Будет ли каждый, у кого есть глобально доступный IP-адрес в IPv6, кошмаром безопасности?

IPv6 избавляется от NAT, что, безусловно, было значительной частью предотвращения случайного доступа сервисов к Интернету с внутренних хостов ... так что, таким образом, да, это изменение того, как все делают что-то.

Однако это вовсе не означает, что у вас все еще не будет центрального брандмауэра на границе сети - изменение просто заключается в том, что он будет действовать как чистый брандмауэр вместо брандмауэра / устройства NAT. Просто люди, управляющие этими межсетевыми экранами, должны убедиться, что случайно не раскрывают службы; Разожги правила запрета!

Избавление от NAT - это большое изменение в практике сетевой безопасности, и наверняка скоро мы услышим о некоторых случайных нарушениях раскрытия информации из-за неправильно настроенных межсетевых экранов и IPv6. Но NAT всегда был хакерством, и избавление брандмауэров от отслеживания всех этих подключений и поддельных подключений для протоколов без сохранения состояния и трансляции портов будет хорошей вещью в долгосрочной перспективе - меньшая сложность звучит для меня хорошо!

Нет, это не кошмар. NAT и частные адреса были созданы не по соображениям безопасности, они были созданы из-за того, что адреса IPv4 закончились.

Я признаю, что использование общедоступных IP-адресов кажется пугающим, но в целях безопасности вы должны доверять своему брандмауэру, а не NAT.

Читать это еще один вопрос о неисправности сервера примерно об этом же. Многие стандарты, в которых говорится о NAT как о безопасности, изменились, например, стандарты PCI-DSS были изменены в конце октября 2010 года, и требование NAT было удалено (раздел 1.3.8 v1.2).

Если вы не перестанете бояться этого страха, у вас никогда не будет всех преимуществ невероятных технологий, таких как Windows 7 Direct Access.

Каждый компьютер уже должен нести ответственность за управление собственным брандмауэром.

Тем не менее, просто потому, что вы теряете NAT, не означает, что вы теряете все преимущества (вы все еще можете использовать NAT на ipv6). У вас все еще могут быть брандмауэры с отслеживанием состояния на маршрутизаторах, и другие правила брандмауэра также могут быть добавлены таким же образом, как ipv4.

Единственное отличие состоит в том, что вы можете определить точный компьютер в частной сети, и если это проблема, вы можете установить NAT.

По-прежнему можно заблокировать случайное сканирование портов и т. Д. С маршрутизатора

Этот вопрос основан на распространенном заблуждении о том, что, поскольку NAT непреднамеренно обеспечивает некоторую безопасность, это технология межсетевого экрана. Это заблуждение можно прояснить с помощью простого мысленного эксперимента: представьте себе блок IPv4 NAT, у которого есть только один клиент. Он мог бы, если бы захотел, все входящий трафик к этому клиенту и фильтровать ничего вообще, не обеспечивая никакой безопасности. Так почему тебя это не беспокоит?

Многие университеты (и несколько крупных компаний) имеют действующие маршрутизируемые IP-адреса на каждом компьютере. Это не означает, что межсетевой экран отсутствует. Это не значит, что вы можете подключиться к этому устройству через Интернет. В большинстве случаев межсетевые экраны настроены на блокировку всего трафика по умолчанию. Однако это гарантирует, что их компьютер находится на глобально уникальном адресе.

Если вы используете NAT, все становится просто неприятно ... IE, вы хотите настроить VPN между вами и вашим клиентом, но у вас обоих есть внутренние сети 192.168.1.x .. это означает, что вам нужно затем NAT соединений, чтобы они выглядели как разные внутренние IP-адреса, из-за чего в спешке все становится ужасно. (Я должен сделать это с 5 другими компаниями, с которыми у нас есть VPN)