सबसे पहले और सबसे महत्वपूर्ण, सार्वजनिक आईपी आवंटन होने से डरने की कोई बात नहीं है, इसलिए जब तक आपके सुरक्षा उपकरणों को सही तरीके से कॉन्फ़िगर नहीं किया जाता है।
अगर हमें शारीरिक रूप से अलग नेटवर्क नहीं है, तो मुझे NAT के साथ क्या बदलना चाहिए?
वही चीज जो हम 1980 के बाद से, राउटर और फायरवॉल के साथ शारीरिक रूप से अलग कर रहे हैं। NAT के साथ आपको मिलने वाला एक बड़ा सुरक्षा लाभ यह है कि यह आपको एक डिफ़ॉल्ट-अस्वीकार कॉन्फ़िगरेशन में मजबूर करता है। इसके माध्यम से किसी भी सेवा को प्राप्त करने के लिए , आपको स्पष्ट रूप से छिद्र छिद्र करना होगा। कट्टरपंथी डिवाइस आपको उन छेदों को आईपी-आधारित एसीएल लागू करने की अनुमति देते हैं, जैसे एक फ़ायरवॉल। शायद इसलिए कि उनके पास बॉक्स पर 'फ़ायरवॉल' है, वास्तव में।
सही ढंग से कॉन्फ़िगर किया गया फ़ायरवॉल NAT गेटवे के समान सेवा प्रदान करता है। NAT गेटवे अक्सर उपयोग किए जाते हैं क्योंकि वे अधिकांश फायरवॉल की तुलना में सुरक्षित कॉन्फिग में लाना आसान होते हैं ।
मैंने सुना है कि IPv6 और IPSEC यह सब किसी तरह सुरक्षित करने वाले हैं, लेकिन शारीरिक रूप से अलग किए गए नेटवर्क के बिना जो इन उपकरणों को इंटरनेट के लिए अदृश्य बनाते हैं, मैं वास्तव में नहीं देख सकता कि कैसे।
यह एक गलत धारणा है। मैं एक ऐसे विश्वविद्यालय के लिए काम करता हूं, जिसके पास / १६ आईपीवी ४ आवंटन है, और हमारे आईपी पते की खपत का विशाल, विशाल सार्वजनिक आवंटन है। निश्चित रूप से हमारे सभी अंत उपयोगकर्ता वर्कस्टेशन और प्रिंटर। हमारी RFC1918 खपत नेटवर्क उपकरणों और कुछ विशिष्ट सर्वरों तक सीमित है जहां ऐसे पते की आवश्यकता होती है। मुझे आश्चर्य नहीं होगा यदि आप अभी-अभी सिर्फ कंपकंपी करते हैं, क्योंकि मैंने निश्चित रूप से किया था जब मैंने अपने पहले दिन दिखाया था और अपने आईपी पते के साथ मेरे मॉनिटर पर पोस्ट-इट देखा था।
और फिर भी, हम जीवित रहते हैं। क्यों? क्योंकि हमारे पास सीमित ICMP थ्रूपुट के साथ डिफ़ॉल्ट-इनकार के लिए कॉन्फ़िगर किया गया एक बाहरी फ़ायरवॉल है। सिर्फ इसलिए कि 140.160.123.45 सैद्धांतिक रूप से सुगम्य है, इसका मतलब यह नहीं है कि आप वहां से प्राप्त कर सकते हैं जहां आप सार्वजनिक इंटरनेट पर हैं। यह वही है जो फ़ायरवॉल को करने के लिए डिज़ाइन किया गया था।
सही राउटर कॉन्फ़िगरेशन को देखते हुए, और हमारे आवंटन में अलग-अलग सबनेट एक दूसरे से पूरी तरह से पहुंच से बाहर हो सकते हैं। आप इसे राउटर टेबल या फायरवॉल में कर सकते हैं। यह एक अलग नेटवर्क है और अतीत में हमारे सुरक्षा लेखा परीक्षकों को संतुष्ट किया है।
नरक में कोई रास्ता नहीं है मैं अपने बिलिंग डेटाबेस (बहुत सारे क्रेडिट कार्ड की जानकारी के साथ!) को सभी के लिए इंटरनेट पर देखूंगा।
हमारा बिलिंग डेटाबेस एक सार्वजनिक IPv4 पते पर है, और इसके पूरे अस्तित्व के लिए है, लेकिन हमारे पास इस बात का सबूत है कि आप यहां से वहां नहीं पहुंच सकते। सिर्फ इसलिए कि एक पता सार्वजनिक v4 पर है, लेकिन यह सुगम नहीं है कि यह डिलीवर होने की गारंटी है। इंटरनेट की बुराइयों और वास्तविक डेटाबेस पोर्ट के बीच दो फायरवॉल बुराई को छानते हैं। यहां तक कि मेरे डेस्क से, पहले फ़ायरवॉल के पीछे, मैं उस डेटाबेस से नहीं मिल सकता।
क्रेडिट-कार्ड की जानकारी एक विशेष मामला है। यह PCI-DSS मानकों के अधीन है, और मानकों को सीधे यह बताता है कि ऐसे डेटा वाले सर्वर को NAT गेटवे 1 के पीछे होना चाहिए । हमारे हैं, और ये तीन सर्वर RFC1918 पतों के हमारे कुल सर्वर उपयोग का प्रतिनिधित्व करते हैं। यह किसी भी सुरक्षा को नहीं जोड़ता है, बस जटिलता की एक परत है, लेकिन हमें ऑडिट के लिए उस चेकबॉक्स को जांचना होगा।
मूल "IPv6 NAT को अतीत की बात बना देता है" विचार को आगे रखा गया इससे पहले कि इंटरनेट बूम ने वास्तव में पूरी मुख्यधारा को हिट कर दिया। 1995 में NAT एक छोटे IP आवंटन के आसपास प्राप्त करने के लिए एक वैकल्पिक हल था। 2005 में इसे कई सिक्योरिटी बेस्ट प्रैक्टिस डॉक्यूमेंट में, और कम से कम एक प्रमुख मानक (PCI-DSS विशिष्ट होने के लिए) में निहित किया गया था। केवल NAT लाभ यह देता है कि नेटवर्क पर एक बाहरी इकाई प्रदर्शन करने वाली बाहरी इकाई को यह नहीं पता होता है कि NAT उपकरण के पीछे IP परिदृश्य कैसा दिखता है (हालाँकि RFC1918 के लिए धन्यवाद उनका अच्छा अनुमान है), और NAT-free IPv4 पर (जैसे मेरे काम के रूप में) यह मामला नहीं है। यह रक्षा में गहराई में एक छोटा कदम है, बड़ा नहीं है।
RFC1918 पतों के प्रतिस्थापन को यूनिक लोकल एड्रेस कहा जाता है। RFC1918 की तरह, वे तब तक मार्ग नहीं करते हैं जब तक कि सहकर्मी विशेष रूप से उन्हें मार्ग करने के लिए सहमत न हों। RFC1918 के विपरीत, वे (शायद) विश्व स्तर पर अद्वितीय हैं। IPv6 एड्रेस ट्रांसलेटर्स जो एक ULA को ग्लोबल IP में ट्रांसलेट करते हैं, वे उच्च श्रेणी की परिधि गियर में मौजूद होते हैं, निश्चित रूप से अभी तक SOOSQL में नहीं हैं।
आप सार्वजनिक आईपी पते के साथ ठीक बच सकते हैं। बस ध्यान रखें कि 'सार्वजनिक' 'पहुंच योग्य' की गारंटी नहीं देता है, और आप ठीक हो जाएंगे।
2017 अपडेट
पिछले कुछ महीनों में, अमेज़ॅन एवीएस आईपीवी 6 समर्थन जोड़ रहा है। यह सिर्फ उनके अमेज़ॅन-वीपीसी की पेशकश में जोड़ा गया है , और उनके कार्यान्वयन से कुछ सुराग मिलते हैं कि बड़े पैमाने पर तैनाती कैसे की जाती है।
- आपको / 56 आवंटन (256 सबनेट) दिए जाते हैं।
- आबंटन पूरी तरह से सुगम्य सबनेट है।
- आपसे अपेक्षा की जाती है कि आप अपने फ़ायरवॉल-नियम ( सुरक्षा-समूह ) को उचित रूप से प्रतिबंधित करें।
- कोई NAT नहीं है, यह भी पेश नहीं किया गया है, इसलिए सभी आउटबाउंड ट्रैफ़िक उदाहरण के वास्तविक IP पते से आएंगे।
NAT के सुरक्षा लाभों में से एक को वापस जोड़ने के लिए, वे अब केवल एक इंटरनेट गेटवे की पेशकश कर रहे हैं । यह एक NAT की तरह लाभ प्रदान करता है:
- इसके पीछे के सबनेट को सीधे इंटरनेट से एक्सेस नहीं किया जा सकता है।
यदि कोई गलत फ़ायरवॉल नियम गलती से इनबाउंड ट्रैफ़िक की अनुमति देता है, तो रक्षा-में-गहराई की एक परत प्रदान करता है।
यह प्रस्ताव आंतरिक पते को एकल पते में अनुवाद नहीं करता है जिस तरह से NAT करता है। आउटबाउंड ट्रैफ़िक में अभी भी कनेक्शन खोलने वाले इंस्टेंस का स्रोत आईपी होगा। VPC में श्वेतसूची संसाधनों की तलाश करने वाले फ़ायरवॉल ऑपरेटर विशिष्ट IP पतों के बजाय, श्वेतसूची नेटब्लॉक से बेहतर होंगे।
Routeable हमेशा मतलब यह नहीं है पहुंचा जा सकता ।
1 : PCI-DSS मानकों को अक्टूबर 2010 में बदल दिया गया, RFC1918 पतों को अनिवार्य करने वाला बयान हटा दिया गया, और 'नेटवर्क आइसोलेशन' ने इसे बदल दिया।