Será que todo mundo que possui IPs Acessíveis Globais no IPv6 será um pesadelo de segurança? [duplicado]

O IPv6 se livra do NAT, o que certamente tem sido uma grande parte de evitar a exposição acidental de serviços à Internet por parte de hosts internos. Dessa forma, sim, é uma mudança em como quase todo mundo está fazendo as coisas. p>

No entanto, isso não significa que você ainda não tenha um firewall central na extremidade da rede - a mudança é simplesmente que ele estará agindo como um firewall puro em vez de um dispositivo de firewall / NAT. Vai ser apenas para as pessoas que gerenciam esses firewalls para se certificar de evitar exposição acidental de serviços; atire as regras de negação!

Livrar-se do NAT é uma grande mudança nas práticas de segurança de rede, e certamente haverá momentos antes de ouvirmos sobre algumas violações acidentais de exposição de informações devido a firewalls mal configurados e IPv6. Mas o NAT sempre foi um truque, e tirar os firewalls do negócio de rastrear todas essas conexões e conexões falsas para protocolos sem estado e traduções de porta será uma coisa boa a longo prazo - menos complexidade soa bem para mim!

Não, não é um pesadelo. Os endereços NAT e privado não foram criados por razões de segurança, eles foram criados porque os endereços IPv4 estão se esgotando.

Admito que usar IPs públicos parece assustador, mas, por segurança, você deve confiar em seu FIREWALL, não em seu NAT.

Leia esta outra pergunta no servidor sobre esse mesmo ponto. Muitos padrões que falaram sobre NAT como segurança mudaram, como exemplo, os padrões PCI-DSS foram corrigidos no final de outubro de 2010 e o requisito NAT foi removido (seção 1.3.8 da v1.2).

Se você não parar com esse medo, você nunca terá todas as vantagens de tecnologias incríveis como o Acesso Direto ao Windows 7.

Todo computador já deve ser responsável por gerenciar seu próprio firewall.

Dito isto, só porque você perder NAT não significa que você perde todos os benefícios (você ainda pode ter NAT no ipv6) Você ainda pode ter firewalls com informações de estado nos roteadores e outras regras de firewall também podem ser adicionadas de maneira semelhante ao ipv4.

A única diferença é que você pode ser capaz de identificar o computador exato de dentro de uma rede privada e, se isso for um problema, você pode instalar o NAT.

Ainda é possível bloquear verificações aleatórias de portas ect ... de um roteador

Esta questão é baseada no equívoco comum de que, como o NAT fornece, inadvertidamente, alguma segurança, é uma tecnologia de firewall. Este equívoco pode ser esclarecido com um simples experimento: Imagine uma caixa NAT IPv4 que tenha apenas um cliente. Poderia, se quisesse, encaminhar todo o tráfego de entrada para esse cliente e filtrar nada , sem fornecer nenhuma segurança. Então, por que você não está preocupado com isso?

Muitas universidades (e várias grandes empresas) têm IPs válidos e roteáveis em todos os computadores. Isso não significa que não haja um dispositivo de firewall de gateway. Isso não significa que você pode acessar o dispositivo pela internet também. Na maioria das vezes, os firewalls são definidos para bloquear todo o tráfego por padrão. No entanto, ele garante que o computador esteja em um endereço globalmente exclusivo.

Se você usa o NAT, as coisas simplesmente ficam feias. Ou seja, você quer configurar uma VPN entre você e seu cliente, mas ambos têm redes internas de 192.168.1.x .. isso significa que você precisa As conexões NAT, para fazê-las parecer um IP interno diferente, fazem as coisas ficarem feias rapidamente. (Eu tenho que fazer isso com outras 5 empresas com VPN's)