सवाल आईपीवी 6 पर स्विच करने से एनएटी गिरने का तात्पर्य है। क्या वह अच्छी चीज़ है?


यह है एक कैननिकल प्रश्न आईपीवी 6 और एनएटी के बारे में

सम्बंधित:

तो हमारे आईएसपी ने हाल ही में आईपीवी 6 स्थापित किया है, और मैं अध्ययन कर रहा हूं कि मैदान में कूदने से पहले संक्रमण क्या हो सकता है।

मैंने तीन बहुत ही महत्वपूर्ण मुद्दों पर ध्यान दिया है:

  1. हमारा कार्यालय एनएटी राउटर (पुराना लिंकिस बीईएफएसआर 41) आईपीवी 6 का समर्थन नहीं करता है। न ही कोई नया राउटर, AFAICT करता है। जिस पुस्तक को मैं आईपीवी 6 के बारे में पढ़ रहा हूं, वह मुझे बताता है कि यह एनएटी को "अनावश्यक" बनाता है।

  2. अगर हमें सिर्फ इस राउटर से छुटकारा पाना है और सीधे इंटरनेट पर प्लग करना है, तो मैं घबराहट शुरू कर दूंगा। नरक में कोई रास्ता नहीं है, मैं इंटरनेट पर सभी बिलिंग देखने के लिए हमारे बिलिंग डेटाबेस (क्रेडिट कार्ड की जानकारी के साथ!) डालूंगा। भले ही मैं विंडोज़ फ़ायरवॉल को स्थापित करने का प्रस्ताव करता हूं, यहां तक ​​कि केवल 6 पतों को इसकी कोई पहुंच नहीं है, फिर भी मैं ठंडे पसीने में टूट जाता हूं। मुझे विंडोज़, विंडोज़ फ़ायरवॉल, या नेटवर्क पर भरोसा नहीं है कि वह इसके साथ दूरस्थ रूप से आरामदायक भी हो।

  3. कुछ पुराने हार्डवेयर डिवाइस (यानी प्रिंटर) हैं जिनके पास बिल्कुल आईपीवी 6 क्षमता नहीं है। और संभवतः 1 99 8 के आसपास सुरक्षा मुद्दों की एक कपड़े धोने की सूची। और वास्तव में उन्हें किसी भी तरह से पैच करने का कोई तरीका नहीं है। और नए प्रिंटर के लिए कोई धन नहीं।

मैंने सुना है कि आईपीवी 6 और आईपीएसईसी को यह सब सुरक्षित तरीके से बनाना है, लेकिन शारीरिक रूप से अलग नेटवर्क के बिना जो इन उपकरणों को इंटरनेट पर अदृश्य बनाते हैं, मैं वास्तव में कैसे नहीं देख सकता मैं भी इसी तरह कर सकता हूँ वास्तव में देखें कि मेरे द्वारा बनाए गए किसी भी सुरक्षा को कम क्रम में ओवरराउन किया जाएगा। मैं कई वर्षों से इंटरनेट पर सर्वर चला रहा हूं और मैं उन लोगों को सुरक्षित करने के लिए आवश्यक चीजों से परिचित हूं, लेकिन हमारे बिलिंग डेटाबेस जैसे नेटवर्क पर निजी कुछ डालने से हमेशा सवाल से बाहर हो गया है।

यदि हमारे पास भौतिक रूप से अलग नेटवर्क नहीं हैं, तो मुझे एनएटी को प्रतिस्थापित करना चाहिए?


101
2017-09-24 23:33


मूल


क्या आप इसे फिर से पूछने की कोशिश कर सकते हैं? अभी यह काफी तर्कसंगत प्रतीत होता है। - Zoredache
चीजें आप हैं के बारे में चौंक गया अस्तित्व में नहीं है शायद आपको उन चीज़ों का वर्णन करने के तरीके में अपने प्रश्न को दोबारा सुधारना चाहिए जो आप मानते हैं और तथ्यों की पुष्टि करने के लिए कहते हैं। आपके द्वारा ग्रहण की गई चीज़ों के बारे में शिकायत करने के बजाय एक निश्चित तरीके से काम करेंगे। - Zoredache
इसके अलावा - आप क्रेडिट कार्ड की जानकारी संग्रहीत कर रहे हैं? और आपके पास सुरक्षा के बारे में बहुत सारे प्रश्न हैं? क्या आपने कभी पीसीआई ऑडिट पास किया है? या क्या आप क्रेडिट कार्ड के विवरण जमा करके अपना अनुबंध तोड़ रहे हैं? आप इसे जल्द से जल्द देखना चाहते हैं। - mfinni
मैं इस विवेक को कम विवेक में नहीं दे सकता हूं या इस सवाल को इस आधार पर बंद कर सकता हूं कि पोस्टर बीमार है (निश्चित रूप से यह साइट का आधा बिंदु है)। अनुमोदित, ओपी झूठी धारणा के आधार पर एक बड़े स्पर्शरेखा पर जा रहा है, और सवाल फिर से लिखने के साथ कर सकता है। - Chris Thorpe
"कोई और एनएटी" निश्चित रूप से आईपीवी 6 में लक्ष्यों में से एक नहीं है। हालांकि फिलहाल, ऐसा लगता है कि (कम से कम यहां) कि आईपीवी 6 की पेशकश में दिलचस्पी बहुत बड़ी नहीं है, डेटासेंटर को छोड़कर (क्योंकि बड़े पैकेट्स का मतलब बैंडविड्थ है, और अधिक बैंडविड्थ का मतलब उनके लिए अधिक पैसा है!)। डीएसएल के लिए यह विपरीत है, हालांकि हर किसी के पास फ्लैट्रेट है, इसलिए आईपीवी 6 केवल प्रदाताओं के लिए अधिक परेशानी और अधिक लागत का मतलब है। - dm.skt


जवाब:


सबसे पहले और सबसे महत्वपूर्ण, सार्वजनिक आईपी आवंटन से डरने के लिए कुछ भी नहीं है, जब तक कि आपके सुरक्षा डिवाइस सही तरीके से कॉन्फ़िगर किए जाएं।

यदि हमारे पास भौतिक रूप से अलग नेटवर्क नहीं हैं, तो मुझे एनएटी को प्रतिस्थापित करना चाहिए?

1 9 80 के दशक, राउटर और फ़ायरवॉल के बाद से हम उन्हें भौतिक रूप से अलग कर रहे हैं। एनएटी के साथ आपको प्राप्त होने वाली एक बड़ी सुरक्षा लाभ यह है कि यह आपको डिफ़ॉल्ट-अस्वीकार कॉन्फ़िगरेशन में मजबूर करता है। पाने के लिए कोई भी इसके माध्यम से सेवा, आपको करना है स्पष्ट रूप से छेद करें। फैनसीयर डिवाइस आपको फ़ायरवॉल की तरह, उन छेदों पर आईपी-आधारित एसीएल लागू करने की अनुमति भी देता है। शायद क्योंकि उनके पास बॉक्स पर 'फायरवॉल' है, वास्तव में।

एक सही ढंग से कॉन्फ़िगर किया गया फ़ायरवॉल एनएटी गेटवे के समान सेवा प्रदान करता है। एनएटी गेटवे अक्सर उपयोग किए जाते हैं क्योंकि वे हैं आसान अधिकांश फ़ायरवॉल की तुलना में एक सुरक्षित कॉन्फ़िगरेशन में शामिल होने के लिए।

मैंने सुना है कि आईपीवी 6 और आईपीएसईसी को यह सब सुरक्षित तरीके से बनाना है, लेकिन शारीरिक रूप से अलग नेटवर्क के बिना जो इन उपकरणों को इंटरनेट पर अदृश्य बनाते हैं, मैं वास्तव मेंकैसे नहीं देख सकता

यह एक गलतफहमी है। मैं एक विश्वविद्यालय के लिए काम करता हूं जिसमें एक / 16 आईपीवी 4 आवंटन है, और हमारे आईपी एड्रेस खपत का विशाल, विशाल बहुमत सार्वजनिक आवंटन पर है। निश्चित रूप से हमारे सभी अंतिम उपयोगकर्ता वर्कस्टेशन और प्रिंटर। हमारी आरएफसी 1 9 18 खपत नेटवर्क उपकरणों और कुछ विशिष्ट सर्वर तक सीमित है जहां ऐसे पते की आवश्यकता है। मैं आश्चर्यचकित नहीं होगा अगर आप अभी अभी shivered, क्योंकि मैंने निश्चित रूप से किया था जब मैंने अपने पहले दिन दिखाया और मेरे आईपी पते के साथ मेरे मॉनिटर पर पोस्ट देखा।

और फिर भी, हम जीवित रहते हैं। क्यूं कर? क्योंकि हमारे पास एक बाहरी फ़ायरवॉल डिफ़ॉल्ट रूप से कॉन्फ़िगर किया गया है-सीमित आईसीएमपी थ्रुपुट के साथ इनकार करें। सिर्फ इसलिए कि 140.160.123.45 सैद्धांतिक रूप से मार्ग योग्य है, इसका मतलब यह नहीं है कि आप सार्वजनिक इंटरनेट पर कहीं से भी वहां जा सकते हैं। यह वही है जो फ़ायरवॉल करने के लिए डिजाइन किए गए थे।

सही राउटर कॉन्फ़िगरेशन को देखते हुए, और हमारे आवंटन में विभिन्न सबनेट एक-दूसरे से पूरी तरह से पहुंच योग्य नहीं हो सकते हैं। आप इसे राउटर टेबल या फ़ायरवॉल में कर सकते हैं। यह एक अलग नेटवर्क है और अतीत में हमारे सुरक्षा लेखा परीक्षकों को संतुष्ट कर चुका है।

नरक में कोई रास्ता नहीं है, मैं इंटरनेट पर सभी बिलिंग देखने के लिए हमारे बिलिंग डेटाबेस (क्रेडिट कार्ड की जानकारी के साथ!) डालूंगा।

हमारा बिलिंग डेटाबेस एक सार्वजनिक आईपीवी 4 पते पर है, और यह अपने पूरे अस्तित्व के लिए रहा है, लेकिन हमारे पास प्रमाण है कि आप यहां से नहीं जा सकते हैं। सिर्फ इसलिए कि सार्वजनिक v4 मार्ग योग्य सूची पर कोई पता नहीं है इसका मतलब यह नहीं है कि इसे वितरित करने की गारंटी है। इंटरनेट की बुराइयों और वास्तविक डेटाबेस बंदरगाहों के बीच दो फ़ायरवॉल बुराई को फ़िल्टर करते हैं। मेरी मेज से भी, पहली फ़ायरवॉल के पीछे, मैं उस डेटाबेस तक नहीं पहुंच सकता।

क्रेडिट कार्ड की जानकारी एक विशेष मामला है। यह पीसीआई-डीएसएस मानकों के अधीन है, और मानक मानक सीधे बताते हैं कि ऐसे डेटा वाले सर्वरों को एनएटी गेटवे के पीछे होना चाहिए1। हमारा हैं, और ये तीन सर्वर आरएफसी 1 9 18 पते के हमारे कुल सर्वर उपयोग का प्रतिनिधित्व करते हैं। यह जटिलता की एक परत, कोई सुरक्षा नहीं जोड़ता है, लेकिन हमें ऑडिट के लिए चेकबॉक्स चेक करने की आवश्यकता है।


मूल "आईपीवी 6 एनएटी को अतीत की बात बनाता है" इंटरनेट बूम वास्तव में पूर्ण मुख्यधारा में हिट करने से पहले विचार आगे रखा गया था। 1 99 5 में एनएटी एक छोटे से आईपी आवंटन के लिए एक कामकाज था। 2005 में यह कई सुरक्षा सर्वोत्तम प्रथाओं दस्तावेज़ में स्थापित किया गया था, और कम से कम एक प्रमुख मानक (पीसीआई-डीएसएस विशिष्ट होना)। एनएटी का एकमात्र ठोस लाभ यह है कि नेटवर्क पर दोबारा प्रदर्शन करने वाली बाहरी इकाई यह नहीं जानती कि आईएटी परिदृश्य एनएटी डिवाइस के पीछे कैसा दिखता है (हालांकि आरएफसी 1 9 18 के लिए धन्यवाद, उनके पास अच्छा अनुमान है), और एनएटी-मुक्त आईपीवी 4 (जैसे मेरे काम के रूप में) यह मामला नहीं है। रक्षा में गहराई में यह एक छोटा कदम है, एक बड़ा नहीं।

आरएफसी 1 9 18 पते के प्रतिस्थापन को अद्वितीय स्थानीय पते कहा जाता है। आरएफसी 1 9 18 की तरह, वे तब तक मार्ग नहीं बनाते जब तक कि सहकर्मी उन्हें विशेष रूप से मार्ग देने के लिए सहमत न हों। आरएफसी 1 9 18 के विपरीत, वे (संभवतः) वैश्विक रूप से अद्वितीय हैं। आईपीवी 6 एड्रेस ट्रांसलेटर जो यूएलए को ग्लोबल आईपी में अनुवाद करते हैं, उच्च श्रेणी परिधि गियर में मौजूद हैं, निश्चित रूप से एसओएचओ गियर में नहीं।

आप सार्वजनिक आईपी पते के साथ बस ठीक रह सकते हैं। बस ध्यान रखें कि 'सार्वजनिक' 'पहुंच योग्य' की गारंटी नहीं देता है, और आप ठीक होंगे।


2017 अपडेट

पिछले कुछ महीनों में, अमेज़ॅन  आईपीवी 6 समर्थन जोड़ रहा है। यह अभी उनके लिए जोड़ा गया है  पेशकश, और उनके कार्यान्वयन कुछ सुराग देता है कि बड़े पैमाने पर तैनाती कितनी बड़ी होने की उम्मीद है।

  • आपको एक / 56 आवंटन (256 सबनेट) दिया जाता है।
  • आवंटन एक पूरी तरह से मार्ग योग्य सबनेट है।
  • आपको अपने फ़ायरवॉल-नियमों को सेट करने की उम्मीद है () उचित रूप से प्रतिबंधित है।
  • कोई एनएटी नहीं है, यह भी पेशकश नहीं की जाती है, इसलिए सभी आउटबाउंड यातायात उदाहरण के वास्तविक आईपी पते से आएगा।

एनएटी के सुरक्षा लाभों में से एक को वापस जोड़ने के लिए, वे अब एक पेशकश कर रहे हैं केवल एकमात्र इंटरनेट गेटवे। यह एक एनएटी जैसी लाभ प्रदान करता है:

  • इसके पीछे सबनेट सीधे इंटरनेट से नहीं पहुंचा जा सकता है।

जो रक्षा-गहराई की एक परत प्रदान करता है, यदि किसी गलत कॉन्फ़िगर किए गए फ़ायरवॉल नियम गलती से इनबाउंड ट्रैफ़िक की अनुमति देता है।

यह पेशकश आंतरिक पते को एनएटी के तरीके से एक ही पते में अनुवादित नहीं करती है। आउटबाउंड यातायात में अभी भी उस उदाहरण का स्रोत आईपी होगा जो कनेक्शन खोला गया है। वीपीसी में श्वेतसूची संसाधनों की तलाश में फायरवॉल ऑपरेटर विशिष्ट आईपी पते की बजाय नेटब्लॉक को श्वेतसूची से बेहतर कर देंगे।

Routeable हमेशा मतलब नहीं है पहुंच योग्य


1: पीसीआई-डीएसएस मानकों को अक्टूबर 2010 में बदल दिया गया, आरएफसी 1 9 18 पते को जरूरी बयान हटा दिया गया, और 'नेटवर्क अलगाव' ने इसे बदल दिया।


182
2017-09-25 00:59



मैंने इसे स्वीकृत के रूप में चिह्नित किया क्योंकि यह अधिक पूर्ण उत्तर है। मुझे लगता है कि चूंकि मैंने कभी भी फ़ायरवॉल कॉन्फ़िगरेशन टोम पढ़ा है (1 99 7 से, जब मैंने मैदान में शुरुआत की थी, और इसमें हाथ से फ्रीबीएसडी फ़ायरवॉल बनाने का काम शामिल है) ने आरएफसी 1 9 18 के उपयोग पर जोर दिया है, यह वास्तव में कोई समझ नहीं आया है मेरे लिए। बेशक, एक आईएसपी के रूप में हमें अंतिम उपयोगकर्ताओं और उनके सस्ता राउटर के साथ कुछ समस्याएं होने जा रही हैं जब हम आईपीवी 4 पते से बाहर निकलते हैं, और यह जल्द ही कभी नहीं जा रहा है। - Ernie
"आईपीवी 6 एड्रेस ट्रांसलेटर जो यूएलए को ग्लोबल आईपी में अनुवाद करते हैं, उच्च श्रेणी परिधि गियर में मौजूद हैं, निश्चित रूप से एसओएचओ गियर में नहीं।" कई वर्षों तक विरोध करने के बाद लिनक्स ने 3.9.0 में इसके लिए समर्थन जोड़ा। - Peter Green
मेरे पास एक सवाल है "एनएटी गेटवे का अक्सर उपयोग किया जाता है क्योंकि वे हैं आसान अधिकांश फ़ायरवॉल की तुलना में एक सुरक्षित कॉन्फ़िगरेशन प्राप्त करने के लिए "। समर्थक आईटी कर्मचारियों या जानकार उपभोक्ताओं के लिए व्यवसायों के लिए जो कोई बड़ा सौदा नहीं है, लेकिन सामान्य उपभोक्ता / बेवकूफ छोटे व्यवसाय के लिए कुछ आसान सुरक्षा जोखिम नहीं है? दशकों के पासवर्ड रहित "लिंकिस" वाईफ़ाई नेटवर्क मौजूद थे क्योंकि सुरक्षा को कॉन्फ़िगर करना इसे कॉन्फ़िगर करने से "आसान" नहीं था। उपभोक्ता-स्तर आईओटी सक्षम डिवाइस से भरे घर के साथ मैं अपनी माँ को आईपीवी 6 फ़ायरवॉल को सही तरीके से कॉन्फ़िगर नहीं कर सकता। क्या आपको लगता है कि यह संकट? - Jason C
@ जेसनसी नहीं, क्योंकि उपभोक्ता स्तर के गियर को पहले ही भेज दिया जा रहा है, आईएसपी द्वारा सभी इनबाउंड को अस्वीकार करने के लिए पहले से कॉन्फ़िगर किए गए फ़ायरवॉल के साथ शिपिंग है। या वी 6 समर्थन नहीं है। चुनौती शक्ति-उपयोगकर्ता है जो सोचते हैं कि वे जानते हैं कि वे क्या कर रहे हैं, लेकिन वास्तव में नहीं। - sysadmin1138♦
एक उत्कृष्ट जवाब कुल मिलाकर, लेकिन मैंने इसे कम कर दिया क्योंकि यह कमरे में बड़े हाथी को मुश्किल से संबोधित करता है: सुरक्षा उपकरण को सही तरीके से कॉन्फ़िगर करना ऐसा कुछ है जिसे आप केवल मंजूर नहीं कर सकते हैं। - Kevin Keane


हमारे कार्यालय एनएटी राउटर (एक पुरानी Linksys   बीईएफएसआर 41) आईपीवी 6 का समर्थन नहीं करता है। न   कोई नया राउटर करता है

आईपीवी 6 कई राउटर द्वारा समर्थित है। बस इतना नहीं कि उपभोक्ताओं और एसओएचओ के उद्देश्य से कई सस्ती लोग हैं। सबसे खराब मामला, बस एक लिनक्स बॉक्स का उपयोग करें या आईपीवी 6 समर्थन प्राप्त करने के लिए डीडी-wrt या कुछ के साथ अपने राउटर को फिर से फ्लैश करें। कई विकल्प हैं, आपको शायद कड़ी मेहनत करनी पड़ेगी।

अगर हम सिर्फ छुटकारा पाने के लिए माना जाता है   यह राउटर और प्लग सब कुछ   सीधे इंटरनेट पर,

आईपीवी 6 में संक्रमण के बारे में कुछ भी नहीं बताता है कि आपको परिधि सुरक्षा उपकरणों से छुटकारा पाना चाहिए, जैसे कि राउटर / फ़ायरवॉल। रूटर्स और फ़ायरवॉल अभी भी हर नेटवर्क के बहुत आवश्यक घटक होंगे।

सभी एनएटी राउटर प्रभावी रूप से एक राज्यव्यापी फ़ायरवॉल के रूप में कार्य करते हैं। आरएफसी 1 9 18 पते के उपयोग के बारे में जादू कुछ भी नहीं है जो आपको बहुत अधिक बचाता है। यह कष्टप्रद बिट है जो कड़ी मेहनत करता है। एक ठीक से कॉन्फ़िगर किया गया फ़ायरवॉल आपको भी सुरक्षित रखेगा यदि आप वास्तविक या निजी पते का उपयोग कर रहे हैं।

आरएफसी 1 9 18 पते से आपको प्राप्त होने वाली एकमात्र सुरक्षा यह है कि लोगों को आपकी फ़ायरवॉल कॉन्फ़िगरेशन में त्रुटियों / आलस्य से दूर जाने की अनुमति मिलती है और फिर भी वह कमजोर नहीं होती है।

कुछ पुराने हार्डवेयर डिवाइस (यानी प्रिंटर) हैं जिनके पास बिल्कुल आईपीवी 6 क्षमता नहीं है।

इसलिए? यह शायद ही कभी संभावना है कि आपको इंटरनेट पर और अपने आंतरिक नेटवर्क पर उपलब्ध कराने की आवश्यकता होगी, आप अपने सभी डिवाइस समर्थित या प्रतिस्थापित होने तक आईपीवी 4 और आईपीवी 6 चला सकते हैं।

यदि एकाधिक प्रोटोकॉल चलाना एक विकल्प नहीं है तो आपको किसी प्रकार का गेटवे / प्रॉक्सी सेट करना पड़ सकता है।

आईपीएसईसी को किसी भी तरह से यह सब सुरक्षित बनाना है

आईपीएसईसी ने एन्क्रिप्ट किया और पैकेट को प्रमाणित किया। आपके सीमावर्ती डिवाइस से छुटकारा पाने के लिए इसका कोई लेना-देना नहीं है, और पारगमन में डेटा की अधिक सुरक्षा है।


56
2017-09-24 23:55



ठीक है कई तरीकों से। - sysadmin1138♦
वास्तव में, एक असली राउटर प्राप्त करें और आपको चिंता करने की आवश्यकता नहीं होगी। SonicWall में आपको आवश्यक सुरक्षा प्रदान करने के लिए कुछ उत्कृष्ट विकल्प हैं और बिना किसी समस्या के आईपीवी 6 का समर्थन करेंगे। यह विकल्प शायद आपके पास वर्तमान की तुलना में बेहतर सुरक्षा और प्रदर्शन प्रदान करेगा। (news.sonicwall.com/index.php?s=43&item=1022) जैसा कि आप इस आलेख में देख सकते हैं, आप आईपीवी 4 को आईपीवी 6 अनुवाद के साथ सोनीवॉल उपकरणों के साथ भी कर सकते हैं जो ipv6 को संभाल नहीं सकते हैं। - MaQleod


हाँ। एनएटी मर चुका है आईपीवी 6 पर एनएटी के मानकों को मंजूरी देने के कुछ प्रयास किए गए हैं, लेकिन उनमें से कोई भी कभी जमीन से उतर नहीं पाया है।

इसने वास्तव में उन प्रदाताओं के लिए समस्याएं पैदा की हैं जो पीसीआई-डीएसएस मानकों को पूरा करने का प्रयास कर रहे हैं, क्योंकि मानक वास्तव में कहता है कि आपको एनएटी के पीछे होना चाहिए।

मेरे लिए, यह मैंने कभी सुना है सबसे शानदार खबरों में से कुछ है। मुझे एनएटी से नफरत है, और मैं कैरियर-ग्रेड एनएटी से भी ज्यादा नफरत करता हूं।

एनएटी केवल आईपीवी 6 मानक बनने तक हमें प्राप्त करने के लिए बैंडएड समाधान होने का मतलब था, लेकिन यह इंटरनेट समाज में शामिल हो गया।

संक्रमण अवधि के लिए, आपको याद रखना होगा कि आईपीवी 4 और आईपीवी 6 समान नाम से अलग हैं, बिल्कुल अलग हैं 1। तो डिवाइस जो ड्यूल-स्टैक हैं, आपके आईपीवी 4 को नेटेट किया जाएगा और आपका आईपीवी 6 नहीं होगा। यह लगभग दो पूरी तरह से पृथक उपकरणों की तरह है, बस प्लास्टिक के एक टुकड़े में पैक किया गया।

तो, आईपीवी 6 इंटरनेट का उपयोग कैसे काम करता है? खैर, जिस तरह से इंटरनेट एनएटी से पहले काम करने के लिए इस्तेमाल किया गया था उसका आविष्कार किया गया था। आपका आईएसपी आपको एक आईपी रेंज सौंपेगा (जैसा कि वे अब करते हैं, लेकिन वे आम तौर पर आपको एक / 32 असाइन करते हैं, जिसका मतलब है कि आपको केवल एक आईपी पता मिलता है), लेकिन आपकी सीमा में अब लाखों उपलब्ध आईपी पते होंगे। आपके द्वारा चुने गए इन IP पतों को पॉप्युलेट करने के लिए स्वतंत्र हैं (ऑटो कॉन्फ़िगरेशन या DHCPv6 के साथ)। इन आईपी पते में से प्रत्येक इंटरनेट पर किसी अन्य कंप्यूटर से दिखाई देगा।

डरावना लगता है, है ना? आपके डोमेन नियंत्रक, होम मीडिया पीसी और पोर्नोग्राफी के छिपे हुए छिपे हुए आपके आईफोन के साथ इंटरनेट से पहुंच योग्य होने जा रहे हैं ?! नहीं। फ़ायरवॉल यही है। आईपीवी 6 की एक और महान विशेषता यह है कि ताकतों एक "सभी को अनुमति दें" दृष्टिकोण (जैसे अधिकांश घरेलू डिवाइस) से "सभी अस्वीकार करें" दृष्टिकोण से फ़ायरवॉल, जहां आप विशेष आईपी पते के लिए सेवाएं खोलते हैं। 99.9 99% घरेलू उपयोगकर्ता खुशी से अपने फ़ायरवॉल को डिफ़ॉल्ट रूप से रखेंगे और पूरी तरह बंद कर देंगे, जिसका अर्थ है कि कोई भी अनधिकृत ट्रैफिक की अनुमति नहीं दी जाएगी।

1ठीक है इसके मुकाबले इसके लिए और भी रास्ता है, लेकिन वे एक-दूसरे के साथ संगत नहीं हैं, भले ही वे दोनों शीर्ष पर चल रहे एक ही प्रोटोकॉल को अनुमति दें


33
2018-03-23 23:42



उन सभी लोगों के बारे में क्या दावा है कि एनएटी के पीछे कंप्यूटर रखने से अतिरिक्त सुरक्षा मिलती है? मैं इसे कुछ अन्य आईटी प्रशासकों से बहुत कुछ सुनता हूं। इससे कोई फर्क नहीं पड़ता कि आप कहें कि उचित फ़ायरवॉल की आपको आवश्यकता है, क्योंकि इनमें से बहुत से लोग मानते हैं कि एनएटी सुरक्षा की एक परत जोड़ता है। - user9274
@ user9274 - यह सुरक्षा को दो तरीकों से प्रदान करता है: 1) यह दुनिया से आपके आंतरिक आईपी पते को छुपाता है (यही कारण है कि पीसीआई-डीएसएस इसकी मांग करता है), और 2) यह इंटरनेट से स्थानीय मशीन तक अतिरिक्त "हॉप" है। लेकिन ईमानदार होने के लिए, पहला सिर्फ "अस्पष्टता के माध्यम से सुरक्षा" है जो सुरक्षा नहीं है, और दूसरी बार एक समझौता किया गया एनएटी डिवाइस एक समझौता सर्वर के रूप में खतरनाक है, इसलिए एक बार हमलावर एनएटी से पहले हो जाते हैं जो संभवतः वैसे भी अपनी मशीन में जाओ। - Mark Henderson♦
इसके अलावा, एनएटी के उपयोग के माध्यम से प्राप्त कोई भी सुरक्षा आईपीवी 4 पते को कम करने के प्रयास में एक अनपेक्षित लाभ था। यह निश्चित रूप से डिजाइन लक्ष्य का हिस्सा और पार्सल नहीं था, जिसे मैं जानता हूं। - joeqwerty
पीसीआई-डीएसएस मानकों को अक्टूबर 2010 के अंत में संशोधित किया गया था और एनएटी आवश्यकता को हटा दिया गया था (v1.2 की धारा 1.3.8)। तो वे भी समय के साथ पकड़ रहे हैं। - sysadmin1138♦
@ मार्क, यह सुनिश्चित नहीं है कि यह उल्लेखनीय है लेकिन एनएटी 64 जमीन से उतर रहा है, लेकिन एनएटी ज्यादातर लोग नहीं सोचते हैं। यह आईपीवी 6 नेटवर्क को क्लाइंट 'सहयोग' के बिना आईपीवी 4 इंटरनेट तक पहुंचने की इजाजत देता है; इसे काम करने के लिए इसे DNS64 समर्थन की आवश्यकता है। - Chris S


एनएटी के लिए पीसीआई-डीएसएस आवश्यकता सुरक्षा थियेटर और वास्तविक सुरक्षा नहीं है।

सबसे हालिया पीसीआई-डीएसएस ने एनएटी को एक पूर्ण आवश्यकता को बुलाए जाने का समर्थन किया है। कई संगठनों ने आईपीवी 4 के साथ आईपीवी 4 के साथ पीसीआई-डीएसएस ऑडिट पास किए हैं, जो स्टेटल फ़ायरवॉल को "समकक्ष सुरक्षा कार्यान्वयन" के रूप में दिखाते हैं।

एनएटी के लिए बुलाए जाने वाले अन्य सुरक्षा थियेटर दस्तावेज हैं, लेकिन, क्योंकि यह लेखापरीक्षा के निशान को नष्ट कर देता है और घटना की जांच / शमन को और अधिक कठिन बनाता है, एनएटी (पीएटी के साथ या बिना) के गहन अध्ययन में शुद्ध सुरक्षा नकारात्मक होना चाहिए।

एनएटी के बिना एक अच्छी स्थितिपूर्ण फ़ायरवॉल आईपीवी 6 दुनिया में एनएटी के लिए काफी बेहतर समाधान है। आईपीवी 4 में, पता संरक्षण के लिए एनएटी एक आवश्यक बुराई सहन की जानी चाहिए।


18
2018-01-26 17:45



एनएटी "आलसी सुरक्षा" है। और "आलसी सुरक्षा" के साथ विस्तार पर ध्यान देने की कमी आती है, और सुरक्षा का आगामी नुकसान जिसका उद्देश्य था। - Skaperen
पूरी तरह से सहमत हूँ; यद्यपि अधिकांश पीसीआई-डीएसएस ऑडिट किए जाते हैं (चेकलिस्ट के साथ बंदर द्वारा ऑडिट) यह है सब आलसी सुरक्षा, और उन त्रुटियों को ले जाता है। - MadHatter
उन लोगों के लिए जो दावा करते हैं कि एनएटी "सुरक्षा थियेटर" है, मैं कुछ महीने पहले मेमकैच भेद्यता पर नेटवर्किंग नेर्ड के लेख को इंगित करना चाहता हूं। networkingnerd.net/2018/03/02/... वह एक उग्र आईपीवी 6 समर्थक है, और एनएटी हैटर, लेकिन यह इंगित करना था कि हजारों कंपनियों ने फ़ायरवॉल नियमों के कारण इंटरनेट पर अपने memcached सर्वरों को व्यापक रूप से खुला छोड़ दिया था, जो "ध्यान से तैयार नहीं किए गए थे"। एनएटी आपको अपने नेटवर्क में जो अनुमति देता है उसके बारे में स्पष्ट होने के लिए मजबूर करता है। - Kevin Keane


इससे पहले कि आप एक सिंगल-स्टैक आईपीवी 6-केवल नेटवर्क से दूर हो सकें, यह थोड़ी देर बाद होगा। तब तक, उपलब्ध होने पर आईपीवी 6 के लिए वरीयता के साथ दोहरी-स्टैक चलाने का तरीका है।

हालांकि अधिकांश उपभोक्ता राउटर आज स्टॉक फर्मवेयर के साथ आईपीवी 6 का समर्थन नहीं करते हैं, कई लोग इसे तृतीय-पक्ष फर्मवेयर (उदाहरण के लिए, लिंकिस डब्लूआरटी 54 जी डीडी-wrt आदि के साथ) का समर्थन कर सकते हैं। इसके अलावा, कई बिजनेस-क्लास डिवाइसेज (सिस्को, जूनिपर) आईपीवी 6 आउट ऑफ़ द बॉक्स का समर्थन करते हैं।

एनएटी के अन्य रूपों के साथ, और एनएटी मुक्त फ़ायरवॉलिंग के साथ पीएटी (कई से एक एनएटी, उपभोक्ता राउटर पर आम है) को भ्रमित नहीं करना महत्वपूर्ण है; एक बार जब इंटरनेट केवल आईपीवी 6 बन जाता है, तो फ़ायरवॉल अभी भी आंतरिक सेवाओं के संपर्क को रोक देगा। इसी तरह, एक से एक एनएटी के साथ एक आईपीवी 4 सिस्टम स्वचालित रूप से संरक्षित नहीं होता है; यह फ़ायरवॉल नीति का काम है।


11
2017-09-24 23:52





यदि एनएटी आईपीवी 6 दुनिया में जीवित रहता है, तो यह संभवतः 1: 1 एनएटी होगा। आईपीवी 4 स्पेस में एक एनएटी कभी नहीं देखा गया। 1: 1 एनएटी क्या है? यह एक स्थानीय पते पर एक वैश्विक पते का 1: 1 अनुवाद है। आईपीवी 4 समकक्ष सभी कनेक्शनों का अनुवाद 1.1.1.2 को केवल 10.1.1.2 तक और पूरे 1.0.0.0/8 स्पेस के लिए किया जाएगा। आईपीवी 6 संस्करण वैश्विक पते को एक अद्वितीय स्थानीय पते पर अनुवादित करना होगा।

बढ़ी हुई सुरक्षा को उन पतों के लिए मैपिंग को घुमाकर अक्सर प्रदान किया जा सकता है जिनकी आपको परवाह नहीं है (जैसे आंतरिक कार्यालय उपयोगकर्ता फेसबुक ब्राउज़ कर रहे हैं)। आंतरिक रूप से, आपके यूएलए नंबर वही रहेंगे, इसलिए आपका स्प्लिट-क्षितिज DNS ठीक काम करना जारी रखेगा, लेकिन बाहरी क्लाइंट कभी भी अनुमानित बंदरगाह पर नहीं होंगे।

लेकिन वास्तव में, यह परेशानी के लिए बेहतर सुरक्षा की एक छोटी राशि है। स्कैनिंग आईपीवी 6 सबनेट्स वास्तव में एक बड़ा काम है और उन सबनेट्स (आईएसी-पीढ़ी विधि? यादृच्छिक विधि? मानव-पठनीय पतों की स्थिर असाइनमेंट) पर आईपी पते कैसे आवंटित किए गए हैं, इसके बारे में कुछ याद किए बिना अक्षम है?)।

ज्यादातर मामलों में, क्या होगा कि कॉर्पोरेट फ़ायरवॉल के पीछे के ग्राहकों को वैश्विक पता मिलेगा, शायद एक यूएलए, और परिधि फ़ायरवॉल उन पते पर किसी भी प्रकार के सभी आने वाले कनेक्शनों को अस्वीकार करने के लिए सेट किया जाएगा। सभी उद्देश्यों और उद्देश्यों के लिए, वे पते बाहर से पहुंच योग्य नहीं हैं। एक बार जब आंतरिक क्लाइंट कनेक्शन शुरू करता है, तो उस कनेक्शन के माध्यम से पैकेट की अनुमति होगी। आईपी ​​पते को पूरी तरह से अलग करने की आवश्यकता को हमलावर को उस सबनेट पर 2 ^ 64 संभावित पतों के माध्यम से अंगूठे लगाने के लिए मजबूर किया जाता है।


9
2018-03-24 02:33



@ sysadmin1138: मुझे यह समाधान पसंद है। जैसा कि मैं वर्तमान में आईपीवी 6 समझता हूं, अगर मेरा आईएसपी मुझे / 64 देता है, तो मुझे अपने पूरे नेटवर्क पर उस 64 / का उपयोग करना चाहिए यदि मैं चाहता हूं कि मेरी मशीनें आईपीवी 6 इंटरनेट-पहुंच योग्य हों। लेकिन अगर मैं उस आईएसपी से तंग आ जाता हूं और दूसरे स्थान पर जाता हूं, तो अब मुझे पूरी तरह से सबकुछ किराए पर लेना होगा। - Kumba
@ sysadmin1138: हालांकि, मैंने देखा है कि मैं एक ही इंटरफ़ेस को एकाधिक आईपी को आईपीवी 4 के मुकाबले बहुत आसान कर सकता हूं, इसलिए मैं बाहरी एक्सेस के लिए आईएसपी-दिए गए / 64 का उपयोग कर सकता हूं और अपनी निजी आंतरिक यूएलए योजना के लिए मेजबानों के बीच कॉमम्स, और यूएलए पते को बाहर से पहुंचने योग्य बनाने के लिए फ़ायरवॉल का उपयोग करें। अधिक सेटअप कार्य शामिल है, लेकिन ऐसा लगता है कि यह एनएटी से पूरी तरह से बच जाएगा। - Kumba
@ sysadmin1138: मैं अपने सिर को खरोंच कर रहा हूं कि यूएलए क्यों सभी उद्देश्यों और उद्देश्यों के लिए निजी है, फिर भी वे अब भी वैश्विक रूप से अद्वितीय होने की उम्मीद कर रहे हैं। यह कहने की तरह है कि मेरे पास वर्तमान में उपलब्ध किसी भी मेक और मॉडल की एक कार हो सकती है, लेकिन किसी भी मेक / मॉडल / वर्ष का पहले से ही किसी और द्वारा उपयोग नहीं किया जाता है, भले ही यह मेरी कार है और मैं एकमात्र ड्राइवर बनूंगा जो मेरे पास होगा। - Kumba
@ कुम्बा कारण आरएफसी 41 9 3 पते विश्व स्तर पर अद्वितीय होना चाहिए यह सुनिश्चित करने के लिए कि आपको भविष्य में पुनर्निर्माण नहीं करना पड़ेगा। शायद एक दिन आपको आरएफसी 41 9 3 पते का उपयोग करके दो नेटवर्कों को मर्ज करने की ज़रूरत है, या एक मशीन जो पहले से ही आरएफसी 41 9 3 पते हो सकती है, को एक या अधिक वीपीएन से कनेक्ट करने की आवश्यकता हो सकती है, जिसमें आरएफसी 41 9 3 पते भी हैं। - kasperd
@ कुम्बा अगर सभी ने अपने नेटवर्क पर पहले सेगमेंट के लिए fd00 :: / 64 का उपयोग किया है, तो आप निश्चित रूप से एक संघर्ष में भाग लेंगे जैसे ही दो ऐसे नेटवर्कों की किसी भी जोड़ी को संवाद करना पड़ता था। आरएफसी 41 9 3 का मुद्दा यह है कि जब तक आप अपनी 40 बिट्स को यादृच्छिक रूप से चुनते हैं, तब तक आप शेष 80 बिट्स असाइन कर सकते हैं, हालांकि आप कृपया विश्वास करें और विश्वास रखें कि आपको मरम्मत नहीं करनी पड़ेगी। - kasperd


आरएफसी 4864 आईपीवी 6 स्थानीय नेटवर्क संरक्षण का वर्णन करता है, आईपीवी 6 पर्यावरण में एनएटी के अनुमानित लाभ प्रदान करने के लिए दृष्टिकोणों का एक सेट, वास्तव में एनएटी का सहारा लेना।

इस दस्तावेज़ ने कई तकनीकों का वर्णन किया है जो आईपीवी 6 साइट पर अपने नेटवर्क आर्किटेक्चर की अखंडता की रक्षा के लिए संयुक्त हो सकते हैं। इन तकनीकों को सामूहिक रूप से स्थानीय नेटवर्क संरक्षण के रूप में जाना जाता है, निजी नेटवर्क के "अंदर" और "बाहर" के बीच एक अच्छी तरह से परिभाषित सीमा की अवधारणा को बरकरार रखता है और फ़ायरवॉलिंग, टोपोलॉजी छिपाने और गोपनीयता की अनुमति देता है। हालांकि, क्योंकि वे पता पारदर्शिता को संरक्षित करते हैं जहां इसकी आवश्यकता होती है, वे इन लक्ष्यों को पता अनुवाद के नुकसान के बिना प्राप्त करते हैं। इस प्रकार, आईपीवी 6 में स्थानीय नेटवर्क संरक्षण संबंधित नुकसान के बिना आईपीवी 4 नेटवर्क एड्रेस ट्रांसलेशन के लाभ प्रदान कर सकता है।

यह पहले बताता है कि एनएटी के अनुमानित लाभ क्या हैं (और उचित होने पर उन्हें डिबंक्स करते हैं), फिर आईपीवी 6 की विशेषताओं का वर्णन करते हैं जिनका उपयोग उन लाभों को प्रदान करने के लिए किया जा सकता है। यह कार्यान्वयन नोट्स और केस स्टडीज भी प्रदान करता है।

हालांकि यहां पुनर्मुद्रण करना बहुत लंबा है, लेकिन चर्चा किए गए लाभ हैं:

  • "अंदर" और "बाहर" के बीच एक सरल गेटवे
  • राज्य फ़ायरवॉल
  • उपयोगकर्ता / आवेदन ट्रैकिंग
  • गोपनीयता और टोपोलॉजी छुपाएं
  • एक निजी नेटवर्क में संबोधित करने का स्वतंत्र नियंत्रण
  • Multihoming / renumbering

यह उन सभी परिदृश्यों को शामिल करता है जिनमें से कोई एनएटी चाहता था और एनएटी के बिना आईपीवी 6 में उन्हें लागू करने के लिए समाधान प्रदान करता है।

आप जिन तकनीकों का उपयोग करेंगे उनमें से कुछ हैं:

  • अद्वितीय स्थानीय पते: अपने आंतरिक संचार को आंतरिक रखने के लिए इन्हें अपने आंतरिक नेटवर्क पर पसंद करें और यह सुनिश्चित करने के लिए कि आंतरिक संचार जारी रहेगा, भले ही आईएसपी का आउटेज हो।
  • छोटे पते के जीवनकाल के साथ IPv6 गोपनीयता एक्सटेंशन और स्पष्ट रूप से संरचित इंटरफ़ेस पहचानकर्ता: ये सहायता व्यक्तिगत होस्ट और सबनेट स्कैनिंग पर हमला करने से रोकती है।
  • आईजीपी, मोबाइल आईपीवी 6 या वीएलएएन का उपयोग आंतरिक नेटवर्क की टोपोलॉजी को छिपाने के लिए किया जा सकता है।
  • यूएलए के साथ, आईएसपी से डीएचसीपी-पीडी आईपीवी 4 के मुकाबले मरम्मत / बहुसंख्यक आसान बनाता है।

(आरएफसी देखें पूर्ण विवरण के लिए; दोबारा, इसे पुनर्मुद्रण करने या यहां तक ​​कि महत्वपूर्ण अंश लेने के लिए बहुत लंबा समय है।)

आईपीवी 6 संक्रमण सुरक्षा की एक और सामान्य चर्चा के लिए, देखें आरएफसी 4942


9
2018-05-13 18:37