Насколько я понимаю, преобразование сетевых адресов (NAT) уходит с IPv6. Как изолировать сетевые ресурсы от остального Интернета от тех, кто в них нуждается? Я специально думаю о предоставлении доступа к внутренним сетевым ресурсам, таким как файловые серверы или хосты виртуальных машин, удаленным пользователям, например тем, кто работает из дома.
Похожий сценарий сегодня встречается и в IPv4. Во многих университетах, в том числе и в моем собственном, каждое сетевое устройство получает публично маршрутизируемый IP-адрес. Я бы хотел запустить файловый сервер, но не хочу, чтобы он был общедоступным. В идеале у него тоже должен быть общедоступный IP-адрес, и в VPN не будет необходимости.
Комментарии?
Как изолировать сетевые ресурсы от остального Интернета от тех, кто в них нуждается?
Вот для чего нужны межсетевые экраны с отслеживанием состояния. Изоляция, которую обеспечивает NAT, на самом деле дает лишь ложное ощущение безопасности и не годится ни для чего, кроме безопасности через неизвестность.
Тем не менее, хотя NAT будет требоваться гораздо реже после перехода на IPv6, он не исчезнет в ближайшее время. На самом деле, хорошо это или плохо, реализации NATv6 уже существуют и работают в различных организациях сегодня.
Просто потому, что у устройства есть общедоступный IP-адрес, не в любом случае означает, что он общедоступен. Политика брандмауэра по умолчанию должна быть по умолчанию запрещена, а затем разрешать трафик только к определенным портам или подсетям и из них по мере необходимости.
Ты можешь использовать уникальные локальные адреса для ресурсов, которые не должны быть доступны в общедоступном Интернете. Диапазон ULA - fc00 :: / 7, что выходит за пределы глобального диапазона (2000 :: / 3).
Смысл VPN не в том, чтобы обойти NAT, а в обеспечении аутентификации и безопасности соединения. VPN по-прежнему будет важной частью безопасного удаленного доступа. (т.е. только то, что у вас есть адресное пространство для предоставления услуг в сети, не означает, что вы должны раскрывать все)
Защитите свои устройства IPv6 от Интернета, обеспечивая доступ только к службам, которые должны быть общедоступными. Пользователи, которым требуется доступ к внутренним ресурсам, должны по-прежнему подключаться к VPN и, возможно, иметь другой набор правил брандмауэра, применяемый к ним (или просто полный доступ к внутренней сети; в зависимости от вашей политики безопасности).