Le passage à IPv6 implique la suppression du NAT. Est-ce une bonne chose?

Ceci est une question canonique sur IPv6 et NAT

Apparenté, relié, connexe:

• Comment fonctionne le sous-réseau IPv6 et en quoi est-il différent du sous-réseau IPv4?
• Comment puis-je "tremper mes orteils" dans l'adressage réseau dynamique IPv6?
• IPv6 sans nat mais qu'en est-il d'un changement de fournisseur d'accès Internet?

Ainsi, notre FAI a récemment mis en place IPv6, et j’ai étudié les conséquences de la transition avant de nous lancer dans la mêlée.

J'ai remarqué trois problèmes très importants:

1. Le routeur NAT de notre bureau (un ancien Linksys BEFSR41) ne prend pas en charge IPv6. Ni plus aucun routeur plus récent, AFAICT. Le livre que je lis sur IPv6 me dit que cela rend le NAT "inutile" de toute façon.

2. Si nous sommes supposés nous débarrasser de ce routeur et tout connecter directement à Internet, je commence à paniquer. Il est impossible que je mette notre base de données de facturation (avec beaucoup d'informations de cartes de crédit!) Sur Internet pour que tout le monde puisse la voir. Même si je proposais d'installer un pare-feu Windows pour ne permettre l'accès qu'à 6 adresses, je continue de transpirer. Je ne fais pas suffisamment confiance à Windows, au pare-feu de Windows ou au réseau pour être à l'aise avec cela à distance.

3. Il existe quelques anciens périphériques matériels (c.-à-d. Des imprimantes) qui ne possèdent absolument aucune capacité IPv6. Et probablement une longue liste de problèmes de sécurité remontant aux alentours de 1998. Et probablement aucun moyen de les corriger de quelque manière que ce soit. Et pas de financement pour de nouvelles imprimantes.

J'entends dire qu'IPv6 et IPSEC sont censés sécuriser tout cela, mais sans réseaux physiquement séparés qui rendent ces périphériques invisibles pour Internet, je ne vois vraiment pas comment. De même, je peux vraiment voir comment les défenses que je crée seront rapidement dépassées. Cela fait des années que je fais fonctionner des serveurs sur Internet et je connais bien le genre de choses nécessaires pour les sécuriser, mais mettre quelque chose de privé sur le réseau, comme notre base de données de facturation, a toujours été complètement exclu.

Avec quoi devrais-je remplacer NAT, si nous n'avons pas de réseaux physiquement séparés?

Tout d’abord, il n’ya rien à craindre d’être sur une allocation IP publique, tant que vos périphériques de sécurité sont configurés correctement.

Avec quoi devrais-je remplacer NAT, si nous n'avons pas de réseaux physiquement séparés?

La même chose que nous séparons physiquement depuis les années 1980, les routeurs et les pare-feu. Le seul avantage important que vous obtenez avec la sécurité avec NAT est que cela vous oblige à une configuration de refus par défaut. Pour obtenir un service, vous devez explicitement percer des trous. Les périphériques les plus sophistiqués vous permettent même d’appliquer des ACL basées sur IP à ces trous, comme un pare-feu. Probablement parce qu'ils ont «Firewall» sur la boîte, en fait.

Un pare-feu correctement configuré fournit exactement le même service qu'une passerelle NAT. Les passerelles NAT sont fréquemment utilisées car elles sont plus faciles à intégrer à une configuration sécurisée que la plupart des pare-feu.

J'ai entendu dire qu'IPv6 et IPSEC sont censés sécuriser tout cela d'une manière ou d'une autre, mais sans réseaux physiquement séparés qui rendent ces périphériques invisibles pour Internet, je ne vois vraiment pas comment.

Ceci est une idée fausse. Je travaille pour une université disposant d'une allocation / 16 IPv4, et la grande majorité de notre consommation d'adresses IP se fait sur cette allocation publique. Certainement tous nos postes de travail et imprimantes pour utilisateurs finaux. Notre consommation de RFC1918 est limitée aux périphériques réseau et à certains serveurs spécifiques où de telles adresses sont requises. Je ne serais pas surpris si vous frissonniez tout à l'heure, car je l'ai certainement fait lorsque je suis arrivé le premier jour et que j'ai vu le post-it sur mon moniteur avec mon adresse IP.

Et pourtant, nous survivons. Pourquoi? Parce que nous avons un pare-feu extérieur configuré pour le refus par défaut avec un débit ICMP limité. Le fait que 140.160.123.45 soit théoriquement routable ne signifie pas que vous pouvez vous y rendre où que vous soyez sur Internet. C'est ce que les pare-feu ont été conçus pour faire.

Avec les bonnes configurations de routeur, différents sous-réseaux de notre allocation peuvent être complètement inaccessibles les uns aux autres. Vous pouvez le faire dans des tables de routeur ou des pare-feu. Il s’agit d’un réseau séparé qui a déjà satisfait nos auditeurs de la sécurité.

Il est impossible que je mette notre base de données de facturation (avec beaucoup d'informations de cartes de crédit!) Sur Internet pour que tout le monde puisse la voir.

Notre base de données de facturation se trouve sur une adresse IPv4 publique et dure depuis toute son existence, mais nous avons la preuve que vous ne pouvez pas y accéder à partir de maintenant. Ce n’est pas parce qu’une adresse figure sur la liste routable publique v4 que son adresse sera garantie. Les deux pare-feu entre les maux d’Internet et les ports de base de données réels filtrent le mal. Même de mon bureau, derrière le premier pare-feu, je ne peux pas accéder à cette base de données.

Les informations de carte de crédit constituent un cas particulier. Cela est soumis aux normes PCI-DSS, et ces normes stipulent directement que les serveurs contenant de telles données doivent se trouver derrière une passerelle NAT ¹ . Les nôtres sont, et ces trois serveurs représentent notre utilisation totale d’adresses RFC1918 par nos serveurs. Cela n'apporte aucune sécurité, mais une couche de complexité, mais nous devons cocher cette case pour les audits.

L'idée originale "IPv6 fait du NAT une chose du passé" a été avancée avant que le boom d'Internet ne frappe vraiment le grand public. En 1995, NAT était une solution de contournement pour contourner une petite allocation d’IP. En 2005, il figurait dans de nombreux documents relatifs aux meilleures pratiques de sécurité et dans au moins une norme importante (la norme PCI-DSS, en particulier). Le seul avantage concret que procure le NAT est qu’une entité externe effectuant une reconnaissance sur le réseau ne sait pas à quoi ressemble le paysage IP derrière le périphérique NAT (bien que, grâce à RFC1918, ils aient une bonne idée), et sur IPv4 sans NAT (tel que comme mon travail) ce n'est pas le cas. C'est un petit pas dans la défense en profondeur, pas un grand.

Les adresses de remplacement pour RFC1918 sont appelées adresses uniques locales. À l'instar de la RFC1918, ils n'acheminent pas à moins que leurs pairs acceptent expressément de les laisser acheminer. Contrairement à la RFC1918, ils sont (probablement) uniques au monde. Les traducteurs d'adresses IPv6 qui traduisent une ULA en une adresse IP globale existent dans les engrenages périphériques les plus élevés, mais pas encore dans les engrenages SOHO.

Vous pouvez très bien survivre avec une adresse IP publique. Gardez simplement à l'esprit que "public" ne garantit pas "accessible", et tout ira bien pour vous.

Mise à jour 2017

Ces derniers mois, Amazon aws a ajouté la prise en charge IPv6. Il vient juste d’être ajouté à leur offre amazon-vpc , et sa mise en œuvre donne quelques indices sur la manière dont on s'attend à ce que des déploiements à grande échelle soient effectués.

• Vous recevez une allocation / 56 (256 sous-réseaux).
• L'allocation est un sous-réseau entièrement routable.
• Vous êtes censé définir des règles de pare-feu ( groupes de sécurité ) suffisamment restrictives.
• Il n'y a pas de NAT, il n'est même pas offert, de sorte que tout le trafic sortant proviendra de l'adresse IP réelle de l'instance.

Pour ajouter l’un des avantages de la sécurité du NAT à l’arrière, ils proposent désormais une passerelle Internet de sortie uniquement . Cela offre un avantage semblable à NAT:

• Les sous-réseaux situés derrière ne sont pas directement accessibles depuis Internet.

Ce qui fournit une couche de défense en profondeur, au cas où une règle de pare-feu mal configurée autorise accidentellement le trafic entrant.

Cette offre ne traduit pas l'adresse interne en une adresse unique comme le fait NAT. Le trafic sortant aura toujours l'IP source de l'instance qui a ouvert la connexion. Les exploitants de pare-feu qui cherchent à ajouter des ressources à la liste blanche dans le VPC seront plus efficaces que les adresses réseau, plutôt que les adresses IP spécifiques.

Routable ne signifie pas toujours accessible .

¹ : Les normes PCI-DSS ont été modifiées en octobre 2010, la déclaration demandant des adresses RFC1918 a été supprimée et "l'isolation du réseau" l'a remplacée.

Le routeur NAT de notre bureau (un ancien Linksys BEFSR41) ne prend pas en charge IPv6. Aucun routeur plus récent non plus

IPv6 est pris en charge par de nombreux routeurs. Juste pas beaucoup de ceux bon marché destinés aux consommateurs et SOHO. Dans le pire des cas, utilisez simplement une machine Linux ou re-flashez votre routeur avec dd-wrt ou quelque chose pour obtenir le support IPv6. Il y a beaucoup d'options, vous devez probablement regarder plus fort.

Si nous sommes supposés simplement nous débarrasser de ce routeur et tout connecter directement à Internet,

Rien dans la transition vers IPv6 ne suggère de vous débarrasser des périphériques de sécurité périmétrique, tels que votre routeur / pare-feu. Les routeurs et les pare-feu resteront un composant indispensable de presque tous les réseaux.

Tous les routeurs NAT agissent efficacement comme un pare-feu avec état. Il n’ya rien de magique dans l’utilisation des adresses RFC1918 qui vous protègent tout autant. C'est le moment critique qui fait le travail difficile. Un pare-feu correctement configuré vous protégera tout aussi bien si vous utilisez des adresses réelles ou privées.

La seule protection que vous obtenez des adresses RFC1918 est de permettre aux gens d’éviter les erreurs / la paresse dans la configuration de leur pare-feu et de ne pas rester vulnérables.

Il existe quelques anciens périphériques matériels (c.-à-d. Des imprimantes) qui ne possèdent absolument aucune capacité IPv6.

Alors? Il est peu probable que vous deviez le rendre disponible sur Internet et sur votre réseau interne, vous pouvez continuer à exécuter IPv4 et IPv6 jusqu'à ce que tous vos périphériques soient pris en charge ou remplacés.

Si plusieurs protocoles ne sont pas une option, vous devrez peut-être configurer une sorte de passerelle / proxy.

IPSEC est censé sécuriser tout cela

IPSEC crypté et authentifie les paquets. Cela n'a rien à voir avec la suppression de votre appareil à la frontière et protège davantage les données en transit.

Oui. NAT est mort. Il y a eu quelques tentatives pour ratifier les normes pour NAT sur IPv6 mais aucune d'entre elles n'a été lancée.

Cela a en fait posé problème aux fournisseurs qui tentent de respecter les normes PCI-DSS, car la norme stipule en réalité que vous devez vous trouver derrière un NAT.

Pour moi, c'est l'une des plus merveilleuses nouvelles que j'ai jamais entendues. Je déteste les NAT et je déteste encore plus les NAT de classe opérateur.

Le NAT n’a jamais été conçu que comme une solution de pansement pour nous permettre d’obtenir jusqu’à ce que IPv6 devienne la norme, mais il s’est enraciné dans la société Internet.

Pour la période de transition, vous devez vous rappeler que IPv4 et IPv6 sont, à part un nom similaire, totalement différents ¹ . Donc, les périphériques qui sont Dual-Stack, votre IPv4 sera NATted et votre IPv6 ne sera pas. C'est presque comme si vous aviez deux appareils totalement séparés, juste emballés dans un seul morceau de plastique.

Alors, comment fonctionne l'accès Internet IPv6? Eh bien, la façon dont Internet fonctionnait avant l’invention du NAT. Votre FAI vous attribuera une plage IP (identique à celle qu’ils ont maintenant, mais ils vous attribuent généralement un / 32, ce qui signifie que vous n’obtenez qu’une seule adresse IP), mais votre plage contiendra désormais des millions d’adresses IP disponibles. Vous êtes libre de renseigner ces adresses IP à votre choix (avec configuration automatique ou DHCPv6). Chacune de ces adresses IP sera visible de tout autre ordinateur sur Internet.

Ça fait peur, non? Votre contrôleur de domaine, votre ordinateur multimédia personnel et votre iPhone avec votre cachette cachée de pornographie seront tous accessibles depuis Internet?! Et bien non. C'est à quoi sert un pare-feu. Une autre grande caractéristique d'IPv6 est qu'il oblige les pare-feu d'une approche "Autoriser tout" (comme le sont la plupart des périphériques domestiques) à une approche "Tout refuser", dans laquelle vous ouvrez des services pour des adresses IP particulières. 99,999% des utilisateurs à domicile seront heureux de conserver leur pare-feu par défaut et totalement verrouillé, ce qui signifie qu'aucun trafic non sollicité ne sera autorisé.

¹ _{Ok, il y a bien plus que cela, mais ils ne sont en aucun cas compatibles les uns avec les autres, même s'ils permettent tous deux que les mêmes protocoles s'exécutent par dessus}

L’exigence PCI-DSS pour NAT est bien connue pour être un théâtre de sécurité et non une sécurité réelle.

La dernière norme PCI-DSS s’est abstenue d’appeler le NAT, ce qui était une nécessité absolue. De nombreuses organisations ont passé avec succès les audits PCI-DSS avec IPv4 sans NAT, présentant des pare-feu dynamiques comme «implémentations de sécurité équivalentes».

Il existe d’autres documents sur la sécurité qui réclament le NAT, mais comme il détruit les pistes de vérification et rend plus difficile la recherche et l’atténuation des incidents, une étude plus approfondie du NAT (avec ou sans PAT) devient un négatif net pour la sécurité.

Un bon pare-feu dynamique sans NAT est une solution nettement supérieure au NAT dans un monde IPv6. Dans IPv4, la traduction d'adresses réseau est un mal nécessaire à tolérer pour préserver les adresses.

Malheureusement, il faudra un certain temps avant de pouvoir vous échapper avec un réseau à pile unique IPv6. Jusque-là, la méthode d'exécution consiste à utiliser une double pile avec une préférence pour IPv6, le cas échéant.

Bien que la plupart des routeurs grand public ne prennent pas en charge IPv6 avec le microprogramme standard à l'heure actuelle, beaucoup peuvent le prendre en charge avec des firmwares tiers (par exemple, Linksys WRT54G avec dd-wrt, etc.). De plus, de nombreux périphériques professionnels (Cisco, Juniper) prennent en charge IPv6 prêt à l'emploi.

Il est important de ne pas confondre PAT (NAT plusieurs-à-un, comme c'est souvent le cas sur les routeurs consommateurs) avec d'autres formes de NAT et avec un pare-feu sans NAT; Une fois qu'Internet devient IPv6 uniquement, les pare-feu empêchent toujours l'exposition des services internes. De même, un système IPv4 avec NAT un à un n'est pas automatiquement protégé; c'est le travail d'une politique de pare-feu.

Il y a énormément de confusion à ce sujet, car les administrateurs réseau voient le NAT sous un jour, et les clients des petites entreprises et des particuliers le voient sous un autre angle. Laissez-moi clarifier.

Le NAT statique (parfois appelé NAT un à un) n'offre aucune protection pour votre réseau privé ou un PC individuel. Changer l'adresse IP n'a pas de sens en ce qui concerne la protection.

NAT / PAT dynamique surchargé, comme le font la plupart des passerelles résidentielles et des points d'accès wifi, aide de manière absolue à protéger votre réseau privé et / ou votre PC. De par sa conception, la table NAT de ces périphériques est une table d'états. Il garde une trace des demandes sortantes et les mappe dans la table NAT - les connexions expirent après un certain temps. Tous les cadres entrants non sollicités qui ne correspondent pas à ce qui est dans la table NAT sont supprimés par défaut - le routeur NAT ne sait pas où les envoyer dans le réseau privé, il les supprime donc. De cette manière, votre routeur est le seul appareil que vous laissez vulnérable. Comme la plupart des exploits de sécurité sont basés sur Windows - le fait d’avoir un tel périphérique entre Internet et votre PC Windows aide réellement à protéger votre réseau. Ce ne peut pas être la fonction prévue à l'origine, qui était d'économiser sur l'IP publique, mais il fait le travail. En prime, la plupart de ces périphériques disposent également de fonctions de pare-feu qui bloquent souvent les demandes ICMP par défaut, ce qui permet également de protéger le réseau.

Compte tenu des informations ci-dessus, l'élimination avec NAT lors du passage à IPv6 pourrait exposer des millions de périphériques grand public et de petites entreprises à un piratage potentiel. Cela aura peu ou pas d'incidence sur les réseaux d'entreprise, car ils disposent de pare-feu gérés de manière professionnelle. Les réseaux grand public et des petites entreprises peuvent ne plus avoir de routeur NAT basé sur * nix entre Internet et leur PC. Il n'y a aucune raison pour qu'une personne ne puisse pas passer à une solution uniquement avec un pare-feu - beaucoup plus sûre si elle est déployée correctement, mais aussi au-delà de ce que 99% des consommateurs comprennent comment faire. Le NAT dynamique surchargé offre un minimum de protection simplement en l'utilisant: branchez votre routeur résidentiel et vous êtes protégé. Facile.

Cela dit, il n'y a aucune raison pour que le NAT ne puisse pas être utilisé exactement de la même manière que dans IPv4. En fait, un routeur pourrait être conçu pour avoir une adresse IPv6 sur le port WAN avec un réseau privé IPv4 derrière lui, ainsi que le NAT sur celui-ci (par exemple). Ce serait une solution simple pour les consommateurs et les résidents. Une autre option consiste à placer tous les périphériques avec des adresses IP publiques IPv6: le périphérique intermédiaire pourrait alors faire office de périphérique L2, mais fournir une table d'états, une inspection des paquets et un pare-feu pleinement opérationnel. Essentiellement, pas de NAT, mais bloquant toujours les images entrantes non sollicitées. La chose importante à retenir est que vous ne devez pas brancher votre PC directement sur votre connexion WAN sans périphérique intermédiaire. À moins bien sûr que vous souhaitiez utiliser le pare-feu Windows. . . et c'est une discussion différente.

Il y aura des difficultés de croissance pour passer à IPv6, mais il n’ya pas de problème qui ne puisse pas être résolu assez facilement. Devrez-vous abandonner votre ancien routeur IPv4 ou votre passerelle résidentielle? Peut-être, mais il y aura de nouvelles solutions peu coûteuses disponibles le moment venu. Espérons que de nombreux appareils n’auront besoin que d’un micrologiciel flash. IPv6 pourrait-il être conçu pour s’intégrer de manière plus transparente dans l’architecture actuelle? Bien sûr, mais c'est ce que c'est et ça ne va pas disparaître - Alors, autant le savoir, le vivre, l'aimer.

Si le NAT survit dans le monde IPv6, il s'agira probablement d'un NAT 1: 1. Une forme un NAT jamais vu dans l'espace IPv4. Qu'est-ce qu'un NAT 1: 1? C'est une traduction 1: 1 d'une adresse globale en une adresse locale. L'équivalent IPv4 traduirait toutes les connexions en 1.1.1.2 uniquement en 10.1.1.2, et ainsi de suite, pour tout l'espace 1.0.0.0/8. La version IPv6 consisterait à traduire une adresse globale en une adresse locale unique.

Une sécurité accrue peut être fournie en faisant fréquemment pivoter le mappage pour les adresses qui ne vous intéressent pas (comme les utilisateurs de bureau internes parcourant Facebook). En interne, vos numéros ULA resteraient identiques, de sorte que votre DNS à horizon partagé continuerait à fonctionner correctement, mais en externe, les clients ne seraient jamais sur un port prévisible.

Mais, en réalité, il ne s’agit que d’une petite amélioration de la sécurité. L'analyse des sous-réseaux IPv6 est une tâche très lourde et irréalisable sans une reconfiguration de la manière dont les adresses IP sont attribuées sur ces sous-réseaux (méthode de génération MAC? Méthode aléatoire? Affectation statique d'adresses lisibles par l'homme?).

Dans la plupart des cas, les clients situés derrière le pare-feu de l'entreprise obtiendront une adresse globale, peut-être un ULA, et le pare-feu de périmètre sera configuré pour interdire toutes les connexions entrantes de toutes sortes à ces adresses. À toutes fins utiles, ces adresses sont inaccessibles de l'extérieur. Une fois que le client interne établit une connexion, les paquets sont autorisés à traverser cette connexion. La nécessité de changer l’adresse IP en quelque chose de complètement différent est gérée en forçant un attaquant à parcourir 2 ^ 64 adresses possibles sur ce sous-réseau.

La RFC 4864 décrit la protection de réseau local IPv6 , un ensemble d’approches permettant de tirer parti des avantages perçus du NAT dans un environnement IPv6, sans avoir à recourir au NAT.

Ce document décrit un certain nombre de techniques pouvant être combinées sur un site IPv6 afin de protéger l’intégrité de son architecture réseau. Ces techniques, appelées collectivement protection de réseau local, conservent le concept d'une frontière bien définie entre le réseau "intérieur" et "extérieur" du réseau privé et autorisent le pare-feu, le masquage de topologie et la confidentialité. Cependant, comme ils préservent la transparence d'adresse là où c'est nécessaire, ils atteignent ces objectifs sans l'inconvénient de la traduction d'adresse. Ainsi, la protection de réseau local dans IPv6 peut fournir les avantages de la traduction d'adresses réseau IPv4 sans les inconvénients correspondants.

Il expose d'abord quels sont les avantages perçus de la traduction d'adresses réseau (et les désamorce le cas échéant), puis décrit les fonctionnalités d'IPv6 qui peuvent être utilisées pour offrir ces mêmes avantages. Il fournit également des notes de mise en œuvre et des études de cas.

Bien qu'il soit trop long de réimprimer ici, les avantages discutés sont les suivants:

• Une simple passerelle entre "dedans" et "dehors"
• Le pare-feu avec état
• Suivi utilisateur / application
• Confidentialité et masquage de topologie
• Contrôle indépendant de l'adressage dans un réseau privé
• Multihébergement / renumérotation

Cela couvre à peu près tous les scénarios dans lesquels on aurait pu vouloir NAT et offre des solutions pour les implémenter en IPv6 sans NAT.

Certaines des technologies que vous utiliserez sont:

• Adresses locales uniques: préférez celles-ci sur votre réseau interne pour garder vos communications internes internes et pour garantir que les communications internes puissent continuer même en cas de panne du FAI.
• Extensions de confidentialité IPv6 avec des durées de vie d’adresse courtes et des identificateurs d’interface non clairement structurés: elles permettent d’empêcher d’attaquer des hôtes individuels et d’analyser des sous-réseaux.
• IGP, Mobile IPv6 ou VLAN peuvent être utilisés pour masquer la topologie du réseau interne.
• Avec les ULA, le protocole DHCP-PD du fournisseur de services Internet facilite la renumérotation / le multihébergement plus facilement qu'avec IPv4.

( Voir le RFC pour plus de détails; encore une fois, il est beaucoup trop long de réimprimer ou même de prendre des extraits significatifs.)

Pour une discussion plus générale sur la sécurité de transition IPv6, voir RFC 4942 .

Genre de. Il existe en réalité différents "types" d'adresses IPv6. Le plus proche de la RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) est appelé "adresse locale unique" et est défini dans la RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Vous commencez donc par fd00 :: / 8, puis ajoutez une chaîne de 40 bits (en utilisant un algorithme prédéfini dans le RFC!) Et vous vous retrouvez avec un préfixe pseudo-aléatoire / 48 qui devrait être globalement unique. Vous avez le reste de l'espace d'adressage à affecter comme vous le souhaitez.

Vous devez également bloquer fd00 :: / 7 (fc00 :: / 8 et fd00 :: / 8) sur votre routeur (IPv6) en dehors de votre organisation, d'où le "local" dans le nom de l'adresse. Ces adresses, bien que se trouvant dans l'espace d'adressage global, ne devraient pas être accessibles au monde entier, mais simplement dans votre "organisation".

Si vos serveurs PCI-DSS ont besoin d'un IPv6 pour la connectivité à d'autres hôtes IPv6 internes, vous devez générer un préfixe ULA pour votre entreprise et l'utiliser à cette fin. Vous pouvez utiliser la configuration automatique d'IPv6 comme n'importe quel autre préfixe si vous le souhaitez.

Etant donné qu'IPv6 a été conçu pour que les hôtes puissent avoir plusieurs adresses, une machine peut avoir, en plus d'un ULA, une adresse pouvant être routée globalement. Ainsi, un serveur Web ayant besoin de communiquer à la fois avec le monde extérieur et avec les machines internes peut avoir à la fois une adresse préfex attribuée par le FAI et votre préfixe ULA.

Si vous voulez une fonctionnalité de type NAT, vous pouvez aussi regarder NAT66, mais en général, je créerais une architecture autour de ULA. Si vous avez d'autres questions, vous pouvez consulter la liste de diffusion "ipv6-ops".

IMHO: pas.

Il existe encore des endroits où SNAT / DNAT peut être utile. Pour exemple, certains serveurs ont été déplacés vers un autre réseau, mais nous ne voulons pas / nous ne pouvons pas changer l'adresse IP de l'application.

Espérons que NAT disparaisse pour toujours. C'est utile uniquement lorsque vous avez une pénurie d'adresses IP et que vous n'avez aucune fonctionnalité de sécurité qui ne soit pas fournie mieux, moins chère et plus facilement gérée par un pare-feu dynamique.

Depuis IPv6 = plus de rareté, cela signifie que nous pouvons débarrasser le monde du piratage laid que constitue le NAT.

Je n'ai pas vu de réponse définitive sur la manière dont la perte de NAT (si elle disparaît vraiment) avec IPv6 affectera la confidentialité des utilisateurs.

Avec des adresses IP de périphérique individuelles exposées publiquement, il sera beaucoup plus facile pour les services Web de surveiller (collecter, stocker, agréger dans le temps et l’espace et les sites et faciliter une multitude d’utilisations secondaires) vos voyages sur Internet à partir de vos différents périphériques. Sauf si ... les fournisseurs de services Internet, les routeurs et autres équipements permettent d'avoir facilement des adresses IPv6 dynamiques pouvant être fréquemment modifiées pour chaque périphérique.

Bien sûr, peu importe ce que nous aurons toujours la question des adresses MAC statiques Wi-Fi statiques, mais c'est une autre histoire ...

Il existe de nombreux systèmes pour prendre en charge NAT dans un scénario de transition V4 à V6. Toutefois, si vous disposez d'un réseau entièrement IPV6 et que vous vous connectez à un fournisseur IPV6 en amont, la traduction d'adresses réseau ne fait pas partie du nouvel ordre mondial, sauf que vous pouvez utiliser un tunnel entre réseaux V4 via des réseaux V6.

Cisco dispose de nombreuses informations générales sur les scénarios 4to6, la migration et la tunnelisation.

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

Également sur Wikipedia:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

La politique et les pratiques commerciales de base renforceront probablement l’existence du NAT. La pléthore d'adresses IPv6 signifie que les fournisseurs de services Internet seront tentés de facturer par périphérique ou de limiter les connexions à un nombre limité de périphériques. Voir cet article récent sur /. par exemple:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Charge-Per-Device

Pour votre information, toute personne intéressée utilise NAT / NAPT avec IPV6. Tous les systèmes d'exploitation BSD dotés de PF prennent en charge NAT66. Fonctionne très bien. D'un blog nous avons utilisé :

ipv6 nat (nat66) par FreeBSD pf

bien que nat66 soit encore en projet, mais FreeBSD le supporte déjà depuis longtemps.

(éditez le pf.conf et insérez les codes suivants)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

Vous êtes prêt!

Cela fonctionne très bien pour nous, les gens qui utilisons des calmars avec une seule adresse IP depuis des années. Avec le NAT IPv6, je peux obtenir 2 ^ 120 adresses privées (site local) qui comprend 2 ^ 56 sous-réseaux avec mes sous-réseaux 5/64. Cela signifie que je dois être 100 milliards de fois plus intelligent que n'importe quel autre gourou d'IPv6 car j'ai plus d'adresses.:D

La vérité est que ce n’est pas parce que j’ai plus d’adresses (ou que j’ai utilisé IPv6 plus longtemps que vous) que l’IPV6 (ou moi pour le même problème) est meilleur. Cependant, cela rend plus complexe IPv6 lorsqu'un pare-feu est requis à la place de PAT et que NAT n'est plus une nécessité, mais une option. L'objectif du pare-feu est d'autoriser toutes les connexions sortantes et de conserver l'état, mais de bloquer les connexions initiées entrantes.

En ce qui concerne NAPT (NAT avec PAT), il faudra un certain temps pour sortir les gens de l’esprit. Par exemple, jusqu'à ce que votre arrière-grand-père puisse configurer son propre pare-feu IPv6 sans adressage local (adresses privées) et sans assistance d'un gourou, il serait peut-être judicieux de jouer avec l'idée possible du NAT, car cela tout ce qu'il sait.

Les récentes propositions avancées pour ipv6 ont suggéré aux ingénieurs travaillant sur la nouvelle technologie d’incorporer le NAT à ipv6, raison invoquée: le NAT offre une couche de sécurité supplémentaire.

La documentation est sur le site ipv6.com, donc il semblerait que toutes ces réponses indiquant que le NAT n'offre aucune sécurité semblent un peu gênées

Je me rends compte qu'à un moment donné (on ne peut que spéculer), les adresses régionales IPv4 s'épuiseront inévitablement. Je conviens que IPv6 présente de sérieux inconvénients pour les utilisateurs. La question du NAT est extrêmement importante car elle apporte intrinsèquement sécurité, redondance, confidentialité et permet aux utilisateurs de connecter presque autant de périphériques qu'ils le souhaitent sans restriction. Oui, un pare-feu est le standard idéal contre l'intrusion réseau non sollicitée, mais le NAT ajoute non seulement une couche de protection supplémentaire, mais offre également une conception sécurisée par défaut, quelle que soit la configuration du pare-feu ou les connaissances de l'utilisateur final, quelle que soit sa définition. IPv4 avec NAT et un pare-feu est toujours plus sécurisé par défaut que IPv6 avec seulement un pare-feu. Un autre problème est la vie privée, le fait d'avoir une adresse routable sur Internet sur chaque appareil ouvrira les utilisateurs à toutes sortes de violations potentielles de la vie privée, à la collecte d'informations personnelles et au suivi de manière peu imaginable aujourd'hui. Je suis également d'avis que sans Nat, nous pourrions être ouverts à des coûts supplémentaires et à un contrôle via l'Isp. Les fournisseurs de services Internet peuvent commencer à charger par appareil ou par utilisateur, comme nous le voyons déjà avec le partage de connexion USB, ce qui réduirait considérablement la liberté de l'utilisateur final de connecter ouvertement tout appareil qu'il jugera utile. À l'heure actuelle, rares sont les fournisseurs américains de services IPv6 qui proposent IPv6 sous quelque forme que ce soit et je pense que les entreprises non technologiques seront lentes à changer en raison des coûts supplémentaires et de la moindre valeur ou de la moindre valeur.