IPv6 पर स्विच करने का अर्थ है NAT को छोड़ना। क्या वह अच्छी चीज़ है?


109

यह IPv6 और NAT के बारे में एक कैननिकल प्रश्न है

सम्बंधित:

इसलिए हमारे ISP ने हाल ही में IPv6 की स्थापना की है, और मैं यह अध्ययन कर रहा हूं कि चुनाव मैदान में कूदने से पहले क्या बदलाव करना चाहिए।

मैंने तीन महत्वपूर्ण मुद्दों पर ध्यान दिया है:

  1. हमारा कार्यालय NAT राउटर (एक पुराना Linksys BEFSR41) IPv6 का समर्थन नहीं करता है। न ही कोई नया राउटर, AFAICT। IPv6 के बारे में मैं जो किताब पढ़ रहा हूं, वह बताती है कि यह NAT को वैसे भी "अनावश्यक" बनाती है।

  2. अगर हम सिर्फ इस राउटर से छुटकारा पाने और सब कुछ सीधे इंटरनेट पर प्लग करने वाले हैं, तो मुझे घबराहट होने लगती है। नरक में कोई रास्ता नहीं है मैं अपने बिलिंग डेटाबेस (बहुत सारे क्रेडिट कार्ड की जानकारी के साथ!) को सभी के लिए इंटरनेट पर देखूंगा। यहां तक ​​कि अगर मैं उस पर विंडोज 'फ़ायरवॉल स्थापित करने का प्रस्ताव करने के लिए केवल 6 पते की अनुमति देने के लिए किसी भी उपयोग किया गया था, मैं अभी भी एक ठंडे पसीने में बाहर तोड़। मुझे विश्वास नहीं है कि विंडोज, विंडोज के फ़ायरवॉल, या बड़े पैमाने पर नेटवर्क भी दूर से उस के साथ सहज हो।

  3. कुछ पुराने हार्डवेयर डिवाइस (यानी, प्रिंटर) हैं जिनकी बिल्कुल भी IPv6 क्षमता नहीं है। और संभावना है कि सुरक्षा के मुद्दों की एक कपड़े धोने की सूची जो 1998 के आसपास की तारीख है। और वास्तव में उन्हें किसी भी तरह से पैच करने का कोई तरीका नहीं है। और नए प्रिंटर के लिए कोई फंडिंग नहीं।

मैंने सुना है कि IPv6 और IPSEC यह सब किसी तरह सुरक्षित करने वाले हैं, लेकिन शारीरिक रूप से अलग किए गए नेटवर्क के बिना जो इन उपकरणों को इंटरनेट के लिए अदृश्य बनाते हैं, मैं वास्तव में नहीं देख सकता कि कैसे। मैं वास्तव में यह देख सकता हूं कि मेरे द्वारा बनाए गए किसी भी बचाव को कम क्रम में कैसे समाप्त किया जाएगा। मैं वर्षों से इंटरनेट पर सर्वर चला रहा हूं और मैं उन चीजों को सुरक्षित करने के लिए आवश्यक चीजों से काफी परिचित हूं, लेकिन हमारे बिलिंग डेटाबेस की तरह नेटवर्क पर कुछ निजी रखना हमेशा से पूरी तरह से प्रश्न से बाहर रहा है।

अगर हमें शारीरिक रूप से अलग नेटवर्क नहीं है, तो मुझे NAT के साथ क्या बदलना चाहिए?


9
क्या आप इसे पुनः पूछने का प्रयास कर सकते हैं? अभी यह काफी तर्कपूर्ण लगता है।
ज़ॉकेडैच

9
जिन चीजों के बारे में आप हैरान हैं , वे मौजूद नहीं हैं। शायद आपको अपने सवाल का इस तरह से सुधार करना चाहिए कि आप जिन बातों को मानते हैं, वे तथ्य हैं और हमें उनकी पुष्टि करने के लिए कहें। उन चीजों के बारे में शिकायत करने के बजाय जिन्हें आपने मान लिया है, एक निश्चित तरीके से काम करेंगे।
Zoredache

25
इसके अलावा - आप क्रेडिट कार्ड की जानकारी संग्रहीत कर रहे हैं? और आपके पास सुरक्षा के बारे में यह कई सवाल हैं? क्या आपने कभी PCI ऑडिट पास किया है? या क्या आप क्रेडिट कार्ड के विवरण को संग्रहीत करके अपना अनुबंध तोड़ रहे हैं? आप इस पर ध्यान देना चाहते हैं, जल्दबाजी।
mfinni

4
मैं अच्छे विवेक के साथ वोट-डाउन या वोट-टू-क्लोज़ नहीं कर सकता, या तो इस आधार पर कि पोस्टर बीमार है (निश्चित रूप से यह साइट का आधा बिंदु है)। दी, एक गलत धारणा के आधार पर ओपी एक बड़े स्पर्शरेखा पर जा रहा है, और सवाल फिर से लिख सकता है।
क्रिस थोरपे

3
IPv6 के लक्ष्यों में से कोई भी "NAT" नहीं है। हालांकि, ऐसा लगता है (कम से कम यहां) कि वास्तव में IPv6 की पेशकश में रुचि बहुत बड़ी नहीं है, डेटासेंटर को छोड़कर (क्योंकि बड़े पैकेट का मतलब अधिक बैंडविड्थ है, और अधिक बैंडविड्थ का मतलब उनके लिए अधिक पैसा है!)। DSL के लिए यह विपरीत है, हालांकि, बहुत अधिक लोगों के पास फ्लैट है, इसलिए IPv6 का अर्थ केवल प्रदाताओं के लिए अधिक परेशानी और अधिक लागत है।
dm.skt

जवाबों:


185

सबसे पहले और सबसे महत्वपूर्ण, सार्वजनिक आईपी आवंटन होने से डरने की कोई बात नहीं है, इसलिए जब तक आपके सुरक्षा उपकरणों को सही तरीके से कॉन्फ़िगर नहीं किया जाता है।

अगर हमें शारीरिक रूप से अलग नेटवर्क नहीं है, तो मुझे NAT के साथ क्या बदलना चाहिए?

वही चीज जो हम 1980 के बाद से, राउटर और फायरवॉल के साथ शारीरिक रूप से अलग कर रहे हैं। NAT के साथ आपको मिलने वाला एक बड़ा सुरक्षा लाभ यह है कि यह आपको एक डिफ़ॉल्ट-अस्वीकार कॉन्फ़िगरेशन में मजबूर करता है। इसके माध्यम से किसी भी सेवा को प्राप्त करने के लिए , आपको स्पष्ट रूप से छिद्र छिद्र करना होगा। कट्टरपंथी डिवाइस आपको उन छेदों को आईपी-आधारित एसीएल लागू करने की अनुमति देते हैं, जैसे एक फ़ायरवॉल। शायद इसलिए कि उनके पास बॉक्स पर 'फ़ायरवॉल' है, वास्तव में।

सही ढंग से कॉन्फ़िगर किया गया फ़ायरवॉल NAT गेटवे के समान सेवा प्रदान करता है। NAT गेटवे अक्सर उपयोग किए जाते हैं क्योंकि वे अधिकांश फायरवॉल की तुलना में सुरक्षित कॉन्फिग में लाना आसान होते हैं ।

मैंने सुना है कि IPv6 और IPSEC यह सब किसी तरह सुरक्षित करने वाले हैं, लेकिन शारीरिक रूप से अलग किए गए नेटवर्क के बिना जो इन उपकरणों को इंटरनेट के लिए अदृश्य बनाते हैं, मैं वास्तव में नहीं देख सकता कि कैसे।

यह एक गलत धारणा है। मैं एक ऐसे विश्वविद्यालय के लिए काम करता हूं, जिसके पास / १६ आईपीवी ४ आवंटन है, और हमारे आईपी पते की खपत का विशाल, विशाल सार्वजनिक आवंटन है। निश्चित रूप से हमारे सभी अंत उपयोगकर्ता वर्कस्टेशन और प्रिंटर। हमारी RFC1918 खपत नेटवर्क उपकरणों और कुछ विशिष्ट सर्वरों तक सीमित है जहां ऐसे पते की आवश्यकता होती है। मुझे आश्चर्य नहीं होगा यदि आप अभी-अभी सिर्फ कंपकंपी करते हैं, क्योंकि मैंने निश्चित रूप से किया था जब मैंने अपने पहले दिन दिखाया था और अपने आईपी पते के साथ मेरे मॉनिटर पर पोस्ट-इट देखा था।

और फिर भी, हम जीवित रहते हैं। क्यों? क्योंकि हमारे पास सीमित ICMP थ्रूपुट के साथ डिफ़ॉल्ट-इनकार के लिए कॉन्फ़िगर किया गया एक बाहरी फ़ायरवॉल है। सिर्फ इसलिए कि 140.160.123.45 सैद्धांतिक रूप से सुगम्य है, इसका मतलब यह नहीं है कि आप वहां से प्राप्त कर सकते हैं जहां आप सार्वजनिक इंटरनेट पर हैं। यह वही है जो फ़ायरवॉल को करने के लिए डिज़ाइन किया गया था।

सही राउटर कॉन्फ़िगरेशन को देखते हुए, और हमारे आवंटन में अलग-अलग सबनेट एक दूसरे से पूरी तरह से पहुंच से बाहर हो सकते हैं। आप इसे राउटर टेबल या फायरवॉल में कर सकते हैं। यह एक अलग नेटवर्क है और अतीत में हमारे सुरक्षा लेखा परीक्षकों को संतुष्ट किया है।

नरक में कोई रास्ता नहीं है मैं अपने बिलिंग डेटाबेस (बहुत सारे क्रेडिट कार्ड की जानकारी के साथ!) को सभी के लिए इंटरनेट पर देखूंगा।

हमारा बिलिंग डेटाबेस एक सार्वजनिक IPv4 पते पर है, और इसके पूरे अस्तित्व के लिए है, लेकिन हमारे पास इस बात का सबूत है कि आप यहां से वहां नहीं पहुंच सकते। सिर्फ इसलिए कि एक पता सार्वजनिक v4 पर है, लेकिन यह सुगम नहीं है कि यह डिलीवर होने की गारंटी है। इंटरनेट की बुराइयों और वास्तविक डेटाबेस पोर्ट के बीच दो फायरवॉल बुराई को छानते हैं। यहां तक ​​कि मेरे डेस्क से, पहले फ़ायरवॉल के पीछे, मैं उस डेटाबेस से नहीं मिल सकता।

क्रेडिट-कार्ड की जानकारी एक विशेष मामला है। यह PCI-DSS मानकों के अधीन है, और मानकों को सीधे यह बताता है कि ऐसे डेटा वाले सर्वर को NAT गेटवे 1 के पीछे होना चाहिए । हमारे हैं, और ये तीन सर्वर RFC1918 पतों के हमारे कुल सर्वर उपयोग का प्रतिनिधित्व करते हैं। यह किसी भी सुरक्षा को नहीं जोड़ता है, बस जटिलता की एक परत है, लेकिन हमें ऑडिट के लिए उस चेकबॉक्स को जांचना होगा।


मूल "IPv6 NAT को अतीत की बात बना देता है" विचार को आगे रखा गया इससे पहले कि इंटरनेट बूम ने वास्तव में पूरी मुख्यधारा को हिट कर दिया। 1995 में NAT एक छोटे IP आवंटन के आसपास प्राप्त करने के लिए एक वैकल्पिक हल था। 2005 में इसे कई सिक्योरिटी बेस्ट प्रैक्टिस डॉक्यूमेंट में, और कम से कम एक प्रमुख मानक (PCI-DSS विशिष्ट होने के लिए) में निहित किया गया था। केवल NAT लाभ यह देता है कि नेटवर्क पर एक बाहरी इकाई प्रदर्शन करने वाली बाहरी इकाई को यह नहीं पता होता है कि NAT उपकरण के पीछे IP परिदृश्य कैसा दिखता है (हालाँकि RFC1918 के लिए धन्यवाद उनका अच्छा अनुमान है), और NAT-free IPv4 पर (जैसे मेरे काम के रूप में) यह मामला नहीं है। यह रक्षा में गहराई में एक छोटा कदम है, बड़ा नहीं है।

RFC1918 पतों के प्रतिस्थापन को यूनिक लोकल एड्रेस कहा जाता है। RFC1918 की तरह, वे तब तक मार्ग नहीं करते हैं जब तक कि सहकर्मी विशेष रूप से उन्हें मार्ग करने के लिए सहमत न हों। RFC1918 के विपरीत, वे (शायद) विश्व स्तर पर अद्वितीय हैं। IPv6 एड्रेस ट्रांसलेटर्स जो एक ULA को ग्लोबल IP में ट्रांसलेट करते हैं, वे उच्च श्रेणी की परिधि गियर में मौजूद होते हैं, निश्चित रूप से अभी तक SOOSQL में नहीं हैं।

आप सार्वजनिक आईपी पते के साथ ठीक बच सकते हैं। बस ध्यान रखें कि 'सार्वजनिक' 'पहुंच योग्य' की गारंटी नहीं देता है, और आप ठीक हो जाएंगे।


2017 अपडेट

पिछले कुछ महीनों में, अमेज़ॅन आईपीवी 6 समर्थन जोड़ रहा है। यह सिर्फ उनके की पेशकश में जोड़ा गया है , और उनके कार्यान्वयन से कुछ सुराग हैं कि बड़े पैमाने पर तैनाती कैसे की जाती है।

  • आपको / 56 आवंटन (256 सबनेट) दिए जाते हैं।
  • आबंटन पूरी तरह से सुगम्य सबनेट है।
  • आपसे अपेक्षा की जाती है कि आप अपने फ़ायरवॉल-नियम ( ) को उचित रूप से प्रतिबंधित करें।
  • कोई NAT नहीं है, यह भी पेश नहीं किया गया है, इसलिए सभी आउटबाउंड ट्रैफ़िक उदाहरण के वास्तविक IP पते से आएंगे।

NAT के सुरक्षा लाभों में से एक को वापस जोड़ने के लिए, वे अब केवल एक इंटरनेट गेटवे की पेशकश कर रहे हैं । यह एक NAT की तरह लाभ प्रदान करता है:

  • इसके पीछे के सबनेट को सीधे इंटरनेट से एक्सेस नहीं किया जा सकता है।

यदि कोई गलत फ़ायरवॉल नियम गलती से इनबाउंड ट्रैफ़िक की अनुमति देता है, तो रक्षा-में-गहराई की एक परत प्रदान करता है।

यह प्रस्ताव आंतरिक पते को एकल पते में अनुवाद नहीं करता है जिस तरह से NAT करता है। आउटबाउंड ट्रैफ़िक में अभी भी कनेक्शन खोलने वाले इंस्टेंस का स्रोत आईपी होगा। VPC में श्वेतसूची संसाधनों की तलाश करने वाले फ़ायरवॉल ऑपरेटर विशिष्ट IP पतों के बजाय, श्वेतसूची नेटब्लॉक से बेहतर होंगे।

Routeable हमेशा मतलब यह नहीं है पहुंचा जा सकता


1 : PCI-DSS मानकों को अक्टूबर 2010 में बदल दिया गया, RFC1918 पतों को अनिवार्य करने वाला बयान हटा दिया गया, और 'नेटवर्क आइसोलेशन' ने इसे बदल दिया।


1
मैंने इसे स्वीकृत के रूप में चिह्नित किया है क्योंकि यह अधिक पूर्ण उत्तर है। मुझे लगता है कि जब से मैंने पढ़ा है कि हर फ़ायरवॉल कॉन्फ़िगरेशन टोम के बाद से (जब मैं 1997 के बाद से, जब मैं इस क्षेत्र में शुरू हुआ था, और जिसमें फ्रीबीएसडी फ़ायरवॉल बनाना शामिल है) ने RFC1918 के उपयोग पर जोर दिया है, यह वास्तव में कोई मतलब नहीं था मेरे लिए। जब हम IPv4 पतों से बाहर निकलते हैं तो निश्चित रूप से एक ISP के रूप में हम अंत उपयोगकर्ताओं और उनके सस्ते राउटर के साथ कुछ मुद्दे रखने जा रहे हैं, और यह जल्द ही दूर नहीं होगा।
Ernie

"IPv6 एड्रेस ट्रांसलेटर्स जो एक ULA को ग्लोबल IP में ट्रांसलेट करते हैं, वे उच्च श्रेणी की परिधि गियर में मौजूद होते हैं, निश्चित रूप से SOHO गियर में नहीं हैं।"
पीटर ग्रीन

2
मेरा सवाल है कि "NAT गेटवे का अक्सर उपयोग किया जाता है क्योंकि वे अधिकांश फायरवॉल की तुलना में सुरक्षित कॉन्फिग में आना आसान होते हैं "। आईटी कर्मचारियों के साथ व्यापार के लिए या जानकार उपभोक्ताओं के लिए यह कोई बड़ी बात नहीं है, लेकिन सामान्य उपभोक्ता / भोले छोटे व्यवसाय के लिए कुछ "आसान" नहीं होना एक बहुत बड़ा सुरक्षा जोखिम है? उदाहरण के लिए दशकों के पासवर्ड रहित "लिंक्स" वाईफाई नेटवर्क मौजूद थे, क्योंकि सुरक्षा को कॉन्फ़िगर करना इसे कॉन्फ़िगर करने की तुलना में "आसान" नहीं था। उपभोक्ता-स्तरीय IoT सक्षम उपकरणों से भरे घर के साथ मैं अपनी माँ को ठीक से IPv6 फ़ायरवॉल कॉन्फ़िगर नहीं कर सकता। क्या आपको लगता है कि यह एक समस्या है?
जेसन सी

6
@JasonC नहीं, क्योंकि उपभोक्ता स्तर के गियर को पहले से ही शिप किया जा रहा है, सभी इनबाउंड को अस्वीकार करने के लिए ISP द्वारा पूर्वनिर्मित फ़ायरवॉल के साथ शिपिंग है। या v6 समर्थन नहीं है। चुनौती यह है कि पावर-उपयोगकर्ता जो सोचते हैं कि वे जानते हैं कि वे क्या कर रहे हैं, लेकिन वास्तव में ऐसा नहीं है।
sysadmin1138

1
समग्र रूप से एक उत्कृष्ट उत्तर है, लेकिन मैंने इसे डाउनवोट कर दिया क्योंकि यह कमरे में बड़े हाथी को मुश्किल से संबोधित करता था: सुरक्षा उपकरण को सही ढंग से कॉन्फ़िगर करना कुछ ऐसा है जिसे आप केवल प्रदान नहीं कर सकते।
केविन कीन

57

हमारा कार्यालय NAT राउटर (एक पुराना Linksys BEFSR41) IPv6 का समर्थन नहीं करता है। न ही कोई नया राउटर

IPv6 कई राउटर्स द्वारा समर्थित है। सिर्फ इतना ही नहीं कि उपभोक्ताओं और SOHO के उद्देश्य से कई सस्ते हैं। सबसे खराब स्थिति, सिर्फ एक लिनक्स बॉक्स का उपयोग करें या अपने राउटर को dd-wrt या IPv6 समर्थन प्राप्त करने के लिए कुछ के साथ फिर से फ्लैश करें। कई विकल्प हैं, आपको शायद कठिन दिखना है।

अगर हम सिर्फ इस राउटर से छुटकारा पाने के लिए और सब कुछ सीधे इंटरनेट पर प्लग करना चाहते हैं,

IPv6 के संक्रमण के बारे में कुछ भी नहीं बताता है कि आपको अपने राउटर / फ़ायरवॉल की तरह परिधि सुरक्षा उपकरणों से छुटकारा पाना चाहिए। राउटर और फायरवॉल अभी भी हर नेटवर्क का एक आवश्यक घटक होगा।

सभी NAT राउटर प्रभावी रूप से एक स्टेटफुल फ़ायरवॉल के रूप में कार्य करते हैं। RFC1918 पतों के उपयोग के बारे में कुछ भी जादू नहीं है जो आपको सभी की रक्षा करते हैं। यह अवस्थात्मक बिट है जो कड़ी मेहनत करता है। यदि आप वास्तविक या निजी पते का उपयोग कर रहे हैं तो ठीक से कॉन्फ़िगर किया गया फ़ायरवॉल आपकी सुरक्षा करेगा।

एकमात्र सुरक्षा जो आपको RFC1918 पतों से मिलती है, वह यह है कि लोग आपके फ़ायरवॉल कॉन्फ़िगर में त्रुटियों / आलस्य से दूर हो सकते हैं और फिर भी यह सब असुरक्षित नहीं होगा।

कुछ पुराने हार्डवेयर डिवाइस (यानी, प्रिंटर) हैं जिनकी बिल्कुल भी IPv6 क्षमता नहीं है।

इसलिए? यह शायद ही संभव है कि आपको इंटरनेट पर उपलब्ध कराने की आवश्यकता होगी, और आपके आंतरिक नेटवर्क पर, आप आईपीवी 4, और आईपीवी 6 को तब तक जारी रख सकते हैं, जब तक कि आपके सभी उपकरण समर्थित या प्रतिस्थापित नहीं हो जाते।

यदि एकाधिक प्रोटोकॉल चलाना कोई विकल्प नहीं है तो आपको किसी प्रकार के गेटवे / प्रॉक्सी को सेटअप करना पड़ सकता है।

IPSEC इन सभी को किसी तरह सुरक्षित बनाने वाला है

IPSEC पैकेट को एन्क्रिप्ट और प्रमाणित करता है। इसका आपके बॉर्डर डिवाइस से छुटकारा पाने से कोई लेना-देना नहीं है, और इससे ट्रांज़िट में डेटा की अधिक सुरक्षा होती है।


2
इतने में ही सही।
sysadmin1138

3
वास्तव में, एक वास्तविक राउटर प्राप्त करें और आपको चिंता करने की आवश्यकता नहीं होगी। SonicWall के पास आपके लिए आवश्यक सुरक्षा प्रदान करने के लिए कुछ उत्कृष्ट विकल्प हैं और समस्या के बिना IPv6 का समर्थन करेंगे। यह विकल्प संभवतः आपके पास वर्तमान में बेहतर सुरक्षा और प्रदर्शन प्रदान करेगा। ( news.sonicwall.com/index.php?s=43&item=1022 ) जैसा कि आप इस लेख में देख सकते हैं, आप उन लोगों के लिए sonicwall उपकरणों के साथ ipv4 अनुवाद भी कर सकते हैं जो ipv6 को नहीं संभाल सकते।
MaQleod

34

हाँ। नैट मर चुका है। IPv6 पर NAT के लिए मानकों की पुष्टि करने के लिए कुछ प्रयास किए गए हैं, लेकिन उनमें से कोई भी कभी भी जमीन से नहीं उतरा।

यह वास्तव में उन प्रदाताओं के लिए समस्याएँ पैदा करता है जो पीसीआई-डीएसएस मानकों को पूरा करने का प्रयास कर रहे हैं, क्योंकि मानक वास्तव में बताता है कि आपको एक नेट के पीछे होना चाहिए।

मेरे लिए, यह मैंने कभी सुना है सबसे आश्चर्यजनक समाचारों में से कुछ है। मैं NAT से नफरत करता हूं, और मैं वाहक-ग्रेड NAT से और भी अधिक नफरत करता हूं।

NAT केवल तब तक था जब हमें IPv6 मानक बन गया, लेकिन यह इंटरनेट समाज में शामिल हो गया।

संक्रमण की अवधि के लिए, आपको यह याद रखना होगा कि IPv4 और IPv6 एक समान नाम के अलावा, पूरी तरह से 1 हैं । तो ऐसे डिवाइस जो ड्यूल-स्टैक हैं, आपका IPv4 नैटेड होगा और आपका IPv6 नहीं होगा। यह लगभग दो पूरी तरह से अलग डिवाइस होने जैसा है, बस प्लास्टिक के एक टुकड़े में पैक किया गया है।

तो, IPv6 इंटरनेट एक्सेस कैसे काम करता है? खैर, जिस तरह से एनएटी का आविष्कार करने से पहले इंटरनेट काम करता था। आपका आईएसपी आपको एक आईपी रेंज प्रदान करेगा (जैसा कि वे अब करते हैं, लेकिन वे आम तौर पर आपको एक / 32 प्रदान करते हैं, जिसका अर्थ है कि आपको केवल एक आईपी पता मिलता है), लेकिन आपकी सीमा में अब लाखों उपलब्ध आईपी पते होंगे। जैसा कि आपने चुना (ऑटो-कॉन्फ़िगरेशन या डीएचसीपी 6 के साथ) आप इन आईपी पते को आबाद करने के लिए स्वतंत्र हैं। इन आईपी पते में से हर एक इंटरनेट पर किसी अन्य कंप्यूटर से दिखाई देगा।

डरावना लगता है, है ना? आपके डोमेन कंट्रोलर, होम मीडिया पीसी और आपके आईफोन में आपके पोर्नोग्राफी के छिपे हुए स्टेश सभी इंटरनेट से एक्सेस किए जा सकते हैं ?! नहीं। यही एक फ़ायरवॉल के लिए है। आईपीवी 6 का एक अन्य महान विशेषता है कि यह है बलों एक "सभी अस्वीकार करें" दृष्टिकोण है, जहां आप विशेष IP पते के लिए सेवाओं को खोलने में (सबसे घर उपकरणों के रूप में) एक "सभी की अनुमति दें" दृष्टिकोण से फायरवॉल। 99.999% घरेलू उपयोगकर्ता अपने फ़ायरवॉल को ख़ुशी से डिफ़ॉल्ट और पूरी तरह से बंद रखेंगे, जिसका अर्थ है कि बिना संयुक्त राष्ट्र के किसी भी ट्रैफ़िक की अनुमति नहीं दी जाएगी।

1 ओके वहाँ से यह करने के लिए और अधिक रास्ता है, लेकिन वे किसी भी तरह से एक दूसरे के साथ संगत नहीं हैं, भले ही वे दोनों एक ही प्रोटोकॉल को शीर्ष पर चलने की अनुमति देते हैं


1
उन सभी लोगों के बारे में जो दावा करते हैं कि NAT के पीछे कंप्यूटर होने से अतिरिक्त सुरक्षा मिलती है? मैं इसे कुछ अन्य आईटी व्यवस्थापक से बहुत कुछ सुनता हूं। इससे कोई फर्क नहीं पड़ता कि आप कहते हैं कि एक उचित फ़ायरवॉल आपकी ज़रूरत है, क्योंकि इनमें से बहुत से लोग मानते हैं कि NAT सुरक्षा की एक परत जोड़ता है।
user9274

3
@ user9274 - यह दो तरीकों से सुरक्षा प्रदान करता है: 1) यह आपके आंतरिक आईपी पते को दुनिया से छुपाता है (यही कारण है कि पीसीआई-डीएसएस इसकी मांग करते हैं), और 2) यह इंटरनेट से स्थानीय मशीन के लिए एक अतिरिक्त "हॉप" है। लेकिन ईमानदार होने के लिए, पहला "अस्पष्टता के माध्यम से सुरक्षा" है जो सुरक्षा बिल्कुल भी नहीं है, और दूसरे के लिए एक समझौता किए गए NAT डिवाइस एक समझौता किए गए सर्वर के समान ही खतरनाक है, इसलिए एक बार हमलावर NAT से अतीत कर सकते हैं जो संभावना हो सकती है वैसे भी अपनी मशीन में जाओ।
मार्क हेंडरसन

इसके अलावा, NAT के उपयोग के माध्यम से प्राप्त की गई कोई भी सुरक्षा IPv4 पतों की कमी को दूर करने के प्रयास में एक अनपेक्षित लाभ है। यह निश्चित रूप से डिज़ाइन लक्ष्य का हिस्सा और पार्सल नहीं था, जिससे मैं अवगत हूं।
जोवेवर्टी

7
PCI-DSS मानकों में अक्टूबर 2010 के अंत में संशोधन किया गया था और NAT आवश्यकता को हटा दिया गया था (v1.2 की धारा 1.3.8)। यहां तक ​​कि वे समय के साथ पकड़ रहे हैं।
sysadmin1138

2
@ मर्क, निश्चित नहीं है कि यह ध्यान देने योग्य है लेकिन NAT64 जमीन से दूर हो रहा है, लेकिन ऐसा नहीं है कि ज्यादातर लोग ऐसा सोचते हैं। यह IPv6 केवल नेटवर्क को क्लाइंट 'सहयोग' के बिना IPv4 इंटरनेट का उपयोग करने की अनुमति देता है; इसे काम करने के लिए DNS64 समर्थन की आवश्यकता होती है।
क्रिस एस

18

NAT के लिए PCI-DSS की आवश्यकता को सुरक्षा थियेटर के रूप में जाना जाता है और वास्तविक सुरक्षा को नहीं।

सबसे हाल ही में पीसीआई-डीएसएस ने नेट को एक पूर्ण आवश्यकता कहने से वापस कर दिया है। कई संगठनों ने IPv4 के साथ PCI-DSS ऑडिट पास किए हैं जिसमें NAT को राज्य के फायरवॉल को "समान सुरक्षा कार्यान्वयन" के रूप में दिखाया गया है।

एनएटी के लिए कॉल करने वाले अन्य सुरक्षा थिएटर दस्तावेज हैं, लेकिन, क्योंकि यह ऑडिट ट्रेल्स को नष्ट कर देता है और घटना की जांच / शमन को और अधिक कठिन बना देता है, नेट सुरक्षा के नकारात्मक (पीएटी के साथ या बिना) एक अधिक गहन अध्ययन नकारात्मक सुरक्षा है।

NAT के बिना एक अच्छा स्टेटफुल फ़ायरवॉल IPv6 दुनिया में NAT के लिए एक बहुत ही बेहतर समाधान है। IPv4 में, NAT संरक्षण पते के संरक्षण के लिए सहन करने के लिए एक आवश्यक बुराई है।


2
NAT "आलसी सुरक्षा" है। और "आलसी सुरक्षा" के साथ विस्तार पर ध्यान देने की कमी है, और सुरक्षा का आगामी नुकसान जिसका इरादा था।
स्केपरन

1
पूरी तरह से सहमत हूँ; हालांकि जिस तरह से अधिकांश PCI-DSS ऑडिट किए जाते हैं (चेकलिस्ट के साथ बंदर द्वारा ऑडिट) यह सभी आलसी सुरक्षा है, और उनकी खामियों को वहन करता है।
मध्याह्न

उन लोगों के लिए जो दावा करते हैं कि एनएटी "सुरक्षा थियेटर" है जो मैं कुछ महीने पहले मेमकेच्ड भेद्यता पर द नेटवर्किग नर्ड के लेख को इंगित करना चाहता हूं। नेटवर्किंगनरडॉटनेट डॉट कॉम 2018/02/02/… वह एक शौकीन चावला IPv6 प्रस्तावक है, और NAT हैटर है, लेकिन यह बताना था कि हजारों कंपनियों ने फ़ायरवॉल नियमों के कारण इंटरनेट पर अपने ज्ञापन सर्वर को व्यापक रूप से खुला छोड़ दिया था जो कि "नहीं थे" सावधानी से बनाया गया है ”। NAT आपको अपने नेटवर्क में आपके द्वारा दी गई अनुमति के बारे में स्पष्ट होने के लिए मजबूर करता है।
केविन कीन

12

यह (दुख की बात है) थोड़ी देर पहले आप एकल-स्टैक IPv6- केवल नेटवर्क के साथ भाग सकते हैं। तब तक, उपलब्ध होने पर IPv6 के लिए वरीयता के साथ दोहरे-स्टैक को चलाने का तरीका है।

हालांकि अधिकांश उपभोक्ता राउटर स्टॉक फर्मवेयर के साथ IPv6 का समर्थन नहीं करते हैं, लेकिन कई इसे 3-पार्टी फ़र्मवेयर (जैसे, Linksys WRT54G के साथ dd-wrt, आदि) के साथ समर्थन कर सकते हैं। इसके अलावा, कई बिजनेस क्लास डिवाइस (सिस्को, जुनिपर) IPv6 आउट-ऑफ-द-बॉक्स का समर्थन करते हैं।

पीएटी (कई-से-एक NAT, जैसा कि उपभोक्ता रूटर्स पर आम है) को NAT के अन्य रूपों के साथ और NAT-मुक्त फ़ायरवॉलिंग के साथ भ्रमित नहीं करना महत्वपूर्ण है; एक बार जब इंटरनेट IPv6- केवल हो जाता है, फ़ायरवॉल अभी भी आंतरिक सेवाओं के संपर्क को रोक देगा। इसी तरह, एक-के-एक NAT के साथ एक IPv4 प्रणाली स्वचालित रूप से संरक्षित नहीं है; यह एक फ़ायरवॉल नीति का काम है।


11

इस विषय में बड़ी मात्रा में भ्रम है, क्योंकि नेटवर्क प्रशासक NAT को एक प्रकाश में देखते हैं, और छोटे व्यवसाय और आवासीय ग्राहक इसे दूसरे में देखते हैं। मुझे स्पष्ट करें।

स्टेटिक NAT (कभी-कभी एक-से-एक NAT कहा जाता है) आपके निजी नेटवर्क या एक व्यक्तिगत पीसी के लिए बिल्कुल कोई सुरक्षा प्रदान नहीं करता है । जहाँ तक सुरक्षा का सवाल है, आईपी पते को बदलना व्यर्थ है।

डायनेमिक ओवरलोडेड NAT / PAT जैसे कि अधिकांश आवासीय गेटवे और वाईफाई एपी क्या आपके निजी नेटवर्क और / या आपके पीसी को सुरक्षित रखने में मदद करते हैं। इन उपकरणों में NAT तालिका डिजाइन करके एक राज्य तालिका है। यह आउटबाउंड अनुरोधों पर नज़र रखता है और उन्हें NAT तालिका में मैप करता है - एक निश्चित समय के बाद कनेक्शन समय। कोई भी अवांछित इनबाउंड फ़्रेम जो कि NAT तालिका में क्या मेल नहीं खाता है डिफ़ॉल्ट रूप से गिरा दिए गए हैं - NAT राउटर को यह नहीं पता है कि उन्हें निजी नेटवर्क में कहां भेजना है, इसलिए यह उन्हें छोड़ देता है। इस तरह, जिस उपकरण को आप हैक किए जाने की चपेट में ले रहे हैं, वह केवल आपका राउटर है। चूंकि अधिकांश सुरक्षा कारनामे विंडोज आधारित हैं - इंटरनेट और आपके विंडोज पीसी के बीच इस तरह की डिवाइस होने से वास्तव में आपके नेटवर्क की सुरक्षा करने में मदद मिलती है। यह मूल रूप से इच्छित कार्य नहीं हो सकता है, जिसे सार्वजनिक आईपी पर सहेजना था, लेकिन यह काम पूरा कर लेता है। एक बोनस के रूप में, इनमें से अधिकांश उपकरणों में फ़ायरवॉल क्षमताएं भी होती हैं जो कई बार डिफ़ॉल्ट रूप से ICMP अनुरोधों को रोकती हैं, जो नेटवर्क की सुरक्षा करने में भी मदद करती हैं।

उपरोक्त जानकारी को देखते हुए, NAT के साथ आईपीवी 6 में जाने पर डिस्पोज करने से लाखों उपभोक्ता और छोटे व्यावसायिक उपकरणों को संभावित हैकिंग के लिए उजागर किया जा सकता है। इससे कॉरपोरेट नेटवर्क पर कोई प्रभाव नहीं पड़ेगा क्योंकि वे अपने किनारे पर पेशेवर रूप से फायरवॉल प्रबंधित करते हैं। उपभोक्ता और छोटे व्यवसाय नेटवर्क में संभवतः अब इंटरनेट और उनके पीसी के बीच एक * nix आधारित NAT राउटर नहीं हो सकता है। कोई कारण नहीं है कि कोई व्यक्ति केवल समाधान के लिए एक फ़ायरवॉल पर स्विच नहीं कर सकता है - बहुत सुरक्षित अगर सही तरीके से तैनात किया गया है, लेकिन यह भी कि 99% उपभोक्ताओं के दायरे से परे है कि कैसे करना है। डायनेमिक ओवरलोडेड एनएटी सिर्फ इसके इस्तेमाल से सुरक्षा का एक माध्यम देता है - आपके आवासीय राउटर में प्लग और आप सुरक्षित हैं। आसान।

उस ने कहा, इसका कोई कारण नहीं है कि NAT का उपयोग ठीक उसी तरह से नहीं किया जा सकता है जिस तरह से IPv4 में किया जा रहा है। वास्तव में, रूटर को इसके पीछे एक IPv4 निजी नेटवर्क के साथ WAN पोर्ट पर एक IPv6 पता करने के लिए डिज़ाइन किया जा सकता है कि NAT का उस पर (उदाहरण के लिए)। यह उपभोक्ता और आवासीय लोगों के लिए एक सरल समाधान होगा। एक अन्य विकल्प सार्वजनिक IPv6 आईपी के साथ सभी उपकरणों को रखना है --- मध्यवर्ती डिवाइस तब L2 डिवाइस के रूप में कार्य कर सकता है, लेकिन एक राज्य तालिका, पैकेट निरीक्षण और पूरी तरह से काम करने वाले फ़ायरवॉल प्रदान करता है। अनिवार्य रूप से, कोई NAT, लेकिन फिर भी किसी भी अवांछित इनबाउंड फ़्रेम को अवरुद्ध नहीं करता है। याद रखने वाली महत्वपूर्ण बात यह है कि आपको बिना किसी मध्यस्थ डिवाइस के अपने पीसी को सीधे अपने WAN कनेक्शन में प्लग नहीं करना चाहिए। जब तक आप विंडोज फ़ायरवॉल पर भरोसा करना चाहते हैं। । । और यह एक अलग चर्चा है।

IPv6 पर कुछ बढ़ते हुए दर्द होंगे, लेकिन ऐसी कोई समस्या नहीं है जिसे आसानी से हल नहीं किया जा सकेगा। क्या आपको अपने पुराने IPv4 राउटर या आवासीय गेटवे को खोदना होगा? हो सकता है, लेकिन समय आने पर सस्ते नए समाधान उपलब्ध होंगे। उम्मीद है कि कई उपकरणों को बस एक फर्मवेयर फ्लैश की आवश्यकता होगी। IPv6 को वर्तमान वास्तुकला में अधिक मूल रूप से फिट करने के लिए डिज़ाइन किया गया था? यकीन है, लेकिन यह क्या है और यह दूर नहीं जा रहा है - इसलिए आप इसे सीख सकते हैं, इसे जी सकते हैं, इसे प्यार कर सकते हैं।


3
इसके लायक क्या है, मैं इस बात को दोहराना चाहूंगा कि वर्तमान वास्तुकला मूलभूत रूप से टूटी हुई है (एंड-टू-एंड रूएबिलिटी) और इससे जटिल नेटवर्क में व्यावहारिक समस्याएं पैदा होती हैं (अनावश्यक NAT डिवाइस अत्यधिक जटिल और महंगे हैं)। NAT हैक को छोड़ने से विफलता और जटिलता के संभावित बिंदुओं में कमी आएगी, जबकि सुरक्षा को सरल स्टेटफुल फायरवॉल द्वारा बनाए रखा जाता है (मैं एक दूसरे SOHO राउटर की कल्पना नहीं कर सकता, जो स्टेटफुल फ़ायरवॉल के बिना डिफ़ॉल्ट रूप से सक्षम हो ताकि ग्राहक बिना प्लग-एन-प्ले के सक्षम हो सकें एक विचार)।
क्रिस एस

कभी-कभी टूटी हुई एंड-टू-एंड रुटेबिलिटी ठीक वही है जो आप चाहते हैं। मैं नहीं चाहता कि मेरे प्रिंटर और पीसी इंटरनेट से रूट किए जा सकें। जबकि NAT ने एक हैक के रूप में शुरू किया, यह एक बहुत ही उपयोगी उपकरण के रूप में विकसित हुआ है, कि कुछ उदाहरणों में पैकेट को सीधे नोड पर रूट करने की क्षमता को हटाकर सुरक्षा में सुधार किया जा सकता है। अगर मेरे पास एक RFC1918 आईपी एक स्टेटिक रूप से पीसी पर असाइन किया गया है, तो किसी भी परिस्थिति में आईपी इंटरनेट पर नियमित नहीं होने वाला है।
कंप्यूटरगि

6
टूटी हुई अस्थिरता एक बुरी बात है ™ । आप जो चाहते हैं, वह आपके उपकरणों के लिए इंटरनेट (फ़ायरवॉल द्वारा) पहुंच से बाहर होने के लिए है, यह एक ही बात नहीं है। देखें कि आप आंतरिक रूप से IPv6 का उपयोग क्यों करेंगे? । इसके अलावा, RFC1918 कहता है कि उन पते का उपयोग केवल निजी नेटवर्क के लिए किया जाना चाहिए, और इंटरनेट तक पहुंच केवल एप्लिकेशन लेयर गेटवे (जो NAT नहीं है) द्वारा प्रदान की जानी चाहिए। बाहरी कनेक्शन के लिए मेजबान को एक IANA समन्वित आवंटन से एक पता सौंपा जाना चाहिए। Hacks, कोई फर्क नहीं पड़ता कि कैसे उपयोगी है, अनावश्यक समझौता करते हैं और 'सही' तरीका नहीं है।
क्रिस एस

10

यदि NAT IPv6 दुनिया में जीवित रहता है, तो यह सबसे अधिक संभावना है: 1: 1 NAT। एक फॉर्म NAT जिसे IPv4 स्पेस में कभी नहीं देखा गया है। 1: 1 NAT क्या है? यह एक स्थानीय पते के लिए एक वैश्विक पते का १: १ अनुवाद है। IPv4 समतुल्य सभी कनेक्शनों को 1.1.1.2 से केवल 10.1.1.2 तक अनुवाद कर रहा होगा, और इसी तरह पूरे 1.0.0.0/8 स्थान के लिए। IPv6 संस्करण एक अद्वितीय स्थानीय पते के लिए एक वैश्विक पते का अनुवाद करने के लिए होगा।

बढ़ी हुई सुरक्षा को अक्सर उन पते के लिए मैपिंग घुमाते हुए प्रदान किया जा सकता है, जिनके बारे में आपको कोई चिंता नहीं है (जैसे फेसबुक पर ब्राउज़ करने वाले आंतरिक कार्यालय उपयोगकर्ता)। आंतरिक रूप से, आपके ULA नंबर समान रहेंगे, इसलिए आपका विभाजित-क्षितिज DNS ठीक काम करना जारी रखेगा, लेकिन बाहरी ग्राहक कभी भी पूर्वानुमान योग्य पोर्ट पर नहीं होंगे।

लेकिन वास्तव में, यह उस परेशानी के लिए बेहतर सुरक्षा की एक छोटी राशि है जो इसे बनाता है। IPv6 सबनेट्स को स्कैन करना वास्तव में एक बड़ा काम है और उन सबनेट्स (मैक-जेनरेशन मेथड? रैंडम मेथड? मानव-पठनीय पतों का स्थैतिक असाइनमेंट?) पर आईपी एड्रेस कैसे असाइन किए जाते हैं, इस पर कुछ सामंजस्य बनाए बिना यह संभव नहीं है।

ज्यादातर मामलों में, क्या होगा कि कॉर्पोरेट फ़ायरवॉल के पीछे ग्राहकों को एक वैश्विक पता मिलेगा, शायद एक ULA, और परिधि फ़ायरवॉल उन पतों के लिए किसी भी प्रकार के सभी आने वाले कनेक्शनों को अस्वीकार करने के लिए सेट किया जाएगा। सभी इरादों और उद्देश्यों के लिए, वे पते बाहर से पहुंच से बाहर हैं। एक बार जब आंतरिक ग्राहक एक कनेक्शन शुरू करता है, तो पैकेट को उस कनेक्शन के माध्यम से अनुमति दी जाएगी। आईपी ​​पते को पूरी तरह से अलग करने के लिए कुछ बदलने की आवश्यकता को उस सबनेट पर 2 ^ 64 संभावित पते के माध्यम से एक हमलावर को अंगूठे से मजबूर करके नियंत्रित किया जाता है।


@ sysadmin1138: मुझे यह समाधान पसंद है। जैसा कि मैं वर्तमान में IPv6 को समझता हूं, यदि मेरा ISP मुझे / 64 देता है, तो मुझे अपने संपूर्ण नेटवर्क पर उस / 64 का उपयोग करना चाहिए, यदि मैं चाहता हूं कि मेरी मशीनें IPv6 इंटरनेट-सुलभ हों। लेकिन अगर मैं उस आईएसपी से तंग आ गया और दूसरे के लिए कदम बढ़ा दिया, तो अब मुझे पूरी तरह से सब कुछ फिर से करना होगा।
कुंभा

1
@ sysadmin1138: यह कहा गया है, हालांकि, मैंने देखा है कि मैं IPv4 की तुलना में बहुत आसान के लिए एक ही इंटरफ़ेस के लिए कई आईपी असाइन कर सकता हूं, इसलिए मैं बाहरी पहुंच के लिए आईएसपी-दिए गए / 64 का उपयोग कर सकता हूं और अपनी निजी निजी ULA योजना के लिए यम के पतों को बाहर से अगम्य बनाने के लिए मेजबानों के बीच में कॉम्म्स, और फ़ायरवॉल का उपयोग करें। अधिक सेटअप कार्य शामिल है, लेकिन ऐसा लगता है कि यह NAT से पूरी तरह बच जाएगा।
कुंभा

@ sysadmin1138: मैं अपने सिर को खरोंचता हूं कि यूएलए क्यों हैं, सभी इरादों और उद्देश्यों के लिए, निजी, फिर भी उन्हें अभी भी विश्व स्तर पर अद्वितीय होने की उम्मीद है। यह कहने की तरह है कि मेरे पास वर्तमान में उपलब्ध किसी भी मेक और मॉडल की कार हो सकती है, लेकिन किसी भी अन्य व्यक्ति द्वारा पहले से उपयोग किए गए कोई भी मेक / मॉडल / वर्ष नहीं है, भले ही यह मेरी कार है और मैं कभी भी इसका एकमात्र चालक होगा।
कुंभा

2
@ कुंभा RFC 4193 पते विश्व स्तर पर अद्वितीय होने चाहिए, यह सुनिश्चित करने के लिए कि आपको भविष्य में पुन: सेट नहीं करना पड़ेगा। हो सकता है कि एक दिन आपको RFC 4193 पतों का उपयोग करके दो नेटवर्क को मर्ज करने की आवश्यकता हो, या एक मशीन जिसमें पहले से ही एक RFC 4193 पता हो सकता है, को एक या एक से अधिक वीपीएन से कनेक्ट करने की आवश्यकता हो सकती है, जिसमें RFC 4193 पते भी हो सकते हैं।
कैस्परल्ड

1
@ कुंभा अगर हर कोई अपने नेटवर्क पर पहले खंड के लिए fd00 :: / 64 का उपयोग करता है, तो आप निश्चित रूप से ऐसे दो नेटवर्क के किसी भी जोड़े को संवाद करने के लिए जल्द ही संघर्ष में भाग लेंगे। RFC 4193 की बात यह है कि जब तक आप अपने 40 बिट्स को बेतरतीब ढंग से नहीं चुनते हैं, तब तक आप शेष 80 बिट्स को असाइन कर सकते हैं, लेकिन आप आश्वस्त रहें और आश्वस्त रहें, कि आपको रेनमर नहीं करना पड़ेगा।
कास्परड

9

RFC 4864 IPv6 स्थानीय नेटवर्क संरक्षण का वर्णन करता है , जो वास्तव में NAT का सहारा लिए बिना IPv6 वातावरण में NAT के लाभ प्रदान करने के लिए दृष्टिकोण का एक समूह है।

इस दस्तावेज़ ने कई तकनीकों का वर्णन किया है जो अपने नेटवर्क आर्किटेक्चर की अखंडता की रक्षा के लिए IPv6 साइट पर संयोजित हो सकते हैं। इन तकनीकों, जिन्हें सामूहिक रूप से स्थानीय नेटवर्क संरक्षण के रूप में जाना जाता है, निजी नेटवर्क के "अंदर" और "बाहर" के बीच एक अच्छी तरह से परिभाषित सीमा की अवधारणा को बनाए रखते हैं और फ़ायरवॉलिंग, टोपोलॉजी छिपाने और गोपनीयता की अनुमति देते हैं। हालाँकि, क्योंकि वे पता पारदर्शिता को संरक्षित करते हैं जहाँ इसकी आवश्यकता होती है, वे पते के अनुवाद के नुकसान के बिना इन लक्ष्यों को प्राप्त करते हैं। इस प्रकार, आईपीवी 6 में स्थानीय नेटवर्क संरक्षण संबंधित नुकसान के बिना आईपीवी 4 नेटवर्क एड्रेस ट्रांसलेशन का लाभ प्रदान कर सकता है।

यह पहले पता लगाता है कि एनएटी के कथित लाभ क्या हैं (और उपयुक्त होने पर उन्हें डिबेक करते हैं), फिर आईपीवी 6 की विशेषताओं का वर्णन करता है जो कि उन्हीं लाभों को प्रदान करने के लिए उपयोग किया जा सकता है। यह कार्यान्वयन नोट्स और केस स्टडी भी प्रदान करता है।

हालांकि यहां पुनर्मुद्रण करना बहुत लंबा है, जिन लाभों पर चर्चा की गई है:

  • "अंदर" और "बाहर" के बीच एक सरल प्रवेश द्वार
  • स्टेटफुल फ़ायरवॉल
  • उपयोगकर्ता / अनुप्रयोग ट्रैकिंग
  • गोपनीयता और टोपोलॉजी छिपाना
  • एक निजी नेटवर्क में संबोधित करने का स्वतंत्र नियंत्रण
  • Multihoming / renumbering

यह बहुत सारे परिदृश्यों को शामिल करता है जिसमें कोई NAT चाहता था और NAT के बिना IPv6 में उन्हें लागू करने के लिए समाधान प्रदान करता है।

आपके द्वारा उपयोग की जाने वाली कुछ तकनीकें हैं:

  • अद्वितीय स्थानीय पते: अपने आंतरिक संचार को आंतरिक रखने के लिए अपने आंतरिक नेटवर्क पर इन्हें प्राथमिकता दें और यह सुनिश्चित करने के लिए कि आईएसपी के आउटेज होने पर भी आंतरिक संचार जारी रह सकता है।
  • IPv6 गोपनीयता एक्सटेंशन छोटे पते के साथ जीवनकाल और स्पष्ट रूप से संरचित इंटरफ़ेस पहचानकर्ता: ये व्यक्तिगत होस्ट और सबनेट स्कैनिंग पर हमला करने से रोकने में मदद करते हैं।
  • आंतरिक नेटवर्क की टोपोलॉजी को छिपाने के लिए IGP, Mobile IPv6 या VLAN का उपयोग किया जा सकता है।
  • ULAs के साथ, ISP से DHCP-PD, IPv4 की तुलना में नवीनीकरण / मल्टीहोमिंग को आसान बनाता है।

( पूरे विवरण के लिए RFC देखें; फिर से, यह पुनर्मुद्रण या यहां तक ​​कि महत्वपूर्ण अंश लेने के लिए बहुत लंबा है।)

IPv6 संक्रमण सुरक्षा की अधिक सामान्य चर्चा के लिए, RFC 4942 देखें ।


8

एक प्रकार का। IPv6 पतों की वास्तव में अलग "प्रकार" है। RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) के सबसे निकट को "अद्वितीय स्थानीय पता" कहा जाता है और इसे RFC 4193 में परिभाषित किया गया है:

http://en.wikipedia.org/wiki/Unique_local_address

तो आप fd00 :: / 8 से शुरू करते हैं, फिर एक 40-बिट स्ट्रिंग (RFC में पूर्व-परिभाषित एल्गोरिथ्म का उपयोग करके) जोड़ते हैं, और आप एक छद्म-यादृच्छिक / 48 उपसर्ग के साथ समाप्त होते हैं जो विश्व स्तर पर अद्वितीय होना चाहिए। आपके पास शेष स्थान को निर्दिष्ट करने के लिए है जो आप चाहते हैं।

आपको अपने संगठन के बाहर अपने (IPv6) राउटर पर fd00 :: / 7 (fc00 :: / 8 और fd00 :: / 8) ब्लॉक करना चाहिए - इसलिए पता नाम में "स्थानीय"। ये पते, जबकि वैश्विक पते के स्थान पर, दुनिया में बड़े पैमाने पर उपलब्ध नहीं होने चाहिए, बस आपके "संगठन" में।

यदि आपके PCI-DSS सर्वर को अन्य आंतरिक IPv6 होस्ट से कनेक्टिविटी के लिए IPv6 की आवश्यकता है, तो आपको अपनी कंपनी के लिए ULA उपसर्ग उत्पन्न करना चाहिए और इस उद्देश्य के लिए इसका उपयोग करना चाहिए। आप चाहें तो किसी अन्य उपसर्ग की तरह ही IPv6 के ऑटो-कॉन्फिगर का उपयोग कर सकते हैं।

यह देखते हुए कि IPv6 को डिज़ाइन किया गया था ताकि मेजबानों के कई पते हो सकते हैं, एक मशीन में एक ULA के अलावा-एक वैश्विक रूप से निष्क्रिय पता भी हो सकता है। तो एक वेब सर्वर जिसे बाहरी दुनिया और आंतरिक रूप से मशीनों से बात करने की आवश्यकता होती है, दोनों में एक आईएसपी-असाइन किए गए प्रीफ़ेक्स पता और आपके यूएलए उपसर्ग हो सकते हैं।

यदि आप NAT की तरह की कार्यक्षमता चाहते हैं तो आप NAT66 को भी देख सकते हैं, लेकिन सामान्य तौर पर मैं ULA के आस-पास वास्तुकार होगा। यदि आपके पास और प्रश्न हैं, तो आप "ipv6-ops" मेलिंग सूची देख सकते हैं।


1
हा। मैं उन सभी टिप्पणियों को sysadmin1138 पर लिखता हूं, और वैश्विक और स्थानीय कॉमों के लिए दोहरे पते का उपयोग करने के बारे में आपके उत्तर को देखने के लिए भी नहीं सोचा था। हालाँकि, मैं विश्व स्तर पर अद्वितीय होने की आवश्यकता वाले ULA के उपदेशों से असहमत हूं। मैं बेतरतीब नहीं पसंद, 40-बिट संख्या बिल्कुल , विशेष रूप से अपने आंतरिक लैन, जिनमें से के लिए मैं केवल प्रयोक्ता हूँ। उन्हें संभवतः यूएएलए के विश्व डेटाबेस को पंजीकृत करने की आवश्यकता है (सिक्सएक्सएस रन ऐसे), लेकिन यादृच्छिक संख्या की गड़बड़ी को छोड़ दें और लोगों को रचनात्मक होने दें। व्यक्तिगत लाइसेंस प्लेट की तरह। आप एक के लिए आवेदन करते हैं और यदि यह लिया जाता है, तो आप दूसरे के लिए प्रयास करते हैं।
कुंभा

1
@ कुंभा वे एक ही पते का उपयोग करके हर एक नेटवर्क को रोकने की कोशिश कर रहे हैं - यादृच्छिक का मतलब है कि आपको सार्वजनिक डेटाबेस की आवश्यकता नहीं है और प्रत्येक नेटवर्क स्वतंत्र है; यदि आप आईपी पते को केंद्रीय रूप से जारी करना चाहते हैं, तो बस वैश्विक का उपयोग करें!
रिचर्ड गेड्सन

@ रिचर्ड: यह एक ... मैं इसे कैसे करूं, मूर्खतापूर्ण अवधारणा, IMHO। यह क्यों मायने रखता है अगर मोंटाना के एक शहर में छोटी जो कंपनी ऑस्ट्रेलिया के पर्थ में एक और छोटी कंपनी के रूप में संबोधित करने वाले आईपीवी 6 का उपयोग करती है? असंभव नहीं है, जबकि दो कभी भी पार करने की संभावना, बहुत असंभव हैं। यदि IPv6 डिजाइनरों का इरादा "निजी नेटवर्क" की अवधारणा के साथ पूरी तरह से दूर करने की कोशिश करना था, तो उन्हें अपनी कॉफी की जांच करने की आवश्यकता है, क्योंकि यह वास्तविक रूप से संभव नहीं है।
कुंभ

2
@ कुंबा मुझे लगता है कि जब आप 10/8 में दो बड़े IPv4 निजी नेटवर्क को मर्ज करने की कोशिश करते हैं, तो आपको यह निशान लगता है और आपको उनमें से एक (या दोनों को) फिर से बनाना होगा जिससे वे बचने की कोशिश कर रहे हैं।
रिचर्ड गड्सन

2
@ रीचर्ड: वास्तव में, एक ही निजी सबनेट के साथ दूसरे नेटवर्क से कनेक्ट करने के लिए वीपीएन का उपयोग करने से ज्यादा दर्दनाक कुछ नहीं है, कुछ कार्यान्वयन बस काम करना बंद कर देंगे।
ह्यूबर्ट करियो

4

IMHO: नहीं।

अभी भी कुछ स्थान हैं जहाँ SNAT / DNAT उपयोगी हो सकता है। विस्तार के लिए कुछ सर्वरों को दूसरे नेटवर्क में ले जाया गया, लेकिन हम नहीं चाहते / हम एप्लिकेशन के आईपी को बदल नहीं सकते।


1
आपको अपने एप्लिकेशन कॉन्फ़िगरेशन में IP पते के बजाय DNS नामों का उपयोग करने की आवश्यकता है।
ralayter

DNS आपकी समस्या को हल नहीं करता है, यदि आपको अपनी संपूर्ण रूटिंग टोपोलॉजी और फ़ायरवॉलिंग नियमों को संशोधित किए बिना नेटवर्क पथ बनाने की आवश्यकता है।
सुमर

3

उम्मीद है, नैट हमेशा के लिए चली जाएगी। यह केवल तब उपयोगी होता है जब आपके पास एक आईपी एड्रेस की कमी होती है और इसमें कोई सुरक्षा विशेषताएं नहीं होती हैं जो कि राज्यवार फ़ायरवॉल द्वारा बेहतर, सस्ती और अधिक आसानी से प्रबंधित की जाती हैं।

चूंकि IPv6 = कोई अधिक कमी नहीं है, इसका मतलब है कि हम NAT की बदसूरत हैक की दुनिया से छुटकारा पा सकते हैं।


3

IPv6 के साथ NAT (यदि यह वास्तव में दूर हो जाता है) का नुकसान कैसे होता है, इस बारे में मैंने निश्चित जवाब नहीं देखा है कि यह उपयोगकर्ता की निजता को प्रभावित करेगा।

व्यक्तिगत डिवाइस आईपी सार्वजनिक रूप से उजागर होने के साथ, यह वेब सेवाओं के लिए सर्वेक्षण (संग्रह, स्टोर, समय और स्थान और साइटों पर एकत्रीकरण, और माध्यमिक उपयोगों की एक भीड़ की सुविधा) के लिए बहुत आसान हो जाएगा आपके विभिन्न उपकरणों से इंटरनेट के चारों ओर यात्रा करता है। जब तक ... आईएसपी, राउटर और अन्य उपकरण गतिशील आईपीवी 6 पते के लिए संभव और आसान बनाते हैं जिन्हें प्रत्येक डिवाइस के लिए अक्सर बदला जा सकता है।

बेशक, हम अभी भी स्थिर वाई-फाई मैक पते के मुद्दे को सार्वजनिक होने पर क्या करेंगे, लेकिन यह एक और कहानी है ...


2
आपको केवल गोपनीयता पते को सक्षम करने की आवश्यकता है। यह आपको सिर्फ उतना ही गोपनीयता प्रदान करेगा जितना एक NAT ने किया होगा। इसके अतिरिक्त IPv6 का उपयोग करके आप खराब IPID चयन के कारण होने वाली समस्याओं के बारे में बहुत कम उजागर होंगे।
कैसपर्ड

2

एक V4 से V6 संक्रमण परिदृश्य में NAT का समर्थन करने के लिए कई योजनाएं हैं। हालाँकि, यदि आपके पास सभी IPV6 नेटवर्क हैं और एक अपस्ट्रीम IPV6 प्रदाता से कनेक्ट हैं, तो NAT नई विश्व व्यवस्था का हिस्सा नहीं है, सिवाय इसके कि आप V6 नेटवर्क पर V4 नेटवर्क के बीच सुरंग बना सकते हैं।

सिस्को के पास 4to6 परिदृश्यों, प्रवासन और सुरंगों पर बहुत सारी सामान्य जानकारी है।

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

विकिपीडिया पर भी:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms


2

राजनीति और बुनियादी व्यापार अभ्यास सबसे अधिक संभावना एनएटी के अस्तित्व को आगे बढ़ाएगा। IPv6 पतों की अधिकता का अर्थ है कि ISPs प्रति डिवाइस चार्ज करने के लिए लुभाए जाएंगे या केवल सीमित संख्या में उपकरणों तक ही कनेक्शन सीमित करेंगे। इस हालिया लेख को / पर देखें। उदाहरण के लिए:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device


2
मुझे बहुत ज़्यादा यकीन नहीं है। मुझे लगता है कि किसी भी आईएसपी के खिलाफ एक बड़ा तकनीकी विद्रोह होगा जो प्रति उपकरण चार्ज करने का प्रयास करता है। हालांकि मैं देख सकता हूं कि आईएसपी इस विचार पर क्यों कूद जाएगा, क्योंकि अब वे वास्तव में बता सकते हैं कि एक कनेक्शन के दूसरे छोर पर कितने डिवाइस हैं।
मार्क हेंडरसन

1
आउटगोइंग कनेक्शन के लिए अस्थायी पते का उपयोग करके गुमनामी के कुछ स्तर प्रदान करने के कदम को देखते हुए, यदि संभव नहीं है, तो प्रति उपकरण नियमों को लागू करना जटिल होगा। एक उपकरण में इस योजना के तहत 2 या अधिक सक्रिय वैश्विक पते हो सकते हैं, किसी अन्य असाइन किए गए के अलावा।
बिलथोर

2
@ मर्क हेंडरसन - पहले से ही आईएसपी हैं जो प्रति उपकरण चार्ज करते हैं। उदाहरण के लिए, एटी एंड टी, "टेदरिंग" के लिए अतिरिक्त शुल्क लेता है।
रिचर्ड गैड्सन

1
@ रिचर्ड - अगर ऐसा था, अगर मैं एटी एंड टी के साथ होता तो मैं उन्हें छोड़ देता, जैसे कि यह गर्म है
मार्क हेंडरसन

@ मर्क - यह एटी एंड टी वायरलेस है (उदाहरण के लिए, आईफोन कॉन्ट्रैक्ट्स को देखें)।
रिचर्ड गैड्सन

-2

FYI करें, कोई भी व्यक्ति IPV6 कैन के साथ NAT / NAPT का उपयोग कर रहा है। सभी बीएसडी ऑपरेटिंग सिस्टम जिनका पीएफ समर्थन NAT66 है। बहुत अच्छा काम करता है। एक ब्लॉग से हमने इस्तेमाल किया :

IPBS6 नेट (nat66) फ्रीबीएसडी पीएफ द्वारा

हालांकि nat66 अभी भी ड्राफ्ट के अधीन है, लेकिन फ्रीबीएसडी पीएफ पहले से ही लंबे समय तक इसका समर्थन करता है।

(pf.conf संपादित करें और निम्नलिखित कोड डालें)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

तुम पूरी तरह तैयार हो!

हमारे लिए उन लोगों के लिए बहुत अच्छा काम करता है जो सालों से एक ही आईपी पते के साथ स्क्वीड का उपयोग कर रहे हैं। IPv6 NAT के साथ, मुझे 2 ^ 120 निजी पते (साइट स्थानीय) मिल सकते हैं, जिसमें मेरे 5/64 सबनेट्स के साथ 2 ^ 56 सबनेट शामिल हैं। इसका मतलब है कि मुझे यहां किसी भी अन्य आईपीवी 6 गुरु की तुलना में 100 अरब गुना अधिक स्मार्ट होना चाहिए क्योंकि मेरे पास अधिक पते हैं ।: डी

सच्चाई यह है कि सिर्फ इसलिए कि मेरे पास अधिक पते हैं (या आपके मुकाबले IPv6 का उपयोग किया जा सकता है), वास्तव में IPv6 (या मुझे एक ही मुद्दे के लिए) बेहतर नहीं बनाता है। हालाँकि, यह IPv6 को अधिक जटिल बनाता है जहाँ PAT के स्थान पर फ़ायरवॉल की आवश्यकता होती है और NAT अब आवश्यकता नहीं है, लेकिन एक विकल्प है। फ़ायरवॉल का लक्ष्य सभी आउटबाउंड कनेक्शनों को अनुमति देना और राज्य को बनाए रखना है, लेकिन इनबाउंड किए गए कनेक्शनों को ब्लॉक करें।

एनएपीटी (एनएटी के साथ पीएटी) के लिए, लोगों को मानसिकता से बाहर निकालने में कुछ समय लगेगा। उदाहरण के लिए, जब तक हम साइट-स्थानीय पते (निजी पते) के बिना और अपने गुरु की सहायता के बिना अपने खुद के IPv6 फ़ायरवॉल को स्थापित करने के लिए आपके परदादा को प्राप्त कर सकते हैं, तब तक NAT के संभावित विचार के साथ खिलौना बनाना एक अच्छा विचार हो सकता है। वह सब जानता है।


2
आपका औसत SOHO गियर, जो अंततः IPv6 का समर्थन करता है, लगभग निश्चित रूप से IPv6 NAT के बिना आएगा (जो NAT66 आप उद्धृत कर रहे हैं, वह NATv4 के समान काम नहीं करता है, लेकिन हम इसके साथ कहीं भी जाएंगे) और नियम से इनकार करने के लिए डिफ़ॉल्ट रूप से आएंगे इनबाउंड ट्रैफ़िक (स्टेटबाउंड कनेक्शन की अनुमति के साथ) जो आज के आईपीवी 4 एसओएचओ गियर को लगभग सभी समान सुरक्षा प्रदान करता है। जैसा कि अन्य ने बताया है, हम समझते हैं कि लोग अपनी हैक तकनीकों से रूबरू और सहज हो जाते हैं, इसका मतलब यह नहीं है कि वे सुरक्षा थियेटर की तुलना में आवश्यक या थोड़ा अधिक हैं।
क्रिस एस

NAT66 को NAT44 के समान काम करने की आवश्यकता नहीं है। यह केवल वही लग रहा है ताकि हम लोगों को IPv6 पर जल्दी से चला सकें। एक बार जब वे आईपीवी 6 पर होते हैं, तो हमें फायरवॉल को ठीक से कॉन्फ़िगर करने के लिए एक टीम के रूप में काम करने में सक्षम होना चाहिए। या तो हम एक टीम के रूप में काम करते हैं या हमें NAT44444 का उपयोग शुरू करने की आवश्यकता है। आपकी पंसद।
गर्नरीमर्ले

यह सिर्फ पीएफ नहीं है। व्यावहारिक रूप में, ज्यादातर राउटर IPv6 पर उसी तरह का NAT कर सकते हैं जैसे कि IPv4, सिर्फ ऊपर फेक दिया जाता है। मैंने इस सुविधा को Fortinet रूटर्स में और साथ ही OpenWRT में देखा है।
केविन कीन

-2

IPv6 के लिए हालिया प्रस्तावों ने सुझाव दिया है कि नई तकनीक पर काम करने वाले इंजीनियरों ने NAT को ipv6 में शामिल किया, कारण दिया गया: NAT सुरक्षा की एक अतिरिक्त परत प्रदान करता है

प्रलेखन ipv6.com वेबसाइट पर है, इसलिए यह इन सभी उत्तरों से प्रतीत होता है कि एनएटी के प्रस्ताव कोई सुरक्षा को लेकर शर्मिंदा नहीं हैं


1
हो सकता है कि आप उस बारे में विस्तार कर सकें कि यह NAT के बारे में क्या आपको लगता है कि सुरक्षा की एक अतिरिक्त परत प्रदान करता है? विशेष रूप से, किस खतरे के खिलाफ जोखिम को कम किया जाता है?
उगता

NAT द्वारा प्रदान की गई 'सुरक्षा' स्थूलता है और एक नेटवर्क को एक डिफ़ॉल्ट-अस्वीकार मुद्रा में मजबूर करना है, पूर्व बहस योग्य है जबकि बाद में एक अच्छा विचार है। डिफ़ॉल्ट-अस्वीकार को अन्य साधनों के माध्यम से आसानी से प्राप्त किया जा सकता है, हालांकि, और IPv6 NAT: IP की कमी के प्रमुख तकनीकी कारणों में से एक को हटा देता है ।
sysadmin1138

2
NAT के बारे में IPv6.com पर एक पृष्ठ है । अन्य बातों के अलावा, यह कहना है: "सुरक्षा मुद्दे का उपयोग अक्सर नेटवर्क एड्रेस ट्रांसलेशन प्रक्रिया की रक्षा में किया जाता है। हालांकि, इंटरनेट का मुख्य सिद्धांत विभिन्न नेटवर्क संसाधनों के लिए एंड-टू-एंड कनेक्टिविटी की पेशकश करना है। " और यह भी: "जैसा कि IPv6 धीरे-धीरे IPv4 प्रोटोकॉल को बदल देता है, नेटवर्क एड्रेस ट्रांसलेशन प्रक्रिया निरर्थक और बेकार हो जाएगी।"
लदादादा

-6

मुझे लगता है कि कुछ भविष्य के बिंदु पर (जो कि केवल अनुमान लगाया जा सकता है) क्षेत्रीय IPv4 पते का अनिवार्य रूप से रन आउट होगा। मैं मानता हूं कि IPv6 के कुछ गंभीर उपयोगकर्ता नुकसान हैं। NAT का मुद्दा अत्यंत महत्वपूर्ण है क्योंकि यह स्वाभाविक रूप से सुरक्षा, अतिरेक, गोपनीयता प्रदान करता है और उपयोगकर्ताओं को लगभग सभी उपकरणों को जोड़ने की अनुमति देता है, जैसा कि वे प्रतिबंध के बिना चाहते हैं। हाँ, फ़ायरवॉल अनचाही नेटवर्क घुसपैठ के खिलाफ सुनहरा मानक है, लेकिन NAT न केवल सुरक्षा की एक और परत जोड़ देता है, यह आम तौर पर फ़ायरवॉल कॉन्फ़िगरेशन या अंत उपयोगकर्ता के ज्ञान की परवाह किए बिना डिफ़ॉल्ट डिज़ाइन द्वारा एक सुरक्षित प्रदान करता है, भले ही आप इसे कैसे परिभाषित करें NAT के साथ और एक फ़ायरवॉल अभी भी डिफ़ॉल्ट रूप से अधिक सुरक्षित है तो IPv6 केवल एक फ़ायरवॉल के साथ। एक और मुद्दा गोपनीयता है, हर डिवाइस पर एक इंटरनेट रूटेबल एड्रेस होने से यूजर्स को हर तरह के संभावित प्राइवेसी उल्लंघन, पर्सनल इंफॉर्मेशन कलेक्शन और ट्रैकिंग का तरीका खुल जाएगा, जो आज शायद ही इतने बड़े पैमाने पर हो। मेरा यह भी मत है कि नेट के बिना हम अतिरिक्त लागत और Isp के माध्यम से नियंत्रण के लिए खोले जा सकते हैं। Isp प्रति डिवाइस या प्रति उपयोगकर्ता उपयोग दरों पर चार्ज करना शुरू कर सकता है जैसे कि हम पहले से ही यूएसबी टेथरिंग के साथ देखते हैं, इससे अंत उपयोगकर्ता की स्वतंत्रता को किसी भी डिवाइस को खुले तौर पर कनेक्ट करने के लिए कम कर देगा जो वे वहां लाइन में फिट देखते हैं। अभी तक कुछ यूएस ISP की किसी भी रूप में IPv6 की पेशकश है और मुझे लगता है कि गैर-तकनीकी व्यवसाय की लागत कम या कोई मूल्य प्राप्त नहीं होने के कारण स्विच करना धीमा हो जाएगा।


4
NAT सुरक्षा का भ्रम है।
स्केपरन

4
NAT कोई सुरक्षा प्रदान नहीं करता है। यह NAT के साथ आपको मिलने वाला स्वचालित फ़ायरवॉल है जो आपको कोई भी "सुरक्षा" प्रदान करता है जिसका आप आनंद ले सकते हैं जबकि आप NAT के सभी नुकसानों का भी आनंद ले रहे हैं।
माइकल हैम्पटन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.