Isolamento de rede com IPv6

Navegue suas respostas
5

Entendo que a tradução de endereços de rede (NATing) desaparece com o IPv6. Como podemos isolar recursos de rede para aqueles que precisam deles do resto da internet? Estou pensando especificamente em permitir o acesso a recursos da rede interna, como servidores de arquivos ou hosts de VM, a usuários remotos, como aqueles que trabalham em casa.

Um cenário semelhante também aparece no IPv4 hoje. Em muitas universidades, incluindo a minha, cada dispositivo de rede obtém um IP publicamente roteável. Eu gostaria de executar um servidor de arquivos, mas realmente não quero publicamente acessível. Idealmente, também teria um IP público e VPN não seria necessário.

Comentários?

    
por Craig Younkins 04.04.2011 / 21:12

3 respostas

7

How do we isolate network resources to those that need them from the rest of the internet?

É para isso que os firewalls com informações de estado servem. O isolamento que o NAT fornece realmente fornece apenas uma falsa sensação de segurança, e não é bom para nada além de segurança pela obscuridade.

Dito isso, embora o NAT seja necessário em uma base muito menos frequente após a migração para o IPv6, ele não desaparecerá tão cedo. De fato, para melhor ou pior, as implementações do NATv6 já existem e estão em produção em várias organizações atualmente.

Só porque um dispositivo tem um endereço IP público, não significa de qualquer forma que seja acessível publicamente. Sua política de firewall padrão deve ser a negação padrão e permitir tráfego somente de / para portas ou sub-redes específicas, conforme necessário.

    
por 04.04.2011 / 21:19
2

Você pode usar endereços locais exclusivos para recursos que não deveriam estar disponíveis na Internet pública. O intervalo ULA é fc00 :: / 7, que está fora do intervalo global (2000 :: / 3).

    
por 04.04.2011 / 21:26
0

O ponto da VPN não é trabalhar em torno do NAT, mas para reforçar a segurança de autenticação e conexão. A VPN ainda será uma grande parte do acesso remoto seguro. (ou seja, só porque você tem o espaço de endereço para expor os serviços à rede, não significa que você deve expor tudo)

Firewall seus dispositivos IPv6 fora da internet, fornecendo acesso apenas aos serviços que devem ser publicamente acessíveis. Os usuários que precisam acessar recursos internos ainda devem entrar e possivelmente ter um conjunto diferente de regras de firewall aplicados a eles (ou apenas acesso total à rede interna; depende de sua política de segurança).

    
por 04.04.2011 / 21:20

Tags

yum “Falha de segmentação” em centos Acelerando o Apache e o PHP