Cambiar a IPv6 implica abandonar NAT. ¿Eso es algo bueno?

109

Esta es una pregunta canónica sobre IPv6 y NAT

Relacionado:

Así que nuestro ISP ha configurado IPv6 recientemente, y he estado estudiando lo que debería implicar la transición antes de saltar a la refriega.

He notado tres problemas muy importantes:

  1. Nuestro enrutador NAT de oficina (un antiguo Linksys BEFSR41) no es compatible con IPv6. Tampoco ningún enrutador más nuevo, AFAICT. El libro que estoy leyendo sobre IPv6 me dice que hace que NAT sea "innecesario" de todos modos.

  2. Si se supone que debemos deshacernos de este enrutador y conectar todo directamente a Internet, comenzaré a entrar en pánico. De ninguna manera pondré nuestra base de datos de facturación (¡con mucha información de tarjeta de crédito!) En Internet para que todos la vean. Incluso si tuviera que proponer configurar el cortafuegos de Windows en él para permitir que solo 6 direcciones tengan acceso a él, todavía sudo mucho. No confío en Windows, el firewall de Windows o la red en general lo suficientemente grande como para estar remotamente cómodo con eso.

  3. Hay algunos dispositivos de hardware antiguos (es decir, impresoras) que no tienen absolutamente ninguna capacidad de IPv6. Y probablemente una larga lista de problemas de seguridad que se remontan a alrededor de 1998. Y probablemente no hay forma de solucionarlos de ninguna manera. Y sin fondos para nuevas impresoras.

Escuché que se supone que IPv6 e IPSEC hacen que todo esto sea seguro de alguna manera, pero sin redes físicamente separadas que hacen que estos dispositivos sean invisibles para Internet, realmente no puedo ver cómo. También puedo ver realmente cómo cualquier defensa que creo será anulada en poco tiempo. He estado ejecutando servidores en Internet durante años y estoy bastante familiarizado con el tipo de cosas necesarias para protegerlos, pero poner algo privado en la red como nuestra base de datos de facturación siempre ha estado completamente fuera de discusión.

¿Con qué debería reemplazar NAT si no tenemos redes físicamente separadas?

Ernie
fuente
99
¿Puedes intentar volver a preguntar esto? En este momento parece ser bastante discutidor.
Zoredache
99
Las cosas que te sorprenden no existen. Tal vez deberías reformatear tu pregunta de una manera que describa las cosas que crees que son hechos y pedirnos que las confirmemos. En lugar de quejarse de cosas que ha asumido que funcionarán de cierta manera.
Zoredache
25
Además, ¿está almacenando información de la tarjeta de crédito? ¿Y tienes tantas preguntas sobre seguridad? ¿Alguna vez ha pasado una auditoría PCI? ¿O está rompiendo su contrato almacenando los datos de la tarjeta de crédito? Es posible que desee investigar esto, después de la prisa.
mfinni
44
No puedo, en buena conciencia, votar a favor o en contra para cerrar esta pregunta, ya sea porque el cartel está mal informado (seguramente esa es la mitad del punto del sitio). Por supuesto, el OP se dispara en una gran tangente basada en una suposición falsa, y la pregunta podría hacer con una reescritura.
Chris Thorpe
3
"No más NAT" es definitivamente uno de los objetivos en IPv6. Aunque en este momento, parece (al menos aquí) que el interés en ofrecer IPv6 no es terriblemente grande, excepto en los centros de datos (¡porque los paquetes más grandes significan más ancho de banda y más ancho de banda significa más dinero para ellos!). Sin embargo, para DSL es todo lo contrario, casi todo el mundo tiene adulación, por lo que IPv6 solo significa más problemas y más costos para los proveedores.
dm.skt

Respuestas:

185

En primer lugar, no hay nada que temer de estar en una asignación de IP pública, siempre que sus dispositivos de seguridad estén configurados correctamente.

¿Con qué debería reemplazar NAT si no tenemos redes físicamente separadas?

Lo mismo con lo que los hemos estado separando físicamente desde los años 80, enrutadores y firewalls. La gran ganancia de seguridad que obtienes con NAT es que te obliga a una configuración predeterminada de denegación. Para obtener cualquier servicio a través de él, debes hacer agujeros explícitamente . Los dispositivos más elegantes incluso le permiten aplicar ACL basadas en IP a esos agujeros, al igual que un firewall. Probablemente porque tienen 'Firewall' en la caja, en realidad.

Un firewall configurado correctamente proporciona exactamente el mismo servicio que una puerta de enlace NAT. Las puertas de enlace NAT se usan con frecuencia porque son más fáciles de acceder a una configuración segura que la mayoría de los firewalls.

Escuché que se supone que IPv6 e IPSEC hacen que todo esto sea seguro de alguna manera, pero sin redes físicamente separadas que hacen que estos dispositivos sean invisibles para Internet, realmente no puedo ver cómo.

Esta es una idea falsa. Trabajo para una universidad que tiene una asignación de IPv4 / 16, y la gran mayoría de nuestro consumo de direcciones IP está en esa asignación pública. Ciertamente, todas nuestras estaciones de trabajo e impresoras para usuarios finales. Nuestro consumo de RFC1918 se limita a dispositivos de red y ciertos servidores específicos donde se requieren dichas direcciones. No me sorprendería si acabaras de temblar, porque ciertamente lo hice cuando me presenté el primer día y vi el post-it en mi monitor con mi dirección IP.

Y sin embargo, sobrevivimos. ¿Por qué? Porque tenemos un firewall externo configurado para la denegación predeterminada con un rendimiento limitado de ICMP. El hecho de que 140.160.123.45 sea teóricamente enrutable, no significa que pueda llegar allí desde cualquier lugar en el Internet público. Para eso se diseñaron los firewalls.

Dadas las configuraciones correctas del enrutador, y diferentes subredes en nuestra asignación pueden ser completamente inalcanzables entre sí. Puede hacerlo en tablas de enrutadores o firewalls. Esta es una red separada y ha satisfecho a nuestros auditores de seguridad en el pasado.

De ninguna manera pondré nuestra base de datos de facturación (¡con mucha información de tarjeta de crédito!) En Internet para que todos la vean.

Nuestra base de datos de facturación se encuentra en una dirección IPv4 pública, y lo ha sido durante toda su existencia, pero tenemos pruebas de que no puede llegar allí desde aquí. El hecho de que una dirección esté en la lista pública de rutas v4 no significa que se garantice su entrega. Los dos cortafuegos entre los males de Internet y los puertos de bases de datos reales filtran el mal. Incluso desde mi escritorio, detrás del primer firewall, no puedo acceder a esa base de datos.

La información de la tarjeta de crédito es un caso especial. Eso está sujeto a los estándares PCI-DSS, y los estándares establecen directamente que los servidores que contienen dichos datos deben estar detrás de una puerta de enlace NAT 1 . Los nuestros son, y estos tres servidores representan nuestro uso total del servidor de direcciones RFC1918. No agrega ninguna seguridad, solo una capa de complejidad, pero necesitamos marcar esa casilla de verificación para auditorías.


La idea original de "IPv6 hace que NAT sea cosa del pasado" se presentó antes de que el auge de Internet realmente alcanzara la corriente principal. En 1995, NAT fue una solución para evitar una pequeña asignación de IP. En 2005 se consagró en muchos documentos de Mejores Prácticas de Seguridad, y al menos en un estándar importante (PCI-DSS para ser específico). El único beneficio concreto que ofrece NAT es que una entidad externa que realiza reconocimiento en la red no sabe cómo se ve el panorama de IP detrás del dispositivo NAT (aunque gracias a RFC1918 tienen una buena suposición), y en IPv4 sin NAT (como como mi trabajo) ese no es el caso. Es un pequeño paso en defensa en profundidad, no uno grande.

El reemplazo de las direcciones RFC1918 son las llamadas direcciones locales únicas. Al igual que RFC1918, no enrutan a menos que sus compañeros acuerden específicamente dejarlos enrutar. A diferencia de RFC1918, son (probablemente) globalmente únicos. Los traductores de direcciones IPv6 que traducen un ULA a una IP global sí existen en el engranaje perimetral de mayor rango, definitivamente todavía no en el engranaje SOHO.

Puedes sobrevivir bien con una dirección IP pública. Solo tenga en cuenta que "público" no garantiza "accesible", y estará bien.


Actualización 2017

En los últimos meses, Amazon ha agregado compatibilidad con IPv6. Se acaba de agregar a su oferta de , y su implementación brinda algunas pistas sobre cómo se espera que se realicen implementaciones a gran escala.

  • Se le asigna una asignación / 56 (256 subredes).
  • La asignación es una subred completamente enrutable.
  • Se espera que establezca sus reglas de firewall ( ) de manera apropiada restrictiva.
  • No hay NAT, ni siquiera se ofrece, por lo que todo el tráfico saliente provendrá de la dirección IP real de la instancia.

Para agregar uno de los beneficios de seguridad de NAT, ahora están ofreciendo una puerta de enlace de Internet solo para Egress . Esto ofrece un beneficio similar a NAT:

  • No se puede acceder directamente a las subredes detrás de Internet.

Lo que proporciona una capa de defensa en profundidad, en caso de que una regla de firewall mal configurada permita accidentalmente el tráfico entrante.

Esta oferta no traduce la dirección interna en una sola dirección como lo hace NAT. El tráfico saliente seguirá teniendo la IP de origen de la instancia que abrió la conexión. Los operadores de firewall que buscan incluir recursos en la lista blanca en la VPC estarán mejor fuera de la lista blanca de bloques de red, en lugar de direcciones IP específicas.

Enrutable no siempre significa accesible .


1 : Los estándares PCI-DSS cambiaron en octubre de 2010, se eliminó la declaración que ordenaba las direcciones RFC1918 y se reemplazó el 'aislamiento de red'.

sysadmin1138
fuente
1
Marqué esto como Aceptado porque es la respuesta más completa. Supongo que desde cada tomo de configuración de firewall que he leído (desde 1997, cuando comencé en el campo, y que incluye la construcción de firewalls de FreeBSD a mano) ha enfatizado el uso de RFC1918, que esto realmente no tenía ningún sentido a mi. Por supuesto, como ISP tendremos algunos problemas con los usuarios finales y sus enrutadores baratos cuando nos quedemos sin direcciones IPv4, y eso no desaparecerá pronto.
Ernie
"Los traductores de direcciones IPv6 que traducen un ULA a una IP global sí existen en el engranaje perimetral de mayor rango, definitivamente todavía no en el engranaje SOHO". Después de resistir durante muchos años, Linux agregó soporte para esto en 3.9.0.
Peter Green
2
Tengo una pregunta sobre "Las puertas de enlace NAT se usan con frecuencia porque son más fáciles de acceder a una configuración segura que la mayoría de los firewalls". Para las empresas con personal de TI profesional o para consumidores con conocimientos, eso no es gran cosa, pero para el consumidor general / pequeña empresa ingenua, ¿no es algo que no es "fácil" un gran riesgo de seguridad? Por ejemplo, existieron décadas de redes wifi "linksys" sin contraseña porque no configurar la seguridad era "más fácil" que configurarlo. Con una casa llena de dispositivos habilitados para IoT a nivel de consumidor, no puedo ver a mi madre configurando correctamente un firewall IPv6. ¿Crees que esto es un problema?
Jason C
66
@JasonC No, porque el equipo de nivel de consumidor que ya se está enviando se envía con firewalls preconfigurados por el ISP para negar toda la entrada. O no tengo soporte v6. El desafío son los usuarios avanzados que piensan que saben lo que están haciendo, pero en realidad no lo saben.
sysadmin1138
1
Una respuesta excelente en general, pero la rechacé porque apenas se dirigió al gran elefante en la habitación: configurar el dispositivo de seguridad correctamente es algo que no se puede dar por sentado.
Kevin Keane
57

Nuestro enrutador NAT de oficina (un antiguo Linksys BEFSR41) no es compatible con IPv6. Tampoco ningún enrutador más nuevo

IPv6 es compatible con muchos enrutadores. Solo que no muchos de los baratos están destinados a los consumidores y SOHO. En el peor de los casos, simplemente use una caja de Linux o vuelva a flashear su enrutador con dd-wrt o algo para obtener soporte para IPv6. Hay muchas opciones, probablemente solo tenga que buscar más.

Si se supone que debemos deshacernos de este enrutador y conectar todo directamente a Internet,

Nada acerca de una transición a IPv6 sugiere que debe deshacerse de los dispositivos de seguridad perimetral, como su enrutador / firewall. Los enrutadores y los cortafuegos seguirán siendo un componente obligatorio de casi todas las redes.

Todos los enrutadores NAT actúan efectivamente como un firewall con estado. No hay nada mágico en el uso de las direcciones RFC1918 que lo protegen tanto. Es la parte con estado que hace el trabajo duro. Un cortafuegos configurado correctamente lo protegerá igual de bien si está utilizando direcciones reales o privadas.

La única protección que obtiene de las direcciones RFC1918 es que permite a las personas salirse con la suya en la configuración de firewall y no ser tan vulnerable.

Hay algunos dispositivos de hardware antiguos (es decir, impresoras) que no tienen absolutamente ninguna capacidad de IPv6.

¿Entonces? Es poco probable que tenga que hacer que esté disponible a través de Internet, y en su red interna, puede continuar ejecutando IPv4 e IPv6 hasta que todos sus dispositivos sean compatibles o reemplazados.

Si ejecutar múltiples protocolos no es una opción, es posible que deba configurar algún tipo de puerta de enlace / proxy.

Se supone que IPSEC debe hacer todo esto seguro de alguna manera

IPSEC encripta y autentica paquetes. No tiene nada que ver con deshacerse de su dispositivo de borde, y tiene más protección para los datos en tránsito.

Zoredache
fuente
2
Justo en muchos sentidos.
sysadmin1138
3
Exactamente, obtenga un enrutador real y no tendrá que preocuparse. SonicWall tiene algunas opciones excelentes para proporcionar la seguridad que necesita y admitirá IPv6 sin problemas. Esta opción probablemente ofrecerá una mejor seguridad y rendimiento que la que tiene actualmente. ( news.sonicwall.com/index.php?s=43&item=1022 ) Como puede ver en este artículo, también puede hacer la traducción de ipv4 a ipv6 con dispositivos sonicwall para aquellos que no pueden manejar ipv6.
MaQleod
34

Si. NAT está muerto. Ha habido algunos intentos de ratificar los estándares para NAT sobre IPv6, pero ninguno de ellos despegó.

Esto realmente ha causado problemas a los proveedores que intentan cumplir con los estándares PCI-DSS, ya que el estándar en realidad establece que debe estar detrás de un NAT.

Para mí, esta es una de las noticias más maravillosas que he escuchado. Odio NAT, y odio NAT de nivel de operador aún más.

NAT solo tenía la intención de ser una solución curita para ayudarnos hasta que IPv6 se convirtiera en estándar, pero se arraigó en la sociedad de Internet.

Para el período de transición, debe recordar que IPv4 e IPv6 son, aparte de un nombre similar, son totalmente diferentes 1 . Por lo tanto, los dispositivos que tienen doble pila, su IPv4 tendrá NAT y su IPv6 no. Es casi como tener dos dispositivos totalmente separados, empaquetados en una sola pieza de plástico.

Entonces, ¿cómo funciona el acceso a internet IPv6? Bueno, la forma en que Internet solía funcionar antes de que se inventara NAT. Su ISP le asignará un rango de IP (igual que ahora, pero generalmente le asigna un / 32, lo que significa que solo obtiene una dirección IP), pero su rango ahora tendrá millones de direcciones IP disponibles. Usted es libre de llenar estas direcciones IP como lo desee (con configuración automática o DHCPv6). Cada una de estas direcciones IP será visible desde cualquier otra computadora en Internet.

Suena aterrador, ¿verdad? ¿Su controlador de dominio, su PC de medios domésticos y su iPhone con su escondite oculto de pornografía serán accesibles desde Internet? Bueno no. Para eso está un firewall. Otra gran característica de IPv6 es que obliga a los firewalls de un enfoque "Permitir todo" (como lo hacen la mayoría de los dispositivos domésticos) a un enfoque "Denegar todo", donde abre servicios para direcciones IP particulares. El 99.999% de los usuarios domésticos mantendrán felices sus firewalls predeterminados y totalmente bloqueados, lo que significa que no se permitirá el tráfico no solicitado.

1 Ok, hay mucho más que eso, pero de ninguna manera son compatibles entre sí, a pesar de que ambos permiten los mismos protocolos que se ejecutan en la parte superior

Mark Henderson
fuente
1
¿Qué pasa con todas las personas que afirman que tener computadoras detrás de NAT proporciona seguridad adicional? Escucho mucho de algunos otros administradores de TI. No importará si dice que un firewall adecuado es todo lo que necesita, porque muchas de estas personas creen que NAT agrega una capa de seguridad.
user9274
3
@ user9274: proporciona seguridad de dos maneras: 1) oculta su dirección IP interna del mundo (es por eso que PCI-DSS lo exige), y 2) es un "salto" adicional de Internet a la máquina local. Pero para ser honesto, el primero es solo "seguridad a través de la oscuridad", que no es seguridad en absoluto, y en cuanto al segundo, un dispositivo NAT comprometido es tan peligroso como un servidor comprometido, por lo que una vez que los atacantes hayan pasado el NAT, probablemente métete en tu máquina de todos modos.
Mark Henderson
Además, cualquier seguridad obtenida mediante el uso de NAT fue y es un beneficio no deseado en el esfuerzo por evitar el agotamiento de las direcciones IPv4. Ciertamente no era parte integrante del objetivo de diseño, que yo sepa.
joeqwerty
77
Los estándares PCI-DSS se modificaron a fines de octubre de 2010 y se eliminó el requisito de NAT (sección 1.3.8 de v1.2). Así que incluso ellos se están poniendo al día con los tiempos.
sysadmin1138
2
@ Mark, no estoy seguro de si vale la pena mencionarlo, pero NAT64 se está despegando, pero no es el NAT en el que la mayoría de la gente piensa. Permite que solo las redes IPv6 accedan a Internet IPv4 sin 'cooperación' del cliente; requiere soporte DNS64 para que funcione.
Chris S
18

El requisito de PCI-DSS para NAT es bien conocido como teatro de seguridad y no seguridad real.

El PCI-DSS más reciente ha evitado llamar a NAT un requisito absoluto. Muchas organizaciones han pasado auditorías PCI-DSS con IPv4 sin NAT que muestran firewalls con estado como "implementaciones de seguridad equivalentes".

Hay otros documentos de teatro de seguridad que piden NAT, pero, debido a que destruye los rastros de auditoría y dificulta la investigación / mitigación de incidentes, un estudio más profundo de NAT (con o sin PAT) es una seguridad neta negativa.

Un buen firewall con estado sin NAT es una solución muy superior a NAT en un mundo IPv6. En IPv4, NAT es un mal necesario para ser tolerado en aras de la conservación de direcciones.

Owen DeLong
fuente
2
NAT es "seguridad perezosa". Y con la "seguridad perezosa" viene la falta de atención a los detalles y la consiguiente pérdida de la seguridad que se pretendía.
Skaperen
1
Completamente de acuerdo; aunque la forma en que la mayoría de las auditorías de PCI-DSS se llevan a cabo (auditoría de mono con lista de verificación) que es toda seguridad perezoso, y lleva esos defectos.
MadHatter
Para aquellos que afirman que NAT es "teatro de seguridad", me gustaría señalar el artículo de The Networking Nerd sobre la vulnerabilidad Memcached hace unos meses. networkingnerd.net/2018/03/02/… Él es un ávido defensor de IPv6 y odia a NAT, pero tuvo que señalar que miles de empresas habían dejado sus servidores memcached abiertos en Internet debido a las reglas de firewall que "no eran hecho a mano cuidadosamente ". NAT te obliga a ser explícito sobre lo que permites en tu red.
Kevin Keane
12

Pasará (lamentablemente) un tiempo antes de que pueda salirse con la suya con una sola red de IPv6. Hasta entonces, la doble forma con preferencia para IPv6 cuando esté disponible es la forma de ejecutarse.

Si bien la mayoría de los enrutadores de consumo no admiten IPv6 con firmware actual, muchos pueden admitirlo con firmware de terceros (por ejemplo, Linksys WRT54G con dd-wrt, etc.). Además, muchos dispositivos de clase empresarial (Cisco, Juniper) admiten IPv6 listo para usar.

Es importante no confundir PAT (NAT de muchos a uno, como es común en los enrutadores de consumo) con otras formas de NAT y con cortafuegos sin NAT; Una vez que Internet se convierta solo en IPv6, los firewalls seguirán evitando la exposición de los servicios internos. Del mismo modo, un sistema IPv4 con NAT uno a uno no está protegido automáticamente; ese es el trabajo de una política de firewall.

techieb0y
fuente
11

Existe una gran confusión sobre este tema, ya que los administradores de red ven a NAT en una luz, y los clientes de pequeñas empresas y residenciales lo ven en otra. Déjame aclarar.

La NAT estática (a veces llamada NAT uno a uno) no ofrece absolutamente ninguna protección para su red privada o una PC individual. Cambiar la dirección IP no tiene sentido en lo que respecta a la protección.

El NAT / PAT dinámico sobrecargado, como lo hacen la mayoría de las puertas de enlace residenciales y los puntos de acceso wifi, ayuda a proteger su red privada y / o su PC. Por diseño, la tabla NAT en estos dispositivos es una tabla de estado. Realiza un seguimiento de las solicitudes salientes y las asigna en la tabla NAT: las conexiones caducan después de un cierto período de tiempo. Los marcos entrantes no solicitados que no coinciden con lo que está en la tabla NAT se descartan de forma predeterminada: el enrutador NAT no sabe dónde enviarlos en la red privada, por lo que los descarta. De esta manera, el único dispositivo que deja vulnerable a ser pirateado es su enrutador. Dado que la mayoría de las vulnerabilidades de seguridad están basadas en Windows, tener un dispositivo como este entre Internet y la PC de Windows realmente ayuda a proteger su red. Puede que no sea la función originalmente prevista, que era ahorrar en IP públicas, pero hace el trabajo. Como beneficio adicional, la mayoría de estos dispositivos también tienen capacidades de firewall que muchas veces bloquean las solicitudes ICMP de forma predeterminada, lo que también ayuda a proteger la red.

Dada la información anterior, deshacerse de NAT al pasar a IPv6 podría exponer a millones de dispositivos de consumidores y pequeñas empresas a posibles piratas informáticos. Tendrá poco o ningún efecto en las redes corporativas, ya que tienen firewalls administrados profesionalmente en su borde. Es posible que las redes de consumidores y pequeñas empresas ya no tengan un enrutador NAT basado en * nix entre Internet y sus PC. No hay ninguna razón por la que una persona no pueda cambiar a una solución única de firewall, mucho más segura si se implementa correctamente, pero también más allá del alcance de lo que el 99% de los consumidores entienden cómo hacer. Dynamic Overloaded NAT brinda un mínimo de protección con solo usarlo: conecte su enrutador residencial y estará protegido. Fácil.

Dicho esto, no hay razón para que NAT no pueda usarse exactamente de la misma manera que se usa en IPv4. De hecho, un enrutador podría diseñarse para tener una dirección IPv6 en el puerto WAN con una red privada IPv4 detrás de la cual está NAT (por ejemplo). Esta sería una solución simple para consumidores y personas residenciales. Otra opción es colocar todos los dispositivos con IP IPv6 públicas: el dispositivo intermedio podría actuar como un dispositivo L2, pero proporcionar una tabla de estado, inspección de paquetes y un firewall totalmente funcional. Básicamente, no tiene NAT, pero sigue bloqueando las tramas entrantes no solicitadas. Lo importante que debe recordar es que no debe conectar su PC directamente a su conexión WAN sin ningún dispositivo intermediario. A menos, por supuesto, que desee confiar en el firewall de Windows. . . y esa es una discusión diferente.

Habrá algunos dolores de crecimiento al pasar a IPv6, pero no hay ningún problema que no se pueda resolver con bastante facilidad. ¿Tendrá que deshacerse de su antiguo enrutador IPv4 o puerta de enlace residencial? Quizás, pero habrá nuevas soluciones económicas disponibles cuando llegue el momento. Esperemos que muchos dispositivos solo necesiten un firmware flash. ¿Podría IPv6 haber sido diseñado para encajar sin problemas en la arquitectura actual? Claro, pero es lo que es y no va a desaparecer, por lo que es mejor que lo aprenda, lo viva, lo ame.

Computerguy
fuente
3
Por lo que vale, me gustaría reiterar que la arquitectura actual está fundamentalmente rota (enrutamiento de extremo a extremo) y esto crea problemas prácticos en redes complejas (los dispositivos NAT redundantes son demasiado complejos y costosos). Dejar caer el hack NAT reducirá la complejidad y los posibles puntos de falla, mientras que la seguridad se mantiene mediante simples firewalls con estado (no puedo imaginar por un segundo que venga un enrutador SOHO sin el firewall con estado habilitado de manera predeterminada para que los clientes puedan enchufar y jugar sin un pensamiento).
Chris S
A veces, la enrutamiento de extremo a extremo roto es exactamente lo que desea. No quiero que mis impresoras y PC se puedan enrutar desde Internet. Si bien NAT comenzó como un truco, se ha convertido en una herramienta muy útil, que en algunos casos puede mejorar la seguridad al eliminar la posibilidad de que los paquetes se enruten directamente a un nodo. Si tengo una IP RFC1918 asignada estáticamente en una PC, bajo ninguna circunstancia esa IP será enrutable en Internet.
Computerguy
66
La ruteabilidad rota es una mala cosa ™ . Lo que desea es que sus dispositivos sean inaccesibles por Internet (por firewall), eso no es lo mismo. Consulte ¿Por qué usaría IPv6 internamente? . Además, RFC1918 establece que esas direcciones deben usarse solo para redes privadas, y el acceso a Internet solo debe ser provisto por puertas de enlace de capa de aplicación (que no es NAT). Para conexiones externas, al host se le debe asignar una dirección de una asignación coordinada de IANA. Los hacks, por muy útiles que sean, hacen compromisos innecesarios y no son la forma "correcta".
Chris S
10

Si NAT sobrevive en el mundo IPv6, lo más probable es que sea NAT 1: 1. Una forma de NAT nunca vista en el espacio IPv4. ¿Qué es NAT 1: 1? Es una traducción 1: 1 de una dirección global a una dirección local. El equivalente de IPv4 sería traducir todas las conexiones a 1.1.1.2 solo a 10.1.1.2, y así sucesivamente para todo el espacio 1.0.0.0/8. La versión de IPv6 sería traducir una dirección global a una dirección local única.

Se podría proporcionar una seguridad mejorada al rotar con frecuencia la asignación de direcciones que no le interesan (como los usuarios internos de la oficina que navegan en Facebook). Internamente, sus números de ULA se mantendrán igual para que su DNS de horizonte dividido continúe funcionando bien, pero externamente los clientes nunca estarían en un puerto predecible.

Pero realmente, es una pequeña cantidad de seguridad mejorada por la molestia que crea. Escanear subredes IPv6 es una tarea realmente grande y no es factible sin un poco de reconocimiento de cómo se asignan las direcciones IP en esas subredes (¿método de generación de MAC? ¿Método aleatorio? ¿Asignación estática de direcciones legibles por humanos?).

En la mayoría de los casos, lo que sucederá es que los clientes detrás del firewall corporativo obtendrán una dirección global, tal vez una ULA, y el firewall perimetral se configurará para negar todas las conexiones entrantes de cualquier tipo a esas direcciones. Para todos los efectos, esas direcciones son inalcanzables desde el exterior. Una vez que el cliente interno inicia una conexión, se permitirán los paquetes a lo largo de esa conexión. La necesidad de cambiar la dirección IP a algo completamente diferente se maneja obligando a un atacante a pasar 2 ^ 64 posibles direcciones en esa subred.

sysadmin1138
fuente
@ sysadmin1138: me gusta esta solución. Como entiendo actualmente IPv6, si mi ISP me da un / 64, se supone que debo usar ese / 64 en toda mi red si quiero que mis máquinas tengan acceso a Internet IPv6. Pero si me canso de ese ISP y me mudo a otro, ahora tengo que renumerar todo por completo.
Kumba
1
@ sysadmin1138: Dicho esto, sin embargo, me he dado cuenta de que puedo asignar múltiples direcciones IP a una sola interfaz mucho más fácil que con IPv4, por lo que puedo evitar el uso del ISP / 64 para acceso externo y mi propio esquema ULA interno privado para comunicaciones entre hosts y use un firewall para hacer que las direcciones ULA sean inaccesibles desde el exterior. Se requiere más trabajo de configuración, pero parece que evitará NAT por completo.
Kumba
@ sysadmin1138: TODAVÍA me rasco la cabeza sobre por qué los ULA son, a todos los efectos, privados, pero se espera que sigan siendo únicos a nivel mundial. Es como decir que puedo tener un automóvil de cualquier marca y modelo actualmente disponible, pero no cualquier marca / modelo / año que ya haya utilizado otra persona, a pesar de que es mi automóvil y seré el único conductor que tendrá.
Kumba
2
@Kumba La razón por la que las direcciones RFC 4193 deberían ser únicas a nivel mundial es para garantizar que no tendrá que renumerar en el futuro. Tal vez algún día necesite fusionar dos redes usando direcciones RFC 4193, o una máquina que ya podría tener una dirección RFC 4193 puede necesitar conectarse a una o más VPN, que también tienen direcciones RFC 4193.
kasperd
1
@Kumba Si todos usaran fd00 :: / 64 para el primer segmento en su red, entonces seguramente se encontraría con un conflicto tan pronto como un par de dos de esas redes tuvieran que comunicarse. El objetivo de RFC 4193 es que, siempre que elija sus 40 bits al azar, puede asignar los 80 bits restantes como quiera y con la confianza de que no tendrá que volver a numerar.
kasperd
9

RFC 4864 describe IPv6 Local Network Protection , un conjunto de enfoques para proporcionar los beneficios percibidos de NAT en un entorno IPv6, sin tener que recurrir a NAT.

Este documento ha descrito una serie de técnicas que se pueden combinar en un sitio IPv6 para proteger la integridad de su arquitectura de red. Estas técnicas, conocidas colectivamente como Protección de red local, conservan el concepto de un límite bien definido entre "dentro" y "fuera" de la red privada y permiten la protección de firewall, la ocultación de topologías y la privacidad. Sin embargo, debido a que preservan la transparencia de la dirección donde se necesita, logran estos objetivos sin la desventaja de la traducción de direcciones. Por lo tanto, la protección de red local en IPv6 puede proporcionar los beneficios de la traducción de direcciones de red IPv4 sin las desventajas correspondientes.

Primero establece cuáles son los beneficios percibidos de NAT (y los desmiente cuando sea apropiado), luego describe las características de IPv6 que se pueden usar para proporcionar esos mismos beneficios. También proporciona notas de implementación y estudios de casos.

Si bien es demasiado largo para reimprimir aquí, los beneficios discutidos son:

  • Una puerta de enlace simple entre "adentro" y "afuera"
  • El firewall con estado
  • Seguimiento de usuario / aplicación
  • Privacidad y topología oculta
  • Control independiente de direccionamiento en una red privada.
  • Multihoming / renumeración

Esto cubre prácticamente todos los escenarios en los que uno podría haber deseado NAT y ofrece soluciones para implementarlos en IPv6 sin NAT.

Algunas de las tecnologías que usará son:

  • Direcciones locales únicas: Prefiera estas en su red interna para mantener sus comunicaciones internas internas y para garantizar que las comunicaciones internas puedan continuar incluso si el ISP tiene una interrupción.
  • Extensiones de privacidad IPv6 con tiempos de vida de dirección cortos e identificadores de interfaz no estructurados obviamente: ayudan a prevenir ataques de hosts individuales y escaneo de subredes.
  • IGP, Mobile IPv6 o VLAN pueden usarse para ocultar la topología de la red interna.
  • Junto con los ULA, DHCP-PD del ISP hace que la renumeración / multihoming sea más fácil que con IPv4.

( Consulte el RFC para obtener detalles completos; de nuevo, es demasiado largo para reimprimir o incluso extraer extractos significativos).

Para una discusión más general de la seguridad de transición IPv6, vea RFC 4942 .

Michael Hampton
fuente
8

Mas o menos. En realidad, hay diferentes "tipos" de direcciones IPv6. El más cercano a RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) se llama "Dirección local única" y se define en RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Entonces comienza con fd00 :: / 8, luego agrega una cadena de 40 bits (¡usando un algoritmo predefinido en el RFC!), Y termina con un prefijo pseudoaleatorio / 48 que debería ser globalmente único. Tiene el resto del espacio de direcciones para asignar como desee.

También debe bloquear fd00 :: / 7 (fc00 :: / 8 y fd00 :: / 8) en su enrutador (IPv6) hacia fuera de su organización, de ahí el "local" en el nombre de la dirección. Estas direcciones, mientras están en el espacio de direcciones global, no deberían ser accesibles al mundo en general, solo dentro de su "organización".

Si sus servidores PCI-DSS necesitan un IPv6 para la conectividad con otros hosts IPv6 internos, debe generar un prefijo ULA para su empresa y usarlo para este propósito. Puede usar la configuración automática de IPv6 como cualquier otro prefijo si lo desea.

Dado que IPv6 fue diseñado para que los hosts puedan tener múltiples direcciones, una máquina puede tener, además de un ULA, una dirección globalmente enrutable también. Por lo tanto, un servidor web que necesita comunicarse tanto con el mundo exterior como con las máquinas internas puede tener una dirección de prefijo asignada por el ISP y su prefijo ULA.

Si desea una funcionalidad similar a la de NAT, también puede mirar NAT66, pero en general diseñaría alrededor de ULA. Si tiene más preguntas, puede consultar la lista de correo "ipv6-ops".

REPRESA
fuente
1
Ja Escribí todos esos comentarios a sysadmin1138, y ni siquiera pensé en mirar su respuesta sobre el uso de direcciones duales para comunicaciones globales y locales. Sin embargo, estoy totalmente en desacuerdo con los preceptos de ULA que necesitan ser globalmente únicos. No me gusta aleatorizado, números de 40 bits en absoluto , especialmente para mi LAN interna, de los cuales yo soy el único usuario. Probablemente necesiten una base de datos mundial de ULA para registrarse (SixXS funciona así), pero elimine el desorden de números aleatorios y permita que las personas sean creativas. Como placas personalizadas. Solicita uno y, si lo toma, prueba con otro.
Kumba el
1
@Kumba están tratando de detener cada red usando las mismas direcciones: aleatoria significa que no necesita una base de datos pública y cada red es independiente; si desea emitir direcciones IP de forma centralizada, ¡solo use las globales!
Richard Gadsden
@ Richard: Eso es un ... ¿Cómo lo digo, concepto tonto, en mi humilde opinión. ¿Por qué debería importar si la pequeña Joe Company en una ciudad de Montana utiliza el mismo direccionamiento IPv6 que otra pequeña empresa en Perth, Australia? Las probabilidades de que los dos crucen, aunque no es imposible, son bastante improbables. Si la intención de los diseñadores de IPv6 era tratar de eliminar por completo el concepto de "redes privadas", entonces deberían revisar su café, porque eso no es realmente factible.
Kumba
2
@Kumba Creo que son las cicatrices de cuando intentas fusionar dos grandes redes privadas IPv4 en 10/8 y tienes que renumerar una (o incluso ambas) que están tratando de evitar.
Richard Gadsden
2
@ Richard: Exactamente, no hay nada más doloroso que usar VPN para conectarse a otra red con la misma subred privada, algunas implementaciones simplemente dejarán de funcionar.
Hubert Kario el
4

En mi humilde opinión: no.

Todavía hay algunos lugares donde SNAT / DNAT puede ser útil. Para la expansión, algunos servidores se movieron a otra red, pero no queremos / no podemos cambiar la IP de la aplicación.

sumar
fuente
1
Debe utilizar nombres DNS en lugar de direcciones IP en las configuraciones de su aplicación.
rmalayter
DNS no resuelve su problema, si necesita crear una ruta de red sin modificar toda su topología de enrutamiento y reglas de firewall.
sumar
3

Con suerte, NAT desaparecerá para siempre. Es útil solo cuando tiene una escasez de dirección IP y no tiene características de seguridad que no se proporcionan mejor, más barato y más fácilmente administrado por un firewall con estado.

Dado que IPv6 = no más escasez, significa que podemos librar al mundo del truco feo que es NAT.

crecer
fuente
3

No he visto una respuesta definitiva sobre cómo la pérdida de NAT (si realmente desaparece) con IPv6 afectará la privacidad del usuario.

Con las direcciones IP de dispositivos individuales expuestas públicamente, será mucho más fácil para los servicios web supervisar (recopilar, almacenar, agregar a lo largo del tiempo, el espacio y los sitios, y facilitar una multitud de usos secundarios) sus viajes por Internet desde sus diversos dispositivos. A menos que ... los ISP, los enrutadores y otros equipos hagan posible y fácil tener direcciones IPv6 dinámicas que se pueden cambiar con frecuencia para cada dispositivo.

Por supuesto, no importa lo que tengamos, todavía tendremos el problema de que las direcciones MAC de wi-fi estáticas sean públicas, pero esa es otra historia ...

LogEx
fuente
2
Solo necesita habilitar las direcciones de privacidad. Eso le dará tanta privacidad como lo habría hecho un NAT. Además, al usar IPv6 estará mucho menos expuesto a problemas causados ​​por una mala selección de IPID.
Kasperd
2

Hay muchos esquemas para admitir NAT en un escenario de transición de V4 a V6. Sin embargo, si tiene una red totalmente IPV6 y se conecta a un proveedor IPV6 ascendente, NAT no es parte del nuevo orden mundial, excepto que puede hacer un túnel entre las redes V4 sobre las redes V6.

Cisco tiene mucha información general sobre escenarios 4to6, migración y tunelización.

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

También en Wikipedia:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

Greg Askew
fuente
2

La política y la práctica empresarial básica probablemente favorecerán la existencia de NAT. La gran cantidad de direcciones IPv6 significa que los ISP estarán tentados a cobrar por dispositivo o limitar las conexiones solo a un número restringido de dispositivos. Vea este artículo reciente en /. por ejemplo:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

Steve-o
fuente
2
No estoy muy seguro. Creo que habrá una gran revuelta técnica contra cualquier ISP que intente cargar por dispositivo. Aunque puedo ver por qué los ISP saltarían ante esta idea, porque ahora realmente pueden decir cuántos dispositivos hay en el otro extremo de una conexión.
Mark Henderson
1
Dado el movimiento para proporcionar cierto nivel de anonimato mediante el uso de direcciones temporales para conexiones salientes, la aplicación de las reglas por dispositivo sería compleja, si no imposible. Un dispositivo podría tener 2 o más direcciones globales activas bajo este esquema, además de cualquier otra asignada.
BillThor
2
@ Mark Henderson: ya hay ISP que cobran por dispositivo. AT&T, por ejemplo, cobra extra por "vinculación".
Richard Gadsden
1
@ Richard - si ese fuera el caso, si estuviera con AT&T los dejaría caer como si estuviera caliente
Mark Henderson
@ Mark: Eso es inalámbrico de AT&T (mira los contratos de iPhone, por ejemplo).
Richard Gadsden
-2

Para su información, cualquier persona interesante está utilizando NAT / NAPT con IPV6 puede. Todos los sistemas operativos BSD que tienen PF son compatibles con NAT66. Funciona genial. De un blog que utilizamos :

ipv6 nat (nat66) por FreeBSD pf

aunque nat66 todavía está en borrador, pero FreeBSD pf ya lo soporta por mucho tiempo.

(edite el pf.conf e inserte los siguientes códigos)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

¡Estas listo!

Funciona muy bien para las personas que han estado usando squid con una sola dirección IP durante años. Con IPv6 NAT, puedo obtener 2 ^ 120 direcciones privadas (sitio local) que incluye 2 ^ 56 subredes de largo con mis 5/64 subredes. Eso significa que debo ser 100 mil millones de veces más inteligente que cualquier otro gurú de IPv6 aquí porque tengo más direcciones: D

La verdad es que solo porque tengo más direcciones (o puede que haya usado IPv6 más tiempo que usted), realmente no hace que IPv6 (o yo por el mismo problema) sea mejor. Sin embargo, hace que IPv6 sea más complejo cuando se requiere un firewall en lugar de PAT y NAT ya no es un requisito, sino una opción. El objetivo del firewall es permitir todas las conexiones salientes y mantener el estado, pero bloquear las conexiones entrantes iniciadas.

En cuanto a NAPT (NAT con PAT), llevará algo de tiempo sacar a las personas de la mentalidad. Por ejemplo, hasta que podamos lograr que su bisabuelo configure su propio cortafuegos IPv6 sin direccionamiento local del sitio (direcciones privadas) y sin la ayuda de ningún gurú, podría ser una buena idea jugar con la posible idea de NAT, ya que será Todo lo que sabe.

gnarlymarley
fuente
2
Su equipo SOHO promedio que eventualmente admite IPv6 seguramente vendrá sin IPv6 NAT (que el NAT66 que está citando no funciona igual que NATv4, pero lo seguiremos de todos modos) y viene con un valor predeterminado para negar la regla para tráfico entrante (junto con permitir conexiones salientes con estado) que proporciona casi la misma seguridad que ofrece el equipo IPv4 SOHO actual. Como otros han señalado, entendemos que las personas se complacen y se sienten cómodas con sus tecnologías de pirateo, eso no significa que sean necesarias o poco más que un teatro de seguridad.
Chris S
NAT66 no necesita funcionar igual que NAT44. Solo necesita sonar igual para que podamos atrapar a las personas más rápido en IPv6. Una vez que estén en IPv6, deberíamos poder trabajar en equipo para que configuren correctamente un firewall. O trabajamos en equipo o necesitamos comenzar a usar NAT44444. Tu elección.
gnarlymarley
No es solo PF. En términos prácticos, la mayoría de los enrutadores pueden hacer el mismo tipo de NAT en IPv6 que en IPv4, simplemente frunciendo el ceño. He visto esta característica en los enrutadores Fortinet, así como en OpenWRT.
Kevin Keane
-2

Las propuestas recientes presentadas para ipv6 han sugerido que los ingenieros que trabajan en la nueva tecnología incorporarán NAT a ipv6, razón dada: NAT ofrece una capa adicional de seguridad

La documentación se encuentra en el sitio web ipv6.com, por lo que parece que todas estas respuestas que indican que NAT no ofrece seguridad se ven un poco avergonzadas

Andrés
fuente
1
¿Tal vez podría ampliar exactamente de qué se trata NAT que cree que ofrece una capa adicional de seguridad? Específicamente, ¿qué riesgo contra qué amenaza particular se mitiga?
growse
La 'seguridad' proporcionada por NAT es la ofuscación y el forzamiento de una red a una postura de negación predeterminada, la primera es discutible mientras que la segunda es una buena idea. Sin embargo, la denegación predeterminada se puede lograr a través de otros medios con la misma facilidad, e IPv6 elimina una de las principales razones técnicas de NAT: la escasez de IP.
sysadmin1138
2
Hay una página en IPv6.com sobre NAT . Entre otras cosas, tiene esto que decir: "El problema de seguridad se usa a menudo en defensa del proceso de traducción de direcciones de red. Sin embargo, el principio básico de Internet es ofrecer una conectividad de extremo a extremo a los diferentes recursos de red. " y también esto: "A medida que el IPv6 reemplaza lentamente el protocolo IPv4, el proceso de traducción de direcciones de red se volverá redundante e inútil".
Ladadadada
-6

Me doy cuenta de que en algún momento futuro (que solo se puede especular) las direcciones IPv4 regionales inevitablemente se agotarán. Estoy de acuerdo con que IPv6 tiene algunas desventajas serias para el usuario. El problema de NAT es extremadamente importante, ya que proporciona seguridad, redundancia, privacidad y permite a los usuarios conectar casi todos los dispositivos que quieran sin restricciones. Sí, un firewall es el estándar de oro contra la intrusión de red no solicitada, pero NAT no solo agrega otra capa de protección, sino que también proporciona un diseño seguro por defecto, independientemente de la configuración del firewall o del conocimiento del usuario final, sin importar cómo lo defina IPv4 con NAT y un firewall es aún más seguro de manera predeterminada que IPv6 con solo un firewall. Otro problema es la privacidad, tener una dirección de enrutamiento de Internet en cada dispositivo abrirá a los usuarios a todo tipo de posibles violaciones de privacidad, recopilación de información personal y seguimiento de formas que hoy en día no se pueden imaginar en tanta masa. También soy de la opinión de que sin Nat podríamos estar abiertos a costos y control adicionales a través de Isp's. Los Isp pueden comenzar a cargar por dispositivo o por las tasas de uso del usuario como ya vemos con la conexión USB, esto reduciría en gran medida la libertad del usuario final para conectar abiertamente cualquier dispositivo que considere adecuado en esa línea. En este momento, pocos ISP de EE. UU. Ofrecen IPv6 en cualquier forma y creo que las empresas no tecnológicas tardarán en cambiar debido al costo agregado con poco o ningún valor ganado.

jinete de tierra
fuente
44
NAT es una ilusión de seguridad.
Skaperen
44
NAT no proporciona protección en absoluto. Es el cortafuegos automático que obtienes con NAT que proporciona cualquier "protección" que puedas disfrutar mientras disfrutas de todas las desventajas de NAT.
Michael Hampton