131 votes

Kyle Hayes avatar

Passer à l'IPv6 implique d'abandonner le NAT. Est-ce une bonne chose ?

Demandé el 25 de Septembre, 2010
Quand la question a-t-elle été
53663 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Il s'agit d'un Question canonique sur IPv6 et NAT

En rapport :

Notre fournisseur d'accès a donc récemment mis en place l'IPv6 et j'ai étudié ce que la transition devait impliquer avant de me lancer dans la bataille.

J'ai remarqué trois problèmes très importants :

  1. Le routeur NAT de notre bureau (un vieux Linksys BEFSR41) ne prend pas en charge IPv6. Aucun routeur plus récent ne le fait non plus, AFAICT. Le livre que je suis en train de lire sur IPv6 me dit qu'il rend le NAT "inutile" de toute façon.

  2. Si nous sommes censés nous débarrasser de ce routeur et tout brancher directement sur Internet, je commence à paniquer. Il est hors de question que je mette notre base de données de facturation (avec beaucoup d'informations sur les cartes de crédit !) sur Internet à la vue de tous. Même si je proposais de configurer le pare-feu de Windows pour n'autoriser que 6 adresses à y avoir accès, j'aurais des sueurs froides. Je ne fais pas assez confiance à Windows, au pare-feu de Windows ou au réseau dans son ensemble pour être un tant soit peu à l'aise avec cela.

  3. Il y a quelques vieux appareils (par exemple, des imprimantes) qui n'ont absolument aucune capacité IPv6. Et probablement une longue liste de problèmes de sécurité qui datent d'environ 1998. Et probablement aucun moyen de les corriger de quelque manière que ce soit. Et aucun financement pour de nouvelles imprimantes.

J'entends dire que l'IPv6 et l'IPSEC sont censés sécuriser tout cela d'une manière ou d'une autre, mais sans réseaux physiquement séparés qui rendent ces appareils invisibles à Internet, je vraiment Je ne vois pas comment. Je peux aussi vraiment voir comment toutes les défenses que je crée seront envahies en peu de temps. Je fais tourner des serveurs sur Internet depuis des années maintenant et je suis assez familier avec le genre de choses nécessaires pour les sécuriser, mais mettre quelque chose de privé sur le réseau comme notre base de données de facturation a toujours été complètement hors de question.

Par quoi devrais-je remplacer le NAT, si nous n'avons pas de réseaux physiquement séparés ?

Demandé el 25 de Septembre, 2010 par Kyle Hayes

Réponses

Trop de publicités?

215voto

sysadmin1138 avatar
sysadmin1138 Points 129885

Tout d'abord, il n'y a rien à craindre de l'attribution d'une adresse IP publique, pour autant que vos dispositifs de sécurité soient bien configurés.

Par quoi devrais-je remplacer le NAT, si nous n'avons pas de réseaux physiquement séparés ?

La même chose que celle avec laquelle nous les séparons physiquement depuis les années 1980, les routeurs et les pare-feu. Le seul gros gain de sécurité que vous obtenez avec le NAT est qu'il vous force à adopter une configuration de refus par défaut. Afin d'obtenir cualquier service à travers elle, vous devez explicitement trous de perforation. Les appareils les plus sophistiqués vous permettent même d'appliquer des listes de contrôle d'accès basées sur l'IP à ces trous, tout comme un pare-feu. Probablement parce qu'ils portent la mention "Firewall" sur la boîte, en fait.

Un pare-feu correctement configuré fournit exactement le même service qu'une passerelle NAT. Les passerelles NAT sont fréquemment utilisées car elles sont plus facile pour entrer dans une configuration sécurisée que la plupart des pare-feu.

J'entends dire que l'IPv6 et l'IPSEC sont censés sécuriser tout cela d'une manière ou d'une autre, mais sans réseaux physiquement séparés qui rendent ces appareils invisibles à Internet, je vraiment Je ne vois pas comment.

Il s'agit d'une idée fausse. Je travaille pour une université qui a une allocation IPv4 /16, et la grande, grande majorité de notre consommation d'adresses IP se fait sur cette allocation publique. Certainement toutes nos stations de travail et imprimantes d'utilisateurs finaux. Notre consommation RFC1918 est limitée aux périphériques réseau et à certains serveurs spécifiques pour lesquels de telles adresses sont nécessaires. Je ne serais pas surpris si vous veniez de frissonner à l'instant, car je l'ai certainement fait lorsque je suis arrivé le premier jour et que j'ai vu le post-it sur mon écran avec mon adresse IP.

Et pourtant, nous survivons. Pourquoi ? Parce que nous avons un pare-feu extérieur configuré pour le refus par défaut avec un débit ICMP limité. Ce n'est pas parce que 140.160.123.45 est théoriquement routable que vous pouvez vous y rendre depuis n'importe quel endroit de l'Internet public. C'est pour cela que les pare-feu ont été conçus.

Avec les bonnes configurations de routeur, et différents sous-réseaux de notre allocation peuvent être complètement inaccessibles les uns des autres. Vous pouvez faire cela dans les tables de routeurs ou les pare-feu. Il s'agit d'un réseau séparé qui a satisfait nos auditeurs de sécurité dans le passé.

Il est hors de question que je mette notre base de données de facturation (avec beaucoup d'informations sur les cartes de crédit !) sur Internet pour que tout le monde puisse la voir.

Notre base de données de facturation est sur une adresse IPv4 publique, et l'a été pendant toute son existence, mais nous avons la preuve que vous ne pouvez pas y arriver d'ici. Ce n'est pas parce qu'une adresse figure sur la liste publique des adresses routables v4 que sa livraison est garantie. Les deux pare-feu entre les maux de l'Internet et les ports de la base de données réelle filtrent le mal. Même depuis mon bureau, derrière le premier pare-feu, je ne peux pas accéder à cette base de données.

Les informations relatives aux cartes de crédit constituent un cas particulier. Elles sont soumises aux normes PCI-DSS, qui stipulent directement que les serveurs contenant ces données doivent se trouver derrière une passerelle NAT. 1 . Les nôtres le sont, et ces trois serveurs représentent notre utilisation totale des adresses RFC1918. Cela n'ajoute aucune sécurité, juste une couche de complexité, mais nous devons faire cocher cette case pour les audits.

L'idée originale "L'IPv6 fait de la NAT une chose du passé" a été avancée avant que le boom de l'Internet ne soit vraiment généralisé. En 1995, le NAT était une solution de rechange pour contourner une petite allocation d'adresses IP. En 2005, elle était inscrite dans de nombreux documents sur les meilleures pratiques de sécurité et dans au moins une norme majeure (PCI-DSS pour être précis). Le seul avantage concret du NAT est qu'une entité externe effectuant une reconnaissance sur le réseau ne sait pas à quoi ressemble le paysage IP derrière le dispositif NAT (bien que, grâce à la RFC1918, elle puisse le deviner), et sur un IPv4 sans NAT (comme mon travail), ce n'est pas le cas. C'est un petit pas dans la défense en profondeur, pas un grand.

Les adresses RFC1918 sont remplacées par ce que l'on appelle des adresses locales uniques. Comme la RFC1918, elles ne routent pas à moins que les pairs n'acceptent spécifiquement de les laisser router. Contrairement à la RFC1918, elles sont (probablement) uniques au niveau mondial. Les traducteurs d'adresses IPv6 qui traduisent une ULA en une IP globale existent dans les équipements de périmètre de gamme supérieure, mais pas encore dans les équipements SOHO.

Vous pouvez très bien survivre avec une adresse IP publique. Gardez simplement à l'esprit que "public" ne garantit pas "joignable", et tout ira bien.

Mise à jour de 2017

Au cours des derniers mois, Amazon aws a ajouté le support IPv6. Il vient d'être ajouté à leur amazon-vpc et leur mise en œuvre donne des indications sur la manière dont les déploiements à grande échelle sont censés être effectués.

  • On vous donne une allocation /56 (256 sous-réseaux).
  • L'allocation est un sous-réseau entièrement routable.
  • Vous êtes censé définir vos règles de pare-feu ( groupes de sécurité ) convenablement restrictive.
  • Il n'y a pas de NAT, ce n'est même pas proposé, donc tout le trafic sortant proviendra de l'adresse IP réelle de l'instance.

Pour ajouter l'un des avantages de la sécurité de la NAT, ils offrent désormais une Passerelle Internet en sortie seulement . Cela offre un avantage semblable au NAT :

  • Les sous-réseaux situés derrière elle ne sont pas directement accessibles depuis l'Internet.

Ce qui fournit une couche de défense en profondeur, au cas où une règle de pare-feu mal configurée autoriserait accidentellement le trafic entrant.

Cette offre ne traduit pas l'adresse interne en une adresse unique comme le fait la NAT. Le trafic sortant aura toujours l'adresse IP source de l'instance qui a ouvert la connexion. Les opérateurs de pare-feu qui cherchent à mettre sur liste blanche des ressources dans le VPC auront intérêt à mettre sur liste blanche des blocs de réseaux plutôt que des adresses IP spécifiques.

Routable ne signifie pas toujours joignable .

1 : Les normes PCI-DSS ont été modifiées en octobre 2010, la déclaration imposant les adresses RFC1918 a été supprimée et remplacée par une " isolation du réseau ".

Répondu el 25 de Septembre, 2010 par sysadmin1138 (129885 Points )

37voto

Shlomi Fish avatar
Shlomi Fish Points 1951

Oui. Le NAT est mort. Il y a eu quelques tentatives de ratification de normes pour le NAT sur IPv6, mais aucune d'entre elles n'a jamais vu le jour.

Cela a en fait causé des problèmes aux fournisseurs qui tentent de répondre aux normes PCI-DSS, car la norme stipule que vous devez être derrière un NAT.

Pour moi, c'est l'une des plus belles nouvelles que j'aie jamais entendues. Je déteste le NAT, et je déteste encore plus le NAT de niveau opérateur.

Le NAT n'était censé être qu'une solution de fortune pour nous permettre de tenir jusqu'à ce que l'IPv6 devienne la norme, mais il s'est incrusté dans la société Internet.

Pour la période de transition, il faut se rappeler que l'IPv4 et l'IPv6, à part un nom similaire, sont totalement différents. 1 . Ainsi, pour les appareils à double pile, votre IPv4 sera NATé et votre IPv6 ne le sera pas. C'est presque comme si vous aviez deux appareils totalement distincts, juste emballés dans un seul morceau de plastique.

Alors, comment fonctionne l'accès Internet IPv6 ? Eh bien, de la même manière que l'internet fonctionnait avant l'invention du NAT. Votre fournisseur d'accès vous attribue une plage d'adresses IP (comme aujourd'hui, mais il vous attribue généralement une adresse /32, ce qui signifie que vous n'obtenez qu'une seule adresse IP), mais votre plage contient désormais des millions d'adresses IP disponibles. Vous êtes libre de remplir ces adresses IP comme vous le souhaitez (par auto-configuration ou DHCPv6). Chacune de ces adresses IP sera visible depuis n'importe quel autre ordinateur sur Internet.

Ça a l'air effrayant, non ? Votre contrôleur de domaine, votre PC multimédia et votre iPhone avec votre cachette de pornographie vont tous être accessibles depuis l'Internet ! Eh bien, non. C'est à cela que sert un pare-feu. Une autre grande caractéristique de l'IPv6 est qu'il forces de passer d'une approche "Tout autoriser" (comme c'est le cas pour la plupart des appareils domestiques) à une approche "Tout refuser", où vous ouvrez des services pour des adresses IP particulières. 99,999 % des particuliers se contenteront de laisser leur pare-feu par défaut et de le verrouiller totalement, ce qui signifie qu'aucun trafic non sollicité ne sera autorisé.

1 Ok, il y a beaucoup plus que cela, mais ils ne sont en aucun cas compatibles l'un avec l'autre, même s'ils permettent tous les deux d'utiliser les mêmes protocoles.

Répondu el 24 de Mars, 2011 par Shlomi Fish (1951 Points )

19voto

labsin avatar
labsin Points 537

L'exigence PCI-DSS pour le NAT est bien connue pour être un théâtre de sécurité et non une sécurité réelle.

La dernière version de la norme PCI-DSS n'a pas fait de la NAT une exigence absolue. De nombreuses organisations ont passé les audits PCI-DSS avec IPv4 sans NAT, en présentant les pare-feu dynamiques comme des "implémentations de sécurité équivalentes".

Il existe d'autres documents sur le théâtre de la sécurité qui préconisent le NAT, mais, parce qu'il détruit les pistes d'audit et rend plus difficile l'investigation/mitigation des incidents, une étude plus approfondie du NAT (avec ou sans PAT) pour être un négatif net de sécurité.

Un bon pare-feu dynamique sans NAT est une solution largement supérieure au NAT dans un monde IPv6. En IPv4, le NAT est un mal nécessaire qui doit être toléré pour la conservation des adresses.

Répondu el 26 de Janvier, 2011 par labsin (537 Points )

14voto

Computerguy avatar
Computerguy Points 119

Il existe une grande confusion à ce sujet, car les administrateurs de réseau voient le NAT sous un certain angle et les petites entreprises et les particuliers sous un autre. Permettez-moi de clarifier les choses.

Le NAT statique (parfois appelé NAT un-à-un) offre absolument aucune protection pour votre réseau privé ou un PC individuel. La modification de l'adresse IP n'a aucun sens en matière de protection.

Le NAT/PAT dynamique surchargé, comme ce que font la plupart des passerelles résidentielles et les AP wifi, contribue absolument à protéger votre réseau privé et/ou votre PC. Par conception, la table NAT de ces appareils est une table d'état. Elle garde la trace des demandes sortantes et les mappe dans la table NAT - les connexions expirent après un certain temps. Toutes les trames entrantes non sollicitées qui ne correspondent pas à ce qui se trouve dans la table NAT sont abandonnées par défaut - le routeur NAT ne sait pas où les envoyer dans le réseau privé et les abandonne. De cette façon, le seul dispositif que vous laissez vulnérable au piratage est votre routeur. Étant donné que la plupart des exploits de sécurité sont basés sur Windows, le fait de disposer d'un tel dispositif entre Internet et vos PC Windows contribue réellement à protéger votre réseau. Ce n'est peut-être pas la fonction prévue à l'origine, qui était d'économiser les adresses IP publiques, mais cela fait l'affaire. En prime, la plupart de ces dispositifs ont également des capacités de pare-feu qui bloquent souvent les requêtes ICMP par défaut, ce qui contribue également à protéger le réseau.

Compte tenu des informations ci-dessus, l'élimination de la NAT lors du passage à IPv6 pourrait exposer des millions d'appareils grand public et de petites entreprises à un piratage potentiel. Cela n'aura que peu ou pas d'effet sur les réseaux d'entreprise, qui disposent de pare-feu gérés par des professionnels à leur périphérie. Les réseaux des particuliers et des petites entreprises pourraient ne plus avoir de routeur NAT basé sur *nix entre l'Internet et leurs PC. Il n'y a aucune raison pour qu'une personne ne puisse pas passer à une solution de pare-feu uniquement - beaucoup plus sûre si elle est déployée correctement, mais également au-delà de ce que 99% des consommateurs comprennent comment faire. Le NAT dynamique surchargé offre un minimum de protection simplement en l'utilisant - branchez votre routeur résidentiel et vous êtes protégé. Facile.

Cela dit, il n'y a aucune raison pour que le NAT ne puisse pas être utilisé exactement de la même manière qu'il l'est pour IPv4. En fait, un routeur pourrait être conçu de manière à avoir une adresse IPv6 sur le port WAN avec un réseau privé IPv4 derrière lui qui fait du NAT (par exemple). Ce serait une solution simple pour les consommateurs et les particuliers. Une autre option est de mettre tous les dispositifs avec des adresses IPv6 publiques--- le dispositif intermédiaire pourrait alors agir comme un dispositif L2, mais fournir une table d'état, une inspection des paquets, et un pare-feu entièrement fonctionnel. Essentiellement, pas de NAT, mais le blocage de toute trame entrante non sollicitée. Ce qu'il faut retenir, c'est que vous ne devez pas brancher vos PC directement sur votre connexion WAN sans dispositif intermédiaire. À moins bien sûr que vous ne souhaitiez vous appuyer sur le pare-feu de Windows . . et c'est une autre discussion. Tous les réseaux, même les réseaux domestiques, ont besoin d'un dispositif périphérique pour protéger le réseau local, en plus du pare-feu Windows.

Le passage à l'IPv6 entraînera quelques difficultés de croissance, mais il n'y a aucun problème qui ne puisse être résolu assez facilement. Devrez-vous vous débarrasser de votre vieux routeur IPv4 ou de votre passerelle résidentielle ? Peut-être, mais de nouvelles solutions peu coûteuses seront disponibles le moment venu. Avec un peu de chance, de nombreux appareils n'auront besoin que d'un flashage de firmware. IPv6 aurait-il pu être conçu pour s'intégrer plus harmonieusement dans l'architecture actuelle ? Bien sûr, mais c'est ce qu'il est et il ne disparaîtra pas, alors autant l'apprendre, le vivre et l'aimer.

Répondu el 9 de Juin, 2011 par Computerguy (119 Points )

13voto

Michael Hampton avatar
Michael Hampton Points 232226

La RFC 4864 décrit la protection du réseau local IPv6. L'initiative "NAT" est un ensemble d'approches permettant d'offrir les avantages perçus de la NAT dans un environnement IPv6, sans avoir à recourir à la NAT.

Ce document a décrit un certain nombre de techniques qui peuvent être combinées sur un site IPv6 pour protéger l'intégrité de son architecture réseau. Ces techniques, connues collectivement sous le nom de Protection du réseau local, conservent le concept d'une frontière bien définie entre "l'intérieur" et "l'extérieur" du réseau privé et permettent le pare-feu, la dissimulation de la topologie et la confidentialité. Toutefois, comme elles préservent la transparence des adresses là où elle est nécessaire, elles atteignent ces objectifs sans l'inconvénient de la traduction des adresses. Ainsi, la protection des réseaux locaux en IPv6 peut offrir les avantages de la traduction d'adresses réseau en IPv4 sans les inconvénients correspondants.

Il expose d'abord les avantages perçus de la NAT (et les démystifie le cas échéant), puis décrit les caractéristiques d'IPv6 qui peuvent être utilisées pour offrir ces mêmes avantages. Il fournit également des notes de mise en œuvre et des études de cas.

Bien qu'il soit trop long pour être reproduit ici, les avantages discutés sont les suivants :

  • Une simple passerelle entre "intérieur" et "extérieur".
  • Le pare-feu dynamique
  • Suivi des utilisateurs/applications
  • Confidentialité et dissimulation de la topologie
  • Contrôle indépendant de l'adressage dans un réseau privé
  • Multihoming/renumérotation

Cela couvre à peu près tous les scénarios dans lesquels on aurait pu vouloir du NAT et propose des solutions pour les mettre en œuvre dans IPv6 sans NAT.

Certaines des technologies que vous utiliserez sont :

  • Adresses locales uniques : Privilégiez ces adresses sur votre réseau interne pour que vos communications internes restent internes et pour que les communications internes puissent se poursuivre même en cas de panne du fournisseur d'accès.
  • Les extensions de confidentialité de l'IPv6 avec des durées de vie d'adresse courtes et des identifiants d'interface structurés de manière non évidente : Ces éléments permettent d'empêcher l'attaque d'hôtes individuels et le balayage de sous-réseaux.
  • L'IGP, l'IPv6 mobile ou les VLAN peuvent être utilisés pour masquer la topologie du réseau interne.
  • Avec les ULA, le DHCP-PD du FAI permet de renommer/multihoming plus facilement qu'avec IPv4.

( Voir le RFC pour obtenir tous les détails ; là encore, il est beaucoup trop long pour être reproduit ou même pour en tirer des extraits significatifs).

Pour une discussion plus générale sur la sécurité de la transition vers IPv6, voir RFC 4942 .

Répondu el 13 de Mai, 2013 par Michael Hampton (232226 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X