Beralih ke IPv6 berarti menjatuhkan NAT. Apakah itu hal yang baik?

109

Ini adalah Pertanyaan Canonical tentang IPv6 dan NAT

Terkait:

Jadi ISP kami telah menyiapkan IPv6 baru-baru ini, dan saya telah mempelajari apa yang harus dilakukan oleh transisi sebelum melompat ke medan perang.

Saya perhatikan tiga masalah yang sangat penting:

  1. Router NAT kantor kami (Linksys BEFSR41 lama) tidak mendukung IPv6. Juga tidak ada router baru, AFAICT. Buku yang saya baca tentang IPv6 memberitahu saya bahwa itu membuat NAT "tidak perlu".

  2. Jika kita seharusnya menyingkirkan router ini dan menghubungkan semuanya langsung ke Internet, saya mulai panik. Tidak mungkin saya akan meletakkan basis data penagihan kami (Dengan banyak informasi kartu kredit!) Di internet untuk dilihat semua orang. Bahkan jika saya mengusulkan pengaturan firewall Windows di atasnya untuk memungkinkan hanya 6 alamat untuk memiliki akses sama sekali, saya masih berkeringat dingin. Saya tidak mempercayai Windows, firewall Windows, atau jaringan yang pada umumnya cukup nyaman dengan itu.

  3. Ada beberapa perangkat keras lama (yaitu, printer) yang sama sekali tidak memiliki kemampuan IPv6 sama sekali. Dan sepertinya daftar masalah keamanan yang berasal dari sekitar tahun 1998. Dan kemungkinan tidak ada cara untuk benar-benar menambalnya dengan cara apa pun. Dan tidak ada dana untuk printer baru.

Saya mendengar bahwa IPv6 dan IPSEC seharusnya membuat semua ini aman, tetapi tanpa jaringan yang terpisah secara fisik yang membuat perangkat ini tidak terlihat oleh Internet, saya benar - benar tidak dapat melihat caranya. Saya juga dapat benar-benar melihat bagaimana pertahanan yang saya buat akan dikuasai dalam waktu singkat. Saya sudah menjalankan server di Internet selama bertahun-tahun sekarang dan saya cukup akrab dengan hal-hal yang diperlukan untuk mengamankannya, tetapi menempatkan sesuatu yang Privat di jaringan seperti database penagihan kami selalu benar-benar keluar dari pertanyaan.

Dengan apa saya harus mengganti NAT, jika kita tidak memiliki jaringan yang terpisah secara fisik?

Ernie
sumber
9
Bisakah Anda mencoba menanyakan kembali ini? Sekarang ini tampaknya cukup argumentatif.
Zoredache
9
Hal-hal yang membuat Anda kaget tidak ada. Mungkin Anda harus memformat ulang pertanyaan Anda dengan cara menggambarkan hal-hal yang Anda yakini sebagai fakta dan meminta kami untuk mengonfirmasinya. Alih-alih mengeluh tentang hal-hal yang Anda asumsikan akan bekerja dengan cara tertentu.
Zoredache
25
Juga - Anda menyimpan informasi kartu kredit? Dan Anda punya banyak pertanyaan tentang keamanan? Apakah Anda pernah lulus audit PCI? Atau apakah Anda melanggar kontrak Anda dengan menyimpan rincian kartu kredit? Anda mungkin ingin melihat ini, pasca-tergesa-gesa.
mfinni
4
Dalam hati nurani saya, saya tidak dapat memilih atau memilih untuk menutup pertanyaan ini dengan alasan bahwa poster tersebut kurang informasi (tentu saja itu adalah setengah poin dari situs). Memang, OP akan bersinggungan besar berdasarkan asumsi yang salah, dan pertanyaannya bisa dilakukan dengan menulis ulang.
Chris Thorpe
3
"No more NAT" adalah salah satu tujuan dalam IPv6. Meskipun saat ini, tampaknya (setidaknya di sini) bahwa minat untuk benar-benar menawarkan IPv6 tidak terlalu besar, kecuali di pusat data (karena paket yang lebih besar berarti lebih banyak bandwidth, dan lebih banyak bandwidth berarti lebih banyak uang untuk mereka!). Untuk DSL sebaliknya, hampir semua orang memiliki flatrate, jadi IPv6 hanya berarti lebih banyak masalah dan lebih banyak biaya untuk penyedia.
dm.skt

Jawaban:

185

Pertama dan terpenting, tidak ada yang perlu ditakutkan dari alokasi IP publik, selama perangkat keamanan Anda dikonfigurasi dengan benar.

Dengan apa saya harus mengganti NAT, jika kita tidak memiliki jaringan yang terpisah secara fisik?

Hal yang sama kami secara fisik memisahkan mereka dengan sejak tahun 1980-an, router dan firewall. Satu keuntungan besar keamanan yang Anda dapatkan dengan NAT adalah bahwa hal itu memaksa Anda ke konfigurasi default-deny. Untuk mendapatkan layanan apa pun , Anda harus membuat lubang secara eksplisit . Perangkat yang lebih bagus bahkan memungkinkan Anda untuk menerapkan ACL berbasis IP ke lubang tersebut, seperti firewall. Mungkin karena mereka memiliki 'Firewall' di kotaknya, sebenarnya.

Firewall yang dikonfigurasi dengan benar menyediakan layanan yang sama persis dengan gateway NAT. Gateway NAT sering digunakan karena lebih mudah untuk masuk ke konfigurasi yang aman daripada kebanyakan firewall.

Saya mendengar bahwa IPv6 dan IPSEC seharusnya membuat semua ini aman, tetapi tanpa jaringan yang terpisah secara fisik yang membuat perangkat ini tidak terlihat oleh Internet, saya benar - benar tidak dapat melihat caranya.

Ini adalah kesalahpahaman. Saya bekerja untuk Universitas yang memiliki alokasi IPv4 / 16, dan sebagian besar, sebagian besar konsumsi alamat IP kami ada pada alokasi publik itu. Tentunya semua workstation dan printer pengguna akhir kami. Konsumsi RFC1918 kami terbatas pada perangkat jaringan dan server tertentu tertentu di mana alamat tersebut diperlukan. Saya tidak akan terkejut jika Anda hanya menggigil barusan, karena tentu saja saya lakukan ketika saya muncul di hari pertama saya dan melihat post-it di monitor saya dengan alamat IP saya.

Namun, kita selamat. Mengapa? Karena kami memiliki firewall eksterior yang dikonfigurasi untuk default-deny dengan throughput ICMP terbatas. Hanya karena 140.160.123.45 secara teoritis dapat dilalui, tidak berarti Anda bisa sampai di sana dari mana pun Anda berada di internet publik. Inilah yang dirancang untuk dilakukan oleh firewall.

Dengan adanya konfigurasi router yang tepat, dan subnet yang berbeda dalam alokasi kami dapat benar-benar tidak dapat dijangkau satu sama lain. Anda dapat melakukannya di tabel router atau firewall. Ini adalah jaringan yang terpisah dan telah memuaskan auditor keamanan kami di masa lalu.

Tidak mungkin saya akan meletakkan basis data penagihan kami (Dengan banyak informasi kartu kredit!) Di internet untuk dilihat semua orang.

Database penagihan kami ada di alamat IPv4 publik, dan telah ada selama seluruh keberadaannya, tetapi kami memiliki bukti bahwa Anda tidak bisa sampai di sana dari sini. Hanya karena suatu alamat ada pada daftar rute publik v4 tidak berarti itu dijamin akan dikirimkan. Dua firewall antara kejahatan Internet dan port database aktual menyaring kejahatan. Bahkan dari meja saya, di belakang firewall pertama, saya tidak bisa mendapatkan ke database itu.

Informasi kartu kredit adalah satu kasus khusus. Itu tunduk pada standar PCI-DSS, dan standar menyatakan secara langsung bahwa server yang berisi data tersebut harus berada di belakang gateway NAT 1 . Kami adalah, dan ketiga server ini mewakili total penggunaan server kami dari alamat RFC1918. Itu tidak menambahkan keamanan apa pun, hanya lapisan kerumitan, tetapi kita perlu memeriksa kotak centang itu untuk audit.


Ide asli "IPv6 membuat NAT menjadi bagian dari masa lalu" telah diajukan sebelum booming Internet benar-benar mencapai arus utama penuh. Pada tahun 1995 NAT adalah solusi untuk menyiasati alokasi IP kecil. Pada tahun 2005 itu diabadikan dalam banyak dokumen Praktik Terbaik Keamanan, dan setidaknya satu standar utama (PCI-DSS lebih spesifik). Satu-satunya manfaat nyata yang NAT berikan adalah bahwa entitas eksternal yang melakukan pengintaian pada jaringan tidak tahu seperti apa lanskap IP di belakang perangkat NAT (meskipun berkat RFC1918 mereka memiliki tebakan yang baik), dan pada IPv4 bebas-NAT (seperti sebagai pekerjaanku) bukan itu masalahnya. Ini adalah langkah kecil dalam pertahanan, bukan yang besar.

Penggantian untuk alamat RFC1918 adalah apa yang disebut Alamat Lokal Unik. Seperti RFC1918, mereka tidak merutekan kecuali rekan-rekan tertentu setuju untuk membiarkan mereka merutekan. Tidak seperti RFC1918, mereka (mungkin) unik secara global. Penerjemah alamat IPv6 yang menerjemahkan ULA ke IP Global memang ada di roda batas perimeter yang lebih tinggi, jelas belum di roda SOHO.

Anda dapat bertahan dengan baik dengan alamat IP publik. Ingatlah bahwa 'publik' tidak menjamin 'terjangkau', dan Anda akan baik-baik saja.


Pembaruan 2017

Dalam beberapa bulan terakhir, Amazon telah menambahkan dukungan IPv6. Itu baru saja ditambahkan ke penawaran mereka, dan implementasi mereka memberikan beberapa petunjuk tentang bagaimana penyebaran skala besar diharapkan akan dilakukan.

  • Anda diberi alokasi / 56 (256 subnet).
  • Alokasi adalah subnet yang sepenuhnya dapat dilalui.
  • Anda diharapkan untuk menetapkan aturan firewall ( ) dengan benar secara terbatas.
  • Tidak ada NAT, bahkan tidak ditawarkan, jadi semua lalu lintas keluar akan datang dari alamat IP yang sebenarnya dari instance.

Untuk menambahkan salah satu manfaat keamanan dari NAT, mereka sekarang menawarkan Gateway Internet Egress-only . Ini menawarkan satu manfaat seperti NAT:

  • Subnet di belakangnya tidak dapat langsung diakses dari internet.

Yang menyediakan lapisan pertahanan-dalam-dalam, jika aturan firewall yang salah dikonfigurasi secara tidak sengaja memungkinkan lalu lintas masuk.

Tawaran ini tidak menerjemahkan alamat internal menjadi satu alamat seperti yang dilakukan NAT. Lalu lintas keluar masih akan memiliki IP sumber instance yang membuka koneksi. Operator firewall yang mencari sumber daya daftar putih di VPC akan lebih baik dari netblock yang masuk daftar putih, daripada alamat IP tertentu.

Dapat dirute tidak selalu berarti dapat dijangkau .


1 : Standar PCI-DSS berubah pada Oktober 2010, pernyataan yang mewajibkan alamat RFC1918 dihapus, dan 'isolasi jaringan' menggantikannya.

sysadmin1138
sumber
1
Saya menandai ini sebagai Diterima karena itu adalah jawaban yang lebih lengkap. Saya kira karena setiap buku konfigurasi firewall yang pernah saya baca (sejak sekitar 1997, ketika saya mulai di lapangan, dan itu termasuk membangun firewall FreeBSD dengan tangan) telah menekankan penggunaan RFC1918, bahwa ini tidak masuk akal. untuk saya. Tentu saja, sebagai ISP kita akan memiliki beberapa masalah dengan pengguna akhir dan router murah mereka ketika kita kehabisan alamat IPv4, dan itu tidak akan hilang dalam waktu dekat.
Ernie
"Penerjemah alamat IPv6 yang menerjemahkan ULA ke Global IP benar-benar ada di roda batas perimeter yang lebih tinggi, jelas belum masuk ke roda SOHO." Setelah menolak selama bertahun-tahun, linux menambahkan dukungan untuk hal ini di 3.9.0.
Peter Green
2
Saya punya pertanyaan tentang "gateway NAT sering digunakan karena lebih mudah untuk masuk ke konfigurasi yang aman daripada kebanyakan firewall". Untuk bisnis dengan staf IT yang pro atau untuk konsumen yang berpengetahuan luas, itu bukan masalah besar, tetapi untuk konsumen umum / bisnis kecil yang naif bukanlah sesuatu yang tidak "mudah", risiko keamanan yang sangat besar? Misalnya, jaringan wifi "linksys" tanpa kata sandi ada karena tidak mengonfigurasi keamanan "lebih mudah" daripada mengonfigurasinya. Dengan rumah yang penuh dengan perangkat berkemampuan IoT tingkat konsumen, saya tidak dapat melihat ibuku mengonfigurasi firewall IPv6 dengan benar. Apakah Anda pikir ini masalah?
Jason C
6
@JasonC Tidak, karena perlengkapan tingkat konsumen yang sudah dikirim dikirimkan dengan firewall yang telah dikonfigurasikan sebelumnya oleh ISP untuk menolak semua masuk. Atau tidak memiliki dukungan v6. Tantangannya adalah para pengguna daya yang berpikir mereka tahu apa yang mereka lakukan, tetapi sebenarnya tidak.
sysadmin1138
1
Jawaban yang sangat bagus secara keseluruhan, tetapi saya menurunkannya karena hampir tidak menyentuh gajah besar di ruangan: mengkonfigurasi perangkat keamanan dengan benar adalah sesuatu yang tidak bisa begitu saja Anda terima begitu saja.
Kevin Keane
57

Router NAT kantor kami (Linksys BEFSR41 lama) tidak mendukung IPv6. Juga tidak ada router baru

IPv6 didukung oleh banyak router. Hanya saja tidak banyak yang murah ditujukan untuk konsumen dan SOHO. Kasus terburuk, cukup gunakan kotak Linux atau flash ulang router Anda dengan dd-wrt atau sesuatu untuk mendapatkan dukungan IPv6. Ada banyak pilihan, Anda mungkin hanya perlu terlihat lebih keras.

Jika kita seharusnya menyingkirkan router ini dan menghubungkan semuanya langsung ke Internet,

Tidak ada tentang transisi ke IPv6 yang menyarankan Anda harus menyingkirkan perangkat keamanan perimeter, seperti router / firewall Anda. Router dan firewall masih akan menjadi komponen yang dibutuhkan hampir setiap jaringan.

Semua router NAT secara efektif bertindak sebagai firewall stateful. Tidak ada keajaiban tentang penggunaan alamat RFC1918 yang melindungi Anda sebanyak itu. Ini adalah bit stateful yang melakukan kerja keras. Firewall yang dikonfigurasi dengan benar akan melindungi Anda juga jika Anda menggunakan alamat asli atau pribadi.

Satu-satunya perlindungan yang Anda dapatkan dari alamat RFC1918 adalah yang memungkinkan orang untuk lolos dari kesalahan / kemalasan dalam konfigurasi firewall Anda dan masih belum terlalu rentan.

Ada beberapa perangkat keras lama (yaitu, printer) yang sama sekali tidak memiliki kemampuan IPv6 sama sekali.

Begitu? Kemungkinan besar Anda tidak perlu membuatnya tersedia melalui Internet, dan di jaringan internal Anda, Anda dapat terus menjalankan IPv4, dan IPv6 hingga semua perangkat Anda didukung atau diganti.

Jika menjalankan banyak protokol bukan opsi, Anda mungkin harus mengatur semacam gateway / proxy.

IPSEC seharusnya membuat semua ini aman entah bagaimana

IPSEC mengenkripsi dan mengotentikasi paket. Ini tidak ada hubungannya dengan menyingkirkan perangkat perbatasan Anda, dan lebih melindungi data dalam perjalanan.

Sakit kepala
sumber
2
Benar dalam banyak hal.
sysadmin1138
3
Tepat, dapatkan router nyata dan Anda tidak perlu khawatir. SonicWall memiliki beberapa opsi luar biasa untuk memberikan keamanan yang Anda butuhkan dan akan mendukung IPv6 tanpa masalah. Opsi ini mungkin akan menawarkan keamanan dan kinerja yang lebih baik daripada yang Anda miliki saat ini. ( news.sonicwall.com/index.php?s=43&item=1022 ) Seperti yang dapat Anda lihat di artikel ini, Anda juga dapat melakukan terjemahan ipv4 ke ipv6 dengan perangkat sonicwall bagi mereka yang tidak dapat menangani ipv6.
MaQleod
34

Iya. NAT sudah mati. Ada beberapa upaya untuk meratifikasi standar untuk NAT atas IPv6 tetapi tidak satupun dari mereka yang berhasil.

Ini sebenarnya telah menyebabkan masalah bagi penyedia yang berusaha memenuhi standar PCI-DSS, karena standar tersebut menyatakan bahwa Anda harus berada di belakang NAT.

Bagi saya, ini adalah beberapa berita terindah yang pernah saya dengar. Saya membenci NAT, dan saya bahkan lebih membenci NAT tingkat carrier.

NAT hanya pernah dimaksudkan sebagai solusi bandaid untuk membuat kita melalui sampai IPv6 menjadi standar, tetapi menjadi tertanam ke dalam masyarakat internet.

Untuk masa transisi, Anda harus ingat bahwa IPv4 dan IPv6 terpisah dari nama yang sama, sama sekali berbeda 1 . Jadi perangkat yang Dual-Stack, IPv4 Anda akan di-NATED dan IPv6 Anda tidak. Ini hampir seperti memiliki dua perangkat yang benar-benar terpisah, hanya dikemas dalam satu bagian plastik.

Jadi, bagaimana cara kerja akses internet IPv6? Nah, cara internet dulu bekerja sebelum NAT ditemukan. ISP Anda akan memberi Anda rentang IP (sama seperti yang mereka lakukan sekarang, tetapi mereka umumnya menetapkan Anda / 32, yang berarti bahwa Anda hanya mendapatkan satu alamat IP), tetapi jangkauan Anda sekarang akan memiliki jutaan alamat IP yang tersedia di dalamnya. Anda bebas mengisi alamat IP ini seperti yang Anda pilih (dengan konfigurasi otomatis atau DHCPv6). Masing-masing alamat IP ini akan terlihat dari komputer lain di internet.

Kedengarannya menakutkan, bukan? Pengontrol domain Anda, PC media rumah, dan iPhone Anda dengan simpanan tersembunyi Anda tentang pornografi semuanya akan dapat diakses dari internet ?! Ya tidak. Untuk itulah firewall digunakan. Fitur hebat lain dari IPv6 adalah ia memaksa firewall dari pendekatan "Izinkan Semua" (seperti kebanyakan perangkat rumah) ke dalam pendekatan "Tolak Semua", di mana Anda membuka layanan untuk alamat IP tertentu. 99,999% pengguna rumahan akan dengan senang hati menjaga firewall mereka tetap default dan benar-benar terkunci, yang berarti bahwa tidak ada trafffic yang tidak diminta akan diizinkan masuk.

1 Ok, ada yang lebih dari itu, tetapi mereka sama sekali tidak kompatibel satu sama lain, meskipun mereka berdua mengizinkan protokol yang sama berjalan di atas

Mark Henderson
sumber
1
Bagaimana dengan semua orang yang mengklaim bahwa memiliki komputer di belakang NAT memberikan keamanan tambahan? Saya sering mendengar ini dari beberapa admin TI lainnya. Tidak masalah jika Anda mengatakan bahwa firewall yang tepat adalah semua yang Anda butuhkan, karena begitu banyak dari orang-orang ini percaya bahwa NAT menambah lapisan keamanan.
user9274
3
@ user9274 - ia menyediakan keamanan dalam dua cara: 1) menyembunyikan alamat IP internal Anda dari dunia (itulah sebabnya PCI-DSS memintanya), dan 2) ini merupakan "lompatan" tambahan dari internet ke mesin lokal. Tapi jujur ​​saja, yang pertama hanya "keamanan melalui ketidakjelasan" yang bukan keamanan sama sekali, dan untuk yang kedua perangkat NAT yang dikompromikan sama berbahayanya dengan server yang dikompromikan, jadi begitu para penyerang melewati NAT yang mungkin bisa masuk ke mesin Anda.
Mark Henderson
Selain itu, keamanan apa pun yang diperoleh melalui penggunaan NAT adalah dan merupakan keuntungan yang tidak disengaja dalam upaya untuk mencegah penipisan alamat IPv4. Itu jelas bukan bagian tak terpisahkan dari tujuan desain, yang saya sadari.
joeqwerty
7
Standar PCI-DSS diubah pada akhir Oktober 2010 dan persyaratan NAT telah dihapus (bagian 1.3.8 dari v1.2). Jadi, mereka pun mengejar ketinggalan zaman.
sysadmin1138
2
@ Mark, tidak yakin apakah itu layak disebutkan tetapi NAT64 turun, tapi itu bukan NAT yang dipikirkan kebanyakan orang. Ini memungkinkan hanya jaringan IPv6 untuk mengakses Internet IPv4 tanpa 'kerjasama' klien; membutuhkan dukungan DNS64 untuk membuatnya berfungsi.
Chris S
18

Persyaratan PCI-DSS untuk NAT dikenal sebagai teater keamanan dan bukan keamanan yang sebenarnya.

PCI-DSS terbaru telah mundur dari memanggil NAT persyaratan mutlak. Banyak organisasi telah lulus audit PCI-DSS dengan IPv4 tanpa NAT menunjukkan firewall yang menyatakan negara sebagai "implementasi keamanan yang setara".

Ada dokumen teater keamanan lain di luar sana yang menyerukan NAT, tetapi, karena menghancurkan jalur audit dan membuat penyelidikan / mitigasi insiden lebih sulit, studi yang lebih mendalam tentang NAT (dengan atau tanpa PAT) menjadi negatif keamanan internet.

Firewall stateful yang bagus tanpa NAT adalah solusi yang jauh lebih unggul dari NAT di dunia IPv6. Dalam IPv4, NAT adalah kejahatan yang perlu ditoleransi demi mengatasi konservasi.

Owen DeLong
sumber
2
NAT adalah "keamanan malas". Dan dengan "keamanan malas" datang kurangnya perhatian terhadap detail, dan hilangnya keamanan yang dimaksudkan.
Skaperen
1
Sangat setuju; meskipun cara audit PCI-DSS paling banyak dilakukan (audit oleh monyet dengan checklist) itu semua keamanan malas, dan membawa kekurangan itu.
MadHatter
Bagi mereka yang mengklaim bahwa NAT adalah "teater keamanan" saya ingin menunjukkan artikel The Networking Nerd tentang kerentanan Memcached beberapa bulan yang lalu. networkingnerd.net/2018/03/02/... Dia adalah pendukung IPv6 yang rajin, dan pembenci NAT, tetapi harus menunjukkan bahwa ribuan perusahaan telah membiarkan server memcached mereka terbuka lebar di internet karena aturan firewall yang "tidak dibuat dengan hati - hati ". NAT memaksa Anda untuk secara eksplisit tentang apa yang Anda izinkan ke jaringan Anda.
Kevin Keane
12

Akan (sayangnya) perlu beberapa saat sebelum Anda dapat pergi dengan jaringan IPv6 satu-tumpukan saja. Sampai saat itu, tumpukan ganda dengan preferensi untuk IPv6 bila tersedia adalah cara untuk dijalankan.

Sementara sebagian besar router konsumen tidak mendukung IPv6 dengan stock firmware saat ini, banyak yang dapat mendukungnya dengan firmware pihak ketiga (mis., Linksys WRT54G dengan dd-wrt, dll.). Juga, banyak perangkat kelas bisnis (Cisco, Juniper) mendukung IPv6 out-of-the-box.

Sangat penting untuk tidak membingungkan PAT (NAT banyak-ke-satu, seperti yang umum pada router konsumen) dengan bentuk-bentuk NAT lainnya, dan dengan firewall bebas-NAT; begitu internet menjadi hanya IPv6, firewall masih akan mencegah pemaparan layanan internal. Demikian juga, sistem IPv4 dengan NAT satu-ke-satu tidak secara otomatis dilindungi; itulah tugas kebijakan firewall.

techieb0y
sumber
11

Ada banyak kebingungan tentang hal ini, karena administrator jaringan melihat NAT dalam satu hal, dan pelanggan bisnis dan perumahan kecil melihatnya di sisi lain. Izinkan saya mengklarifikasi.

NAT statis (kadang-kadang disebut NAT satu-ke-satu) sama sekali tidak menawarkan perlindungan untuk jaringan pribadi Anda atau PC individu. Mengubah alamat IP tidak ada artinya sejauh menyangkut perlindungan.

NAT / PAT Kelebihan Beban Dinamis seperti yang dilakukan kebanyakan gateway perumahan dan wifi AP benar-benar membantu melindungi jaringan pribadi Anda dan / atau PC Anda. Dengan desain tabel NAT di perangkat ini adalah tabel negara. Ini melacak permintaan outbound dan memetakannya di tabel NAT - waktu koneksi habis setelah waktu tertentu. Setiap frame masuk yang tidak diminta yang tidak cocok dengan apa yang ada di tabel NAT dijatuhkan secara default - router NAT tidak tahu ke mana harus mengirimnya ke jaringan pribadi sehingga menjatuhkannya. Dengan cara ini, satu-satunya perangkat yang Anda tinggalkan untuk diretas adalah router Anda. Karena sebagian besar eksploitasi keamanan berbasis Windows - memiliki perangkat seperti ini antara internet dan PC Windows Anda sangat membantu melindungi jaringan Anda. Ini mungkin bukan fungsi yang dimaksudkan semula, yang untuk menghemat IP publik, tetapi mendapatkan pekerjaan. Sebagai bonus, sebagian besar perangkat ini juga memiliki kemampuan firewall yang berkali-kali memblokir permintaan ICMP, yang juga membantu melindungi jaringan.

Dengan informasi di atas, membuang dengan NAT ketika pindah ke IPv6 dapat membuat jutaan perangkat konsumen dan bisnis kecil berpotensi melakukan peretasan. Ini akan sedikit atau tidak berpengaruh pada jaringan perusahaan karena mereka telah secara profesional mengelola firewall di ujung mereka. Jaringan konsumen dan bisnis kecil mungkin tidak lagi memiliki router NAT berbasis * nix antara internet dan PC mereka. Tidak ada alasan bahwa seseorang tidak dapat beralih ke solusi firewall saja - jauh lebih aman jika digunakan dengan benar, tetapi juga di luar lingkup apa yang 99% konsumen pahami bagaimana melakukannya. Dynamic Overloaded NAT memberikan sedikit perlindungan hanya dengan menggunakannya - tancapkan router perumahan Anda dan Anda terlindungi. Mudah.

Yang mengatakan, tidak ada alasan bahwa NAT tidak dapat digunakan dengan cara yang persis sama seperti yang digunakan di IPv4. Bahkan, sebuah router dapat dirancang untuk memiliki satu alamat IPv6 pada port WAN dengan jaringan pribadi IPv4 di belakangnya yang dimasukkan NAT (misalnya). Ini akan menjadi solusi sederhana bagi konsumen dan orang-orang perumahan. Pilihan lain adalah untuk menempatkan semua perangkat dengan IPv6 IP publik --- perangkat perantara kemudian dapat bertindak sebagai perangkat L2, tetapi menyediakan tabel keadaan, inspeksi paket, dan firewall yang berfungsi penuh. Pada dasarnya, tidak ada NAT, tetapi masih memblokir frame masuk yang tidak diminta. Yang penting untuk diingat adalah bahwa Anda tidak harus mencolokkan PC Anda langsung ke koneksi WAN Anda tanpa perangkat perantara. Kecuali tentu saja Anda ingin mengandalkan firewall Windows. . . dan itu diskusi yang berbeda.

Akan ada beberapa rasa sakit yang tumbuh pindah ke IPv6, tetapi tidak ada masalah yang tidak akan dapat diselesaikan dengan cukup mudah. Apakah Anda harus membuang router IPv4 lama Anda atau gateway perumahan? Mungkin, tetapi akan ada solusi baru yang murah tersedia ketika saatnya tiba. Semoga banyak perangkat hanya membutuhkan flash firmware. Bisakah IPv6 dirancang agar lebih pas dengan arsitektur saat ini? Tentu, tetapi ini adalah apa adanya dan itu tidak akan hilang - Jadi Anda bisa mempelajarinya, menjalaninya, menyukainya.

Computerguy
sumber
3
Untuk apa nilainya, saya ingin menegaskan kembali bahwa arsitektur saat ini pada dasarnya rusak (end-to-end routability) dan ini menciptakan masalah praktis dalam jaringan yang kompleks (perangkat NAT yang berlebihan terlalu rumit dan mahal). Menjatuhkan peretasan NAT akan mengurangi kompleksitas dan titik kegagalan yang potensial, sementara keamanan dikelola oleh firewall stateful sederhana (saya tidak bisa membayangkan untuk sesaat router SOHO datang tanpa firewall stateful diaktifkan secara default sehingga pelanggan dapat plug-n-play tanpa Sebuah pemikiran).
Chris S
Terkadang routabilitas ujung ke ujung yang persis seperti yang Anda inginkan. Saya tidak ingin printer dan PC saya dapat dialihkan dari internet. Sementara NAT dimulai sebagai peretasan, itu telah berevolusi menjadi alat yang sangat bermanfaat, yang dalam beberapa kasus dapat meningkatkan keamanan dengan menghapus potensi paket untuk merutekan langsung ke sebuah node. Jika saya memiliki IP RFC1918 yang ditetapkan secara statis pada PC, dalam keadaan apa pun IP tersebut tidak dapat dirute di internet.
Computerguy
6
Routability yang rusak adalah A Bad Thing ™ . Apa yang Anda inginkan adalah agar perangkat Anda tidak dapat dijangkau oleh Internet (oleh firewall), itu bukan hal yang sama. Lihat Mengapa Anda menggunakan IPv6 secara internal? . Juga, RFC1918 menyatakan bahwa alamat tersebut harus digunakan hanya untuk jaringan pribadi, dan akses ke Internet hanya harus disediakan oleh gateway lapisan aplikasi (yang bukan NAT). Untuk koneksi eksternal, tuan rumah harus diberi alamat dari alokasi terkoordinasi IANA. Hacks, tidak peduli seberapa berguna, membuat kompromi yang tidak perlu dan bukan cara yang 'benar'.
Chris S
10

Jika NAT bertahan di dunia IPv6, kemungkinan besar akan menjadi 1: 1 NAT. Suatu bentuk NAT yang tidak pernah terlihat di ruang IPv4. Apa itu NAT 1: 1? Ini adalah terjemahan 1: 1 dari alamat global ke alamat lokal. Setara IPv4 akan menerjemahkan semua koneksi ke 1.1.1.2 hanya menjadi 10.1.1.2, dan seterusnya untuk seluruh ruang 1.0.0.0/8. Versi IPv6 akan menerjemahkan alamat global ke Alamat Lokal Unik.

Keamanan yang ditingkatkan dapat diberikan dengan sering memutar pemetaan untuk alamat yang tidak Anda pedulikan (seperti pengguna kantor internal yang menjelajah Facebook). Secara internal, nomor ULA Anda akan tetap sama sehingga DNS split-horizon Anda akan terus berfungsi dengan baik, tetapi secara eksternal klien tidak akan pernah berada pada port yang dapat diprediksi.

Tapi sungguh, itu sejumlah kecil peningkatan keamanan untuk kerumitan yang diciptakannya. Memindai subnet IPv6 adalah tugas yang sangat besar dan tidak mungkin dilakukan tanpa beberapa pengintaian tentang bagaimana alamat IP ditetapkan pada subnet tersebut (metode pembangkitan MAC? Metode acak? Penugasan statis dari alamat yang dapat dibaca manusia?).

Dalam kebanyakan kasus, yang akan terjadi adalah klien di balik firewall perusahaan akan mendapatkan alamat global, mungkin ULA, dan firewall perimeter akan ditetapkan untuk menolak semua koneksi apa pun yang masuk ke alamat tersebut. Untuk semua maksud dan tujuan, alamat-alamat itu tidak dapat dijangkau dari luar. Setelah klien internal memulai koneksi, paket akan diizinkan melalui koneksi itu. Kebutuhan untuk mengubah alamat IP ke sesuatu yang sama sekali berbeda ditangani dengan memaksa penyerang untuk membuka 2 ^ 64 kemungkinan alamat pada subnet itu.

sysadmin1138
sumber
@ sysadmin1138: Saya suka solusi ini. Seperti yang saya pahami saat ini IPv6, jika ISP saya memberi saya / 64, saya seharusnya menggunakan itu / 64 di seluruh jaringan saya jika saya ingin mesin saya dapat diakses internet IPv6. Tetapi jika saya bosan dengan ISP itu dan pindah ke ISP lain, sekarang saya harus menomori ulang semuanya.
Kumba
1
@ sysadmin1138: Namun demikian, saya perhatikan bahwa saya dapat menetapkan banyak IP ke satu antarmuka jauh lebih mudah daripada dengan IPv4, jadi saya dapat melihat menggunakan ISP / 64 untuk akses eksternal dan skema ULA internal pribadi saya sendiri untuk komunikasi antar host, dan menggunakan firewall untuk membuat alamat ULA tidak terjangkau dari luar. Lebih banyak pekerjaan pengaturan yang terlibat, tetapi sepertinya itu akan menghindari NAT sama sekali.
Kumba
@ sysadmin1138: SAYA MASIH menggaruk kepala saya mengapa ULA, untuk semua maksud dan tujuan, pribadi, namun mereka diharapkan masih unik secara global. Ini seperti mengatakan bahwa saya dapat memiliki mobil dari merek apa pun dan model yang tersedia saat ini, tetapi tidak semua merek / model / tahun sudah digunakan oleh orang lain, meskipun itu adalah mobil saya dan saya akan menjadi satu-satunya pengemudi yang pernah ada.
Kumba
2
@ Kumba Alasan alamat RFC 4193 harus unik secara global adalah untuk memastikan Anda tidak perlu lagi nomor baru di masa depan. Mungkin suatu hari Anda perlu menggabungkan dua jaringan menggunakan alamat RFC 4193, atau satu mesin yang sudah bisa memiliki alamat RFC 4193 mungkin perlu terhubung ke satu atau lebih VPN, yang juga memiliki alamat RFC 4193.
kasperd
1
@ Kumba Jika semua orang menggunakan fd00 :: / 64 untuk segmen pertama di jaringan mereka, maka Anda pasti akan mengalami konflik segera setelah setiap pasangan dari dua jaringan tersebut harus berkomunikasi. Maksud dari RFC 4193 adalah bahwa selama Anda memilih 40 bit Anda secara acak, Anda dapat menetapkan 80 bit yang tersisa namun Anda harap dan tetap percaya diri, bahwa Anda tidak harus memberi nomor baru.
kasperd
9

RFC 4864 menjelaskan IPv6 Local Network Protection , serangkaian pendekatan untuk memberikan manfaat yang dirasakan dari NAT di lingkungan IPv6, tanpa benar-benar harus menggunakan NAT.

Dokumen ini telah menjelaskan sejumlah teknik yang dapat digabungkan pada situs IPv6 untuk melindungi integritas arsitektur jaringannya. Teknik-teknik ini, dikenal secara kolektif sebagai Perlindungan Jaringan Lokal, mempertahankan konsep batas yang jelas antara "di dalam" dan "di luar" jaringan pribadi dan memungkinkan firewall, penyembunyian topologi, dan privasi. Namun, karena mereka menjaga transparansi alamat di mana diperlukan, mereka mencapai tujuan ini tanpa merugikan terjemahan alamat. Dengan demikian, Perlindungan Jaringan Lokal di IPv6 dapat memberikan manfaat dari Penerjemahan Alamat Jaringan IPv4 tanpa kerugian yang sesuai.

Pertama-tama menjabarkan apa manfaat yang dirasakan dari NAT (dan menghilangkannya jika diperlukan), kemudian menjelaskan fitur-fitur IPv6 yang dapat digunakan untuk memberikan manfaat yang sama. Ini juga menyediakan catatan implementasi dan studi kasus.

Meskipun terlalu lama untuk dicetak ulang di sini, manfaat yang dibahas adalah:

  • Gerbang sederhana antara "di dalam" dan "di luar"
  • Firewall stateful
  • Pelacakan pengguna / aplikasi
  • Privasi dan menyembunyikan topologi
  • Kontrol independen pengalamatan dalam jaringan pribadi
  • Multihoming / dinomori ulang

Ini cukup banyak mencakup semua skenario di mana orang mungkin menginginkan NAT dan menawarkan solusi untuk mengimplementasikannya di IPv6 tanpa NAT.

Beberapa teknologi yang akan Anda gunakan adalah:

  • Alamat lokal yang unik: Pilih ini di jaringan internal Anda untuk menjaga komunikasi internal Anda tetap internal dan untuk memastikan bahwa komunikasi internal dapat berlanjut bahkan jika ISP mengalami gangguan.
  • Ekstensi privasi IPv6 dengan masa hidup alamat pendek dan pengenal antarmuka yang tidak terstruktur jelas: Ini membantu mencegah serangan terhadap host individu dan pemindaian subnet.
  • IGP, Mobile IPv6 atau VLAN dapat digunakan untuk menyembunyikan topologi jaringan internal.
  • Seiring dengan ULA, DHCP-PD dari ISP membuat penomoran ulang / multihoming lebih mudah daripada dengan IPv4.

( Lihat RFC untuk rincian lengkap; sekali lagi, terlalu lama untuk mencetak ulang atau bahkan mengambil kutipan penting dari.)

Untuk diskusi yang lebih umum tentang keamanan transisi IPv6, lihat RFC 4942 .

Michael Hampton
sumber
8

Agak. Sebenarnya ada "jenis" alamat IPv6 yang berbeda. Yang paling dekat dengan RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) disebut "Alamat lokal unik" dan didefinisikan dalam RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Jadi Anda mulai dengan fd00 :: / 8, kemudian tambahkan string 40-bit (menggunakan algoritma yang telah ditentukan sebelumnya dalam RFC!), Dan Anda berakhir dengan awalan pseudo-random / 48 yang harus unik secara global. Anda memiliki sisa ruang alamat untuk ditetapkan sesuai keinginan Anda.

Anda juga harus memblokir fd00 :: / 7 (fc00 :: / 8 dan fd00 :: / 8) di router (IPv6) Anda ke luar organisasi Anda — karenanya "lokal" pada nama alamat. Alamat-alamat ini, saat berada di ruang alamat global, seharusnya tidak dapat dijangkau oleh dunia pada umumnya, hanya dengan "organisasi" Anda.

Jika server PCI-DSS Anda membutuhkan IPv6 untuk konektivitas ke host IPv6 internal lainnya, Anda harus membuat awalan ULA untuk perusahaan Anda dan menggunakannya untuk tujuan ini. Anda dapat menggunakan konfigurasi otomatis IPv6 seperti awalan lainnya jika diinginkan.

Mengingat bahwa IPv6 dirancang agar host dapat memiliki beberapa alamat, sebuah mesin dapat memiliki — selain ULA — alamat yang dapat dirutekan secara global juga. Jadi server web yang perlu berbicara dengan dunia luar, dan dengan mesin internal, dapat memiliki alamat prefex yang ditetapkan ISP dan awalan ULA Anda.

Jika Anda ingin fungsionalitas seperti NAT Anda dapat melihat NAT66 juga, tetapi secara umum saya akan arsitek di sekitar ULA. Jika Anda memiliki pertanyaan lebih lanjut, Anda mungkin ingin memeriksa milis "ipv6-ops".

BENDUNGAN
sumber
1
Hah. Saya menulis semua komentar itu ke sysadmin1138, dan bahkan tidak berpikir untuk melihat jawaban Anda tentang penggunaan alamat ganda untuk komunikasi global dan lokal. Namun, saya sangat tidak setuju dengan aturan-aturan ULA yang perlu unik secara global. Saya tidak suka angka acak, 40-bit sama sekali , terutama untuk LAN internal saya, di mana saya adalah satu-satunya pengguna. Mereka mungkin memang membutuhkan database dunia ULA untuk didaftarkan (SixXS menjalankannya), tetapi jatuhkan kekacauan nomor acak dan biarkan orang menjadi kreatif. Seperti plat nomor pribadi. Anda melamar satu dan jika diambil, Anda mencoba yang lain.
Kumba
1
@ Kumba mereka mencoba untuk menghentikan setiap jaringan tunggal menggunakan alamat yang sama - acak berarti Anda tidak memerlukan database publik dan setiap jaringan independen; jika Anda ingin mengeluarkan alamat IP secara terpusat, maka gunakan saja alamat global!
Richard Gadsden
@ Richard: Itu ... Bagaimana saya mengatakannya, konsep konyol, IMHO. Mengapa penting jika Perusahaan Joe kecil di sebuah kota di Montana menggunakan alamat IPv6 yang sama dengan perusahaan kecil lainnya di Perth, Australia? Peluang keduanya pernah menyeberang, meski bukan tidak mungkin, sangat mustahil. Jika niat para perancang IPv6 adalah untuk mencoba dan menghilangkan seluruhnya dengan konsep "jaringan pribadi", maka mereka perlu memeriksakan kopinya, karena itu tidak layak secara realistis.
Kumba
2
@ Kumba Saya pikir itu adalah bekas luka ketika Anda mencoba untuk menggabungkan dua jaringan pribadi IPv4 besar di 10/8 dan Anda harus memberi nomor baru satu (atau bahkan keduanya) yang mereka coba hindari.
Richard Gadsden
2
@ Richard: Tepat, tidak ada yang lebih menyakitkan daripada menggunakan VPN untuk terhubung ke jaringan lain dengan subnet pribadi yang sama, beberapa implementasi hanya akan berhenti berfungsi.
Hubert Kario
4

IMHO: tidak.

Masih ada beberapa tempat di mana SNAT / DNAT dapat bermanfaat. Sebagai contoh, beberapa server dipindahkan ke jaringan lain, tetapi kami tidak ingin / kami tidak dapat mengubah IP aplikasi.

sumar
sumber
1
Anda harus menggunakan nama DNS alih-alih alamat IP dalam konfigurasi aplikasi Anda.
rmalayter
DNS tidak memulihkan masalah Anda, jika Anda perlu membuat jalur jaringan tanpa mengubah seluruh topologi perutean dan aturan firewall.
sumar
3

Semoga, NAT akan pergi selamanya. Ini berguna hanya ketika Anda memiliki kelangkaan alamat IP dan tidak memiliki fitur keamanan yang tidak disediakan lebih baik, lebih murah dan lebih mudah dikelola oleh firewall stateful.

Karena IPv6 = tidak ada lagi kelangkaan, itu berarti kita dapat membersihkan dunia peretasan jelek yang adalah NAT.

menggeram
sumber
3

Saya belum melihat jawaban pasti tentang bagaimana hilangnya NAT (jika benar-benar hilang) dengan IPv6 akan mempengaruhi privasi pengguna.

Dengan masing-masing alamat IP perangkat terbuka untuk umum, akan lebih mudah bagi layanan web untuk memantau (mengumpulkan, menyimpan, mengumpulkan dari waktu ke waktu dan ruang serta situs, dan memfasilitasi banyak penggunaan sekunder) perjalanan Anda di internet dari berbagai perangkat Anda. Kecuali ... ISP, router, dan peralatan lain memungkinkan dan mudah untuk memiliki alamat IPv6 dinamis yang dapat sering diubah untuk setiap perangkat.

Tentu saja tidak peduli apa kita masih akan memiliki masalah alamat MAC wi-fi statis menjadi publik, tapi itu cerita lain ...

LogEx
sumber
2
Anda hanya perlu mengaktifkan alamat privasi. Itu akan memberi Anda privasi sebanyak yang seharusnya dilakukan NAT. Selain itu dengan menggunakan IPv6 Anda akan jauh lebih sedikit terkena masalah yang disebabkan oleh pemilihan IPID yang buruk.
kasperd
2

Ada banyak skema untuk mendukung NAT dalam skenario transisi V4 ke V6. Namun, jika Anda memiliki semua jaringan IPV6 dan terhubung ke penyedia IPV6 hulu, NAT bukan bagian dari tatanan dunia baru, kecuali bahwa Anda dapat terowongan antara jaringan V4 melalui jaringan V6.

Cisco memiliki banyak informasi umum tentang skenario, migrasi, dan penerowongan 4to6.

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

Juga di Wikipedia:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

Greg Askew
sumber
2

Politik dan praktik bisnis dasar kemungkinan besar akan lebih lanjut keberadaan NAT. Banyaknya alamat IPv6 berarti ISP akan tergoda untuk mengisi daya per perangkat atau membatasi koneksi hanya untuk sejumlah perangkat terbatas. Lihat artikel terbaru ini di /. sebagai contoh:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

Steve-o
sumber
2
Saya tidak yakin. Saya pikir akan ada pemberontakan teknis besar-besaran terhadap ISP mana pun yang mencoba mengisi daya per perangkat. Meskipun saya dapat melihat mengapa ISP akan melompat pada ide ini, karena sekarang mereka benar-benar dapat mengetahui berapa banyak perangkat di ujung koneksi.
Mark Henderson
1
Mengingat langkah untuk menyediakan beberapa tingkat anonimitas dengan menggunakan alamat sementara untuk koneksi keluar, menegakkan aturan per perangkat akan menjadi rumit, jika bukan tidak mungkin. Perangkat dapat memiliki 2 atau lebih alamat global aktif di bawah skema ini, selain yang ditugaskan lainnya.
BillThor
2
@ Mark Henderson - Sudah ada ISP yang mengenakan biaya per perangkat. AT&T, misalnya, mengenakan biaya tambahan untuk "penambatan".
Richard Gadsden
1
@ Richard - jika itu masalahnya, jika saya bersama AT&T, saya akan menjatuhkan mereka seperti panas
Mark Henderson
@ Mark - Itu nirkabel AT&T (lihat kontrak iPhone, misalnya).
Richard Gadsden
-2

FYI, siapa pun yang menarik menggunakan NAT / NAPT dengan IPV6 bisa. Semua sistem operasi BSD yang memiliki PF mendukung NAT66. Bagus sekali. Dari blog yang kami gunakan :

ipv6 nat (nat66) oleh FreeBSD hal

walaupun nat66 masih dalam konsep, tetapi FreeBSD pf sudah mendukungnya untuk waktu yang lama.

(edit pf.conf dan masukkan kode berikut)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

Anda sudah siap!

Bekerja sangat baik untuk kita orang-orang yang telah menggunakan cumi-cumi dengan satu alamat IP selama bertahun-tahun. Dengan IPv6 NAT, saya bisa mendapatkan 2 ^ 120 alamat pribadi (situs lokal) yang mencakup 2 ^ 56 subnet panjang dengan subnet 5/64 saya. Itu berarti saya harus 100 miliar kali lebih pintar daripada guru IPv6 lainnya di sini karena saya memiliki lebih banyak alamat ::D

Yang benar adalah bahwa hanya karena saya memiliki lebih banyak alamat (atau mungkin telah menggunakan IPv6 lebih lama dari Anda), benar-benar tidak membuat IPv6 (atau saya untuk masalah yang sama) lebih baik. Itu, bagaimanapun, membuat IPv6 lebih kompleks di mana firewall diperlukan di tempat PAT dan NAT tidak lagi persyaratan, tetapi merupakan pilihan. Tujuan firewall adalah untuk memungkinkan semua koneksi keluar dan mempertahankan status, tetapi memblokir koneksi yang dimulai.

Adapun NAPT (NAT dengan PAT), akan membutuhkan waktu untuk membuat orang keluar dari pola pikir. Sebagai contoh, sampai kita dapat meminta kakek buyut Anda untuk mengatur firewall IPv6-nya sendiri tanpa pengalamatan situs-lokal (alamat pribadi) dan tanpa bantuan guru, mungkin merupakan ide yang baik untuk memikirkan kemungkinan ide NAT karena itu akan menjadi semua yang dia tahu.

gnarlymarley
sumber
2
Perangkat SOHO rata-rata Anda yang pada akhirnya mendukung IPv6 hampir pasti akan datang tanpa IPv6 NAT (yang Anda kutip tidak bekerja sama dengan NATv4, tetapi kami akan tetap menggunakannya) dan datang dengan default untuk menolak aturan untuk inbound traffic (bersama dengan memungkinkan koneksi outbound statefully) yang menyediakan hampir semua keamanan yang sama saat ini IPv4 SOHO gear tidak. Seperti yang telah ditunjukkan oleh orang lain, kami memahami orang merasa puas dan nyaman dengan teknologi peretasan mereka, itu tidak berarti mereka diperlukan atau sedikit lebih dari teater keamanan.
Chris S
NAT66 tidak perlu bekerja sama dengan NAT44. Hanya perlu terdengar sama sehingga kita dapat menangkap orang lebih cepat ke IPv6. Begitu mereka masuk ke IPv6, kita harus bisa bekerja sebagai tim untuk mengonfigurasi firewall dengan benar. Baik kita bekerja sebagai tim atau kita perlu mulai menggunakan NAT44444. Pilihanmu.
gnarlymarley
Bukan hanya PF. Secara praktis, sebagian besar router dapat melakukan jenis NAT yang sama pada IPv6 seperti pada IPv4, hanya saja mengerutkan kening. Saya telah melihat fitur ini di router Fortinet, serta OpenWRT.
Kevin Keane
-2

Proposal terbaru yang diajukan untuk ipv6 telah menyarankan insinyur yang bekerja pada teknologi baru akan memasukkan NAT ke dalam ipv6, alasan yang diberikan: NAT menawarkan lapisan keamanan tambahan

Dokumentasinya ada di situs web ipv6.com, jadi sepertinya semua jawaban ini menyatakan bahwa NAT tidak menawarkan keamanan yang terlihat sedikit malu

andrew
sumber
1
Mungkin Anda bisa memperluas apa sebenarnya tentang NAT yang menurut Anda menawarkan lapisan keamanan tambahan? Secara khusus, risiko apa terhadap ancaman khusus apa yang dimitigasi?
growse
'Keamanan' yang diberikan oleh NAT adalah kebingungan dan memaksa jaringan ke dalam postur default-deny, yang pertama masih bisa diperdebatkan sementara yang lain adalah ide yang bagus. Default-deny dapat dicapai melalui cara lain semudah itu, dan IPv6 menghilangkan salah satu alasan teknis utama untuk NAT: kelangkaan IP.
sysadmin1138
2
Ada halaman di IPv6.com tentang NAT . Di antara hal-hal lain, ada yang mengatakan: "Masalah keamanan sering digunakan dalam pembelaan proses Terjemahan Alamat Jaringan. Namun, prinsip inti dari Internet adalah untuk menawarkan konektivitas ujung ke ujung ke sumber daya jaringan yang berbeda. " dan juga ini: "Ketika IPv6 perlahan menggantikan protokol IPv4, proses terjemahan alamat jaringan akan menjadi berlebihan dan tidak berguna."
Ladadadada
-6

Saya menyadari bahwa di beberapa titik masa depan (yang hanya dapat berspekulasi) alamat IPv4 regional pasti akan habis. Saya setuju IPv6 memiliki beberapa kelemahan pengguna yang serius. Masalah NAT sangat penting karena memang secara inheren menyediakan keamanan, redundansi, privasi, dan memungkinkan pengguna untuk menghubungkan hampir sebanyak perangkat yang mereka inginkan tanpa batasan. Ya, firewall adalah standar emas terhadap intrusi jaringan yang tidak diminta, tetapi NAT tidak hanya menambahkan lapisan perlindungan lainnya, tetapi juga umumnya menyediakan desain yang aman secara default terlepas dari konfigurasi firewall atau pengetahuan pengguna di sana, tidak peduli bagaimana Anda mendefinisikannya IPv4 dengan NAT dan firewall masih lebih aman secara default daripada IPv6 dengan hanya firewall. Masalah lain adalah privasi, memiliki alamat perutean internet di setiap perangkat akan membuka pengguna untuk semua jenis potensi pelanggaran privasi, pengumpulan informasi pribadi dan pelacakan dengan cara yang hampir tidak dapat dibayangkan saat ini dalam jumlah besar. Saya juga berpendapat bahwa tanpa Nat kita dapat dibuka untuk menambah biaya dan mengendalikan melalui ISP. Isp dapat mulai mengisi daya pada per perangkat atau per tingkat penggunaan pengguna seperti yang telah kita lihat dengan tethering USB, ini akan sangat mengurangi kebebasan pengguna akhir untuk secara terbuka menghubungkan perangkat apa pun yang mereka anggap cocok di jalur yang ada. Sampai sekarang beberapa ISP AS menawarkan IPv6 dalam bentuk apa pun dan saya merasa bisnis non-tech akan lambat untuk beralih karena biaya tambahan dengan sedikit atau tanpa nilai yang didapat.

pengangkut kotoran
sumber
4
NAT adalah ilusi keamanan.
Skaperen
4
NAT tidak memberikan perlindungan sama sekali. Ini adalah firewall otomatis yang Anda dapatkan dengan NAT yang menyediakan "perlindungan" yang mungkin Anda nikmati saat Anda juga menikmati semua kelemahan NAT.
Michael Hampton