การเปลี่ยนเป็น IPv6 หมายถึงการลด NAT นั่นเป็นสิ่งที่ดีหรือไม่?


109

นี่เป็นคำถามที่ยอมรับได้เกี่ยวกับ IPv6 และ NAT

ที่เกี่ยวข้อง:

ดังนั้น ISP ของเราจึงได้ตั้งค่า IPv6 เมื่อเร็ว ๆ นี้และฉันกำลังศึกษาว่าการเปลี่ยนแปลงควรนำไปสู่อะไรก่อนที่จะกระโดดเข้าสู่การต่อสู้

ฉันสังเกตเห็นสามประเด็นที่สำคัญมาก:

  1. เราเตอร์ NAT สำนักงานของเรา (Linksys BEFSR41 เก่า) ไม่รองรับ IPv6 AFAICT ที่ใหม่กว่า หนังสือที่ฉันอ่านเกี่ยวกับ IPv6 บอกฉันว่ามันทำให้ NAT "ไม่จำเป็น" อยู่ดี

  2. หากเราควรกำจัดเราเตอร์นี้และเสียบทุกอย่างเข้ากับอินเทอร์เน็ตโดยตรงฉันเริ่มตื่นตระหนก ไม่มีทางที่ฉันจะใส่ฐานข้อมูลการเรียกเก็บเงินของเรา (ด้วยข้อมูลบัตรเครดิตจำนวนมาก!) บนอินเทอร์เน็ตเพื่อให้ทุกคนเห็น แม้ว่าฉันจะเสนอให้ตั้งค่าไฟร์วอลล์ของ Windows ให้อนุญาตเพียง 6 ที่อยู่ให้สามารถเข้าถึงมันได้ แต่ฉันก็ยังรู้สึกแย่ ฉันไม่เชื่อถือ Windows, ไฟร์วอลล์ของ Windows หรือเครือข่ายที่มีขนาดใหญ่พอที่จะใช้งานได้จากระยะไกล

  3. มีอุปกรณ์ฮาร์ดแวร์เก่าบางตัว (เช่นเครื่องพิมพ์) ที่ไม่มีความสามารถ IPv6 เลย และน่าจะเป็นรายการซักถามปัญหาด้านความปลอดภัยที่ย้อนกลับไปเมื่อประมาณปี 2541 และไม่มีทางที่จะแก้ไขได้จริง และไม่มีเงินทุนสำหรับเครื่องพิมพ์ใหม่

ผมได้ยินว่า IPv6 และ IPSEC ควรจะทำทั้งหมดนี้การรักษาความปลอดภัยอย่างใด แต่ไม่มีเครือข่ายแยกทางร่างกายที่ทำให้อุปกรณ์เหล่านี้มองไม่เห็นอินเทอร์เน็ตที่ฉันจริงๆไม่สามารถดูวิธีการ ฉันสามารถเช่นเดียวกันจริงๆดูวิธีการป้องกันใด ๆ ที่ฉันสร้างจะถูกบุกรุกในระยะสั้นเพื่อ ฉันใช้เซิร์ฟเวอร์บนอินเทอร์เน็ตมาหลายปีแล้วและฉันค่อนข้างคุ้นเคยกับสิ่งต่าง ๆ ที่จำเป็นในการรักษาความปลอดภัย แต่การวางบางสิ่งบางอย่างไว้บนเครือข่ายเช่นฐานข้อมูลการเรียกเก็บเงินของเรานั้นเป็นคำถามที่สมบูรณ์

ฉันควรแทนที่ NAT ด้วยอะไรถ้าเราไม่มีเครือข่ายแยกจากกัน


9
ลองถามคำถามนี้ใหม่ได้ไหม? ตอนนี้ดูเหมือนว่าจะโต้แย้งค่อนข้าง
Zoredache

9
สิ่งที่คุณตกใจเกี่ยวกับไม่มีอยู่ บางทีคุณควรจัดรูปแบบคำถามใหม่โดยอธิบายสิ่งที่คุณเชื่อว่าเป็นข้อเท็จจริงและขอให้เรายืนยัน แทนที่จะบ่นเกี่ยวกับสิ่งต่าง ๆ ที่คุณคิดว่าจะใช้วิธีการบางอย่าง
Zoredache

25
นอกจากนี้ - คุณกำลังจัดเก็บข้อมูลบัตรเครดิต? และคุณมีคำถามมากมายเกี่ยวกับความปลอดภัยหรือไม่ คุณเคยผ่านการตรวจสอบ PCI มาก่อนหรือไม่? หรือคุณกำลังทำสัญญาของคุณโดยเก็บรายละเอียดบัตรเครดิต? คุณอาจต้องการตรวจสอบเรื่องนี้โพสต์รีบ
mfinni

4
ฉันไม่สามารถรู้สึกผิดชอบชั่วดีไม่เห็นด้วยหรือลงคะแนนเพื่อปิดคำถามนี้ไม่ว่าจะมีการแจ้งให้ผู้โพสต์ทราบหรือไม่ ได้รับ, OP กำลังออกไปในการสัมผัสกันครั้งใหญ่ขึ้นอยู่กับสมมติฐานที่ผิดพลาดและคำถามที่สามารถทำได้กับการเขียนใหม่
Chris Thorpe

3
"ไม่มี NAT อีกต่อไป" เป็นหนึ่งในเป้าหมายที่แน่นอนใน IPv6 แม้ว่าในขณะนี้ดูเหมือนว่า (อย่างน้อยที่นี่) ความสนใจในการเสนอ IPv6 นั้นไม่ใหญ่มากนักยกเว้นในดาต้าเซ็นเตอร์ (เพราะแพ็คเก็ตที่ใหญ่กว่าหมายถึงแบนด์วิดธ์ที่มากขึ้น สำหรับ DSL มันเป็นสิ่งที่ตรงกันข้ามทุกคนค่อนข้างแบนดังนั้น IPv6 หมายถึงปัญหามากขึ้นและค่าใช้จ่ายมากขึ้นสำหรับผู้ให้บริการ
dm.skt

คำตอบ:


185

ก่อนอื่นไม่มีอะไรต้องกลัวที่จะจัดสรร IP สาธารณะตราบใดที่อุปกรณ์ความปลอดภัยของคุณได้รับการกำหนดค่าอย่างถูกต้อง

ฉันควรแทนที่ NAT ด้วยอะไรถ้าเราไม่มีเครือข่ายแยกจากกัน

สิ่งเดียวกันเราได้แยกพวกเขาทางร่างกายด้วยตั้งแต่ปี 1980 เราเตอร์และไฟร์วอลล์ ความปลอดภัยที่ยิ่งใหญ่อย่างหนึ่งที่คุณได้รับเมื่อใช้ NAT คือมันบังคับให้คุณเข้าสู่การกำหนดค่าเริ่มต้นที่ถูกปฏิเสธ ในการรับบริการใด ๆคุณต้องเจาะรูอย่างชัดเจน อุปกรณ์ที่ชื่นชอบยิ่งกว่านั้นยังช่วยให้คุณสามารถใช้ ACL ที่อิงกับ IP กับหลุมเหล่านั้นได้เช่นเดียวกับไฟร์วอลล์ อาจเป็นเพราะพวกเขามี 'ไฟร์วอลล์' อยู่ในกล่องจริงๆ

ไฟร์วอลล์ที่กำหนดค่าไว้อย่างถูกต้องจะให้บริการเดียวกับเกตเวย์ NAT เกตเวย์ NAT ถูกใช้บ่อยเพราะง่ายต่อการเข้าสู่การกำหนดค่าที่ปลอดภัยกว่าไฟร์วอลล์ส่วนใหญ่

ผมได้ยินว่า IPv6 และ IPSEC ควรจะทำทั้งหมดนี้การรักษาความปลอดภัยอย่างใด แต่ไม่มีเครือข่ายแยกทางร่างกายที่ทำให้อุปกรณ์เหล่านี้มองไม่เห็นอินเทอร์เน็ตที่ฉันจริงๆไม่สามารถดูวิธีการ

นี่คือความเข้าใจผิด ฉันทำงานให้กับมหาวิทยาลัยที่มีการจัดสรร IPv4 / 16 และการใช้ที่อยู่ IP ส่วนใหญ่ของเรานั้นเป็นการจัดสรรสาธารณะนั้น แน่นอนว่าเวิร์คสเตชั่นและเครื่องพิมพ์ของผู้ใช้ปลายทางทั้งหมดของเรา การบริโภค RFC1918 ของเรานั้น จำกัด อยู่ที่อุปกรณ์เครือข่ายและเซิร์ฟเวอร์บางตัวที่จำเป็นต้องใช้ที่อยู่ดังกล่าว ฉันจะไม่แปลกใจถ้าคุณเพิ่งสั่นเพียงตอนนี้เพราะฉันทำอย่างแน่นอนเมื่อฉันปรากฏตัวขึ้นในวันแรกของฉันและเห็นโพสต์มันบนจอมอนิเตอร์ของฉันด้วยที่อยู่ IP ของฉัน

และยังเราอยู่รอด ทำไม? เนื่องจากเรามีไฟร์วอลล์ภายนอกที่กำหนดค่าไว้สำหรับการปฏิเสธเริ่มต้นด้วยปริมาณงาน ICMP ที่ จำกัด เพียงเพราะ 140.160.123.45 นั้นเป็นเส้นทางในทางทฤษฎีไม่ได้หมายความว่าคุณสามารถไปถึงได้ทุกที่บนอินเทอร์เน็ตสาธารณะ นี่คือสิ่งที่ไฟร์วอลล์ถูกออกแบบมาให้ทำ

เมื่อกำหนดค่าเราเตอร์ที่เหมาะสมและเครือข่ายย่อยต่าง ๆ ในการจัดสรรของเรานั้นไม่สามารถเข้าถึงกันได้อย่างสมบูรณ์ คุณสามารถทำได้ในตารางเราเตอร์หรือไฟร์วอลล์ นี่เป็นเครือข่ายแยกต่างหากและทำให้ผู้ตรวจสอบความปลอดภัยของเราพึงพอใจในอดีต

ไม่มีทางที่ฉันจะใส่ฐานข้อมูลการเรียกเก็บเงินของเรา (ด้วยข้อมูลบัตรเครดิตจำนวนมาก!) บนอินเทอร์เน็ตเพื่อให้ทุกคนเห็น

ฐานข้อมูลการเรียกเก็บเงินของเราอยู่ในที่อยู่ IPv4 สาธารณะและมีอยู่ทั้งหมด แต่เรามีหลักฐานที่แสดงว่าคุณไม่สามารถเดินทางได้จากที่นี่ เพียงเพราะที่อยู่ในรายการเส้นทางที่สาธารณะ v4 ไม่ได้หมายความว่ามันจะรับประกันว่าจะส่งมอบ ไฟร์วอลล์สองตัวระหว่างความชั่วร้ายของอินเทอร์เน็ตและพอร์ตฐานข้อมูลจริงจะกรองความชั่วร้ายออกไป แม้จากโต๊ะทำงานหลังไฟร์วอลล์ตัวแรกฉันไม่สามารถไปยังฐานข้อมูลนั้นได้

ข้อมูลบัตรเครดิตเป็นกรณีพิเศษหนึ่งกรณี นั่นเป็นเรื่องมาตรฐาน PCI-DSS และมาตรฐานที่ระบุโดยตรงว่าเซิร์ฟเวอร์ที่มีข้อมูลดังกล่าวจะต้องมีที่อยู่เบื้องหลังประตู NAT 1 เราคือและเซิร์ฟเวอร์ทั้งสามนี้แสดงการใช้งานเซิร์ฟเวอร์ทั้งหมดของที่อยู่ RFC1918 มันไม่ได้เพิ่มความปลอดภัยใด ๆ เพียงแค่เลเยอร์ของความซับซ้อน แต่เราต้องตรวจสอบช่องทำเครื่องหมายนั้นเพื่อทำการตรวจสอบ


แนวคิด "IPv6 ดั้งเดิมทำให้ NAT เป็นสิ่งที่ผ่านมา" ถูกนำเสนอก่อนที่กระแสอินเทอร์เน็ตจะเข้าสู่กระแสหลักอย่างเต็มที่ ในปี 1995 NAT เป็นวิธีแก้ปัญหาสำหรับการจัดสรรไอพีเล็ก ๆ ในปี 2548 ได้รับการรับรองในเอกสาร Security Best Practices จำนวนมากและอย่างน้อยหนึ่งมาตรฐานที่สำคัญ (PCI-DSS ที่เฉพาะเจาะจง) ประโยชน์ที่เป็นรูปธรรมเพียงอย่างเดียวที่ NAT มอบให้ก็คือเอนทิตีภายนอกที่ดำเนินการรีคอนเฟิร์มบนเครือข่ายไม่ทราบว่าภูมิทัศน์ของ IP ดูเหมือนอยู่หลังอุปกรณ์ NAT (แต่ต้องขอบคุณ RFC1918 ที่พวกเขาคาดเดาได้ดี) และใน NAT4 ฟรี เช่นเดียวกับงานของฉัน) นั่นไม่ใช่กรณี มันเป็นก้าวเล็ก ๆ ในการป้องกันในเชิงลึกไม่ใช่เรื่องใหญ่

การแทนที่ที่อยู่ RFC1918 คือสิ่งที่เรียกว่าที่อยู่เฉพาะของท้องถิ่น เช่น RFC1918 พวกเขาไม่ได้กำหนดเส้นทางนอกจากเพื่อน ๆ จะเห็นด้วยที่จะให้พวกเขากำหนดเส้นทางโดยเฉพาะ ต่างจาก RFC1918 ซึ่งแตกต่างจากทั่วโลก ผู้แปลที่อยู่ IPv6 ที่แปล ULA ไปเป็น Global IP นั้นมีอยู่ในอุปกรณ์ที่อยู่ในขอบเขตที่สูงกว่า แต่ยังไม่ได้อยู่ในอุปกรณ์ SOHO

คุณสามารถอยู่รอดได้ดีด้วยที่อยู่ IP สาธารณะ เพียงจำไว้ว่า 'สาธารณะ' ไม่รับประกันว่า 'เข้าถึงได้' และคุณจะสบายดี


อัปเดต 2017

ในช่วงไม่กี่เดือนที่ผ่านมา Amazon ได้เพิ่มการสนับสนุน IPv6 มันเพิ่งถูกเพิ่มเข้าไปในข้อเสนอของพวกเขาและการใช้งานของพวกเขาให้เบาะแสบางอย่างเกี่ยวกับวิธีการปรับใช้ขนาดใหญ่ที่คาดว่าจะทำ

  • คุณได้รับการจัดสรร / 56 (256 subnets)
  • การจัดสรรเป็น subnet ที่กำหนดเส้นทางได้อย่างสมบูรณ์
  • คุณคาดว่าจะตั้งกฎไฟร์วอลล์ ( ) ของคุณอย่างเหมาะสม
  • ไม่มี NAT ไม่ได้เสนอให้ดังนั้นทราฟฟิกขาออกทั้งหมดจะมาจากที่อยู่ IP จริงของอินสแตนซ์

หากต้องการเพิ่มหนึ่งในผลประโยชน์การรักษาความปลอดภัยของ NAT กลับมาอยู่ในพวกเขากำลังนำเสนอEgress เท่านั้นอินเทอร์เน็ตเกตเวย์ สิ่งนี้ให้ประโยชน์เหมือน NAT หนึ่งอย่าง:

  • ซับเน็ตด้านหลังไม่สามารถเข้าถึงได้โดยตรงจากอินเทอร์เน็ต

ซึ่งมีชั้นของการป้องกันเชิงลึกในกรณีที่กฎไฟร์วอลล์ที่กำหนดค่าผิดพลาดโดยไม่ได้ตั้งใจอนุญาตให้ทราฟฟิกขาเข้า

ข้อเสนอนี้ไม่ได้แปลที่อยู่ภายในเป็นที่อยู่เดียวกับที่ NAT ทำ ทราฟฟิกขาออกจะยังคงมี IP ต้นทางของอินสแตนซ์ที่เปิดการเชื่อมต่อ ผู้ให้บริการไฟร์วอลล์ที่มองหารายการที่อนุญาตพิเศษใน VPC จะดีกว่า netblock ในรายการที่อนุญาตมากกว่าที่อยู่ IP เฉพาะ

Routeableไม่ได้หมายถึงการเข้าถึงได้เสมอ


1 : มาตรฐาน PCI-DSS เปลี่ยนไปในเดือนตุลาคม 2010 คำแถลงที่อยู่ RFC1918 ได้ถูกลบออกและ 'การแยกเครือข่าย' แทนที่


1
ฉันทำเครื่องหมายว่ายอมรับแล้วเพราะเป็นคำตอบที่สมบูรณ์ยิ่งขึ้น ฉันเดาว่าเนื่องจากการกำหนดค่าไฟร์วอลล์ทุกครั้งที่ฉันเคยอ่าน (ตั้งแต่ประมาณปี 1997 เมื่อฉันเริ่มในฟิลด์และนั่นรวมถึงการสร้างไฟร์วอลล์ FreeBSD ด้วยมือ) ได้เน้นการใช้ RFC1918 ว่ามันไม่สมเหตุสมผลเลย ถึงฉัน. แน่นอนว่าในฐานะ ISP เราจะมีปัญหาบางอย่างเกี่ยวกับผู้ใช้ปลายทางและเราเตอร์ราคาถูกเมื่อเราใช้ที่อยู่ IPv4 หมดและนั่นจะไม่หายไปในเร็ว ๆ นี้
เออร์นี่

"นักแปลที่อยู่ IPv6 ที่แปล ULA เป็น Global IP นั้นมีอยู่ในอุปกรณ์ที่มีขอบเขตสูงกว่า แต่ยังไม่ได้อยู่ในอุปกรณ์ SOHO เลย" หลังจากที่ต่อต้านมาหลายปี linux ได้เพิ่มการสนับสนุนใน 3.9.0
ปีเตอร์กรีน

2
ฉันมีคำถามเกี่ยวกับ "เกตเวย์ NAT ถูกใช้บ่อยเพราะง่ายต่อการเข้าสู่การกำหนดค่าที่ปลอดภัยกว่าไฟร์วอลล์ส่วนใหญ่" สำหรับธุรกิจที่มีพนักงานไอทีมืออาชีพหรือผู้บริโภคที่มีความรู้นั้นไม่ใช่เรื่องใหญ่ แต่สำหรับธุรกิจขนาดเล็กทั่วไป / ผู้บริโภคไร้เดียงสาไม่ใช่สิ่งที่ไม่ใช่ "ง่าย" ที่มีความเสี่ยงด้านความปลอดภัยขนาดใหญ่ใช่ไหม เช่นทศวรรษที่ผ่านมาของ "linksys" wifi เครือข่ายไร้สายนั้นมีอยู่เพราะไม่ได้กำหนดค่าความปลอดภัย "ง่ายกว่า" กว่าการกำหนดค่า ด้วยบ้านที่เต็มไปด้วยอุปกรณ์ที่เปิดใช้งาน IoT ระดับผู้บริโภคฉันไม่สามารถเห็นแม่ของฉันกำหนดค่าไฟร์วอลล์ IPv6 ได้อย่างถูกต้อง คุณคิดว่านี่เป็นปัญหาหรือไม่?
Jason C

6
@JasonC ไม่เพราะเกียร์ระดับผู้บริโภคที่ถูกส่งไปแล้วนั้นถูกส่งไปพร้อมกับไฟร์วอลล์ที่ ISP กำหนดค่าไว้ล่วงหน้าเพื่อปฏิเสธขาเข้าทั้งหมด หรือไม่มีการสนับสนุน v6 ความท้าทายคือผู้ใช้ระดับสูงที่คิดว่าพวกเขารู้ว่าพวกเขากำลังทำอะไร แต่ไม่จริง
sysadmin1138

1
คำตอบที่ยอดเยี่ยมโดยรวม แต่ฉันลงคะแนนเพราะมันแทบจะไม่พูดถึงช้างตัวใหญ่ในห้อง: การกำหนดค่าอุปกรณ์รักษาความปลอดภัยอย่างถูกต้องเป็นสิ่งที่คุณไม่สามารถทำได้
Kevin Keane

57

เราเตอร์ NAT สำนักงานของเรา (Linksys BEFSR41 เก่า) ไม่รองรับ IPv6 หรือเราเตอร์ที่ใหม่กว่า

IPv6 รองรับเราเตอร์หลายตัว ไม่ใช่แค่ของที่ถูก ๆ ที่มุ่งเป้าไปที่ผู้บริโภคและโซโห กรณีที่เลวร้ายที่สุดเพียงใช้กล่อง Linux หรือ re-flash เราเตอร์ของคุณด้วย dd-wrt หรือบางสิ่งบางอย่างเพื่อรับการสนับสนุน IPv6 มีหลายทางเลือกคุณอาจต้องดูยากกว่านี้

หากเราควรกำจัดเราเตอร์นี้และเสียบทุกอย่างเข้ากับอินเทอร์เน็ตโดยตรง

ไม่มีอะไรเกี่ยวกับการเปลี่ยนเป็น IPv6 แนะนำว่าคุณควรกำจัดอุปกรณ์รักษาความปลอดภัยในขอบเขตเช่นเราเตอร์ / ไฟร์วอลล์ของคุณ เราเตอร์และไฟร์วอลล์จะยังคงเป็นองค์ประกอบที่จำเป็นของทุกเครือข่าย

เราเตอร์ NAT ทั้งหมดทำหน้าที่เป็นไฟร์วอลล์ที่มีประสิทธิภาพ ไม่มีอะไรน่าอัศจรรย์เกี่ยวกับการใช้ที่อยู่ RFC1918 ที่ปกป้องคุณทั้งหมด เป็นบิต stateful ที่ทำงานหนัก ไฟร์วอลล์ที่ตั้งค่าไว้อย่างเหมาะสมจะช่วยปกป้องคุณเช่นกันหากคุณใช้ที่อยู่จริงหรือที่อยู่ส่วนตัว

การป้องกันเพียงอย่างเดียวที่คุณได้รับจากที่อยู่ RFC1918 คือช่วยให้ผู้ใช้สามารถหลีกเลี่ยงข้อผิดพลาด / ความเกียจคร้านในการกำหนดค่าไฟร์วอลล์ของคุณและยังไม่ได้รับความเสี่ยงทั้งหมด

มีอุปกรณ์ฮาร์ดแวร์เก่าบางตัว (เช่นเครื่องพิมพ์) ที่ไม่มีความสามารถ IPv6 เลย

ดังนั้น? มีโอกาสน้อยมากที่คุณจะต้องทำให้พร้อมใช้งานผ่านอินเทอร์เน็ตและบนเครือข่ายภายในของคุณคุณสามารถเรียกใช้ IPv4 และ IPv6 ต่อไปจนกว่าอุปกรณ์ทั้งหมดของคุณจะได้รับการสนับสนุนหรือเปลี่ยน

หากใช้หลายโปรโตคอลไม่ใช่ตัวเลือกคุณอาจต้องตั้งค่าเกตเวย์ / พร็อกซีบางประเภท

IPSec น่าจะทำให้ทั้งหมดนี้ปลอดภัยได้

IPSEC เข้ารหัสและรับรองความถูกต้องของแพ็คเก็ต มันไม่มีอะไรเกี่ยวข้องกับการกำจัดอุปกรณ์ชายแดนของคุณและมีการปกป้องข้อมูลระหว่างทางมากขึ้น


2
ถูกต้องในหลาย ๆ ด้าน
sysadmin1138

3
รับเราเตอร์จริงและคุณไม่ต้องกังวล SonicWall มีตัวเลือกที่ยอดเยี่ยมเพื่อให้การรักษาความปลอดภัยที่คุณต้องการและจะสนับสนุน IPv6 โดยไม่มีปัญหา ตัวเลือกนี้อาจให้ความปลอดภัยและประสิทธิภาพที่ดีกว่าสิ่งที่คุณมีอยู่ในปัจจุบัน ( news.sonicwall.com/index.php?s=43&item=1022 ) ตามที่คุณเห็นในบทความนี้คุณยังสามารถทำการแปล ipv4 เป็น ipv6 ด้วยอุปกรณ์ sonicwall สำหรับผู้ที่ไม่สามารถจัดการ ipv6 ได้
MaQleod

34

ใช่. NAT นั้นตายแล้ว มีความพยายามบางอย่างในการให้สัตยาบันมาตรฐานสำหรับ NAT ผ่าน IPv6 แต่ก็ไม่มีใครลงมือทำ

สิ่งนี้ทำให้เกิดปัญหาสำหรับผู้ให้บริการที่พยายามทำตามมาตรฐาน PCI-DSS เนื่องจากมาตรฐานระบุว่าคุณต้องอยู่หลัง NAT จริงๆ

สำหรับฉันนี่เป็นข่าวที่วิเศษที่สุดที่ฉันเคยได้ยิน ฉันเกลียด NAT และฉันเกลียด NAT ระดับผู้ให้บริการมากยิ่งขึ้น

NAT เคยมีความหมายเพียงอย่างเดียวในการแก้ปัญหาแบนด์วิดท์เพื่อให้เราผ่านไปได้จนกระทั่ง IPv6 กลายเป็นมาตรฐาน แต่มันก็ฝังลึกเข้าไปในสังคมอินเทอร์เน็ต

สำหรับรอบระยะเวลาการเปลี่ยนแปลงคุณต้องจำไว้ว่า IPv4 และ IPv6 มีนอกเหนือจากชื่อที่คล้ายกันจะแตกต่างกันโดยสิ้นเชิง1 ดังนั้นอุปกรณ์ที่เป็น Dual-Stack, IPv4 ของคุณจะถูก NATted และ IPv6 ของคุณจะไม่ มันเกือบจะเหมือนมีสองอุปกรณ์แยกกันโดยสิ้นเชิงเพียงแค่บรรจุลงในพลาสติกชิ้นเดียว

ดังนั้นการเชื่อมต่ออินเทอร์เน็ต IPv6 ทำงานอย่างไร วิธีที่อินเทอร์เน็ตใช้ในการทำงานก่อนที่ NAT ถูกประดิษฐ์ขึ้นมา ISP ของคุณจะกำหนดช่วง IP ให้คุณ (เหมือนกับตอนนี้ แต่โดยทั่วไปจะกำหนดให้คุณ / 32 ซึ่งหมายความว่าคุณจะได้รับที่อยู่ IP เดียวเท่านั้น) แต่ช่วงของคุณจะมีที่อยู่ IP นับล้านรายการ คุณมีอิสระในการเติมที่อยู่ IP เหล่านี้ตามที่คุณเลือก (ด้วยการกำหนดค่าอัตโนมัติหรือ DHCPv6) ที่อยู่ IP เหล่านี้แต่ละรายการจะปรากฏให้เห็นจากคอมพิวเตอร์เครื่องอื่น ๆ บนอินเทอร์เน็ต

ฟังดูน่ากลัวใช่มั้ย ตัวควบคุมโดเมนของคุณ, โฮมมีเดียพีซีและไอโฟนของคุณที่ซ่อนเร้นภาพอนาจารอยู่ทุกคนจะสามารถเข้าถึงได้จากอินเทอร์เน็ตหรือไม่! ไม่เลย นั่นคือสิ่งที่ไฟร์วอลล์มีไว้สำหรับ คุณสมบัติที่ยอดเยี่ยมอีกอย่างของ IPv6 คือมันบังคับให้ไฟร์วอลล์จากวิธี "อนุญาตทั้งหมด" (เหมือนอุปกรณ์ภายในบ้านส่วนใหญ่) เป็นวิธี "ปฏิเสธทั้งหมด" ซึ่งคุณเปิดบริการสำหรับที่อยู่ IP เฉพาะ 99.999% ของผู้ใช้ตามบ้านจะทำให้ไฟร์วอลล์ของพวกเขาเริ่มต้นอย่างมีความสุขและถูกล็อคอย่างสมบูรณ์ซึ่งหมายความว่าจะไม่อนุญาตให้มีการดูแลการแสดงโฆษณาที่ไม่ได้ร้องขอ

1 ตกลงมีวิธีมากกว่านั้น แต่ก็ไม่เข้ากันได้แม้ว่าพวกเขาทั้งสองอนุญาตโปรโตคอลเดียวกันทำงานอยู่ด้านบน


1
ทุกคนที่อ้างว่ามีคอมพิวเตอร์อยู่หลัง NAT ให้ความปลอดภัยเพิ่มเติมหรือไม่ ฉันได้ยินเรื่องนี้มากมายจากผู้ดูแลระบบไอทีรายอื่น ไม่สำคัญว่าคุณจะบอกว่าไฟร์วอลล์ที่เหมาะสมนั้นเป็นสิ่งที่คุณต้องการเพราะหลายคนเชื่อว่า NAT นั้นจะเพิ่มระดับความปลอดภัย
user9274

3
@ user9274 - ให้การรักษาความปลอดภัยในสองวิธี: 1) ซ่อนที่อยู่ IP ภายในของคุณจากโลก (ซึ่งเป็นสาเหตุที่ PCI-DSS ต้องการมัน) และ 2) มันเป็น "hop" พิเศษจากอินเทอร์เน็ตไปยังเครื่องท้องถิ่น แต่ความจริงแล้วประการแรกคือ "ความปลอดภัยจากความสับสน" ซึ่งไม่ใช่ความปลอดภัยเลยและสำหรับอุปกรณ์ NAT ที่ถูกบุกรุกครั้งที่สองนั้นอันตรายเช่นเดียวกับเซิร์ฟเวอร์ที่ถูกบุกรุกดังนั้นเมื่อผู้โจมตีผ่าน NAT ที่อาจเป็นไปได้ เข้าไปในเครื่องของคุณอยู่ดี
Mark Henderson

นอกจากนี้ความปลอดภัยใด ๆ ที่ได้รับจากการใช้ NAT คือและเป็นประโยชน์โดยไม่ได้ตั้งใจในความพยายามที่จะป้องกันการสูญเสียที่อยู่ IPv4 แน่นอนว่ามันไม่ได้เป็นส่วนหนึ่งและเป้าหมายของการออกแบบที่ฉันรู้
joeqwerty

7
มาตรฐาน PCI-DSS ได้รับการแก้ไขในช่วงปลายเดือนตุลาคม 2010 และข้อกำหนด NAT ได้ถูกลบออก (ส่วน 1.3.8 ของ v1.2) ดังนั้นแม้พวกเขาจะทันกับเวลา
sysadmin1138

2
@ ทำเครื่องหมายไม่แน่ใจว่ามันคุ้มค่าที่จะพูดถึงหรือไม่ แต่ NAT64 กำลังเริ่มต้น แต่มันไม่ใช่ NAT ที่คนส่วนใหญ่คิด อนุญาตให้เครือข่าย IPv6 เท่านั้นที่เข้าถึงอินเทอร์เน็ต IPv4 โดยปราศจากความร่วมมือของลูกค้า มันต้องการการสนับสนุน DNS64 เพื่อให้มันใช้งานได้
Chris S

18

ข้อกำหนด PCI-DSS สำหรับ NAT นั้นเป็นที่รู้จักกันดีว่าเป็นโรงละครรักษาความปลอดภัยและไม่ใช่ความปลอดภัยที่แท้จริง

PCI-DSS ล่าสุดได้สำรองจากการโทร NAT เป็นข้อกำหนดที่แน่นอน หลายองค์กรผ่านการตรวจสอบ PCI-DSS ด้วย IPv4 โดยไม่ต้อง NAT แสดงไฟร์วอลล์ที่มีสถานะเป็น "การใช้งานความปลอดภัยเทียบเท่า"

มีเอกสารโรงละครรักษาความปลอดภัยอื่น ๆ ออกมาเรียกร้องให้ NAT แต่เพราะมันทำลายเส้นทางการตรวจสอบและทำให้การสอบสวน / บรรเทาอุบัติเหตุทำได้ยากขึ้นการศึกษาในเชิงลึกของ NAT (โดยมีหรือไม่มี PAT) เพื่อลบความปลอดภัยสุทธิ

ไฟร์วอลล์ stateful ที่ดีที่ไม่มี NAT เป็นโซลูชั่นที่เหนือกว่าอย่างมากสำหรับ NAT ในโลก IPv6 ใน IPv4 NAT เป็นสิ่งชั่วร้ายที่จำเป็นที่จะต้องทนเพื่อการอนุรักษ์ที่อยู่


2
NAT คือ "ความปลอดภัยขี้เกียจ" และด้วย "ความปลอดภัยขี้เกียจ" ก็ขาดความใส่ใจในรายละเอียดและการสูญเสียความปลอดภัยที่ตั้งใจไว้
Skaperen

1
เห็นด้วยอย่างสมบูรณ์; แม้ว่าวิธีการตรวจสอบ PCI-DSS ส่วนใหญ่จะดำเนินการ (การตรวจสอบโดยลิงกับรายการตรวจสอบ) เป็นความปลอดภัยทั้งหมดที่ขี้เกียจและดำเนินการข้อบกพร่องเหล่านั้น
MadHatter

สำหรับผู้ที่อ้างว่า NAT เป็น "โรงละครรักษาความปลอดภัย" ฉันต้องการจะชี้ไปที่บทความของ The Networking Nerd เกี่ยวกับช่องโหว่ Memcached เมื่อไม่กี่เดือนที่ผ่านมา networkingnerd.net/2018/03/02/…เขาเป็นผู้สนับสนุน IPv6 ตัวยงและผู้เกลียดชัง NAT แต่ต้องชี้ให้เห็นว่า บริษัท หลายพันแห่งได้เปิดเซิร์ฟเวอร์ memcached ไว้บนอินเทอร์เน็ตเนื่องจากกฎไฟร์วอลล์ที่ว่า "ไม่ใช่ สลักอย่างระมัดระวัง " NAT บังคับให้คุณต้องมีความชัดเจนเกี่ยวกับสิ่งที่คุณอนุญาตในเครือข่ายของคุณ
Kevin Keane

12

มันจะเศร้าสักครู่ก่อนที่คุณจะสามารถออกไปกับเครือข่าย IPv6-single-stack จนกว่าจะถึงตอนนั้น dual-stack ที่มีการกำหนดค่าตามความชอบสำหรับ IPv6 เมื่อพร้อมใช้งานเป็นวิธีการทำงาน

ในขณะที่เราเตอร์สำหรับผู้บริโภคส่วนใหญ่ไม่รองรับ IPv6 ที่มีเฟิร์มแวร์หุ้นวันนี้หลายคนสามารถรองรับกับ Firmwares ของบุคคลที่สาม (เช่น Linksys WRT54G พร้อม dd-wrt เป็นต้น) นอกจากนี้ยังมีอุปกรณ์ระดับธุรกิจมากมาย (Cisco, Juniper) ที่รองรับ IPv6 นอกกรอบ

สิ่งสำคัญคือไม่ให้สับสน PAT (หลายต่อหนึ่ง NAT เช่นเดียวกับเราเตอร์ผู้บริโภคทั่วไป) กับ NAT ในรูปแบบอื่นและด้วย NAT-free firewalling เมื่ออินเทอร์เน็ตกลายเป็น IPv6 เท่านั้นไฟร์วอลล์จะยังคงป้องกันการเปิดเผยบริการภายใน เช่นเดียวกันระบบ IPv4 ที่มี NAT แบบหนึ่งต่อหนึ่งจะไม่ได้รับการป้องกันโดยอัตโนมัติ นั่นเป็นหน้าที่ของนโยบายไฟร์วอลล์


11

มีความสับสนจำนวนมากเกี่ยวกับเรื่องนี้เนื่องจากผู้ดูแลระบบเครือข่ายเห็น NAT ในแง่มุมหนึ่งและลูกค้าธุรกิจขนาดเล็กและที่อยู่อาศัยเห็นในอีกแง่หนึ่ง ให้ฉันอธิบาย

Static NAT (บางครั้งเรียกว่า NAT แบบหนึ่งต่อหนึ่ง) ไม่มีการป้องกันสำหรับเครือข่ายส่วนตัวของคุณหรือพีซีแต่ละเครื่อง การเปลี่ยนที่อยู่ IP นั้นไม่มีความหมายเท่าที่มีการป้องกัน

NAT / PAT โอเวอร์โหลดแบบไดนามิกเช่นเกตเวย์ที่อยู่อาศัยและ WiFi AP ส่วนใหญ่ทำหน้าที่ช่วยปกป้องเครือข่ายส่วนตัวและ / หรือพีซีของคุณ โดยการออกแบบตาราง NAT ในอุปกรณ์เหล่านี้เป็นตารางสถานะ มันจะติดตามคำขอขาออกและแมปพวกเขาในตาราง NAT - การหมดเวลาการเชื่อมต่อหลังจากระยะเวลาหนึ่ง เฟรมขาเข้าที่ไม่ได้ร้องขอใด ๆ ที่ไม่ตรงกับสิ่งที่อยู่ในตาราง NAT จะถูกดร็อปตามค่าเริ่มต้น - เราเตอร์ NAT จะไม่รู้ตำแหน่งที่จะส่งเฟรมเหล่านั้นในเครือข่ายส่วนตัว ด้วยวิธีนี้อุปกรณ์เดียวที่คุณปล่อยให้เสี่ยงต่อการถูกแฮ็กเข้าไปคือเราเตอร์ของคุณ เนื่องจากช่องโหว่ด้านความปลอดภัยส่วนใหญ่นั้นใช้ Windows - การมีอุปกรณ์เช่นนี้ระหว่างอินเทอร์เน็ตและพีซี Windows ของคุณช่วยปกป้องเครือข่ายของคุณได้อย่างแท้จริง มันอาจจะไม่ใช่ฟังก์ชั่นที่ตั้งใจไว้ แต่เดิม ซึ่งจะบันทึกใน IP สาธารณะ แต่จะทำงานให้เสร็จ อุปกรณ์เหล่านี้ส่วนใหญ่มีความสามารถด้านไฟร์วอลล์ซึ่งหลาย ๆ ครั้งบล็อกการร้องขอ ICMP โดยค่าเริ่มต้นซึ่งช่วยปกป้องเครือข่าย

จากข้อมูลข้างต้นการกำจัด NAT เมื่อย้ายไปใช้ IPv6 อาจทำให้ผู้บริโภคและธุรกิจขนาดเล็กหลายล้านเครื่องต้องแฮ็คข้อมูล มันจะมีผลกระทบเล็กน้อยต่อไม่มีผลกับเครือข่ายขององค์กรเนื่องจากมีการจัดการไฟร์วอลล์ระดับมืออาชีพ เครือข่ายผู้บริโภคและธุรกิจขนาดเล็กอาจไม่มีเราเตอร์ NAT ที่ใช้ * nix ระหว่างอินเทอร์เน็ตและพีซีของพวกเขาอีกต่อไป ไม่มีเหตุผลที่คนไม่สามารถเปลี่ยนไปใช้วิธีแก้ปัญหาไฟร์วอลล์เท่านั้น - ปลอดภัยกว่าหากปรับใช้อย่างถูกต้อง แต่ยังอยู่นอกเหนือขอบเขตที่ 99% ของผู้บริโภคเข้าใจวิธีการทำ Dynamic Overloaded NAT ให้การปกป้องเพียงเล็กน้อยโดยใช้งาน - เสียบเราเตอร์ที่อยู่อาศัยของคุณและคุณได้รับการป้องกัน ง่าย.

ที่กล่าวมาไม่มีเหตุผลที่ NAT ไม่สามารถใช้งานได้ในแบบเดียวกับที่ใช้ใน IPv4 ในความเป็นจริงเราเตอร์อาจได้รับการออกแบบให้มีที่อยู่ IPv6 หนึ่งแห่งบนพอร์ต WAN ที่มีเครือข่ายส่วนตัว IPv4 ที่อยู่ด้านหลังของ NAT ที่อยู่บนนั้น (ตัวอย่าง) นี่จะเป็นทางออกที่ง่ายสำหรับผู้บริโภคและผู้อยู่อาศัย อีกทางเลือกหนึ่งคือการทำให้อุปกรณ์ทั้งหมดที่มี IPv6 IP สาธารณะ --- อุปกรณ์ระดับกลางนั้นสามารถทำหน้าที่เป็นอุปกรณ์ L2 แต่มีตารางสถานะการตรวจสอบแพ็คเก็ตและไฟร์วอลล์ที่ทำงานได้อย่างสมบูรณ์ โดยพื้นฐานแล้วไม่มี NAT แต่ยังคงบล็อกเฟรมขาเข้าที่ไม่ได้ร้องขอ สิ่งสำคัญที่ควรจำไว้คือคุณไม่ควรเชื่อมต่อพีซีของคุณเข้ากับการเชื่อมต่อ WAN โดยตรงโดยไม่มีอุปกรณ์ตัวกลาง ยกเว้นกรณีที่คุณต้องการใช้ไฟร์วอลล์ Windows . . และนั่นคือการสนทนาที่แตกต่างกัน

จะมีความเจ็บปวดเพิ่มขึ้นย้ายไปที่ IPv6 แต่ไม่มีปัญหาใด ๆ ที่ไม่สามารถแก้ไขได้อย่างง่ายดาย คุณจะต้องทิ้งเราเตอร์ IPv4 หรือเกตเวย์ที่อยู่อาศัยเดิมของคุณหรือไม่ อาจจะมี แต่จะมีโซลูชั่นใหม่ราคาไม่แพงเมื่อเวลามาถึง หวังว่าอุปกรณ์จำนวนมากจะต้องใช้แฟลชเฟิร์มแวร์ IPv6 ได้รับการออกแบบเพื่อให้สอดคล้องกับสถาปัตยกรรมปัจจุบันได้อย่างลงตัวหรือไม่ แน่นอน แต่มันคือสิ่งที่มันเป็นและมันจะไม่หายไป - ดังนั้นคุณอาจเรียนรู้มันใช้ชีวิตรักมัน


3
สำหรับสิ่งที่คุ้มค่าฉันขอย้ำว่าสถาปัตยกรรมปัจจุบันนั้นขาดความสามารถพื้นฐาน (ความสามารถในการกำหนดเส้นทางแบบ end-to-end) ซึ่งจะสร้างปัญหาที่เกิดขึ้นจริงในเครือข่ายที่ซับซ้อน (อุปกรณ์ NAT ซ้ำซ้อนมีความซับซ้อนและแพงเกินไป) การแฮ็ก NAT ลดลงจะลดความซับซ้อนและจุดที่อาจเกิดความล้มเหลวในขณะที่ความปลอดภัยถูกรักษาด้วยไฟร์วอลล์แบบง่าย ๆ (ฉันไม่สามารถจินตนาการได้ว่าเราเตอร์ SOHO ตัวที่สองจะมาถึงโดยไม่มีไฟร์วอลล์ที่เปิดใช้งานโดยค่าเริ่มต้น ความคิด).
Chris S

บางครั้งความสามารถในการกำหนดเส้นทางจากต้นทางถึงปลายทางแตกหักเป็นสิ่งที่คุณต้องการ ฉันไม่ต้องการเครื่องพิมพ์และพีซีของฉันสามารถส่งไปจากอินเทอร์เน็ตได้ ในขณะที่ NAT เริ่มต้นเป็นแฮ็กมันได้พัฒนาเป็นเครื่องมือที่ใช้งานได้ดีซึ่งในบางกรณีสามารถปรับปรุงความปลอดภัยโดยการลบความเป็นไปได้สำหรับแพ็กเก็ตเพื่อกำหนดเส้นทางไปยังโหนดโดยตรง หากฉันมี RFC1918 IP ที่กำหนดไว้บนพีซีแบบคงที่ไม่ว่าในกรณีใด IP จะสามารถกำหนดเส้นทางได้บนอินเทอร์เน็ต
Computerguy

6
routability ร่วงเป็นสิ่งที่ไม่ดี™ สิ่งที่คุณต้องการสำหรับอุปกรณ์ของคุณจะไม่สามารถเข้าถึงได้ทางอินเทอร์เน็ต (โดยไฟร์วอลล์) นั่นไม่ใช่สิ่งเดียวกัน ดูทำไมคุณต้องใช้ IPv6 ภายใน . นอกจากนี้ RFC1918 ระบุว่าควรใช้ที่อยู่เหล่านั้นสำหรับเครือข่ายส่วนตัวเท่านั้นและการเข้าถึงอินเทอร์เน็ตควรจัดทำโดยเกตเวย์ชั้นแอปพลิเคชันเท่านั้น (ซึ่ง NAT ไม่ใช่) สำหรับการเชื่อมต่อภายนอกโฮสต์ควรได้รับที่อยู่จากการจัดสรรแบบประสานงานของ IANA Hacks ไม่ว่าจะมีประโยชน์อย่างไรให้ทำการประนีประนอมโดยไม่จำเป็นและไม่ใช่วิธีที่ 'ถูกต้อง'
Chris S

10

ถ้า NAT มีชีวิตอยู่ในโลกของ IPv6 ก็น่าจะเป็น 1: 1 NAT รูปแบบ NAT ไม่เคยเห็นในพื้นที่ IPv4 NAT 1: 1 คืออะไร มันคือการแปล 1: 1 ของที่อยู่ทั่วโลกเป็นที่อยู่ในท้องถิ่น IPv4 ที่เทียบเท่าจะแปลการเชื่อมต่อทั้งหมดเป็น 1.1.1.2 เท่านั้นเป็น 10.1.1.2 และต่อไปสำหรับพื้นที่ 1.0.0.0/8 ทั้งหมด เวอร์ชัน IPv6 จะเป็นการแปลที่อยู่ร่วมเป็นที่อยู่เฉพาะในพื้นที่

การรักษาความปลอดภัยขั้นสูงนั้นสามารถทำได้โดยการหมุนการแมปไปยังที่อยู่ที่คุณไม่สนใจ (เช่นผู้ใช้ในสำนักงานที่กำลังดู Facebook) ภายในหมายเลข ULA ของคุณจะยังคงเหมือนเดิมดังนั้น DNS แบบแบ่งเขตของคุณจะทำงานได้ดี แต่ลูกค้าภายนอกจะไม่เคยอยู่บนพอร์ตที่คาดเดาได้

แต่จริงๆแล้วมันเป็นระบบรักษาความปลอดภัยที่ได้รับการปรับปรุงเล็กน้อยเพื่อสร้างความยุ่งยาก การสแกนเครือข่ายย่อย IPv6 เป็นงานที่มีขนาดใหญ่มากและเป็นไปไม่ได้โดยไม่ต้องกำหนดว่าที่อยู่ IP จะถูกกำหนดบนเครือข่ายย่อยเหล่านั้นได้อย่างไร (วิธีการสร้าง MAC - วิธีสุ่มการกำหนดที่อยู่ที่มนุษย์อ่านได้)

ในกรณีส่วนใหญ่สิ่งที่จะเกิดขึ้นคือลูกค้าที่อยู่หลังไฟร์วอลล์ขององค์กรจะได้รับที่อยู่สากลบางทีอาจเป็น ULA และไฟร์วอลล์รอบนอกจะถูกตั้งค่าให้ปฏิเสธการเชื่อมต่อที่เข้ามาทุกประเภทกับที่อยู่เหล่านั้น สำหรับทุกเจตนาและวัตถุประสงค์ที่อยู่เหล่านั้นไม่สามารถเข้าถึงได้จากภายนอก เมื่อไคลเอนต์ภายในเริ่มต้นการเชื่อมต่อแพคเก็ตจะได้รับอนุญาตผ่านการเชื่อมต่อนั้น ความจำเป็นในการเปลี่ยนที่อยู่ IP เป็นสิ่งที่แตกต่างกันอย่างสิ้นเชิงนั้นได้รับการจัดการโดยการบังคับให้ผู้โจมตีเลื่อนผ่านที่อยู่ที่เป็นไปได้ 2 ^ 64 บนเครือข่ายย่อยนั้น


@ sysadmin1138: ฉันชอบวิธีนี้ ตามที่ฉันเข้าใจ IPv6 ในปัจจุบันถ้า ISP ของฉันให้ฉัน / 64 ฉันควรใช้ / 64 ในเครือข่ายทั้งหมดของฉันหากฉันต้องการให้เครื่องของฉันสามารถใช้อินเทอร์เน็ต IPv6 ได้ แต่ถ้าฉันเบื่อกับ ISP นั้นและย้ายไปที่อื่นตอนนี้ฉันต้องกำหนดหมายเลขใหม่ทั้งหมด
Kumba

1
@ sysadmin1138: ที่กล่าวว่า แต่ฉันสังเกตเห็นว่าฉันสามารถกำหนด IP หลายรายการให้กับอินเทอร์เฟซเดียวได้ง่ายกว่า IPv4 มากดังนั้นฉันจึงสามารถมองเห็นการใช้ ISP ที่ได้รับ / 64 สำหรับการเข้าถึงจากภายนอก comms ระหว่างโฮสต์และใช้ไฟร์วอลล์เพื่อทำให้ที่อยู่ ULA ไม่สามารถเข้าถึงได้จากภายนอก มีการตั้งค่าเพิ่มเติมที่เกี่ยวข้อง แต่ดูเหมือนว่ามันจะหลีกเลี่ยง NAT โดยสิ้นเชิง
Kumba

@ sysadmin1138: ฉันยังคงเกาหัวของฉันเกี่ยวกับสาเหตุที่ ULA เป็นสำหรับทุกเจตนาและวัตถุประสงค์ส่วนตัว แต่พวกเขาคาดว่าจะยังคงไม่ซ้ำกันทั่วโลก มันเหมือนกับว่าฉันสามารถมีรถยี่ห้อและรุ่นใดก็ได้ที่มีอยู่ในปัจจุบัน แต่ไม่มียี่ห้อ / รุ่น / ปีใด ๆ ที่ใช้อยู่แล้วแม้ว่าจะเป็นรถของฉันและฉันจะเป็นคนขับเดียวที่มันจะมี
Kumba

2
@Kumba เหตุผลที่อยู่ RFC 4193 ควรไม่ซ้ำกันทั่วโลกคือเพื่อให้แน่ใจว่าคุณจะไม่ต้องเปลี่ยนหมายเลขในอนาคต บางทีวันหนึ่งคุณต้องรวมสองเครือข่ายโดยใช้ที่อยู่ RFC 4193 หรือหนึ่งเครื่องที่มีที่อยู่ RFC 4193 แล้วอาจต้องเชื่อมต่อกับ VPN หนึ่งตัวหรือมากกว่านั้นซึ่งมีที่อยู่ RFC 4193 ด้วย
kasperd

1
@ Kumba หากทุกคนใช้ fd00 :: / 64 สำหรับกลุ่มแรกในเครือข่ายของพวกเขาคุณจะพบข้อขัดแย้งทันทีที่เครือข่ายคู่ใด ๆ ทั้งสองต้องสื่อสารกัน จุดของ RFC 4193 คือตราบใดที่คุณเลือก 40 บิตของคุณแบบสุ่มคุณสามารถกำหนด 80 บิตที่เหลือได้ตามที่คุณต้องการและมั่นใจได้ว่าคุณจะไม่ต้องเปลี่ยนหมายเลขใหม่
kasperd

9

RFC 4864 อธิบายการป้องกันเครือข่ายท้องถิ่น IPv6ซึ่งเป็นชุดของวิธีการสำหรับการให้ประโยชน์ที่รับรู้ของ NAT ในสภาพแวดล้อม IPv6 โดยไม่ต้องใช้ NAT จริง

เอกสารนี้ได้อธิบายถึงเทคนิคต่าง ๆ ที่อาจนำมารวมกันบนไซต์ IPv6 เพื่อปกป้องความสมบูรณ์ของสถาปัตยกรรมเครือข่าย เทคนิคเหล่านี้เรียกรวมกันว่า Local Network Protection รักษาแนวคิดของขอบเขตที่กำหนดไว้อย่างดีระหว่าง "ภายใน" และ "นอก" เครือข่ายส่วนตัวและอนุญาตให้ใช้ไฟร์วอลล์การซ่อนทอพอโลยีและความเป็นส่วนตัว อย่างไรก็ตามเนื่องจากพวกเขารักษาความโปร่งใสของที่อยู่ตามที่จำเป็นพวกเขาบรรลุเป้าหมายเหล่านี้โดยไม่เสียเปรียบการแปลที่อยู่ ดังนั้นการป้องกันเครือข่ายท้องถิ่นใน IPv6 สามารถให้ประโยชน์ของการแปลที่อยู่เครือข่าย IPv4 โดยไม่มีข้อเสียที่สอดคล้องกัน

ก่อนอื่นจะระบุว่าประโยชน์ที่รับรู้ของ NAT คืออะไร (และหักล้างพวกเขาเมื่อเหมาะสม) จากนั้นอธิบายคุณสมบัติของ IPv6 ที่สามารถใช้เพื่อให้ประโยชน์ดังกล่าวได้ นอกจากนี้ยังมีบันทึกการใช้งานและกรณีศึกษา

แม้ว่าจะพิมพ์นานเกินไปที่นี่แล้วประโยชน์ที่กล่าวถึงคือ:

  • เกตเวย์แบบง่าย ๆ ระหว่าง "ภายใน" และ "นอก"
  • ไฟร์วอลล์ stateful
  • การติดตามผู้ใช้ / แอปพลิเคชัน
  • ความเป็นส่วนตัวและการซ่อนโครงสร้าง
  • การควบคุมที่อยู่อย่างอิสระในเครือข่ายส่วนตัว
  • Multihoming / การเรียงลำดับ

สิ่งนี้ครอบคลุมสถานการณ์ทั้งหมดที่หนึ่งอาจต้องการ NAT และนำเสนอโซลูชันสำหรับการนำไปใช้ใน IPv6 โดยไม่มี NAT

เทคโนโลยีบางอย่างที่คุณจะใช้คือ:

  • ที่อยู่ในพื้นที่ที่ไม่ซ้ำกัน: แนะนำสิ่งเหล่านี้ในเครือข่ายภายในของคุณเพื่อให้การสื่อสารภายในของคุณเป็นแบบภายในและเพื่อให้แน่ใจว่าการสื่อสารภายในสามารถดำเนินต่อไปได้แม้ว่า ISP จะหยุดทำงาน
  • ส่วนขยายความเป็นส่วนตัวของ IPv6 ที่มีอายุการใช้งานสั้น ๆ และตัวระบุอินเทอร์เฟซที่มีโครงสร้างไม่ชัดเจน: สิ่งเหล่านี้ช่วยป้องกันการโจมตีโฮสต์แต่ละบุคคลและการสแกนซับเน็ต
  • IGP, Mobile IPv6 หรือ VLANs สามารถใช้เพื่อซ่อนโทโพโลยีของเครือข่ายภายใน
  • นอกเหนือจาก ULAs แล้ว DHCP-PD จาก ISP ยังช่วยให้การกำหนดหมายเลข / มัลติแฮงค์ทำได้ง่ายกว่าด้วย IPv4

( ดู RFCสำหรับรายละเอียดที่สมบูรณ์อีกครั้งมันนานเกินไปที่จะพิมพ์ซ้ำหรือแม้กระทั่งตัดตอนมาอย่างมีนัยสำคัญจาก)

สำหรับการอภิปรายทั่วไปมากขึ้นของการรักษาความปลอดภัยการเปลี่ยนแปลง IPv6 ดูRFC 4942


8

ชนิดของ มี "ประเภท" ที่อยู่ IPv6 แตกต่างกันจริง ๆ RFC 1918 ที่ใกล้เคียงที่สุด (10/8, 172.16 / 12, 192.168 / 16) เรียกว่า "ที่อยู่เฉพาะของท้องถิ่น" และกำหนดไว้ใน RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

ดังนั้นคุณเริ่มต้นด้วย fd00 :: / 8 จากนั้นเพิ่มสตริง 40 บิต (โดยใช้อัลกอริทึมที่กำหนดไว้ล่วงหน้าใน RFC!) และคุณท้ายด้วยคำนำหน้าหลอกสุ่ม / 48 ที่ควรจะไม่ซ้ำกันทั่วโลก คุณมีพื้นที่ที่เหลือเพื่อกำหนด แต่ที่คุณต้องการ

คุณควรบล็อก fd00 :: / 7 (fc00 :: / 8 และ fd00 :: / 8) ที่เราเตอร์ (IPv6) ของคุณให้อยู่นอกองค์กรของคุณ - จึงเป็น "local" ในชื่อที่อยู่ ที่อยู่เหล่านี้ในขณะที่อยู่ในพื้นที่ที่อยู่ทั่วโลกไม่ควรเข้าถึงได้ทั่วโลกในวงกว้างเพียงแค่อยู่ใน "องค์กร" ของคุณ

หากเซิร์ฟเวอร์ PCI-DSS ของคุณต้องการ IPv6 สำหรับการเชื่อมต่อกับโฮสต์ IPv6 ภายในอื่นคุณควรสร้างคำนำหน้า ULA สำหรับ บริษัท ของคุณและใช้เพื่อจุดประสงค์นี้ คุณสามารถใช้การกำหนดค่าอัตโนมัติของ IPv6 เช่นเดียวกับคำนำหน้าอื่น ๆ หากคุณต้องการ

เนื่องจาก IPv6 ได้รับการออกแบบเพื่อให้โฮสต์สามารถมีหลายที่อยู่ได้เครื่องสามารถมีได้นอกเหนือจาก ULA ซึ่งเป็นที่อยู่ที่สามารถกำหนดเส้นทางได้ทั่วโลกเช่นกัน ดังนั้นเว็บเซิร์ฟเวอร์ที่ต้องการพูดคุยกับทั้งโลกภายนอกและเครื่องจักรภายในสามารถมีทั้งที่อยู่ prefex ที่ได้รับจาก ISP และส่วนนำหน้า ULA ของคุณ

หากคุณต้องการฟังก์ชั่นคล้าย NAT คุณสามารถดู NAT66 ได้เช่นกัน แต่โดยทั่วไปฉันจะเป็นสถาปนิกรอบ ULA หากคุณมีคำถามเพิ่มเติมคุณอาจต้องการตรวจสอบรายชื่อผู้รับจดหมาย "ipv6-ops"


1
ฮะ ฉันเขียนความคิดเห็นเหล่านั้นทั้งหมดไปยัง sysadmin1138 และไม่คิดว่าจะดูคำตอบของคุณเกี่ยวกับการใช้ที่อยู่คู่สำหรับคอมมิวนิตี้ระดับโลกและระดับท้องถิ่น อย่างไรก็ตามฉันไม่เห็นด้วยอย่างรุนแรงกับศีลของ ULA ที่ต้องไม่ซ้ำกันทั่วโลก ฉันไม่ชอบตัวเลข 40 บิตแบบสุ่มเลยโดยเฉพาะกับ LAN ภายในของฉันซึ่งฉันเป็นผู้ใช้คนเดียว พวกเขาอาจต้องการฐานข้อมูลโลกของ ULAs เพื่อลงทะเบียน (SixXS ทำงานเช่นนี้) แต่วางระเบียบตัวเลขสุ่มและปล่อยให้คนมีความคิดสร้างสรรค์ เหมือนป้ายทะเบียนส่วนตัว คุณสมัครหนึ่งใบและถ้ามีคุณก็ลองอีกอัน
Kumba

1
@Kumba พวกเขากำลังพยายามที่จะหยุดทุกเครือข่ายเดียวโดยใช้ที่อยู่เดียวกัน - สุ่มหมายความว่าคุณไม่ต้องการฐานข้อมูลสาธารณะและแต่ละเครือข่ายมีความเป็นอิสระ หากคุณต้องการออกที่อยู่ส่วนกลางจากนั้นใช้ที่อยู่ส่วนกลาง!
Richard Gadsden

@ ริชาร์ด: นั่นคือ ... ฉันจะนำเสนอแนวคิดที่ไร้สาระได้อย่างไร IMHO ทำไมจึงเป็นเรื่องสำคัญหาก บริษัท Joe เล็ก ๆ ในเมืองในมอนทานาใช้ที่อยู่ IPv6 เดียวกันกับ บริษัท เล็ก ๆ อีกแห่งหนึ่งในเมืองเพิร์ทประเทศออสเตรเลีย อัตราต่อรองของทั้งสองที่เคยผ่านมาแม้จะเป็นไปไม่ได้ หากความตั้งใจของผู้ออกแบบ IPv6 คือการพยายามทำไปโดยสิ้นเชิงกับแนวคิดของ "เครือข่ายส่วนตัว" พวกเขาจำเป็นต้องตรวจสอบกาแฟของพวกเขาเพราะนั่นไม่ใช่ความเป็นจริงที่เป็นไปได้
Kumba

2
@ Kumba ฉันคิดว่ามันเป็นรอยแผลเป็นจากเมื่อคุณพยายามที่จะรวมเครือข่ายส่วนตัว IPv4 ขนาดใหญ่สองแห่งใน 10/8 และคุณต้องกำหนดหมายเลขหนึ่ง (หรือทั้งสองอย่าง) ที่พวกเขาพยายามหลีกเลี่ยง
Richard Gadsden

2
@ ริชาร์ด: แน่นอนไม่มีอะไรเจ็บปวดไปกว่าการใช้ VPN เพื่อเชื่อมต่อกับเครือข่ายอื่นที่มีซับเน็ตส่วนตัวเดียวกันการใช้งานบางอย่างจะหยุดทำงาน
Hubert Kario

4

IMHO: ไม่

ยังมีบางสถานที่ที่สามารถใช้งาน SNAT / DNAT ได้อย่างเต็มรูปแบบ สำหรับตัวอย่างบางเซิร์ฟเวอร์ถูกย้ายไปยังเครือข่ายอื่น แต่เราไม่ต้องการ / เราไม่สามารถเปลี่ยน IP ของแอปพลิเคชันได้


1
คุณต้องใช้ชื่อ DNS แทนที่อยู่ IP ในการกำหนดค่าแอปพลิเคชันของคุณ
rmalayter

DNS ไม่สามารถแก้ปัญหาของคุณได้หากคุณต้องการสร้างเส้นทางเครือข่ายโดยไม่ต้องแก้ไขโทโพโลยีการกำหนดเส้นทางทั้งหมดและกฎการไฟร์วอลล์
sumar

3

หวังว่า NAT จะหายไปตลอดกาล มันจะมีประโยชน์เฉพาะเมื่อคุณมีที่อยู่ IP ไม่เพียงพอและไม่มีคุณสมบัติด้านความปลอดภัยที่ไม่ได้ให้บริการที่ดีกว่าถูกกว่าและจัดการได้ง่ายกว่าโดยไฟร์วอลล์ที่มีสถานะ

เนื่องจาก IPv6 = ไม่มีความขาดแคลนอีกต่อไปนั่นหมายความว่าเราสามารถกำจัดโลกของการแฮ็กที่น่าเกลียดนั่นคือ NAT


3

ฉันไม่เห็นคำตอบที่ชัดเจนว่าการสูญเสีย NAT (ถ้าหายไปจริงๆ) ด้วย IPv6 จะส่งผลกระทบต่อความเป็นส่วนตัวของผู้ใช้

ด้วยที่อยู่ IP ของอุปกรณ์แต่ละรายการที่เปิดเผยต่อสาธารณะมันจะง่ายกว่ามากสำหรับบริการเว็บในการสำรวจ (รวบรวมจัดเก็บรวมกันตามกาลเวลาและพื้นที่และเว็บไซต์ เว้นแต่ ... ISP, เราเตอร์และอุปกรณ์อื่น ๆ ทำให้เป็นไปได้และง่ายต่อการมีที่อยู่ IPv6 แบบไดนามิกที่สามารถเปลี่ยนได้บ่อยครั้งสำหรับอุปกรณ์แต่ละเครื่อง

แน่นอนไม่ว่าเราจะยังคงมีปัญหาเรื่องที่อยู่ MAC Wi-Fi แบบคงที่เป็นสาธารณะ แต่นั่นเป็นอีกเรื่อง ...


2
คุณเพียงแค่ต้องเปิดใช้งานที่อยู่ความเป็นส่วนตัว นั่นจะทำให้คุณมีความเป็นส่วนตัวมากที่สุดเท่าที่ NAT จะทำได้ นอกจากนี้เมื่อใช้ IPv6 คุณจะพบปัญหาที่เกิดจากการเลือก IPID น้อยลง
kasperd

2

มีโครงร่างมากมายที่จะสนับสนุน NAT ในสถานการณ์การเปลี่ยนแปลง V4 ถึง V6 อย่างไรก็ตามหากคุณมีเครือข่าย IPV6 ทั้งหมดและเชื่อมต่อกับผู้ให้บริการ IPV6 ต้นน้ำ NAT ไม่ได้เป็นส่วนหนึ่งของระเบียบโลกใหม่ยกเว้นว่าคุณสามารถเชื่อมต่อระหว่างเครือข่าย V4 ผ่านเครือข่าย V6

Cisco มีข้อมูลทั่วไปมากมายเกี่ยวกับสถานการณ์ 4to6 การโยกย้ายและการสร้างอุโมงค์

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

นอกจากนี้ที่ Wikipedia:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms


2

การเมืองและแนวปฏิบัติทางธุรกิจขั้นพื้นฐานน่าจะช่วยให้ NAT มีอยู่จริง ที่อยู่ IPv6 เหลือเฟือหมายถึงผู้ให้บริการอินเทอร์เน็ตจะถูกเรียกเก็บค่าธรรมเนียมต่ออุปกรณ์หรือ จำกัด การเชื่อมต่อกับอุปกรณ์ที่มีการ จำกัด จำนวนเท่านั้น ดูบทความล่าสุดนี้ใน / ตัวอย่างเช่น:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device


2
ผมไม่แน่ใจ. ฉันคิดว่าจะมีการประท้วงทางเทคนิคครั้งใหญ่กับผู้ให้บริการอินเทอร์เน็ตรายใดที่พยายามเรียกเก็บเงินต่ออุปกรณ์ แม้ว่าฉันจะเห็นได้ว่าทำไม ISP ถึงกระโดดถึงแนวคิดนี้เพราะตอนนี้พวกเขาสามารถบอกได้ว่ามีอุปกรณ์จำนวนเท่าใดที่อยู่อีกปลายหนึ่งของการเชื่อมต่อ
Mark Henderson

1
ให้ย้ายเพื่อให้ระดับของการไม่เปิดเผยชื่อโดยใช้ที่อยู่ชั่วคราวสำหรับการเชื่อมต่อขาออกการบังคับใช้ตามกฎของอุปกรณ์จะซับซ้อนหากไม่สามารถทำได้ อุปกรณ์อาจมีที่อยู่ทั่วโลกอย่างน้อย 2 ที่อยู่ภายใต้โครงการนี้นอกเหนือจากที่ได้รับมอบหมายอื่น ๆ
BillThor

2
@ Mark Henderson - มี ISP ที่คิดค่าบริการต่ออุปกรณ์อยู่แล้ว ตัวอย่างเช่น AT&T คิดค่าใช้จ่ายเพิ่มเติมสำหรับ "การปล่อยสัญญาณ"
Richard Gadsden

1
@Richard - ถ้าเป็นอย่างนั้นถ้าฉันอยู่กับ AT&T ฉันจะทำให้พวกเขาเหมือนมันร้อน
Mark Henderson

@ Mark - นั่นคือ AT&T ไร้สาย (ดูสัญญา iPhone เช่น)
Richard Gadsden

-2

FYI ทุกคนที่น่าสนใจกำลังใช้ NAT / NAPT กับ IPV6 สามารถ ระบบปฏิบัติการ BSD ทั้งหมดที่มี PF รองรับ NAT66 ใช้งานได้ดี จากบล็อกที่เราใช้ :

ipv6 nat (nat66) โดย FreeBSD pf

แม้ว่า nat66 จะยังอยู่ภายใต้ร่าง แต่ FreeBSD pf รองรับอยู่แล้วเป็นเวลานาน

(แก้ไข pf.conf และใส่รหัสต่อไปนี้)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

คุณพร้อมแล้ว!

ใช้งานได้ดีสำหรับคนที่เคยใช้ปลาหมึกกับที่อยู่ IP เดียวมานานหลายปี ด้วย IPv6 NAT ฉันสามารถรับที่อยู่ส่วนตัว 2 ^ 120 (ไซต์ในพื้นที่) ซึ่งรวมถึงซับเน็ตขนาด 2 ^ 56 ที่ยาวกับซับเน็ต 5/64 ของฉัน นั่นหมายความว่าฉันจะต้องฉลาดกว่า IPv6 กูรูถึง 100 พันล้านเท่าเพราะฉันมีที่อยู่มากกว่านี้: D

ความจริงก็คือเพราะฉันมีที่อยู่มากกว่า (หรืออาจใช้ IPv6 นานกว่าคุณ) จริง ๆ ไม่ได้ทำให้ IPv6 (หรือฉันสำหรับปัญหาเดียวกัน) ดีกว่า อย่างไรก็ตามมันทำให้ IPv6 มีความซับซ้อนมากขึ้นซึ่งจำเป็นต้องใช้ไฟร์วอลล์แทน PAT และ NAT ไม่ใช่ข้อกำหนดอีกต่อไป แต่เป็นตัวเลือก เป้าหมายของไฟร์วอลล์คืออนุญาตการเชื่อมต่อขาออกทั้งหมดและคงสถานะไว้ แต่บล็อกการเชื่อมต่อที่เริ่มต้นขาเข้า

สำหรับ NAPT (NAT กับ PAT) จะต้องใช้เวลาพอสมควรในการทำให้คนออกจากความคิด ตัวอย่างเช่นจนกว่าเราจะได้ปู่ทวดของคุณติดตั้งไฟร์วอลล์ IPv6 ของตัวเองโดยไม่ต้องระบุที่อยู่ในพื้นที่ (ที่อยู่ส่วนตัว) และหากไม่ได้รับความช่วยเหลือจากกูรู ทุกอย่างที่เขารู้


2
อุปกรณ์ SOHO โดยเฉลี่ยของคุณซึ่งรองรับ IPv6 ในที่สุดจะมาโดยไม่ต้องใช้ IPv6 NAT (ซึ่ง NAT66 ที่คุณอ้างไม่ทำงานเหมือนกับ NATv4 แต่เราจะไปด้วยกันต่อไป) และมาพร้อมกับปฏิเสธกฎสำหรับ ทราฟฟิกขาเข้า (พร้อมด้วยการอนุญาตให้ทำการเชื่อมต่อขาออกได้อย่างเป็นรัฐ) ซึ่งให้ความปลอดภัยเหมือนกันทุกอย่างในปัจจุบัน IPv4 SOHO Gear ดังที่คนอื่น ๆ ชี้ให้เห็นเราเข้าใจว่าผู้คนพึงพอใจและสะดวกสบายกับเทคโนโลยีแฮ็คของพวกเขานั่นไม่ได้หมายความว่าพวกเขาจำเป็นหรือมากกว่าโรงละครรักษาความปลอดภัย
Chris S

NAT66 ไม่จำเป็นต้องทำงานเหมือนกับ NAT44 ต้องการเพียงเสียงเดียวกันเพื่อให้เราสามารถจับคนเข้าสู่ IPv6 ได้เร็วขึ้น เมื่อพวกเขาเข้าสู่ IPv6 เราจะสามารถทำงานเป็นทีมเพื่อให้พวกเขากำหนดค่าไฟร์วอลล์ได้อย่างเหมาะสม ไม่ว่าเราจะทำงานเป็นทีมหรือเราต้องเริ่มใช้ NAT44444 ทางเลือกของคุณ.
gnarlymarley

มันไม่ใช่แค่ PF ในแง่การปฏิบัติเราเตอร์ส่วนใหญ่สามารถทำ NAT ชนิดเดียวกันบน IPv6 เหมือนกับบน IPv4 เพียงแค่ขมวดคิ้ว ฉันเคยเห็นคุณสมบัตินี้ในเราเตอร์ของ Fortinet เช่นเดียวกับ OpenWRT
Kevin Keane

-2

ข้อเสนอเมื่อเร็ว ๆ นี้หยิบยกสำหรับ ipv6 ได้แนะนำวิศวกรที่ทำงานเกี่ยวกับเทคโนโลยีใหม่จะรวม NAT เป็น ipv6 เหตุผลที่ได้รับ: NAT นำเสนอการรักษาความปลอดภัยอีกชั้นหนึ่ง

เอกสารอยู่ในเว็บไซต์ ipv6.com ดังนั้นจึงดูเหมือนคำตอบทั้งหมดที่ระบุว่า NAT ไม่ได้ให้ความปลอดภัย แต่อย่างใด


1
บางทีคุณอาจจะขยายความแน่นอนเกี่ยวกับ NAT ที่คุณคิดว่ามีชั้นความปลอดภัยเพิ่มเติมหรือไม่ โดยเฉพาะความเสี่ยงต่อภัยคุกคามชนิดใดที่ลดลง
Growse

'ความปลอดภัย' ที่ NAT ให้ไว้นั้นทำให้งงงวยและบังคับให้เครือข่ายเข้าสู่ท่าปฏิเสธที่เป็นค่าเริ่มต้นอดีตนั้นเป็นที่ถกเถียงกันในขณะที่ต่อมาเป็นความคิดที่ดี Default-deny สามารถทำได้ด้วยวิธีการอื่นเช่นเดียวกับที่ทำได้ง่ายและ IPv6 จะลบหนึ่งในเหตุผลทางเทคนิคที่สำคัญสำหรับ NAT: IP ขาดแคลน
sysadmin1138

2
มีหน้าเป็นIPv6.com เกี่ยวกับ NAT สิ่งนี้กล่าวได้ว่า: "ปัญหาด้านความปลอดภัยมักใช้ในการป้องกันกระบวนการแปลที่อยู่เครือข่ายอย่างไรก็ตามหลักการสำคัญของอินเทอร์เน็ตคือการเสนอการเชื่อมต่อแบบ end-to-end กับทรัพยากรเครือข่ายที่แตกต่างกัน " และสิ่งนี้: "เมื่อ IPv6 แทนที่โปรโตคอล IPv4 อย่างช้าๆกระบวนการแปลที่อยู่เครือข่ายจะซ้ำซ้อนและไร้ประโยชน์"
Ladadadada

-6

ฉันตระหนักว่าในบางจุดในอนาคต (ที่สามารถคาดเดาได้เท่านั้น) ที่อยู่ IPv4 ในภูมิภาคจะหมดไปอย่างหลีกเลี่ยงไม่ได้ ฉันเห็นด้วย IPv6 มีข้อเสียของผู้ใช้อย่างจริงจัง ปัญหาของ NAT มีความสำคัญอย่างยิ่งเนื่องจากให้ความปลอดภัยซ้ำซ้อนความเป็นส่วนตัวและช่วยให้ผู้ใช้เชื่อมต่ออุปกรณ์เกือบเท่าที่พวกเขาต้องการโดยไม่มีข้อ จำกัด ใช่ไฟร์วอลล์เป็นมาตรฐานทองคำต่อการบุกรุกเครือข่ายที่ไม่พึงประสงค์ แต่ NAT ไม่เพียง แต่เพิ่มการป้องกันอีกชั้นหนึ่ง แต่ยังให้ความปลอดภัยโดยการออกแบบเริ่มต้นโดยไม่คำนึงถึงการกำหนดค่าไฟร์วอลล์หรือความรู้ของผู้ใช้ปลายทางไม่ว่าคุณจะกำหนด IPv4 อย่างไร ด้วย NAT และไฟร์วอลล์ยังคงมีความปลอดภัยมากกว่าโดยค่าเริ่มต้น IPv6 จะมีเพียงไฟร์วอลล์เท่านั้น ปัญหาอื่นคือความเป็นส่วนตัว การมีที่อยู่ที่กำหนดเส้นทางอินเทอร์เน็ตได้ในทุกอุปกรณ์จะช่วยให้ผู้ใช้สามารถละเมิดความเป็นส่วนตัวได้ทุกรูปแบบการรวบรวมข้อมูลส่วนบุคคลและการติดตามในแบบที่แทบจะจินตนาการไม่ได้ในทุกวันนี้ ฉันยังเห็นด้วยว่าหากไม่มีชัยนาทเราอาจเปิดรับเพื่อเพิ่มต้นทุนและควบคุมผ่านทาง Isp Isp อาจเริ่มชาร์จต่ออุปกรณ์หรือตามอัตราการใช้งานของผู้ใช้อย่างที่เราเห็นจากการปล่อยสัญญาณผ่าน USB ซึ่งจะช่วยลดเสรีภาพของผู้ใช้ในการเชื่อมต่ออุปกรณ์ใด ๆ ที่พวกเขาเห็นว่าเหมาะสม ณ ตอนนี้ผู้ให้บริการอินเทอร์เน็ตในสหรัฐฯไม่กี่แห่งที่ IPv6 ให้บริการในรูปแบบใด ๆ และฉันรู้สึกว่าธุรกิจที่ไม่ใช่เทคโนโลยีจะเปลี่ยนช้าเนื่องจากมีค่าใช้จ่ายเพิ่มเติม


4
NAT เป็นภาพลวงตาของความปลอดภัย
Skaperen

4
NAT ไม่ให้การปกป้องเลย มันเป็นไฟร์วอลล์อัตโนมัติที่คุณได้รับพร้อมกับ NAT ที่ให้ "การป้องกัน" ใด ๆ ที่คุณอาจได้รับในขณะที่คุณกำลังเพลิดเพลินกับข้อเสียของ NAT ทั้งหมด
Michael Hampton
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.