การเปลี่ยนเป็น IPv6 หมายถึงการลด NAT นั่นเป็นสิ่งที่ดีหรือไม่?

นี่เป็นคำถามที่ยอมรับได้เกี่ยวกับ IPv6 และ NAT

ที่เกี่ยวข้อง:

• เครือข่ายย่อย IPv6 ทำงานอย่างไรและแตกต่างจากเครือข่ายย่อย IPv4 อย่างไร
• ฉันจะ 'นิ้วเท้าของฉัน' ไปยังที่อยู่เครือข่าย IPv6 แบบไดนามิกได้อย่างไร
• IPv6 ที่ไม่มี nat แต่จะเปลี่ยนเป็น isp เกี่ยวกับอะไร

ดังนั้น ISP ของเราจึงได้ตั้งค่า IPv6 เมื่อเร็ว ๆ นี้และฉันกำลังศึกษาว่าการเปลี่ยนแปลงควรนำไปสู่อะไรก่อนที่จะกระโดดเข้าสู่การต่อสู้

ฉันสังเกตเห็นสามประเด็นที่สำคัญมาก:

1. เราเตอร์ NAT สำนักงานของเรา (Linksys BEFSR41 เก่า) ไม่รองรับ IPv6 AFAICT ที่ใหม่กว่า หนังสือที่ฉันอ่านเกี่ยวกับ IPv6 บอกฉันว่ามันทำให้ NAT "ไม่จำเป็น" อยู่ดี

2. หากเราควรกำจัดเราเตอร์นี้และเสียบทุกอย่างเข้ากับอินเทอร์เน็ตโดยตรงฉันเริ่มตื่นตระหนก ไม่มีทางที่ฉันจะใส่ฐานข้อมูลการเรียกเก็บเงินของเรา (ด้วยข้อมูลบัตรเครดิตจำนวนมาก!) บนอินเทอร์เน็ตเพื่อให้ทุกคนเห็น แม้ว่าฉันจะเสนอให้ตั้งค่าไฟร์วอลล์ของ Windows ให้อนุญาตเพียง 6 ที่อยู่ให้สามารถเข้าถึงมันได้ แต่ฉันก็ยังรู้สึกแย่ ฉันไม่เชื่อถือ Windows, ไฟร์วอลล์ของ Windows หรือเครือข่ายที่มีขนาดใหญ่พอที่จะใช้งานได้จากระยะไกล

3. มีอุปกรณ์ฮาร์ดแวร์เก่าบางตัว (เช่นเครื่องพิมพ์) ที่ไม่มีความสามารถ IPv6 เลย และน่าจะเป็นรายการซักถามปัญหาด้านความปลอดภัยที่ย้อนกลับไปเมื่อประมาณปี 2541 และไม่มีทางที่จะแก้ไขได้จริง และไม่มีเงินทุนสำหรับเครื่องพิมพ์ใหม่

ผมได้ยินว่า IPv6 และ IPSEC ควรจะทำทั้งหมดนี้การรักษาความปลอดภัยอย่างใด แต่ไม่มีเครือข่ายแยกทางร่างกายที่ทำให้อุปกรณ์เหล่านี้มองไม่เห็นอินเทอร์เน็ตที่ฉันจริงๆไม่สามารถดูวิธีการ ฉันสามารถเช่นเดียวกันจริงๆดูวิธีการป้องกันใด ๆ ที่ฉันสร้างจะถูกบุกรุกในระยะสั้นเพื่อ ฉันใช้เซิร์ฟเวอร์บนอินเทอร์เน็ตมาหลายปีแล้วและฉันค่อนข้างคุ้นเคยกับสิ่งต่าง ๆ ที่จำเป็นในการรักษาความปลอดภัย แต่การวางบางสิ่งบางอย่างไว้บนเครือข่ายเช่นฐานข้อมูลการเรียกเก็บเงินของเรานั้นเป็นคำถามที่สมบูรณ์

ฉันควรแทนที่ NAT ด้วยอะไรถ้าเราไม่มีเครือข่ายแยกจากกัน

ก่อนอื่นไม่มีอะไรต้องกลัวที่จะจัดสรร IP สาธารณะตราบใดที่อุปกรณ์ความปลอดภัยของคุณได้รับการกำหนดค่าอย่างถูกต้อง

ฉันควรแทนที่ NAT ด้วยอะไรถ้าเราไม่มีเครือข่ายแยกจากกัน

สิ่งเดียวกันเราได้แยกพวกเขาทางร่างกายด้วยตั้งแต่ปี 1980 เราเตอร์และไฟร์วอลล์ ความปลอดภัยที่ยิ่งใหญ่อย่างหนึ่งที่คุณได้รับเมื่อใช้ NAT คือมันบังคับให้คุณเข้าสู่การกำหนดค่าเริ่มต้นที่ถูกปฏิเสธ ในการรับบริการใด ๆคุณต้องเจาะรูอย่างชัดเจน อุปกรณ์ที่ชื่นชอบยิ่งกว่านั้นยังช่วยให้คุณสามารถใช้ ACL ที่อิงกับ IP กับหลุมเหล่านั้นได้เช่นเดียวกับไฟร์วอลล์ อาจเป็นเพราะพวกเขามี 'ไฟร์วอลล์' อยู่ในกล่องจริงๆ

ไฟร์วอลล์ที่กำหนดค่าไว้อย่างถูกต้องจะให้บริการเดียวกับเกตเวย์ NAT เกตเวย์ NAT ถูกใช้บ่อยเพราะง่ายต่อการเข้าสู่การกำหนดค่าที่ปลอดภัยกว่าไฟร์วอลล์ส่วนใหญ่

ผมได้ยินว่า IPv6 และ IPSEC ควรจะทำทั้งหมดนี้การรักษาความปลอดภัยอย่างใด แต่ไม่มีเครือข่ายแยกทางร่างกายที่ทำให้อุปกรณ์เหล่านี้มองไม่เห็นอินเทอร์เน็ตที่ฉันจริงๆไม่สามารถดูวิธีการ

นี่คือความเข้าใจผิด ฉันทำงานให้กับมหาวิทยาลัยที่มีการจัดสรร IPv4 / 16 และการใช้ที่อยู่ IP ส่วนใหญ่ของเรานั้นเป็นการจัดสรรสาธารณะนั้น แน่นอนว่าเวิร์คสเตชั่นและเครื่องพิมพ์ของผู้ใช้ปลายทางทั้งหมดของเรา การบริโภค RFC1918 ของเรานั้น จำกัด อยู่ที่อุปกรณ์เครือข่ายและเซิร์ฟเวอร์บางตัวที่จำเป็นต้องใช้ที่อยู่ดังกล่าว ฉันจะไม่แปลกใจถ้าคุณเพิ่งสั่นเพียงตอนนี้เพราะฉันทำอย่างแน่นอนเมื่อฉันปรากฏตัวขึ้นในวันแรกของฉันและเห็นโพสต์มันบนจอมอนิเตอร์ของฉันด้วยที่อยู่ IP ของฉัน

และยังเราอยู่รอด ทำไม? เนื่องจากเรามีไฟร์วอลล์ภายนอกที่กำหนดค่าไว้สำหรับการปฏิเสธเริ่มต้นด้วยปริมาณงาน ICMP ที่ จำกัด เพียงเพราะ 140.160.123.45 นั้นเป็นเส้นทางในทางทฤษฎีไม่ได้หมายความว่าคุณสามารถไปถึงได้ทุกที่บนอินเทอร์เน็ตสาธารณะ นี่คือสิ่งที่ไฟร์วอลล์ถูกออกแบบมาให้ทำ

เมื่อกำหนดค่าเราเตอร์ที่เหมาะสมและเครือข่ายย่อยต่าง ๆ ในการจัดสรรของเรานั้นไม่สามารถเข้าถึงกันได้อย่างสมบูรณ์ คุณสามารถทำได้ในตารางเราเตอร์หรือไฟร์วอลล์ นี่เป็นเครือข่ายแยกต่างหากและทำให้ผู้ตรวจสอบความปลอดภัยของเราพึงพอใจในอดีต

ไม่มีทางที่ฉันจะใส่ฐานข้อมูลการเรียกเก็บเงินของเรา (ด้วยข้อมูลบัตรเครดิตจำนวนมาก!) บนอินเทอร์เน็ตเพื่อให้ทุกคนเห็น

ฐานข้อมูลการเรียกเก็บเงินของเราอยู่ในที่อยู่ IPv4 สาธารณะและมีอยู่ทั้งหมด แต่เรามีหลักฐานที่แสดงว่าคุณไม่สามารถเดินทางได้จากที่นี่ เพียงเพราะที่อยู่ในรายการเส้นทางที่สาธารณะ v4 ไม่ได้หมายความว่ามันจะรับประกันว่าจะส่งมอบ ไฟร์วอลล์สองตัวระหว่างความชั่วร้ายของอินเทอร์เน็ตและพอร์ตฐานข้อมูลจริงจะกรองความชั่วร้ายออกไป แม้จากโต๊ะทำงานหลังไฟร์วอลล์ตัวแรกฉันไม่สามารถไปยังฐานข้อมูลนั้นได้

ข้อมูลบัตรเครดิตเป็นกรณีพิเศษหนึ่งกรณี นั่นเป็นเรื่องมาตรฐาน PCI-DSS และมาตรฐานที่ระบุโดยตรงว่าเซิร์ฟเวอร์ที่มีข้อมูลดังกล่าวจะต้องมีที่อยู่เบื้องหลังประตู NAT 1 เราคือและเซิร์ฟเวอร์ทั้งสามนี้แสดงการใช้งานเซิร์ฟเวอร์ทั้งหมดของที่อยู่ RFC1918 มันไม่ได้เพิ่มความปลอดภัยใด ๆ เพียงแค่เลเยอร์ของความซับซ้อน แต่เราต้องตรวจสอบช่องทำเครื่องหมายนั้นเพื่อทำการตรวจสอบ

แนวคิด "IPv6 ดั้งเดิมทำให้ NAT เป็นสิ่งที่ผ่านมา" ถูกนำเสนอก่อนที่กระแสอินเทอร์เน็ตจะเข้าสู่กระแสหลักอย่างเต็มที่ ในปี 1995 NAT เป็นวิธีแก้ปัญหาสำหรับการจัดสรรไอพีเล็ก ๆ ในปี 2548 ได้รับการรับรองในเอกสาร Security Best Practices จำนวนมากและอย่างน้อยหนึ่งมาตรฐานที่สำคัญ (PCI-DSS ที่เฉพาะเจาะจง) ประโยชน์ที่เป็นรูปธรรมเพียงอย่างเดียวที่ NAT มอบให้ก็คือเอนทิตีภายนอกที่ดำเนินการรีคอนเฟิร์มบนเครือข่ายไม่ทราบว่าภูมิทัศน์ของ IP ดูเหมือนอยู่หลังอุปกรณ์ NAT (แต่ต้องขอบคุณ RFC1918 ที่พวกเขาคาดเดาได้ดี) และใน NAT4 ฟรี เช่นเดียวกับงานของฉัน) นั่นไม่ใช่กรณี มันเป็นก้าวเล็ก ๆ ในการป้องกันในเชิงลึกไม่ใช่เรื่องใหญ่

การแทนที่ที่อยู่ RFC1918 คือสิ่งที่เรียกว่าที่อยู่เฉพาะของท้องถิ่น เช่น RFC1918 พวกเขาไม่ได้กำหนดเส้นทางนอกจากเพื่อน ๆ จะเห็นด้วยที่จะให้พวกเขากำหนดเส้นทางโดยเฉพาะ ต่างจาก RFC1918 ซึ่งแตกต่างจากทั่วโลก ผู้แปลที่อยู่ IPv6 ที่แปล ULA ไปเป็น Global IP นั้นมีอยู่ในอุปกรณ์ที่อยู่ในขอบเขตที่สูงกว่า แต่ยังไม่ได้อยู่ในอุปกรณ์ SOHO

คุณสามารถอยู่รอดได้ดีด้วยที่อยู่ IP สาธารณะ เพียงจำไว้ว่า 'สาธารณะ' ไม่รับประกันว่า 'เข้าถึงได้' และคุณจะสบายดี

อัปเดต 2017

ในช่วงไม่กี่เดือนที่ผ่านมา Amazon awsได้เพิ่มการสนับสนุน IPv6 มันเพิ่งถูกเพิ่มเข้าไปในข้อเสนอamazon-vpcของพวกเขาและการใช้งานของพวกเขาให้เบาะแสบางอย่างเกี่ยวกับวิธีการปรับใช้ขนาดใหญ่ที่คาดว่าจะทำ

• คุณได้รับการจัดสรร / 56 (256 subnets)
• การจัดสรรเป็น subnet ที่กำหนดเส้นทางได้อย่างสมบูรณ์
• คุณคาดว่าจะตั้งกฎไฟร์วอลล์ ( กลุ่มความปลอดภัย ) ของคุณอย่างเหมาะสม
• ไม่มี NAT ไม่ได้เสนอให้ดังนั้นทราฟฟิกขาออกทั้งหมดจะมาจากที่อยู่ IP จริงของอินสแตนซ์

หากต้องการเพิ่มหนึ่งในผลประโยชน์การรักษาความปลอดภัยของ NAT กลับมาอยู่ในพวกเขากำลังนำเสนอEgress เท่านั้นอินเทอร์เน็ตเกตเวย์ สิ่งนี้ให้ประโยชน์เหมือน NAT หนึ่งอย่าง:

• ซับเน็ตด้านหลังไม่สามารถเข้าถึงได้โดยตรงจากอินเทอร์เน็ต

ซึ่งมีชั้นของการป้องกันเชิงลึกในกรณีที่กฎไฟร์วอลล์ที่กำหนดค่าผิดพลาดโดยไม่ได้ตั้งใจอนุญาตให้ทราฟฟิกขาเข้า

ข้อเสนอนี้ไม่ได้แปลที่อยู่ภายในเป็นที่อยู่เดียวกับที่ NAT ทำ ทราฟฟิกขาออกจะยังคงมี IP ต้นทางของอินสแตนซ์ที่เปิดการเชื่อมต่อ ผู้ให้บริการไฟร์วอลล์ที่มองหารายการที่อนุญาตพิเศษใน VPC จะดีกว่า netblock ในรายการที่อนุญาตมากกว่าที่อยู่ IP เฉพาะ

Routeableไม่ได้หมายถึงการเข้าถึงได้เสมอ

¹ : มาตรฐาน PCI-DSS เปลี่ยนไปในเดือนตุลาคม 2010 คำแถลงที่อยู่ RFC1918 ได้ถูกลบออกและ 'การแยกเครือข่าย' แทนที่

เราเตอร์ NAT สำนักงานของเรา (Linksys BEFSR41 เก่า) ไม่รองรับ IPv6 หรือเราเตอร์ที่ใหม่กว่า

IPv6 รองรับเราเตอร์หลายตัว ไม่ใช่แค่ของที่ถูก ๆ ที่มุ่งเป้าไปที่ผู้บริโภคและโซโห กรณีที่เลวร้ายที่สุดเพียงใช้กล่อง Linux หรือ re-flash เราเตอร์ของคุณด้วย dd-wrt หรือบางสิ่งบางอย่างเพื่อรับการสนับสนุน IPv6 มีหลายทางเลือกคุณอาจต้องดูยากกว่านี้

หากเราควรกำจัดเราเตอร์นี้และเสียบทุกอย่างเข้ากับอินเทอร์เน็ตโดยตรง

ไม่มีอะไรเกี่ยวกับการเปลี่ยนเป็น IPv6 แนะนำว่าคุณควรกำจัดอุปกรณ์รักษาความปลอดภัยในขอบเขตเช่นเราเตอร์ / ไฟร์วอลล์ของคุณ เราเตอร์และไฟร์วอลล์จะยังคงเป็นองค์ประกอบที่จำเป็นของทุกเครือข่าย

เราเตอร์ NAT ทั้งหมดทำหน้าที่เป็นไฟร์วอลล์ที่มีประสิทธิภาพ ไม่มีอะไรน่าอัศจรรย์เกี่ยวกับการใช้ที่อยู่ RFC1918 ที่ปกป้องคุณทั้งหมด เป็นบิต stateful ที่ทำงานหนัก ไฟร์วอลล์ที่ตั้งค่าไว้อย่างเหมาะสมจะช่วยปกป้องคุณเช่นกันหากคุณใช้ที่อยู่จริงหรือที่อยู่ส่วนตัว

การป้องกันเพียงอย่างเดียวที่คุณได้รับจากที่อยู่ RFC1918 คือช่วยให้ผู้ใช้สามารถหลีกเลี่ยงข้อผิดพลาด / ความเกียจคร้านในการกำหนดค่าไฟร์วอลล์ของคุณและยังไม่ได้รับความเสี่ยงทั้งหมด

มีอุปกรณ์ฮาร์ดแวร์เก่าบางตัว (เช่นเครื่องพิมพ์) ที่ไม่มีความสามารถ IPv6 เลย

ดังนั้น? มีโอกาสน้อยมากที่คุณจะต้องทำให้พร้อมใช้งานผ่านอินเทอร์เน็ตและบนเครือข่ายภายในของคุณคุณสามารถเรียกใช้ IPv4 และ IPv6 ต่อไปจนกว่าอุปกรณ์ทั้งหมดของคุณจะได้รับการสนับสนุนหรือเปลี่ยน

หากใช้หลายโปรโตคอลไม่ใช่ตัวเลือกคุณอาจต้องตั้งค่าเกตเวย์ / พร็อกซีบางประเภท

IPSec น่าจะทำให้ทั้งหมดนี้ปลอดภัยได้

IPSEC เข้ารหัสและรับรองความถูกต้องของแพ็คเก็ต มันไม่มีอะไรเกี่ยวข้องกับการกำจัดอุปกรณ์ชายแดนของคุณและมีการปกป้องข้อมูลระหว่างทางมากขึ้น

ใช่. NAT นั้นตายแล้ว มีความพยายามบางอย่างในการให้สัตยาบันมาตรฐานสำหรับ NAT ผ่าน IPv6 แต่ก็ไม่มีใครลงมือทำ

สิ่งนี้ทำให้เกิดปัญหาสำหรับผู้ให้บริการที่พยายามทำตามมาตรฐาน PCI-DSS เนื่องจากมาตรฐานระบุว่าคุณต้องอยู่หลัง NAT จริงๆ

สำหรับฉันนี่เป็นข่าวที่วิเศษที่สุดที่ฉันเคยได้ยิน ฉันเกลียด NAT และฉันเกลียด NAT ระดับผู้ให้บริการมากยิ่งขึ้น

NAT เคยมีความหมายเพียงอย่างเดียวในการแก้ปัญหาแบนด์วิดท์เพื่อให้เราผ่านไปได้จนกระทั่ง IPv6 กลายเป็นมาตรฐาน แต่มันก็ฝังลึกเข้าไปในสังคมอินเทอร์เน็ต

สำหรับรอบระยะเวลาการเปลี่ยนแปลงคุณต้องจำไว้ว่า IPv4 และ IPv6 มีนอกเหนือจากชื่อที่คล้ายกันจะแตกต่างกันโดยสิ้นเชิง1 ดังนั้นอุปกรณ์ที่เป็น Dual-Stack, IPv4 ของคุณจะถูก NATted และ IPv6 ของคุณจะไม่ มันเกือบจะเหมือนมีสองอุปกรณ์แยกกันโดยสิ้นเชิงเพียงแค่บรรจุลงในพลาสติกชิ้นเดียว

ดังนั้นการเชื่อมต่ออินเทอร์เน็ต IPv6 ทำงานอย่างไร วิธีที่อินเทอร์เน็ตใช้ในการทำงานก่อนที่ NAT ถูกประดิษฐ์ขึ้นมา ISP ของคุณจะกำหนดช่วง IP ให้คุณ (เหมือนกับตอนนี้ แต่โดยทั่วไปจะกำหนดให้คุณ / 32 ซึ่งหมายความว่าคุณจะได้รับที่อยู่ IP เดียวเท่านั้น) แต่ช่วงของคุณจะมีที่อยู่ IP นับล้านรายการ คุณมีอิสระในการเติมที่อยู่ IP เหล่านี้ตามที่คุณเลือก (ด้วยการกำหนดค่าอัตโนมัติหรือ DHCPv6) ที่อยู่ IP เหล่านี้แต่ละรายการจะปรากฏให้เห็นจากคอมพิวเตอร์เครื่องอื่น ๆ บนอินเทอร์เน็ต

ฟังดูน่ากลัวใช่มั้ย ตัวควบคุมโดเมนของคุณ, โฮมมีเดียพีซีและไอโฟนของคุณที่ซ่อนเร้นภาพอนาจารอยู่ทุกคนจะสามารถเข้าถึงได้จากอินเทอร์เน็ตหรือไม่! ไม่เลย นั่นคือสิ่งที่ไฟร์วอลล์มีไว้สำหรับ คุณสมบัติที่ยอดเยี่ยมอีกอย่างของ IPv6 คือมันบังคับให้ไฟร์วอลล์จากวิธี "อนุญาตทั้งหมด" (เหมือนอุปกรณ์ภายในบ้านส่วนใหญ่) เป็นวิธี "ปฏิเสธทั้งหมด" ซึ่งคุณเปิดบริการสำหรับที่อยู่ IP เฉพาะ 99.999% ของผู้ใช้ตามบ้านจะทำให้ไฟร์วอลล์ของพวกเขาเริ่มต้นอย่างมีความสุขและถูกล็อคอย่างสมบูรณ์ซึ่งหมายความว่าจะไม่อนุญาตให้มีการดูแลการแสดงโฆษณาที่ไม่ได้ร้องขอ

¹ _{ตกลงมีวิธีมากกว่านั้น แต่ก็ไม่เข้ากันได้แม้ว่าพวกเขาทั้งสองอนุญาตโปรโตคอลเดียวกันทำงานอยู่ด้านบน}

ข้อกำหนด PCI-DSS สำหรับ NAT นั้นเป็นที่รู้จักกันดีว่าเป็นโรงละครรักษาความปลอดภัยและไม่ใช่ความปลอดภัยที่แท้จริง

PCI-DSS ล่าสุดได้สำรองจากการโทร NAT เป็นข้อกำหนดที่แน่นอน หลายองค์กรผ่านการตรวจสอบ PCI-DSS ด้วย IPv4 โดยไม่ต้อง NAT แสดงไฟร์วอลล์ที่มีสถานะเป็น "การใช้งานความปลอดภัยเทียบเท่า"

มีเอกสารโรงละครรักษาความปลอดภัยอื่น ๆ ออกมาเรียกร้องให้ NAT แต่เพราะมันทำลายเส้นทางการตรวจสอบและทำให้การสอบสวน / บรรเทาอุบัติเหตุทำได้ยากขึ้นการศึกษาในเชิงลึกของ NAT (โดยมีหรือไม่มี PAT) เพื่อลบความปลอดภัยสุทธิ

ไฟร์วอลล์ stateful ที่ดีที่ไม่มี NAT เป็นโซลูชั่นที่เหนือกว่าอย่างมากสำหรับ NAT ในโลก IPv6 ใน IPv4 NAT เป็นสิ่งชั่วร้ายที่จำเป็นที่จะต้องทนเพื่อการอนุรักษ์ที่อยู่

มันจะเศร้าสักครู่ก่อนที่คุณจะสามารถออกไปกับเครือข่าย IPv6-single-stack จนกว่าจะถึงตอนนั้น dual-stack ที่มีการกำหนดค่าตามความชอบสำหรับ IPv6 เมื่อพร้อมใช้งานเป็นวิธีการทำงาน

ในขณะที่เราเตอร์สำหรับผู้บริโภคส่วนใหญ่ไม่รองรับ IPv6 ที่มีเฟิร์มแวร์หุ้นวันนี้หลายคนสามารถรองรับกับ Firmwares ของบุคคลที่สาม (เช่น Linksys WRT54G พร้อม dd-wrt เป็นต้น) นอกจากนี้ยังมีอุปกรณ์ระดับธุรกิจมากมาย (Cisco, Juniper) ที่รองรับ IPv6 นอกกรอบ

สิ่งสำคัญคือไม่ให้สับสน PAT (หลายต่อหนึ่ง NAT เช่นเดียวกับเราเตอร์ผู้บริโภคทั่วไป) กับ NAT ในรูปแบบอื่นและด้วย NAT-free firewalling เมื่ออินเทอร์เน็ตกลายเป็น IPv6 เท่านั้นไฟร์วอลล์จะยังคงป้องกันการเปิดเผยบริการภายใน เช่นเดียวกันระบบ IPv4 ที่มี NAT แบบหนึ่งต่อหนึ่งจะไม่ได้รับการป้องกันโดยอัตโนมัติ นั่นเป็นหน้าที่ของนโยบายไฟร์วอลล์

มีความสับสนจำนวนมากเกี่ยวกับเรื่องนี้เนื่องจากผู้ดูแลระบบเครือข่ายเห็น NAT ในแง่มุมหนึ่งและลูกค้าธุรกิจขนาดเล็กและที่อยู่อาศัยเห็นในอีกแง่หนึ่ง ให้ฉันอธิบาย

Static NAT (บางครั้งเรียกว่า NAT แบบหนึ่งต่อหนึ่ง) ไม่มีการป้องกันสำหรับเครือข่ายส่วนตัวของคุณหรือพีซีแต่ละเครื่อง การเปลี่ยนที่อยู่ IP นั้นไม่มีความหมายเท่าที่มีการป้องกัน

NAT / PAT โอเวอร์โหลดแบบไดนามิกเช่นเกตเวย์ที่อยู่อาศัยและ WiFi AP ส่วนใหญ่ทำหน้าที่ช่วยปกป้องเครือข่ายส่วนตัวและ / หรือพีซีของคุณ โดยการออกแบบตาราง NAT ในอุปกรณ์เหล่านี้เป็นตารางสถานะ มันจะติดตามคำขอขาออกและแมปพวกเขาในตาราง NAT - การหมดเวลาการเชื่อมต่อหลังจากระยะเวลาหนึ่ง เฟรมขาเข้าที่ไม่ได้ร้องขอใด ๆ ที่ไม่ตรงกับสิ่งที่อยู่ในตาราง NAT จะถูกดร็อปตามค่าเริ่มต้น - เราเตอร์ NAT จะไม่รู้ตำแหน่งที่จะส่งเฟรมเหล่านั้นในเครือข่ายส่วนตัว ด้วยวิธีนี้อุปกรณ์เดียวที่คุณปล่อยให้เสี่ยงต่อการถูกแฮ็กเข้าไปคือเราเตอร์ของคุณ เนื่องจากช่องโหว่ด้านความปลอดภัยส่วนใหญ่นั้นใช้ Windows - การมีอุปกรณ์เช่นนี้ระหว่างอินเทอร์เน็ตและพีซี Windows ของคุณช่วยปกป้องเครือข่ายของคุณได้อย่างแท้จริง มันอาจจะไม่ใช่ฟังก์ชั่นที่ตั้งใจไว้ แต่เดิม ซึ่งจะบันทึกใน IP สาธารณะ แต่จะทำงานให้เสร็จ อุปกรณ์เหล่านี้ส่วนใหญ่มีความสามารถด้านไฟร์วอลล์ซึ่งหลาย ๆ ครั้งบล็อกการร้องขอ ICMP โดยค่าเริ่มต้นซึ่งช่วยปกป้องเครือข่าย

จากข้อมูลข้างต้นการกำจัด NAT เมื่อย้ายไปใช้ IPv6 อาจทำให้ผู้บริโภคและธุรกิจขนาดเล็กหลายล้านเครื่องต้องแฮ็คข้อมูล มันจะมีผลกระทบเล็กน้อยต่อไม่มีผลกับเครือข่ายขององค์กรเนื่องจากมีการจัดการไฟร์วอลล์ระดับมืออาชีพ เครือข่ายผู้บริโภคและธุรกิจขนาดเล็กอาจไม่มีเราเตอร์ NAT ที่ใช้ * nix ระหว่างอินเทอร์เน็ตและพีซีของพวกเขาอีกต่อไป ไม่มีเหตุผลที่คนไม่สามารถเปลี่ยนไปใช้วิธีแก้ปัญหาไฟร์วอลล์เท่านั้น - ปลอดภัยกว่าหากปรับใช้อย่างถูกต้อง แต่ยังอยู่นอกเหนือขอบเขตที่ 99% ของผู้บริโภคเข้าใจวิธีการทำ Dynamic Overloaded NAT ให้การปกป้องเพียงเล็กน้อยโดยใช้งาน - เสียบเราเตอร์ที่อยู่อาศัยของคุณและคุณได้รับการป้องกัน ง่าย.

ที่กล่าวมาไม่มีเหตุผลที่ NAT ไม่สามารถใช้งานได้ในแบบเดียวกับที่ใช้ใน IPv4 ในความเป็นจริงเราเตอร์อาจได้รับการออกแบบให้มีที่อยู่ IPv6 หนึ่งแห่งบนพอร์ต WAN ที่มีเครือข่ายส่วนตัว IPv4 ที่อยู่ด้านหลังของ NAT ที่อยู่บนนั้น (ตัวอย่าง) นี่จะเป็นทางออกที่ง่ายสำหรับผู้บริโภคและผู้อยู่อาศัย อีกทางเลือกหนึ่งคือการทำให้อุปกรณ์ทั้งหมดที่มี IPv6 IP สาธารณะ --- อุปกรณ์ระดับกลางนั้นสามารถทำหน้าที่เป็นอุปกรณ์ L2 แต่มีตารางสถานะการตรวจสอบแพ็คเก็ตและไฟร์วอลล์ที่ทำงานได้อย่างสมบูรณ์ โดยพื้นฐานแล้วไม่มี NAT แต่ยังคงบล็อกเฟรมขาเข้าที่ไม่ได้ร้องขอ สิ่งสำคัญที่ควรจำไว้คือคุณไม่ควรเชื่อมต่อพีซีของคุณเข้ากับการเชื่อมต่อ WAN โดยตรงโดยไม่มีอุปกรณ์ตัวกลาง ยกเว้นกรณีที่คุณต้องการใช้ไฟร์วอลล์ Windows . . และนั่นคือการสนทนาที่แตกต่างกัน

จะมีความเจ็บปวดเพิ่มขึ้นย้ายไปที่ IPv6 แต่ไม่มีปัญหาใด ๆ ที่ไม่สามารถแก้ไขได้อย่างง่ายดาย คุณจะต้องทิ้งเราเตอร์ IPv4 หรือเกตเวย์ที่อยู่อาศัยเดิมของคุณหรือไม่ อาจจะมี แต่จะมีโซลูชั่นใหม่ราคาไม่แพงเมื่อเวลามาถึง หวังว่าอุปกรณ์จำนวนมากจะต้องใช้แฟลชเฟิร์มแวร์ IPv6 ได้รับการออกแบบเพื่อให้สอดคล้องกับสถาปัตยกรรมปัจจุบันได้อย่างลงตัวหรือไม่ แน่นอน แต่มันคือสิ่งที่มันเป็นและมันจะไม่หายไป - ดังนั้นคุณอาจเรียนรู้มันใช้ชีวิตรักมัน

ถ้า NAT มีชีวิตอยู่ในโลกของ IPv6 ก็น่าจะเป็น 1: 1 NAT รูปแบบ NAT ไม่เคยเห็นในพื้นที่ IPv4 NAT 1: 1 คืออะไร มันคือการแปล 1: 1 ของที่อยู่ทั่วโลกเป็นที่อยู่ในท้องถิ่น IPv4 ที่เทียบเท่าจะแปลการเชื่อมต่อทั้งหมดเป็น 1.1.1.2 เท่านั้นเป็น 10.1.1.2 และต่อไปสำหรับพื้นที่ 1.0.0.0/8 ทั้งหมด เวอร์ชัน IPv6 จะเป็นการแปลที่อยู่ร่วมเป็นที่อยู่เฉพาะในพื้นที่

การรักษาความปลอดภัยขั้นสูงนั้นสามารถทำได้โดยการหมุนการแมปไปยังที่อยู่ที่คุณไม่สนใจ (เช่นผู้ใช้ในสำนักงานที่กำลังดู Facebook) ภายในหมายเลข ULA ของคุณจะยังคงเหมือนเดิมดังนั้น DNS แบบแบ่งเขตของคุณจะทำงานได้ดี แต่ลูกค้าภายนอกจะไม่เคยอยู่บนพอร์ตที่คาดเดาได้

แต่จริงๆแล้วมันเป็นระบบรักษาความปลอดภัยที่ได้รับการปรับปรุงเล็กน้อยเพื่อสร้างความยุ่งยาก การสแกนเครือข่ายย่อย IPv6 เป็นงานที่มีขนาดใหญ่มากและเป็นไปไม่ได้โดยไม่ต้องกำหนดว่าที่อยู่ IP จะถูกกำหนดบนเครือข่ายย่อยเหล่านั้นได้อย่างไร (วิธีการสร้าง MAC - วิธีสุ่มการกำหนดที่อยู่ที่มนุษย์อ่านได้)

ในกรณีส่วนใหญ่สิ่งที่จะเกิดขึ้นคือลูกค้าที่อยู่หลังไฟร์วอลล์ขององค์กรจะได้รับที่อยู่สากลบางทีอาจเป็น ULA และไฟร์วอลล์รอบนอกจะถูกตั้งค่าให้ปฏิเสธการเชื่อมต่อที่เข้ามาทุกประเภทกับที่อยู่เหล่านั้น สำหรับทุกเจตนาและวัตถุประสงค์ที่อยู่เหล่านั้นไม่สามารถเข้าถึงได้จากภายนอก เมื่อไคลเอนต์ภายในเริ่มต้นการเชื่อมต่อแพคเก็ตจะได้รับอนุญาตผ่านการเชื่อมต่อนั้น ความจำเป็นในการเปลี่ยนที่อยู่ IP เป็นสิ่งที่แตกต่างกันอย่างสิ้นเชิงนั้นได้รับการจัดการโดยการบังคับให้ผู้โจมตีเลื่อนผ่านที่อยู่ที่เป็นไปได้ 2 ^ 64 บนเครือข่ายย่อยนั้น

RFC 4864 อธิบายการป้องกันเครือข่ายท้องถิ่น IPv6ซึ่งเป็นชุดของวิธีการสำหรับการให้ประโยชน์ที่รับรู้ของ NAT ในสภาพแวดล้อม IPv6 โดยไม่ต้องใช้ NAT จริง

เอกสารนี้ได้อธิบายถึงเทคนิคต่าง ๆ ที่อาจนำมารวมกันบนไซต์ IPv6 เพื่อปกป้องความสมบูรณ์ของสถาปัตยกรรมเครือข่าย เทคนิคเหล่านี้เรียกรวมกันว่า Local Network Protection รักษาแนวคิดของขอบเขตที่กำหนดไว้อย่างดีระหว่าง "ภายใน" และ "นอก" เครือข่ายส่วนตัวและอนุญาตให้ใช้ไฟร์วอลล์การซ่อนทอพอโลยีและความเป็นส่วนตัว อย่างไรก็ตามเนื่องจากพวกเขารักษาความโปร่งใสของที่อยู่ตามที่จำเป็นพวกเขาบรรลุเป้าหมายเหล่านี้โดยไม่เสียเปรียบการแปลที่อยู่ ดังนั้นการป้องกันเครือข่ายท้องถิ่นใน IPv6 สามารถให้ประโยชน์ของการแปลที่อยู่เครือข่าย IPv4 โดยไม่มีข้อเสียที่สอดคล้องกัน

ก่อนอื่นจะระบุว่าประโยชน์ที่รับรู้ของ NAT คืออะไร (และหักล้างพวกเขาเมื่อเหมาะสม) จากนั้นอธิบายคุณสมบัติของ IPv6 ที่สามารถใช้เพื่อให้ประโยชน์ดังกล่าวได้ นอกจากนี้ยังมีบันทึกการใช้งานและกรณีศึกษา

แม้ว่าจะพิมพ์นานเกินไปที่นี่แล้วประโยชน์ที่กล่าวถึงคือ:

• เกตเวย์แบบง่าย ๆ ระหว่าง "ภายใน" และ "นอก"
• ไฟร์วอลล์ stateful
• การติดตามผู้ใช้ / แอปพลิเคชัน
• ความเป็นส่วนตัวและการซ่อนโครงสร้าง
• การควบคุมที่อยู่อย่างอิสระในเครือข่ายส่วนตัว
• Multihoming / การเรียงลำดับ

สิ่งนี้ครอบคลุมสถานการณ์ทั้งหมดที่หนึ่งอาจต้องการ NAT และนำเสนอโซลูชันสำหรับการนำไปใช้ใน IPv6 โดยไม่มี NAT

เทคโนโลยีบางอย่างที่คุณจะใช้คือ:

• ที่อยู่ในพื้นที่ที่ไม่ซ้ำกัน: แนะนำสิ่งเหล่านี้ในเครือข่ายภายในของคุณเพื่อให้การสื่อสารภายในของคุณเป็นแบบภายในและเพื่อให้แน่ใจว่าการสื่อสารภายในสามารถดำเนินต่อไปได้แม้ว่า ISP จะหยุดทำงาน
• ส่วนขยายความเป็นส่วนตัวของ IPv6 ที่มีอายุการใช้งานสั้น ๆ และตัวระบุอินเทอร์เฟซที่มีโครงสร้างไม่ชัดเจน: สิ่งเหล่านี้ช่วยป้องกันการโจมตีโฮสต์แต่ละบุคคลและการสแกนซับเน็ต
• IGP, Mobile IPv6 หรือ VLANs สามารถใช้เพื่อซ่อนโทโพโลยีของเครือข่ายภายใน
• นอกเหนือจาก ULAs แล้ว DHCP-PD จาก ISP ยังช่วยให้การกำหนดหมายเลข / มัลติแฮงค์ทำได้ง่ายกว่าด้วย IPv4

( ดู RFCสำหรับรายละเอียดที่สมบูรณ์อีกครั้งมันนานเกินไปที่จะพิมพ์ซ้ำหรือแม้กระทั่งตัดตอนมาอย่างมีนัยสำคัญจาก)

สำหรับการอภิปรายทั่วไปมากขึ้นของการรักษาความปลอดภัยการเปลี่ยนแปลง IPv6 ดูRFC 4942

ชนิดของ มี "ประเภท" ที่อยู่ IPv6 แตกต่างกันจริง ๆ RFC 1918 ที่ใกล้เคียงที่สุด (10/8, 172.16 / 12, 192.168 / 16) เรียกว่า "ที่อยู่เฉพาะของท้องถิ่น" และกำหนดไว้ใน RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

ดังนั้นคุณเริ่มต้นด้วย fd00 :: / 8 จากนั้นเพิ่มสตริง 40 บิต (โดยใช้อัลกอริทึมที่กำหนดไว้ล่วงหน้าใน RFC!) และคุณท้ายด้วยคำนำหน้าหลอกสุ่ม / 48 ที่ควรจะไม่ซ้ำกันทั่วโลก คุณมีพื้นที่ที่เหลือเพื่อกำหนด แต่ที่คุณต้องการ

คุณควรบล็อก fd00 :: / 7 (fc00 :: / 8 และ fd00 :: / 8) ที่เราเตอร์ (IPv6) ของคุณให้อยู่นอกองค์กรของคุณ - จึงเป็น "local" ในชื่อที่อยู่ ที่อยู่เหล่านี้ในขณะที่อยู่ในพื้นที่ที่อยู่ทั่วโลกไม่ควรเข้าถึงได้ทั่วโลกในวงกว้างเพียงแค่อยู่ใน "องค์กร" ของคุณ

หากเซิร์ฟเวอร์ PCI-DSS ของคุณต้องการ IPv6 สำหรับการเชื่อมต่อกับโฮสต์ IPv6 ภายในอื่นคุณควรสร้างคำนำหน้า ULA สำหรับ บริษัท ของคุณและใช้เพื่อจุดประสงค์นี้ คุณสามารถใช้การกำหนดค่าอัตโนมัติของ IPv6 เช่นเดียวกับคำนำหน้าอื่น ๆ หากคุณต้องการ

เนื่องจาก IPv6 ได้รับการออกแบบเพื่อให้โฮสต์สามารถมีหลายที่อยู่ได้เครื่องสามารถมีได้นอกเหนือจาก ULA ซึ่งเป็นที่อยู่ที่สามารถกำหนดเส้นทางได้ทั่วโลกเช่นกัน ดังนั้นเว็บเซิร์ฟเวอร์ที่ต้องการพูดคุยกับทั้งโลกภายนอกและเครื่องจักรภายในสามารถมีทั้งที่อยู่ prefex ที่ได้รับจาก ISP และส่วนนำหน้า ULA ของคุณ

หากคุณต้องการฟังก์ชั่นคล้าย NAT คุณสามารถดู NAT66 ได้เช่นกัน แต่โดยทั่วไปฉันจะเป็นสถาปนิกรอบ ULA หากคุณมีคำถามเพิ่มเติมคุณอาจต้องการตรวจสอบรายชื่อผู้รับจดหมาย "ipv6-ops"

IMHO: ไม่

ยังมีบางสถานที่ที่สามารถใช้งาน SNAT / DNAT ได้อย่างเต็มรูปแบบ สำหรับตัวอย่างบางเซิร์ฟเวอร์ถูกย้ายไปยังเครือข่ายอื่น แต่เราไม่ต้องการ / เราไม่สามารถเปลี่ยน IP ของแอปพลิเคชันได้

หวังว่า NAT จะหายไปตลอดกาล มันจะมีประโยชน์เฉพาะเมื่อคุณมีที่อยู่ IP ไม่เพียงพอและไม่มีคุณสมบัติด้านความปลอดภัยที่ไม่ได้ให้บริการที่ดีกว่าถูกกว่าและจัดการได้ง่ายกว่าโดยไฟร์วอลล์ที่มีสถานะ

เนื่องจาก IPv6 = ไม่มีความขาดแคลนอีกต่อไปนั่นหมายความว่าเราสามารถกำจัดโลกของการแฮ็กที่น่าเกลียดนั่นคือ NAT

ฉันไม่เห็นคำตอบที่ชัดเจนว่าการสูญเสีย NAT (ถ้าหายไปจริงๆ) ด้วย IPv6 จะส่งผลกระทบต่อความเป็นส่วนตัวของผู้ใช้

ด้วยที่อยู่ IP ของอุปกรณ์แต่ละรายการที่เปิดเผยต่อสาธารณะมันจะง่ายกว่ามากสำหรับบริการเว็บในการสำรวจ (รวบรวมจัดเก็บรวมกันตามกาลเวลาและพื้นที่และเว็บไซต์ เว้นแต่ ... ISP, เราเตอร์และอุปกรณ์อื่น ๆ ทำให้เป็นไปได้และง่ายต่อการมีที่อยู่ IPv6 แบบไดนามิกที่สามารถเปลี่ยนได้บ่อยครั้งสำหรับอุปกรณ์แต่ละเครื่อง

แน่นอนไม่ว่าเราจะยังคงมีปัญหาเรื่องที่อยู่ MAC Wi-Fi แบบคงที่เป็นสาธารณะ แต่นั่นเป็นอีกเรื่อง ...

มีโครงร่างมากมายที่จะสนับสนุน NAT ในสถานการณ์การเปลี่ยนแปลง V4 ถึง V6 อย่างไรก็ตามหากคุณมีเครือข่าย IPV6 ทั้งหมดและเชื่อมต่อกับผู้ให้บริการ IPV6 ต้นน้ำ NAT ไม่ได้เป็นส่วนหนึ่งของระเบียบโลกใหม่ยกเว้นว่าคุณสามารถเชื่อมต่อระหว่างเครือข่าย V4 ผ่านเครือข่าย V6

Cisco มีข้อมูลทั่วไปมากมายเกี่ยวกับสถานการณ์ 4to6 การโยกย้ายและการสร้างอุโมงค์

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

นอกจากนี้ที่ Wikipedia:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

การเมืองและแนวปฏิบัติทางธุรกิจขั้นพื้นฐานน่าจะช่วยให้ NAT มีอยู่จริง ที่อยู่ IPv6 เหลือเฟือหมายถึงผู้ให้บริการอินเทอร์เน็ตจะถูกเรียกเก็บค่าธรรมเนียมต่ออุปกรณ์หรือ จำกัด การเชื่อมต่อกับอุปกรณ์ที่มีการ จำกัด จำนวนเท่านั้น ดูบทความล่าสุดนี้ใน / ตัวอย่างเช่น:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

FYI ทุกคนที่น่าสนใจกำลังใช้ NAT / NAPT กับ IPV6 สามารถ ระบบปฏิบัติการ BSD ทั้งหมดที่มี PF รองรับ NAT66 ใช้งานได้ดี จากบล็อกที่เราใช้ :

ipv6 nat (nat66) โดย FreeBSD pf

แม้ว่า nat66 จะยังอยู่ภายใต้ร่าง แต่ FreeBSD pf รองรับอยู่แล้วเป็นเวลานาน

(แก้ไข pf.conf และใส่รหัสต่อไปนี้)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

คุณพร้อมแล้ว!

ใช้งานได้ดีสำหรับคนที่เคยใช้ปลาหมึกกับที่อยู่ IP เดียวมานานหลายปี ด้วย IPv6 NAT ฉันสามารถรับที่อยู่ส่วนตัว 2 ^ 120 (ไซต์ในพื้นที่) ซึ่งรวมถึงซับเน็ตขนาด 2 ^ 56 ที่ยาวกับซับเน็ต 5/64 ของฉัน นั่นหมายความว่าฉันจะต้องฉลาดกว่า IPv6 กูรูถึง 100 พันล้านเท่าเพราะฉันมีที่อยู่มากกว่านี้: D

ความจริงก็คือเพราะฉันมีที่อยู่มากกว่า (หรืออาจใช้ IPv6 นานกว่าคุณ) จริง ๆ ไม่ได้ทำให้ IPv6 (หรือฉันสำหรับปัญหาเดียวกัน) ดีกว่า อย่างไรก็ตามมันทำให้ IPv6 มีความซับซ้อนมากขึ้นซึ่งจำเป็นต้องใช้ไฟร์วอลล์แทน PAT และ NAT ไม่ใช่ข้อกำหนดอีกต่อไป แต่เป็นตัวเลือก เป้าหมายของไฟร์วอลล์คืออนุญาตการเชื่อมต่อขาออกทั้งหมดและคงสถานะไว้ แต่บล็อกการเชื่อมต่อที่เริ่มต้นขาเข้า

สำหรับ NAPT (NAT กับ PAT) จะต้องใช้เวลาพอสมควรในการทำให้คนออกจากความคิด ตัวอย่างเช่นจนกว่าเราจะได้ปู่ทวดของคุณติดตั้งไฟร์วอลล์ IPv6 ของตัวเองโดยไม่ต้องระบุที่อยู่ในพื้นที่ (ที่อยู่ส่วนตัว) และหากไม่ได้รับความช่วยเหลือจากกูรู ทุกอย่างที่เขารู้

ข้อเสนอเมื่อเร็ว ๆ นี้หยิบยกสำหรับ ipv6 ได้แนะนำวิศวกรที่ทำงานเกี่ยวกับเทคโนโลยีใหม่จะรวม NAT เป็น ipv6 เหตุผลที่ได้รับ: NAT นำเสนอการรักษาความปลอดภัยอีกชั้นหนึ่ง

เอกสารอยู่ในเว็บไซต์ ipv6.com ดังนั้นจึงดูเหมือนคำตอบทั้งหมดที่ระบุว่า NAT ไม่ได้ให้ความปลอดภัย แต่อย่างใด

ฉันตระหนักว่าในบางจุดในอนาคต (ที่สามารถคาดเดาได้เท่านั้น) ที่อยู่ IPv4 ในภูมิภาคจะหมดไปอย่างหลีกเลี่ยงไม่ได้ ฉันเห็นด้วย IPv6 มีข้อเสียของผู้ใช้อย่างจริงจัง ปัญหาของ NAT มีความสำคัญอย่างยิ่งเนื่องจากให้ความปลอดภัยซ้ำซ้อนความเป็นส่วนตัวและช่วยให้ผู้ใช้เชื่อมต่ออุปกรณ์เกือบเท่าที่พวกเขาต้องการโดยไม่มีข้อ จำกัด ใช่ไฟร์วอลล์เป็นมาตรฐานทองคำต่อการบุกรุกเครือข่ายที่ไม่พึงประสงค์ แต่ NAT ไม่เพียง แต่เพิ่มการป้องกันอีกชั้นหนึ่ง แต่ยังให้ความปลอดภัยโดยการออกแบบเริ่มต้นโดยไม่คำนึงถึงการกำหนดค่าไฟร์วอลล์หรือความรู้ของผู้ใช้ปลายทางไม่ว่าคุณจะกำหนด IPv4 อย่างไร ด้วย NAT และไฟร์วอลล์ยังคงมีความปลอดภัยมากกว่าโดยค่าเริ่มต้น IPv6 จะมีเพียงไฟร์วอลล์เท่านั้น ปัญหาอื่นคือความเป็นส่วนตัว การมีที่อยู่ที่กำหนดเส้นทางอินเทอร์เน็ตได้ในทุกอุปกรณ์จะช่วยให้ผู้ใช้สามารถละเมิดความเป็นส่วนตัวได้ทุกรูปแบบการรวบรวมข้อมูลส่วนบุคคลและการติดตามในแบบที่แทบจะจินตนาการไม่ได้ในทุกวันนี้ ฉันยังเห็นด้วยว่าหากไม่มีชัยนาทเราอาจเปิดรับเพื่อเพิ่มต้นทุนและควบคุมผ่านทาง Isp Isp อาจเริ่มชาร์จต่ออุปกรณ์หรือตามอัตราการใช้งานของผู้ใช้อย่างที่เราเห็นจากการปล่อยสัญญาณผ่าน USB ซึ่งจะช่วยลดเสรีภาพของผู้ใช้ในการเชื่อมต่ออุปกรณ์ใด ๆ ที่พวกเขาเห็นว่าเหมาะสม ณ ตอนนี้ผู้ให้บริการอินเทอร์เน็ตในสหรัฐฯไม่กี่แห่งที่ IPv6 ให้บริการในรูปแบบใด ๆ และฉันรู้สึกว่าธุรกิจที่ไม่ใช่เทคโนโลยีจะเปลี่ยนช้าเนื่องจากมีค่าใช้จ่ายเพิ่มเติม