IPv6への切り替えは、NATのドロップを意味します。それは良いことですか？

私たちのオフィスNATルーター（古いLinksys BEFSR41）はIPv6をサポートしていません。新しいルーターもサポートしていません。

IPv6は多くのルーターでサポートされています。消費者とSOHOを目的とした安価なものの多くではありません。最悪の場合、Linuxボックスを使用するか、ルーターをdd-wrtなどでフラッシュし直して、IPv6をサポートしてください。多くのオプションがありますが、おそらくもっと難しく見えなければなりません。

このルーターを取り除き、すべてを直接インターネットに接続する場合は、

IPv6への移行については、ルーターやファイアウォールなどの周辺セキュリティデバイスを取り除く必要があることを示唆しているものはありません。ルーターとファイアウォールは、ほとんどすべてのネットワークの必須コンポーネントです。

すべてNATルーターは、実質的にステートフルファイアウォールとして機能します。RFC1918アドレスの使用に魔法はありません。すべてを保護します。ハードワークを行うのはステートフルビットです。適切に構成されたファイアウォールは、実際のアドレスまたはプライベートアドレスを使用している場合にも保護します。

RFC1918アドレスから得られる唯一の保護は、人々がファイアウォール設定のエラー/怠惰を回避できるようにすることであり、それでもそれほど脆弱ではありません。

IPv6機能がまったくない古いハードウェアデバイス（プリンタなど）がいくつかあります。

そう？すべてのデバイスがサポートまたは交換されるまで、インターネット経由で利用できるようにする必要はほとんどありません。内部ネットワークでは、IPv4とIPv6を引き続き実行できます。

複数のプロトコルを実行することがオプションではない場合、ある種のゲートウェイ/プロキシをセットアップする必要があるかもしれません。

IPSECはこのすべてを何らかの方法で安全にすることになっています

IPSECは暗号化し、パケットを認証します。ボーダーデバイスを取り除くこととは何の関係もなく、転送中のデータをより保護します。

はい。 NATは機能していません。IPv6を介してNATの標準を承認する試みがいくつか行われましたが、どれもこれまでに成功していません。

これにより、実際にはPCI-DSS標準に準拠しようとするプロバイダーに問題が発生しました。これは、NATの背後にいる必要があると実際に規格が述べているためです。

私にとって、これは私が今まで聞いた中で最も素晴らしいニュースのいくつかです。私はNATを嫌い、そしてキャリアグレードを嫌うNAT.

NATは、IPv6が標準になるまで私たちを通過させるためのバンドエイドソリューションであることを意味するだけでしたが、インターネット社会に浸透しました。

移行期間では、IPv4とIPv6は、類似した名前を除いて、まったく異なることを覚えておく必要があります。 ¹。したがって、デュアルスタックのデバイスでは、IPv4はNAT処理され、IPv6はNAT処理されません。これは、2つの完全に分離したデバイスを1つのプラスチックにパッケージ化したようなものです。

では、IPv6インターネットアクセスはどのように機能するのでしょうか。まあ、インターネットがNAT=の前に機能していた方法が発明されました。ISPはIP範囲を割り当てます（現在と同じですが、一般的に/ 32を割り当てます。つまり取得できるIPアドレスは1つだけですが、範囲には数百万の利用可能なIPアドレスが含まれます。これらのIPアドレスは、選択したとおりに自由に設定できます（自動構成またはDHCPv6を使用）。これらのIPアドレスはそれぞれインターネット上の他のコンピュータから見ることができます。

怖いですね。ドメインコントローラー、ホームメディアPC、ポルノの隠された隠し場所を備えたiPhoneは、すべてインターネットからアクセスできるようになりますか？うーん、ダメ。これがファイアウォールの目的です。 IPv6のもう1つの優れた機能は、「ほとんどすべてのホームデバイスがそうであるように」「すべてを許可する」アプローチから「すべてを拒否する」アプローチにファイアウォールを強制することです。特定のIPアドレスのサービスを開く場所。ホームユーザーの99.999％は、ファイアウォールをデフォルトのままにして完全にロックダウンします。これは、未承諾のトラフィックが許可されないことを意味します。

¹_{それだけではありませんが、どちらも同じプロトコルを上で実行することを許可していますが、相互に互換性はありません}

NAT=のPCI-DSS要件は、実際のセキュリティではなくセキュリティシアターであることがよく知られています。

最新のPCI-DSSは、NAT=の絶対的な要件の呼び出しをバックオフしています。多くの組織が、NAT 「同等のセキュリティ実装」。

NATを求める他のセキュリティシアタードキュメントがありますが、監査証跡を破壊し、インシデントの調査/軽減を困難にするため、NATのより詳細な調査（PATの有無にかかわらず） ）ネットセキュリティのネガティブであること。

NATなしの優れたステートフルファイアウォールは、NATに対してIPv6の世界では非常に優れたソリューションです。IPv4では、NATアドレス保護のために許容する必要のある悪。

シングルスタックのIPv6のみのネットワークを利用できるようになるまでには（残念ながら）しばらく時間がかかります。それまでは、IPv6が優先されるデュアルスタックが利用可能な場合に実行する方法です。

ほとんどのコンシューマールーターは、現在のファームウェアでIPv6をサポートしていませんが、サードパーティのファームウェア（dd-wrtを備えたLinksys WRT54Gなど）でIPv6をサポートできます。また、多くのビジネスクラスのデバイス（Cisco、Juniper）はIPv6を標準でサポートしています。

PAT（コンシューマールーターで一般的な多対1 NAT）を他の形式のNATや、NATフリーのファイアウォールと混同しないことが重要です。インターネットがIPv6のみになった後も、ファイアウォールは内部サービスの公開を防止します。同様に、1対1のIPv4システムNAT=は自動的には保護されません。これがファイアウォールポリシーの仕事です。

NATがIPv6の世界で存続する場合、それはおそらく1：1 NATです。フォームNAT IPv4スペースでは決して見られません。1とは：1 NAT？これは、グローバルアドレスからローカルアドレスへの1：1変換です。IPv4の同等機能は、すべての接続を1.1.1.2にのみ変換して10.1.1.2に変換し、1.0.0.0/8スペース全体に対して同様に変換します。 IPv6バージョンでは、グローバルアドレスを一意のローカルアドレスに変換します。

気にしないアドレス（Facebookを閲覧する社内オフィスのユーザーなど）のマッピングを頻繁にローテーションすることで、セキュリティを強化できます。内部的には、ULA番号は同じままなので、スプリットホライズンDNSは引き続き正常に機能しますが、外部的には、クライアントが予測可能なポートに接続することはありません。

しかし、本当に、それはそれが作り出す面倒のための少し改善されたセキュリティです。 IPv6サブネットのスキャンは非常に大きなタスクであり、IPアドレスがそれらのサブネットに割り当てられる方法（MAC生成方法？ランダム方法？人間が読めるアドレスの静的割り当て？）を調整しなければ、実行不可能です。

ほとんどの場合、企業ファイアウォールの背後にあるクライアントはグローバルアドレス（おそらくULA）を取得し、境界ファイアウォールはこれらのアドレスへのあらゆる種類の着信接続をすべて拒否するように設定されます。すべての意図と目的のために、これらのアドレスは外部から到達できません。内部クライアントが接続を開始すると、その接続に沿ったパケットの通過が許可されます。 IPアドレスを完全に異なるものに変更する必要性は、攻撃者にそのサブネット上の2 ^ 64の可能なアドレスを経験させることによって処理されます。

ネットワーク管理者がNATを1つの光で見ると、中小企業と住宅の顧客が別の光でそれを見るように見えるので、この主題については非常に多くの混乱があります。

静的NAT（1対1 NATと呼ばれることもあります）は、プライベートネットワークまたは個々のPCに絶対に保護なしを提供します。IPアドレスの変更は、保護が懸念されます。

ほとんどのレジデンシャルゲートウェイやwifi APと同様のダイナミックオーバーロードNAT/PATは、プライベートネットワークやPCの保護に役立ちます。設計上、これらのデバイスのNATテーブルは状態テーブルです。送信リクエストを追跡し、NATテーブルにマッピングします-接続がタイムアウトします一定の時間が経過すると、NATテーブルの内容と一致しない任意の受信フレームがデフォルトで削除されます-NATルーターはプライベートネットワークでそれらを送信する場所を知っているので、それらをドロップします。このようにして、ハッキングの脆弱性を残している唯一のデバイスはルーターです。ほとんどのセキュリティエクスプロイトはWindowsベースであるため、このようなデバイスをインターネットとあなたのWindows PCは本当にあなたのネットワークを保護するのに役立ちます。それは本来意図された機能ではないかもしれません、それはパブリックIPを節約することでした、しかしそれは仕事をします。ボーナスとして、これらのデバイスのほとんどは何倍ものファイアウォール機能も持っていますデフォルトでICMP要求をブロックします。これは、ネットワークの保護にも役立ちます。

上記の情報を踏まえると、IPv6に移行するときにNATで破棄すると、数百万のコンシューマデバイスおよびスモールビジネスデバイスが潜在的なハッキングにさらされる可能性があります。専門的に管理されたファイアウォールがあるため、企業ネットワークにはほとんど影響を与えません。エッジで。コンシューマおよびスモールビジネスネットワークでは、おそらく* nixベースのNATインターネットとPCの間にルーターがありません。人がファイアウォールに切り替えることができなかった理由はありません。唯一の解決策-正しく展開すればはるかに安全になりますが、99％の消費者が方法を理解する範囲を超えます。動的なオーバーロードNATこれを使用するだけで、ある程度の保護を提供します-プラグあなたの住宅用ルーターであなたは保護されています。

つまり、NATをIPv4で使用されているのとまったく同じ方法で使用できなかった理由はありません。実際、ルーターは、IPv6アドレスを1つ持つように設計できます。 WANポートの背後にIPv4プライベートネットワークがあり、NATがその上にあるポートです（これは、NATがその上にあるなど）。これは、消費者および居住者向けのシンプルなソリューションです。別のオプションは、パブリックIPv6 IP ---中間デバイスはL2デバイスとして機能しますが、状態テーブル、パケット検査、および完全に機能するファイアウォールを提供します。基本的に、NATはありませんが、未承諾の着信フレームをブロックします。覚えておくべき重要なことは、 PCを直接WAN中間デバイスなしの接続に接続しないでください。もちろん、Windowsファイアウォールに依存したくない場合を除いて、それは別の議論です。すべてのネットワーク、さらにはホームネットワーク、Windowsファイアウォールを使用することに加えて、ローカルネットワークを保護するエッジデバイスが必要です。

IPv6への移行はますます困難になりますが、かなり簡単に解決できない問題はありません。古いIPv4ルーターまたはレジデンシャルゲートウェイを破棄する必要がありますか？多分、しかし時が来れば安価な新しいソリューションが利用可能になるでしょう。うまくいけば、多くのデバイスがファームウェアフラッシュを必要とするだけです。 IPv6は、現在のアーキテクチャによりシームレスに適合するように設計できますか？確かに、それはそれが何であるかであり、それが消えることはありません。したがって、あなたはそれを学び、それを生き、それを愛することもできます。

RFC 4864はIPv6ローカルネットワーク保護を説明しています 、実際にNATに頼ることなく、NATの認識された利点をIPv6環境で提供するための一連のアプローチ。

このドキュメントでは、IPv6サイトでネットワークアーキテクチャの整合性を保護するために組み合わせることができるいくつかの手法について説明しました。ローカルネットワーク保護と総称されるこれらの技術は、プライベートネットワークの「内部」と「外部」の間の明確に定義された境界の概念を保持し、ファイアウォール、トポロジの非表示、およびプライバシーを可能にします。ただし、必要な場所でアドレスの透過性を維持するため、アドレス変換の不利な点なしにこれらの目標を達成します。したがって、IPv6のローカルネットワーク保護は、対応する欠点なしにIPv4ネットワークアドレス変換の利点を提供できます。

最初に、NATの認識されている利点が何であるかを説明し（適切な場合はそれらを明らかにします）、次に、同じ利点を提供するために使用できるIPv6の機能について説明します。また、実装に関するメモとケーススタディ。

ここで転載するには長すぎるが、説明する利点は次のとおりです。

• 「内側」と「外側」の間の単純なゲートウェイ
• ステートフルファイアウォール
• ユーザー/アプリケーションの追跡
• プライバシーとトポロジーの隠蔽
• プライベートネットワークでのアドレス指定の独立した制御
• マルチホーミング/再番号付け

これは、NAT=が必要となる可能性があるすべてのシナリオをほぼカバーしており、NATなしでIPv6でそれらを実装するためのソリューションを提供します。

使用するテクノロジーには次のものがあります。

• 一意のローカルアドレス：内部ネットワークでこれらを優先して、内部通信を内部的に維持し、ISPが停止しても内部通信を継続できるようにします。
• アドレスの有効期間が短く、明確に構造化されていないインターフェイス識別子を持つIPv6プライバシー拡張機能：これらは、個々のホストやサブネットスキャンへの攻撃を防ぐのに役立ちます。
• IGP、モバイルIPv6、またはVLANを使用して、内部ネットワークのトポロジを隠すことができます。
• ULAに加えて、ISPのDHCP-PDは、IPv4を使用する場合よりも番号の付け直し/マルチホーミングを簡単にします。

（ RFCを参照してください 詳細については、ここでも、長すぎて再印刷したり、抜粋したりすることはできません。）

IPv6移行セキュリティのより一般的な説明については、 RFC 4942 を参照してください。

やや。 IPv6アドレスには実際にはさまざまな「タイプ」があります。 RFC 1918に最も近いもの（10/8、172.16/12、192.168/16）は「一意のローカルアドレス」と呼ばれ、RFC 4193で定義されています。

http://en.wikipedia.org/wiki/Unique_local_address

したがって、fd00 ::/8から始めて、40ビットの文字列を追加し（RFCで事前定義されたアルゴリズムを使用してください！）、グローバルに一意である疑似ランダム/ 48プレフィックスができあがります。必要に応じて、残りのアドレス空間を割り当てます。

また、（IPv6）ルーターで組織の外部へのfd00 ::/7（fc00 ::/8およびfd00 ::/8）をブロックする必要があります。そのため、アドレス名に「ローカル」があります。これらのアドレスは、グローバルアドレス空間にある間は、「組織」内にあるだけで、世界中に到達できないはずです。

PCI-DSSサーバーが他の内部IPv6ホストへの接続にIPv6を必要とする場合、会社のULAプレフィックスを生成し、この目的に使用する必要があります。必要に応じて、他のプレフィックスと同様にIPv6の自動構成を使用できます。

ホストが複数のアドレスを持つことができるようにIPv6が設計されているとすると、マシンは、ULAに加えて、グローバルにルーティング可能なアドレスも持つことができます。したがって、外部の世界と内部のマシンの両方と通信する必要があるWebサーバーは、ISPによって割り当てられたprefexアドレスとULAプレフィックスの両方を持つことができます。

NATのような機能が必要な場合は、NAT66も確認できますが、一般的にはULAを中心に設計します。さらに質問がある場合は、「ipv6-ops」メーリングリストをチェックしてください。

私見：そうではない。

SNAT/DNATが役立つ場所はまだいくつかあります。たとえば、一部のサーバーは別のネットワークに移動されましたが、アプリケーションのIPを変更したくない/望んでいません。

IPv6でのNAT（本当になくなる場合））の喪失がユーザーのプライバシーにどのように影響するかについての明確な答えは見ていません。

個々のデバイスのIPアドレスが公開されているため、さまざまなデバイスからインターネット上を移動する際のWebサービスの監視（時間、空間およびサイト全体での収集、保存、集計、および多数の二次的な使用の促進）がはるかに容易になります。 ISP、ルーター、およびその他の機器がなければ、デバイスごとに頻繁に変更される可能性のある動的IPv6アドレスを簡単に作成できます。

もちろん、静的wi-fi MACアドレスが公開されるという問題が何であっても、それは別の話です...

うまくいけば、NATは永遠になくなるでしょう。これは、IPアドレスが不足していて、より優れた、より安価で、ステートフルなファイアウォールでより簡単に管理できないセキュリティ機能がない場合にのみ役立ちます。

IPv6 =希少性がなくなったので、NATである醜いハックから世界を取り除くことができます。

政治と基本的なビジネス慣行は、NATの存在を促進する可能性が最も高いでしょう。大量のIPv6アドレスは、ISPがデバイスごとに課金したり、制限された数のデバイスにのみ接続を制限したりすることを意味します。 /のこの最近の記事を参照してください。例えば：

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

NATをサポートする多くのスキームがあります。ただし、すべてのIPV6ネットワークがあり、アップストリームIPV6プロバイダーに接続している場合、NAT = V6ネットワークを介してV4ネットワーク間をトンネリングできることを除いて、新しい世界秩序の一部ではありません。

シスコには、4to6シナリオ、移行、およびトンネリングに関する多くの一般情報があります。

http://www.Cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.Cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

ウィキペディアでも：

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms