ก่อนอื่นไม่มีอะไรต้องกลัวที่จะจัดสรร IP สาธารณะตราบใดที่อุปกรณ์ความปลอดภัยของคุณได้รับการกำหนดค่าอย่างถูกต้อง
ฉันควรแทนที่ NAT ด้วยอะไรถ้าเราไม่มีเครือข่ายแยกจากกัน
สิ่งเดียวกันเราได้แยกพวกเขาทางร่างกายด้วยตั้งแต่ปี 1980 เราเตอร์และไฟร์วอลล์ ความปลอดภัยที่ยิ่งใหญ่อย่างหนึ่งที่คุณได้รับเมื่อใช้ NAT คือมันบังคับให้คุณเข้าสู่การกำหนดค่าเริ่มต้นที่ถูกปฏิเสธ ในการรับบริการใด ๆคุณต้องเจาะรูอย่างชัดเจน อุปกรณ์ที่ชื่นชอบยิ่งกว่านั้นยังช่วยให้คุณสามารถใช้ ACL ที่อิงกับ IP กับหลุมเหล่านั้นได้เช่นเดียวกับไฟร์วอลล์ อาจเป็นเพราะพวกเขามี 'ไฟร์วอลล์' อยู่ในกล่องจริงๆ
ไฟร์วอลล์ที่กำหนดค่าไว้อย่างถูกต้องจะให้บริการเดียวกับเกตเวย์ NAT เกตเวย์ NAT ถูกใช้บ่อยเพราะง่ายต่อการเข้าสู่การกำหนดค่าที่ปลอดภัยกว่าไฟร์วอลล์ส่วนใหญ่
ผมได้ยินว่า IPv6 และ IPSEC ควรจะทำทั้งหมดนี้การรักษาความปลอดภัยอย่างใด แต่ไม่มีเครือข่ายแยกทางร่างกายที่ทำให้อุปกรณ์เหล่านี้มองไม่เห็นอินเทอร์เน็ตที่ฉันจริงๆไม่สามารถดูวิธีการ
นี่คือความเข้าใจผิด ฉันทำงานให้กับมหาวิทยาลัยที่มีการจัดสรร IPv4 / 16 และการใช้ที่อยู่ IP ส่วนใหญ่ของเรานั้นเป็นการจัดสรรสาธารณะนั้น แน่นอนว่าเวิร์คสเตชั่นและเครื่องพิมพ์ของผู้ใช้ปลายทางทั้งหมดของเรา การบริโภค RFC1918 ของเรานั้น จำกัด อยู่ที่อุปกรณ์เครือข่ายและเซิร์ฟเวอร์บางตัวที่จำเป็นต้องใช้ที่อยู่ดังกล่าว ฉันจะไม่แปลกใจถ้าคุณเพิ่งสั่นเพียงตอนนี้เพราะฉันทำอย่างแน่นอนเมื่อฉันปรากฏตัวขึ้นในวันแรกของฉันและเห็นโพสต์มันบนจอมอนิเตอร์ของฉันด้วยที่อยู่ IP ของฉัน
และยังเราอยู่รอด ทำไม? เนื่องจากเรามีไฟร์วอลล์ภายนอกที่กำหนดค่าไว้สำหรับการปฏิเสธเริ่มต้นด้วยปริมาณงาน ICMP ที่ จำกัด เพียงเพราะ 140.160.123.45 นั้นเป็นเส้นทางในทางทฤษฎีไม่ได้หมายความว่าคุณสามารถไปถึงได้ทุกที่บนอินเทอร์เน็ตสาธารณะ นี่คือสิ่งที่ไฟร์วอลล์ถูกออกแบบมาให้ทำ
เมื่อกำหนดค่าเราเตอร์ที่เหมาะสมและเครือข่ายย่อยต่าง ๆ ในการจัดสรรของเรานั้นไม่สามารถเข้าถึงกันได้อย่างสมบูรณ์ คุณสามารถทำได้ในตารางเราเตอร์หรือไฟร์วอลล์ นี่เป็นเครือข่ายแยกต่างหากและทำให้ผู้ตรวจสอบความปลอดภัยของเราพึงพอใจในอดีต
ไม่มีทางที่ฉันจะใส่ฐานข้อมูลการเรียกเก็บเงินของเรา (ด้วยข้อมูลบัตรเครดิตจำนวนมาก!) บนอินเทอร์เน็ตเพื่อให้ทุกคนเห็น
ฐานข้อมูลการเรียกเก็บเงินของเราอยู่ในที่อยู่ IPv4 สาธารณะและมีอยู่ทั้งหมด แต่เรามีหลักฐานที่แสดงว่าคุณไม่สามารถเดินทางได้จากที่นี่ เพียงเพราะที่อยู่ในรายการเส้นทางที่สาธารณะ v4 ไม่ได้หมายความว่ามันจะรับประกันว่าจะส่งมอบ ไฟร์วอลล์สองตัวระหว่างความชั่วร้ายของอินเทอร์เน็ตและพอร์ตฐานข้อมูลจริงจะกรองความชั่วร้ายออกไป แม้จากโต๊ะทำงานหลังไฟร์วอลล์ตัวแรกฉันไม่สามารถไปยังฐานข้อมูลนั้นได้
ข้อมูลบัตรเครดิตเป็นกรณีพิเศษหนึ่งกรณี นั่นเป็นเรื่องมาตรฐาน PCI-DSS และมาตรฐานที่ระบุโดยตรงว่าเซิร์ฟเวอร์ที่มีข้อมูลดังกล่าวจะต้องมีที่อยู่เบื้องหลังประตู NAT 1 เราคือและเซิร์ฟเวอร์ทั้งสามนี้แสดงการใช้งานเซิร์ฟเวอร์ทั้งหมดของที่อยู่ RFC1918 มันไม่ได้เพิ่มความปลอดภัยใด ๆ เพียงแค่เลเยอร์ของความซับซ้อน แต่เราต้องตรวจสอบช่องทำเครื่องหมายนั้นเพื่อทำการตรวจสอบ
แนวคิด "IPv6 ดั้งเดิมทำให้ NAT เป็นสิ่งที่ผ่านมา" ถูกนำเสนอก่อนที่กระแสอินเทอร์เน็ตจะเข้าสู่กระแสหลักอย่างเต็มที่ ในปี 1995 NAT เป็นวิธีแก้ปัญหาสำหรับการจัดสรรไอพีเล็ก ๆ ในปี 2548 ได้รับการรับรองในเอกสาร Security Best Practices จำนวนมากและอย่างน้อยหนึ่งมาตรฐานที่สำคัญ (PCI-DSS ที่เฉพาะเจาะจง) ประโยชน์ที่เป็นรูปธรรมเพียงอย่างเดียวที่ NAT มอบให้ก็คือเอนทิตีภายนอกที่ดำเนินการรีคอนเฟิร์มบนเครือข่ายไม่ทราบว่าภูมิทัศน์ของ IP ดูเหมือนอยู่หลังอุปกรณ์ NAT (แต่ต้องขอบคุณ RFC1918 ที่พวกเขาคาดเดาได้ดี) และใน NAT4 ฟรี เช่นเดียวกับงานของฉัน) นั่นไม่ใช่กรณี มันเป็นก้าวเล็ก ๆ ในการป้องกันในเชิงลึกไม่ใช่เรื่องใหญ่
การแทนที่ที่อยู่ RFC1918 คือสิ่งที่เรียกว่าที่อยู่เฉพาะของท้องถิ่น เช่น RFC1918 พวกเขาไม่ได้กำหนดเส้นทางนอกจากเพื่อน ๆ จะเห็นด้วยที่จะให้พวกเขากำหนดเส้นทางโดยเฉพาะ ต่างจาก RFC1918 ซึ่งแตกต่างจากทั่วโลก ผู้แปลที่อยู่ IPv6 ที่แปล ULA ไปเป็น Global IP นั้นมีอยู่ในอุปกรณ์ที่อยู่ในขอบเขตที่สูงกว่า แต่ยังไม่ได้อยู่ในอุปกรณ์ SOHO
คุณสามารถอยู่รอดได้ดีด้วยที่อยู่ IP สาธารณะ เพียงจำไว้ว่า 'สาธารณะ' ไม่รับประกันว่า 'เข้าถึงได้' และคุณจะสบายดี
อัปเดต 2017
ในช่วงไม่กี่เดือนที่ผ่านมา Amazon awsได้เพิ่มการสนับสนุน IPv6 มันเพิ่งถูกเพิ่มเข้าไปในข้อเสนอamazon-vpcของพวกเขาและการใช้งานของพวกเขาให้เบาะแสบางอย่างเกี่ยวกับวิธีการปรับใช้ขนาดใหญ่ที่คาดว่าจะทำ
- คุณได้รับการจัดสรร / 56 (256 subnets)
- การจัดสรรเป็น subnet ที่กำหนดเส้นทางได้อย่างสมบูรณ์
- คุณคาดว่าจะตั้งกฎไฟร์วอลล์ ( กลุ่มความปลอดภัย ) ของคุณอย่างเหมาะสม
- ไม่มี NAT ไม่ได้เสนอให้ดังนั้นทราฟฟิกขาออกทั้งหมดจะมาจากที่อยู่ IP จริงของอินสแตนซ์
หากต้องการเพิ่มหนึ่งในผลประโยชน์การรักษาความปลอดภัยของ NAT กลับมาอยู่ในพวกเขากำลังนำเสนอEgress เท่านั้นอินเทอร์เน็ตเกตเวย์ สิ่งนี้ให้ประโยชน์เหมือน NAT หนึ่งอย่าง:
- ซับเน็ตด้านหลังไม่สามารถเข้าถึงได้โดยตรงจากอินเทอร์เน็ต
ซึ่งมีชั้นของการป้องกันเชิงลึกในกรณีที่กฎไฟร์วอลล์ที่กำหนดค่าผิดพลาดโดยไม่ได้ตั้งใจอนุญาตให้ทราฟฟิกขาเข้า
ข้อเสนอนี้ไม่ได้แปลที่อยู่ภายในเป็นที่อยู่เดียวกับที่ NAT ทำ ทราฟฟิกขาออกจะยังคงมี IP ต้นทางของอินสแตนซ์ที่เปิดการเชื่อมต่อ ผู้ให้บริการไฟร์วอลล์ที่มองหารายการที่อนุญาตพิเศษใน VPC จะดีกว่า netblock ในรายการที่อนุญาตมากกว่าที่อยู่ IP เฉพาะ
Routeableไม่ได้หมายถึงการเข้าถึงได้เสมอ
1 : มาตรฐาน PCI-DSS เปลี่ยนไปในเดือนตุลาคม 2010 คำแถลงที่อยู่ RFC1918 ได้ถูกลบออกและ 'การแยกเครือข่าย' แทนที่