Переключение на IPv6 подразумевает отбрасывающий NAT. Это - хорошая вещь?
Прежде всего нет ничего для боязни того, чтобы быть на общедоступном выделении IP, пока устройства безопасности настроены право.
Чем я должен заменять NAT, если у нас нет физически отдельных сетей?
То же самое мы физически разделяли их с с 1980-х, маршрутизаторов и брандмауэров. Одно большое усиление безопасности, которое Вы получаете с NAT, - то, что он вынуждает Вас в значение по умолчанию - отклоняют конфигурацию. Для получения любого сервиса через него необходимо явно перфорировать дыры. Более необычные устройства даже позволяют Вам применять основанный на IP ACLs к тем дырам, точно так же, как брандмауэр. Вероятно, потому что у них есть 'Брандмауэр' на поле на самом деле.
Правильно настроенный брандмауэр предоставляет точно ту же услугу как шлюз NAT. Шлюзы NAT часто используются, потому что они легче войти в безопасную конфигурацию, чем большинство брандмауэров.
Я слышу, что IPv6 и IPSEC, как предполагается, заставляют все это защитить так или иначе, но без физически разделенных сетей, которые делают эти устройства невидимыми для Интернета, я действительно не вижу как.
Это - неправильное представление. Я работаю на Университет, который имеет/16 выделение IPv4, и обширное, подавляющее большинство нашего потребления IP-адреса находится на том общедоступном выделении. Конечно, все наши рабочие станции конечного пользователя и принтеры. Наше потребление RFC1918 ограничено сетевыми устройствами и определенными определенными серверами, где такие адреса требуются. Я не был бы удивлен, дрожали ли Вы просто сейчас, потому что я, конечно, сделал, когда я обнаружился в свой первый день и видел постэто на своем мониторе с моим IP-адресом.
И все же, мы выживаем. Почему? Поскольку нам настроили внешний брандмауэр для значения по умолчанию - отклоняют с ограниченной пропускной способностью ICMP. Просто, потому что 140.160.123.45 теоретически routeable, не означает, что можно добраться там от где бы вы ни были в общедоступном Интернете. Это - то, что брандмауэры были разработаны, чтобы сделать.
Учитывая правильные конфигурации маршрутизатора и различные подсети в нашем выделении может быть абсолютно недостижимым друг от друга. Вы делаете может сделать это в таблицах маршрутизатора или брандмауэрах. Это - отдельная сеть и удовлетворило наших аудиторов безопасности в прошлом.
Нет никакого пути в аду, я помещу нашу тарификационную базу данных (С большим количеством данных кредитной карт!) в Интернете для всех для наблюдения.
Наша тарификационная база данных находится на общедоступном адресе IPv4 и была для его всего существования, но у нас есть доказательство, которое Вы не можете получить там отсюда. Просто, потому что адрес находится в общедоступном списке v4 routeable, не означает, что он, как гарантируют, будет поставлен. Эти два брандмауэра между злом Интернета и фактических портов базы данных отфильтровывают зло. Даже с моего стола, позади первого брандмауэра, я не могу добраться до той базы данных.
Информацией о кредитной карте является один особый случай. Это регулируется стандартами PCI-DSS, и в стандартах говорится непосредственно, что серверы, которые содержат такие данные, должны быть позади NAT gateway1. Наши, и эти три сервера представляют наше общее использование сервера адресов RFC1918. Это не добавляет безопасности, просто слой сложности, но мы должны были проверить тот флажок на аудиты.
Исходный "IPv6 делает NAT, вещь прошлой" идеи была выдвинута, прежде чем интернет-бум действительно поразил полную господствующую тенденцию. В 1995 NAT был обходным решением для того, чтобы обходить маленькое выделение IP. В 2005 это хранилось во многом документе Лучших практик безопасности и по крайней мере одном главном стандарте (PCI-DSS, чтобы быть конкретным). Единственная конкретная польза, которую приносит NAT, - то, что внешний передовод "против" выполнения объекта в сети не знает то, на что среда IP похожа позади устройства NAT (хотя благодаря RFC1918 у них есть хорошее предположение), и на IPv4 без NAT (таком как моя работа), который не имеет место. Это - небольшой шаг в защите подробно, не большой.
Замена для адресов RFC1918 - то, что называют Уникальными Локальными Адресами. Как RFC1918, они не направляют, если коллеги конкретно не соглашаются позволить им направить. В отличие от RFC1918, они (вероятно), глобально уникальны. Преобразователи адресов IPv6, которые переводят ULA в Глобальный IP, действительно существуют в более высоком механизме периметра диапазона, определенно не в механизме SOHO все же.
Можно выжить очень хорошо с общедоступным IP-адресом. Просто имейте в виду, что 'общественность' не гарантирует 'достижимый', и Вы будете в порядке.
Обновление 2017 года
За прошлые несколько месяцев Amazon aws добавлял поддержку IPv6. Это было просто добавлено к их амазонке-vpc, предлагающей, и их реализация дает некоторый ключ к разгадке относительно того, как крупномасштабные внедрения, как ожидают, будут сделаны.
- Вам дают/56 выделение (256 подсетей).
- Выделение является полностью routeable подсетью.
- Вы, как ожидают, установите свои правила брандмауэра (группы безопасности), соответственно строгие.
- Нет никакого NAT, это даже не предлагается, таким образом, весь исходящий трафик прибудет из фактического IP-адреса экземпляра.
Для добавления одного из преимуществ безопасности NAT въезжают задним ходом, они теперь предлагают интернет-шлюз Только для выхода. Это предлагает одно подобное ТУЗЕМНОМУ преимущество:
- К подсетям позади него нельзя непосредственно получить доступ из Интернета.
Который обеспечивает слой защиты подробно, в случае, если misconfigred правило брандмауэра случайно позволяет входящий трафик.
Это предложение не переводит внутренний адрес в единственный адрес путем, NAT делает. Исходящий трафик будет все еще иметь исходный IP экземпляра, который открыл соединение. Операторы брандмауэра, смотрящие на ресурсы белого списка в VPC, будут более обеспеченным белым списком netblocks, а не определенными IP-адресами.
Routeable не всегда имеет в виду достижимый.
1: Стандарты PCI-DSS, измененные в октябре 2010, оператор, передающий под мандат адреса RFC1918, были удалены, и 'сетевая изоляция' заменила его.
-
1, я отметил это как Принятое, потому что это - более полный ответ. Я предполагаю, что начиная с каждого тома конфигурации брандмауэра когда-либо читал (приблизительно с 1997, когда я запустил в поле, и это включает брандмауэры FreeBSD здания вручную), подчеркнуло использование RFC1918, что это действительно не имело никакого смысла мне. Конечно, как ISP мы собираемся иметь некоторые проблемы с конечными пользователями и их дешевыми маршрутизаторами, когда у нас заканчиваются адреса IPv4, и это не уходит в ближайшее время. – Ernie 27 September 2010 в 19:11
Это (печально) будет некоторое время, прежде чем можно будет сойти с рук единственный стек сеть только для IPv6. До тех пор двойной стек с предпочтением IPv6, когда доступно является способом работать.
В то время как большинство потребительских маршрутизаторов не поддерживает IPv6 со встроенным микропрограммным обеспечением запаса сегодня, многие могут поддерживать его со сторонними встроенными микропрограммными обеспечениями (например, Linksys WRT54G с dd-wrt, и т.д.). Кроме того, много устройств бизнес-класса (Cisco, Juniper) поддерживают IPv6 out-of-the-box.
Важно не перепутать PAT (many-one NAT, как распространено на потребительских маршрутизаторах) с другими формами NAT, и с брандмауэрингом без NAT; после того как Интернет становится только для IPv6, брандмауэры все еще предотвратят воздействие внутренних сервисов. Аналогично, система IPv4 с непосредственным NAT автоматически не защищена; это - задание политики брандмауэра.
Наш офисный маршрутизатор NAT (старый Linksys BEFSR41) не поддерживает IPv6. Ни делает любой более новый маршрутизатор
IPv6 поддерживается многими маршрутизаторами. Просто не, что многие дешевые, нацеленные на потребителей и SOHO. Худший случай, просто используйте поле Linux или повторно высветите Ваш маршрутизатор с dd-wrt или чем-то для получения поддержки IPv6. Существует много опций, вероятно, просто необходимо выглядеть более твердыми.
Если мы, как предполагается, просто избавляемся от этого маршрутизатора и включаем все непосредственно к Интернету,
Ничто о переходе к IPv6 не предлагает, чтобы Вы избавились от устройств безопасности периметра, как Ваш маршрутизатор/брандмауэр. Маршрутизаторы и брандмауэры все еще будут необходимым компонентом в значительной степени каждой сети.
Все маршрутизаторы NAT эффективно действуют как брандмауэр с сохранением информации. Нет ничего волшебного об использовании адресов RFC1918, которые защищают Вас всех так очень. Это - бит с сохранением информации, который делает тяжелую работу. Правильно настроенный брандмауэр защитит Вас точно также при использовании реальных или частных адресов.
Единственная защита, которую Вы получаете от адресов RFC1918, это позволяет людям сходить с рук ошибки/лень в Вашей конфигурации брандмауэра и все еще не быть всем этим уязвимым.
Существует несколько старых устройств (т.е., принтеры), которые не имеют абсолютно никакой возможности IPv6 вообще.
Так? Едва ли вероятно, что необходимо будет сделать это доступным по Интернету, и на внутренней сети, можно продолжить выполнять IPv4 и IPv6, пока все устройства не поддерживаются или заменяются.
Если выполнение нескольких протоколов не является опцией, Вам, вероятно, придется установить некоторый шлюз/прокси.
IPSEC, как предполагается, заставляют все это защитить так или иначе
Зашифрованный IPSEC и аутентифицирует пакеты. Это не имеет никакого отношения к избавлению от Вашего устройства границы и имеет больше защиты данных в пути.
Требование PCI-DSS для NAT известно быть театром безопасности и не фактической безопасностью.
Новый PCI-DSS замедлил от вызова NAT абсолютное требование. Многие организации передали аудиты PCI-DSS с IPv4 без NAT, показывающего брандмауэры с сохранением информации "эквивалентными реализациями защиты".
Существуют другие театральные документы безопасности, там призывающие к NAT, но, потому что он уничтожает журналы аудита и делает инцидентное расследование/смягчение более трудным, более всестороннее исследование NAT (с или без PAT), чтобы быть сетевой отрицательной безопасностью.
Хороший брандмауэр с сохранением информации без NAT является весьма отличным решением NAT в мире IPv6. В IPv4 NAT является необходимым злом, которое будет допускаться ради сохранения адреса.
Политика и основная деловая практика будут, скорее всего, далее существование NAT. Изобилие адресов IPv6 означает, что ISPs испытает желание заряжаться для каждого устройства или предельные соединения только с ограниченным количеством устройств. См. эту недавнюю статью о/. например:
http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device
Существует много планов поддерживать NAT в V4 к сценарию перехода V6. Однако, если у Вас есть вся сеть IPV6 и подключение к восходящему поставщику IPv6, NAT не является частью Нового мирового порядка, за исключением того, что можно туннелировать между сетями V4 по сетям V6.
Cisco имеет много общей информации о 4to6 сценарии, миграция и туннелирование.
http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html
Также в Википедии:
https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms
Я не видел категорический ответ о том, как потеря NAT (если это действительно уходит) с IPv6 будет влиять на пользовательскую конфиденциальность.
С IP-адресами отдельного устройства, публично выставленными, для веб-сервисов будет намного легче следить (соберите, сохраните, агрегат со временем и пространство и сайты, и упростите множество вторичного использования), Ваши перемещения вокруг Интернета от Ваших различных устройств. Если... ISPs, маршрутизаторы и другое оборудование позволяют и легкий иметь динамические адреса IPv6, которые могут часто изменяться для каждого устройства.
Конечно независимо от того, что у нас все еще будет проблема статического Wi-Fi MAC-адреса того, чтобы быть общедоступным, но это - другая история...
Хотелось бы надеяться, NAT уйдет навсегда. Полезно только, когда у Вас есть дефицит IP-адреса, и не имеет никаких средств защиты, которые не обеспечиваются лучше, более дешевые и более легко управляемые брандмауэром с сохранением информации.
Начиная с IPv6 = больше никакого дефицита, это означает, что мы можем избавить мир от ужасного взлома, который является NAT.
Если NAT выживет в мире IPv6, то это, скорее всего, будет 1:1 NAT. Форма NAT, никогда замечаемый в пространстве IPv4. Что 1:1 NAT? Это 1:1 перевод глобального адреса к локальному адресу. Эквивалентный IPv4 перевел бы все соединения с 1.1.1.2 только к 10.1.1.2, и так далее для всего пространства 1.0.0.0/8. Версия IPv6 состояла бы в том, чтобы перевести глобальный адрес в Уникальный Локальный Адрес.
Повышенная безопасность могла быть обеспечена путем частого вращения отображения для адресов, о которых Вы не заботитесь о (как внутренние офисные пользователи, просматривающие Facebook). Внутренне, Ваши числа ULA остались бы такими же так Ваш расщепленный горизонт, DNS продолжит работать просто великолепно, но внешне клиенты никогда не были бы на предсказуемом порте.
Но действительно, это - небольшое количество повышенной безопасности для стычки, которую это создает. Сканирование подсетей IPv6 является действительно большой задачей и неосуществимо без некоторого передовода "против" о том, как IP-адреса присвоены на тех подсетях (метод поколения MAC? Случайный метод? Статическое присвоение человекочитаемых адресов?).
В большинстве случаев, что произойдет, то, что клиенты позади корпоративного брандмауэра получат глобальный адрес, возможно, ULA, и брандмауэр периметра будет установлен отклонить все входящие соединения любого вида к тем адресам. Во всех отношениях, те адреса недостижимы с внешней стороны. После того как внутренний клиент инициирует соединение, пакеты будут позволены через вдоль того соединения. Потребность изменить IP-адрес на что-то совершенно другое обрабатывается, вынуждая взломщика просмотреть 2^64 возможные адреса на той подсети.
Да. NAT мертв. Были некоторые попытки ратифицировать стандарты для NAT по IPv6, но ни одному из них когда-либо успешно начатый.
Это на самом деле вызвало проблемы для поставщиков, которые пытаются соответствовать стандартам PCI-DSS, поскольку в стандарте на самом деле говорится, что необходимо быть позади NAT.
Для меня это - некоторые самые замечательные новости, которые я когда-либо слышал. Я ненавижу NAT, и я ненавижу класс поставщика услуг NAT еще больше.
NAT только когда-либо предназначался, чтобы быть временным решением передать нас, пока IPv6 не стал стандартным, но это стало укоренившимся в интернет-общество.
В течение переходного периода необходимо помнить, что IPv4 и IPv6 кроме аналогичного имени, полностью отличающийся 1. Таким образом, устройства, которые являются Двойным стеком, Ваш IPv4, будут NATted, и Ваш IPv6 не будет. Это почти похоже на наличие двух полностью отдельных устройств, просто упакованных в один кусок пластмассы.
Так, как доступ в Интернет IPv6 работает? Ну, способ, которым Интернет раньше работал перед NAT, был изобретен. Ваш ISP присвоит Вам диапазон IP (то же, как они делают теперь, но они обычно присваивают Вам/32, что означает, что Вы только получаете один IP-адрес), но Ваш диапазон будет теперь иметь миллионы доступных IP-адресов в нем. Вы свободны заполнить эти IP-адреса, когда Вы выбрали (с автоматической конфигурацией или DHCPv6). Каждый из этих IP-адресов будет видим от любого другого компьютера в Интернете.
Звучит страшным, правильно? Ваш контроллер домена, домашние медиа ПК и Ваш iPhone с Вашим скрытым притоном порнографии будут все доступными из Интернета?! Ну, нет. Это - то, для чего брандмауэр. Другая замечательная особенность IPv6 - то, что он вынуждает брандмауэры покинуть, "Позволяют Весь" подход (как большинство домашних устройств) в, "Отклоняют Весь" подход, где Вы открываете сервисы для конкретных IP-адресов. 99,999% домашних пользователей счастливо сохранит их значение по умолчанию брандмауэров и полностью заблокированный вниз, что означает, что никакому незапрашиваемому трафику не позволят войти.
1Ok существует путь больше к нему, чем это, но они никоим образом не совместимы друг с другом, даже при том, что они оба разрешают те же протоколы, работающие на вершине
Отчасти. Существуют на самом деле различные "типы" адресов IPv6. Самое близкое к RFC 1918 (10/8, 172.16/12, 192.168/16) называют "Уникальным локальным адресом" и определяют в RFC 4193:
http://en.wikipedia.org/wiki/Unique_local_address
Таким образом, Вы начинаете с fd00::/8, затем добавьте 40-разрядную строку (использующий предопределенный алгоритм в RFC!), и Вы заканчиваете с псевдослучайным/48 префиксом, который должен быть глобально уникальным. У Вас есть остальная часть адресного пространства для присвоения однако, Вы хотите.
Необходимо также заблокировать fd00::/7 (fc00::/8 и fd00::/8) в Вашем (IPv6) маршрутизатор к за пределами организации — следовательно "локальное" на имя адреса. Эти адреса, в то время как в глобальном адресном пространстве, не должны быть достижимыми к миру в целом, только в Вашей "организации".
Если Вашим серверам PCI-DSS нужен IPv6 для возможности соединения к другим внутренним хостам IPv6, необходимо генерировать префикс ULA для компании и использовать ее с этой целью. Можно использовать автоконфигурацию IPv6 точно так же, как любой другой префикс, если Вы желаете.
Учитывая, что IPv6 был разработан так, чтобы хосты могли иметь несколько адресов, машина может иметь — в дополнение к ULA — глобально routable адрес также. Таким образом, веб-сервер, который должен говорить и с внешним миром, и к внутренне машинам, может иметь и присвоенный ISP адрес префикса и Ваш префикс ULA.
Если бы Вы хотите подобную ТУЗЕМНОМУ функциональность, можно посмотреть на NAT66 также, но в целом я спроектировал бы вокруг ULA. Если у Вас есть дальнейшие вопросы, можно хотеть проверить список рассылки "ipv6-операции-в-секунду".
К вашему сведению любой интересный использует NAT/NAPT с IPv6, может. Все операционные системы BSD, которые имеют поддержку PF NAT66. Работает отлично. Из блога мы использовали:
ipv6, туземный (nat66) FreeBSD pf
хотя nat66 все еще находится под проектом, но FreeBSD pf уже поддерживает его в течение долгого времени.
(отредактируйте pf.conf и введите следующие коды),
v6_wan_if="your-v6-wan-interface-name"
v6_wan_ip="your-v6-wan-ip-address"
no nat on $v6_wan_if inet6 from $v6_wan_ip to any
nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip
Вы все установлены!
Работает отлично для нас людей, которые использовали сквид с единственным IP-адресом в течение многих лет. С IPv6 NAT я могу добраться 2^120 частные адреса (локальный сайт), который включает 2^56 подсети долго с моими 5 / 64 подсети. Это означает, что я должен быть в 100 миллиардов раз более умным, чем какой-либо другой гуру IPv6 здесь, потому что у меня есть больше адресов.:D
Истина - то, что просто, потому что у меня есть больше адресов (или, возможно, использовал IPv6 дольше, чем Вы), действительно не делает IPv6 (или меня для той же проблемы) лучше. Это действительно, однако, делает IPv6 более сложным, где брандмауэр требуется вместо PAT, и NAT больше не является требованием, но является опцией. Цель брандмауэра состоит в том, чтобы позволить все исходящие соединения и сохранить состояние, но блок входящие инициированные соединения.
Что касается NAPT (NAT с PAT), это займет время для вытаскивания людей из мышления. Например, пока мы не можем заставить Вашего прадеда устанавливать свой собственный брандмауэр IPv6 без локального для сайта обращения (частные адреса) и без любой помощи гуру, это могла бы быть хорошая идея играть с возможной идеей NAT, так как это будет всем, что он знает.
Существует огромная сумма беспорядка об этом предмете, поскольку администраторы сети видят NAT в одном свете, и малый бизнес и бытовые потребители видят его в другом. Позвольте мне разъясниться.
Статический NAT (иногда названный непосредственным NAT) не предлагает абсолютно никакой защиты для Вашей частной сети или отдельного ПК. Изменение IP-адреса бессмысленно, что касается защиты.
Динамический Перегруженный NAT/PAT как то, что большинство квартирных шлюзов и Wi-Fi AP делают абсолютно, помогает защитить Вашу частную сеть и/или Ваш ПК. Дизайном таблица NAT в этих устройствах является таблицей состояния. Это отслеживает исходящие запросы и отображает их в таблице NAT - соединения испытывают таймаут после определенного количества времени. Любые незапрашиваемые входящие кадры, которые не соответствуют тому, что находится в таблице NAT, отбрасываются по умолчанию - маршрутизатор NAT не знает, куда отправить их в частной сети, таким образом, это отбрасывает их. Таким образом единственное устройство, которого Вы оставляете уязвимыми для того, чтобы быть взломанным, является Вашим маршрутизатором. Так как большая часть использования безопасности является базирующимся Windows - наличие устройства как это между Интернетом и Вашим Windows, ПК действительно помогает защитить Вашу сеть. Это не может быть первоначально намеченная функция, которая должна была экономить на общедоступном IP, но это сделало задание. В качестве награды большинство этих устройств также имеет возможности брандмауэра, что много раз запросы ICMP блока по умолчанию, который также помогает защитить сеть.
Данный вышеупомянутую информацию, располагающую с NAT, когда перемещение в IPv6 могло подвергнуть миллионы потребителя и устройств малого бизнеса к потенциальному взламыванию. Это будет иметь мало ни к какому влиянию в корпоративных сетях, поскольку они профессионально управляли брандмауэрами в своем краю. Потребитель и сети предприятий малого бизнеса больше не могут возможно иметь *, отклоняют базирующийся маршрутизатор NAT между Интернетом и их ПК. Нет никакой причины, что человек не мог переключить на брандмауэр только решение - намного более безопасный, если развернуто правильно, но также и вне объема того, что понимают 99% потребителей, как сделать. Динамический Перегруженный NAT дает капельку защиты только при помощи его - включают Ваш жилой маршрутизатор, и Вы защищены. Легкий.
Тем не менее нет никакой причины, что NAT не мог использоваться тем же самым способом, которым он используется в IPv4. На самом деле маршрутизатор мог быть разработан, чтобы иметь один адрес IPv6 на порте WAN с частной сетью IPv4 позади него что NAT на него (например). Это было бы простым решением для потребителя и местных людей. Другая опция состоит в том, чтобы поместить все устройства с общедоступным---IP IPv6, промежуточное устройство затем могло действовать как устройство L2, но обеспечить таблицу состояния, проверку пакетов и полностью функционирующий брандмауэр. По существу, никакой NAT, но все еще блокирующий любые незапрашиваемые входящие кадры. Важная вещь помнить состоит в том, что Вы не должны включать свой ПК непосредственно в Ваше соединение WAN без посреднического устройства. Если, конечно, Вы не хотите полагаться на брандмауэр Windows... и это - другое обсуждение. Каждой сети, даже домашним сетям, нужно конечное устройство, защищающее локальную сеть, в дополнение к использованию брандмауэра Windows.
Будет некоторая болезнь роста, перемещающаяся в IPv6, но нет никакой проблемы, которая не сможет быть разрешенной довольно легко. Необходимо ли будет угробить старый шлюз маршрутизаторов IPv4 или квартирный шлюз? Возможно, но будут недорогие новые решения, доступные, когда время настанет. Надо надеяться, многим устройствам просто будет нужна микропрограммная флэш-память. Мог IPv6, разработанный для установки больше беспрепятственно текущей архитектуре? Несомненно, но это - то, что это, и это не уходит - Таким образом, Вы могли бы также изучить это, живут он, любить его.
Я понимаю, что в какой-то момент (о чем можно только догадываться) в будущем региональные адреса IPv4 неизбежно закончатся. Я согласен с тем, что IPv6 имеет серьезные недостатки для пользователей. Проблема NAT чрезвычайно важна, поскольку он по своей сути обеспечивает безопасность, избыточность, конфиденциальность и позволяет пользователям без ограничений подключать почти столько устройств, сколько они хотят. Да, брандмауэр является золотым стандартом против незапрошенного сетевого вторжения, но NAT не только добавляет еще один уровень защиты, он также обычно обеспечивает безопасный дизайн по умолчанию, независимо от конфигурации брандмауэра или знаний конечного пользователя, независимо от того, как вы его определяете IPv4 с NAT и брандмауэром по умолчанию более безопасен, чем IPv6 только с брандмауэром. Другой вопрос - конфиденциальность, наличие маршрутизируемого интернет-адреса на каждом устройстве откроет пользователям все виды потенциальных нарушений конфиденциальности, сбора личной информации и отслеживания способами, которые сегодня вряд ли можно представить в такой массе. Я также считаю, что без Ната мы можем получить дополнительные расходы и контроль через ИСП. Провайдеры могут начать взимать плату на каждом устройстве или на уровне использования пользователя, как мы уже видели с USB-модемом, это значительно уменьшит свободу конечного пользователя по открытому подключению любого устройства, которое они сочтут подходящим для этой линии. На данный момент лишь немногие интернет-провайдеры США предлагают IPv6 в какой-либо форме, и я чувствую, что нетехнические компании будут медленно переходить на него из-за дополнительных затрат с небольшой прибылью или без нее. Безусловно, IPv6 имеет несколько преимуществ без NAT, но с дополнительными сложностями IPv6, не говоря уже о доступности приложений и услуг, а также о многих других проблемах, IPv4 продлится еще как минимум десять лет, если не дольше.
Недавние предложения, выдвинутые для ipv6, предполагают, что инженеры, работающие над новой технологией, будут включать NAT в ipv6 по указанной причине: NAT предлагает дополнительный уровень безопасности
Документация находится на ipv6 .com, поэтому кажется, что все эти ответы о том, что NAT не обеспечивает безопасности, выглядят немного смущенными
RFC 4864 описывает защиту локальной сети IPv6 , набор подходов для обеспечения ощутимых преимуществ NAT в Среда IPv6 без необходимости фактически прибегать к NAT.
В этом документе описан ряд методов, которые могут быть объединены на сайте IPv6 для защиты целостности его сетевой архитектуры. Эти методы, известные под общим названием Защита локальной сети, сохраняют концепцию четко определенной границы между «внутренней» и «внешней» частной сетью и позволяют использовать брандмауэр, скрытие топологии и конфиденциальность. Однако, Поскольку они сохраняют прозрачность адресов там, где это необходимо, они достигают этих целей без недостатка трансляции адресов. Таким образом, защита локальной сети в IPv6 может обеспечить преимущества трансляции сетевых адресов IPv4 без соответствующих недостатков.
Сначала излагаются предполагаемые преимущества NAT (и, при необходимости, разоблачаются их), а затем описываются функции IPv6, которые могут быть использованы для получения тех же преимуществ. Он также содержит примечания по реализации и примеры из практики.
Хотя здесь слишком много для перепечатки, обсуждаются следующие преимущества:
- Простой шлюз между «внутренним» и «внешним»