题 在IPv6中拥有全球可访问IP的每个人都会成为安全噩梦吗? [重复]


可能重复:
切换到IPv6并摆脱NAT?你在开玩笑吗? 

我正在考虑在IPv4中大多数时候你只有一个点来配置防火墙,主要是你的路由器的方式,但如果每个人都有一个全球可访问的IP地址,这并不意味着每个计算机用户基本上负责管理自己的防火墙?

(我的意思是我承认在使用公共wifi接入点时也是如此,但仍然......)


31
2017-10-27 03:32




这个已在本网站上讨论了几次,但目前我找不到其他问题。基本的是 所有 边缘设备将被强制进入 deny-all 默认,这意味着它不会比现在更不安全 - Mark Henderson♦
IPv6的设计者并非完全无能。 IPv6可能并不完美,但它可以说比IPv4更好。有很多 关于SF的IPv6问题已经涵盖了IPv6的理论和实现。 - Chris S
你真的认为nat可以保护你免受互联网威胁吗?再想想。 - The Unix Janitor
@ user37899嗯不,但它确实缩小了可能出错的ip地址数量。 - leeand00


答案:


IPv6摆脱了NAT,这肯定是避免从内部主机意外暴露于互联网服务的很大一部分。所以,这就是改变大多数人做事的方式。

但是,它并不意味着你不会在网络边缘仍然有一个中央防火墙 - 改变只是它将充当纯防火墙而不是防火墙/ NAT设备。它只是由管理这些防火墙的人来确保避免意外暴露服务;启动拒绝规则!

摆脱NAT是网络安全实践的一个重大变化,我们肯定会在很长一段时间内听到由于防火墙和IPv6配置错误导致的一些意外信息泄露事件。但NAT一直都是黑客攻击,从长远来看,让防火墙远离跟踪所有这些连接以及无状态协议和端口转换的伪连接的业务将是一件好事 - 对我来说复杂性较低听起来不错!


54
2017-10-27 03:43



完全同意。 - Ignacio Vazquez-Abrams
NAT仍然存在于IPV6上,而很多人会忘记它存在,有人会发现它非常有效。 - Silverfire
@Silverfire我所知道的唯一标准翻译机制是NAT64;我很想调用“RFC或它没有发生”的规则;) - Shane Madden♦
@Silverfire你在谈论IPv6中不可路由的地址吗?这类似于IPv4中的192.168。*。*地址范围? - leeand00
NAT66与NAT4不同,它将一个IP范围映射到另一个IP范围。在IPv4 NAT中,您有一个外部IP,NAT框跟踪到多个内部IP的连接。 NAT66简单地将一个IPv6地址重写为另一个。无论一个或多个ISP分配的外部IP如何,都允许网络使用一致的内部IP。计算机可以通过外部IP路由,并且NAT盒的单点故障被消除,因为它不再需要跟踪连接。我的观点真的不一样。 - Chris S


不,这不是一场噩梦。出于安全原因,未创建NAT和私有地址,因为IPv4地址已用尽,因此创建了它们。

我承认使用公共IP似乎很可怕,但为了安全起见,你应该相信你的防火墙,而不是你的NAT。

关于服务器故障的另一个问题 关于这一点。许多关于NAT作为安全性的标准已经发生变化,例如,2010年10月下旬对PCI-DSS标准进行了修订,并删除了NAT要求(第1.2节第1.3.8节)。

如果你不停止这种恐惧,那么你将永远不会拥有像Windows 7 Direct Access这样令人难以置信的技术的所有优势。


14
2017-10-27 04:04



我担心网络边缘设备将不再包含防火墙,因此您必须在所有用户机器上配置它。但我知道这不是一个有效的问题,因为防火墙仍然位于边缘设备上,而网络上其他主机的流量仍然通过边缘设备,因此它是防火墙。原谅我,我在技术上不够老(在网络中)记住没有NAT的时间。 - leeand00
我喜欢NAT。尤其是因为识别单个机器要困难得多。没有NAT,你有一个直接的目标地址。即NAT在防火墙本身之外增加了一层保护。 - John Gardeniers
它是否是出于安全原因而创建的,与它是否具有安全性是分开的 影响 [即使有人将这种效果描述为“创造一种可论证的'虚假'安全感,从而使人们不太可能实施真正的安全功能”] - Random832
@JohnGardeniers:您担心的是IPv6添加临时私人地址的原因。 Windows默认使用它们。它的作用是传出连接使用随机临时地址。如果您已将其公开,则传入连接可以连接到永久系统地址。 - Zan Lynx


每台计算机都应该负责管理自己的防火墙。

那说,只是因为你松散NAT并不意味着你失去了所有的好处(你仍然可以在ipv6上使用NAT) 您仍然可以在路由器上拥有状态防火墙,并且可以像ipv4一样以类似的方式添加其他防火墙规则。

唯一的区别是您可以从专用网络中识别确切的计算机,如果这是一个问题,您可以安装NAT。

它仍然可以阻止来自路由器的随机端口扫描


4
2017-10-27 03:47



在您的评论中“每台计算机都应该负责管理自己的防火墙”,我希望您不要在网络边缘提倡基于网络的安全性的基于主机的安全性。至少在三个层面上这将是愚蠢的。 - drxzcl
@ranieri一点也不,我只是说你不能把一台计算机扔在NAT防火墙后面,并希望整个网络都是安全的。让您知道自己想要阻止的流量也会占用网络上的带宽也是一种浪费。在没有L3交换机的情况下,网络中的任何人都可以瞄准计算机,并且需要基于主机的安全性,但是两者都是推荐的。您可以使用基于主机的安全性替换网络安全性,但正如您所说,它并不理想。 - Silverfire
@drxzcl傻到什么级别? - curiousguy
@curiousguy显而易见的一点是你必须正确配置N个防火墙而不是一个。这是N-1犯下致命错误的更多机会。另一个原因是你向攻击者流量暴露了更多(可能是错误的)计算机和设备,大大增加了你的攻击面。第三,通过将您的局域网视为一个不安全的网络,您在共享本地资源方面首先失去了拥有局域网的所有好处。请注意,这是对基于边缘的安全性的防御,而不是NAT的防御。 NAT是需要死的kludge。 - drxzcl


这个问题基于一种常见的误解,即由于NAT无意中提供了一些安全性,因此它是一种防火墙技术。这个误解可以通过一个简单的思想实验来解决:想象一下只有一个客户端的IPv4 NAT盒子。它可以,如果它想,转发 所有 到该客户端和过滤器的入站流量 没有 根本没有提供任何安全保障。那你为什么不担心呢?


3
2017-10-27 06:52





许多大学(和几家大公司)在每台计算机上都有有效的可路由IP。这并不意味着没有网关防火墙设备。这并不意味着您也可以从互联网上访问该设备。大多数情况下,防火墙设置为默认阻止所有流量。但是,它确实保证他们的计算机位于全球唯一的地址上。

如果你使用NAT,那么事情就会变得很讨厌.. IE,你想在你和你的客户之间建立一个VPN,但你们都有内部网络192.168.1.x ..这意味着,你必须然后NAT nat the natted连接,使它们看起来是一个不同的内部唯一IP,这使得事情匆忙变得丑陋。 (我必须与其他5家我们拥有VPN的公司合作)


1
2018-03-04 06:28