As pessoas realmente vão usar endereços IPv6 públicos em suas redes privadas? [duplicado]

Navegue suas respostas
19

Eu tenho lido o Manual do Administrador do Sistema Debian , e eu vim através desta passagem na seção de gateway:

...Note that NAT is only relevant for IPv4 and its limited address space; in IPv6, the wide availability of addresses greatly reduces the usefulness of NAT by allowing all “internal” addresses to be directly routable on the Internet (this does not imply that internal machines are accessible, since intermediary firewalls can filter traffic).

Isso me fez pensar ... Com o IPv6 ainda existe um intervalo privado. Veja: RFC4193 . As empresas realmente vão montar todas as suas máquinas internas com endereços públicos? É assim que o IPv6 deve funcionar?

    
por Questionmark 08.07.2016 / 16:23

5 respostas

28

Is that how IPv6 is intended to work?

Em suma, sim. Uma das principais razões para aumentar drasticamente o espaço de endereçamento com o IPv6 é livrar-se de tecnologias de band-aid como o NAT e tornar o roteamento de rede mais simples.

Mas não confunda o conceito de um endereço público e um host publicamente acessível. Ainda haverá servidores "internos" que não são acessíveis à Internet, mesmo que tenham um endereço público. Eles serão protegidos por firewalls assim como estão com o IPv4. Mas também será muito mais fácil decidir que o servidor interno somente de hoje precisa abrir um serviço específico para a Internet amanhã.

Are companies really going to set up all their internal machines with public addresses?

Na minha opinião, os espertos vão. Mas como você provavelmente já percebeu, vai demorar um pouco.

    
por 08.07.2016 / 16:41
19

Usamos endereços IPv6 públicos na rede da nossa empresa para todos os dispositivos.

Nós usamos um firewall com estado em nosso gateway, que:

  • permite todo o icmpv6
  • permite novas conexões da rede interna para fora
  • permite conexões estabelecidas de público para interno

Nenhum tráfego público (exceto ICMP e conexões estabelecidas) deve entrar em nossa rede.

Até agora não tivemos problemas com essa configuração e ela funciona perfeitamente.

    
por 08.07.2016 / 16:29
14

Se não houver necessidade de conectividade externa, redes privadas poderão ser usadas. Essa é a razão para definir o espaço de endereço privado também no IPv6.

O NAT é um hack que foi inventado para atrasar o esgotamento do espaço de endereços IPv4. O NAT causa problemas com os aplicativos e para que os aplicativos funcionem com o NAT, são necessários mais hacks que entram em conflito com o design original do IP.

Assim, a maneira preferida é trabalhar como o Yarik respondeu, use um firewall com estado apropriado na borda da rede.

    
por 08.07.2016 / 16:36
7

Como afirmado, essa é a maneira como o IP foi projetado para funcionar e funciona bem. NAT introduz problemas irritantes às vezes. Alguns descreveram a "ocultação" do NAT do IP interno como uma vantagem, mas também pode ser uma desvantagem.

Trabalhei em um local com um / 16 e usamos endereços IPv4 roteáveis publicamente em todos os dispositivos (incluindo impressoras, telefones celulares e timeclocks eletrônicos). Funcionou muito bem e, além disso, facilitou muito o rastreamento de usuários e dispositivos com problemas de comportamento. Isso também limitou o impacto desses usuários, de modo que, se alguém conseguir começar a espalhar malware ou for pego torrent, é menos provável que afete (digamos) a capacidade dos seus servidores de comunicação de se comunicarem desimpedidos por estarem em uma lista negra.

    
por 08.07.2016 / 21:27
4

As proponetes do IPv6 viam a NAT como um recurso temporário para aliviar o esgotamento do endereço IPv4 e, portanto, o NAT não seria necessário com o IPv6.

No entanto, o NAT tem algumas vantagens além de parar a exaustão do endereço.

    O
  1. NAT desacopla seu endereçamento interno de sua conectividade com a Internet.
  2. Pelo menos no linux, o NAT tende a falhar fechado. Se as regras do iptables não forem carregadas, então os dispositivos com IPs privados não terão conectividade com a Internet, isso será rapidamente notado e corrigido. Os firewalls de inspeção de pacotes, por outro lado, podem facilmente falhar se o encaminhamento de IP estiver ativado, mas as regras do iptables não forem carregadas.
  3. NAT oculta qual máquina interna fez uma solicitação. As extensões de privacidade ajudam, até certo ponto, com isso, mas não ocultam a sub-rede e são um recurso do lado do cliente, portanto o sistema operacional do cliente, e não o administrador da rede, escolhe se são ou não usadas.

Como tal, eu esperaria que pelo menos algumas empresas implementassem a v6 com NAT da mesma maneira que fazem para o IPv4. Outros podem ficar do lado dos proponentes do IPv6 e optar por firewalls, mas sem conversão de endereço.

I would strongly encourage you (and anyone else considering implementing NAT with IPv6) to reconsider, after reading RFC 4864 for advice on what to do instead of NAT

Eu li, mas não acho que ele forneça um reprelacement completo para o NAT.

    O
  1. NAT desacopla seu endereçamento interno de sua conectividade com a Internet.

A proposta do IPv6 para essa solução é tripla, executa vários endereços paralelamente, automatiza a atribuição de endereços dinâmicos do (s) provedor (es) para redes internas e usa ULAs para fornecer endereços locais de longo prazo.

A execução de endereços com vida útil diferente em paralelo corre o risco de que endereços não permanentes acabem inadvertidamente na configuração de longo prazo. Executar vários endereços de Internet paralelamente tem o problema de os sistemas operacionais clientes não estarem equipados para saber de qual gateway da Internet os pacotes sairão.

A delegação de prefixo foi solidamente implementada para cenários de nível único em que um único roteador CPE solicita um prefixo do ISP e o atribui a uma ou mais interfaces locais, mas atualmente não parece haver uma boa implementação para vários níveis delação dentro de um site do cliente.

  1. Pelo menos no linux, o NAT tende a falhar fechado. Se as regras do iptables não forem carregadas, então os dispositivos com IPs privados não terão conectividade com a Internet, isso será rapidamente notado e corrigido. Os firewalls de inspeção de pacotes, por outro lado, podem facilmente falhar se o encaminhamento de IP estiver ativado, mas as regras do iptables não forem carregadas.

Os proponentes do IPv6 não parecem fornecer nenhuma resposta para isso. Eles parecem simplesmente assumir que acidentes não acontecerão.

  1. NAT oculta qual máquina interna fez uma solicitação.

As extensões de privacidade ajudam até certo ponto com isso, mas não ocultam a sub-rede e são um recurso do lado do cliente, portanto, o sistema operacional do cliente, não o administrador da rede, escolhe se são ou não usados.

Há uma proposta para atribuir / 128s a máquinas individuais e, em seguida, criar entradas IGP para direcioná-las, mas não tenho conhecimento de ninguém realmente implementando isso na prática.

    
por 08.07.2016 / 21:16

Tags

Devo estar preocupado com a atualização do yum que, de repente, quer atualizar mais de 100 pacotes no meu sistema CentOS 6? Usuários comuns são capazes de ler / etc / passwd, isso é um buraco de segurança?