118 votos

El cambio a IPv6 implica caer NAT. Es una buena cosa?

Este es un Canónica Pregunta acerca de IPv6 y NAT

Relacionado con:

Así que nuestro ISP ha establecido IPv6 recientemente, y he estado estudiando lo que la transición debe tener antes de saltar a la palestra.

Me he dado cuenta tres aspectos muy importantes:

  1. Nuestra oficina NAT del router (un viejo Linksys BEFSR41) no es compatible con IPv6. Ni tampoco el más reciente router, AFAICT. El libro que estoy leyendo acerca de IPv6, me dice que hace NAT "innecesaria" de todos modos.

  2. Si se supone que acaba de deshacerse de este router y todo conectado directamente a Internet, me empiezan a entrar en pánico. No hay manera en el infierno me voy a poner a nuestra base de datos facturación (Con un montón de información de tarjeta de crédito!) en el internet para que todos la vean. Incluso si yo fuera a proponer la configuración de firewall de Windows para permitir que sólo el 6 direcciones para tener acceso a ella en todo, yo aún romper un sudor frío. No confío en Windows, el firewall de Windows, o en la red en lo suficientemente grande como para incluso a distancia cómoda con eso.

  3. Hay un par de viejos dispositivos de hardware (es decir, impresoras) que no tienen absolutamente ninguna IPv6 capacidad. Y es probable que una larga lista de problemas de seguridad que datan de alrededor de 1998. Y probablemente ninguna manera a la realidad revisión de los mismos en cualquier forma. Y no hay fondos para las nuevas impresoras.

Oigo que IPv6 e IPSEC se supone que para hacer todo esto seguro que de alguna manera, pero sin estar físicamente separadas de las redes que hacen que estos dispositivos invisibles para el Internet, yo realmente no puede ver cómo. Yo igualmente pueden realmente ver cómo cualquiera de los defensas puedo crear será destruida en el corto plazo. He estado corriendo servidores en Internet desde hace años y estoy bastante familiarizado con el tipo de cosas necesarias para garantizar la seguridad de esas, pero poniendo algo Privado en la red como en nuestra base de datos facturación siempre ha estado completamente fuera de la cuestión.

¿Qué debería ser la sustitución de NAT con el, si no lo tenemos físicamente separado de las redes?

198voto

sysadmin1138 Puntos 86362

Primero y ante todo, no hay nada que temer desde una IP pública de asignación, siempre y cuando su seguridad se configuran los dispositivos de la derecha.

¿Qué debería ser la sustitución de NAT con el, si no lo tenemos físicamente separado de las redes?

Lo mismo hemos estado físicamente separar desde la década de 1980, routers y firewalls. La gran seguridad de la ganancia que se obtiene con NAT es que te obliga a un defecto denegar la configuración. Con el fin de obtener cualquier servicio a través de ella, usted tiene que explícitamente perforar los agujeros. Los más llamativos son los dispositivos que permiten aplicar basada en IP Acl para los agujeros, como un firewall. Probablemente porque tienen 'Firewall' en el cuadro, en realidad.

Correctamente configurado el cortafuegos proporciona exactamente el mismo servicio como una puerta de enlace NAT. NAT puertas de enlace se utilizan con frecuencia debido a que son más fáciles de conseguir en un seguro de configuración de la mayoría de los firewalls.

Oigo que IPv6 e IPSEC se supone que para hacer todo esto seguro que de alguna manera, pero sin estar físicamente separadas de las redes que hacen que estos dispositivos invisibles para el Internet, yo realmente no puede ver cómo.

Este es un concepto erróneo. Yo trabajo para una Universidad que tiene una /16 de asignación de direcciones IPv4, y la gran, gran mayoría de nuestra dirección IP del consumo está en que el público de asignación. Sin duda que todos los de nuestro usuario final estaciones de trabajo e impresoras. Nuestro RFC1918 consumo está limitado a los dispositivos de red y determinados servidores donde estas direcciones son necesarios. No me sorprendería si sólo se estremeció sólo de ahora, porque yo lo hice cuando me presenté en mi primer día y vi el post-it en mi monitor con mi dirección IP.

Y, sin embargo, hemos de sobrevivir. Por qué? Porque contamos con un exterior de firewall configurado por defecto-niega con limitada ICMP rendimiento. Sólo porque 140.160.123.45 es teóricamente routeable, no significa que usted puede conseguir allí de donde quiera que esté en el internet público. Esto es lo que los firewalls fueron diseñados para hacer.

Dada la derecha router configs, y diferentes subredes en nuestra asignación puede ser completamente inalcanzable de cada uno de los otros. Usted puede hacer esto en el router tablas o firewalls. Esta es una red independiente y ha satisfecho a nuestros auditores de seguridad en el pasado.

No hay manera en el infierno me voy a poner a nuestra base de datos facturación (Con un montón de información de tarjeta de crédito!) en el internet para que todos la vean.

Nuestra base de datos facturación es en una dirección IPv4 pública, y ha sido durante toda su existencia, pero tenemos la prueba de que usted no puede llegar allí desde aquí. Simplemente porque su dirección está en el público v4 routeable lista, no significa que está garantizado para ser entregado. Los dos servidores de seguridad entre los males de la Internet y la base de datos real de los puertos de filtrar el mal. Incluso desde mi escritorio, detrás de la primera firewall, no puedo llegar a esa base de datos.

Información de tarjeta de crédito es un caso especial. Eso está sujeto a las normas PCI-DSS, y las normas del estado, directamente, que los servidores que contienen dichos datos tienen que estar detrás de una puerta de enlace NAT1. Los nuestros son, y estos tres servidores de representar a nuestra total de uso del servidor de direcciones RFC1918. No se le añade ningún tipo de seguridad, sólo una capa de complejidad, pero tenemos que conseguir que la casilla de verificación marcada para las auditorías.


El original "IPv6 hace NAT en una cosa del pasado" se presenta la idea antes de que el boom de Internet ha afectado realmente a plena corriente. En 1995 NAT era una solución para llegar alrededor de un pequeño IP de asignación. En 2005 fue consagrado en muchas de Seguridad de un documento de buenas Prácticas, y al menos uno de los principales standard (PCI-DSS para ser específicos). El único beneficio concreto NAT da es que una entidad externa la realización de los reconocimientos en la red no sabe lo que el panorama de la propiedad intelectual se ve como detrás del dispositivo NAT (aunque gracias a RFC1918 tienen una buena suposición), y en NAT libre de IPv4 (como a mi) que no es el caso. Es un pequeño paso en la defensa en profundidad, no es un gran uno.

La sustitución de las direcciones RFC1918 son lo que se denominan Direcciones Locales Únicas. Como RFC1918, no la ruta, a menos que sus compañeros específicamente de acuerdo en dejar que ellos ruta. A diferencia de RFC1918, son (probablemente) a nivel mundial único. La dirección IPv6 de traductores que traducen un ULA a una IP Global existen en la gama más alta del perímetro de engranajes, definitivamente no está en el SOHO de engranajes todavía.

Usted puede sobrevivir bien con una dirección IP pública. Sólo ten en mente que "pública" no garantiza 'accesible', y que va a estar bien.


1: Las normas PCI-DSS cambió en octubre de 2010, la declaración de la obligatoriedad de direcciones RFC1918 fue removido, y "el aislamiento de la red' reemplazado.

60voto

Zoredache Puntos 84524

Nuestra oficina NAT del router (un viejo Linksys BEFSR41) no es compatible con IPv6. Ni ¿alguno de los nuevos router

IPv6 es apoyado por muchos routers. No sólo que muchos de los baratos destinados a los consumidores y SOHO. Peor de los casos, sólo tiene que utilizar un cuadro de Linux o re-flash de su router con dd-wrt o de algo para conseguir la compatibilidad con IPv6. Hay muchas opciones, usted probablemente sólo tiene que mirar más difícil.

Si se supone que acaba de deshacerse de este router y conectarlo todo directamente a la Internet,

Nada acerca de una transición a IPv6 sugiere que usted debe deshacerse de dispositivos de seguridad perimetral, como su router/firewall. Los Routers y firewalls seguirá siendo un componente necesario de casi todos los de la red.

Todos los routers NAT actuar efectivamente como un cortafuegos de estado. No hay nada mágico sobre el uso de direcciones RFC1918 que los proteja a todos mucho. Es el estado de bits que hace el trabajo duro. Un cortafuegos bien configurado va a proteger igual si son reales o direcciones privadas.

La única protección que recibe de direcciones RFC1918 es que permite a la gente a salirse con errores/pereza en el servidor de seguridad de configuración y todavía no vulnerables.

Hay un par de viejos dispositivos de hardware (es decir, impresoras) que no tienen absolutamente ninguna IPv6 capacidad.

Así? Es muy poco probable que usted tendrá que hacer que los disponibles a través de Internet y en la red interna, puede continuar la ejecución IPv4, IPv6 y hasta que todos los dispositivos son compatibles o reemplazado.

Si la ejecución de múltiples protocolos no es una opción que puede tener para la instalación de algún tipo de puerta de enlace o proxy.

IPSEC se supone que para hacer todo esto seguro que de alguna manera

IPSEC cifrado y autenticación de los paquetes. No tiene nada que ver con deshacerse de su frontera dispositivo, y tiene más de proteger los datos en tránsito.

35voto

Shlomi Fish Puntos 1951

Sí. NAT está muerto. Se han hecho algunos intentos para ratificar las normas de NAT a través de IPv6, pero ninguno de ellos nunca llegaron a despegar.

En realidad esto ha causado problemas para los proveedores que están tratando de cumplir con normas PCI-DSS, como el estándar indica que debe estar detrás de un NAT.

Para mí, esta es de las mejores noticias que he escuchado. Odio a NAT, y no me gusta carrier-grade NAT aún más.

NAT era sólo pretende ser una curita solución para llegar hasta nosotros a través de IPv6 se convirtió en estándar, pero se convirtió rooteado en la sociedad de internet.

Para el período de transición, usted tiene que recordar que IPv4 e IPv6 son, aparte de un nombre similar, son totalmente diferentes 1. De manera que los dispositivos que son de Doble Pila, su IPv4 será NATted y su IPv6 no. Es casi como tener dos totalmente independiente de los dispositivos, sólo se envasa en la una sola pieza de plástico.

Entonces, ¿cómo IPv6 acceso a internet de trabajo? Bien, la manera en que el internet se utiliza para trabajar antes de NAT fue inventado. Su ISP le asigna un rango de direcciones IP (igual que ahora, pero por lo general asignará un /32, lo que significa que sólo tiene una dirección IP), pero su rango de ahora tienen millones de direcciones IP disponibles. Usted es libre para llenar estas direcciones IP que usted eligió (con configuración automática o DHCPv6). Cada una de estas direcciones IP será visible desde cualquier otro ordenador en internet.

Sonidos de miedo, ¿verdad? El controlador de dominio, los medios de comunicación en el PC y el iPhone con el alijo oculto de la pornografía van a ser accesible desde la internet?! Bien, no. Eso es lo que es un firewall. Otra gran característica de IPv6 es que las fuerzas de firewalls de un "Permitir Todo" (como la mayoría de los dispositivos del hogar) en un "Negar Todo", donde abra servicios para determinadas direcciones IP. el 99,999% de los usuarios estará feliz de mantener sus cortafuegos predeterminado y totalmente bloqueado, lo que significa que no hay un-solicitó la trafffic será permitido.

1Aceptar que hay más que eso, pero no son en absoluto compatibles el uno con el otro, incluso a pesar de que tanto el permiso de los mismos protocolos que se ejecuta en la parte superior

18voto

Owen DeLong Puntos 141

La PCI-DSS requisito para NAT es bien conocido por ser teatro de seguridad y no seguridad real.

El más reciente PCI-DSS ha dejado de llamar a NAT es un requisito absoluto. Muchas organizaciones han pasado de PCI-DSS auditorías con IPv4 sin NAT mostrando el estado de los firewalls como "equivalente implementaciones de seguridad".

Hay otro teatro de seguridad de los documentos por ahí llamando a NAT, pero, debido a que destruye las pistas de auditoría y hace que la investigación de incidentes/mitigación más difícil, un estudio más profundo de NAT (con o sin PAT) para ser una red de seguridad negativa.

Un buen cortafuegos de estado sin NAT es muy superior a la de NAT en un mundo de IPv6. En IPv4, NAT es un mal necesario para ser tolerado por el bien de la dirección de conservación.

12voto

techieb0y Puntos 3046

(Por desgracia) un tiempo antes de que usted puede conseguir lejos con una sola pila de IPv6 de la red. Hasta entonces, dual-stack con preferencia para IPv6 si está disponible es la forma en que se ejecute.

Mientras que la mayoría de los consumidores de los routers no soportan IPv6 con el firmware de stock hoy en día, muchos compatible con la 3ª parte de firmwares (por ejemplo, Linksys WRT54G con dd-wrt, etc.). También, muchos de los negocios de la clase de dispositivos de Cisco (Cisco, Juniper) el soporte de IPv6 out-of-the-box.

Es importante no confundir PAT (many-to-one NAT, como es común en los consumidores routers) con otras formas de NAT, y con NAT-libre de cortafuegos; una vez que el internet se convierte en IPv6, firewalls todavía prevenir la exposición de los servicios internos. Del mismo modo, un sistema IPv4 con one-to-one NAT no está automáticamente protegida; ese es el trabajo de una directiva de firewall.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: