Выбрать язык


Выбрать язык | Show only


Русский | English


вторник, 16 августа 2016 г.

NPTv6 (IPv6 NAT 6to6) security

Как я уже писал ранее, IPv6 разрабатывался с целью обеспечения всех нуждающихся IP-адресами. Естественно, в этом случае необходимость NAT на фоне концепции полной прозрачности адресации и общей математической эйфории "каждому юзеру по провайдерскому диапазону" смотрится довольно блекло. Это потом, когда возникает необходимость "спрятать" от Интернета IPv6-адрес интерфейса управления электростанцией, телеком-инфраструктурой, или ПК генерального директора - становится понятно, что старый добрый NAT 4to4 - не рудимент древней адресации, а вполне себе неплохой инструмент сетевой безопасности. Кроме того, процесс миграции всей сети на IPv6 - тоже не очень тривиальная задача. Необходимо обеспечить поддержку IPv6 на уровнях:
  • Клиента;
  • Сервера;
  • Сети L3-доступа;
  • Всех промежуточных сетевых устройств;
  • А чтобы пользователь меньше всего почувствовал, то еще и в DNS (AAAA-записи, RFC3596).



Так что, как ни крути, а NAT пригодится.
Какие бывают виды NAT в IPv6?
  • NAT 6to4 - для передачи IPv6-трафика по IPv4-транспорту;
  • NAT 4to6 - для передачи IPv4-трафика по IPv6-транспорту;
  • NAT 6to6 - для сокрытия реальных IP-адресов конечных устройств в сквозной IPv6-сети. 
Поговорим о последнем: NAT 6to6. В терминологии IETF этот вид трансляции адресов называется IPv6-to-IPv6 Network Prefix Translation (NPTv6) и описывается в RFC6296. В отличие от IPv4 NAT, NPTv6 не предусматривает возможности спрятать много IPv6-адресов за одним, трансляция адресов производится 1:1.

Спасибо полупальто за картинку, объясню на ней. 
Предположим, ПК с IPv6-адресом 4001:5009:32e8:111::55/48 выходит в Интернет, используя NPTv6. В Интернете он будет виден как 8002:cd77:f955:111::55/48. Я выделил жирным, хотя и невооруженным глазом заметно, что изменяются только первые 12 символов (48 бит), остальные 80 бит IPv6-адреса и номера портов TCP/UDP остаются неизменными. То есть, для определения IPv6-адреса до трансляции нужно узнать эти самые первые символы.


Точно так же работает и трансляция destination-адресов.

Соответственно, если необходимо более неузнаваемо поменять IPv6-адрес источника или назначения, необходимо использовать proxy либо reverse proxy-сервера соответствующего приложения.

Автор: на
Ярлыки: , ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)