IPv6으로 전환하면 NAT가 삭제됩니다. 좋은가요?

이것은 IPv6 및 NAT에 대한 정식 질문입니다

관련 :

• IPv6 서브넷은 어떻게 작동하며 IPv4 서브넷과 어떻게 다릅니 까?
• 동적 IPv6 네트워크 주소 지정에 어떻게 '발가락을 담글'수 있습니까?
• NAT가없는 IPv6이지만 ISP 변경은 어떻습니까?

그래서 우리 ISP는 최근 IPv6을 설정했으며, 전환에 뛰어 들기 전에 전환에 수반되는 사항을 연구했습니다.

세 가지 매우 중요한 문제를 발견했습니다.

1. 본사의 NAT 라우터 (이전 Linksys BEFSR41)는 IPv6을 지원하지 않습니다. 최신 라우터 인 AFAICT도 마찬가지입니다. 내가 IPv6에 관해 읽고있는 책은 그것이 어쨌든 NAT를 "불필요하게"만든다고 말한다.

2. 이 라우터를 제거하고 모든 것을 인터넷에 직접 연결해야한다면 당황하게됩니다. 모든 사람들이 볼 수 있도록 인터넷에 결제 데이터베이스 (많은 신용 카드 정보 포함)를 넣을 방법은 없습니다. 6 개의 주소 만 액세스 할 수 있도록 Windows 방화벽을 설정하도록 제안하더라도 여전히 땀이 나게됩니다. Windows, Windows 방화벽 또는 네트워크를 원격으로 사용하기에 충분히 믿지 않습니다.

3. IPv6 기능이 전혀없는 오래된 하드웨어 장치 (예 : 프린터)가 몇 가지 있습니다. 아마도 1998 년 경에 거슬러 올라간 보안 문제에 대한 세탁 목록 일 것입니다. 실제로 어떤 식 으로든 패치 할 방법이 없을 것입니다. 그리고 새로운 프린터에 대한 자금도 없습니다.

IPv6과 IPSEC는이 모든 것을 어떻게 든 안전하게 보호해야한다고 들었지만, 물리적으로 분리 된 네트워크가 없어서 이러한 장치를 인터넷에서 볼 수 없게 만들면 실제로 어떻게 볼 수 없습니다. 마찬가지로 내가 만든 방어 기능이 짧은 순서로 오버런되는 방식을 실제로 볼 수 있습니다 . 나는 몇 년 동안 인터넷에서 서버를 운영해 왔으며 서버를 보호하는 데 필요한 것들에 대해 잘 알고 있지만 청구 데이터베이스와 같이 네트워크에 Private을 배치하는 것은 항상 의문의 여지가 없었습니다.

물리적으로 별도의 네트워크가없는 경우 NAT를 무엇으로 대체해야합니까?

무엇보다도 보안 장치가 올바르게 구성되어 있으면 공개 IP 할당을 두려워 할 필요가 없습니다.

물리적으로 별도의 네트워크가없는 경우 NAT를 무엇으로 대체해야합니까?

우리가 1980 년대 이후 라우터와 방화벽을 물리적으로 분리 한 것과 똑같습니다. NAT를 통해 얻을 수있는 큰 보안 이점 중 하나는 기본 거부 구성으로 사용자를 강제한다는 것입니다. 얻기 위하여 어떤 그것을 통해 서비스를, 당신은 할 필요가 명시 적으로 구멍을 펀치. 더 멋진 장치를 사용하면 방화벽처럼 IP 기반 ACL을 이러한 구멍에 적용 할 수도 있습니다. 상자에 '방화벽'이 있기 때문일 수 있습니다.

올바르게 구성된 방화벽은 NAT 게이트웨이와 정확히 동일한 서비스를 제공합니다. NAT 게이트웨이는 대부분의 방화벽보다 안전한 구성에 쉽게 접근 할 수 있기 때문에 자주 사용됩니다 .

IPv6과 IPSEC는이 모든 것을 어떻게 든 안전하게 보호해야한다고 들었지만, 물리적으로 분리 된 네트워크가 없어서 이러한 장치를 인터넷에서 볼 수 없게 만들면 실제로 어떻게 볼 수 없습니다.

이것은 오해입니다. 나는 / 16 IPv4 할당이있는 대학에서 일하고 있으며, 대다수의 IP 주소 소비는 그 공개 할당에 있습니다. 확실히 우리의 모든 최종 사용자 워크 스테이션과 프린터. RFC1918 소비는 네트워크 장치 및 해당 주소가 필요한 특정 서버로 제한됩니다. 내가 방금 첫날에 나타 났을 때 내 IP 주소로 모니터의 포스트잇을 보았을 때 당신이 방금 떨었다면 놀라지 않을 것입니다.

그러나 우리는 살아남습니다. 왜? ICMP 처리량이 제한된 기본 거부 용으로 구성된 외부 방화벽이 있기 때문입니다. 140.160.123.45가 이론적으로 라우팅 가능하기 때문에 공용 인터넷 어디에서나 갈 수있는 것은 아닙니다. 이것이 방화벽을 위해 설계된 것입니다.

올바른 라우터 구성과 할당 된 다른 서브넷은 서로 완전히 연결할 수 없습니다. 라우터 테이블이나 방화벽에서이 작업을 수행 할 수 있습니다. 이것은 별도의 네트워크이며 과거 보안 감사를 만족 시켰습니다.

모든 사람들이 볼 수 있도록 인터넷에 결제 데이터베이스 (많은 신용 카드 정보 포함)를 넣을 방법은 없습니다.

Google 결제 데이터베이스는 공개 IPv4 주소에 있으며 전체 존재를위한 것이지만 여기에서 확인할 수 없다는 증거가 있습니다. 주소가 공개 v4 라우팅 가능 목록에 있다고해서 주소가 배달된다는 의미는 아닙니다. 인터넷의 악과 실제 데이터베이스 포트 사이의 두 방화벽은 악을 걸러냅니다. 심지어 내 책상에서도 첫 번째 방화벽 뒤에서 해당 데이터베이스에 접근 할 수 없습니다.

신용 카드 정보는 특별한 경우입니다. 이는 PCI-DSS 표준의 적용을받으며, 표준에 따르면 이러한 데이터를 포함하는 서버는 NAT 게이트웨이 뒤에 있어야합니다 ¹ . 우리는 있으며이 세 서버는 RFC1918 주소의 총 서버 사용량을 나타냅니다. 보안을 추가하는 것이 아니라 복잡한 계층이지만 감사를 위해 해당 확인란을 선택해야합니다.

인터넷 붐이 본격화되기 전에 원래의 "IPv6는 NAT를 과거의 일로 만듭니다"라는 아이디어가 제시되었습니다. 1995 년 NAT는 작은 IP 할당을 피하기위한 해결책이었습니다. 2005 년에는 많은 보안 모범 사례 문서와 하나 이상의 주요 표준 (PCI-DSS가 구체적으로 명시되어 있음)에 설명되어 있습니다. NAT가 제공하는 유일한 확실한 이점은 네트워크에서 정찰을 수행하는 외부 엔티티가 NAT 장치 뒤에서 IP 환경이 어떻게 보이는지 알지 못한다는 것입니다 (RFC1918 덕분에 추측 할 수는 있지만). 내 작품으로) 그렇지 않습니다. 심층 방어의 작은 단계이지만 큰 단계는 아닙니다.

RFC1918 주소를 대체하는 것이 고유 로컬 주소입니다. RFC1918과 마찬가지로 피어가 라우팅하도록 특별히 동의하지 않으면 라우팅하지 않습니다. RFC1918과 달리 이들은 전 세계적으로 독특합니다. ULA를 글로벌 IP로 변환하는 IPv6 주소 변환기는 아직 SOHO 장비가 아닌 더 높은 범위의 주변 장비에 존재합니다.

당신은 공개 IP 주소로 잘 살아남을 수 있습니다. '공개'는 '도달 가능'을 보장하지 않으며, 괜찮을 것입니다.

2017 년 업데이트

지난 몇 달 동안, 아마존 AWS는 IPv6 지원을 추가했습니다. Amazon-vpc 제품에 방금 추가되었으며 , 구현시 대규모 배포가 어떻게 이루어질 지에 대한 힌트를 얻을 수 있습니다.

• / 56 할당 (256 개의 서브넷)이 제공됩니다.
• 할당은 완전히 라우팅 가능한 서브넷입니다.
• 방화벽 규칙 ( 보안 그룹 )을 적절하게 제한적 으로 설정해야합니다 .
• NAT는 없으며 제공되지도 않으므로 모든 아웃 바운드 트래픽은 인스턴스의 실제 IP 주소에서 나옵니다.

NAT의 보안 이점 중 하나를 다시 추가하기 위해 이제 Egress 전용 인터넷 게이트웨이를 제공하고 있습니다. 이것은 NAT와 같은 이점을 제공합니다.

• 그 뒤에있는 서브넷은 인터넷에서 직접 액세스 할 수 없습니다.

잘못 구성된 방화벽 규칙이 실수로 인바운드 트래픽을 허용하는 경우 심층 방어 계층을 제공합니다.

이 오퍼링은 내부 주소를 NAT처럼 단일 주소로 변환하지 않습니다. 아웃 바운드 트래픽에는 여전히 연결을 연 인스턴스의 소스 IP가 있습니다. VPC에서 리소스를 허용 목록에 추가하려는 방화벽 운영자는 특정 IP 주소가 아닌 넷 블록을 허용 목록에 추가하는 것이 좋습니다.

라우팅 가능 이 항상 도달 가능함을 의미하지는 않습니다 .

¹ : PCI-DSS 표준이 2010 년 10 월에 변경되었고 RFC1918 주소를 규정하는 설명이 제거되었으며 '네트워크 격리'가이를 대체했습니다.

본사의 NAT 라우터 (이전 Linksys BEFSR41)는 IPv6을 지원하지 않습니다. 최신 라우터도 없습니다

IPv6은 많은 라우터에서 지원됩니다. 소비자와 SOHO를 목표로 한 싼 것들이 많지는 않습니다. 최악의 경우, Linux 박스를 사용하거나 dd-wrt 또는 IPv6 지원을 받기 위해 라우터를 다시 플래시하십시오. 많은 옵션이 있습니다. 아마도 더 어려워 보일 것입니다.

이 라우터를 제거하고 모든 것을 인터넷에 직접 연결해야한다면,

IPv6으로의 전환에 대해서는 라우터 / 방화벽과 같은 경계 보안 장치를 제거해야한다고 제안하지 않습니다. 라우터와 방화벽은 여전히 ​​거의 모든 네트워크의 필수 구성 요소입니다.

모든 NAT 라우터는 효과적으로 상태 저장 방화벽 역할을합니다. RFC1918 주소를 사용하여 그 모든 것을 보호하는 마법은 없습니다. 열심히 일하는 것은 상태 저장 비트입니다. 제대로 구성된 방화벽은 실제 주소 나 개인 주소를 사용하는 경우에도 보호합니다.

RFC1918 주소에서 얻을 수있는 유일한 보호 기능은 사람들이 방화벽 구성에서 오류 / 게으름을 피할 수 있지만 여전히 그다지 취약하지는 않다는 것입니다.

IPv6 기능이 전혀없는 오래된 하드웨어 장치 (예 : 프린터)가 몇 가지 있습니다.

그래서? 인터넷을 통해 사용 가능하게 만들 필요는 거의 없으며 내부 네트워크에서 모든 장치가 지원되거나 교체 될 때까지 IPv4 및 IPv6을 계속 실행할 수 있습니다.

여러 프로토콜을 실행하는 것이 옵션이 아닌 경우 일종의 게이트웨이 / 프록시를 설정해야 할 수 있습니다.

IPSEC는이 모든 것을 어떻게 든 안전하게 만들어야합니다

IPSEC는 패킷을 암호화하고 인증합니다. 그것은 당신의 경계 장치를 제거하는 것과는 아무런 관련이 없으며 전송중인 데이터를 더 보호합니다.

예. NAT가 죽었습니다. IPv6을 통한 NAT에 대한 표준을 비준하려는 시도가 있었지만 그 어느 것도 아직 시작되지 않았습니다.

이 표준은 실제로 NAT 뒤에 있어야한다고 명시하고 있기 때문에 PCI-DSS 표준을 충족시키려는 공급 업체에게는 실제로 문제가 발생했습니다.

나에게 이것은 내가 들어 본 것 중 가장 훌륭한 뉴스 중 하나입니다. 나는 NAT를 싫어하고, 캐리어 급 NAT를 훨씬 더 싫어한다.

NAT는 IPv6가 표준이 될 때까지 우리를 통과시키는 반창고 솔루션 일 뿐이지 만 인터넷 사회에 뿌리를 내 렸습니다.

전환 기간 동안 유사한 이름을 제외하고 IPv4와 IPv6은 완전히 다릅니다 ¹ 을 기억해야 합니다. 따라서 듀얼 스택 장치 인 IPv4는 NAT로 연결되고 IPv6은 그렇지 않습니다. 마치 하나의 플라스틱에 포장 된 두 개의 완전히 분리 된 장치를 갖는 것과 거의 같습니다.

그렇다면 IPv6 인터넷 액세스는 어떻게 작동합니까? NAT가 발명되기 전에 인터넷이 작동했던 방식. ISP는 IP 범위를 지정하지만 (현재와 동일하지만 일반적으로 / 32를 지정하므로 하나의 IP 주소 만 갖습니다.) 이제 범위에 사용 가능한 IP 주소가 수백만 개 있습니다. 선택한대로 자동 구성 또는 DHCPv6을 사용하여이 IP 주소를 자유롭게 채울 수 있습니다. 이 IP 주소 각각은 인터넷의 다른 컴퓨터에서 볼 수 있습니다.

무섭게 들리지요? 음란물이 숨겨져있는 도메인 컨트롤러, 홈 미디어 PC 및 iPhone을 인터넷에서 모두 액세스 할 수 있습니까?! 음 ... 아니. 이것이 방화벽의 목적입니다. IPv6의 또 다른 큰 특징은 방화벽이 "모두 허용"접근 방식 (대부분의 가정용 장치와 동일)에서 "모두 거부"접근 방식으로 강제 실행 하여 특정 IP 주소에 대한 서비스를 여는 것입니다. 개인 사용자의 99.999 %가 방화벽을 기본 상태로 유지하고 완전히 잠겨 있습니다. 이는 요청하지 않은 trafffic을 허용하지 않습니다.

¹ _{좋아, 그것보다 더 많은 방법이 있지만, 둘 다 위에서 실행되는 동일한 프로토콜을 허용하더라도 서로 호환되지는 않습니다.}

NAT에 대한 PCI-DSS 요구 사항은 실제 보안이 아닌 보안 시스템으로 잘 알려져 있습니다.

가장 최근의 PCI-DSS는 NAT를 절대 요구 사항으로 부르지 않았습니다. 많은 조직이 NAT없이 상태 저장 방화벽을 "동등한 보안 구현"으로 표시하는 IPv4로 PCI-DSS 감사를 통과했습니다.

NAT를 요구하는 다른 보안 극장 문서가 있지만 감사 추적을 파괴하고 사건 조사 / 완화를 더욱 어렵게하기 때문에 NAT (PAT 유무에 관계없이)에 대한보다 심층적 인 연구가 순 보안에 부정적인 영향을 미칩니다.

NAT가없는 상태가 양호한 상태의 방화벽은 IPv6 환경에서 NAT에 비해 훨씬 뛰어난 솔루션입니다. IPv4에서 NAT는 주소 보존을 위해 허용되는 필수 악입니다.

단일 스택 IPv6 전용 네트워크를 사용하지 않으려면 (슬프게도) 잠시만 기다려야합니다. 그때까지 IPv6을 선호하는 듀얼 스택이 실행 방법입니다.

오늘날 대부분의 소비자 라우터는 재고 펌웨어가있는 IPv6를 지원하지 않지만 많은 업체가 타사 펌웨어 (예 : dd-wrt가 포함 된 Linksys WRT54G 등)로이를 지원할 수 있습니다. 또한 많은 비즈니스 급 장치 (Cisco, Juniper)는 기본적으로 IPv6을 지원합니다.

PAT (소비자 라우터에서 일반적으로 사용되는 다 대일 NAT)를 다른 형태의 NAT 및 NAT가없는 방화벽과 혼동하지 않는 것이 중요합니다. 인터넷이 IPv6 전용이되면 방화벽은 여전히 ​​내부 서비스 노출을 방지합니다. 마찬가지로 일대일 NAT가있는 IPv4 시스템은 자동으로 보호되지 않습니다. 이것이 방화벽 정책의 일입니다.

네트워크 관리자가 NAT를 한 눈에보고, 소기업 및 거주 고객이 다른 것을 본 것처럼이 주제에 대해 많은 혼란이 있습니다. 명확히하겠습니다.

정적 NAT (일대일 NAT라고도 함)는 개인 네트워크 나 개별 PC를 전혀 보호하지 않습니다 . 보호와 관련하여 IP 주소를 변경하는 것은 의미가 없습니다.

대부분의 가정용 게이트웨이 및 WiFi AP와 같은 동적 과부하 NAT / PAT는 사설 네트워크 및 / 또는 PC를 보호하는 데 절대적으로 도움이됩니다. 이러한 장치에서 NAT 테이블을 설계하면 상태 테이블이됩니다. 아웃 바운드 요청을 추적하고 NAT 테이블에 매핑합니다. 일정 시간이 지나면 연결이 시간 초과됩니다. NAT 테이블의 내용과 일치하지 않는 원치 않는 인바운드 프레임은 기본적으로 삭제됩니다. NAT 라우터는 개인 네트워크에서 전송할 위치를 알 수 없으므로 삭제합니다. 이런 식으로 해킹에 취약한 유일한 장치는 라우터입니다. 대부분의 보안 공격은 Windows 기반이므로 인터넷과 Windows PC간에 이와 같은 장치를 사용하면 실제로 네트워크를 보호하는 데 도움이됩니다. 원래 의도 한 기능이 아닐 수도 있습니다. 공개 IP를 절약하는 것이었지만 작업이 완료되었습니다. 또한 대부분의 장치에는 기본적으로 ICMP 요청을 여러 번 차단하는 방화벽 기능이있어 네트워크를 보호 할 수 있습니다.

위의 정보를 감안할 때 IPv6으로 이동할 때 NAT를 사용하면 수백만의 소비자 및 소규모 비즈니스 장치가 해킹에 노출 될 수 있습니다. 방화벽은 전문적으로 방화벽을 관리하므로 회사 네트워크에는 거의 영향을 미치지 않습니다. 소비자 및 소규모 비즈니스 네트워크는 더 이상 인터넷과 PC 사이에 * nix 기반 NAT 라우터가 없을 수 있습니다. 개인이 방화벽 전용 솔루션으로 전환 할 수 없었던 이유는 없습니다. 올바르게 배포하면 훨씬 안전 할뿐 아니라 소비자의 99 %가 수행 방법을 이해하는 범위를 벗어납니다. Dynamic Overloaded NAT는 가정용 라우터에 플러그를 꽂아 사용하면 보호 기능을 제공합니다. 쉬운.

즉, NAT가 IPv4에서 사용되는 것과 같은 방식으로 NAT를 사용할 수 없었던 이유는 없습니다. 실제로 라우터는 NAT와 같은 IPv4 개인 네트워크가 뒤에있는 WAN 포트에 하나의 IPv6 주소를 갖도록 설계 될 수 있습니다 (예 : NAT). 이는 소비자 및 거주자에게 간단한 솔루션입니다. 다른 옵션은 모든 장치에 퍼블릭 IPv6 IP를 배치하는 것입니다. 중간 장치는 L2 장치로 작동 할 수 있지만 상태 테이블, 패킷 검사 및 완벽하게 작동하는 방화벽을 제공합니다. 기본적으로 NAT는 없지만 원치 않는 인바운드 프레임은 계속 차단합니다. 기억해야 할 중요한 것은 PC를 중간 장치없이 WAN 연결에 직접 연결하지 않아야한다는 것입니다. 물론 Windows 방화벽에 의존하고 싶지 않다면. . . 그리고 그것은 다른 토론입니다.

IPv6으로 전환하는 데 점점 더 많은 어려움이 있지만, 상당히 쉽게 해결할 수없는 문제는 없습니다. 기존 IPv4 라우터 또는 가정용 게이트웨이를 버려야합니까? 어쩌면 때가되면 저렴한 새 솔루션을 사용할 수있을 것입니다. 많은 장치가 펌웨어 플래시 만 있으면되기를 바랍니다. IPv6이 현재 아키텍처에보다 완벽하게 맞도록 설계 될 수 있습니까? 물론, 그것은 그것이 무엇이며 사라지지 않을 것입니다. 그래서 당신은 그것을 배우고, 살고, 사랑할 것입니다.

NAT가 IPv6 세계에서 살아남는 경우, 아마도 1 : 1 NAT 일 것입니다. IPv4 공간에서는 NAT가 보이지 않는 형태. 1 : 1 NAT 란 무엇입니까? 전체 주소를 로컬 주소로 1 : 1로 변환 한 것입니다. IPv4에 상응하는 것은 전체 1.0.0.0/8 공간에 대해 모든 연결을 1.1.1.2로만 10.1.1.2로 변환하는 것입니다. IPv6 버전은 전체 주소를 고유 로컬 주소로 변환하는 것입니다.

관심이없는 주소 (Facebook을 탐색하는 내부 사무실 사용자 등)에 대한 매핑을 자주 교체하여 보안을 강화할 수 있습니다. 내부적으로 ULA 번호는 동일하게 유지되므로 분할 수평 DNS는 계속 정상적으로 작동하지만 외부 클라이언트는 예측 가능한 포트에 있지 않습니다.

그러나 실제로, 그것은 번거 로움에 대한 소량의 향상된 보안입니다. IPv6 서브넷 스캔은 정말 큰 작업이며 해당 서브넷에서 IP 주소가 할당되는 방식 (MAC 생성 방법, 임의 방법, 사람이 읽을 수있는 주소의 정적 할당)에 대한 정찰 없이는 불가능합니다.

대부분의 경우, 회사 방화벽 뒤의 클라이언트는 전체 주소, 아마도 ULA를 얻게되고 경계 방화벽은 해당 주소에 대한 모든 종류의 들어오는 연결을 거부하도록 설정됩니다. 모든 의도와 목적을 위해 해당 주소는 외부에서 접근 할 수 없습니다. 내부 클라이언트가 연결을 시작하면 해당 연결을 통해 패킷이 허용됩니다. IP 주소를 완전히 다른 것으로 변경해야 할 경우 공격자가 해당 서브넷에서 2 ^ 64 개의 가능한 주소를 통과하도록해야합니다.

RFC 4864는 실제로 NAT에 의존하지 않고 IPv6 환경에서 NAT의 인식 된 이점을 제공하기위한 접근 방법 인 IPv6 로컬 네트워크 보호에 대해 설명합니다 .

이 문서는 네트워크 아키텍처의 무결성을 보호하기 위해 IPv6 사이트에서 결합 될 수있는 많은 기술을 설명했습니다. 집합 적으로 로컬 네트워크 보호라고하는 이러한 기술은 개인 네트워크의 "내부"와 "외부"사이에 잘 ​​정의 된 경계 개념을 유지하며 방화벽, 토폴로지 숨기기 및 개인 정보 보호를 허용합니다. 그러나 필요한 경우 주소 투명성을 유지하기 때문에 주소 변환의 단점없이 이러한 목표를 달성합니다. 따라서 IPv6의 로컬 네트워크 보호는 해당 단점없이 IPv4 네트워크 주소 변환의 이점을 제공 할 수 있습니다.

먼저 NAT의 인식 된 이점이 무엇인지 파악하고 (해당되는 경우 해제), 동일한 이점을 제공하는 데 사용할 수있는 IPv6의 기능에 대해 설명합니다. 또한 구현 노트와 사례 연구를 제공합니다.

여기에서 재 인쇄하기에는 너무 길지만 논의 된 이점은 다음과 같습니다.

• "내부"와 "외부"사이의 간단한 게이트웨이
• 상태 저장 방화벽
• 사용자 / 응용 프로그램 추적
• 프라이버시 및 토폴로지 숨기기
• 개인 네트워크에서 주소 지정을 독립적으로 제어
• 멀티 호밍 / 리 넘버링

이것은 NAT를 원했을지도 모르는 모든 시나리오를 다루며 NAT없이 IPv6에서 구현하기위한 솔루션을 제공합니다.

사용할 기술 중 일부는 다음과 같습니다.

• 고유 한 로컬 주소 : 내부 통신에서 내부 통신을 유지하고 ISP가 중단 된 경우에도 내부 통신을 계속할 수 있도록하려면 내부 네트워크에서이 주소를 선호하십시오.
• 주소 수명이 짧고 구조가 명확하지 않은 인터페이스 식별자를 가진 IPv6 개인 정보 확장 : 개별 호스트 및 서브넷 검색을 방지합니다.
• IGP, 모바일 IPv6 또는 VLAN을 사용하여 내부 네트워크의 토폴로지를 숨길 수 있습니다.
• ULA와 함께 ISP의 DHCP-PD를 사용하면 IPv4보다 번호를 다시 매기거나 멀티 호밍 할 수 있습니다.

( 자세한 내용은 RFC 를 참조 하십시오. 다시 인쇄하거나 상당한 발췌 부분을 취하기에는 너무 오래 걸립니다.)

IPv6 전환 보안에 대한보다 일반적인 설명은 RFC 4942를 참조하십시오 .

거의. IPv6 주소에는 실제로 "유형"이 다릅니다. RFC 1918 (10/8, 172.16 / 12, 192.168 / 16)에 가장 가까운 것을 "고유 로컬 주소"라고하며 RFC 4193에 정의되어 있습니다.

http://en.wikipedia.org/wiki/Unique_local_address

따라서 fd00 :: / 8로 시작한 다음 RFC에서 사전 정의 된 알고리즘을 사용하여 40 비트 문자열을 추가하면 전역 적으로 고유 한 의사 난수 / 48 접두사로 끝납니다. 그러나 할당 할 나머지 주소 공간이 있습니다.

또한 (IPv6) 라우터에서 fd00 :: / 7 (fc00 :: / 8 및 fd00 :: / 8)을 조직 외부로 차단해야하므로 주소 이름의 "로컬"입니다. 이러한 주소는 전체 주소 공간에있는 동안 "조직"내에서만 전 세계에 도달 할 수 없어야합니다.

PCI-DSS 서버에 다른 내부 IPv6 호스트에 연결하기 위해 IPv6이 필요한 경우 회사의 ULA 접두사를 생성하여이 목적으로 사용해야합니다. 원하는 경우 다른 접두사처럼 IPv6의 자동 구성을 사용할 수 있습니다.

IPv6은 호스트가 여러 주소를 가질 수 있도록 설계되었으므로 ULA 이외에도 전 세계적으로 라우팅 가능한 주소를 컴퓨터에 가질 수 있습니다. 따라서 외부 세계와 내부 시스템과 통신해야하는 웹 서버는 ISP 할당 프리 펙스 주소와 ULA 접두사를 모두 가질 수 있습니다.

NAT와 같은 기능을 원한다면 NAT66도 볼 수 있지만 일반적으로 ULA를 중심으로 설계합니다. 추가 질문이 있으면 "ipv6-ops"메일 링리스트를 확인하십시오.

IMHO : 아닙니다.

SNAT / DNAT가 유용 할 수있는 곳이 여전히 있습니다. 예를 들어 일부 서버는 다른 네트워크로 이동했지만 응용 프로그램의 IP를 변경하고 싶지 않습니다.

바라건대 NAT는 영원히 사라질 것입니다. IP 주소가 부족하고 상태 저장 방화벽으로 더 좋고 저렴하며 쉽게 관리 할 수없는 보안 기능이없는 경우에만 유용합니다.

IPv6는 더 이상 부족하지 않으므로 NAT 인 못생긴 해킹의 세계를 제거 할 수 있습니다.

IPv6으로 NAT를 잃어버린 경우 (실제로 사라지는 경우) 사용자 개인 정보에 어떤 영향을 미치는지에 대한 결정적인 답변을 보지 못했습니다.

개별 장치 IP 주소가 공개적으로 노출되면 웹 서비스가 다양한 장치에서 인터넷을 여행 할 때 훨씬 쉽게 감시 할 수 있습니다 (시간과 공간 및 사이트에 대한 수집, 저장, 집계 및 다수의 보조 사용 촉진). ISP, 라우터 및 기타 장비를 사용하면 각 장치마다 자주 변경 될 수있는 동적 IPv6 주소를 가질 수 있고 쉽게 가질 수 있습니다.

물론 정적 Wi-Fi MAC 주소가 공개되는 문제가 무엇이든간에 그것은 또 다른 이야기입니다 ...

V4에서 V6 로의 전환 시나리오에서 NAT를 지원하기위한 많은 체계가 있습니다. 그러나 모든 IPV6 네트워크가 있고 업스트림 IPV6 제공자에 연결하는 경우 V6 네트워크를 통해 V4 네트워크간에 터널링 할 수 있다는 점을 제외하고 NAT는 새로운 세계 질서의 일부가 아닙니다.

Cisco는 4to6 시나리오, 마이그레이션 및 터널링에 대한 많은 일반 정보를 제공합니다.

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

또한 Wikipedia에서 :

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

정치 및 기본 비즈니스 관행은 NAT의 존재를 더욱 발전시킬 것입니다. 많은 IPv6 주소는 ISP가 장치 당 충전을 원하거나 제한된 수의 장치로만 연결을 제한하려는 유혹을받습니다. /에서이 최신 기사를 참조하십시오. 예를 들면 다음과 같습니다.

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

참고로 흥미로운 사람은 IPV6 캔과 함께 NAT / NAPT를 사용하는 것입니다. PF가있는 모든 BSD 운영 체제는 NAT66을 지원합니다. 잘 작동합니다. 우리가 사용한 블로그에서 :

FreeBSD pf의 ipv6 nat (nat66)

nat66은 아직 초안이지만 FreeBSD pf는 이미 오랫동안 지원하고 있습니다.

(pf.conf를 편집하고 다음 코드를 삽입하십시오)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

당신 준비 다 됐어요!

수년간 단일 IP 주소로 오징어를 사용해 온 사람들에게 좋습니다. IPv6 NAT를 사용하면 5/64 개의 서브넷으로 2 ^ 56 개의 서브넷을 포함하는 2 ^ 120 개의 개인 주소 (사이트 로컬)를 얻을 수 있습니다. 즉, 더 많은 주소가 있기 때문에 다른 IPv6 전문가보다 1000 억 배 더 똑똑해야합니다. : D

진실은 내가 더 많은 주소를 가지고 있거나 IPv6를 더 오래 사용했을 수도 있기 때문에 실제로 IPv6 (또는 같은 문제에 대해 나)을 더 잘 만들지 못한다는 것입니다. 그러나 PAT 대신 방화벽이 필요하고 NAT가 더 이상 요구 사항이 아닌 옵션 인 경우 IPv6을 더 복잡하게 만듭니다. 방화벽의 목표는 모든 아웃 바운드 연결을 허용하고 상태를 유지하면서 인바운드 시작 연결을 차단하는 것입니다.

NAPT (NAT with PAT)의 경우 사람들을 사고에서 벗어나려면 시간이 좀 걸릴 것입니다. 예를 들어, 증조부가 사이트 로컬 주소 지정 (개인 주소)과 전문가의 도움없이 자신의 IPv6 방화벽을 설정할 수있게 될 때까지 NAT에 대한 아이디어를 가지고 놀아 보는 것이 좋습니다. 그가 아는 ​​모든 것.

ipv6에 대한 최근 제안은 새로운 기술을 개발하는 엔지니어가 NAT를 ipv6에 통합 할 것을 제안했습니다. 이유는 다음과 같습니다. NAT는 추가 보안 계층을 제공합니다.

이 문서는 ipv6.com 웹 사이트에 있으므로 NAT가 제공하지 않는 보안 기능이 조금 당황스러워 보인다는 모든 대답이 보일 것입니다.

미래의 어느 시점에서 (추측 만 할 수있는) 지역 IPv4 주소가 필연적으로 소진 될 것임을 알고 있습니다. IPv6에는 몇 가지 심각한 사용자 단점이 있습니다. NAT의 문제는 본질적으로 보안, 중복성, 개인 정보를 제공하고 사용자가 제한없이 원하는만큼 많은 장치를 연결할 수있게하므로 매우 중요합니다. 예. 방화벽은 원치 않는 네트워크 침입에 대한 황금 표준이지만 NAT는 또 다른 보호 계층을 추가 할뿐만 아니라 방화벽 구성이나 최종 사용자의 지식에 관계없이 IPv4를 어떻게 정의하든 관계없이 기본 설계로 보안을 제공합니다. NAT를 사용하면 방화벽은 기본적으로 방화벽보다 IPv6보다 안전합니다. 또 다른 문제는 프라이버시입니다. 모든 장치에 인터넷 라우팅 가능 주소가 있으면 오늘날에는 거의 불가능한 모든 종류의 개인 정보 보호 위반, 개인 정보 수집 및 추적이 가능합니다. 또한 Nat가 없으면 Isp를 통해 비용을 추가하고 통제 할 수 있다는 의견도 있습니다. USB 테 더링에서 이미 본 것처럼 Isp는 장치 또는 사용자 사용 요금에 따라 충전을 시작할 수 있습니다. 이렇게하면 최종 사용자가 자신이 원하는 장치를 공개적으로 연결할 수있는 자유가 크게 줄어 듭니다. 현재로서는 미국 ISP가 어떤 형태로든 IPv6을 제공하는 경우가 거의 없으며 가치가 거의 없거나 전혀없는 추가 비용으로 인해 비 기술적 인 비즈니스의 경우 전환 속도가 느릴 것입니다.