Beralih ke IPv6 berarti menjatuhkan NAT. Apakah itu hal yang baik?

Ini adalah Pertanyaan Canonical tentang IPv6 dan NAT

Terkait:

• Bagaimana cara kerja subnetting IPv6 dan bagaimana perbedaannya dengan subnetting IPv4?
• Bagaimana saya bisa 'mencelupkan jari kaki' ke dalam pengalamatan jaringan IPv6 yang dinamis?
• IPv6 tanpa nat tetapi bagaimana dengan perubahan ISP?

Jadi ISP kami telah menyiapkan IPv6 baru-baru ini, dan saya telah mempelajari apa yang harus dilakukan oleh transisi sebelum melompat ke medan perang.

Saya perhatikan tiga masalah yang sangat penting:

1. Router NAT kantor kami (Linksys BEFSR41 lama) tidak mendukung IPv6. Juga tidak ada router baru, AFAICT. Buku yang saya baca tentang IPv6 memberitahu saya bahwa itu membuat NAT "tidak perlu".

2. Jika kita seharusnya menyingkirkan router ini dan menghubungkan semuanya langsung ke Internet, saya mulai panik. Tidak mungkin saya akan meletakkan basis data penagihan kami (Dengan banyak informasi kartu kredit!) Di internet untuk dilihat semua orang. Bahkan jika saya mengusulkan pengaturan firewall Windows di atasnya untuk memungkinkan hanya 6 alamat untuk memiliki akses sama sekali, saya masih berkeringat dingin. Saya tidak mempercayai Windows, firewall Windows, atau jaringan yang pada umumnya cukup nyaman dengan itu.

3. Ada beberapa perangkat keras lama (yaitu, printer) yang sama sekali tidak memiliki kemampuan IPv6 sama sekali. Dan sepertinya daftar masalah keamanan yang berasal dari sekitar tahun 1998. Dan kemungkinan tidak ada cara untuk benar-benar menambalnya dengan cara apa pun. Dan tidak ada dana untuk printer baru.

Saya mendengar bahwa IPv6 dan IPSEC seharusnya membuat semua ini aman, tetapi tanpa jaringan yang terpisah secara fisik yang membuat perangkat ini tidak terlihat oleh Internet, saya benar - benar tidak dapat melihat caranya. Saya juga dapat benar-benar melihat bagaimana pertahanan yang saya buat akan dikuasai dalam waktu singkat. Saya sudah menjalankan server di Internet selama bertahun-tahun sekarang dan saya cukup akrab dengan hal-hal yang diperlukan untuk mengamankannya, tetapi menempatkan sesuatu yang Privat di jaringan seperti database penagihan kami selalu benar-benar keluar dari pertanyaan.

Dengan apa saya harus mengganti NAT, jika kita tidak memiliki jaringan yang terpisah secara fisik?

Pertama dan terpenting, tidak ada yang perlu ditakutkan dari alokasi IP publik, selama perangkat keamanan Anda dikonfigurasi dengan benar.

Dengan apa saya harus mengganti NAT, jika kita tidak memiliki jaringan yang terpisah secara fisik?

Hal yang sama kami secara fisik memisahkan mereka dengan sejak tahun 1980-an, router dan firewall. Satu keuntungan besar keamanan yang Anda dapatkan dengan NAT adalah bahwa hal itu memaksa Anda ke konfigurasi default-deny. Untuk mendapatkan layanan apa pun , Anda harus membuat lubang secara eksplisit . Perangkat yang lebih bagus bahkan memungkinkan Anda untuk menerapkan ACL berbasis IP ke lubang tersebut, seperti firewall. Mungkin karena mereka memiliki 'Firewall' di kotaknya, sebenarnya.

Firewall yang dikonfigurasi dengan benar menyediakan layanan yang sama persis dengan gateway NAT. Gateway NAT sering digunakan karena lebih mudah untuk masuk ke konfigurasi yang aman daripada kebanyakan firewall.

Saya mendengar bahwa IPv6 dan IPSEC seharusnya membuat semua ini aman, tetapi tanpa jaringan yang terpisah secara fisik yang membuat perangkat ini tidak terlihat oleh Internet, saya benar - benar tidak dapat melihat caranya.

Ini adalah kesalahpahaman. Saya bekerja untuk Universitas yang memiliki alokasi IPv4 / 16, dan sebagian besar, sebagian besar konsumsi alamat IP kami ada pada alokasi publik itu. Tentunya semua workstation dan printer pengguna akhir kami. Konsumsi RFC1918 kami terbatas pada perangkat jaringan dan server tertentu tertentu di mana alamat tersebut diperlukan. Saya tidak akan terkejut jika Anda hanya menggigil barusan, karena tentu saja saya lakukan ketika saya muncul di hari pertama saya dan melihat post-it di monitor saya dengan alamat IP saya.

Namun, kita selamat. Mengapa? Karena kami memiliki firewall eksterior yang dikonfigurasi untuk default-deny dengan throughput ICMP terbatas. Hanya karena 140.160.123.45 secara teoritis dapat dilalui, tidak berarti Anda bisa sampai di sana dari mana pun Anda berada di internet publik. Inilah yang dirancang untuk dilakukan oleh firewall.

Dengan adanya konfigurasi router yang tepat, dan subnet yang berbeda dalam alokasi kami dapat benar-benar tidak dapat dijangkau satu sama lain. Anda dapat melakukannya di tabel router atau firewall. Ini adalah jaringan yang terpisah dan telah memuaskan auditor keamanan kami di masa lalu.

Tidak mungkin saya akan meletakkan basis data penagihan kami (Dengan banyak informasi kartu kredit!) Di internet untuk dilihat semua orang.

Database penagihan kami ada di alamat IPv4 publik, dan telah ada selama seluruh keberadaannya, tetapi kami memiliki bukti bahwa Anda tidak bisa sampai di sana dari sini. Hanya karena suatu alamat ada pada daftar rute publik v4 tidak berarti itu dijamin akan dikirimkan. Dua firewall antara kejahatan Internet dan port database aktual menyaring kejahatan. Bahkan dari meja saya, di belakang firewall pertama, saya tidak bisa mendapatkan ke database itu.

Informasi kartu kredit adalah satu kasus khusus. Itu tunduk pada standar PCI-DSS, dan standar menyatakan secara langsung bahwa server yang berisi data tersebut harus berada di belakang gateway NAT ¹ . Kami adalah, dan ketiga server ini mewakili total penggunaan server kami dari alamat RFC1918. Itu tidak menambahkan keamanan apa pun, hanya lapisan kerumitan, tetapi kita perlu memeriksa kotak centang itu untuk audit.

Ide asli "IPv6 membuat NAT menjadi bagian dari masa lalu" telah diajukan sebelum booming Internet benar-benar mencapai arus utama penuh. Pada tahun 1995 NAT adalah solusi untuk menyiasati alokasi IP kecil. Pada tahun 2005 itu diabadikan dalam banyak dokumen Praktik Terbaik Keamanan, dan setidaknya satu standar utama (PCI-DSS lebih spesifik). Satu-satunya manfaat nyata yang NAT berikan adalah bahwa entitas eksternal yang melakukan pengintaian pada jaringan tidak tahu seperti apa lanskap IP di belakang perangkat NAT (meskipun berkat RFC1918 mereka memiliki tebakan yang baik), dan pada IPv4 bebas-NAT (seperti sebagai pekerjaanku) bukan itu masalahnya. Ini adalah langkah kecil dalam pertahanan, bukan yang besar.

Penggantian untuk alamat RFC1918 adalah apa yang disebut Alamat Lokal Unik. Seperti RFC1918, mereka tidak merutekan kecuali rekan-rekan tertentu setuju untuk membiarkan mereka merutekan. Tidak seperti RFC1918, mereka (mungkin) unik secara global. Penerjemah alamat IPv6 yang menerjemahkan ULA ke IP Global memang ada di roda batas perimeter yang lebih tinggi, jelas belum di roda SOHO.

Anda dapat bertahan dengan baik dengan alamat IP publik. Ingatlah bahwa 'publik' tidak menjamin 'terjangkau', dan Anda akan baik-baik saja.

Pembaruan 2017

Dalam beberapa bulan terakhir, Amazon aws telah menambahkan dukungan IPv6. Itu baru saja ditambahkan ke penawaran amazon-vpc mereka, dan implementasi mereka memberikan beberapa petunjuk tentang bagaimana penyebaran skala besar diharapkan akan dilakukan.

• Anda diberi alokasi / 56 (256 subnet).
• Alokasi adalah subnet yang sepenuhnya dapat dilalui.
• Anda diharapkan untuk menetapkan aturan firewall ( grup keamanan ) dengan benar secara terbatas.
• Tidak ada NAT, bahkan tidak ditawarkan, jadi semua lalu lintas keluar akan datang dari alamat IP yang sebenarnya dari instance.

Untuk menambahkan salah satu manfaat keamanan dari NAT, mereka sekarang menawarkan Gateway Internet Egress-only . Ini menawarkan satu manfaat seperti NAT:

• Subnet di belakangnya tidak dapat langsung diakses dari internet.

Yang menyediakan lapisan pertahanan-dalam-dalam, jika aturan firewall yang salah dikonfigurasi secara tidak sengaja memungkinkan lalu lintas masuk.

Tawaran ini tidak menerjemahkan alamat internal menjadi satu alamat seperti yang dilakukan NAT. Lalu lintas keluar masih akan memiliki IP sumber instance yang membuka koneksi. Operator firewall yang mencari sumber daya daftar putih di VPC akan lebih baik dari netblock yang masuk daftar putih, daripada alamat IP tertentu.

Dapat dirute tidak selalu berarti dapat dijangkau .

¹ : Standar PCI-DSS berubah pada Oktober 2010, pernyataan yang mewajibkan alamat RFC1918 dihapus, dan 'isolasi jaringan' menggantikannya.

Router NAT kantor kami (Linksys BEFSR41 lama) tidak mendukung IPv6. Juga tidak ada router baru

IPv6 didukung oleh banyak router. Hanya saja tidak banyak yang murah ditujukan untuk konsumen dan SOHO. Kasus terburuk, cukup gunakan kotak Linux atau flash ulang router Anda dengan dd-wrt atau sesuatu untuk mendapatkan dukungan IPv6. Ada banyak pilihan, Anda mungkin hanya perlu terlihat lebih keras.

Jika kita seharusnya menyingkirkan router ini dan menghubungkan semuanya langsung ke Internet,

Tidak ada tentang transisi ke IPv6 yang menyarankan Anda harus menyingkirkan perangkat keamanan perimeter, seperti router / firewall Anda. Router dan firewall masih akan menjadi komponen yang dibutuhkan hampir setiap jaringan.

Semua router NAT secara efektif bertindak sebagai firewall stateful. Tidak ada keajaiban tentang penggunaan alamat RFC1918 yang melindungi Anda sebanyak itu. Ini adalah bit stateful yang melakukan kerja keras. Firewall yang dikonfigurasi dengan benar akan melindungi Anda juga jika Anda menggunakan alamat asli atau pribadi.

Satu-satunya perlindungan yang Anda dapatkan dari alamat RFC1918 adalah yang memungkinkan orang untuk lolos dari kesalahan / kemalasan dalam konfigurasi firewall Anda dan masih belum terlalu rentan.

Ada beberapa perangkat keras lama (yaitu, printer) yang sama sekali tidak memiliki kemampuan IPv6 sama sekali.

Begitu? Kemungkinan besar Anda tidak perlu membuatnya tersedia melalui Internet, dan di jaringan internal Anda, Anda dapat terus menjalankan IPv4, dan IPv6 hingga semua perangkat Anda didukung atau diganti.

Jika menjalankan banyak protokol bukan opsi, Anda mungkin harus mengatur semacam gateway / proxy.

IPSEC seharusnya membuat semua ini aman entah bagaimana

IPSEC mengenkripsi dan mengotentikasi paket. Ini tidak ada hubungannya dengan menyingkirkan perangkat perbatasan Anda, dan lebih melindungi data dalam perjalanan.

Iya. NAT sudah mati. Ada beberapa upaya untuk meratifikasi standar untuk NAT atas IPv6 tetapi tidak satupun dari mereka yang berhasil.

Ini sebenarnya telah menyebabkan masalah bagi penyedia yang berusaha memenuhi standar PCI-DSS, karena standar tersebut menyatakan bahwa Anda harus berada di belakang NAT.

Bagi saya, ini adalah beberapa berita terindah yang pernah saya dengar. Saya membenci NAT, dan saya bahkan lebih membenci NAT tingkat carrier.

NAT hanya pernah dimaksudkan sebagai solusi bandaid untuk membuat kita melalui sampai IPv6 menjadi standar, tetapi menjadi tertanam ke dalam masyarakat internet.

Untuk masa transisi, Anda harus ingat bahwa IPv4 dan IPv6 terpisah dari nama yang sama, sama sekali berbeda ¹ . Jadi perangkat yang Dual-Stack, IPv4 Anda akan di-NATED dan IPv6 Anda tidak. Ini hampir seperti memiliki dua perangkat yang benar-benar terpisah, hanya dikemas dalam satu bagian plastik.

Jadi, bagaimana cara kerja akses internet IPv6? Nah, cara internet dulu bekerja sebelum NAT ditemukan. ISP Anda akan memberi Anda rentang IP (sama seperti yang mereka lakukan sekarang, tetapi mereka umumnya menetapkan Anda / 32, yang berarti bahwa Anda hanya mendapatkan satu alamat IP), tetapi jangkauan Anda sekarang akan memiliki jutaan alamat IP yang tersedia di dalamnya. Anda bebas mengisi alamat IP ini seperti yang Anda pilih (dengan konfigurasi otomatis atau DHCPv6). Masing-masing alamat IP ini akan terlihat dari komputer lain di internet.

Kedengarannya menakutkan, bukan? Pengontrol domain Anda, PC media rumah, dan iPhone Anda dengan simpanan tersembunyi Anda tentang pornografi semuanya akan dapat diakses dari internet ?! Ya tidak. Untuk itulah firewall digunakan. Fitur hebat lain dari IPv6 adalah ia memaksa firewall dari pendekatan "Izinkan Semua" (seperti kebanyakan perangkat rumah) ke dalam pendekatan "Tolak Semua", di mana Anda membuka layanan untuk alamat IP tertentu. 99,999% pengguna rumahan akan dengan senang hati menjaga firewall mereka tetap default dan benar-benar terkunci, yang berarti bahwa tidak ada trafffic yang tidak diminta akan diizinkan masuk.

¹ _{Ok, ada yang lebih dari itu, tetapi mereka sama sekali tidak kompatibel satu sama lain, meskipun mereka berdua mengizinkan protokol yang sama berjalan di atas}

Persyaratan PCI-DSS untuk NAT dikenal sebagai teater keamanan dan bukan keamanan yang sebenarnya.

PCI-DSS terbaru telah mundur dari memanggil NAT persyaratan mutlak. Banyak organisasi telah lulus audit PCI-DSS dengan IPv4 tanpa NAT menunjukkan firewall yang menyatakan negara sebagai "implementasi keamanan yang setara".

Ada dokumen teater keamanan lain di luar sana yang menyerukan NAT, tetapi, karena menghancurkan jalur audit dan membuat penyelidikan / mitigasi insiden lebih sulit, studi yang lebih mendalam tentang NAT (dengan atau tanpa PAT) menjadi negatif keamanan internet.

Firewall stateful yang bagus tanpa NAT adalah solusi yang jauh lebih unggul dari NAT di dunia IPv6. Dalam IPv4, NAT adalah kejahatan yang perlu ditoleransi demi mengatasi konservasi.

Akan (sayangnya) perlu beberapa saat sebelum Anda dapat pergi dengan jaringan IPv6 satu-tumpukan saja. Sampai saat itu, tumpukan ganda dengan preferensi untuk IPv6 bila tersedia adalah cara untuk dijalankan.

Sementara sebagian besar router konsumen tidak mendukung IPv6 dengan stock firmware saat ini, banyak yang dapat mendukungnya dengan firmware pihak ketiga (mis., Linksys WRT54G dengan dd-wrt, dll.). Juga, banyak perangkat kelas bisnis (Cisco, Juniper) mendukung IPv6 out-of-the-box.

Sangat penting untuk tidak membingungkan PAT (NAT banyak-ke-satu, seperti yang umum pada router konsumen) dengan bentuk-bentuk NAT lainnya, dan dengan firewall bebas-NAT; begitu internet menjadi hanya IPv6, firewall masih akan mencegah pemaparan layanan internal. Demikian juga, sistem IPv4 dengan NAT satu-ke-satu tidak secara otomatis dilindungi; itulah tugas kebijakan firewall.

Ada banyak kebingungan tentang hal ini, karena administrator jaringan melihat NAT dalam satu hal, dan pelanggan bisnis dan perumahan kecil melihatnya di sisi lain. Izinkan saya mengklarifikasi.

NAT statis (kadang-kadang disebut NAT satu-ke-satu) sama sekali tidak menawarkan perlindungan untuk jaringan pribadi Anda atau PC individu. Mengubah alamat IP tidak ada artinya sejauh menyangkut perlindungan.

NAT / PAT Kelebihan Beban Dinamis seperti yang dilakukan kebanyakan gateway perumahan dan wifi AP benar-benar membantu melindungi jaringan pribadi Anda dan / atau PC Anda. Dengan desain tabel NAT di perangkat ini adalah tabel negara. Ini melacak permintaan outbound dan memetakannya di tabel NAT - waktu koneksi habis setelah waktu tertentu. Setiap frame masuk yang tidak diminta yang tidak cocok dengan apa yang ada di tabel NAT dijatuhkan secara default - router NAT tidak tahu ke mana harus mengirimnya ke jaringan pribadi sehingga menjatuhkannya. Dengan cara ini, satu-satunya perangkat yang Anda tinggalkan untuk diretas adalah router Anda. Karena sebagian besar eksploitasi keamanan berbasis Windows - memiliki perangkat seperti ini antara internet dan PC Windows Anda sangat membantu melindungi jaringan Anda. Ini mungkin bukan fungsi yang dimaksudkan semula, yang untuk menghemat IP publik, tetapi mendapatkan pekerjaan. Sebagai bonus, sebagian besar perangkat ini juga memiliki kemampuan firewall yang berkali-kali memblokir permintaan ICMP, yang juga membantu melindungi jaringan.

Dengan informasi di atas, membuang dengan NAT ketika pindah ke IPv6 dapat membuat jutaan perangkat konsumen dan bisnis kecil berpotensi melakukan peretasan. Ini akan sedikit atau tidak berpengaruh pada jaringan perusahaan karena mereka telah secara profesional mengelola firewall di ujung mereka. Jaringan konsumen dan bisnis kecil mungkin tidak lagi memiliki router NAT berbasis * nix antara internet dan PC mereka. Tidak ada alasan bahwa seseorang tidak dapat beralih ke solusi firewall saja - jauh lebih aman jika digunakan dengan benar, tetapi juga di luar lingkup apa yang 99% konsumen pahami bagaimana melakukannya. Dynamic Overloaded NAT memberikan sedikit perlindungan hanya dengan menggunakannya - tancapkan router perumahan Anda dan Anda terlindungi. Mudah.

Yang mengatakan, tidak ada alasan bahwa NAT tidak dapat digunakan dengan cara yang persis sama seperti yang digunakan di IPv4. Bahkan, sebuah router dapat dirancang untuk memiliki satu alamat IPv6 pada port WAN dengan jaringan pribadi IPv4 di belakangnya yang dimasukkan NAT (misalnya). Ini akan menjadi solusi sederhana bagi konsumen dan orang-orang perumahan. Pilihan lain adalah untuk menempatkan semua perangkat dengan IPv6 IP publik --- perangkat perantara kemudian dapat bertindak sebagai perangkat L2, tetapi menyediakan tabel keadaan, inspeksi paket, dan firewall yang berfungsi penuh. Pada dasarnya, tidak ada NAT, tetapi masih memblokir frame masuk yang tidak diminta. Yang penting untuk diingat adalah bahwa Anda tidak harus mencolokkan PC Anda langsung ke koneksi WAN Anda tanpa perangkat perantara. Kecuali tentu saja Anda ingin mengandalkan firewall Windows. . . dan itu diskusi yang berbeda.

Akan ada beberapa rasa sakit yang tumbuh pindah ke IPv6, tetapi tidak ada masalah yang tidak akan dapat diselesaikan dengan cukup mudah. Apakah Anda harus membuang router IPv4 lama Anda atau gateway perumahan? Mungkin, tetapi akan ada solusi baru yang murah tersedia ketika saatnya tiba. Semoga banyak perangkat hanya membutuhkan flash firmware. Bisakah IPv6 dirancang agar lebih pas dengan arsitektur saat ini? Tentu, tetapi ini adalah apa adanya dan itu tidak akan hilang - Jadi Anda bisa mempelajarinya, menjalaninya, menyukainya.

Jika NAT bertahan di dunia IPv6, kemungkinan besar akan menjadi 1: 1 NAT. Suatu bentuk NAT yang tidak pernah terlihat di ruang IPv4. Apa itu NAT 1: 1? Ini adalah terjemahan 1: 1 dari alamat global ke alamat lokal. Setara IPv4 akan menerjemahkan semua koneksi ke 1.1.1.2 hanya menjadi 10.1.1.2, dan seterusnya untuk seluruh ruang 1.0.0.0/8. Versi IPv6 akan menerjemahkan alamat global ke Alamat Lokal Unik.

Keamanan yang ditingkatkan dapat diberikan dengan sering memutar pemetaan untuk alamat yang tidak Anda pedulikan (seperti pengguna kantor internal yang menjelajah Facebook). Secara internal, nomor ULA Anda akan tetap sama sehingga DNS split-horizon Anda akan terus berfungsi dengan baik, tetapi secara eksternal klien tidak akan pernah berada pada port yang dapat diprediksi.

Tapi sungguh, itu sejumlah kecil peningkatan keamanan untuk kerumitan yang diciptakannya. Memindai subnet IPv6 adalah tugas yang sangat besar dan tidak mungkin dilakukan tanpa beberapa pengintaian tentang bagaimana alamat IP ditetapkan pada subnet tersebut (metode pembangkitan MAC? Metode acak? Penugasan statis dari alamat yang dapat dibaca manusia?).

Dalam kebanyakan kasus, yang akan terjadi adalah klien di balik firewall perusahaan akan mendapatkan alamat global, mungkin ULA, dan firewall perimeter akan ditetapkan untuk menolak semua koneksi apa pun yang masuk ke alamat tersebut. Untuk semua maksud dan tujuan, alamat-alamat itu tidak dapat dijangkau dari luar. Setelah klien internal memulai koneksi, paket akan diizinkan melalui koneksi itu. Kebutuhan untuk mengubah alamat IP ke sesuatu yang sama sekali berbeda ditangani dengan memaksa penyerang untuk membuka 2 ^ 64 kemungkinan alamat pada subnet itu.

RFC 4864 menjelaskan IPv6 Local Network Protection , serangkaian pendekatan untuk memberikan manfaat yang dirasakan dari NAT di lingkungan IPv6, tanpa benar-benar harus menggunakan NAT.

Dokumen ini telah menjelaskan sejumlah teknik yang dapat digabungkan pada situs IPv6 untuk melindungi integritas arsitektur jaringannya. Teknik-teknik ini, dikenal secara kolektif sebagai Perlindungan Jaringan Lokal, mempertahankan konsep batas yang jelas antara "di dalam" dan "di luar" jaringan pribadi dan memungkinkan firewall, penyembunyian topologi, dan privasi. Namun, karena mereka menjaga transparansi alamat di mana diperlukan, mereka mencapai tujuan ini tanpa merugikan terjemahan alamat. Dengan demikian, Perlindungan Jaringan Lokal di IPv6 dapat memberikan manfaat dari Penerjemahan Alamat Jaringan IPv4 tanpa kerugian yang sesuai.

Pertama-tama menjabarkan apa manfaat yang dirasakan dari NAT (dan menghilangkannya jika diperlukan), kemudian menjelaskan fitur-fitur IPv6 yang dapat digunakan untuk memberikan manfaat yang sama. Ini juga menyediakan catatan implementasi dan studi kasus.

Meskipun terlalu lama untuk dicetak ulang di sini, manfaat yang dibahas adalah:

• Gerbang sederhana antara "di dalam" dan "di luar"
• Firewall stateful
• Pelacakan pengguna / aplikasi
• Privasi dan menyembunyikan topologi
• Kontrol independen pengalamatan dalam jaringan pribadi
• Multihoming / dinomori ulang

Ini cukup banyak mencakup semua skenario di mana orang mungkin menginginkan NAT dan menawarkan solusi untuk mengimplementasikannya di IPv6 tanpa NAT.

Beberapa teknologi yang akan Anda gunakan adalah:

• Alamat lokal yang unik: Pilih ini di jaringan internal Anda untuk menjaga komunikasi internal Anda tetap internal dan untuk memastikan bahwa komunikasi internal dapat berlanjut bahkan jika ISP mengalami gangguan.
• Ekstensi privasi IPv6 dengan masa hidup alamat pendek dan pengenal antarmuka yang tidak terstruktur jelas: Ini membantu mencegah serangan terhadap host individu dan pemindaian subnet.
• IGP, Mobile IPv6 atau VLAN dapat digunakan untuk menyembunyikan topologi jaringan internal.
• Seiring dengan ULA, DHCP-PD dari ISP membuat penomoran ulang / multihoming lebih mudah daripada dengan IPv4.

( Lihat RFC untuk rincian lengkap; sekali lagi, terlalu lama untuk mencetak ulang atau bahkan mengambil kutipan penting dari.)

Untuk diskusi yang lebih umum tentang keamanan transisi IPv6, lihat RFC 4942 .

Agak. Sebenarnya ada "jenis" alamat IPv6 yang berbeda. Yang paling dekat dengan RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) disebut "Alamat lokal unik" dan didefinisikan dalam RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Jadi Anda mulai dengan fd00 :: / 8, kemudian tambahkan string 40-bit (menggunakan algoritma yang telah ditentukan sebelumnya dalam RFC!), Dan Anda berakhir dengan awalan pseudo-random / 48 yang harus unik secara global. Anda memiliki sisa ruang alamat untuk ditetapkan sesuai keinginan Anda.

Anda juga harus memblokir fd00 :: / 7 (fc00 :: / 8 dan fd00 :: / 8) di router (IPv6) Anda ke luar organisasi Anda — karenanya "lokal" pada nama alamat. Alamat-alamat ini, saat berada di ruang alamat global, seharusnya tidak dapat dijangkau oleh dunia pada umumnya, hanya dengan "organisasi" Anda.

Jika server PCI-DSS Anda membutuhkan IPv6 untuk konektivitas ke host IPv6 internal lainnya, Anda harus membuat awalan ULA untuk perusahaan Anda dan menggunakannya untuk tujuan ini. Anda dapat menggunakan konfigurasi otomatis IPv6 seperti awalan lainnya jika diinginkan.

Mengingat bahwa IPv6 dirancang agar host dapat memiliki beberapa alamat, sebuah mesin dapat memiliki — selain ULA — alamat yang dapat dirutekan secara global juga. Jadi server web yang perlu berbicara dengan dunia luar, dan dengan mesin internal, dapat memiliki alamat prefex yang ditetapkan ISP dan awalan ULA Anda.

Jika Anda ingin fungsionalitas seperti NAT Anda dapat melihat NAT66 juga, tetapi secara umum saya akan arsitek di sekitar ULA. Jika Anda memiliki pertanyaan lebih lanjut, Anda mungkin ingin memeriksa milis "ipv6-ops".

IMHO: tidak.

Masih ada beberapa tempat di mana SNAT / DNAT dapat bermanfaat. Sebagai contoh, beberapa server dipindahkan ke jaringan lain, tetapi kami tidak ingin / kami tidak dapat mengubah IP aplikasi.

Semoga, NAT akan pergi selamanya. Ini berguna hanya ketika Anda memiliki kelangkaan alamat IP dan tidak memiliki fitur keamanan yang tidak disediakan lebih baik, lebih murah dan lebih mudah dikelola oleh firewall stateful.

Karena IPv6 = tidak ada lagi kelangkaan, itu berarti kita dapat membersihkan dunia peretasan jelek yang adalah NAT.

Saya belum melihat jawaban pasti tentang bagaimana hilangnya NAT (jika benar-benar hilang) dengan IPv6 akan mempengaruhi privasi pengguna.

Dengan masing-masing alamat IP perangkat terbuka untuk umum, akan lebih mudah bagi layanan web untuk memantau (mengumpulkan, menyimpan, mengumpulkan dari waktu ke waktu dan ruang serta situs, dan memfasilitasi banyak penggunaan sekunder) perjalanan Anda di internet dari berbagai perangkat Anda. Kecuali ... ISP, router, dan peralatan lain memungkinkan dan mudah untuk memiliki alamat IPv6 dinamis yang dapat sering diubah untuk setiap perangkat.

Tentu saja tidak peduli apa kita masih akan memiliki masalah alamat MAC wi-fi statis menjadi publik, tapi itu cerita lain ...

Ada banyak skema untuk mendukung NAT dalam skenario transisi V4 ke V6. Namun, jika Anda memiliki semua jaringan IPV6 dan terhubung ke penyedia IPV6 hulu, NAT bukan bagian dari tatanan dunia baru, kecuali bahwa Anda dapat terowongan antara jaringan V4 melalui jaringan V6.

Cisco memiliki banyak informasi umum tentang skenario, migrasi, dan penerowongan 4to6.

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

Juga di Wikipedia:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

Politik dan praktik bisnis dasar kemungkinan besar akan lebih lanjut keberadaan NAT. Banyaknya alamat IPv6 berarti ISP akan tergoda untuk mengisi daya per perangkat atau membatasi koneksi hanya untuk sejumlah perangkat terbatas. Lihat artikel terbaru ini di /. sebagai contoh:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

FYI, siapa pun yang menarik menggunakan NAT / NAPT dengan IPV6 bisa. Semua sistem operasi BSD yang memiliki PF mendukung NAT66. Bagus sekali. Dari blog yang kami gunakan :

ipv6 nat (nat66) oleh FreeBSD hal

walaupun nat66 masih dalam konsep, tetapi FreeBSD pf sudah mendukungnya untuk waktu yang lama.

(edit pf.conf dan masukkan kode berikut)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

Anda sudah siap!

Bekerja sangat baik untuk kita orang-orang yang telah menggunakan cumi-cumi dengan satu alamat IP selama bertahun-tahun. Dengan IPv6 NAT, saya bisa mendapatkan 2 ^ 120 alamat pribadi (situs lokal) yang mencakup 2 ^ 56 subnet panjang dengan subnet 5/64 saya. Itu berarti saya harus 100 miliar kali lebih pintar daripada guru IPv6 lainnya di sini karena saya memiliki lebih banyak alamat ::D

Yang benar adalah bahwa hanya karena saya memiliki lebih banyak alamat (atau mungkin telah menggunakan IPv6 lebih lama dari Anda), benar-benar tidak membuat IPv6 (atau saya untuk masalah yang sama) lebih baik. Itu, bagaimanapun, membuat IPv6 lebih kompleks di mana firewall diperlukan di tempat PAT dan NAT tidak lagi persyaratan, tetapi merupakan pilihan. Tujuan firewall adalah untuk memungkinkan semua koneksi keluar dan mempertahankan status, tetapi memblokir koneksi yang dimulai.

Adapun NAPT (NAT dengan PAT), akan membutuhkan waktu untuk membuat orang keluar dari pola pikir. Sebagai contoh, sampai kita dapat meminta kakek buyut Anda untuk mengatur firewall IPv6-nya sendiri tanpa pengalamatan situs-lokal (alamat pribadi) dan tanpa bantuan guru, mungkin merupakan ide yang baik untuk memikirkan kemungkinan ide NAT karena itu akan menjadi semua yang dia tahu.

Proposal terbaru yang diajukan untuk ipv6 telah menyarankan insinyur yang bekerja pada teknologi baru akan memasukkan NAT ke dalam ipv6, alasan yang diberikan: NAT menawarkan lapisan keamanan tambahan

Dokumentasinya ada di situs web ipv6.com, jadi sepertinya semua jawaban ini menyatakan bahwa NAT tidak menawarkan keamanan yang terlihat sedikit malu

Saya menyadari bahwa di beberapa titik masa depan (yang hanya dapat berspekulasi) alamat IPv4 regional pasti akan habis. Saya setuju IPv6 memiliki beberapa kelemahan pengguna yang serius. Masalah NAT sangat penting karena memang secara inheren menyediakan keamanan, redundansi, privasi, dan memungkinkan pengguna untuk menghubungkan hampir sebanyak perangkat yang mereka inginkan tanpa batasan. Ya, firewall adalah standar emas terhadap intrusi jaringan yang tidak diminta, tetapi NAT tidak hanya menambahkan lapisan perlindungan lainnya, tetapi juga umumnya menyediakan desain yang aman secara default terlepas dari konfigurasi firewall atau pengetahuan pengguna di sana, tidak peduli bagaimana Anda mendefinisikannya IPv4 dengan NAT dan firewall masih lebih aman secara default daripada IPv6 dengan hanya firewall. Masalah lain adalah privasi, memiliki alamat perutean internet di setiap perangkat akan membuka pengguna untuk semua jenis potensi pelanggaran privasi, pengumpulan informasi pribadi dan pelacakan dengan cara yang hampir tidak dapat dibayangkan saat ini dalam jumlah besar. Saya juga berpendapat bahwa tanpa Nat kita dapat dibuka untuk menambah biaya dan mengendalikan melalui ISP. Isp dapat mulai mengisi daya pada per perangkat atau per tingkat penggunaan pengguna seperti yang telah kita lihat dengan tethering USB, ini akan sangat mengurangi kebebasan pengguna akhir untuk secara terbuka menghubungkan perangkat apa pun yang mereka anggap cocok di jalur yang ada. Sampai sekarang beberapa ISP AS menawarkan IPv6 dalam bentuk apa pun dan saya merasa bisnis non-tech akan lambat untuk beralih karena biaya tambahan dengan sedikit atau tanpa nilai yang didapat.