سؤال التحول إلى IPv6 يعني إسقاط NAT. هل هذا شيء جيد؟


هذا ال السؤال الكنسي حول IPv6 و NAT

ذات صلة:

لذا قام مزود خدمة الإنترنت لدينا بإعداد IPv6 مؤخرًا ، وكنت أدرس ما يجب أن يستلزمه الانتقال قبل الانتقال إلى المعركة.

لقد لاحظت ثلاث قضايا مهمة للغاية:

  1. لا يعتمد موجه NAT الخاص بالمكتب (وهو أحد Linksys BEFSR41 القديم) IPv6. ولا أي جهاز توجيه أحدث ، AFAICT. الكتاب الذي أقرأه حول IPv6 يخبرني أنه يجعل NAT "غير ضروري" على أي حال.

  2. إذا كان من المفترض أن نتخلص من هذا الموجه ونقوم بتوصيل كل شيء مباشرة بالإنترنت ، فإنني أبدأ بالذعر. لا توجد طريقة في الجحيم سوف أضع قاعدة بيانات الفوترة لدينا (مع الكثير من معلومات بطاقة الائتمان!) على الإنترنت ليراها الجميع. حتى لو اقترحت إعداد "جدار حماية Windows" عليه للسماح لـ 6 عناوين فقط بالوصول إليه على الإطلاق ، ما زلت أخرج من العرق البارد. لا أثق في Windows ، أو جدار الحماية لـ Windows ، أو الشبكة بشكل كافي حتى يكون مريحًا عن بعد مع ذلك.

  3. هناك عدد قليل من الأجهزة القديمة (أي ، الطابعات) التي لا تحتوي على الإطلاق على قدرة IPv6 على الإطلاق. ومن المرجح قائمة الغسيل من القضايا الأمنية التي تعود إلى حوالي عام 1998. وعلى الأرجح أي وسيلة لتصحيحها في الواقع بأي شكل من الأشكال. ولا يوجد تمويل للطابعات الجديدة.

أسمع أن IPv6 و IPSEC من المفترض أن يجعل كل هذا آمنًا بطريقة ما ، ولكن بدون شبكات منفصلة جسديًا تجعل هذه الأجهزة غير مرئية على الإنترنت ، هل حقا لا أستطيع أن أرى كيف. يمكنني كذلك هل حقا انظر كيف سيتم تجاوز أي الدفاعات التي أقوم بإنشائها في وقت قصير. لقد قمت بتشغيل خوادم على الإنترنت منذ سنوات وأنا على دراية كاملة بالأشياء الضرورية لتأمين تلك ، ولكن وضع شيء خاص على الشبكة مثل قاعدة بيانات الفوترة لدينا كانت دائمًا غير واردة على الإطلاق.

ما الذي يتعين عليّ استبداله بـ NAT إذا لم يكن لدينا شبكات منفصلة جسديًا؟


101
2017-09-24 23:33


الأصل


هل يمكنك محاولة إعادة طرح هذا السؤال؟ الآن يبدو أن جدلي إلى حد ما. - Zoredache
الأشياء أنت صدمت عنه لا توجد ربما يجب عليك إعادة صياغة سؤالك بطريقة تصف الأشياء التي تعتقد أنها حقائق وتطالبنا بتأكيدها. بدلا من الشكوى من الأشياء التي افترضت سوف تعمل بطريقة معينة. - Zoredache
أيضا - أنت تخزن معلومات بطاقة الائتمان؟ ولديك الكثير من الأسئلة حول الأمن؟ هل سبق لك أن مررت بمراجعة PCI؟ أم أنك تخترق عقدك من خلال تخزين تفاصيل بطاقة الائتمان؟ قد ترغب في النظر في هذا ، بعد التسرع. - mfinni
لا أستطيع أن أحصل على ضمير ضئيل أو أقوم بإسقاط هذا السؤال على أساس أن الملصق غير مستنير (بالتأكيد هذا هو نصف نقطة الموقع). من المؤكد أن السياسة التشغيلية ستنطلق في ظل ظل كبير يستند إلى افتراض زائف ، ويمكن أن يفعل السؤال مع إعادة الكتابة. - Chris Thorpe
"لا مزيد من NAT" هو أحد الأهداف في IPv6. على الرغم من أنه في الوقت الحالي ، يبدو (على الأقل هنا) أن الاهتمام بتقديم IPv6 ليس كبيراً بشكل كبير ، إلا في مراكز البيانات (لأن الحزم الأكبر تعني عرض نطاق أكبر ، والمزيد من عرض النطاق الترددي يعني المزيد من المال لهم!). أما بالنسبة لـ DSL ، فإن العكس هو الصحيح ، فعلى الرغم من ذلك ، فإن كل شخص لديه درجة عالية من القساوة ، لذا فإن IPv6 لا يعني سوى المزيد من المشاكل والتكاليف بالنسبة لمقدمي الخدمة. - dm.skt


الأجوبة:


أولاً وقبل كل شيء ، لا يوجد ما نخشاه من التخصيص العام للملكية الفكرية ، طالما تم تكوين أجهزة الأمان الخاصة بك بشكل صحيح.

ما الذي يتعين عليّ استبداله بـ NAT إذا لم يكن لدينا شبكات منفصلة جسديًا؟

الشيء نفسه الذي كنا نفصلهم جسديًا منذ ثمانينيات القرن العشرين ، أجهزة التوجيه والجدران النارية. كسب الأمان الكبير الذي تحصل عليه مع NAT هو أنه يفرض عليك تكوينًا افتراضيًا مرفوضًا. من أجل الحصول على أي الخدمة من خلال ذلك ، عليك صراحة الثقوب لكمة. حتى أن أجهزة تربية الحيوانات الأليفة تسمح لك بتطبيق ACL على أساس IP لتلك الثقوب ، تماما مثل جدار الحماية. ربما لأن لديهم "جدار حماية" في المربع ، في الواقع.

يوفر جدار الحماية المكون بشكل صحيح نفس الخدمة مثل عبّارة NAT. غالبًا ما يتم استخدام عبارات NAT لأنهم أسهل للوصول إلى تكوين آمن من معظم جدران الحماية.

أسمع أن IPv6 و IPSEC من المفترض أن يجعل كل هذا آمنًا بطريقة ما ، ولكن بدون شبكات منفصلة جسديًا تجعل هذه الأجهزة غير مرئية على الإنترنت ، هل حقالا أستطيع أن أرى كيف.

هذا هو مفهوم خاطئ. أعمل في جامعة لديها تخصيص IPv4 / 16 ، والغالبية العظمى من استهلاك عنوان IP الخاص بنا يتم على هذا التوزيع العام. بالتأكيد جميع محطات عمل المستخدم النهائي والطابعات. يقتصر استهلاك RFC1918 على أجهزة الشبكة وبعض الخوادم المحددة التي تتطلب مثل هذه العناوين. لن أكون مندهشًا إذا كنت قد تجمدت منذ قليل ، لأنني فعلت ذلك بالتأكيد عندما عرضت في أول يوم لي ورأيت ما بعده على الشاشة الخاصة بي بعنوان IP الخاص بي.

ومع ذلك ، نحن على قيد الحياة. لماذا ا؟ لأن لدينا جدار حماية خارجي تم تكوينه للإنكار الافتراضي مع معدل نقل ICMP محدود. فقط لأن 140.160.123.45 قابل للتوجيه من الناحية النظرية ، لا يعني أنه يمكنك الوصول إلى هناك من أينما كنت على شبكة الإنترنت العامة. هذا هو ما تم تصميم جدران الحماية للقيام به.

نظرًا لإعدادات الموجه الصحيحة ، يمكن أن تكون الشبكات الفرعية المختلفة في تخصيصنا غير قابلة للوصول بشكل كامل من بعضها البعض. يمكنك القيام بذلك في جداول التوجيه أو جدران الحماية. هذه شبكة منفصلة وقد استوعبت مراجعي الحسابات الأمنيين في الماضي.

لا توجد طريقة في الجحيم سوف أضع قاعدة بيانات الفوترة لدينا (مع الكثير من معلومات بطاقة الائتمان!) على الإنترنت ليراها الجميع.

إن قاعدة بيانات الفوترة الخاصة بنا موجودة على عنوان IPv4 عام ، وقد كانت لكامل وجودها ، ولكن لدينا دليل لا يمكنك الوصول إليه من هنا. لا يعني مجرد وجود عنوان في قائمة V4 العمومية القابلة للقياس أنه من المضمون تسليمها. جداران النار بين شرور الإنترنت ومنافذ قاعدة البيانات الفعلية ترشيح الشر. حتى من مكتبي ، خلف الجدار الناري الأول ، لا أستطيع الوصول إلى قاعدة البيانات تلك.

معلومات بطاقة الائتمان هي حالة خاصة واحدة. يخضع ذلك لمعايير PCI-DSS ، وتوضح المعايير مباشرةً أن الخوادم التي تحتوي على مثل هذه البيانات يجب أن تكون خلف بوابة NAT1. تمثل لنا هذه الخوادم الثلاثة الاستخدام الإجمالي للخادم لعناوين RFC1918. فهو لا يضيف أي أمان ، بل إنه مجرد طبقة من التعقيد ، ولكننا بحاجة إلى التحقق من ذلك المربع لمراجعة الحسابات.


لقد تم طرح الفكرة الأصلية "IPv6 تجعل NAT شيءًا من الماضي" قبل ظهور ازدهار الإنترنت تمامًا. في عام 1995 ، كان NAT عبارة عن حل للالتفاف حول تخصيص IP صغير. في عام 2005 تم تكريسه في العديد من وثائق أفضل الممارسات الأمنية ، وعلى الأقل معيار رئيسي واحد (PCI-DSS أن يكون محددًا). والفائدة الملموسة الوحيدة التي تقدمها NAT هي أن كيانًا خارجيًا يقوم بإجراء إعادة تكوين على الشبكة لا يعرف ما يبدو عليه شكل IP خلف جهاز NAT (على الرغم من أنه بفضل RFC1918 لديهم تخمين جيد) وعلى IPv4 خالٍ من NAT (مثل كعملي) هذا ليس هو الحال. إنها خطوة صغيرة في العمق الدفاعي ، وليس خطوة كبيرة.

الاستبدال لعناوين RFC1918 هي ما يسمى بالعناوين المحلية الفريدة. مثل RFC1918 ، لا يتوجهون إلا إذا وافق الأقران تحديدًا على السماح لهم بالتوجيه. على عكس RFC1918 ، فهي (ربما) فريدة من نوعها على مستوى العالم. إن مترجمي عناوين IPv6 الذين يترجمون ULA إلى IP عالمي موجودون في ترس محيط المدى الأعلى ، وبالتأكيد ليس في ترس SOHO حتى الآن.

يمكنك البقاء على قيد الحياة على ما يرام باستخدام عنوان IP عام. ضع في اعتبارك أن "الجمهور" لا يضمن "قابلة للوصول" ، وستكون على ما يرام.


تحديث 2017

في الأشهر القليلة الماضية ، الأمازون  تم إضافة دعم IPv6. لقد أضيفت للتو على  عرض ، ويعطي تنفيذها بعض القرائن على كيفية المتوقع أن يتم نشر واسعة النطاق.

  • يتم منحك / 56 تخصيص (256 شبكة فرعية).
  • التخصيص هو شبكة فرعية قابلة للتوجيه بشكل كامل.
  • من المتوقع أن تضع قواعد الجدار الناري () مقيدة بشكل مناسب.
  • لا يوجد NAT ، ولا يتم تقديمه حتى ، لذا ستأتي جميع الزيارات الصادرة من عنوان IP الفعلي للمثيل.

لإضافة واحدة من المزايا الأمنية لـ NAT مرة أخرى ، فإنها تقدم الآن بوابة إنترنت Egress فقط. هذا يقدم ميزة واحدة مثل NAT:

  • لا يمكن الوصول إلى الشبكات الفرعية الموجودة خلفها مباشرة من الإنترنت.

الذي يوفر طبقة من العمق الدفاعي ، في حالة ما إذا كانت قاعدة الجدار الناري المسيئة خطأ تسمح لحركة المرور الواردة.

هذا العرض لا يترجم العنوان الداخلي إلى عنوان واحد بالطريقة التي يعمل بها NAT. سيظل مصدر البيانات الصادرة هو IP المصدر للمثيل الذي فتح الاتصال. سيكون مشغلي جدار الحماية الذين يتطلعون إلى موارد القائمة البيضاء في VPC أفضل من netblocks القائمة البيضاء ، بدلا من عناوين IP محددة.

Routeable لا يعني دائما في متناول اليد.


1: تغيرت معايير PCI-DSS في أكتوبر 2010 ، تمت إزالة البيان الذي يفوض عناوين RFC1918 ، واستبدال "عزل الشبكة" به.


182
2017-09-25 00:59



لقد وضعت علامة "تم قبولها" على أنها "مقبولة" لأنها أكثر إجابة كاملة. أعتقد أنه بما أن كل تكوين لجدار الحماية تمت قراءته (منذ عام 1997 ، عندما بدأت العمل في هذا المجال ، ويشمل ذلك بناء جدران الحماية المجانية) شدد على استخدام RFC1918 ، وهذا لم يكن له أي معنى إلي. بالطبع ، كمقدم خدمة إنترنت ، سنواجه بعض المشكلات مع المستخدمين النهائيين وأجهزة التوجيه الرخيصة عند نفاد عناوين IPv4 ، وهذا لن يحدث في أي وقت قريب. - Ernie
"مترجم عناوين IPv6 الذي يترجم ULA إلى IP عالمي موجود في تروس محيط النطاق الأعلى ، وبالتأكيد ليس في ترس SOHO بعد". بعد مقاومة لسنوات عديدة أضاف لينكس دعمًا لهذا في 3.9.0. - Peter Green
لدي سؤال حول "كثيرا ما تستخدم عبارات NAT لأنهم أسهل للحصول على تكوين آمن من معظم الجدران النارية. بالنسبة للشركات التي لديها موظفين محترفين في تكنولوجيا المعلومات أو لمستهلكين على دراية وهذا ليس صفقة كبيرة ، ولكن بالنسبة إلى الشركات الصغيرة الاستهلاكية / السذاجة العامة ، لا يعتبر الأمر "غير سهل" خطرًا أمنيًا كبيرًا؟ عقود من شبكات الواي فاي بدون كلمات "لينكسيس" موجودة لأنه لم يكن تكوين الأمان "أسهل" من تهيئته. مع منزل مليء بأجهزة تمكين إنترنت الأشياء على مستوى المستهلك لا يمكنني رؤية أمي بشكل صحيح تكوين جدار حماية IPv6. هل تعتقد أن هذا مشكلة؟ - Jason C
JasonC لا ، لأن العتاد على مستوى المستهلك الذي يتم شحنه بالفعل يتم شحنه بجدران الحماية المُهيأة مسبقًا من قِبل ISP لرفض جميع الرسائل الواردة. أو ليس لديك دعم V6. ويتمثل التحدي في مستخدمي الطاقة الذين يعتقدون أنهم يعرفون ما يفعلونه ، ولكنهم في الواقع لا يفعلون. - sysadmin1138♦
إجابة ممتازة بشكل عام ، لكنني أخطأت في ذلك لأنها بالكاد تناولت الفيل الكبير في الغرفة: تكوين جهاز الأمان بشكل صحيح هو شيء لا يمكنك أن تأخذه كأمر مسلم به. - Kevin Keane


لدينا مكتب NAT موجه (قديم لينكسيس   BEFSR41) لا يدعم IPv6. ولا   يفعل أي جهاز التوجيه أحدث

ويدعم IPv6 من قبل العديد من أجهزة التوجيه. ليس فقط أن العديد من تلك الرخيصة تهدف إلى المستهلكين و SOHO. في أسوأ الحالات ، ما عليك سوى استخدام مربع Linux أو إعادة تشغيل جهاز التوجيه باستخدام dd-wrt أو أي شيء للحصول على دعم IPv6. هناك العديد من الخيارات ، ربما لديك فقط للبحث أكثر صعوبة.

إذا كان من المفترض أن نتخلص منها   هذا التوجيه وتوصيل كل شيء   مباشرة إلى الإنترنت ،

لا شيء عن الانتقال إلى IPv6 يقترح عليك التخلص من الأجهزة الأمنية المحيطة ، مثل جهاز التوجيه / الجدار الناري. ستظل أجهزة التوجيه والجدران النارية مكوّنًا مطلوبًا في كل شبكة تقريبًا.

جميع أجهزة توجيه NAT تعمل بشكل فعال كجدار ناري للدولة. لا يوجد شيء سحري حول استخدام عناوين RFC1918 التي تحميك كل هذا القدر. إنها البالة الرسمية التي تقوم بالعمل الشاق. سيحميك جدار الحماية الذي تم تهيئته بشكل سليم فقط إذا كنت تستخدم عناوين حقيقية أو خاصة.

الحماية الوحيدة التي تحصل عليها من عناوين RFC1918 هي التي تسمح للناس بالابتعاد عن الأخطاء / الكسل في تكوين جدار الحماية ولا يظلون جميعًا ضعفاء.

هناك عدد قليل من الأجهزة القديمة (أي ، الطابعات) التي لا تحتوي على الإطلاق على قدرة IPv6 على الإطلاق.

وبالتالي؟ من غير المحتمل أنك ستحتاج إلى إتاحة ذلك عبر الإنترنت ، وعلى شبكتك الداخلية ، يمكنك متابعة تشغيل IPv4 و IPv6 حتى يتم دعم جميع أجهزتك أو استبدالها.

إذا لم يكن تشغيل بروتوكولات متعددة خيارًا ، فقد يتعين عليك إعداد نوع من البوابة / الخادم الوكيل.

من المفترض أن يجعل IPSEC كل هذا آمنًا بطريقة ما

يقوم IPSEC بتشفير الحزم وتصديقها. لا علاقة لها بالتخلص من جهاز الحدود الخاص بك ، ولديها حماية أكبر للبيانات أثناء النقل.


56
2017-09-24 23:55



الحق في العديد من الطرق. - sysadmin1138♦
بالضبط ، احصل على جهاز توجيه حقيقي ولن تقلق. لدى SonicWall بعض الخيارات الممتازة لتوفير الأمان الذي تحتاجه وسوف يدعم IPv6 دون مشكلة. من المحتمل أن يوفر هذا الخيار أمانًا وأداء أفضل من ما لديك حاليًا. (news.sonicwall.com/index.php؟s=43&item=1022) كما يمكنك أن ترى في هذه المقالة ، يمكنك أيضا القيام ipv4 لترجمة ipv6 مع أجهزة sonicwall لأولئك الذين لا يستطيعون التعامل مع ipv6. - MaQleod


نعم فعلا. NAT ميت. كانت هناك بعض المحاولات للتصديق على معايير NAT عبر IPv6 لكن لم ينفذ أي منها على الإطلاق.

وقد تسبب هذا بالفعل في مشاكل لمقدمي الخدمات الذين يحاولون تلبية معايير PCI-DSS ، حيث ينص المعيار على أنه يجب عليك أن تكون خلف NAT.

بالنسبة لي ، هذه بعض من أروع الأخبار التي سمعتها على الإطلاق. أنا أكره NAT ، وأنا أكره الناقل NAT الصف أكثر من ذلك.

لم يُقصد من NAT إلا أن تكون حلاً متواصلاً لنقلنا إلى أن تصبح IPv6 معيارًا ، ولكنها أصبحت متأصلة في مجتمع الإنترنت.

بالنسبة للفترة الانتقالية ، عليك أن تتذكر أن IPv4 و IPv6 مختلفان تمامًا ، بصرف النظر عن اسم مشابه 1. لذا ، فإن الأجهزة التي تكون من نوع Dual-Stack ، سوف يتم استخدام الـ IPv4 الخاص بك ، ولن يتم استخدام IPv6 الخاص بك. يشبه الأمر تقريبًا وجود جهازين منفصلين تمامًا ، يتم تعبئتهما في قطعة واحدة من البلاستيك.

لذا ، كيف يعمل الوصول إلى الإنترنت IPv6؟ حسنًا ، الطريقة التي اعتاد الإنترنت على استخدامها قبل NAT تم اختراعها. سيقوم مزود خدمة الإنترنت (ISP) بتخصيص نطاق IP (مثلما يفعل الآن ، ولكنه عادة ما يعيّن لك / 32 ، مما يعني أنك تحصل على عنوان IP واحد فقط) ، ولكن سيحصل نطاقك الآن على ملايين عناوين IP المتاحة فيه. أنت حر في ملء عناوين IP هذه كما تختار (مع التهيئة التلقائية أو DHCPv6). سيكون كل واحد من عناوين IP هذه مرئيًا من أي كمبيوتر آخر على الإنترنت.

يبدو مخيف ، أليس كذلك؟ سيكون كل من وحدة التحكم في النطاق ، ووسائط الوسائط المنزلية ، وجهاز iPhone الخاص بك مع خبأ المواد الإباحية الخفية متاحًا لك من الإنترنت؟ حسننا، لا. هذا هو ما هو جدار الحماية ل. ميزة أخرى رائعة من IPv6 هو أنه القوات جدران الحماية من أسلوب "السماح للكل" (مثل معظم الأجهزة المنزلية) في نهج "رفض الكل" ، حيث تفتح الخدمات لعناوين IP معينة. 99.999 ٪ من المستخدمين المنزليين سوف يحافظون على حفاظهم على الجدران النارية الخاصة بهم بالتقصير وإغلاقها بالكامل ، مما يعني أنه لن يسمح بدخول أي ترانزيك غير ملتزم به.

1طيب هناك طريقة أكثر من ذلك ، ولكنها لا تتوافق بأي طريقة مع بعضها البعض ، على الرغم من أن كلاهما يسمحان لنفس البروتوكولات التي تعمل في الأعلى


33
2018-03-23 23:42



ماذا عن كل الأشخاص الذين يزعمون أن وجود أجهزة الكمبيوتر وراء NAT يوفر أمانًا إضافيًا؟ أسمع هذا كثيرًا من بعض مدراء تكنولوجيا المعلومات الآخرين. لا يهم إذا قلت إن جدار الحماية المناسب هو كل ما تحتاج إليه ، لأن الكثير من هؤلاء الناس يعتقدون أن NAT يضيف طبقة من الأمان. - user9274
@ user9274 - يوفر الأمان بطريقتين: 1) أنه يخفي عنوان IP الداخلي الخاص بك من العالم (وهذا هو سبب طلب PCI-DSS) ، و 2) أنها "قفزة" إضافية من الإنترنت إلى الجهاز المحلي. لكن لكي نكون صادقين ، فإن الأمر الأول هو "الأمن من خلال الغموض" وهو ليس أمنًا على الإطلاق ، أما بالنسبة للثاني ، فإن جهاز NAT المعرَّض للخطر لا يقل خطورة عن الخادم المخترق ، لذا بمجرد أن يتخطى المهاجمون NAT ادخل إلى جهازك على أي حال. - Mark Henderson♦
بالإضافة إلى ذلك ، كان أي ضمان تم الحصول عليه من خلال استخدام NAT هو فائدة غير مقصودة في محاولة لتجنب استنزاف عناوين IPv4. من المؤكد أنها لم تكن جزءًا لا يتجزأ من هدف التصميم ، الذي أعرفه. - joeqwerty
تم تعديل معايير PCI-DSS في أواخر أكتوبر 2010 وتمت إزالة شرط NAT (القسم 1.3.8 من v1.2). لذلك حتى هم اللحاق العصر. - sysadmin1138♦
Mark ، لست متأكداً مما إذا كان من الجدير بالذكر ، ولكن NAT64 ينطلق من الأرض ، ولكنه ليس أكثر ما يفكر به NAT. يسمح للشبكات IPv6 فقط بالوصول إلى الإنترنت IPv4 بدون "تعاون" العميل ؛ يتطلب دعم DNS64 لجعله يعمل. - Chris S


ومن المعروف جيدا أن متطلبات PCI-DSS ل NAT مسرح الأمن وليس الأمن الفعلي.

لقد تراجعت أحدث بيانات PCI-DSS عن استدعاء NAT شرطًا مطلقًا. لقد اجتازت العديد من المؤسسات عمليات تدقيق PCI-DSS باستخدام IPv4 دون إظهار NAT جدران حماية ذات طابع رسمي كـ "تطبيقات أمان مكافئة".

هناك وثائق أخرى للأمن المسرحي تدعو إلى NAT ، ولكن لأنها تدمر مسارات التدقيق وتجعل من التحقيق / التخفيف من الحادثة أكثر صعوبة ، فإن دراسة أكثر عمقا لـ NAT (مع أو بدون PAT) تكون سلبية سالبة للأمن.

جدار حماية جيد وجميل دون NAT هو حل متميز إلى NAT في عالم IPv6. في IPv4 ، يعد NAT شرًا ضروريًا يمكن تحمله من أجل الحفاظ على العنوان.


18
2018-01-26 17:45



NAT هو "أمان كسول". ومع "الأمن الكسل" يأتي عدم الاهتمام بالتفاصيل ، والخسارة التي تلت ذلك من الأمن الذي كان يقصد به. - Skaperen
أتفق تماما؛ على الرغم من أن الطريقة التي تتم بها معظم عمليات تدقيق PCI-DSS (تدقيق من قبل القرد مع قائمة مرجعية) هو الكل أمن كسول ، ويحمل تلك العيوب. - MadHatter
لأولئك الذين يدعون أن NAT هو "مسرح الأمن" أود أن أشير إلى مقالة الشبكة الطالب الذي يذاكر كثيرا حول الضعف Memcached قبل بضعة أشهر. networkingnerd.net/2018/03/02/... وهو مؤيد متعطش لـ IPv6 ، وحاخام NAT ، لكنه كان عليه أن يشير إلى أن آلاف الشركات قد تركت خوادمها المسمى memcached مفتوحة على الإنترنت بسبب قواعد الجدار الناري التي "لم يتم وضعها بعناية". يفرض عليك NAT أن تكون صريحًا حول ما تسمح به في شبكتك. - Kevin Keane


سيكون (للأسف) لفترة من الوقت قبل أن تتمكن من الحصول على شبكة IPv6 فقط كومة واحدة. حتى ذلك الحين ، تكون الطريقة المزدوجة للتشغيل مع الأفضلية لـ IPv6 عندما تكون متاحة.

في حين أن معظم أجهزة توجيه المستهلكين لا تدعم IPv6 مع البرامج الثابتة للأوراق المالية اليوم ، يمكن للكثير دعمها مع برامج خارجية (مثل ، Linksys WRT54G مع dd-wrt ، إلخ). أيضا ، تدعم العديد من الأجهزة من فئة الأعمال (سيسكو ، جونيبر) IPv6 خارج الصندوق.

من المهم عدم الخلط بين PAT (NAT-to-one ، كما هو شائع في أجهزة توجيه المستهلك) مع أشكال أخرى من NAT ، ومع جدار الحماية الخالي من NAT ؛ بمجرد أن يصبح الإنترنت IPv6 فقط ، ستظل الجدران النارية تمنع تعرض الخدمات الداخلية. وبالمثل ، لا يتم تلقائيًا حماية نظام IPv4 مع NAT-one-to-one ؛ هذا هو مهمة سياسة جدار الحماية.


11
2017-09-24 23:52





إذا نجت NAT في عالم IPv6 ، فمن المرجح أن يكون 1: 1 NAT. نموذج NAT لم يسبق له مثيل في مساحة IPv4. ما هو 1: 1 NAT؟ إنها ترجمة 1: 1 لعنوان عالمي لعنوان محلي. سوف يكون معادل IPv4 هو ترجمة جميع الاتصالات إلى 1.1.1.2 فقط إلى 10.1.1.2 ، وهكذا في مساحة 1.0.0.0/8 بأكملها. سيكون الإصدار IPv6 لترجمة عنوان عمومي إلى "عنوان محلي فريد".

يمكن توفير الأمان المحسن عن طريق تدوير التعيين للعناوين التي لا تهتم بها كثيرًا (مثل مستخدمي المكاتب الداخلية الذين يستعرضون Facebook). داخليًا ، ستبقى أرقام ULA الخاصة بك كما هي ، لذلك سيستمر DNS الأفق المقسم الخاص بك في العمل بشكل جيد ، ولكن العملاء الخارجيين لن يكونوا أبداً على منفذ يمكن التنبؤ به.

ولكن في الحقيقة ، إنه قدر ضئيل من الأمان المحسن للمشكلة التي يخلقها. تعد عملية فحص الشبكات الفرعية IPv6 مهمة كبيرة جدًا وغير قابلة للتنفيذ دون إجراء إعادة تكوين حول كيفية تعيين عناوين IP على تلك الشبكات الفرعية (طريقة إنشاء MAC - طريقة عشوائية - تعيين ثابت لعناوين يمكن قراءتها على البشر؟).

في معظم الحالات ، ما سيحدث هو أن العملاء الذين يقفون خلف جدار الحماية الخاص بالشركات سيحصلون على عنوان عالمي ، ربما يكون ULA ، وسيتم تعيين جدار الحماية المحيط لمنع جميع الاتصالات الواردة من أي نوع إلى تلك العناوين. لجميع المقاصد والأغراض ، هذه العناوين لا يمكن الوصول إليها من الخارج. بمجرد بدء العميل الداخلي للاتصال ، سيتم السماح للحزم عبر هذا الاتصال. تتم معالجة الحاجة إلى تغيير عنوان IP إلى شيء مختلف تمامًا عن طريق إجبار أحد المهاجمين على الإبهام من خلال 2 × 64 عنوانًا ممكنًا على تلك الشبكة الفرعية.


9
2018-03-24 02:33



@ sysadmin1138: أنا أحب هذا الحل. بما أنني أفهم حاليًا IPv6 ، إذا كان مزوّد خدمة الإنترنت الخاص بي يعطيني / 64 ، من المفترض أن أستخدم ذلك / 64 على شبكتي بالكامل إذا أردت أن تكون أجهزتي قابلة للوصول إلى إنترنت IPv6. ولكن إذا سئمت من ذلك مزود خدمة الإنترنت (ISP) وانتقل إلى آخر ، فيجب الآن إعادة ترقيم كل شيء بالكامل. - Kumba
@ sysadmin1138: ومع ذلك ، فقد لاحظت أن بإمكاني تعيين عناوين IP متعددة لواجهة واحدة أسهل كثيرًا من IPv4 ، لذلك يمكنني أن أشاهد استخدام ISP المعطى / 64 للوصول الخارجي ومخطط ULA الداخلي الخاص comms بين المضيفين ، واستخدام جدار الحماية لجعل عناوين ULA غير قابلة للوصول من الخارج. ينطوي المزيد من أعمال الإعداد ، ولكن يبدو أنها ستتجنب NAT تمامًا. - Kumba
@ sysadmin1138: أنا لا أزال أتطرق رأسي حول السبب في أن ULA هي ، لجميع المقاصد والأغراض ، خاصة ، ومع ذلك فمن المتوقع أن تظل فريدة من نوعها على مستوى العالم. الأمر يشبه القول بأنه يمكنني الحصول على سيارة من أي طراز أو طراز متوفر حاليًا ، ولكن ليس أي طراز / طراز / عام سبق أن استخدمه شخص آخر ، على الرغم من أنه سيارتي وسأكون السائق الوحيد الذي سيحصل عليه. - Kumba
Kumba يجب أن يكون عنوان RFC 4193 فريدًا على مستوى العالم هو التأكد من أنك لن تضطر إلى إعادة الترقيم في المستقبل. ربما تحتاج في يوم ما إلى دمج شبكتين باستخدام عناوين RFC 4193 ، أو قد يحتاج جهاز واحد بالفعل عنوان RFC 4193 إلى الاتصال بشبكة VPN أو أكثر ، والتي تحتوي أيضًا على عناوين RFC 4193. - kasperd
Kumba إذا كان الجميع يستخدمون fd00 :: / 64 للجزء الأول على شبكتهم ، فمن المؤكد أنك ستدخل في صراع بمجرد أن يتواصل أي زوج من هاتين الشبكتين. تتمثل النقطة RFC 4193 في أنه طالما اخترت 40 بت بشكل عشوائي ، فيمكنك تعيين 80 بت المتبقية ، ولكن يرجى أن تظل واثقًا من أنك لن تضطر إلى إعادة الترقيم. - kasperd


يصف RFC 4864 حماية شبكة IPv6 المحلية، مجموعة من الطرق لتقديم الفوائد المتصورة لـ NAT في بيئة IPv6 ، دون الحاجة إلى اللجوء إلى NAT.

وصفت هذه الوثيقة عددًا من التقنيات التي يمكن دمجها في موقع IPv6 لحماية سلامة بنية شبكتها. تحتفظ هذه التقنيات ، المعروفة بشكل جماعي باسم "حماية الشبكة المحلية" ، بمفهوم حدود واضحة المعالم بين "داخل" و "خارج" الشبكة الخاصة ، وتتيح الحماية النارية ، وإخفاء الطوبولوجيا ، والخصوصية. ومع ذلك ، ولأنها تحافظ على شفافية العنوان حيث تكون هناك حاجة إليها ، فإنها تحقق هذه الأهداف بدون عيوب في ترجمة العناوين. وبالتالي ، يمكن أن توفر حماية الشبكة المحلية في IPv6 فوائد ترجمة عنوان IPv4 الخاصة بالشبكة دون العيوب المقابلة لها.

يحدد أولاً ما هي الفوائد المتوقعة من NAT (ويعرضها عند الاقتضاء) ، ثم يصف ميزات IPv6 التي يمكن استخدامها لتوفير هذه الفوائد نفسها. كما يوفر ملاحظات التنفيذ ودراسات الحالة.

على الرغم من أن طبعه أطول من اللازم ، إلا أن الفوائد التي تمت مناقشتها هي:

  • بوابة بسيطة بين "الداخل" و "الخارج"
  • جدار الحماية الدولة
  • تتبع المستخدم / التطبيق
  • الخصوصية والطوبولوجيا يختبئ
  • السيطرة المستقلة على العناء في شبكة خاصة
  • Multihoming / ترقيم

هذا إلى حد كبير يغطي جميع السيناريوهات التي قد يكون المرء يريد NAT ويوفر حلولا لتنفيذها في IPv6 دون NAT.

بعض التقنيات التي ستستخدمها هي:

  • العناوين المحلية الفريدة: قم بتفضيلها على شبكتك الداخلية للحفاظ على اتصالاتك الداخلية الداخلية والتأكد من أن الاتصالات الداخلية يمكن أن تستمر حتى إذا كان مزود خدمة الإنترنت لديه انقطاع.
  • امتدادات خصوصية IPv6 مع فترات قصيرة للعناوين ومعرفات الواجهة غير الواضحة: تساعد هذه في منع مهاجمة المضيفات الفردية ومسح الشبكة الفرعية.
  • يمكن استخدام IGP أو Mobile IPv6 أو VLAN لإخفاء طبولوجيا الشبكة الداخلية.
  • جنبا إلى جنب مع ULAs ، يجعل DHCP-PD من ISP إعادة الترقيم / multihoming أسهل من IPv4.

(انظر RFC للحصول على التفاصيل الكاملة ؛ مرة أخرى ، يستغرق الأمر وقتًا طويلاً جدًا لإعادة نشر أو حتى مقتطفات مهمة من.)

لإجراء مناقشة عامة حول أمان النقل IPv6 ، راجع RFC 4942.


9
2018-05-13 18:37





هناك كم هائل من الارتباك حول هذا الموضوع ، حيث يرى مسؤولو الشبكة NAT في ضوء واحد ، ويرى عملاء الشركات الصغيرة والسكنية في آخر. اسمحوا لي أن أوضح.

ثابت NAT (ويسمى أحيانا واحد إلى واحد NAT) يقدم على الاطلاق أي حماية لشبكتك الخاصة أو جهاز كمبيوتر شخصي. تغيير عنوان IP لا معنى له بقدر ما يتعلق الأمر بالحماية.

Dynamic Overloaded NAT / PAT مثل ما تقوم به معظم البوابات السكنية و WiFi AP مما يساعد على حماية شبكتك الخاصة و / أو جهاز الكمبيوتر الخاص بك. حسب التصميم جدول NAT في هذه الأجهزة هو جدول حالة. فإنه يحتفظ بتتبع الطلبات الصادرة ويخزنها في جدول NAT - انتهاء مهلة الاتصالات بعد فترة معينة من الوقت. يتم إسقاط أي إطارات واردة غير مرغوبة لا تتطابق مع ما هو موجود في جدول NAT بشكل افتراضي - لا يعرف جهاز التوجيه NAT مكان إرسالها في الشبكة الخاصة بحيث يتم إسقاطها. بهذه الطريقة ، يكون الجهاز الوحيد الذي تتركه عرضة للاختراق هو جهاز التوجيه الخاص بك. بما أن معظم عمليات الاستغلال الأمني ​​تعتمد على Windows - فإن وجود جهاز كهذا بين الإنترنت وجهاز الكمبيوتر الخاص بك الذي يعمل بنظام Windows يساعد بالفعل على حماية شبكتك. قد لا تكون الوظيفة المقصودة أصلاً ، والتي كانت تنقذ على عناوين IP العامة ، ولكنها تنجز المهمة. كمكافأة ، فإن معظم هذه الأجهزة لديها أيضًا إمكانيات جدار الحماية التي تحظر عدة مرات طلبات ICMP بشكل افتراضي ، مما يساعد أيضًا على حماية الشبكة.

وبالنظر إلى المعلومات الواردة أعلاه ، فإن التخلص من NAT عند الانتقال إلى IPv6 قد يؤدي إلى تعريض الملايين من المستهلكين وأجهزة الأعمال الصغيرة للقرصنة المحتملة. سيكون لها القليل من التأثير أو لا تؤثر على شبكات الشركات ، حيث إنها تدار بشكل احترافي الجدران النارية على أطرافها. ربما لم يعد لدى شبكات المستهلكين وشركات الأعمال الصغيرة جهاز توجيه NAT يستند إلى * nix بين الإنترنت وأجهزة الكمبيوتر الخاصة بهم. لا يوجد سبب يمنع الشخص من التحول إلى حل جدار ناري فقط - أكثر أمانًا إذا تم نشره بشكل صحيح ، ولكن أيضًا خارج نطاق 99٪ من المستهلكين يفهمون كيفية القيام بذلك. يمنحك NAT الديناميكي الزائد حداً من الحماية فقط باستخدامه - قم بتوصيل جهاز التوجيه الخاص بك وأنت محمي. سهل.

ومع ذلك ، لا يوجد أي سبب لعدم استخدام NAT بالطريقة نفسها المستخدمة في IPv4. في الواقع ، يمكن تصميم جهاز التوجيه بحيث يكون له عنوان IPv6 واحد على منفذ WAN مع شبكة IPv4 خاصة خلفه ، بحيث يكون NAT مثبتًا عليه (على سبيل المثال). سيكون هذا حلاً بسيطًا للمستهلكين والسكان. خيار آخر هو وضع جميع الأجهزة مع IPv6 IP العام - الجهاز الوسيط ثم يمكن أن يكون بمثابة جهاز L2 ، ولكن توفير جدول حالة ، وفحص الحزم ، وجدار ناري يعمل بشكل كامل. أساسا ، لا NAT ، ولكن لا يزال يحظر أي إطارات الوارد غير المرغوب فيها. الشيء المهم الذي يجب تذكره هو أنه لا يجب توصيل جهاز الكمبيوتر الخاص بك مباشرة في اتصال WAN الخاص بك بدون جهاز وسيط. ما لم تكن بالطبع تريد الاعتماد على جدار حماية Windows. . . وهذا نقاش مختلف. تحتاج كل شبكة ، حتى الشبكات المنزلية ، إلى جهاز حافة يحمي الشبكة المحلية ، بالإضافة إلى استخدام جدار حماية Windows.

سيكون هناك بعض الآلام المتزايدة التي تنتقل إلى IPv6 ، ولكن لن تكون هناك مشكلة لا يمكن حلها بسهولة. هل سيتعين عليك التخلص من جهاز التوجيه IPv4 القديم أو البوابة السكنية؟ ربما ، ولكن سيكون هناك حلول جديدة غير مكلفة متاحة عندما يحين الوقت. نأمل أن العديد من الأجهزة تحتاج فقط إلى فلاش البرامج الثابتة. هل تم تصميم IPv6 ليتناسب بشكل أكثر بسلاسة مع البنية الحالية؟ بالتأكيد ، ولكن هذا هو ما هو عليه ولن يختفي - لذا قد تتعلمه أيضًا ، أعيشه ، أحبه.


8
2018-06-09 14:38



بالنسبة لما يستحق ، أود التأكيد على أن البنية الحالية ممزقة بشكل أساسي (إمكانية التوجيه من طرف إلى طرف) وهذا يخلق مشاكل عملية في الشبكات المعقدة (أجهزة NAT الزائدة معقدة ومكلفة للغاية). سيؤدي تقليل تشغيل NAT إلى تقليل التعقيدات ونقاط الفشل المحتملة ، بينما يتم الحفاظ على الأمان من خلال جدران حماية بسيطة (لا يمكنني تخيل وجود جهاز توجيه SOHO ثانية يأتي من دون جدار الحماية الذي تم تمكينه افتراضيًا حتى يتمكن العملاء من التوصيل دون تشغيل فكرة). - Chris S
في بعض الأحيان ، تكون إمكانية الرحيل من البداية إلى النهاية هي بالضبط ما تريده. لا أريد أن يتم توجيه الطابعات وأجهزة الكمبيوتر الخاصة بي من الإنترنت. في حين أن NAT بدأت كاختراق ، فقد تطورت إلى أداة قابلة للاستخدام للغاية ، والتي في بعض الحالات يمكن أن تحسن الأمن عن طريق إزالة إمكانية توجيه الحزم إلى عقدة مباشرة. إذا كان عنوان IP RFC1918 معيّنًا بشكل ثابت على جهاز كمبيوتر ، فلن يكون عنوان IP قابلاً للتوجيه على الإنترنت تحت أي ظرف من الظروف. - Computerguy
القدرة على كسر هو شيئا سيئا. ما تريده هو أن تكون أجهزتك غير قابلة للوصول بواسطة الإنترنت (عن طريق جدار الحماية) ، وهذا ليس الشيء نفسه. نرى لماذا تستخدم IPv6 داخليًا؟. أيضاً ، ينص RFC1918 على أنه يجب استخدام هذا العنوان للشبكات الخاصة فقط ، ويجب أن يتم توفير الوصول إلى الإنترنت بواسطة عبّارات طبقة التطبيقات (التي لا تكون NAT). بالنسبة للوصلات الخارجية ، يجب تعيين عنوان للمضيف من تخصيص منسق من IANA. المأجورون ، بغض النظر عن مدى فائدتهم ، يقدمون تنازلات غير ضرورية وليست الطريقة "الصحيحة". - Chris S


نوع من. هناك بالفعل "أنواع" مختلفة من عناوين IPv6. يُعرف الأقرب إلى RFC 1918 (10/8 ، 172.16 / 12 ، 192.168 / 16) باسم "عنوان محلي فريد" ويتم تعريفه في RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

بحيث تبدأ بـ fd00 :: / 8 ، ثم إضافة سلسلة 40 بت (باستخدام خوارزمية محددة مسبقًا في RFC!) ، وينتهي الأمر ببادئة عشوائية زائفة / 48 يجب أن تكون فريدة من نوعها على مستوى العالم. لديك باقي مساحة العنوان لتعيينها بالطريقة التي تريدها.

يجب أيضًا حظر fd00 :: / 7 (fc00 :: / 8 و fd00 :: / 8) على جهاز التوجيه (IPv6) الخاص بك خارج مؤسستك - ومن هنا يكون "المحلي" في اسم العنوان. هذه العناوين ، في مساحة العنوان العالمية ، لا يجب أن تكون قابلة للوصول إلى العالم ككل ، فقط في "المؤسسة" الخاصة بك.

إذا احتاجت خوادم PCI-DSS إلى IPv6 للاتصال بمضيفات IPv6 الداخلية الأخرى ، فيجب عليك إنشاء بادئة ULA لشركتك واستخدامها لهذا الغرض. يمكنك استخدام التكوين التلقائي لـ IPv6 تمامًا مثل أي بادئة أخرى إذا كنت ترغب في ذلك.

بالنظر إلى أنه تم تصميم IPv6 بحيث يمكن للمضيفين الحصول على عناوين متعددة ، يمكن للآلة - بالإضافة إلى عنوان ULA - أن تكون عنوانًا قابل للتوجيه على مستوى العالم أيضًا. لذا ، يمكن لخادم الويب الذي يحتاج إلى التحدث إلى كل من العالم الخارجي ، وإلى الأجهزة الداخلية ، الحصول على عنوان Prefex المعيّن من قِبل موفر خدمة الإنترنت وبادئة ULA الخاصة بك.

إذا كنت تريد وظيفة NAT-like يمكنك النظر إلى NAT66 كذلك ، ولكن بصفة عامة ، كنت مهندس معماري حول ULA. إذا كان لديك المزيد من الأسئلة ، فقد ترغب في الاطلاع على قائمة "ipv6-ops" البريدية.


7
2018-03-24 00:05



ههه. أكتب جميع هذه التعليقات على sysadmin1138 ، ولم أفكر حتى في إلقاء نظرة على إجابتك حول استخدام العناوين المزدوجة للرسائل المحلية والعالمية. ومع ذلك ، أنا أختلف بشدة مع مبادئ ULA التي تحتاج إلى أن تكون فريدة من نوعها على مستوى العالم. لا أحب الأرقام العشوائية ، 40-بت على الاطلاق، وخاصة بالنسبة لشبكة LAN الداخلية الخاصة بي ، منها أنا أنا المستخدم الوحيد. ربما يحتاجون إلى قاعدة بيانات عالمية من ULAs ليتم تسجيلها (SixXS يشغل مثل هذا) ، ولكن إسقاط الفوضى رقم عشوائي والسماح للأشخاص أن يكونوا مبدعين. مثل لوحات ترخيص شخصية. يمكنك التقدم بطلب للحصول على واحدة ، وإذا ما أخذته ، فإنك تحاول الحصول على آخر. - Kumba
Kumba انهم يحاولون وقف كل شبكة واحدة باستخدام نفس العناوين - عشوائي يعني أنك لا تحتاج إلى قاعدة بيانات عامة وكل شبكة مستقلة ؛ إذا كنت تريد إصدار عناوين IP مركزيًا ، فما عليك سوى استخدام العناوين العالمية! - Richard Gadsden
@ ريتشارد: هذا هو ... كيف يمكنني وضعه ، مفهوم سخيف ، IMHO. لماذا ينبغي أن يهم إذا كانت شركة جو الصغيرة في مدينة في مونتانا تستخدم نفس عنوان IPv6 كمؤسسة صغيرة أخرى في بيرث ، أستراليا؟ احتمالات العبوران من أي وقت مضى ، في حين أنه ليس من المستحيل ، غير محتملة إلى حد كبير. إذا كان القصد من مصممي IPv6 هو محاولة التخلص بالكامل من مفهوم "الشبكات الخاصة" ، فيجب أن يتم فحص قهوتهم ، لأن ذلك غير ممكن من الناحية الواقعية. - Kumba
Kumba أعتقد أنها الندوب من عند محاولة دمج شبكتين خاصتين كبيرتين IPv4 في 10/8 ، ويجب إعادة ترقيم واحد (أو حتى كليهما) من تلك التي يحاولون تجنبها. - Richard Gadsden
@ ريتشارد: بالضبط ، ليس هناك ما هو أكثر إيلاما من استخدام VPN للاتصال بشبكة أخرى بنفس الشبكة الفرعية الخاصة ، فإن بعض التنفيذ سيتوقف عن العمل. - Hubert Kario


نأمل أن يذهب NAT إلى الأبد. إنه مفيد فقط عندما يكون لديك ندرة في عنوان IP وليس له ميزات أمان لا يتم توفيرها بشكل أفضل وأرخص وأكثر سهولة إدارتها بواسطة جدار حماية رسمي.

منذ IPv6 = لا مزيد من الشح ، فهذا يعني أننا نستطيع تخليص العالم من الاختراق القبيح الذي هو NAT.


4
2018-03-23 23:44





IMHO: لا.

لا تزال هناك بعض الأماكن التي يمكن أن يكون فيها SNAT / DNAT مفيدة. وللانتقاء ، تم نقل بعض الخوادم إلى شبكة أخرى ، ولكننا لا نريد / لا يمكننا تغيير عنوان IP للتطبيق.


4
2018-03-24 01:23



يجب أن تستخدم أسماء DNS بدلاً من IP addressess في تكوينات التطبيق الخاص بك. - rmalayter
لا يقوم نظام أسماء النطاقات بإعادة معالجة مشكلتك ، إذا كنت تحتاج إلى إنشاء مسار شبكة دون تعديل قواعد طوب التوجيه بالكامل وجدار الحماية. - sumar