Довольно интересную посмотрел презентацию по безопасности IPv6, описанную на конференции в Сингапуре SGNOG3 под названием Security in an IPv6 World: Myths and Reality
Несмотря на большое количество реально полезной информации, на одном из слайдов как "миф" указано то, что реализация IPv6 без NAT понижает уровень безопасности, а как "реальность" - то, что вас спасет stateful firewall, в то время как NAT может даже понизить уровень безопасности.
Собственно, это уже предмет для дискуссии.
Естественно, NAT, как и многие другие технологии, - не серебряная пуля, а исключительно инструмент, используя который можно сделать как лучше, так и хуже.
Например, возьмем firewall. Казалось бы, его наличе делает мир лучше и безопаснее. Меняем в определенном сетевом участке маршрутизатор на stateful firewall - и считаем, что мир стал сказкой, теперь ничего не страшно. При этом ни правил анти-спуфинга, ни ACL не настраиваем. Только функции firewall по умолчанию. Именно это ложное ощущение защищенности без определенных действий и является тем фактором, который в итоге только вредит, хотя изначальная цель была противоположной. Равно как если человеку дать пистолет для самозащиты - пользы от него не
будет, если он стрелять не умеет или не может психологически. Только
хуже станет.
NAT в реализации Carrier-Grade NAT (трансляция серых абонентских адресов в белые) может понизить уровень безопасности при неграмотном адресном планировании и архитектуре абонентского сегмента операторской сети, при котором будет ошибочно предоставлен доступ к технологическим платформам либо корпоративной инфраструктуре.
В корпоративной реализации NAT понизит уровень безопасности только при ошибках конфигурации и наличии слишком разрешающих ACL.
По крайней мере, сходу я больше не придумал. Как видим, главная причина вышеописанных бед в NAT либо firewall - человеческий фактор умения или неумения использования технологии.
А вот отсутствие использования NAT 6to6 в IPv6 имеет такие минусы:
- Раскрытие IP-адресов конечных систем. Сейчас стало модно говорить о защите SCADA, и даже защищать промышленные системы. Думаю, на практике этому вопросу тоже уделяется немало внимания и бюджетирования. А если SCADA будет иметь реальный адрес, маршрутизируемый в Интернет, который поменять будет не так-то просто, то мне, например, от самого осознания такой ситуации было бы больно и обидно. Делать маршрутизируемым в Интернет IPv6-адрес ПК генерального директора крупной компании тоже не блеск. Аналогично с интерфейсами управления телеком-инфраструктурой, банковскими системами и т.п. Можно, конечно, и не анонсировать эти подсети в Интернет, использовать прокси, можно крепко зафильтровать на firewall, но с NAT, все же, было бы спокойнее.
- Опасность DDoS. Строили-строили - и, наконец, построили. Есть кусок инфраструктуры на пару десятков тысяч элементов - и тут его начинают регулярно DDoS-ить. Firewall от атаки на исчерпание полосы пропускания не спасет - сам ляжет вместе. IP-адреса быстро не поменяешь, даже если захочешь. Только занулять с потерей сервиса. Нужен будет выход в Интернет - найдут везде, потому что адреса уже известны. И менять их при необходимости надо на десятках тысяч девайсов, вместо одного-двух в случае NAT.
В общем, как итог, считаю, что NAT в IPv6 на стыке с Интернет лучше, все-таки, использовать.
Комментариев нет:
Отправить комментарий