IPv6 पर स्विच करने का अर्थ है NAT को छोड़ना। क्या वह अच्छी चीज़ है?

यह IPv6 और NAT के बारे में एक कैननिकल प्रश्न है

सम्बंधित:

• IPv6 सबनेटिंग कैसे काम करता है और यह IPv4 सबनेटिंग से कैसे भिन्न है?
• मैं गतिशील IPv6 नेटवर्क एड्रेसिंग में अपने पैर की उंगलियों को कैसे डुबो सकता हूं?
• IPv6 बिना नेट के लेकिन एक isp परिवर्तन के बारे में क्या?

इसलिए हमारे ISP ने हाल ही में IPv6 की स्थापना की है, और मैं यह अध्ययन कर रहा हूं कि चुनाव मैदान में कूदने से पहले क्या बदलाव करना चाहिए।

मैंने तीन महत्वपूर्ण मुद्दों पर ध्यान दिया है:

1. हमारा कार्यालय NAT राउटर (एक पुराना Linksys BEFSR41) IPv6 का समर्थन नहीं करता है। न ही कोई नया राउटर, AFAICT। IPv6 के बारे में मैं जो किताब पढ़ रहा हूं, वह बताती है कि यह NAT को वैसे भी "अनावश्यक" बनाती है।

2. अगर हम सिर्फ इस राउटर से छुटकारा पाने और सब कुछ सीधे इंटरनेट पर प्लग करने वाले हैं, तो मुझे घबराहट होने लगती है। नरक में कोई रास्ता नहीं है मैं अपने बिलिंग डेटाबेस (बहुत सारे क्रेडिट कार्ड की जानकारी के साथ!) को सभी के लिए इंटरनेट पर देखूंगा। यहां तक ​​कि अगर मैं उस पर विंडोज 'फ़ायरवॉल स्थापित करने का प्रस्ताव करने के लिए केवल 6 पते की अनुमति देने के लिए किसी भी उपयोग किया गया था, मैं अभी भी एक ठंडे पसीने में बाहर तोड़। मुझे विश्वास नहीं है कि विंडोज, विंडोज के फ़ायरवॉल, या बड़े पैमाने पर नेटवर्क भी दूर से उस के साथ सहज हो।

3. कुछ पुराने हार्डवेयर डिवाइस (यानी, प्रिंटर) हैं जिनकी बिल्कुल भी IPv6 क्षमता नहीं है। और संभावना है कि सुरक्षा के मुद्दों की एक कपड़े धोने की सूची जो 1998 के आसपास की तारीख है। और वास्तव में उन्हें किसी भी तरह से पैच करने का कोई तरीका नहीं है। और नए प्रिंटर के लिए कोई फंडिंग नहीं।

मैंने सुना है कि IPv6 और IPSEC यह सब किसी तरह सुरक्षित करने वाले हैं, लेकिन शारीरिक रूप से अलग किए गए नेटवर्क के बिना जो इन उपकरणों को इंटरनेट के लिए अदृश्य बनाते हैं, मैं वास्तव में नहीं देख सकता कि कैसे। मैं वास्तव में यह देख सकता हूं कि मेरे द्वारा बनाए गए किसी भी बचाव को कम क्रम में कैसे समाप्त किया जाएगा। मैं वर्षों से इंटरनेट पर सर्वर चला रहा हूं और मैं उन चीजों को सुरक्षित करने के लिए आवश्यक चीजों से काफी परिचित हूं, लेकिन हमारे बिलिंग डेटाबेस की तरह नेटवर्क पर कुछ निजी रखना हमेशा से पूरी तरह से प्रश्न से बाहर रहा है।

अगर हमें शारीरिक रूप से अलग नेटवर्क नहीं है, तो मुझे NAT के साथ क्या बदलना चाहिए?

सबसे पहले और सबसे महत्वपूर्ण, सार्वजनिक आईपी आवंटन होने से डरने की कोई बात नहीं है, इसलिए जब तक आपके सुरक्षा उपकरणों को सही तरीके से कॉन्फ़िगर नहीं किया जाता है।

अगर हमें शारीरिक रूप से अलग नेटवर्क नहीं है, तो मुझे NAT के साथ क्या बदलना चाहिए?

वही चीज जो हम 1980 के बाद से, राउटर और फायरवॉल के साथ शारीरिक रूप से अलग कर रहे हैं। NAT के साथ आपको मिलने वाला एक बड़ा सुरक्षा लाभ यह है कि यह आपको एक डिफ़ॉल्ट-अस्वीकार कॉन्फ़िगरेशन में मजबूर करता है। इसके माध्यम से किसी भी सेवा को प्राप्त करने के लिए , आपको स्पष्ट रूप से छिद्र छिद्र करना होगा। कट्टरपंथी डिवाइस आपको उन छेदों को आईपी-आधारित एसीएल लागू करने की अनुमति देते हैं, जैसे एक फ़ायरवॉल। शायद इसलिए कि उनके पास बॉक्स पर 'फ़ायरवॉल' है, वास्तव में।

सही ढंग से कॉन्फ़िगर किया गया फ़ायरवॉल NAT गेटवे के समान सेवा प्रदान करता है। NAT गेटवे अक्सर उपयोग किए जाते हैं क्योंकि वे अधिकांश फायरवॉल की तुलना में सुरक्षित कॉन्फिग में लाना आसान होते हैं ।

मैंने सुना है कि IPv6 और IPSEC यह सब किसी तरह सुरक्षित करने वाले हैं, लेकिन शारीरिक रूप से अलग किए गए नेटवर्क के बिना जो इन उपकरणों को इंटरनेट के लिए अदृश्य बनाते हैं, मैं वास्तव में नहीं देख सकता कि कैसे।

यह एक गलत धारणा है। मैं एक ऐसे विश्वविद्यालय के लिए काम करता हूं, जिसके पास / १६ आईपीवी ४ आवंटन है, और हमारे आईपी पते की खपत का विशाल, विशाल सार्वजनिक आवंटन है। निश्चित रूप से हमारे सभी अंत उपयोगकर्ता वर्कस्टेशन और प्रिंटर। हमारी RFC1918 खपत नेटवर्क उपकरणों और कुछ विशिष्ट सर्वरों तक सीमित है जहां ऐसे पते की आवश्यकता होती है। मुझे आश्चर्य नहीं होगा यदि आप अभी-अभी सिर्फ कंपकंपी करते हैं, क्योंकि मैंने निश्चित रूप से किया था जब मैंने अपने पहले दिन दिखाया था और अपने आईपी पते के साथ मेरे मॉनिटर पर पोस्ट-इट देखा था।

और फिर भी, हम जीवित रहते हैं। क्यों? क्योंकि हमारे पास सीमित ICMP थ्रूपुट के साथ डिफ़ॉल्ट-इनकार के लिए कॉन्फ़िगर किया गया एक बाहरी फ़ायरवॉल है। सिर्फ इसलिए कि 140.160.123.45 सैद्धांतिक रूप से सुगम्य है, इसका मतलब यह नहीं है कि आप वहां से प्राप्त कर सकते हैं जहां आप सार्वजनिक इंटरनेट पर हैं। यह वही है जो फ़ायरवॉल को करने के लिए डिज़ाइन किया गया था।

सही राउटर कॉन्फ़िगरेशन को देखते हुए, और हमारे आवंटन में अलग-अलग सबनेट एक दूसरे से पूरी तरह से पहुंच से बाहर हो सकते हैं। आप इसे राउटर टेबल या फायरवॉल में कर सकते हैं। यह एक अलग नेटवर्क है और अतीत में हमारे सुरक्षा लेखा परीक्षकों को संतुष्ट किया है।

नरक में कोई रास्ता नहीं है मैं अपने बिलिंग डेटाबेस (बहुत सारे क्रेडिट कार्ड की जानकारी के साथ!) को सभी के लिए इंटरनेट पर देखूंगा।

हमारा बिलिंग डेटाबेस एक सार्वजनिक IPv4 पते पर है, और इसके पूरे अस्तित्व के लिए है, लेकिन हमारे पास इस बात का सबूत है कि आप यहां से वहां नहीं पहुंच सकते। सिर्फ इसलिए कि एक पता सार्वजनिक v4 पर है, लेकिन यह सुगम नहीं है कि यह डिलीवर होने की गारंटी है। इंटरनेट की बुराइयों और वास्तविक डेटाबेस पोर्ट के बीच दो फायरवॉल बुराई को छानते हैं। यहां तक ​​कि मेरे डेस्क से, पहले फ़ायरवॉल के पीछे, मैं उस डेटाबेस से नहीं मिल सकता।

क्रेडिट-कार्ड की जानकारी एक विशेष मामला है। यह PCI-DSS मानकों के अधीन है, और मानकों को सीधे यह बताता है कि ऐसे डेटा वाले सर्वर को NAT गेटवे ^{1 के} पीछे होना चाहिए । हमारे हैं, और ये तीन सर्वर RFC1918 पतों के हमारे कुल सर्वर उपयोग का प्रतिनिधित्व करते हैं। यह किसी भी सुरक्षा को नहीं जोड़ता है, बस जटिलता की एक परत है, लेकिन हमें ऑडिट के लिए उस चेकबॉक्स को जांचना होगा।

मूल "IPv6 NAT को अतीत की बात बना देता है" विचार को आगे रखा गया इससे पहले कि इंटरनेट बूम ने वास्तव में पूरी मुख्यधारा को हिट कर दिया। 1995 में NAT एक छोटे IP आवंटन के आसपास प्राप्त करने के लिए एक वैकल्पिक हल था। 2005 में इसे कई सिक्योरिटी बेस्ट प्रैक्टिस डॉक्यूमेंट में, और कम से कम एक प्रमुख मानक (PCI-DSS विशिष्ट होने के लिए) में निहित किया गया था। केवल NAT लाभ यह देता है कि नेटवर्क पर एक बाहरी इकाई प्रदर्शन करने वाली बाहरी इकाई को यह नहीं पता होता है कि NAT उपकरण के पीछे IP परिदृश्य कैसा दिखता है (हालाँकि RFC1918 के लिए धन्यवाद उनका अच्छा अनुमान है), और NAT-free IPv4 पर (जैसे मेरे काम के रूप में) यह मामला नहीं है। यह रक्षा में गहराई में एक छोटा कदम है, बड़ा नहीं है।

RFC1918 पतों के प्रतिस्थापन को यूनिक लोकल एड्रेस कहा जाता है। RFC1918 की तरह, वे तब तक मार्ग नहीं करते हैं जब तक कि सहकर्मी विशेष रूप से उन्हें मार्ग करने के लिए सहमत न हों। RFC1918 के विपरीत, वे (शायद) विश्व स्तर पर अद्वितीय हैं। IPv6 एड्रेस ट्रांसलेटर्स जो एक ULA को ग्लोबल IP में ट्रांसलेट करते हैं, वे उच्च श्रेणी की परिधि गियर में मौजूद होते हैं, निश्चित रूप से अभी तक SOOSQL में नहीं हैं।

आप सार्वजनिक आईपी पते के साथ ठीक बच सकते हैं। बस ध्यान रखें कि 'सार्वजनिक' 'पहुंच योग्य' की गारंटी नहीं देता है, और आप ठीक हो जाएंगे।

2017 अपडेट

पिछले कुछ महीनों में, अमेज़ॅन एवीएस आईपीवी 6 समर्थन जोड़ रहा है। यह सिर्फ उनके अमेज़ॅन-वीपीसी की पेशकश में जोड़ा गया है , और उनके कार्यान्वयन से कुछ सुराग मिलते हैं कि बड़े पैमाने पर तैनाती कैसे की जाती है।

• आपको / 56 आवंटन (256 सबनेट) दिए जाते हैं।
• आबंटन पूरी तरह से सुगम्य सबनेट है।
• आपसे अपेक्षा की जाती है कि आप अपने फ़ायरवॉल-नियम ( सुरक्षा-समूह ) को उचित रूप से प्रतिबंधित करें।
• कोई NAT नहीं है, यह भी पेश नहीं किया गया है, इसलिए सभी आउटबाउंड ट्रैफ़िक उदाहरण के वास्तविक IP पते से आएंगे।

NAT के सुरक्षा लाभों में से एक को वापस जोड़ने के लिए, वे अब केवल एक इंटरनेट गेटवे की पेशकश कर रहे हैं । यह एक NAT की तरह लाभ प्रदान करता है:

• इसके पीछे के सबनेट को सीधे इंटरनेट से एक्सेस नहीं किया जा सकता है।

यदि कोई गलत फ़ायरवॉल नियम गलती से इनबाउंड ट्रैफ़िक की अनुमति देता है, तो रक्षा-में-गहराई की एक परत प्रदान करता है।

यह प्रस्ताव आंतरिक पते को एकल पते में अनुवाद नहीं करता है जिस तरह से NAT करता है। आउटबाउंड ट्रैफ़िक में अभी भी कनेक्शन खोलने वाले इंस्टेंस का स्रोत आईपी होगा। VPC में श्वेतसूची संसाधनों की तलाश करने वाले फ़ायरवॉल ऑपरेटर विशिष्ट IP पतों के बजाय, श्वेतसूची नेटब्लॉक से बेहतर होंगे।

Routeable हमेशा मतलब यह नहीं है पहुंचा जा सकता ।

¹ : PCI-DSS मानकों को अक्टूबर 2010 में बदल दिया गया, RFC1918 पतों को अनिवार्य करने वाला बयान हटा दिया गया, और 'नेटवर्क आइसोलेशन' ने इसे बदल दिया।

हमारा कार्यालय NAT राउटर (एक पुराना Linksys BEFSR41) IPv6 का समर्थन नहीं करता है। न ही कोई नया राउटर

IPv6 कई राउटर्स द्वारा समर्थित है। सिर्फ इतना ही नहीं कि उपभोक्ताओं और SOHO के उद्देश्य से कई सस्ते हैं। सबसे खराब स्थिति, सिर्फ एक लिनक्स बॉक्स का उपयोग करें या अपने राउटर को dd-wrt या IPv6 समर्थन प्राप्त करने के लिए कुछ के साथ फिर से फ्लैश करें। कई विकल्प हैं, आपको शायद कठिन दिखना है।

अगर हम सिर्फ इस राउटर से छुटकारा पाने के लिए और सब कुछ सीधे इंटरनेट पर प्लग करना चाहते हैं,

IPv6 के संक्रमण के बारे में कुछ भी नहीं बताता है कि आपको अपने राउटर / फ़ायरवॉल की तरह परिधि सुरक्षा उपकरणों से छुटकारा पाना चाहिए। राउटर और फायरवॉल अभी भी हर नेटवर्क का एक आवश्यक घटक होगा।

सभी NAT राउटर प्रभावी रूप से एक स्टेटफुल फ़ायरवॉल के रूप में कार्य करते हैं। RFC1918 पतों के उपयोग के बारे में कुछ भी जादू नहीं है जो आपको सभी की रक्षा करते हैं। यह अवस्थात्मक बिट है जो कड़ी मेहनत करता है। यदि आप वास्तविक या निजी पते का उपयोग कर रहे हैं तो ठीक से कॉन्फ़िगर किया गया फ़ायरवॉल आपकी सुरक्षा करेगा।

एकमात्र सुरक्षा जो आपको RFC1918 पतों से मिलती है, वह यह है कि लोग आपके फ़ायरवॉल कॉन्फ़िगर में त्रुटियों / आलस्य से दूर हो सकते हैं और फिर भी यह सब असुरक्षित नहीं होगा।

कुछ पुराने हार्डवेयर डिवाइस (यानी, प्रिंटर) हैं जिनकी बिल्कुल भी IPv6 क्षमता नहीं है।

इसलिए? यह शायद ही संभव है कि आपको इंटरनेट पर उपलब्ध कराने की आवश्यकता होगी, और आपके आंतरिक नेटवर्क पर, आप आईपीवी 4, और आईपीवी 6 को तब तक जारी रख सकते हैं, जब तक कि आपके सभी उपकरण समर्थित या प्रतिस्थापित नहीं हो जाते।

यदि एकाधिक प्रोटोकॉल चलाना कोई विकल्प नहीं है तो आपको किसी प्रकार के गेटवे / प्रॉक्सी को सेटअप करना पड़ सकता है।

IPSEC इन सभी को किसी तरह सुरक्षित बनाने वाला है

IPSEC पैकेट को एन्क्रिप्ट और प्रमाणित करता है। इसका आपके बॉर्डर डिवाइस से छुटकारा पाने से कोई लेना-देना नहीं है, और इससे ट्रांज़िट में डेटा की अधिक सुरक्षा होती है।

हाँ। नैट मर चुका है। IPv6 पर NAT के लिए मानकों की पुष्टि करने के लिए कुछ प्रयास किए गए हैं, लेकिन उनमें से कोई भी कभी भी जमीन से नहीं उतरा।

यह वास्तव में उन प्रदाताओं के लिए समस्याएँ पैदा करता है जो पीसीआई-डीएसएस मानकों को पूरा करने का प्रयास कर रहे हैं, क्योंकि मानक वास्तव में बताता है कि आपको एक नेट के पीछे होना चाहिए।

मेरे लिए, यह मैंने कभी सुना है सबसे आश्चर्यजनक समाचारों में से कुछ है। मैं NAT से नफरत करता हूं, और मैं वाहक-ग्रेड NAT से और भी अधिक नफरत करता हूं।

NAT केवल तब तक था जब हमें IPv6 मानक बन गया, लेकिन यह इंटरनेट समाज में शामिल हो गया।

संक्रमण की अवधि के लिए, आपको यह याद रखना होगा कि IPv4 और IPv6 एक समान नाम के अलावा, पूरी तरह से ^{1 हैं} । तो ऐसे डिवाइस जो ड्यूल-स्टैक हैं, आपका IPv4 नैटेड होगा और आपका IPv6 नहीं होगा। यह लगभग दो पूरी तरह से अलग डिवाइस होने जैसा है, बस प्लास्टिक के एक टुकड़े में पैक किया गया है।

तो, IPv6 इंटरनेट एक्सेस कैसे काम करता है? खैर, जिस तरह से एनएटी का आविष्कार करने से पहले इंटरनेट काम करता था। आपका आईएसपी आपको एक आईपी रेंज प्रदान करेगा (जैसा कि वे अब करते हैं, लेकिन वे आम तौर पर आपको एक / 32 प्रदान करते हैं, जिसका अर्थ है कि आपको केवल एक आईपी पता मिलता है), लेकिन आपकी सीमा में अब लाखों उपलब्ध आईपी पते होंगे। जैसा कि आपने चुना (ऑटो-कॉन्फ़िगरेशन या डीएचसीपी 6 के साथ) आप इन आईपी पते को आबाद करने के लिए स्वतंत्र हैं। इन आईपी पते में से हर एक इंटरनेट पर किसी अन्य कंप्यूटर से दिखाई देगा।

डरावना लगता है, है ना? आपके डोमेन कंट्रोलर, होम मीडिया पीसी और आपके आईफोन में आपके पोर्नोग्राफी के छिपे हुए स्टेश सभी इंटरनेट से एक्सेस किए जा सकते हैं ?! नहीं। यही एक फ़ायरवॉल के लिए है। आईपीवी 6 का एक अन्य महान विशेषता है कि यह है बलों एक "सभी अस्वीकार करें" दृष्टिकोण है, जहां आप विशेष IP पते के लिए सेवाओं को खोलने में (सबसे घर उपकरणों के रूप में) एक "सभी की अनुमति दें" दृष्टिकोण से फायरवॉल। 99.999% घरेलू उपयोगकर्ता अपने फ़ायरवॉल को ख़ुशी से डिफ़ॉल्ट और पूरी तरह से बंद रखेंगे, जिसका अर्थ है कि बिना संयुक्त राष्ट्र के किसी भी ट्रैफ़िक की अनुमति नहीं दी जाएगी।

¹ _{ओके वहाँ से यह करने के लिए और अधिक रास्ता है, लेकिन वे किसी भी तरह से एक दूसरे के साथ संगत नहीं हैं, भले ही वे दोनों एक ही प्रोटोकॉल को शीर्ष पर चलने की अनुमति देते हैं}

NAT के लिए PCI-DSS की आवश्यकता को सुरक्षा थियेटर के रूप में जाना जाता है और वास्तविक सुरक्षा को नहीं।

सबसे हाल ही में पीसीआई-डीएसएस ने नेट को एक पूर्ण आवश्यकता कहने से वापस कर दिया है। कई संगठनों ने IPv4 के साथ PCI-DSS ऑडिट पास किए हैं जिसमें NAT को राज्य के फायरवॉल को "समान सुरक्षा कार्यान्वयन" के रूप में दिखाया गया है।

एनएटी के लिए कॉल करने वाले अन्य सुरक्षा थिएटर दस्तावेज हैं, लेकिन, क्योंकि यह ऑडिट ट्रेल्स को नष्ट कर देता है और घटना की जांच / शमन को और अधिक कठिन बना देता है, नेट सुरक्षा के नकारात्मक (पीएटी के साथ या बिना) एक अधिक गहन अध्ययन नकारात्मक सुरक्षा है।

NAT के बिना एक अच्छा स्टेटफुल फ़ायरवॉल IPv6 दुनिया में NAT के लिए एक बहुत ही बेहतर समाधान है। IPv4 में, NAT संरक्षण पते के संरक्षण के लिए सहन करने के लिए एक आवश्यक बुराई है।

यह (दुख की बात है) थोड़ी देर पहले आप एकल-स्टैक IPv6- केवल नेटवर्क के साथ भाग सकते हैं। तब तक, उपलब्ध होने पर IPv6 के लिए वरीयता के साथ दोहरे-स्टैक को चलाने का तरीका है।

हालांकि अधिकांश उपभोक्ता राउटर स्टॉक फर्मवेयर के साथ IPv6 का समर्थन नहीं करते हैं, लेकिन कई इसे 3-पार्टी फ़र्मवेयर (जैसे, Linksys WRT54G के साथ dd-wrt, आदि) के साथ समर्थन कर सकते हैं। इसके अलावा, कई बिजनेस क्लास डिवाइस (सिस्को, जुनिपर) IPv6 आउट-ऑफ-द-बॉक्स का समर्थन करते हैं।

पीएटी (कई-से-एक NAT, जैसा कि उपभोक्ता रूटर्स पर आम है) को NAT के अन्य रूपों के साथ और NAT-मुक्त फ़ायरवॉलिंग के साथ भ्रमित नहीं करना महत्वपूर्ण है; एक बार जब इंटरनेट IPv6- केवल हो जाता है, फ़ायरवॉल अभी भी आंतरिक सेवाओं के संपर्क को रोक देगा। इसी तरह, एक-के-एक NAT के साथ एक IPv4 प्रणाली स्वचालित रूप से संरक्षित नहीं है; यह एक फ़ायरवॉल नीति का काम है।

इस विषय में बड़ी मात्रा में भ्रम है, क्योंकि नेटवर्क प्रशासक NAT को एक प्रकाश में देखते हैं, और छोटे व्यवसाय और आवासीय ग्राहक इसे दूसरे में देखते हैं। मुझे स्पष्ट करें।

स्टेटिक NAT (कभी-कभी एक-से-एक NAT कहा जाता है) आपके निजी नेटवर्क या एक व्यक्तिगत पीसी के लिए बिल्कुल कोई सुरक्षा प्रदान नहीं करता है । जहाँ तक सुरक्षा का सवाल है, आईपी पते को बदलना व्यर्थ है।

डायनेमिक ओवरलोडेड NAT / PAT जैसे कि अधिकांश आवासीय गेटवे और वाईफाई एपी क्या आपके निजी नेटवर्क और / या आपके पीसी को सुरक्षित रखने में मदद करते हैं। इन उपकरणों में NAT तालिका डिजाइन करके एक राज्य तालिका है। यह आउटबाउंड अनुरोधों पर नज़र रखता है और उन्हें NAT तालिका में मैप करता है - एक निश्चित समय के बाद कनेक्शन समय। कोई भी अवांछित इनबाउंड फ़्रेम जो कि NAT तालिका में क्या मेल नहीं खाता है डिफ़ॉल्ट रूप से गिरा दिए गए हैं - NAT राउटर को यह नहीं पता है कि उन्हें निजी नेटवर्क में कहां भेजना है, इसलिए यह उन्हें छोड़ देता है। इस तरह, जिस उपकरण को आप हैक किए जाने की चपेट में ले रहे हैं, वह केवल आपका राउटर है। चूंकि अधिकांश सुरक्षा कारनामे विंडोज आधारित हैं - इंटरनेट और आपके विंडोज पीसी के बीच इस तरह की डिवाइस होने से वास्तव में आपके नेटवर्क की सुरक्षा करने में मदद मिलती है। यह मूल रूप से इच्छित कार्य नहीं हो सकता है, जिसे सार्वजनिक आईपी पर सहेजना था, लेकिन यह काम पूरा कर लेता है। एक बोनस के रूप में, इनमें से अधिकांश उपकरणों में फ़ायरवॉल क्षमताएं भी होती हैं जो कई बार डिफ़ॉल्ट रूप से ICMP अनुरोधों को रोकती हैं, जो नेटवर्क की सुरक्षा करने में भी मदद करती हैं।

उपरोक्त जानकारी को देखते हुए, NAT के साथ आईपीवी 6 में जाने पर डिस्पोज करने से लाखों उपभोक्ता और छोटे व्यावसायिक उपकरणों को संभावित हैकिंग के लिए उजागर किया जा सकता है। इससे कॉरपोरेट नेटवर्क पर कोई प्रभाव नहीं पड़ेगा क्योंकि वे अपने किनारे पर पेशेवर रूप से फायरवॉल प्रबंधित करते हैं। उपभोक्ता और छोटे व्यवसाय नेटवर्क में संभवतः अब इंटरनेट और उनके पीसी के बीच एक * nix आधारित NAT राउटर नहीं हो सकता है। कोई कारण नहीं है कि कोई व्यक्ति केवल समाधान के लिए एक फ़ायरवॉल पर स्विच नहीं कर सकता है - बहुत सुरक्षित अगर सही तरीके से तैनात किया गया है, लेकिन यह भी कि 99% उपभोक्ताओं के दायरे से परे है कि कैसे करना है। डायनेमिक ओवरलोडेड एनएटी सिर्फ इसके इस्तेमाल से सुरक्षा का एक माध्यम देता है - आपके आवासीय राउटर में प्लग और आप सुरक्षित हैं। आसान।

उस ने कहा, इसका कोई कारण नहीं है कि NAT का उपयोग ठीक उसी तरह से नहीं किया जा सकता है जिस तरह से IPv4 में किया जा रहा है। वास्तव में, रूटर को इसके पीछे एक IPv4 निजी नेटवर्क के साथ WAN पोर्ट पर एक IPv6 पता करने के लिए डिज़ाइन किया जा सकता है कि NAT का उस पर (उदाहरण के लिए)। यह उपभोक्ता और आवासीय लोगों के लिए एक सरल समाधान होगा। एक अन्य विकल्प सार्वजनिक IPv6 आईपी के साथ सभी उपकरणों को रखना है --- मध्यवर्ती डिवाइस तब L2 डिवाइस के रूप में कार्य कर सकता है, लेकिन एक राज्य तालिका, पैकेट निरीक्षण और पूरी तरह से काम करने वाले फ़ायरवॉल प्रदान करता है। अनिवार्य रूप से, कोई NAT, लेकिन फिर भी किसी भी अवांछित इनबाउंड फ़्रेम को अवरुद्ध नहीं करता है। याद रखने वाली महत्वपूर्ण बात यह है कि आपको बिना किसी मध्यस्थ डिवाइस के अपने पीसी को सीधे अपने WAN कनेक्शन में प्लग नहीं करना चाहिए। जब तक आप विंडोज फ़ायरवॉल पर भरोसा करना चाहते हैं। । । और यह एक अलग चर्चा है।

IPv6 पर कुछ बढ़ते हुए दर्द होंगे, लेकिन ऐसी कोई समस्या नहीं है जिसे आसानी से हल नहीं किया जा सकेगा। क्या आपको अपने पुराने IPv4 राउटर या आवासीय गेटवे को खोदना होगा? हो सकता है, लेकिन समय आने पर सस्ते नए समाधान उपलब्ध होंगे। उम्मीद है कि कई उपकरणों को बस एक फर्मवेयर फ्लैश की आवश्यकता होगी। IPv6 को वर्तमान वास्तुकला में अधिक मूल रूप से फिट करने के लिए डिज़ाइन किया गया था? यकीन है, लेकिन यह क्या है और यह दूर नहीं जा रहा है - इसलिए आप इसे सीख सकते हैं, इसे जी सकते हैं, इसे प्यार कर सकते हैं।

यदि NAT IPv6 दुनिया में जीवित रहता है, तो यह सबसे अधिक संभावना है: 1: 1 NAT। एक फॉर्म NAT जिसे IPv4 स्पेस में कभी नहीं देखा गया है। 1: 1 NAT क्या है? यह एक स्थानीय पते के लिए एक वैश्विक पते का १: १ अनुवाद है। IPv4 समतुल्य सभी कनेक्शनों को 1.1.1.2 से केवल 10.1.1.2 तक अनुवाद कर रहा होगा, और इसी तरह पूरे 1.0.0.0/8 स्थान के लिए। IPv6 संस्करण एक अद्वितीय स्थानीय पते के लिए एक वैश्विक पते का अनुवाद करने के लिए होगा।

बढ़ी हुई सुरक्षा को अक्सर उन पते के लिए मैपिंग घुमाते हुए प्रदान किया जा सकता है, जिनके बारे में आपको कोई चिंता नहीं है (जैसे फेसबुक पर ब्राउज़ करने वाले आंतरिक कार्यालय उपयोगकर्ता)। आंतरिक रूप से, आपके ULA नंबर समान रहेंगे, इसलिए आपका विभाजित-क्षितिज DNS ठीक काम करना जारी रखेगा, लेकिन बाहरी ग्राहक कभी भी पूर्वानुमान योग्य पोर्ट पर नहीं होंगे।

लेकिन वास्तव में, यह उस परेशानी के लिए बेहतर सुरक्षा की एक छोटी राशि है जो इसे बनाता है। IPv6 सबनेट्स को स्कैन करना वास्तव में एक बड़ा काम है और उन सबनेट्स (मैक-जेनरेशन मेथड? रैंडम मेथड? मानव-पठनीय पतों का स्थैतिक असाइनमेंट?) पर आईपी एड्रेस कैसे असाइन किए जाते हैं, इस पर कुछ सामंजस्य बनाए बिना यह संभव नहीं है।

ज्यादातर मामलों में, क्या होगा कि कॉर्पोरेट फ़ायरवॉल के पीछे ग्राहकों को एक वैश्विक पता मिलेगा, शायद एक ULA, और परिधि फ़ायरवॉल उन पतों के लिए किसी भी प्रकार के सभी आने वाले कनेक्शनों को अस्वीकार करने के लिए सेट किया जाएगा। सभी इरादों और उद्देश्यों के लिए, वे पते बाहर से पहुंच से बाहर हैं। एक बार जब आंतरिक ग्राहक एक कनेक्शन शुरू करता है, तो पैकेट को उस कनेक्शन के माध्यम से अनुमति दी जाएगी। आईपी ​​पते को पूरी तरह से अलग करने के लिए कुछ बदलने की आवश्यकता को उस सबनेट पर 2 ^ 64 संभावित पते के माध्यम से एक हमलावर को अंगूठे से मजबूर करके नियंत्रित किया जाता है।

RFC 4864 IPv6 स्थानीय नेटवर्क संरक्षण का वर्णन करता है , जो वास्तव में NAT का सहारा लिए बिना IPv6 वातावरण में NAT के लाभ प्रदान करने के लिए दृष्टिकोण का एक समूह है।

इस दस्तावेज़ ने कई तकनीकों का वर्णन किया है जो अपने नेटवर्क आर्किटेक्चर की अखंडता की रक्षा के लिए IPv6 साइट पर संयोजित हो सकते हैं। इन तकनीकों, जिन्हें सामूहिक रूप से स्थानीय नेटवर्क संरक्षण के रूप में जाना जाता है, निजी नेटवर्क के "अंदर" और "बाहर" के बीच एक अच्छी तरह से परिभाषित सीमा की अवधारणा को बनाए रखते हैं और फ़ायरवॉलिंग, टोपोलॉजी छिपाने और गोपनीयता की अनुमति देते हैं। हालाँकि, क्योंकि वे पता पारदर्शिता को संरक्षित करते हैं जहाँ इसकी आवश्यकता होती है, वे पते के अनुवाद के नुकसान के बिना इन लक्ष्यों को प्राप्त करते हैं। इस प्रकार, आईपीवी 6 में स्थानीय नेटवर्क संरक्षण संबंधित नुकसान के बिना आईपीवी 4 नेटवर्क एड्रेस ट्रांसलेशन का लाभ प्रदान कर सकता है।

यह पहले पता लगाता है कि एनएटी के कथित लाभ क्या हैं (और उपयुक्त होने पर उन्हें डिबेक करते हैं), फिर आईपीवी 6 की विशेषताओं का वर्णन करता है जो कि उन्हीं लाभों को प्रदान करने के लिए उपयोग किया जा सकता है। यह कार्यान्वयन नोट्स और केस स्टडी भी प्रदान करता है।

हालांकि यहां पुनर्मुद्रण करना बहुत लंबा है, जिन लाभों पर चर्चा की गई है:

• "अंदर" और "बाहर" के बीच एक सरल प्रवेश द्वार
• स्टेटफुल फ़ायरवॉल
• उपयोगकर्ता / अनुप्रयोग ट्रैकिंग
• गोपनीयता और टोपोलॉजी छिपाना
• एक निजी नेटवर्क में संबोधित करने का स्वतंत्र नियंत्रण
• Multihoming / renumbering

यह बहुत सारे परिदृश्यों को शामिल करता है जिसमें कोई NAT चाहता था और NAT के बिना IPv6 में उन्हें लागू करने के लिए समाधान प्रदान करता है।

आपके द्वारा उपयोग की जाने वाली कुछ तकनीकें हैं:

• अद्वितीय स्थानीय पते: अपने आंतरिक संचार को आंतरिक रखने के लिए अपने आंतरिक नेटवर्क पर इन्हें प्राथमिकता दें और यह सुनिश्चित करने के लिए कि आईएसपी के आउटेज होने पर भी आंतरिक संचार जारी रह सकता है।
• IPv6 गोपनीयता एक्सटेंशन छोटे पते के साथ जीवनकाल और स्पष्ट रूप से संरचित इंटरफ़ेस पहचानकर्ता: ये व्यक्तिगत होस्ट और सबनेट स्कैनिंग पर हमला करने से रोकने में मदद करते हैं।
• आंतरिक नेटवर्क की टोपोलॉजी को छिपाने के लिए IGP, Mobile IPv6 या VLAN का उपयोग किया जा सकता है।
• ULAs के साथ, ISP से DHCP-PD, IPv4 की तुलना में नवीनीकरण / मल्टीहोमिंग को आसान बनाता है।

( पूरे विवरण के लिए RFC देखें; फिर से, यह पुनर्मुद्रण या यहां तक ​​कि महत्वपूर्ण अंश लेने के लिए बहुत लंबा है।)

IPv6 संक्रमण सुरक्षा की अधिक सामान्य चर्चा के लिए, RFC 4942 देखें ।

एक प्रकार का। IPv6 पतों की वास्तव में अलग "प्रकार" है। RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) के सबसे निकट को "अद्वितीय स्थानीय पता" कहा जाता है और इसे RFC 4193 में परिभाषित किया गया है:

http://en.wikipedia.org/wiki/Unique_local_address

तो आप fd00 :: / 8 से शुरू करते हैं, फिर एक 40-बिट स्ट्रिंग (RFC में पूर्व-परिभाषित एल्गोरिथ्म का उपयोग करके) जोड़ते हैं, और आप एक छद्म-यादृच्छिक / 48 उपसर्ग के साथ समाप्त होते हैं जो विश्व स्तर पर अद्वितीय होना चाहिए। आपके पास शेष स्थान को निर्दिष्ट करने के लिए है जो आप चाहते हैं।

आपको अपने संगठन के बाहर अपने (IPv6) राउटर पर fd00 :: / 7 (fc00 :: / 8 और fd00 :: / 8) ब्लॉक करना चाहिए - इसलिए पता नाम में "स्थानीय"। ये पते, जबकि वैश्विक पते के स्थान पर, दुनिया में बड़े पैमाने पर उपलब्ध नहीं होने चाहिए, बस आपके "संगठन" में।

यदि आपके PCI-DSS सर्वर को अन्य आंतरिक IPv6 होस्ट से कनेक्टिविटी के लिए IPv6 की आवश्यकता है, तो आपको अपनी कंपनी के लिए ULA उपसर्ग उत्पन्न करना चाहिए और इस उद्देश्य के लिए इसका उपयोग करना चाहिए। आप चाहें तो किसी अन्य उपसर्ग की तरह ही IPv6 के ऑटो-कॉन्फिगर का उपयोग कर सकते हैं।

यह देखते हुए कि IPv6 को डिज़ाइन किया गया था ताकि मेजबानों के कई पते हो सकते हैं, एक मशीन में एक ULA के अलावा-एक वैश्विक रूप से निष्क्रिय पता भी हो सकता है। तो एक वेब सर्वर जिसे बाहरी दुनिया और आंतरिक रूप से मशीनों से बात करने की आवश्यकता होती है, दोनों में एक आईएसपी-असाइन किए गए प्रीफ़ेक्स पता और आपके यूएलए उपसर्ग हो सकते हैं।

यदि आप NAT की तरह की कार्यक्षमता चाहते हैं तो आप NAT66 को भी देख सकते हैं, लेकिन सामान्य तौर पर मैं ULA के आस-पास वास्तुकार होगा। यदि आपके पास और प्रश्न हैं, तो आप "ipv6-ops" मेलिंग सूची देख सकते हैं।

IMHO: नहीं।

अभी भी कुछ स्थान हैं जहाँ SNAT / DNAT उपयोगी हो सकता है। विस्तार के लिए कुछ सर्वरों को दूसरे नेटवर्क में ले जाया गया, लेकिन हम नहीं चाहते / हम एप्लिकेशन के आईपी को बदल नहीं सकते।

उम्मीद है, नैट हमेशा के लिए चली जाएगी। यह केवल तब उपयोगी होता है जब आपके पास एक आईपी एड्रेस की कमी होती है और इसमें कोई सुरक्षा विशेषताएं नहीं होती हैं जो कि राज्यवार फ़ायरवॉल द्वारा बेहतर, सस्ती और अधिक आसानी से प्रबंधित की जाती हैं।

चूंकि IPv6 = कोई अधिक कमी नहीं है, इसका मतलब है कि हम NAT की बदसूरत हैक की दुनिया से छुटकारा पा सकते हैं।

IPv6 के साथ NAT (यदि यह वास्तव में दूर हो जाता है) का नुकसान कैसे होता है, इस बारे में मैंने निश्चित जवाब नहीं देखा है कि यह उपयोगकर्ता की निजता को प्रभावित करेगा।

व्यक्तिगत डिवाइस आईपी सार्वजनिक रूप से उजागर होने के साथ, यह वेब सेवाओं के लिए सर्वेक्षण (संग्रह, स्टोर, समय और स्थान और साइटों पर एकत्रीकरण, और माध्यमिक उपयोगों की एक भीड़ की सुविधा) के लिए बहुत आसान हो जाएगा आपके विभिन्न उपकरणों से इंटरनेट के चारों ओर यात्रा करता है। जब तक ... आईएसपी, राउटर और अन्य उपकरण गतिशील आईपीवी 6 पते के लिए संभव और आसान बनाते हैं जिन्हें प्रत्येक डिवाइस के लिए अक्सर बदला जा सकता है।

बेशक, हम अभी भी स्थिर वाई-फाई मैक पते के मुद्दे को सार्वजनिक होने पर क्या करेंगे, लेकिन यह एक और कहानी है ...

एक V4 से V6 संक्रमण परिदृश्य में NAT का समर्थन करने के लिए कई योजनाएं हैं। हालाँकि, यदि आपके पास सभी IPV6 नेटवर्क हैं और एक अपस्ट्रीम IPV6 प्रदाता से कनेक्ट हैं, तो NAT नई विश्व व्यवस्था का हिस्सा नहीं है, सिवाय इसके कि आप V6 नेटवर्क पर V4 नेटवर्क के बीच सुरंग बना सकते हैं।

सिस्को के पास 4to6 परिदृश्यों, प्रवासन और सुरंगों पर बहुत सारी सामान्य जानकारी है।

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

विकिपीडिया पर भी:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

राजनीति और बुनियादी व्यापार अभ्यास सबसे अधिक संभावना एनएटी के अस्तित्व को आगे बढ़ाएगा। IPv6 पतों की अधिकता का अर्थ है कि ISPs प्रति डिवाइस चार्ज करने के लिए लुभाए जाएंगे या केवल सीमित संख्या में उपकरणों तक ही कनेक्शन सीमित करेंगे। इस हालिया लेख को / पर देखें। उदाहरण के लिए:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

FYI करें, कोई भी व्यक्ति IPV6 कैन के साथ NAT / NAPT का उपयोग कर रहा है। सभी बीएसडी ऑपरेटिंग सिस्टम जिनका पीएफ समर्थन NAT66 है। बहुत अच्छा काम करता है। एक ब्लॉग से हमने इस्तेमाल किया :

IPBS6 नेट (nat66) फ्रीबीएसडी पीएफ द्वारा

हालांकि nat66 अभी भी ड्राफ्ट के अधीन है, लेकिन फ्रीबीएसडी पीएफ पहले से ही लंबे समय तक इसका समर्थन करता है।

(pf.conf संपादित करें और निम्नलिखित कोड डालें)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

तुम पूरी तरह तैयार हो!

हमारे लिए उन लोगों के लिए बहुत अच्छा काम करता है जो सालों से एक ही आईपी पते के साथ स्क्वीड का उपयोग कर रहे हैं। IPv6 NAT के साथ, मुझे 2 ^ 120 निजी पते (साइट स्थानीय) मिल सकते हैं, जिसमें मेरे 5/64 सबनेट्स के साथ 2 ^ 56 सबनेट शामिल हैं। इसका मतलब है कि मुझे यहां किसी भी अन्य आईपीवी 6 गुरु की तुलना में 100 अरब गुना अधिक स्मार्ट होना चाहिए क्योंकि मेरे पास अधिक पते हैं ।: डी

सच्चाई यह है कि सिर्फ इसलिए कि मेरे पास अधिक पते हैं (या आपके मुकाबले IPv6 का उपयोग किया जा सकता है), वास्तव में IPv6 (या मुझे एक ही मुद्दे के लिए) बेहतर नहीं बनाता है। हालाँकि, यह IPv6 को अधिक जटिल बनाता है जहाँ PAT के स्थान पर फ़ायरवॉल की आवश्यकता होती है और NAT अब आवश्यकता नहीं है, लेकिन एक विकल्प है। फ़ायरवॉल का लक्ष्य सभी आउटबाउंड कनेक्शनों को अनुमति देना और राज्य को बनाए रखना है, लेकिन इनबाउंड किए गए कनेक्शनों को ब्लॉक करें।

एनएपीटी (एनएटी के साथ पीएटी) के लिए, लोगों को मानसिकता से बाहर निकालने में कुछ समय लगेगा। उदाहरण के लिए, जब तक हम साइट-स्थानीय पते (निजी पते) के बिना और अपने गुरु की सहायता के बिना अपने खुद के IPv6 फ़ायरवॉल को स्थापित करने के लिए आपके परदादा को प्राप्त कर सकते हैं, तब तक NAT के संभावित विचार के साथ खिलौना बनाना एक अच्छा विचार हो सकता है। वह सब जानता है।

IPv6 के लिए हालिया प्रस्तावों ने सुझाव दिया है कि नई तकनीक पर काम करने वाले इंजीनियरों ने NAT को ipv6 में शामिल किया, कारण दिया गया: NAT सुरक्षा की एक अतिरिक्त परत प्रदान करता है

प्रलेखन ipv6.com वेबसाइट पर है, इसलिए यह इन सभी उत्तरों से प्रतीत होता है कि एनएटी के प्रस्ताव कोई सुरक्षा को लेकर शर्मिंदा नहीं हैं

मुझे लगता है कि कुछ भविष्य के बिंदु पर (जो कि केवल अनुमान लगाया जा सकता है) क्षेत्रीय IPv4 पते का अनिवार्य रूप से रन आउट होगा। मैं मानता हूं कि IPv6 के कुछ गंभीर उपयोगकर्ता नुकसान हैं। NAT का मुद्दा अत्यंत महत्वपूर्ण है क्योंकि यह स्वाभाविक रूप से सुरक्षा, अतिरेक, गोपनीयता प्रदान करता है और उपयोगकर्ताओं को लगभग सभी उपकरणों को जोड़ने की अनुमति देता है, जैसा कि वे प्रतिबंध के बिना चाहते हैं। हाँ, फ़ायरवॉल अनचाही नेटवर्क घुसपैठ के खिलाफ सुनहरा मानक है, लेकिन NAT न केवल सुरक्षा की एक और परत जोड़ देता है, यह आम तौर पर फ़ायरवॉल कॉन्फ़िगरेशन या अंत उपयोगकर्ता के ज्ञान की परवाह किए बिना डिफ़ॉल्ट डिज़ाइन द्वारा एक सुरक्षित प्रदान करता है, भले ही आप इसे कैसे परिभाषित करें NAT के साथ और एक फ़ायरवॉल अभी भी डिफ़ॉल्ट रूप से अधिक सुरक्षित है तो IPv6 केवल एक फ़ायरवॉल के साथ। एक और मुद्दा गोपनीयता है, हर डिवाइस पर एक इंटरनेट रूटेबल एड्रेस होने से यूजर्स को हर तरह के संभावित प्राइवेसी उल्लंघन, पर्सनल इंफॉर्मेशन कलेक्शन और ट्रैकिंग का तरीका खुल जाएगा, जो आज शायद ही इतने बड़े पैमाने पर हो। मेरा यह भी मत है कि नेट के बिना हम अतिरिक्त लागत और Isp के माध्यम से नियंत्रण के लिए खोले जा सकते हैं। Isp प्रति डिवाइस या प्रति उपयोगकर्ता उपयोग दरों पर चार्ज करना शुरू कर सकता है जैसे कि हम पहले से ही यूएसबी टेथरिंग के साथ देखते हैं, इससे अंत उपयोगकर्ता की स्वतंत्रता को किसी भी डिवाइस को खुले तौर पर कनेक्ट करने के लिए कम कर देगा जो वे वहां लाइन में फिट देखते हैं। अभी तक कुछ यूएस ISP की किसी भी रूप में IPv6 की पेशकश है और मुझे लगता है कि गैर-तकनीकी व्यवसाय की लागत कम या कोई मूल्य प्राप्त नहीं होने के कारण स्विच करना धीमा हो जाएगा।