Question Le passage à IPv6 implique la suppression du NAT. Est-ce une bonne chose?


C'est un Question canonique à propos de IPv6 et NAT

En relation:

Ainsi, notre FAI a récemment mis en place IPv6, et j’ai étudié les conséquences de la transition avant de nous lancer dans la mêlée.

J'ai remarqué trois problèmes très importants:

  1. Le routeur NAT de notre bureau (un ancien Linksys BEFSR41) ne prend pas en charge IPv6. Ni tout routeur plus récent, AFAICT. Le livre que je lis sur IPv6 me dit que cela rend le NAT "inutile" de toute façon.

  2. Si nous sommes supposés nous débarrasser de ce routeur et tout connecter directement à Internet, je commence à paniquer. Il est impossible que je mette notre base de données de facturation (contenant de nombreuses informations de carte de crédit!) Sur Internet, à la portée de tous. Même si je proposais d'installer un pare-feu Windows pour ne permettre l'accès qu'à 6 adresses, je continue de transpirer. Je ne fais pas suffisamment confiance à Windows, au pare-feu de Windows ou au réseau pour être à l'aise avec cela à distance.

  3. Il existe quelques anciens périphériques matériels (c.-à-d. Des imprimantes) qui n'ont absolument aucune capacité IPv6. Et probablement une longue liste de problèmes de sécurité remontant aux environs de 1998. Et probablement aucun moyen de les corriger de quelque manière que ce soit. Et pas de financement pour de nouvelles imprimantes.

J'entends dire qu'IPv6 et IPSEC sont censés sécuriser tout cela d'une manière ou d'une autre, mais sans réseaux séparés physiquement qui rendent ces périphériques invisibles pour Internet, je vraiment je ne vois pas comment Je peux aussi vraiment voyez comment toutes les défenses que je crée seront rapidement dépassées. Je fais fonctionner des serveurs sur Internet depuis des années et je connais bien le genre de choses nécessaires pour les sécuriser, mais mettre quelque chose de privé sur le réseau, comme notre base de données de facturation, a toujours été complètement exclu.

Avec quoi devrais-je remplacer NAT, si nous n'avons pas de réseaux physiquement séparés?


101
2017-09-24 23:33


origine


Pouvez-vous essayer de demander à nouveau cela? À l'heure actuelle, cela semble être assez argumentatif. - Zoredache
Les choses que vous êtes choqué par n'existent pas. Peut-être devriez-vous reformater votre question de manière à décrire les choses que vous croyez être des faits et nous demander de les confirmer. Au lieu de vous plaindre de choses que vous avez supposées fonctionneront d'une certaine manière. - Zoredache
En outre, vous stockez des informations de carte de crédit? Et vous avez autant de questions sur la sécurité? Avez-vous déjà passé un audit PCI? Ou rompez-vous votre contrat en enregistrant les détails de votre carte de crédit? Vous voudrez peut-être examiner la question après la hâte. - mfinni
En toute bonne conscience, je ne peux pas voter en bas ou voter pour fermer cette question, que ce soit parce que l'affiche est mal informée (c'est sûrement la moitié du but du site). Certes, le PO se déroule sur une grosse tangente basée sur une fausse hypothèse, et la question pourrait se résoudre avec une réécriture. - Chris Thorpe
"Plus de NAT" est définitivement l'un des objectifs d'IPv6. Bien qu’à l’heure actuelle, il semble (du moins ici) que l’intérêt d’offrir IPv6 n’est pas vraiment grand, sauf dans les centres de données (car des paquets plus volumineux signifient plus de bande passante, et plus de bande passante signifie plus d’argent pour eux!). Pour DSL, c’est l’inverse, cependant, à peu près tout le monde a le forfait, donc IPv6 signifie seulement plus de problèmes et plus de coûts pour les fournisseurs. - dm.skt


Réponses:


Tout d’abord, il n’ya rien à craindre d’être sur une allocation IP publique, tant que vos périphériques de sécurité sont configurés correctement.

Avec quoi devrais-je remplacer NAT, si nous n'avons pas de réseaux physiquement séparés?

La même chose que nous séparons physiquement depuis les années 1980, les routeurs et les pare-feu. Le seul avantage important que vous obtenez avec la sécurité avec NAT est de vous obliger à une configuration de refus par défaut. Afin d'obtenir tout service à travers elle, vous devez explicitement Trous de perforation. Les périphériques les plus sophistiqués vous permettent même d'appliquer des ACL basées sur IP à ces trous, comme un pare-feu. Probablement parce qu'ils ont «Firewall» sur la boîte, en fait.

Un pare-feu correctement configuré fournit exactement le même service qu'une passerelle NAT. Les passerelles NAT sont fréquemment utilisées car elles sont Plus facile entrer dans une configuration sécurisée que la plupart des pare-feu.

J'entends dire qu'IPv6 et IPSEC sont censés sécuriser tout cela d'une manière ou d'une autre, mais sans réseaux séparés physiquement qui rendent ces périphériques invisibles pour Internet, je vraimentje ne vois pas comment

Ceci est une idée fausse. Je travaille pour une université disposant d'une allocation / 16 IPv4, et la grande majorité de notre consommation d'adresses IP se fait sur cette allocation publique. Certainement tous nos postes de travail et imprimantes pour utilisateurs finaux. Notre consommation de RFC1918 est limitée aux périphériques réseau et à certains serveurs spécifiques où de telles adresses sont requises. Je ne serais pas surpris si vous frissonniez tout à l'heure, car je l'ai certainement fait lorsque je suis arrivé le premier jour et que j'ai vu le post-it sur mon moniteur avec mon adresse IP.

Et pourtant, nous survivons. Pourquoi? Parce que nous avons un pare-feu extérieur configuré pour le refus par défaut avec un débit ICMP limité. Le fait que 140.160.123.45 soit théoriquement routable ne signifie pas que vous pouvez vous y rendre où que vous soyez sur Internet. C'est ce que les pare-feu ont été conçus pour faire.

Avec les bonnes configurations de routeur, différents sous-réseaux de notre allocation peuvent être complètement inaccessibles les uns aux autres. Vous pouvez le faire dans des tables de routeur ou des pare-feu. Il s’agit d’un réseau distinct qui a déjà satisfait nos auditeurs de la sécurité.

Il est impossible que je mette notre base de données de facturation (contenant de nombreuses informations de carte de crédit!) Sur Internet, à la portée de tous.

Notre base de données de facturation se trouve sur une adresse IPv4 publique et dure depuis toute son existence, mais nous avons la preuve que vous ne pouvez pas y accéder à partir de maintenant. Ce n’est pas parce qu’une adresse figure sur la liste routable publique v4 que son adresse sera garantie. Les deux pare-feu entre les maux d’Internet et les ports de base de données filtrent le mal. Même de mon bureau, derrière le premier pare-feu, je ne peux pas accéder à cette base de données.

Les informations de carte de crédit constituent un cas particulier. Cela est soumis aux normes PCI-DSS, et ces normes stipulent directement que les serveurs contenant de telles données doivent se trouver derrière une passerelle NAT.1. Les nôtres sont, et ces trois serveurs représentent notre utilisation totale d’adresses RFC1918 par nos serveurs. Cela n'apporte aucune sécurité, mais une couche de complexité, mais nous devons cocher cette case pour les audits.


L'idée originale "IPv6 fait du NAT une chose du passé" a été avancée avant que le boom d'Internet ne frappe vraiment le grand public. En 1995, NAT était une solution de contournement pour contourner une petite allocation d’IP. En 2005, il a été inscrit dans de nombreux documents sur les meilleures pratiques de sécurité et au moins une norme majeure (la norme PCI-DSS doit être spécifique). Le seul avantage concret que procure le NAT est qu’une entité externe effectuant la reconfiguration sur le réseau ne sait pas à quoi ressemble le paysage IP derrière le périphérique NAT (bien que, grâce à RFC1918, ils aient une bonne idée), et sur IPv4 sans NAT (tel que comme mon travail) ce n'est pas le cas. C'est un petit pas dans la défense en profondeur, pas un grand.

Les adresses de remplacement pour RFC1918 sont appelées adresses uniques locales. Comme dans la RFC1918, ils n'acheminent pas à moins que leurs pairs acceptent expressément de les laisser acheminer. Contrairement à la RFC1918, ils sont (probablement) uniques au monde. Les traducteurs d'adresse IPv6 qui traduisent une ULA en une adresse IP globale existent dans les engrenages périphériques supérieurs, et pas encore dans les engrenages SOHO.

Vous pouvez très bien survivre avec une adresse IP publique. Gardez simplement à l'esprit que "public" ne garantit pas "accessible", et tout ira bien pour vous.


Mise à jour 2017

Au cours des derniers mois, Amazon  a ajouté le support IPv6. Il vient d'être ajouté à leur  offre, et leur mise en œuvre donne quelques indices sur la façon dont les déploiements à grande échelle doivent être effectués.

  • Vous recevez une allocation / 56 (256 sous-réseaux).
  • L'allocation est un sous-réseau entièrement routable.
  • Vous devez définir vos règles de pare-feu () de manière appropriée restrictive.
  • Il n'y a pas de NAT, il n'est même pas offert, de sorte que tout le trafic sortant proviendra de l'adresse IP réelle de l'instance.

Pour ajouter l’un des avantages du NAT en matière de sécurité, ils offrent maintenant un Passerelle Internet de sortie seulement. Cela offre un avantage semblable à NAT:

  • Les sous-réseaux situés derrière ne sont pas directement accessibles depuis Internet.

Ce qui fournit une couche de défense en profondeur, au cas où une règle de pare-feu mal configurée autorise accidentellement le trafic entrant.

Cette offre ne traduit pas l'adresse interne en une adresse unique comme le fait NAT. Le trafic sortant aura toujours l'IP source de l'instance qui a ouvert la connexion. Les exploitants de pare-feu cherchant à ajouter des ressources à la liste blanche dans le VPC seront plus efficaces que les adresses réseau, plutôt que les adresses IP spécifiques.

Routable ne veut pas toujours dire accessible.


1: Les normes PCI-DSS ont été modifiées en octobre 2010, la déclaration demandant des adresses RFC1918 a été supprimée et «l'isolation du réseau» l'a remplacée.


182
2017-09-25 00:59



J'ai marqué ceci comme étant accepté parce que c'est la réponse la plus complète. Je suppose que depuis chaque lecture de configuration de pare-feu que j'ai lue (depuis 1997 environ, quand j'ai commencé sur le terrain, et cela inclut la construction manuelle de pare-feu FreeBSD), a souligné l'utilisation de la RFC1918, que cela n'avait pas vraiment de sens. pour moi. Bien sûr, en tant que fournisseur de services Internet, nous allons avoir des problèmes avec les utilisateurs finaux et leurs routeurs peu coûteux lorsque nous manquons d'adresses IPv4, et cela ne va pas disparaître de si tôt. - Ernie
"Les traducteurs d'adresses IPv6 qui traduisent un ULA en un IP global existent dans les engrenages périphériques, mais pas encore dans les SOHO." Après avoir résisté pendant de nombreuses années, Linux a pris en charge cette fonctionnalité dans la version 3.9.0. - Peter Green
J'ai une question à propos de "les passerelles NAT sont fréquemment utilisées car elles sont Plus facile entrer dans une configuration sécurisée que la plupart des pare-feu ". Pour les entreprises avec du personnel informatique professionnel ou pour des consommateurs avertis, ce n'est pas grave, mais pour le consommateur général / naïf, la petite entreprise n'est pas quelque chose qui n'est pas" facile "un énorme risque pour la sécurité? Des décennies de réseaux wifi "linksys" sans mot de passe existaient, car il était "plus facile" de configurer la sécurité. Avec une maison pleine d'appareils compatibles IoT grand public, je ne vois pas ma mère configurer correctement un pare-feu IPv6. Pensez-vous problème? - Jason C
@JasonC Non, car le matériel grand public déjà expédié est expédié avec des pare-feu préconfigurés par le fournisseur de services Internet pour interdire tous les appels entrants. Ou n'avez pas de support v6. Le défi, ce sont les puissants utilisateurs qui pensent savoir ce qu’ils font, mais qui ne le savent pas. - sysadmin1138♦
Une excellente réponse dans l’ensemble, mais j’ai voté contre, car il s’agissait à peine du gros éléphant dans la pièce: configurer correctement le dispositif de sécurité est quelque chose que vous ne pouvez pas prendre pour acquis. - Kevin Keane


Notre routeur NAT de bureau (un ancien réseau Linksys)   BEFSR41) ne prend pas en charge IPv6. Ni   Est-ce que tout nouveau routeur

IPv6 est pris en charge par de nombreux routeurs. Juste pas beaucoup de ceux bon marché destinés aux consommateurs et SOHO. Dans le pire des cas, utilisez simplement une machine Linux ou re-flashez votre routeur avec dd-wrt ou quelque chose pour obtenir le support IPv6. Il y a beaucoup d'options, vous devez probablement regarder plus fort.

Si nous sommes censés juste nous débarrasser de   ce routeur et branchez tout   directement sur Internet,

Rien dans la transition vers IPv6 ne suggère de vous débarrasser des périphériques de sécurité périmétrique, tels que votre routeur / pare-feu. Les routeurs et les pare-feu resteront un composant indispensable de presque tous les réseaux.

Tous les routeurs NAT agissent efficacement comme un pare-feu avec état. Il n’ya rien de magique dans l’utilisation des adresses RFC1918 qui vous protègent tout autant. C'est le bit stateful qui fait le travail difficile. Un pare-feu correctement configuré vous protégera tout aussi bien si vous utilisez des adresses réelles ou privées.

La seule protection que vous obtenez des adresses RFC1918 est de permettre aux gens d’éviter les erreurs / la paresse dans la configuration de leur pare-feu sans pour autant être vulnérables.

Il existe quelques anciens périphériques matériels (c.-à-d. Des imprimantes) qui n'ont absolument aucune capacité IPv6.

Alors? Il est peu probable que vous deviez le rendre disponible sur Internet et sur votre réseau interne, vous pouvez continuer à exécuter IPv4 et IPv6 jusqu'à ce que tous vos périphériques soient pris en charge ou remplacés.

Si plusieurs protocoles ne sont pas une option, vous devrez peut-être configurer une sorte de passerelle / proxy.

IPSEC est censé sécuriser tout cela

IPSEC crypté et authentifie les paquets. Cela n'a rien à voir avec la suppression de votre appareil à la frontière et protège davantage les données en transit.


56
2017-09-24 23:55



Droit à bien des égards. - sysadmin1138♦
Exactement, obtenez un vrai routeur et vous n'aurez pas à vous inquiéter. SonicWall dispose d'excellentes options pour fournir la sécurité dont vous avez besoin et prend en charge IPv6 sans problème. Cette option offrira probablement une sécurité et des performances supérieures à celles que vous avez actuellement. (news.sonicwall.com/index.php?s=43&item=1022) Comme vous pouvez le voir dans cet article, vous pouvez également effectuer la traduction d’ipv4 à ipv6 avec des périphériques Sonicwall pour ceux qui ne peuvent pas gérer ipv6. - MaQleod


Oui. NAT est mort. Il y a eu quelques tentatives pour ratifier les normes pour NAT sur IPv6 mais aucune d'entre elles n'a été lancée.

Cela a en fait posé problème aux fournisseurs qui tentent de respecter les normes PCI-DSS, car la norme stipule en réalité que vous devez vous trouver derrière un NAT.

Pour moi, c'est l'une des plus merveilleuses nouvelles que j'ai jamais entendues. Je déteste les NAT et je déteste encore plus les NAT de classe opérateur.

La technologie NAT n’a jamais été conçue que pour résoudre le problème jusqu’à ce que IPv6 devienne la norme, mais elle s’est enracinée dans la société Internet.

Pour la période de transition, vous devez vous rappeler que IPv4 et IPv6 sont, à part un nom similaire, totalement différents 1. Donc, les périphériques qui sont Dual-Stack, votre IPv4 sera NATted et votre IPv6 ne sera pas. C'est presque comme si vous aviez deux appareils totalement séparés, simplement emballés dans un seul morceau de plastique.

Alors, comment fonctionne l'accès Internet IPv6? Eh bien, la façon dont Internet fonctionnait avant l’invention du NAT. Votre FAI vous attribuera une plage IP (identique à celle qu’ils ont maintenant, mais ils vous affectent généralement un / 32, ce qui signifie que vous n’obtenez qu’une seule adresse IP), mais votre plage contiendra désormais des millions d’adresses IP disponibles. Vous êtes libre de renseigner ces adresses IP à votre choix (avec configuration automatique ou DHCPv6). Chacune de ces adresses IP sera visible de tout autre ordinateur sur Internet.

Ça fait peur, non? Votre contrôleur de domaine, votre PC à domicile et votre iPhone avec votre réserve cachée de pornographie seront tous accessibles depuis Internet?! Et bien non. C'est à quoi sert un pare-feu. Une autre grande caractéristique d'IPv6 est qu'il les forces les pare-feu d'une approche "Autoriser tout" (comme la plupart des appareils domestiques) en une approche "Tout refuser", dans laquelle vous ouvrez des services pour des adresses IP particulières. 99,999% des utilisateurs à domicile garderont leur pare-feu par défaut et totalement verrouillé, ce qui signifie qu'aucun trafic non sollicité ne sera autorisé.

1Ok, il y a bien plus que cela, mais ils ne sont en aucun cas compatibles les uns avec les autres, même s'ils permettent tous deux que les mêmes protocoles s'exécutent par dessus


33
2018-03-23 23:42



Qu'en est-il de toutes les personnes qui affirment qu'avoir des ordinateurs derrière NAT fournit une sécurité supplémentaire? J'entends beaucoup cela de la part d'autres administrateurs informatiques. Peu importe que vous disiez qu'un pare-feu adéquat est tout ce dont vous avez besoin, car beaucoup de ces personnes pensent que le NAT ajoute une couche de sécurité. - user9274
@ user9274 - il fournit la sécurité de deux manières: 1) il masque votre adresse IP interne du monde (c'est pourquoi le PCI-DSS l'exige), et 2) c'est un "saut" supplémentaire d'Internet vers la machine locale. Mais pour être honnête, le premier est simplement "la sécurité par l'obscurité" qui n'est pas du tout une sécurité. Quant à la seconde, un périphérique NAT compromis est aussi dangereux qu'un serveur compromis. Ainsi, une fois que les attaquants ont dépassé le NAT, entrez dans votre machine quand même. - Mark Henderson♦
En outre, toute sécurité obtenue grâce à l’utilisation de la technologie NAT constituait un avantage inattendu dans l’effort visant à éviter l’épuisement des adresses IPv4. Ce n'était certainement pas une partie intégrante de l'objectif de conception, que je sache. - joeqwerty
Les normes PCI-DSS ont été modifiées à la fin octobre 2010 et l'exigence NAT a été supprimée (section 1.3.8 de la v1.2). Donc, même ils sont en train de rattraper le temps. - sysadmin1138♦
@Mark, je ne suis pas sûr que cela mérite d'être mentionné, mais NAT64 est en train de démarrer, mais ce n'est pas le NAT auquel la plupart des gens pensent. Il permet aux réseaux IPv6 uniquement d'accéder à Internet IPv4 sans "coopération" client; DNS64 est nécessaire pour que cela fonctionne. - Chris S


L’exigence PCI-DSS pour NAT est bien connue pour être un théâtre de sécurité et non une sécurité réelle.

La dernière norme PCI-DSS s’est abstenue d’appeler le NAT, ce qui était une nécessité absolue. De nombreuses entreprises ont passé avec succès les audits PCI-DSS avec IPv4 sans NAT, présentant des pare-feu dynamiques comme «implémentations de sécurité équivalentes».

Il existe d’autres documents sur la sécurité qui réclament le NAT, mais comme il détruit les pistes de vérification et rend plus difficile la recherche et l’atténuation des incidents, une étude plus approfondie du NAT (avec ou sans PAT) devient un négatif net pour la sécurité.

Un bon pare-feu dynamique sans NAT est une solution nettement supérieure au NAT dans un monde IPv6. Dans IPv4, la NAT est un mal nécessaire à tolérer pour préserver les adresses.


18
2018-01-26 17:45



Le NAT est une "sécurité paresseuse". Et avec "la sécurité paresseuse" vient le manque d'attention portée aux détails, et la perte de sécurité qui en découle résultait. - Skaperen
Complètement d'accord; Bien que la plupart des audits PCI-DSS soient effectués (audit par singe avec liste de contrôle), tout sécurité paresseux, et porte ces défauts. - MadHatter
Pour ceux qui prétendent que le NAT est un «théâtre de la sécurité», j'aimerais citer l'article de The Networking Nerd sur la vulnérabilité Memcached, publié il y a quelques mois. networkingnerd.net/2018/03/02/… Il est un fervent partisan de IPv6 et un ennemi de NAT, mais il a dû souligner que des milliers d’entreprises ont laissé leurs serveurs memcached largement ouverts sur Internet en raison de règles de pare-feu "qui n’ont pas été conçues avec soin". Le NAT vous oblige à être explicite sur ce que vous autorisez dans votre réseau. - Kevin Keane


Malheureusement, il faudra un certain temps avant de pouvoir vous échapper avec un réseau à pile unique IPv6. Jusque-là, le mode d'exécution consiste à utiliser une double pile avec une préférence pour IPv6, le cas échéant.

Bien que la plupart des routeurs grand public ne prennent pas en charge IPv6 avec le micrologiciel standard à l'heure actuelle, beaucoup peuvent le prendre en charge avec des firmwares tiers (par exemple, Linksys WRT54G avec jj-wrt, etc.). De plus, de nombreux périphériques professionnels (Cisco, Juniper) prennent en charge IPv6 prêt à l'emploi.

Il est important de ne pas confondre PAT (NAT plusieurs-à-un, comme c'est souvent le cas sur les routeurs grand public) avec d'autres formes de NAT et avec un pare-feu sans NAT; Une fois qu'Internet devient IPv6 uniquement, les pare-feu empêchent toujours l'exposition des services internes. De même, un système IPv4 avec NAT un à un n'est pas automatiquement protégé; c'est le travail d'une politique de pare-feu.


11
2017-09-24 23:52





Si le NAT survit dans le monde IPv6, il s'agira probablement d'un NAT 1: 1. Une forme de NAT jamais vue dans l'espace IPv4. Qu'est-ce qu'un NAT 1: 1? C'est une traduction 1: 1 d'une adresse globale en une adresse locale. L'équivalent IPv4 traduirait toutes les connexions en 1.1.1.2 uniquement en 10.1.1.2, et ainsi de suite, pour tout l'espace 1.0.0.0/8. La version IPv6 consisterait à traduire une adresse globale en une adresse locale unique.

Une sécurité accrue peut être fournie en faisant fréquemment pivoter le mappage pour les adresses qui ne vous intéressent pas (comme les utilisateurs de bureau internes parcourant Facebook). En interne, vos numéros ULA resteraient identiques, de sorte que votre DNS à horizon partagé continuerait à fonctionner correctement, mais en externe, les clients ne seraient jamais sur un port prévisible.

Mais, en réalité, il ne s’agit que d’une petite amélioration de la sécurité. L'analyse des sous-réseaux IPv6 est une tâche très lourde et irréalisable sans une reconfiguration de la manière dont les adresses IP sont attribuées sur ces sous-réseaux (méthode de génération MAC? Méthode aléatoire? Affectation statique d'adresses lisibles par l'homme?).

Dans la plupart des cas, les clients situés derrière le pare-feu de l'entreprise obtiendront une adresse globale, peut-être un ULA, et le pare-feu de périmètre sera configuré pour interdire toutes les connexions entrantes de toutes sortes à ces adresses. À toutes fins utiles, ces adresses sont inaccessibles de l'extérieur. Une fois que le client interne établit une connexion, les paquets sont autorisés à traverser cette connexion. La nécessité de changer l’adresse IP en quelque chose de complètement différent est gérée en forçant un attaquant à parcourir 2 ^ 64 adresses possibles sur ce sous-réseau.


9
2018-03-24 02:33



@ sysadmin1138: j'aime cette solution. Si je comprends bien actuellement IPv6, si mon FAI me fournit un / 64, je suis censé l’utiliser sur l’ensemble du réseau si je veux que mes machines soient accessibles via Internet IPv6. Mais si j'en ai marre de ce fournisseur de services Internet et que je passe à un autre, je dois maintenant tout renuméroter. - Kumba
@ sysadmin1138: Cela dit, j'ai toutefois remarqué que je pouvais attribuer plusieurs adresses IP à une seule interface beaucoup plus facilement qu'avec IPv4. Je peux donc prévoir l'utilisation du fournisseur d'accès Internet / 64 pour l'accès externe et de mon propre système ULA interne privé pour communiquez entre les hôtes et utilisez un pare-feu pour rendre les adresses ULA inaccessibles de l'extérieur. Plus de travail d'installation est nécessaire, mais il semble que cela évitera complètement le NAT. - Kumba
@ sysadmin1138: Je me demande quand même pourquoi ULA est, à toutes fins pratiques, privée, mais on s'attend à ce qu'elle soit toujours unique au monde. C'est comme dire que je peux avoir une voiture de n'importe quelle marque et modèle actuellement disponible, mais pas une marque / modèle / année déjà utilisée par quelqu'un d'autre, même si c'est ma voiture et que je serai le seul pilote qu'elle aura jamais. - Kumba
@Kumba La raison pour laquelle les adresses RFC 4193 devraient être globalement uniques est pour vous assurer de ne pas devoir renuméroter à l'avenir. Peut-être qu'un jour vous devrez fusionner deux réseaux utilisant des adresses RFC 4193, ou qu'un ordinateur pouvant déjà avoir une adresse RFC 4193 devra peut-être se connecter à un ou plusieurs VPN, qui possèdent également des adresses RFC 4193. - kasperd
@Kumba Si tout le monde utilisait fd00 :: / 64 pour le premier segment de son réseau, vous seriez certainement confronté à un conflit dès qu'une paire de deux de ces réseaux devait communiquer. Le point important de la RFC 4193 est que tant que vous choisissez vos 40 bits de manière aléatoire, vous pouvez attribuer les 80 bits restants comme bon vous semble et rester confiant, vous ne serez pas obligé de renuméroter. - kasperd


La RFC 4864 décrit la protection du réseau local IPv6, un ensemble d’approches pour fournir les avantages perçus du NAT dans un environnement IPv6, sans avoir à recourir au NAT.

Ce document a décrit un certain nombre de techniques pouvant être combinées sur un site IPv6 afin de protéger l’intégrité de son architecture réseau. Ces techniques, appelées collectivement protection de réseau local, conservent le concept d'une frontière bien définie entre le réseau "intérieur" et "extérieur" du réseau privé et autorisent le pare-feu, le masquage de topologie et la confidentialité. Cependant, comme ils préservent la transparence d'adresse là où c'est nécessaire, ils atteignent ces objectifs sans l'inconvénient de la traduction d'adresse. Ainsi, la protection de réseau local dans IPv6 peut fournir les avantages de la traduction d'adresses réseau IPv4 sans les inconvénients correspondants.

Il expose d'abord quels sont les avantages perçus de la traduction d'adresses réseau (et les désamorce le cas échéant), puis décrit les fonctionnalités d'IPv6 qui peuvent être utilisées pour offrir ces mêmes avantages. Il fournit également des notes de mise en œuvre et des études de cas.

Bien qu'il soit trop long de réimprimer ici, les avantages discutés sont les suivants:

  • Une simple passerelle entre "dedans" et "dehors"
  • Le pare-feu avec état
  • Suivi utilisateur / application
  • Confidentialité et masquage de topologie
  • Contrôle indépendant de l'adressage dans un réseau privé
  • Multihébergement / renumérotation

Cela couvre à peu près tous les scénarios dans lesquels on aurait pu vouloir NAT et offre des solutions pour les implémenter en IPv6 sans NAT.

Certaines des technologies que vous utiliserez sont:

  • Adresses locales uniques: préférez celles-ci sur votre réseau interne pour garder vos communications internes internes et vous assurer que les communications internes peuvent continuer même en cas de panne du fournisseur de services Internet.
  • Extensions de confidentialité IPv6 avec des durées d’adresse courtes et des identificateurs d’interface non clairement structurés: elles permettent d’empêcher les attaques d’analyses individuelles et de l'analyse de sous-réseau.
  • IGP, Mobile IPv6 ou VLAN peuvent être utilisés pour masquer la topologie du réseau interne.
  • Avec les ULA, le protocole DHCP-PD du fournisseur de services Internet facilite la renumérotation / le multihébergement plus facilement qu'avec IPv4.

(Voir la RFC pour des détails complets; encore une fois, c’est beaucoup trop long pour réimprimer ou même prendre des extraits significatifs.)

Pour une discussion plus générale sur la sécurité de la transition IPv6, voir RFC 4942.


9
2018-05-13 18:37





Il y a énormément de confusion à ce sujet, car les administrateurs réseau voient le NAT sous un jour, et les clients des petites entreprises et des particuliers le voient sous un autre angle. Laissez-moi clarifier.

NAT statique (parfois appelé one-to-one NAT) absolument aucune protection pour votre réseau privé ou un PC individuel. Changer l'adresse IP n'a pas de sens en ce qui concerne la protection.

NAT / PAT dynamique et surchargé, comme le font la plupart des passerelles résidentielles et des points d'accès wifi, aide absolument à protéger votre réseau privé et / ou votre PC. De par sa conception, la table NAT de ces périphériques est une table d'états. Il garde une trace des demandes sortantes et les mappe dans la table NAT - les connexions expirent après un certain temps. Toutes les trames entrantes non sollicitées qui ne correspondent pas à ce qui est dans la table NAT sont supprimées par défaut - le routeur NAT ne sait pas où les envoyer dans le réseau privé, il les supprime donc. De cette manière, votre routeur est le seul appareil que vous laissez vulnérable. Comme la plupart des exploits de sécurité sont basés sur Windows - le fait d’avoir un tel périphérique entre Internet et votre PC Windows aide réellement à protéger votre réseau. Ce n'est peut-être pas la fonction à l'origine, qui consistait à économiser sur les adresses IP publiques, mais le travail est fait. En prime, la plupart de ces périphériques disposent également de fonctions de pare-feu qui bloquent souvent les demandes ICMP par défaut, ce qui permet également de protéger le réseau.

Compte tenu des informations ci-dessus, l'élimination avec NAT lors de la migration vers IPv6 pourrait exposer des millions de périphériques grand public et de petites entreprises à un piratage potentiel. Cela aura peu ou pas d'incidence sur les réseaux d'entreprise, car ils disposent de pare-feu gérés de manière professionnelle. Les réseaux grand public et des petites entreprises peuvent ne plus avoir de routeur NAT basé sur * nix entre Internet et leur PC. Il n'y a aucune raison qu'une personne ne puisse pas basculer vers une solution uniquement avec un pare-feu - beaucoup plus sûre si elle est déployée correctement, mais aussi au-delà de ce que 99% des consommateurs comprennent comment faire. Le NAT dynamique surchargé offre un minimum de protection simplement en l'utilisant: branchez votre routeur résidentiel et vous êtes protégé. Facile.

Cela dit, il n'y a aucune raison pour que le NAT ne puisse pas être utilisé exactement de la même manière que dans IPv4. En fait, un routeur pourrait être conçu pour avoir une adresse IPv6 sur le port WAN avec un réseau privé IPv4 derrière lui, ainsi que le NAT sur celui-ci (par exemple). Ce serait une solution simple pour les consommateurs et les résidents. Une autre option consiste à placer tous les périphériques avec des adresses IP publiques IPv6: le périphérique intermédiaire pourrait alors faire office de périphérique L2, tout en fournissant une table d'états, une inspection des paquets et un pare-feu pleinement opérationnel. Essentiellement, pas de NAT, mais bloquant toujours les images entrantes non sollicitées. La chose importante à retenir est que vous ne devez pas brancher votre PC directement sur votre connexion WAN sans périphérique intermédiaire. À moins bien sûr que vous souhaitiez utiliser le pare-feu Windows. . . et c'est une discussion différente. Tous les réseaux, même les réseaux domestiques, nécessitent un périphérique périphérique protégeant le réseau local, en plus d'utiliser le pare-feu Windows.

Il y aura des difficultés de croissance pour passer à IPv6, mais il n’ya pas de problème qui ne puisse pas être résolu assez facilement. Devrez-vous abandonner votre ancien routeur IPv4 ou votre passerelle résidentielle? Peut-être, mais il y aura de nouvelles solutions peu coûteuses disponibles le moment venu. Espérons que de nombreux appareils n’auront besoin que d’un micrologiciel flash. IPv6 pourrait-il être conçu pour s’intégrer de manière plus transparente dans l’architecture actuelle? Bien sûr, mais c'est ce que c'est et ça ne va pas disparaître - Alors, autant le savoir, le vivre, l'aimer.


8
2018-06-09 14:38



Pour ce qui en vaut la peine, j'aimerais rappeler que l'architecture actuelle est fondamentalement défaillante (routabilité de bout en bout) et que cela crée des problèmes pratiques dans les réseaux complexes (les périphériques NAT redondants sont trop complexes et coûteux). Abandonner le hack NAT réduira la complexité et les points de défaillance potentiels, tandis que la sécurité est maintenue par de simples pare-feu à états (je ne peux pas imaginer un routeur SOHO sans le pare-feu à état activé par défaut pour que les clients puissent se connecter sans jouer. une pensée). - Chris S
Parfois, une routabilité complète de bout en bout est exactement ce que vous voulez. Je ne veux pas que mes imprimantes et mes ordinateurs puissent être routés depuis Internet. Bien que le NAT ait commencé comme un hack, il a évolué pour devenir un outil très utilisable, qui peut dans certains cas améliorer la sécurité en supprimant le risque de transmission directe des paquets à un nœud. Si une adresse IP RFC1918 est attribuée de manière statique sur un PC, cette adresse IP ne sera en aucun cas routable sur Internet. - Computerguy
La routabilité brisée est Une mauvaise chose. Ce que vous voulez, c'est que vos appareils soient inaccessibles par Internet (par un pare-feu), ce n'est pas la même chose. Voir Pourquoi utiliseriez-vous IPv6 en interne?. De plus, la RFC1918 stipule que ces adresses ne doivent être utilisées que pour des réseaux privés et que l'accès à Internet ne doit être fourni que par des passerelles de couche application (ce que NAT n'est pas). Pour les connexions externes, l'hôte doit se voir attribuer une adresse provenant d'une allocation coordonnée par l'IANA. Les bidouilles, aussi utiles soient-elles, font des compromis inutiles et ne sont pas la «bonne» façon. - Chris S