IPv6으로 전환하면 NAT가 삭제됩니다. 좋은가요?


109

이것은 IPv6 및 NAT에 대한 정식 질문입니다

관련 :

그래서 우리 ISP는 최근 IPv6을 설정했으며, 전환에 뛰어 들기 전에 전환에 수반되는 사항을 연구했습니다.

세 가지 매우 중요한 문제를 발견했습니다.

  1. 본사의 NAT 라우터 (이전 Linksys BEFSR41)는 IPv6을 지원하지 않습니다. 최신 라우터 인 AFAICT도 마찬가지입니다. 내가 IPv6에 관해 읽고있는 책은 그것이 어쨌든 NAT를 "불필요하게"만든다고 말한다.

  2. 이 라우터를 제거하고 모든 것을 인터넷에 직접 연결해야한다면 당황하게됩니다. 모든 사람들이 볼 수 있도록 인터넷에 결제 데이터베이스 (많은 신용 카드 정보 포함)를 넣을 방법은 없습니다. 6 개의 주소 만 액세스 할 수 있도록 Windows 방화벽을 설정하도록 제안하더라도 여전히 땀이 나게됩니다. Windows, Windows 방화벽 또는 네트워크를 원격으로 사용하기에 충분히 믿지 않습니다.

  3. IPv6 기능이 전혀없는 오래된 하드웨어 장치 (예 : 프린터)가 몇 가지 있습니다. 아마도 1998 년 경에 거슬러 올라간 보안 문제에 대한 세탁 목록 일 것입니다. 실제로 어떤 식 으로든 패치 할 방법이 없을 것입니다. 그리고 새로운 프린터에 대한 자금도 없습니다.

IPv6과 IPSEC는이 모든 것을 어떻게 든 안전하게 보호해야한다고 들었지만, 물리적으로 분리 된 네트워크가 없어서 이러한 장치를 인터넷에서 볼 수 없게 만들면 실제로 어떻게 볼 수 없습니다. 마찬가지로 내가 만든 방어 기능이 짧은 순서로 오버런되는 방식을 실제로 볼 수 있습니다 . 나는 몇 년 동안 인터넷에서 서버를 운영해 왔으며 서버를 보호하는 데 필요한 것들에 대해 잘 알고 있지만 청구 데이터베이스와 같이 네트워크에 Private을 배치하는 것은 항상 의문의 여지가 없었습니다.

물리적으로 별도의 네트워크가없는 경우 NAT를 무엇으로 대체해야합니까?


9
다시 물어볼 수 있습니까? 지금은 상당히 논쟁적인 것 같습니다.
Zoredache

9
당신이 충격을받은 것은 존재하지 않습니다. 아마도 당신은 당신이 사실이라고 믿는 것들을 설명하는 방식으로 질문을 재구성하고 우리에게 그것을 확인하도록 요청해야합니다. 당신이 가정 한 것에 대해 불평하는 대신에 특정한 방식으로 작동 할 것입니다.
Zoredache

25
또한-신용 카드 정보를 저장하고 있습니까? 그리고 보안에 관해이 많은 질문이 있습니까? PCI 감사를 통과 한 적이 있습니까? 아니면 신용 카드 정보를 저장하여 계약을 위반하고 있습니까? 당신은 이것을 가속 후 조사하고 싶을 수도 있습니다.
mfinni

4
나는 포스터에 정보가 잘못되었다는 근거 (확실히 사이트의 절반에 해당)를 근거로이 질문에 대해 선의의 표결이나 투표 투표를 할 수 없습니다. 물론 OP는 잘못된 가정에 근거하여 큰 접선을 시작했으며 문제는 다시 쓰기로 할 수 있습니다.
Chris Thorpe

3
"더 이상 NAT"는 IPv6의 목표 중 하나입니다. 비록 현재 IPv6 제공에 대한 관심은 데이터 센터를 제외하고는 실제로 크게 크지 않은 것으로 보입니다 (더 큰 패킷은 더 많은 대역폭을 의미하고 더 많은 대역폭은 더 많은 돈을 의미하기 때문에). DSL의 경우는 정반대입니다. 거의 모든 사람들이 균등하게 운영하고 있기 때문에 IPv6는 더 많은 문제와 더 많은 비용을 의미합니다.
dm.skt

답변:


185

무엇보다도 보안 장치가 올바르게 구성되어 있으면 공개 IP 할당을 두려워 할 필요가 없습니다.

물리적으로 별도의 네트워크가없는 경우 NAT를 무엇으로 대체해야합니까?

우리가 1980 년대 이후 라우터와 방화벽을 물리적으로 분리 한 것과 똑같습니다. NAT를 통해 얻을 수있는 큰 보안 이점 중 하나는 기본 거부 구성으로 사용자를 강제한다는 것입니다. 얻기 위하여 어떤 그것을 통해 서비스를, 당신은 할 필요가 명시 적으로 구멍을 펀치. 더 멋진 장치를 사용하면 방화벽처럼 IP 기반 ACL을 이러한 구멍에 적용 할 수도 있습니다. 상자에 '방화벽'이 있기 때문일 수 있습니다.

올바르게 구성된 방화벽은 NAT 게이트웨이와 정확히 동일한 서비스를 제공합니다. NAT 게이트웨이는 대부분의 방화벽보다 안전한 구성에 쉽게 접근 할 수 있기 때문에 자주 사용됩니다 .

IPv6과 IPSEC는이 모든 것을 어떻게 든 안전하게 보호해야한다고 들었지만, 물리적으로 분리 된 네트워크가 없어서 이러한 장치를 인터넷에서 볼 수 없게 만들면 실제로 어떻게 볼 수 없습니다.

이것은 오해입니다. 나는 / 16 IPv4 할당이있는 대학에서 일하고 있으며, 대다수의 IP 주소 소비는 그 공개 할당에 있습니다. 확실히 우리의 모든 최종 사용자 워크 스테이션과 프린터. RFC1918 소비는 네트워크 장치 및 해당 주소가 필요한 특정 서버로 제한됩니다. 내가 방금 첫날에 나타 났을 때 내 IP 주소로 모니터의 포스트잇을 보았을 때 당신이 방금 떨었다면 놀라지 않을 것입니다.

그러나 우리는 살아남습니다. 왜? ICMP 처리량이 제한된 기본 거부 용으로 구성된 외부 방화벽이 있기 때문입니다. 140.160.123.45가 이론적으로 라우팅 가능하기 때문에 공용 인터넷 어디에서나 갈 수있는 것은 아닙니다. 이것이 방화벽을 위해 설계된 것입니다.

올바른 라우터 구성과 할당 된 다른 서브넷은 서로 완전히 연결할 수 없습니다. 라우터 테이블이나 방화벽에서이 작업을 수행 할 수 있습니다. 이것은 별도의 네트워크이며 과거 보안 감사를 만족 시켰습니다.

모든 사람들이 볼 수 있도록 인터넷에 결제 데이터베이스 (많은 신용 카드 정보 포함)를 넣을 방법은 없습니다.

Google 결제 데이터베이스는 공개 IPv4 주소에 있으며 전체 존재를위한 것이지만 여기에서 확인할 수 없다는 증거가 있습니다. 주소가 공개 v4 라우팅 가능 목록에 있다고해서 주소가 배달된다는 의미는 아닙니다. 인터넷의 악과 실제 데이터베이스 포트 사이의 두 방화벽은 악을 걸러냅니다. 심지어 내 책상에서도 첫 번째 방화벽 뒤에서 해당 데이터베이스에 접근 할 수 없습니다.

신용 카드 정보는 특별한 경우입니다. 이는 PCI-DSS 표준의 적용을받으며, 표준에 따르면 이러한 데이터를 포함하는 서버는 NAT 게이트웨이 뒤에 있어야합니다 1 . 우리는 있으며이 세 서버는 RFC1918 주소의 총 서버 사용량을 나타냅니다. 보안을 추가하는 것이 아니라 복잡한 계층이지만 감사를 위해 해당 확인란을 선택해야합니다.


인터넷 붐이 본격화되기 전에 원래의 "IPv6는 NAT를 과거의 일로 만듭니다"라는 아이디어가 제시되었습니다. 1995 년 NAT는 작은 IP 할당을 피하기위한 해결책이었습니다. 2005 년에는 많은 보안 모범 사례 문서와 하나 이상의 주요 표준 (PCI-DSS가 구체적으로 명시되어 있음)에 설명되어 있습니다. NAT가 제공하는 유일한 확실한 이점은 네트워크에서 정찰을 수행하는 외부 엔티티가 NAT 장치 뒤에서 IP 환경이 어떻게 보이는지 알지 못한다는 것입니다 (RFC1918 덕분에 추측 할 수는 있지만). 내 작품으로) 그렇지 않습니다. 심층 방어의 작은 단계이지만 큰 단계는 아닙니다.

RFC1918 주소를 대체하는 것이 고유 로컬 주소입니다. RFC1918과 마찬가지로 피어가 라우팅하도록 특별히 동의하지 않으면 라우팅하지 않습니다. RFC1918과 달리 이들은 전 세계적으로 독특합니다. ULA를 글로벌 IP로 변환하는 IPv6 주소 변환기는 아직 SOHO 장비가 아닌 더 높은 범위의 주변 장비에 존재합니다.

당신은 공개 IP 주소로 잘 살아남을 수 있습니다. '공개'는 '도달 가능'을 보장하지 않으며, 괜찮을 것입니다.


2017 년 업데이트

지난 몇 달 동안, 아마존 IPv6 지원을 추가했습니다. 제품에 방금 추가되었으며 , 구현시 대규모 배포가 어떻게 이루어질 지에 대한 힌트를 얻을 수 있습니다.

  • / 56 할당 (256 개의 서브넷)이 제공됩니다.
  • 할당은 완전히 라우팅 가능한 서브넷입니다.
  • 방화벽 규칙 ( )을 적절하게 제한적 으로 설정해야합니다 .
  • NAT는 없으며 제공되지도 않으므로 모든 아웃 바운드 트래픽은 인스턴스의 실제 IP 주소에서 나옵니다.

NAT의 보안 이점 중 하나를 다시 추가하기 위해 이제 Egress 전용 인터넷 게이트웨이를 제공하고 있습니다. 이것은 NAT와 같은 이점을 제공합니다.

  • 그 뒤에있는 서브넷은 인터넷에서 직접 액세스 할 수 없습니다.

잘못 구성된 방화벽 규칙이 실수로 인바운드 트래픽을 허용하는 경우 심층 방어 계층을 제공합니다.

이 오퍼링은 내부 주소를 NAT처럼 단일 주소로 변환하지 않습니다. 아웃 바운드 트래픽에는 여전히 연결을 연 인스턴스의 소스 IP가 있습니다. VPC에서 리소스를 허용 목록에 추가하려는 방화벽 운영자는 특정 IP 주소가 아닌 넷 블록을 허용 목록에 추가하는 것이 좋습니다.

라우팅 가능 이 항상 도달 가능함을 의미하지는 않습니다 .


1 : PCI-DSS 표준이 2010 년 10 월에 변경되었고 RFC1918 주소를 규정하는 설명이 제거되었으며 '네트워크 격리'가이를 대체했습니다.


1
더 완벽한 답변이므로 이것을 수락 됨으로 표시했습니다. 필자는 필자가 읽은 모든 방화벽 구성 주제 (1997 년부터 현장에서 시작했을 때 FreeBSD 방화벽을 직접 구축하는 것을 포함)부터 RFC1918의 사용을 강조한 것으로 생각된다. 나에게. 물론, ISP로서 우리는 IPv4 주소가 부족할 때 최종 사용자와 저렴한 라우터에 문제를 겪게 될 것이며, 그것은 곧 사라지지 않을 것입니다.
어니

"ULA를 글로벌 IP로 변환하는 IPv6 주소 변환기는 아직 SOHO 기어가 아닌 더 높은 범위의 주변 기어에 존재합니다."리눅스는 3.9.0에서 이에 대한 지원을 몇 년 동안 거부했다.
피터 그린

2
"NAT 게이트웨이는 대부분의 방화벽보다 안전한 구성에 쉽게 접근 할 수 있기 때문에 자주 사용됩니다"에 대한 질문이 있습니다. IT 전문가가 많거나 지식이없는 소비자에게는 큰 문제가되지 않지만 일반 소비자 / 순진한 소규모 비즈니스에는 큰 보안 위험이 "쉬운"것이 아닌가? 예를 들어 보안을 구성하지 않는 것이 구성하는 것보다 "쉽기"때문에 암호없는 "linksys"wifi 네트워크는 수십 년 동안 존재했습니다. 소비자 수준의 IoT 지원 장치로 가득 찬 집에서 엄마가 IPv6 방화벽을 올바르게 구성하는 것을 볼 수 없습니다. 이것이 문제라고 생각합니까?
Jason C

6
@JasonC 아니요, 이미 배송 된 소비자 수준 장비는 모든 인바운드를 거부하도록 ISP에 의해 사전 구성된 방화벽과 함께 제공됩니다. 또는 v6 지원이 없습니다. 도전 과제는 자신이하고있는 일을 알고 있지만 실제로는하지 않는 파워 유저입니다.
sysadmin1138의

1
전반적으로 훌륭한 대답이지만 방의 큰 코끼리를 간신히 다루지 않았기 때문에 하향 조정했습니다. 보안 장치를 올바르게 구성하는 것은 당연히 당할 수없는 일입니다.
Kevin Keane

57

본사의 NAT 라우터 (이전 Linksys BEFSR41)는 IPv6을 지원하지 않습니다. 최신 라우터도 없습니다

IPv6은 많은 라우터에서 지원됩니다. 소비자와 SOHO를 목표로 한 싼 것들이 많지는 않습니다. 최악의 경우, Linux 박스를 사용하거나 dd-wrt 또는 IPv6 지원을 받기 위해 라우터를 다시 플래시하십시오. 많은 옵션이 있습니다. 아마도 더 어려워 보일 것입니다.

이 라우터를 제거하고 모든 것을 인터넷에 직접 연결해야한다면,

IPv6으로의 전환에 대해서는 라우터 / 방화벽과 같은 경계 보안 장치를 제거해야한다고 제안하지 않습니다. 라우터와 방화벽은 여전히 ​​거의 모든 네트워크의 필수 구성 요소입니다.

모든 NAT 라우터는 효과적으로 상태 저장 방화벽 역할을합니다. RFC1918 주소를 사용하여 그 모든 것을 보호하는 마법은 없습니다. 열심히 일하는 것은 상태 저장 비트입니다. 제대로 구성된 방화벽은 실제 주소 나 개인 주소를 사용하는 경우에도 보호합니다.

RFC1918 주소에서 얻을 수있는 유일한 보호 기능은 사람들이 방화벽 구성에서 오류 / 게으름을 피할 수 있지만 여전히 그다지 취약하지는 않다는 것입니다.

IPv6 기능이 전혀없는 오래된 하드웨어 장치 (예 : 프린터)가 몇 가지 있습니다.

그래서? 인터넷을 통해 사용 가능하게 만들 필요는 거의 없으며 내부 네트워크에서 모든 장치가 지원되거나 교체 될 때까지 IPv4 및 IPv6을 계속 실행할 수 있습니다.

여러 프로토콜을 실행하는 것이 옵션이 아닌 경우 일종의 게이트웨이 / 프록시를 설정해야 할 수 있습니다.

IPSEC는이 모든 것을 어떻게 든 안전하게 만들어야합니다

IPSEC는 패킷을 암호화하고 인증합니다. 그것은 당신의 경계 장치를 제거하는 것과는 아무런 관련이 없으며 전송중인 데이터를 더 보호합니다.


2
너무나 많은 방법으로.
sysadmin1138

3
정확히, 실제 라우터를 사용하면 걱정할 필요가 없습니다. SonicWall에는 필요한 보안을 제공하는 몇 가지 훌륭한 옵션이 있으며 문제없이 IPv6을 지원합니다. 이 옵션은 현재 가지고있는 것보다 더 나은 보안 및 성능을 제공 할 것입니다. ( news.sonicwall.com/index.php?s=43&item=1022 )이 기사에서 볼 수 있듯이 ipv6을 처리 할 수없는 장치를 위해 sonicwall 장치를 사용하여 ipv4를 ipv6로 변환 할 수도 있습니다.
MaQleod

34

예. NAT가 죽었습니다. IPv6을 통한 NAT에 대한 표준을 비준하려는 시도가 있었지만 그 어느 것도 아직 시작되지 않았습니다.

이 표준은 실제로 NAT 뒤에 있어야한다고 명시하고 있기 때문에 PCI-DSS 표준을 충족시키려는 공급 업체에게는 실제로 문제가 발생했습니다.

나에게 이것은 내가 들어 본 것 중 가장 훌륭한 뉴스 중 하나입니다. 나는 NAT를 싫어하고, 캐리어 급 NAT를 훨씬 더 싫어한다.

NAT는 IPv6가 표준이 될 때까지 우리를 통과시키는 반창고 솔루션 일 뿐이지 만 인터넷 사회에 뿌리를 내 렸습니다.

전환 기간 동안 유사한 이름을 제외하고 IPv4와 IPv6은 완전히 다릅니다 1 을 기억해야 합니다. 따라서 듀얼 스택 장치 인 IPv4는 NAT로 연결되고 IPv6은 그렇지 않습니다. 마치 하나의 플라스틱에 포장 된 두 개의 완전히 분리 된 장치를 갖는 것과 거의 같습니다.

그렇다면 IPv6 인터넷 액세스는 어떻게 작동합니까? NAT가 발명되기 전에 인터넷이 작동했던 방식. ISP는 IP 범위를 지정하지만 (현재와 동일하지만 일반적으로 / 32를 지정하므로 하나의 IP 주소 만 갖습니다.) 이제 범위에 사용 가능한 IP 주소가 수백만 개 있습니다. 선택한대로 자동 구성 또는 DHCPv6을 사용하여이 IP 주소를 자유롭게 채울 수 있습니다. 이 IP 주소 각각은 인터넷의 다른 컴퓨터에서 볼 수 있습니다.

무섭게 들리지요? 음란물이 숨겨져있는 도메인 컨트롤러, 홈 미디어 PC 및 iPhone을 인터넷에서 모두 액세스 할 수 있습니까?! 음 ... 아니. 이것이 방화벽의 목적입니다. IPv6의 또 다른 큰 특징은 방화벽이 "모두 허용"접근 방식 (대부분의 가정용 장치와 동일)에서 "모두 거부"접근 방식으로 강제 실행 하여 특정 IP 주소에 대한 서비스를 여는 것입니다. 개인 사용자의 99.999 %가 방화벽을 기본 상태로 유지하고 완전히 잠겨 있습니다. 이는 요청하지 않은 trafffic을 허용하지 않습니다.

1 좋아, 그것보다 더 많은 방법이 있지만, 둘 다 위에서 실행되는 동일한 프로토콜을 허용하더라도 서로 호환되지는 않습니다.


1
NAT 뒤에 컴퓨터를 설치하면 보안이 강화된다고 주장하는 모든 사람들은 어떻습니까? 나는 다른 IT 관리자들로부터 이것을 많이 들었습니다. NAT가 보안 계층을 추가한다고 믿는 사람들이 많기 때문에 적절한 방화벽 만 있으면된다고해도 문제가되지 않습니다.
user9274

3
@ user9274-두 가지 방식으로 보안을 제공합니다. 1) 전 세계에서 내부 IP 주소를 숨기고 (PCI-DSS가 요구하는 이유) 2) 인터넷에서 로컬 시스템으로의 추가 "홉"입니다. 그러나 솔직히 말해서 첫 번째는 "보안을 통한 보안"일 뿐이며 전혀 보안이 아니며 두 번째로 손상된 NAT 장치는 손상된 서버만큼 위험하므로 공격자가 NAT를 통과하면 어쨌든 기계에 들어가십시오.
Mark Henderson

또한 NAT 사용을 통해 얻은 모든 보안은 IPv4 주소의 고갈을 막기위한 의도하지 않은 이점입니다. 내가 알고있는 것은 분명히 디자인 목표의 일부가 아니 었습니다.
joeqwerty

7
PCI-DSS 표준은 2010 년 10 월 말에 개정되었으며 NAT 요구 사항이 제거되었습니다 (v1.2의 1.3.8 섹션). 그래서 그들은 심지어 시간을 따라 잡고 있습니다.
sysadmin1138

2
@Mark, 언급 할 가치가 있는지 확실하지는 않지만 NAT64가 처음부터 나오고 있지만 대부분의 사람들이 생각하는 NAT는 아닙니다. IPv6 전용 네트워크는 클라이언트 '협력'없이 IPv4 인터넷에 액세스 할 수 있습니다. 작동하려면 DNS64 지원이 필요합니다.
Chris S

18

NAT에 대한 PCI-DSS 요구 사항은 실제 보안이 아닌 보안 시스템으로 잘 알려져 있습니다.

가장 최근의 PCI-DSS는 NAT를 절대 요구 사항으로 부르지 않았습니다. 많은 조직이 NAT없이 상태 저장 방화벽을 "동등한 보안 구현"으로 표시하는 IPv4로 PCI-DSS 감사를 통과했습니다.

NAT를 요구하는 다른 보안 극장 문서가 있지만 감사 추적을 파괴하고 사건 조사 / 완화를 더욱 어렵게하기 때문에 NAT (PAT 유무에 관계없이)에 대한보다 심층적 인 연구가 순 보안에 부정적인 영향을 미칩니다.

NAT가없는 상태가 양호한 상태의 방화벽은 IPv6 환경에서 NAT에 비해 훨씬 뛰어난 솔루션입니다. IPv4에서 NAT는 주소 보존을 위해 허용되는 필수 악입니다.


2
NAT는 "게으른 보안"입니다. 그리고 "게으른 보안"으로 인해 세부 사항에 대한 관심과 그에 따른 보안 손실이 발생합니다.
Skaperen

1
완전히 동의합니다. 대부분의 PCI-DSS 감사가 수행되는 방식 (검사 목록이있는 원숭이가 감사함)은 모두 게으른 보안이며 결함이 있습니다.
MadHatter

NAT가 "보안 극장"이라고 주장하는 사람들을 위해 몇 달 전에 Memcached 취약점에 대한 The Networking Nerd의 기사를 가리키고 싶습니다. Networkingnerd.net/2018/03/02/… 그는 열성적인 IPv6 지지자이자 NAT 증오 자이지만 수천 개의 회사가 인터넷에서 memcached 서버를 넓게 열어 놓았다는 사실을 지적해야했습니다. 신중하게 제작되었습니다. " NAT는 네트워크에 허용 한 내용을 명시 적으로 명시하도록합니다.
Kevin Keane

12

단일 스택 IPv6 전용 네트워크를 사용하지 않으려면 (슬프게도) 잠시만 기다려야합니다. 그때까지 IPv6을 선호하는 듀얼 스택이 실행 방법입니다.

오늘날 대부분의 소비자 라우터는 재고 펌웨어가있는 IPv6를 지원하지 않지만 많은 업체가 타사 펌웨어 (예 : dd-wrt가 포함 된 Linksys WRT54G 등)로이를 지원할 수 있습니다. 또한 많은 비즈니스 급 장치 (Cisco, Juniper)는 기본적으로 IPv6을 지원합니다.

PAT (소비자 라우터에서 일반적으로 사용되는 다 대일 NAT)를 다른 형태의 NAT 및 NAT가없는 방화벽과 혼동하지 않는 것이 중요합니다. 인터넷이 IPv6 전용이되면 방화벽은 여전히 ​​내부 서비스 노출을 방지합니다. 마찬가지로 일대일 NAT가있는 IPv4 시스템은 자동으로 보호되지 않습니다. 이것이 방화벽 정책의 일입니다.


11

네트워크 관리자가 NAT를 한 눈에보고, 소기업 및 거주 고객이 다른 것을 본 것처럼이 주제에 대해 많은 혼란이 있습니다. 명확히하겠습니다.

정적 NAT (일대일 NAT라고도 함)는 개인 네트워크 나 개별 PC를 전혀 보호하지 않습니다 . 보호와 관련하여 IP 주소를 변경하는 것은 의미가 없습니다.

대부분의 가정용 게이트웨이 및 WiFi AP와 같은 동적 과부하 NAT / PAT는 사설 네트워크 및 / 또는 PC를 보호하는 데 절대적으로 도움이됩니다. 이러한 장치에서 NAT 테이블을 설계하면 상태 테이블이됩니다. 아웃 바운드 요청을 추적하고 NAT 테이블에 매핑합니다. 일정 시간이 지나면 연결이 시간 초과됩니다. NAT 테이블의 내용과 일치하지 않는 원치 않는 인바운드 프레임은 기본적으로 삭제됩니다. NAT 라우터는 개인 네트워크에서 전송할 위치를 알 수 없으므로 삭제합니다. 이런 식으로 해킹에 취약한 유일한 장치는 라우터입니다. 대부분의 보안 공격은 Windows 기반이므로 인터넷과 Windows PC간에 이와 같은 장치를 사용하면 실제로 네트워크를 보호하는 데 도움이됩니다. 원래 의도 한 기능이 아닐 수도 있습니다. 공개 IP를 절약하는 것이었지만 작업이 완료되었습니다. 또한 대부분의 장치에는 기본적으로 ICMP 요청을 여러 번 차단하는 방화벽 기능이있어 네트워크를 보호 할 수 있습니다.

위의 정보를 감안할 때 IPv6으로 이동할 때 NAT를 사용하면 수백만의 소비자 및 소규모 비즈니스 장치가 해킹에 노출 될 수 있습니다. 방화벽은 전문적으로 방화벽을 관리하므로 회사 네트워크에는 거의 영향을 미치지 않습니다. 소비자 및 소규모 비즈니스 네트워크는 더 이상 인터넷과 PC 사이에 * nix 기반 NAT 라우터가 없을 수 있습니다. 개인이 방화벽 전용 솔루션으로 전환 할 수 없었던 이유는 없습니다. 올바르게 배포하면 훨씬 안전 할뿐 아니라 소비자의 99 %가 수행 방법을 이해하는 범위를 벗어납니다. Dynamic Overloaded NAT는 가정용 라우터에 플러그를 꽂아 사용하면 보호 기능을 제공합니다. 쉬운.

즉, NAT가 IPv4에서 사용되는 것과 같은 방식으로 NAT를 사용할 수 없었던 이유는 없습니다. 실제로 라우터는 NAT와 같은 IPv4 개인 네트워크가 뒤에있는 WAN 포트에 하나의 IPv6 주소를 갖도록 설계 될 수 있습니다 (예 : NAT). 이는 소비자 및 거주자에게 간단한 솔루션입니다. 다른 옵션은 모든 장치에 퍼블릭 IPv6 IP를 배치하는 것입니다. 중간 장치는 L2 장치로 작동 할 수 있지만 상태 테이블, 패킷 검사 및 완벽하게 작동하는 방화벽을 제공합니다. 기본적으로 NAT는 없지만 원치 않는 인바운드 프레임은 계속 차단합니다. 기억해야 할 중요한 것은 PC를 중간 장치없이 WAN 연결에 직접 연결하지 않아야한다는 것입니다. 물론 Windows 방화벽에 의존하고 싶지 않다면. . . 그리고 그것은 다른 토론입니다.

IPv6으로 전환하는 데 점점 더 많은 어려움이 있지만, 상당히 쉽게 해결할 수없는 문제는 없습니다. 기존 IPv4 라우터 또는 가정용 게이트웨이를 버려야합니까? 어쩌면 때가되면 저렴한 새 솔루션을 사용할 수있을 것입니다. 많은 장치가 펌웨어 플래시 만 있으면되기를 바랍니다. IPv6이 현재 아키텍처에보다 완벽하게 맞도록 설계 될 수 있습니까? 물론, 그것은 그것이 무엇이며 사라지지 않을 것입니다. 그래서 당신은 그것을 배우고, 살고, 사랑할 것입니다.


3
가치가있는 것은 현재 아키텍처가 근본적으로 망가졌고 (end-to-end routability) 이것이 복잡한 네트워크에서 실질적인 문제를 야기한다는 점을 반복하고 싶습니다 (중복 NAT 장치는 지나치게 복잡하고 비쌉니다). NAT 핵을 제거하면 복잡성과 잠재적 실패 지점이 줄어들고 보안은 단순한 상태 저장 방화벽에 의해 유지 관리됩니다 (기본적으로 활성화 된 상태 저장 방화벽없이 SOHO 라우터가 곧 제공 될 것으로 예상 할 수 없으므로 고객은 플러그 앤 플레이없이 생각).
Chris S

때때로 끊어진 엔드-투-엔드 라우팅 가능성이 원하는 것입니다. 프린터와 PC가 인터넷에서 라우팅되는 것을 원하지 않습니다. NAT는 해킹으로 시작되었지만 매우 유용한 도구로 발전하여 일부 경우에는 패킷이 노드로 직접 라우팅 될 가능성을 제거하여 보안을 향상시킬 수 있습니다. RFC1918 IP를 PC에 정적으로 할당 한 경우 어떠한 상황에서도 인터넷에서 IP를 라우팅 할 수 없습니다.
Computerguy

6
끊어진 라우팅은 A Bad Thing ™ 입니다. 원하는 것은 인터넷 (방화벽을 통해)으로 장치에 접근 할 수없는 것입니다. 내부적으로 IPv6을 사용하는 이유를 참조하십시오 . . 또한 RFC1918은 이러한 주소는 개인 네트워크에만 사용해야하며 인터넷 액세스는 응용 프로그램 계층 게이트웨이 (NAT가 아님)에서만 제공해야한다고 명시하고 있습니다. 외부 연결의 경우 호스트에는 IANA 조정 할당의 주소가 할당되어야합니다. 해킹은 아무리 유용하더라도 불필요한 타협을하며 '올바른'방법이 아닙니다.
Chris S

10

NAT가 IPv6 세계에서 살아남는 경우, 아마도 1 : 1 NAT 일 것입니다. IPv4 공간에서는 NAT가 보이지 않는 형태. 1 : 1 NAT 란 무엇입니까? 전체 주소를 로컬 주소로 1 : 1로 변환 한 것입니다. IPv4에 상응하는 것은 전체 1.0.0.0/8 공간에 대해 모든 연결을 1.1.1.2로만 10.1.1.2로 변환하는 것입니다. IPv6 버전은 전체 주소를 고유 로컬 주소로 변환하는 것입니다.

관심이없는 주소 (Facebook을 탐색하는 내부 사무실 사용자 등)에 대한 매핑을 자주 교체하여 보안을 강화할 수 있습니다. 내부적으로 ULA 번호는 동일하게 유지되므로 분할 수평 DNS는 계속 정상적으로 작동하지만 외부 클라이언트는 예측 가능한 포트에 있지 않습니다.

그러나 실제로, 그것은 번거 로움에 대한 소량의 향상된 보안입니다. IPv6 서브넷 스캔은 정말 큰 작업이며 해당 서브넷에서 IP 주소가 할당되는 방식 (MAC 생성 방법, 임의 방법, 사람이 읽을 수있는 주소의 정적 할당)에 대한 정찰 없이는 불가능합니다.

대부분의 경우, 회사 방화벽 뒤의 클라이언트는 전체 주소, 아마도 ULA를 얻게되고 경계 방화벽은 해당 주소에 대한 모든 종류의 들어오는 연결을 거부하도록 설정됩니다. 모든 의도와 목적을 위해 해당 주소는 외부에서 접근 할 수 없습니다. 내부 클라이언트가 연결을 시작하면 해당 연결을 통해 패킷이 허용됩니다. IP 주소를 완전히 다른 것으로 변경해야 할 경우 공격자가 해당 서브넷에서 2 ^ 64 개의 가능한 주소를 통과하도록해야합니다.


@ sysadmin1138 :이 솔루션이 마음에 듭니다. 현재 IPv6을 이해하면서 ISP가 / 64를 제공하는 경우 컴퓨터가 IPv6 인터넷에 액세스 가능하도록하려면 전체 네트워크에서 해당 / 64를 사용해야합니다. 그러나 그 ISP에 질려서 다른 ISP로 옮길 경우, 모든 것을 완전히 다시 번호 화해야합니다.
Kumba

1
@ sysadmin1138 : 그러나, 나는 IPv4보다 단일 인터페이스에 여러 IP를 훨씬 쉽게 할당 할 수 있다는 것을 알았으므로 외부 액세스를 위해 ISP가 제공 한 / 64를 사용하고 개인 내부 ULA 구성표를 호스트간에 통신하고 방화벽을 사용하여 외부에서 ULA 주소에 접근 할 수 없도록합니다. 더 많은 설정 작업이 필요하지만 NAT를 완전히 피하는 것처럼 보입니다.
Kumba

@ sysadmin1138 : ULA가 왜 모든 의도와 목적을 위해 사적이지만 여전히 전 세계적으로 독창적 일 것으로 기대 되는가에 대해 머리를 긁었습니다. 마치 현재 이용 가능한 모든 제조사와 모델의 자동차를 가질 수 있지만 다른 사람이 이미 사용하고있는 제조사 / 모델 / 연도는 내 차이고 내가 가질 수있는 유일한 드라이버 일지라도 말입니다.
Kumba

2
@Kumba RFC 4193 주소가 전 세계적으로 고유해야하는 이유는 앞으로 번호를 다시 매길 필요가 없기 때문입니다. 언젠가 RFC 4193 주소를 사용하여 두 개의 네트워크를 병합해야하거나 RFC 4193 주소를 이미 가질 수있는 한 시스템은 RFC 4193 주소를 가진 하나 이상의 VPN에 연결해야 할 수도 있습니다.
kasperd

1
@Kumba 만약 모두가 그들의 네트워크의 첫 번째 세그먼트에 fd00 :: / 64를 사용했다면, 그러한 두 네트워크 쌍이 통신해야하는 즉시 충돌이 일어날 것입니다. RFC 4193의 요점은 40 비트를 무작위로 선택하는 한 나머지 80 비트를 할당 할 수 있지만 안심하고 계속 번호를 다시 매길 필요는 없다는 것입니다.
kasperd

9

RFC 4864는 실제로 NAT에 의존하지 않고 IPv6 환경에서 NAT의 인식 된 이점을 제공하기위한 접근 방법 인 IPv6 로컬 네트워크 보호에 대해 설명합니다 .

이 문서는 네트워크 아키텍처의 무결성을 보호하기 위해 IPv6 사이트에서 결합 될 수있는 많은 기술을 설명했습니다. 집합 적으로 로컬 네트워크 보호라고하는 이러한 기술은 개인 네트워크의 "내부"와 "외부"사이에 잘 ​​정의 된 경계 개념을 유지하며 방화벽, 토폴로지 숨기기 및 개인 정보 보호를 허용합니다. 그러나 필요한 경우 주소 투명성을 유지하기 때문에 주소 변환의 단점없이 이러한 목표를 달성합니다. 따라서 IPv6의 로컬 네트워크 보호는 해당 단점없이 IPv4 네트워크 주소 변환의 이점을 제공 할 수 있습니다.

먼저 NAT의 인식 된 이점이 무엇인지 파악하고 (해당되는 경우 해제), 동일한 이점을 제공하는 데 사용할 수있는 IPv6의 기능에 대해 설명합니다. 또한 구현 노트와 사례 연구를 제공합니다.

여기에서 재 인쇄하기에는 너무 길지만 논의 된 이점은 다음과 같습니다.

  • "내부"와 "외부"사이의 간단한 게이트웨이
  • 상태 저장 방화벽
  • 사용자 / 응용 프로그램 추적
  • 프라이버시 및 토폴로지 숨기기
  • 개인 네트워크에서 주소 지정을 독립적으로 제어
  • 멀티 호밍 / 리 넘버링

이것은 NAT를 원했을지도 모르는 모든 시나리오를 다루며 NAT없이 IPv6에서 구현하기위한 솔루션을 제공합니다.

사용할 기술 중 일부는 다음과 같습니다.

  • 고유 한 로컬 주소 : 내부 통신에서 내부 통신을 유지하고 ISP가 중단 된 경우에도 내부 통신을 계속할 수 있도록하려면 내부 네트워크에서이 주소를 선호하십시오.
  • 주소 수명이 짧고 구조가 명확하지 않은 인터페이스 식별자를 가진 IPv6 개인 정보 확장 : 개별 호스트 및 서브넷 검색을 방지합니다.
  • IGP, 모바일 IPv6 또는 VLAN을 사용하여 내부 네트워크의 토폴로지를 숨길 수 있습니다.
  • ULA와 함께 ISP의 DHCP-PD를 사용하면 IPv4보다 번호를 다시 매기거나 멀티 호밍 할 수 있습니다.

( 자세한 내용은 RFC참조 하십시오. 다시 인쇄하거나 상당한 발췌 부분을 취하기에는 너무 오래 걸립니다.)

IPv6 전환 보안에 대한보다 일반적인 설명은 RFC 4942를 참조하십시오 .


8

거의. IPv6 주소에는 실제로 "유형"이 다릅니다. RFC 1918 (10/8, 172.16 / 12, 192.168 / 16)에 가장 가까운 것을 "고유 로컬 주소"라고하며 RFC 4193에 정의되어 있습니다.

http://en.wikipedia.org/wiki/Unique_local_address

따라서 fd00 :: / 8로 시작한 다음 RFC에서 사전 정의 된 알고리즘을 사용하여 40 비트 문자열을 추가하면 전역 적으로 고유 한 의사 난수 / 48 접두사로 끝납니다. 그러나 할당 할 나머지 주소 공간이 있습니다.

또한 (IPv6) 라우터에서 fd00 :: / 7 (fc00 :: / 8 및 fd00 :: / 8)을 조직 외부로 차단해야하므로 주소 이름의 "로컬"입니다. 이러한 주소는 전체 주소 공간에있는 동안 "조직"내에서만 전 세계에 도달 할 수 없어야합니다.

PCI-DSS 서버에 다른 내부 IPv6 호스트에 연결하기 위해 IPv6이 필요한 경우 회사의 ULA 접두사를 생성하여이 목적으로 사용해야합니다. 원하는 경우 다른 접두사처럼 IPv6의 자동 구성을 사용할 수 있습니다.

IPv6은 호스트가 여러 주소를 가질 수 있도록 설계되었으므로 ULA 이외에도 전 세계적으로 라우팅 가능한 주소를 컴퓨터에 가질 수 있습니다. 따라서 외부 세계와 내부 시스템과 통신해야하는 웹 서버는 ISP 할당 프리 펙스 주소와 ULA 접두사를 모두 가질 수 있습니다.

NAT와 같은 기능을 원한다면 NAT66도 볼 수 있지만 일반적으로 ULA를 중심으로 설계합니다. 추가 질문이 있으면 "ipv6-ops"메일 링리스트를 확인하십시오.


1
하 나는 모든 의견을 sysadmin1138에 쓰고 글로벌 및 로컬 통신에 이중 주소를 사용하는 것에 대한 귀하의 답변을 보지조차 않았습니다. 그러나 전 세계적으로 고유해야하는 ULA의 통념에 동의하지 않습니다. 나는 40 비트 숫자를 무작위 좋아하지 않아 전혀 특히 그 중 내 내부 LAN을 위해, 나는 유일한 사용자입니다. 아마도 등록하려면 세계 ULA 데이터베이스가 필요하지만 (SixXS는 그런 식으로 실행) 난수 혼란을 없애고 사람들을 창의적으로 만들 수 있습니다. 개인 번호판처럼. 당신은 하나를 신청하고 그것이 찍히면 다른 것을 시도합니다.
Kumba

1
@Kumba는 동일한 주소를 사용하여 모든 단일 네트워크를 중지하려고합니다. 무작위는 공용 데이터베이스가 필요하지 않으며 각 네트워크는 독립적입니다. IP 주소를 중앙에서 발급하려면 전역 주소를 사용하십시오!
Richard Gadsden

@Richard : 그건 ... 어설픈 개념, IMHO를 어떻게 넣을까요? 몬태나의 한 도시에있는 소규모 Joe Company가 호주 퍼스에있는 다른 소규모 회사와 동일한 IPv6 주소 지정을 사용하는 경우 왜 중요합니까? 두 교차점의 가능성은 불가능하지는 않지만 매우 불가능합니다. IPv6 디자이너의 의도가 "개인 네트워크"라는 개념을 완전히 사용하지 않으려는 경우, 현실적으로 실현 가능하지 않기 때문에 커피를 확인해야합니다.
Kumba

2
@Kumba 10/8에서 두 개의 큰 IPv4 개인 네트워크를 병합하려고 할 때 그들이 피하려고하는 그들 중 하나 (또는 ​​둘 다)의 번호를 다시 매길 때의 흉터라고 생각합니다.
Richard Gadsden

2
@Richard : 정확히, VPN을 사용하여 동일한 사설 서브넷을 가진 다른 네트워크에 연결하는 것보다 더 고통스러운 일은 없습니다. 일부 구현은 작동을 멈출 것입니다.
Hubert Kario

4

IMHO : 아닙니다.

SNAT / DNAT가 유용 할 수있는 곳이 여전히 있습니다. 예를 들어 일부 서버는 다른 네트워크로 이동했지만 응용 프로그램의 IP를 변경하고 싶지 않습니다.


1
응용 프로그램 구성에서 IP 주소 대신 DNS 이름을 사용해야합니다.
rmalayter

전체 라우팅 토폴로지 및 방화벽 규칙을 수정하지 않고 네트워크 경로를 만들어야하는 경우 DNS는 문제를 해결하지 않습니다.
sumar

3

바라건대 NAT는 영원히 사라질 것입니다. IP 주소가 부족하고 상태 저장 방화벽으로 더 좋고 저렴하며 쉽게 관리 할 수없는 보안 기능이없는 경우에만 유용합니다.

IPv6는 더 이상 부족하지 않으므로 NAT 인 못생긴 해킹의 세계를 제거 할 수 있습니다.


3

IPv6으로 NAT를 잃어버린 경우 (실제로 사라지는 경우) 사용자 개인 정보에 어떤 영향을 미치는지에 대한 결정적인 답변을 보지 못했습니다.

개별 장치 IP 주소가 공개적으로 노출되면 웹 서비스가 다양한 장치에서 인터넷을 여행 할 때 훨씬 쉽게 감시 할 수 있습니다 (시간과 공간 및 사이트에 대한 수집, 저장, 집계 및 다수의 보조 사용 촉진). ISP, 라우터 및 기타 장비를 사용하면 각 장치마다 자주 변경 될 수있는 동적 IPv6 주소를 가질 수 있고 쉽게 가질 수 있습니다.

물론 정적 Wi-Fi MAC 주소가 공개되는 문제가 무엇이든간에 그것은 또 다른 이야기입니다 ...


2
개인 정보 주소 만 활성화하면됩니다. 이것은 NAT가했던 것처럼 많은 프라이버시를 제공 할 것입니다. 또한 IPv6을 사용하면 잘못된 IPID 선택으로 인한 문제에 훨씬 덜 노출됩니다.
kasperd

2

V4에서 V6 로의 전환 시나리오에서 NAT를 지원하기위한 많은 체계가 있습니다. 그러나 모든 IPV6 네트워크가 있고 업스트림 IPV6 제공자에 연결하는 경우 V6 네트워크를 통해 V4 네트워크간에 터널링 할 수 있다는 점을 제외하고 NAT는 새로운 세계 질서의 일부가 아닙니다.

Cisco는 4to6 시나리오, 마이그레이션 및 터널링에 대한 많은 일반 정보를 제공합니다.

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

또한 Wikipedia에서 :

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms


2

정치 및 기본 비즈니스 관행은 NAT의 존재를 더욱 발전시킬 것입니다. 많은 IPv6 주소는 ISP가 장치 당 충전을 원하거나 제한된 수의 장치로만 연결을 제한하려는 유혹을받습니다. /에서이 최신 기사를 참조하십시오. 예를 들면 다음과 같습니다.

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device


2
확실하지 않아요. 장치 당 충전을 시도하는 모든 ISP에 대해 엄청난 기술적 반란이있을 것이라고 생각합니다. ISP가 왜이 아이디어를 뛰어 넘을 수 있는지 알 수 있지만, 실제로는 연결의 다른 쪽 끝에 몇 개의 장치가 있는지 알 수 있기 때문입니다.
Mark Henderson

1
나가는 연결에 임시 주소를 사용하여 일정 수준의 익명 성을 제공하려는 움직임을 고려할 때 불가능하지는 않지만 장치 별 규칙을 적용하는 것은 복잡 할 것입니다. 이 체계에서 장치는 할당 된 다른 장치 외에 2 개 이상의 활성 전역 주소를 가질 수 있습니다.
BillThor

2
@Mark Henderson-장치 당 요금을 부과하는 ISP가 이미 있습니다. 예를 들어 AT & T는 "테 더링"에 대해 추가 요금을 청구합니다.
Richard Gadsden

1
@Richard – 만약 그렇다면, AT & T와 함께라면 더운 것처럼 떨어 뜨릴 것입니다
Mark Henderson

@Mark-AT & T 무선입니다 (예 : iPhone 계약을보십시오).
Richard Gadsden

-2

참고로 흥미로운 사람은 IPV6 캔과 함께 NAT / NAPT를 사용하는 것입니다. PF가있는 모든 BSD 운영 체제는 NAT66을 지원합니다. 잘 작동합니다. 우리가 사용한 블로그에서 :

FreeBSD pf의 ipv6 nat (nat66)

nat66은 아직 초안이지만 FreeBSD pf는 이미 오랫동안 지원하고 있습니다.

(pf.conf를 편집하고 다음 코드를 삽입하십시오)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

당신 준비 다 됐어요!

수년간 단일 IP 주소로 오징어를 사용해 온 사람들에게 좋습니다. IPv6 NAT를 사용하면 5/64 개의 서브넷으로 2 ^ 56 개의 서브넷을 포함하는 2 ^ 120 개의 개인 주소 (사이트 로컬)를 얻을 수 있습니다. 즉, 더 많은 주소가 있기 때문에 다른 IPv6 전문가보다 1000 억 배 더 똑똑해야합니다. : D

진실은 내가 더 많은 주소를 가지고 있거나 IPv6를 더 오래 사용했을 수도 있기 때문에 실제로 IPv6 (또는 같은 문제에 대해 나)을 더 잘 만들지 못한다는 것입니다. 그러나 PAT 대신 방화벽이 필요하고 NAT가 더 이상 요구 사항이 아닌 옵션 인 경우 IPv6을 더 복잡하게 만듭니다. 방화벽의 목표는 모든 아웃 바운드 연결을 허용하고 상태를 유지하면서 인바운드 시작 연결을 차단하는 것입니다.

NAPT (NAT with PAT)의 경우 사람들을 사고에서 벗어나려면 시간이 좀 걸릴 것입니다. 예를 들어, 증조부가 사이트 로컬 주소 지정 (개인 주소)과 전문가의 도움없이 자신의 IPv6 방화벽을 설정할 수있게 될 때까지 NAT에 대한 아이디어를 가지고 놀아 보는 것이 좋습니다. 그가 아는 ​​모든 것.


2
결국 IPv6를 지원하는 평균 SOHO 장비는 거의 확실하게 IPv6 NAT없이 제공됩니다 (인용하는 NAT66은 NATv4와 동일하게 작동하지 않지만 어쨌든 함께 사용할 것입니다). 인바운드 트래픽 (상태 적으로 아웃 바운드 연결 허용)은 오늘날 IPv4 SOHO 장비와 거의 동일한 보안을 제공합니다. 다른 사람들이 지적했듯이, 우리는 사람들이 해킹 기술에 만족하고 편안하다는 것을 이해합니다. 즉, 보안 극장보다 필요하거나 그 이상을 의미하지는 않습니다.
Chris S

NAT66은 NAT44와 동일하게 작동하지 않아도됩니다. 사람들이 IPv6을 더 빨리 탐색 할 수 있도록 동일한 소리 만 있으면됩니다. IPv6에 접속하면 팀으로 작업하여 방화벽을 올바르게 구성 할 수 있어야합니다. 팀으로 일하거나 NAT44444를 사용해야합니다. 당신의 선택.
gnarlymarley

PF만이 아닙니다. 실제로 대부분의 라우터는 IPv4와 동일한 종류의 NAT를 수행 할 수 있습니다. OpenWRT뿐만 아니라 Fortinet 라우터에서도이 기능을 보았습니다.
Kevin Keane

-2

ipv6에 대한 최근 제안은 새로운 기술을 개발하는 엔지니어가 NAT를 ipv6에 통합 할 것을 제안했습니다. 이유는 다음과 같습니다. NAT는 추가 보안 계층을 제공합니다.

이 문서는 ipv6.com 웹 사이트에 있으므로 NAT가 제공하지 않는 보안 기능이 조금 당황스러워 보인다는 모든 대답이 보일 것입니다.


1
아마도 추가 보안 계층을 제공한다고 생각하는 NAT에 관한 정보를 정확히 확장 할 수 있습니까? 구체적으로, 어떤 특정 위협에 대해 어떤 위험이 완화됩니까?
키우기

NAT가 제공하는 '보안'은 난독 화이며 네트워크를 기본 거부 상태로 만드는 것입니다. 전자는 논란의 여지가 있지만 후자는 좋은 생각입니다. 기본 거부는 다른 방법으로 쉽게 달성 할 수 있으며 IPv6은 NAT 의 주요 기술적 이유 중 하나 인 IP 부족을 제거합니다.
sysadmin1138

2
IPv6.com 에는 NAT관한 페이지가 있습니다 . "보안 문제는 종종 네트워크 주소 변환 프로세스 방어에 사용되지만 인터넷의 핵심 원칙은 다른 네트워크 리소스에 대한 종단 간 연결을 제공하는 것입니다. " 또한 "IPv6이 IPv4 프로토콜을 천천히 대체함에 따라 네트워크 주소 변환 프로세스가 중복되고 쓸모 없게됩니다."
Ladadadada

-6

미래의 어느 시점에서 (추측 만 할 수있는) 지역 IPv4 주소가 필연적으로 소진 될 것임을 알고 있습니다. IPv6에는 몇 가지 심각한 사용자 단점이 있습니다. NAT의 문제는 본질적으로 보안, 중복성, 개인 정보를 제공하고 사용자가 제한없이 원하는만큼 많은 장치를 연결할 수있게하므로 매우 중요합니다. 예. 방화벽은 원치 않는 네트워크 침입에 대한 황금 표준이지만 NAT는 또 다른 보호 계층을 추가 할뿐만 아니라 방화벽 구성이나 최종 사용자의 지식에 관계없이 IPv4를 어떻게 정의하든 관계없이 기본 설계로 보안을 제공합니다. NAT를 사용하면 방화벽은 기본적으로 방화벽보다 IPv6보다 안전합니다. 또 다른 문제는 프라이버시입니다. 모든 장치에 인터넷 라우팅 가능 주소가 있으면 오늘날에는 거의 불가능한 모든 종류의 개인 정보 보호 위반, 개인 정보 수집 및 추적이 가능합니다. 또한 Nat가 없으면 Isp를 통해 비용을 추가하고 통제 할 수 있다는 의견도 있습니다. USB 테 더링에서 이미 본 것처럼 Isp는 장치 또는 사용자 사용 요금에 따라 충전을 시작할 수 있습니다. 이렇게하면 최종 사용자가 자신이 원하는 장치를 공개적으로 연결할 수있는 자유가 크게 줄어 듭니다. 현재로서는 미국 ISP가 어떤 형태로든 IPv6을 제공하는 경우가 거의 없으며 가치가 거의 없거나 전혀없는 추가 비용으로 인해 비 기술적 인 비즈니스의 경우 전환 속도가 느릴 것입니다.


4
NAT는 보안의 환상입니다.
Skaperen

4
NAT는 전혀 보호하지 않습니다. NAT와 함께 제공되는 자동 방화벽은 NAT의 모든 단점을 즐기면서도 즐길 수있는 "보호"기능을 제공합니다.
Michael Hampton
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.