeta de crédito? Es posible que desee examinar esto, apresuramiento. - mfinni
No puedo, en buena conciencia, rechazar o votar para cerrar esta pregunta, ya sea porque el cartel está mal informado (seguramente eso es la mitad del punto del sitio). Por supuesto, el OP se está disparando en una gran tangente basada en una suposición falsa, y la pregunta podría hacer con una reescritura. - Chris Thorpe
"No más NAT" es definitivamente uno de los objetivos en IPv6. Aunque en este momento, parece (al menos aquí) que el interés en ofrecer IPv6 en realidad no es terriblemente grande, excepto en los centros de datos (¡porque los paquetes más grandes significan más ancho de banda, y más ancho de banda significa más dinero para ellos!). Sin embargo, para DSL es todo lo contrario, casi todo el mundo tiene tarifa plana, por lo que IPv6 solo significa más problemas y más costo para los proveedores. - dm.skt


Respuestas:


En primer lugar, no hay nada que temer de estar en una asignación de IP pública, siempre que sus dispositivos de seguridad estén bien configurados.

¿Con qué debería estar reemplazando NAT si no tenemos redes físicamente separadas?

Lo mismo con lo que hemos estado separándolos físicamente desde la década de 1980, enrutadores y cortafuegos. La única gran ventaja de seguridad que obtiene con NAT es que lo obliga a realizar una configuración de denegación predeterminada. Para obtener alguna servicio a través de él, tienes que explícitamente perforaciones. Los dispositivos más sofisticados incluso le permiten aplicar ACL basadas en IP a esos agujeros, al igual que un firewall. Probablemente porque tienen 'Firewall' en la caja, en realidad.

Un firewall configurado correctamente proporciona exactamente el mismo servicio que una puerta de enlace NAT. Las puertas de enlace NAT se utilizan con frecuencia porque son más fácil para entrar en una configuración segura que la mayoría de los cortafuegos.

Escuché que se supone que IPv6 e IPSEC hacen que todo esto sea seguro de alguna manera, pero sin redes físicamente separadas que hagan estos dispositivos invisibles para Internet, De Verdadno puedo ver como

Esto es un error Trabajo para una universidad que tiene una asignación de / 16 IPv4, y la gran mayoría de nuestro consumo de direcciones IP está en esa asignación pública. Ciertamente, todas nuestras estaciones de trabajo e impresoras de usuario final. Nuestro consumo RFC1918 está limitado a dispositivos de red y ciertos servidores específicos donde se requieren tales direcciones. No me sorprendería que acabara de temblar, porque lo hice cuando me presenté el primer día y vi el post-it en mi monitor con mi dirección IP.

Y sin embargo, sobrevivimos. ¿Por qué? Debido a que tenemos un firewall externo configurado para denegación predeterminada con un rendimiento ICMP limitado. El hecho de que 140.160.123.45 sea teóricamente enrutable, no significa que pueda llegar allí desde cualquier lugar en la Internet pública. Esto es lo que los cortafuegos fueron diseñados para hacer.

Dadas las configuraciones de enrutador correctas, y las diferentes subredes en nuestra asignación pueden ser completamente inalcanzables entre sí. Usted puede hacer esto en tablas de enrutador o firewalls. Esta es una red separada y ha satisfecho a nuestros auditores de seguridad en el pasado.

No hay manera en el infierno de poner nuestra base de datos de facturación (¡con mucha información de tarjetas de crédito!) En Internet para que todos la vean.

Nuestra base de datos de facturación se encuentra en una dirección IPv4 pública, y se ha mantenido durante toda su existencia, pero tenemos pruebas de que no puede acceder desde aquí. El hecho de que una dirección esté en la lista enrutable v4 pública no significa que se garantice su entrega. Los dos cortafuegos entre los males de Internet y los puertos reales de la base de datos filtran el mal. Incluso desde mi escritorio, detrás del primer firewall, no puedo acceder a esa base de datos.

La información de la tarjeta de crédito es un caso especial. Eso está sujeto a los estándares PCI-DSS, y los estándares establecen directamente que los servidores que contienen dichos datos tienen que estar detrás de una puerta de enlace NAT1. Los nuestros son, y estos tres servidores representan nuestro uso total del servidor de direcciones RFC1918. No agrega ninguna seguridad, solo una capa de complejidad, pero necesitamos que se marque esa casilla de verificación para las auditorías.


La idea original de "IPv6 hace que NAT sea una cosa del pasado" se presentó antes de que el auge de Internet realmente llegara a la corriente principal. En 1995, NAT fue una solución para sortear una pequeña asignación de IP. En 2005 se incluyó en muchos documentos sobre las mejores prácticas de seguridad, y al menos en un estándar importante (PCI-DSS para ser específico). El único beneficio concreto que ofrece NAT es que una entidad externa que realiza el reconocimiento en la red no sabe qué aspecto tiene el entorno IP detrás del dispositivo NAT (aunque gracias a RFC1918 tienen una buena suposición), y en IPv4 sin NAT (como como mi trabajo) ese no es el caso. Es un pequeño paso en defensa en profundidad, no uno grande.

El reemplazo para las direcciones RFC1918 es lo que se llama Direcciones Locales Únicas. Al igual que el RFC1918, no enrutan a menos que sus compañeros acuerden específicamente permitirles enrutar. A diferencia de RFC1918, son (probablemente) globalmente únicos. Los traductores de direcciones IPv6 que traducen un ULA a un IP global existen en el engranaje perimetral de rango más alto, definitivamente no en el equipo SOHO todavía.

Usted puede sobrevivir bien con una dirección IP pública. Solo tenga en cuenta que 'público' no garantiza que se pueda 'alcanzar', y estará bien.


Actualización 2017

En los últimos meses, Amazon.  ha estado agregando soporte de IPv6. Acaba de ser añadido a su  ofreciendo, y su implementación da algunas pistas sobre cómo se espera que se realicen implementaciones a gran escala.

  • Se le asigna una asignación / 56 (256 subredes).
  • La asignación es una subred completamente enrutable.
  • Se espera que establezca sus reglas de firewall () apropiadamente restrictivo.
  • No hay NAT, ni siquiera se ofrece, por lo que todo el tráfico saliente provendrá de la dirección IP real de la instancia.

Para agregar uno de los beneficios de seguridad de NAT de nuevo, ahora están ofreciendo un Puerta de enlace de Internet sólo para egreso. Esto ofrece un beneficio similar a NAT:

  • Las subredes detrás no pueden ser accedidas directamente desde internet.

Lo que proporciona una capa de defensa en profundidad, en caso de que una regla de firewall mal configurada permita accidentalmente el tráfico entrante.

Esta oferta no traduce la dirección interna en una sola dirección como lo hace NAT. El tráfico saliente seguirá teniendo la IP de origen de la instancia que abrió la conexión. Los operadores de firewall que buscan recursos en la lista blanca en la VPC estarán mejor que en la lista blanca de los bloques de red, en lugar de direcciones IP específicas.

Enrutable no siempre significa accesible.


1: Los estándares PCI-DSS cambiaron en octubre de 2010, se eliminó la declaración que ordenaba las direcciones RFC1918 y se reemplazó el 'aislamiento de la red'.


182
2017-09-25 00:59



Marqué esto como Aceptado porque es la respuesta más completa. Supongo que desde cada configuración de firewall que he leído (desde aproximadamente 1997, cuando comencé en el campo, y eso incluye la creación de firewalls FreeBSD a mano) ha enfatizado el uso de RFC1918, que esto realmente no tiene ningún sentido a mi. Por supuesto, como ISP tendremos algunos problemas con los usuarios finales y sus enrutadores baratos cuando nos quedemos sin direcciones IPv4, y eso no va a desaparecer pronto. - Ernie
"Los traductores de direcciones IPv6 que traducen un ULA a un IP global existen en el engranaje perimetral de rango más alto, definitivamente no en el equipo SOHO". Después de resistir durante muchos años, Linux agregó soporte para esto en 3.9.0. - Peter Green
Tengo una pregunta sobre "Las puertas de enlace NAT se utilizan con frecuencia porque son más fácil para entrar en una configuración segura que la mayoría de los cortafuegos ". Para las empresas con personal de TI profesional o para consumidores con conocimientos, eso no es un gran problema, pero para el consumidor general / pequeña empresa ingenua, ¿no es algo que no sea" fácil "un gran riesgo de seguridad? existían décadas de redes wifi "linksys" sin contraseña porque no configurar la seguridad era "más fácil" que configurarlo. Con una casa llena de dispositivos habilitados para IoT a nivel de consumidor, no puedo ver a mi madre configurando correctamente un firewall IPv6. ¿problema? - Jason C
@JasonC No, porque el equipo a nivel del consumidor que ya se está enviando se envía con cortafuegos preconfigurados por el ISP para denegar todo el ingreso. O no tiene soporte v6. El desafío es que los usuarios avanzados creen que saben lo que están haciendo, pero en realidad no. - sysadmin1138♦
Una excelente respuesta en general, pero lo descarté porque apenas abordaba al gran elefante en la habitación: configurar el dispositivo de seguridad correctamente es algo que no se puede dar por sentado. - Kevin Keane


Nuestro enrutador NAT de oficina (un antiguo Linksys   BEFSR41) no es compatible con IPv6. Ni   hace cualquier router más nuevo

IPv6 es compatible con muchos enrutadores. Simplemente no muchos de los baratos dirigidos a los consumidores y SOHO. En el peor de los casos, solo use una caja de Linux o vuelva a flashear su enrutador con dd-wrt o algo para obtener soporte de IPv6. Hay muchas opciones, probablemente solo tengas que mirar más duro.

Si se supone que debemos deshacernos de   Este enrutador y enchufe todo   directamente a internet,

Nada acerca de una transición a IPv6 sugiere que debería deshacerse de los dispositivos de seguridad perimetrales, como su enrutador / firewall. Los enrutadores y los firewalls seguirán siendo un componente requerido en casi todas las redes.

Todos los enrutadores NAT actúan efectivamente como un firewall con estado. No hay nada mágico en el uso de las direcciones RFC1918 que lo protegen tanto. Es el bit con estado que hace el trabajo duro. Un firewall configurado correctamente lo protegerá igual de bien si utiliza direcciones reales o privadas.

La única protección que obtiene de las direcciones RFC1918 es que permite que las personas se salgan con la suya con errores / holgazanería en su configuración de firewall y no sean tan vulnerables.

Hay algunos dispositivos de hardware antiguos (es decir, impresoras) que no tienen absolutamente ninguna capacidad de IPv6.

¿Asi que? Es poco probable que necesite que esté disponible a través de Internet, y en su red interna, puede continuar ejecutando IPv4 e IPv6 hasta que todos sus dispositivos sean compatibles o reemplazados.

Si ejecutar varios protocolos no es una opción, es posible que deba configurar algún tipo de puerta de enlace / proxy.

Se supone que IPSEC debe hacer todo esto seguro de alguna manera

IPSEC encriptado y autentica paquetes. No tiene nada que ver con deshacerse de su dispositivo de borde y tiene más protección de los datos en tránsito.


56
2017-09-24 23:55



Justo de muchas maneras. - sysadmin1138♦
Exactamente, consigue un enrutador real y no tendrás que preocuparte. SonicWall tiene algunas opciones excelentes para proporcionar la seguridad que necesita y admitirá IPv6 sin problemas. Esta opción probablemente ofrecerá una mejor seguridad y rendimiento que la que tiene actualmente. (news.sonicwall.com/index.php?s=43&item=1022) Como puede ver en este artículo, también puede hacer la traducción de ipv4 a ipv6 con dispositivos de sonicwall para aquellos que no pueden manejar ipv6. - MaQleod


Sí. NAT está muerto. Ha habido algunos intentos de ratificar los estándares de NAT a través de IPv6, pero ninguno de ellos llegó a despegar.

Esto realmente ha causado problemas a los proveedores que intentan cumplir con los estándares PCI-DSS, ya que el estándar en realidad establece que debe estar detrás de un NAT.

Para mí, esta es una de las noticias más maravillosas que he escuchado. Odio el NAT, y odio el NAT de nivel de operador aún más.

NAT solo estaba destinada a ser una solución de banda ancha que nos ayudara a lograr que IPv6 se convirtiera en estándar, pero se incorporó a la sociedad de Internet.

Para el período de transición, debe recordar que IPv4 y IPv6 son, además de un nombre similar, totalmente diferentes. 1. Por lo tanto, los dispositivos que son de doble pila, su IPv4 tendrá un NAT y su IPv6 no. Es casi como tener dos dispositivos totalmente separados, simplemente empaquetados en una pieza de plástico.

Entonces, ¿cómo funciona el acceso a internet IPv6? Bueno, la forma en que Internet funcionaba antes de que se inventara NAT. Su ISP le asignará un rango de IP (igual que ahora, pero generalmente le asignan un / 32, lo que significa que solo obtiene una dirección de IP), pero su rango ahora tendrá millones de direcciones de IP disponibles. Puede rellenar estas direcciones IP como lo desee (con configuración automática o DHCPv6). Cada una de estas direcciones IP será visible desde cualquier otra computadora en Internet.

Suena aterrador, ¿verdad? ¿Tu controlador de dominio, tu PC multimedia y tu iPhone con tu alijo oculto de pornografía serán accesibles desde Internet? Bueno no. Para eso es un firewall. Otra gran característica de IPv6 es que efectivo los firewalls desde un enfoque de "Permitir todo" (como la mayoría de los dispositivos domésticos) en un enfoque de "Denegar todos", donde se abren servicios para direcciones IP particulares. El 99.999% de los usuarios domésticos con gusto mantendrán sus firewalls predeterminados y totalmente bloqueados, lo que significa que no se permitirá el tráfico no solicitado.

1Ok, hay mucho más que eso, pero no son compatibles entre sí, aunque ambos permiten que se ejecuten los mismos protocolos en la parte superior.


33
2018-03-23 23:42



¿Qué pasa con todas las personas que afirman que tener computadoras detrás de NAT proporciona seguridad adicional? Esto lo escucho mucho de otros administradores de TI. No importa si dice que un firewall adecuado es todo lo que necesita, porque muchas de estas personas creen que NAT agrega una capa de seguridad. - user9274
@ user9274: proporciona seguridad de dos maneras: 1) oculta su dirección IP interna del mundo (razón por la cual lo exigen los PCI-DSS), y 2) es un "salto" adicional de Internet a la máquina local. Pero para ser honesto, el primero es simplemente "seguridad a través de la oscuridad", que no es seguridad en absoluto, y en cuanto al segundo, un dispositivo NAT comprometido es tan peligroso como un servidor comprometido, por lo que una vez que los atacantes superan el NAT, es probable que entrar en su máquina de todos modos - Mark Henderson♦
Además, cualquier seguridad obtenida mediante el uso de NAT fue y es un beneficio no deseado en el esfuerzo por evitar el agotamiento de las direcciones IPv4. Ciertamente no era parte integrante del objetivo de diseño, de lo que estoy al tanto. - joeqwerty
Los estándares PCI-DSS se modificaron a fines de octubre de 2010 y se eliminó el requisito de NAT (sección 1.3.8 de v1.2). Así que incluso se están poniendo al día con los tiempos. - sysadmin1138♦
@Mark, no estoy seguro de si vale la pena mencionarlo, pero NAT64 está despegando, pero no es el NAT que la mayoría de la gente piensa. Permite que solo las redes IPv6 accedan a Internet IPv4 sin la 'cooperación' del cliente; requiere el soporte de DNS64 para que funcione. - Chris S


El requisito de PCI-DSS para NAT es bien conocido como el teatro de seguridad y no la seguridad real.

El PCI-DSS más reciente se ha retirado de llamar a NAT un requisito absoluto. Muchas organizaciones han pasado las auditorías PCI-DSS con IPv4 sin NAT que muestra los firewalls con estado como "implementaciones de seguridad equivalentes".

Hay otros documentos de teatro de seguridad que exigen NAT, pero, debido a que destruye pistas de auditoría y dificulta la investigación / mitigación de incidentes, un estudio más profundo de NAT (con o sin PAT) es negativo para la seguridad neta.

Un buen servidor de seguridad con estado sin NAT es una solución muy superior a NAT en un mundo IPv6. En IPv4, NAT es un mal necesario para ser tolerado por el bien de la conservación de direcciones.


18
2018-01-26 17:45



NAT es "seguridad perezosa". Y con la "seguridad perezosa" viene la falta de atención a los detalles y la consiguiente pérdida de la seguridad que se pretendía. - Skaperen
Completamente de acuerdo; aunque la forma en que se realizan la mayoría de las auditorías PCI-DSS (auditoría realizada por monkey con lista de verificación) es todos Seguridad perezosa, y lleva esos defectos. - MadHatter
Para aquellos que afirman que NAT es un "teatro de seguridad", me gustaría señalar el artículo de The Networking Nerd sobre la vulnerabilidad de Memcached hace unos meses. networkingnerd.net/2018/03/02/… Él es un ávido defensor de IPv6 y entusiasta de NAT, pero tuvo que señalar que miles de empresas habían dejado sus servidores de memcached completamente abiertos en Internet debido a las reglas de firewall que "no fueron diseñadas cuidadosamente". NAT te obliga a ser explícito sobre lo que permites en tu red. - Kevin Keane


Lamentablemente, pasará un tiempo antes de que pueda salirse con una red de IPv6 de una sola pila. Hasta entonces, la doble pila con preferencia por IPv6 cuando esté disponible es la forma de ejecutar.

Si bien la mayoría de los enrutadores de consumo no son compatibles con IPv6 con firmware de archivo hoy en día, muchos pueden admitirlo con firmware de terceros (por ejemplo, Linksys WRT54G con dd-wrt, etc.). Además, muchos dispositivos de clase empresarial (Cisco, Juniper) admiten IPv6 de forma inmediata.

Es importante no confundir PAT (NAT de muchos a uno, como es común en los enrutadores de los consumidores) con otras formas de NAT y con firewall sin NAT; Una vez que Internet se convierta en solo IPv6, los firewalls seguirán impidiendo la exposición de los servicios internos. Del mismo modo, un sistema IPv4 con NAT uno a uno no se protege automáticamente; Ese es el trabajo de una política de firewall.


11
2017-09-24 23:52





Si NAT sobrevive en el mundo IPv6, lo más probable es que sea NAT 1: 1. Una forma de NAT nunca vista en el espacio IPv4. ¿Qué es 1: 1 NAT? Es una traducción 1: 1 de una dirección global a una dirección local. El equivalente de IPv4 estaría traduciendo todas las conexiones a 1.1.1.2 solo a 10.1.1.2, y así sucesivamente para todo el espacio 1.0.0.0/8. La versión de IPv6 sería traducir una dirección global a una dirección local única.

La seguridad mejorada se puede proporcionar al rotar frecuentemente la asignación para las direcciones que no le interesan (como los usuarios de la oficina interna que navegan en Facebook). Internamente, sus números de ULA se mantendrían igual por lo que su DNS de horizonte dividido continuaría funcionando bien, pero los clientes externos nunca estarían en un puerto predecible.

Pero en realidad, es una pequeña cantidad de seguridad mejorada para la molestia que crea. La exploración de subredes IPv6 es una tarea realmente grande y no es factible sin un poco de reconocimiento sobre cómo se asignan las direcciones IP en esas subredes (¿método de generación de MAC? ¿Método aleatorio? ¿Asignación estática de direcciones legibles?).

En la mayoría de los casos, lo que sucederá es que los clientes detrás del firewall corporativo obtendrán una dirección global, tal vez un ULA, y el firewall perimetral se configurará para negar todas las conexiones entrantes de cualquier tipo a esas direcciones. Para todos los efectos, esas direcciones son inalcanzables desde el exterior. Una vez que el cliente interno inicie una conexión, se permitirán los paquetes a lo largo de esa conexión. La necesidad de cambiar la dirección IP a algo completamente diferente se maneja al obligar a un atacante a revisar 2 ^ 64 direcciones posibles en esa subred.


9
2018-03-24 02:33



@ sysadmin1138: Me gusta esta solución. Como entiendo actualmente IPv6, si mi ISP me da un / 64, se supone que debo usar ese / 64 en toda mi red si quiero que mis máquinas tengan acceso a Internet por IPv6. Pero si me canso de ese ISP y me mudo a otro, ahora tengo que volver a numerar todo por completo. - Kumba
@ sysadmin1138: Dicho esto, sin embargo, me he dado cuenta de que puedo asignar múltiples IP a una sola interfaz mucho más fácil que con IPv4, por lo que puedo ver el uso del ISP-given / 64 para acceso externo y mi propio esquema ULA interno privado para comunicaciones entre los hosts, y use un firewall para hacer que las direcciones ULA sean inalcanzables desde el exterior. Se requiere más trabajo de configuración, pero parece que evitará NAT por completo. - Kumba
@ sysadmin1138: TODAVÍA me explico por qué los ULA son, para todos los efectos, privados, pero se espera que sigan siendo únicos a nivel mundial. Es como decir que puedo tener un auto de cualquier marca y modelo actualmente disponible, pero no cualquier marca / modelo / año ya usado por otra persona, aunque sea mi auto y yo sea el único piloto que tendrá. - Kumba
@Kumba La razón por la que las direcciones RFC 4193 deben ser únicas a nivel mundial es para garantizar que no tenga que volver a numerar en el futuro. Tal vez un día necesite fusionar dos redes que usan direcciones RFC 4193, o una máquina que ya podría tener una dirección RFC 4193 puede necesitar conectarse a una o más VPN, que también tienen direcciones RFC 4193. - kasperd
@Kumba Si todo el mundo utilizara fd00 :: / 64 para el primer segmento de su red, seguramente se encontraría con un conflicto tan pronto como un par de dos de esas redes tuvieran que comunicarse. El punto de RFC 4193 es que siempre que elija sus 40 bits aleatoriamente, puede asignar los 80 bits restantes como desee y permanecer seguro, de que no tendrá que volver a numerarlos. - kasperd


RFC 4864 describe la protección de red local de IPv6, un conjunto de enfoques para proporcionar los beneficios percibidos de NAT en un entorno IPv6, sin tener que recurrir realmente a NAT.

Este documento describe una serie de técnicas que pueden combinarse en un sitio IPv6 para proteger la integridad de su arquitectura de red. Estas técnicas, conocidas colectivamente como Protección de red local, conservan el concepto de un límite bien definido entre "dentro" y "fuera" de la red privada y permiten el cortafuegos, la ocultación de la topología y la privacidad. Sin embargo, debido a que conservan la transparencia de la dirección donde se necesita, logran estos objetivos sin la desventaja de la traducción de la dirección. Por lo tanto, la protección de red local en IPv6 puede proporcionar los beneficios de la traducción de direcciones de red IPv4 sin las desventajas correspondientes.

Primero establece cuáles son los beneficios percibidos de la NAT (y los desactiva cuando es apropiado), luego describe las características de IPv6 que pueden usarse para proporcionar esos mismos beneficios. También proporciona notas de implementación y casos de estudio.

Si bien es demasiado tiempo para reimprimir aquí, los beneficios discutidos son:

  • Una puerta de enlace simple entre "adentro" y "afuera"
  • El firewall con estado
  • Seguimiento de usuario / aplicación
  • Privacidad y ocultación de topología.
  • Control independiente de direccionamiento en una red privada.
  • Multihoming / renumeración

Esto cubre prácticamente todos los escenarios en los que uno podría haber deseado NAT y ofrece soluciones para implementarlos en IPv6 sin NAT.

Algunas de las tecnologías que usarás son:

  • Direcciones locales únicas: prefiera estas en su red interna para mantener sus comunicaciones internas internas y para garantizar que las comunicaciones internas puedan continuar incluso si el ISP tiene una interrupción.
  • Extensiones de privacidad de IPv6 con tiempos de vida cortos y identificadores de interfaz no obviamente estructurados: ayudan a evitar el ataque de hosts individuales y el escaneo de subredes.
  • IGP, Mobile IPv6 o VLAN se pueden usar para ocultar la topología de la red interna.
  • Junto con los ULA, el DHCP-PD del ISP hace que la renumeración / multitarea sea más fácil que con IPv4.

(Ver el RFC para detalles completos; de nuevo, es demasiado largo para reimprimir o incluso extraer extractos significativos de.)

Para una discusión más general sobre la seguridad de transición de IPv6, vea RFC 4942.


9
2018-05-13 18:37





Existe una gran confusión sobre este tema, ya que los administradores de red ven NAT de una manera u otra, y los clientes residenciales y de pequeñas empresas lo ven en otra. Déjame aclarar.

Ofertas NAT estáticas (a veces llamadas NAT uno a uno) absolutamente ninguna protección para su red privada o una PC individual. Cambiar la dirección IP no tiene sentido en lo que respecta a la protección.

El NAT / PAT con sobrecarga dinámica como lo que hacen la mayoría de los gateways residenciales y los puntos de acceso wifi ayuda a proteger su red privada y / o su PC. Por diseño, la tabla NAT en estos dispositivos es una tabla de estado. Realiza un seguimiento de las solicitudes de salida y las asigna en la tabla NAT: las conexiones se agotan después de un cierto tiempo. Los cuadros entrantes no solicitados que no coinciden con lo que hay en la tabla NAT se eliminan de forma predeterminada: el enrutador NAT no sabe dónde enviarlos a la red privada, por lo que los elimina. De esta manera, el único dispositivo que dejará vulnerable a ser hackeado es su enrutador. Dado que la mayoría de las vulnerabilidades de seguridad se basan en Windows, tener un dispositivo como este entre Internet y su PC con Windows realmente ayuda a proteger su red. Puede que no sea la función originalmente prevista, que era ahorrar en IP públicas, pero hace el trabajo. Como beneficio adicional, la mayoría de estos dispositivos también tienen capacidades de firewall que muchas veces bloquean las solicitudes de ICMP de forma predeterminada, lo que también ayuda a proteger la red.

Dada la información anterior, disponer de NAT cuando se mude a IPv6 podría exponer a millones de dispositivos de consumidores y pequeñas empresas a posibles piratas informáticos. Tendrá poco o ningún efecto en las redes corporativas, ya que tienen firewalls administrados profesionalmente en su extremo. Es posible que las redes de consumidores y pequeñas empresas ya no tengan un enrutador NAT basado en * nix entre Internet y sus PC. No hay razón para que una persona no pueda cambiar a una solución de firewall única, mucho más segura si se implementa correctamente, sino también más allá del alcance de lo que el 99% de los consumidores entiende cómo hacerlo. El NAT sobrecargado dinámico brinda un mínimo de protección con solo usarlo: conecte su enrutador residencial y estará protegido. Fácil.

Dicho esto, no hay razón para que NAT no se pueda utilizar de la misma manera que se usa en IPv4. De hecho, un enrutador podría diseñarse para tener una dirección IPv6 en el puerto WAN con una red privada IPv4 detrás de esa NAT (por ejemplo). Esta sería una solución simple para los consumidores y las personas residenciales. Otra opción es colocar todos los dispositivos con IPv6 IP públicos; el dispositivo intermedio podría actuar como un dispositivo L2, pero proporcionar una tabla de estado, inspección de paquetes y un firewall completamente funcional. Esencialmente, no hay NAT, pero sigue bloqueando los marcos de entrada no solicitados. Lo importante a recordar es que no debe conectar su PC directamente a su conexión WAN sin ningún dispositivo intermediario. A menos que, por supuesto, quiera confiar en el firewall de Windows. . . Y esa es una discusión diferente. Todas las redes, incluso las redes domésticas, necesitan un dispositivo de borde que proteja la red local, además de usar el firewall de Windows.

Habrá algunos problemas de crecimiento en IPv6, pero no habrá ningún problema que no pueda resolverse con bastante facilidad. ¿Tendrá que deshacerse de su antiguo enrutador IPv4 o pasarela residencial? Tal vez, pero habrá nuevas soluciones baratas disponibles cuando llegue el momento. Esperemos que muchos dispositivos solo necesiten un flash de firmware. ¿Se podría diseñar IPv6 para que se ajuste más a la arquitectura actual? Claro, pero es lo que es y no desaparece. Por lo tanto, es mejor que lo aprendas, lo vivas, lo ames.


8
2018-06-09 14:38



Por lo que vale, me gustaría reiterar que la arquitectura actual está fundamentalmente dañada (capacidad de enrutamiento de extremo a extremo) y esto crea problemas prácticos en redes complejas (los dispositivos NAT redundantes son demasiado complejos y caros). La eliminación del hack NAT reducirá la complejidad y los posibles puntos de falla, mientras que la seguridad se mantiene mediante simples firewalls con estado (no puedo imaginar por un segundo que un enrutador SOHO venga sin el firewall con estado habilitado de manera predeterminada para que los clientes puedan conectar y jugar sin un pensamiento). - Chris S
A veces, la capacidad de enrutamiento de extremo a extremo interrumpida es exactamente lo que desea. No quiero que mis impresoras y PC puedan enrutarse desde Internet. Mientras que NAT comenzó como un hack, se ha convertido en una herramienta muy útil, que en algunos casos puede mejorar la seguridad al eliminar la posibilidad de que los paquetes se enruten directamente a un nodo. Si tengo una IP RFC1918 asignada estáticamente en una PC, bajo ninguna circunstancia, esa IP será enrutable en Internet. - Computerguy
La enrutabilidad rota es Una cosa mala. Lo que quieres es que tus dispositivos no sean accesibles por Internet (por firewall), eso no es lo mismo. Ver ¿Por qué usarías IPv6 internamente?. Además, RFC1918 establece que esas direcciones deben usarse solo para redes privadas, y el acceso a Internet solo debe ser proporcionado por las puertas de enlace de la capa de aplicación (que no es NAT). Para las conexiones externas, al host se le debe asignar una dirección de una asignación coordinada de la IANA. Los hacks, no importa lo útiles que sean, hacen compromisos innecesarios y no son la forma "correcta". - Chris S


Mas o menos. En realidad, hay diferentes "tipos" de direcciones IPv6. El más cercano a RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) se llama "Dirección local única" y se define en RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Entonces comienza con fd00 :: / 8, luego agrega una cadena de 40 bits (usando un algoritmo predefinido en el RFC) y termina con un prefijo pseudo-aleatorio / 48 que debe ser globalmente único. Usted tiene el resto del espacio de direcciones para asignar lo que desee.

También debe bloquear fd00 :: / 7 (fc00 :: / 8 y fd00 :: / 8) en su enrutador (IPv6) fuera de su organización, de ahí el nombre "local" en la dirección. Estas direcciones, mientras se encuentran en el espacio de direcciones global, no deben ser accesibles al mundo en general, solo dentro de su "organización".

Si sus servidores PCI-DSS necesitan un IPv6 para conectividad con otros hosts IPv6 internos, debe generar un prefijo ULA para su compañía y usarlo para este propósito. Puede usar la configuración automática de IPv6 como cualquier otro prefijo si lo desea.

Dado que IPv6 fue diseñado para que los hosts puedan tener múltiples direcciones, una máquina puede tener, además de un ULA, una dirección enrutable globalmente. Por lo tanto, un servidor web que necesita hablar tanto con el mundo exterior como con las máquinas internas puede tener una dirección de prefijo asignada por el ISP y su prefijo ULA.

Si desea una funcionalidad similar a NAT, también puede ver NAT66, pero en general me gustaría diseñar alrededor de ULA. Si tiene más preguntas, puede consultar la lista de correo "ipv6-ops".


7
2018-03-24 00:05



Jaja Escribí todos esos comentarios en sysadmin1138, y ni siquiera pensé en mirar su respuesta sobre el uso de direcciones duales para comunicaciones globales y locales. Sin embargo, discrepo vehementemente con los preceptos de que ULA necesita ser globalmente único. No me gustan los números aleatorios de 40 bits. en absoluto, especialmente para mi LAN interna, de la cual yo Soy el único usuario. Es probable que necesiten una base de datos mundial de ULA para registrarse (se ejecuta SixXS), pero eliminan el desorden de números aleatorios y permiten que las personas sean creativas. Como matrículas personalizadas. Solicita uno y si se toma, intenta otro. - Kumba
@Kumba intentan detener todas y cada una de las redes con las mismas direcciones: aleatorio significa que no necesita una base de datos pública y que cada red es independiente; Si desea emitir direcciones IP de forma centralizada, ¡solo use las globales! - Richard Gadsden
@Richard: Eso es ... Cómo lo pongo, concepto tonto, IMHO. ¿Por qué debería importar si la pequeña Joe Company en una ciudad de Montana usa el mismo direccionamiento IPv6 que otra pequeña empresa en Perth, Australia? Las probabilidades de que los dos se crucen, aunque no son imposibles, son bastante improbables. Si la intención de los diseñadores de IPv6 era intentar eliminar completamente el concepto de "redes privadas", entonces es necesario que revisen su café, porque eso no es factible de manera realista. - Kumba
@Kumba Creo que son las cicatrices de cuando intentas fusionar dos grandes redes privadas IPv4 en 10/8 y tienes que volver a numerar una (o incluso ambas) de las que intentan evitar. - Richard Gadsden
@Richard: Exactamente, no hay nada más doloroso que usar VPN para conectarse a otra red con la misma subred privada, algunas implementaciones simplemente dejarán de funcionar. - Hubert Kario


Con suerte, NAT se irá para siempre. Es útil solo cuando tiene una escasez de direcciones IP y no tiene funciones de seguridad que no se ofrezcan mejor, más baratas y más fácilmente administradas por un firewall con estado.

Dado que IPv6 = no más escasez, significa que podemos librar al mundo del truco feo que es NAT.


4
2018-03-23 23:44





En mi humilde opinión: no.

Todavía hay algunos lugares donde SNAT / DNAT puede ser útil. Por ejemplo, algunos servidores se movieron a otra red, pero no queremos / no podemos cambiar la IP de la aplicación.


4
2018-03-24 01:23



Debe utilizar nombres DNS en lugar de direcciones IP en las configuraciones de su aplicación. - rmalayter
DNS no resuelve su problema, si necesita crear una ruta de red sin modificar toda su topología de enrutamiento y las reglas de firewall. - sumar