Cambiar a IPv6 implica abandonar NAT. ¿Eso es algo bueno?

Esta es una pregunta canónica sobre IPv6 y NAT

Relacionado:

• ¿Cómo funciona la división en subredes IPv6 y en qué se diferencia de la división en subredes IPv4?
• ¿Cómo puedo 'sumergir mis dedos' en el direccionamiento dinámico de red IPv6?
• IPv6 sin nat, pero ¿qué pasa con un cambio de isp?

Así que nuestro ISP ha configurado IPv6 recientemente, y he estado estudiando lo que debería implicar la transición antes de saltar a la refriega.

He notado tres problemas muy importantes:

1. Nuestro enrutador NAT de oficina (un antiguo Linksys BEFSR41) no es compatible con IPv6. Tampoco ningún enrutador más nuevo, AFAICT. El libro que estoy leyendo sobre IPv6 me dice que hace que NAT sea "innecesario" de todos modos.

2. Si se supone que debemos deshacernos de este enrutador y conectar todo directamente a Internet, comenzaré a entrar en pánico. De ninguna manera pondré nuestra base de datos de facturación (¡con mucha información de tarjeta de crédito!) En Internet para que todos la vean. Incluso si tuviera que proponer configurar el cortafuegos de Windows en él para permitir que solo 6 direcciones tengan acceso a él, todavía sudo mucho. No confío en Windows, el firewall de Windows o la red en general lo suficientemente grande como para estar remotamente cómodo con eso.

3. Hay algunos dispositivos de hardware antiguos (es decir, impresoras) que no tienen absolutamente ninguna capacidad de IPv6. Y probablemente una larga lista de problemas de seguridad que se remontan a alrededor de 1998. Y probablemente no hay forma de solucionarlos de ninguna manera. Y sin fondos para nuevas impresoras.

Escuché que se supone que IPv6 e IPSEC hacen que todo esto sea seguro de alguna manera, pero sin redes físicamente separadas que hacen que estos dispositivos sean invisibles para Internet, realmente no puedo ver cómo. También puedo ver realmente cómo cualquier defensa que creo será anulada en poco tiempo. He estado ejecutando servidores en Internet durante años y estoy bastante familiarizado con el tipo de cosas necesarias para protegerlos, pero poner algo privado en la red como nuestra base de datos de facturación siempre ha estado completamente fuera de discusión.

¿Con qué debería reemplazar NAT si no tenemos redes físicamente separadas?

En primer lugar, no hay nada que temer de estar en una asignación de IP pública, siempre que sus dispositivos de seguridad estén configurados correctamente.

¿Con qué debería reemplazar NAT si no tenemos redes físicamente separadas?

Lo mismo con lo que los hemos estado separando físicamente desde los años 80, enrutadores y firewalls. La gran ganancia de seguridad que obtienes con NAT es que te obliga a una configuración predeterminada de denegación. Para obtener cualquier servicio a través de él, debes hacer agujeros explícitamente . Los dispositivos más elegantes incluso le permiten aplicar ACL basadas en IP a esos agujeros, al igual que un firewall. Probablemente porque tienen 'Firewall' en la caja, en realidad.

Un firewall configurado correctamente proporciona exactamente el mismo servicio que una puerta de enlace NAT. Las puertas de enlace NAT se usan con frecuencia porque son más fáciles de acceder a una configuración segura que la mayoría de los firewalls.

Escuché que se supone que IPv6 e IPSEC hacen que todo esto sea seguro de alguna manera, pero sin redes físicamente separadas que hacen que estos dispositivos sean invisibles para Internet, realmente no puedo ver cómo.

Esta es una idea falsa. Trabajo para una universidad que tiene una asignación de IPv4 / 16, y la gran mayoría de nuestro consumo de direcciones IP está en esa asignación pública. Ciertamente, todas nuestras estaciones de trabajo e impresoras para usuarios finales. Nuestro consumo de RFC1918 se limita a dispositivos de red y ciertos servidores específicos donde se requieren dichas direcciones. No me sorprendería si acabaras de temblar, porque ciertamente lo hice cuando me presenté el primer día y vi el post-it en mi monitor con mi dirección IP.

Y sin embargo, sobrevivimos. ¿Por qué? Porque tenemos un firewall externo configurado para la denegación predeterminada con un rendimiento limitado de ICMP. El hecho de que 140.160.123.45 sea teóricamente enrutable, no significa que pueda llegar allí desde cualquier lugar en el Internet público. Para eso se diseñaron los firewalls.

Dadas las configuraciones correctas del enrutador, y diferentes subredes en nuestra asignación pueden ser completamente inalcanzables entre sí. Puede hacerlo en tablas de enrutadores o firewalls. Esta es una red separada y ha satisfecho a nuestros auditores de seguridad en el pasado.

De ninguna manera pondré nuestra base de datos de facturación (¡con mucha información de tarjeta de crédito!) En Internet para que todos la vean.

Nuestra base de datos de facturación se encuentra en una dirección IPv4 pública, y lo ha sido durante toda su existencia, pero tenemos pruebas de que no puede llegar allí desde aquí. El hecho de que una dirección esté en la lista pública de rutas v4 no significa que se garantice su entrega. Los dos cortafuegos entre los males de Internet y los puertos de bases de datos reales filtran el mal. Incluso desde mi escritorio, detrás del primer firewall, no puedo acceder a esa base de datos.

La información de la tarjeta de crédito es un caso especial. Eso está sujeto a los estándares PCI-DSS, y los estándares establecen directamente que los servidores que contienen dichos datos deben estar detrás de una puerta ^de enlace NAT ¹ . Los nuestros son, y estos tres servidores representan nuestro uso total del servidor de direcciones RFC1918. No agrega ninguna seguridad, solo una capa de complejidad, pero necesitamos marcar esa casilla de verificación para auditorías.

La idea original de "IPv6 hace que NAT sea cosa del pasado" se presentó antes de que el auge de Internet realmente alcanzara la corriente principal. En 1995, NAT fue una solución para evitar una pequeña asignación de IP. En 2005 se consagró en muchos documentos de Mejores Prácticas de Seguridad, y al menos en un estándar importante (PCI-DSS para ser específico). El único beneficio concreto que ofrece NAT es que una entidad externa que realiza reconocimiento en la red no sabe cómo se ve el panorama de IP detrás del dispositivo NAT (aunque gracias a RFC1918 tienen una buena suposición), y en IPv4 sin NAT (como como mi trabajo) ese no es el caso. Es un pequeño paso en defensa en profundidad, no uno grande.

El reemplazo de las direcciones RFC1918 son las llamadas direcciones locales únicas. Al igual que RFC1918, no enrutan a menos que sus compañeros acuerden específicamente dejarlos enrutar. A diferencia de RFC1918, son (probablemente) globalmente únicos. Los traductores de direcciones IPv6 que traducen un ULA a una IP global sí existen en el engranaje perimetral de mayor rango, definitivamente todavía no en el engranaje SOHO.

Puedes sobrevivir bien con una dirección IP pública. Solo tenga en cuenta que "público" no garantiza "accesible", y estará bien.

Actualización 2017

En los últimos meses, Amazon AWS ha agregado compatibilidad con IPv6. Se acaba de agregar a su oferta de amazon-vpc , y su implementación brinda algunas pistas sobre cómo se espera que se realicen implementaciones a gran escala.

• Se le asigna una asignación / 56 (256 subredes).
• La asignación es una subred completamente enrutable.
• Se espera que establezca sus reglas de firewall ( grupos de seguridad ) de manera apropiada restrictiva.
• No hay NAT, ni siquiera se ofrece, por lo que todo el tráfico saliente provendrá de la dirección IP real de la instancia.

Para agregar uno de los beneficios de seguridad de NAT, ahora están ofreciendo una puerta de enlace de Internet solo para Egress . Esto ofrece un beneficio similar a NAT:

• No se puede acceder directamente a las subredes detrás de Internet.

Lo que proporciona una capa de defensa en profundidad, en caso de que una regla de firewall mal configurada permita accidentalmente el tráfico entrante.

Esta oferta no traduce la dirección interna en una sola dirección como lo hace NAT. El tráfico saliente seguirá teniendo la IP de origen de la instancia que abrió la conexión. Los operadores de firewall que buscan incluir recursos en la lista blanca en la VPC estarán mejor fuera de la lista blanca de bloques de red, en lugar de direcciones IP específicas.

Enrutable no siempre significa accesible .

¹ : Los estándares PCI-DSS cambiaron en octubre de 2010, se eliminó la declaración que ordenaba las direcciones RFC1918 y se reemplazó el 'aislamiento de red'.

Nuestro enrutador NAT de oficina (un antiguo Linksys BEFSR41) no es compatible con IPv6. Tampoco ningún enrutador más nuevo

IPv6 es compatible con muchos enrutadores. Solo que no muchos de los baratos están destinados a los consumidores y SOHO. En el peor de los casos, simplemente use una caja de Linux o vuelva a flashear su enrutador con dd-wrt o algo para obtener soporte para IPv6. Hay muchas opciones, probablemente solo tenga que buscar más.

Si se supone que debemos deshacernos de este enrutador y conectar todo directamente a Internet,

Nada acerca de una transición a IPv6 sugiere que debe deshacerse de los dispositivos de seguridad perimetral, como su enrutador / firewall. Los enrutadores y los cortafuegos seguirán siendo un componente obligatorio de casi todas las redes.

Todos los enrutadores NAT actúan efectivamente como un firewall con estado. No hay nada mágico en el uso de las direcciones RFC1918 que lo protegen tanto. Es la parte con estado que hace el trabajo duro. Un cortafuegos configurado correctamente lo protegerá igual de bien si está utilizando direcciones reales o privadas.

La única protección que obtiene de las direcciones RFC1918 es que permite a las personas salirse con la suya en la configuración de firewall y no ser tan vulnerable.

Hay algunos dispositivos de hardware antiguos (es decir, impresoras) que no tienen absolutamente ninguna capacidad de IPv6.

¿Entonces? Es poco probable que tenga que hacer que esté disponible a través de Internet, y en su red interna, puede continuar ejecutando IPv4 e IPv6 hasta que todos sus dispositivos sean compatibles o reemplazados.

Si ejecutar múltiples protocolos no es una opción, es posible que deba configurar algún tipo de puerta de enlace / proxy.

Se supone que IPSEC debe hacer todo esto seguro de alguna manera

IPSEC encripta y autentica paquetes. No tiene nada que ver con deshacerse de su dispositivo de borde, y tiene más protección para los datos en tránsito.

Si. NAT está muerto. Ha habido algunos intentos de ratificar los estándares para NAT sobre IPv6, pero ninguno de ellos despegó.

Esto realmente ha causado problemas a los proveedores que intentan cumplir con los estándares PCI-DSS, ya que el estándar en realidad establece que debe estar detrás de un NAT.

Para mí, esta es una de las noticias más maravillosas que he escuchado. Odio NAT, y odio NAT de nivel de operador aún más.

NAT solo tenía la intención de ser una solución curita para ayudarnos hasta que IPv6 se convirtiera en estándar, pero se arraigó en la sociedad de Internet.

Para el período de transición, debe recordar que IPv4 e IPv6 son, aparte de un nombre similar, son totalmente diferentes ¹ . Por lo tanto, los dispositivos que tienen doble pila, su IPv4 tendrá NAT y su IPv6 no. Es casi como tener dos dispositivos totalmente separados, empaquetados en una sola pieza de plástico.

Entonces, ¿cómo funciona el acceso a internet IPv6? Bueno, la forma en que Internet solía funcionar antes de que se inventara NAT. Su ISP le asignará un rango de IP (igual que ahora, pero generalmente le asigna un / 32, lo que significa que solo obtiene una dirección IP), pero su rango ahora tendrá millones de direcciones IP disponibles. Usted es libre de llenar estas direcciones IP como lo desee (con configuración automática o DHCPv6). Cada una de estas direcciones IP será visible desde cualquier otra computadora en Internet.

Suena aterrador, ¿verdad? ¿Su controlador de dominio, su PC de medios domésticos y su iPhone con su escondite oculto de pornografía serán accesibles desde Internet? Bueno no. Para eso está un firewall. Otra gran característica de IPv6 es que obliga a los firewalls de un enfoque "Permitir todo" (como lo hacen la mayoría de los dispositivos domésticos) a un enfoque "Denegar todo", donde abre servicios para direcciones IP particulares. El 99.999% de los usuarios domésticos mantendrán felices sus firewalls predeterminados y totalmente bloqueados, lo que significa que no se permitirá el tráfico no solicitado.

¹ _{Ok, hay mucho más que eso, pero de ninguna manera son compatibles entre sí, a pesar de que ambos permiten los mismos protocolos que se ejecutan en la parte superior}

El requisito de PCI-DSS para NAT es bien conocido como teatro de seguridad y no seguridad real.

El PCI-DSS más reciente ha evitado llamar a NAT un requisito absoluto. Muchas organizaciones han pasado auditorías PCI-DSS con IPv4 sin NAT que muestran firewalls con estado como "implementaciones de seguridad equivalentes".

Hay otros documentos de teatro de seguridad que piden NAT, pero, debido a que destruye los rastros de auditoría y dificulta la investigación / mitigación de incidentes, un estudio más profundo de NAT (con o sin PAT) es una seguridad neta negativa.

Un buen firewall con estado sin NAT es una solución muy superior a NAT en un mundo IPv6. En IPv4, NAT es un mal necesario para ser tolerado en aras de la conservación de direcciones.

Pasará (lamentablemente) un tiempo antes de que pueda salirse con la suya con una sola red de IPv6. Hasta entonces, la doble forma con preferencia para IPv6 cuando esté disponible es la forma de ejecutarse.

Si bien la mayoría de los enrutadores de consumo no admiten IPv6 con firmware actual, muchos pueden admitirlo con firmware de terceros (por ejemplo, Linksys WRT54G con dd-wrt, etc.). Además, muchos dispositivos de clase empresarial (Cisco, Juniper) admiten IPv6 listo para usar.

Es importante no confundir PAT (NAT de muchos a uno, como es común en los enrutadores de consumo) con otras formas de NAT y con cortafuegos sin NAT; Una vez que Internet se convierta solo en IPv6, los firewalls seguirán evitando la exposición de los servicios internos. Del mismo modo, un sistema IPv4 con NAT uno a uno no está protegido automáticamente; ese es el trabajo de una política de firewall.

Existe una gran confusión sobre este tema, ya que los administradores de red ven a NAT en una luz, y los clientes de pequeñas empresas y residenciales lo ven en otra. Déjame aclarar.

La NAT estática (a veces llamada NAT uno a uno) no ofrece absolutamente ninguna protección para su red privada o una PC individual. Cambiar la dirección IP no tiene sentido en lo que respecta a la protección.

El NAT / PAT dinámico sobrecargado, como lo hacen la mayoría de las puertas de enlace residenciales y los puntos de acceso wifi, ayuda a proteger su red privada y / o su PC. Por diseño, la tabla NAT en estos dispositivos es una tabla de estado. Realiza un seguimiento de las solicitudes salientes y las asigna en la tabla NAT: las conexiones caducan después de un cierto período de tiempo. Los marcos entrantes no solicitados que no coinciden con lo que está en la tabla NAT se descartan de forma predeterminada: el enrutador NAT no sabe dónde enviarlos en la red privada, por lo que los descarta. De esta manera, el único dispositivo que deja vulnerable a ser pirateado es su enrutador. Dado que la mayoría de las vulnerabilidades de seguridad están basadas en Windows, tener un dispositivo como este entre Internet y la PC de Windows realmente ayuda a proteger su red. Puede que no sea la función originalmente prevista, que era ahorrar en IP públicas, pero hace el trabajo. Como beneficio adicional, la mayoría de estos dispositivos también tienen capacidades de firewall que muchas veces bloquean las solicitudes ICMP de forma predeterminada, lo que también ayuda a proteger la red.

Dada la información anterior, deshacerse de NAT al pasar a IPv6 podría exponer a millones de dispositivos de consumidores y pequeñas empresas a posibles piratas informáticos. Tendrá poco o ningún efecto en las redes corporativas, ya que tienen firewalls administrados profesionalmente en su borde. Es posible que las redes de consumidores y pequeñas empresas ya no tengan un enrutador NAT basado en * nix entre Internet y sus PC. No hay ninguna razón por la que una persona no pueda cambiar a una solución única de firewall, mucho más segura si se implementa correctamente, pero también más allá del alcance de lo que el 99% de los consumidores entienden cómo hacer. Dynamic Overloaded NAT brinda un mínimo de protección con solo usarlo: conecte su enrutador residencial y estará protegido. Fácil.

Dicho esto, no hay razón para que NAT no pueda usarse exactamente de la misma manera que se usa en IPv4. De hecho, un enrutador podría diseñarse para tener una dirección IPv6 en el puerto WAN con una red privada IPv4 detrás de la cual está NAT (por ejemplo). Esta sería una solución simple para consumidores y personas residenciales. Otra opción es colocar todos los dispositivos con IP IPv6 públicas: el dispositivo intermedio podría actuar como un dispositivo L2, pero proporcionar una tabla de estado, inspección de paquetes y un firewall totalmente funcional. Básicamente, no tiene NAT, pero sigue bloqueando las tramas entrantes no solicitadas. Lo importante que debe recordar es que no debe conectar su PC directamente a su conexión WAN sin ningún dispositivo intermediario. A menos, por supuesto, que desee confiar en el firewall de Windows. . . y esa es una discusión diferente.

Habrá algunos dolores de crecimiento al pasar a IPv6, pero no hay ningún problema que no se pueda resolver con bastante facilidad. ¿Tendrá que deshacerse de su antiguo enrutador IPv4 o puerta de enlace residencial? Quizás, pero habrá nuevas soluciones económicas disponibles cuando llegue el momento. Esperemos que muchos dispositivos solo necesiten un firmware flash. ¿Podría IPv6 haber sido diseñado para encajar sin problemas en la arquitectura actual? Claro, pero es lo que es y no va a desaparecer, por lo que es mejor que lo aprenda, lo viva, lo ame.

Si NAT sobrevive en el mundo IPv6, lo más probable es que sea NAT 1: 1. Una forma de NAT nunca vista en el espacio IPv4. ¿Qué es NAT 1: 1? Es una traducción 1: 1 de una dirección global a una dirección local. El equivalente de IPv4 sería traducir todas las conexiones a 1.1.1.2 solo a 10.1.1.2, y así sucesivamente para todo el espacio 1.0.0.0/8. La versión de IPv6 sería traducir una dirección global a una dirección local única.

Se podría proporcionar una seguridad mejorada al rotar con frecuencia la asignación de direcciones que no le interesan (como los usuarios internos de la oficina que navegan en Facebook). Internamente, sus números de ULA se mantendrán igual para que su DNS de horizonte dividido continúe funcionando bien, pero externamente los clientes nunca estarían en un puerto predecible.

Pero realmente, es una pequeña cantidad de seguridad mejorada por la molestia que crea. Escanear subredes IPv6 es una tarea realmente grande y no es factible sin un poco de reconocimiento de cómo se asignan las direcciones IP en esas subredes (¿método de generación de MAC? ¿Método aleatorio? ¿Asignación estática de direcciones legibles por humanos?).

En la mayoría de los casos, lo que sucederá es que los clientes detrás del firewall corporativo obtendrán una dirección global, tal vez una ULA, y el firewall perimetral se configurará para negar todas las conexiones entrantes de cualquier tipo a esas direcciones. Para todos los efectos, esas direcciones son inalcanzables desde el exterior. Una vez que el cliente interno inicia una conexión, se permitirán los paquetes a lo largo de esa conexión. La necesidad de cambiar la dirección IP a algo completamente diferente se maneja obligando a un atacante a pasar 2 ^ 64 posibles direcciones en esa subred.

RFC 4864 describe IPv6 Local Network Protection , un conjunto de enfoques para proporcionar los beneficios percibidos de NAT en un entorno IPv6, sin tener que recurrir a NAT.

Este documento ha descrito una serie de técnicas que se pueden combinar en un sitio IPv6 para proteger la integridad de su arquitectura de red. Estas técnicas, conocidas colectivamente como Protección de red local, conservan el concepto de un límite bien definido entre "dentro" y "fuera" de la red privada y permiten la protección de firewall, la ocultación de topologías y la privacidad. Sin embargo, debido a que preservan la transparencia de la dirección donde se necesita, logran estos objetivos sin la desventaja de la traducción de direcciones. Por lo tanto, la protección de red local en IPv6 puede proporcionar los beneficios de la traducción de direcciones de red IPv4 sin las desventajas correspondientes.

Primero establece cuáles son los beneficios percibidos de NAT (y los desmiente cuando sea apropiado), luego describe las características de IPv6 que se pueden usar para proporcionar esos mismos beneficios. También proporciona notas de implementación y estudios de casos.

Si bien es demasiado largo para reimprimir aquí, los beneficios discutidos son:

• Una puerta de enlace simple entre "adentro" y "afuera"
• El firewall con estado
• Seguimiento de usuario / aplicación
• Privacidad y topología oculta
• Control independiente de direccionamiento en una red privada.
• Multihoming / renumeración

Esto cubre prácticamente todos los escenarios en los que uno podría haber deseado NAT y ofrece soluciones para implementarlos en IPv6 sin NAT.

Algunas de las tecnologías que usará son:

• Direcciones locales únicas: Prefiera estas en su red interna para mantener sus comunicaciones internas internas y para garantizar que las comunicaciones internas puedan continuar incluso si el ISP tiene una interrupción.
• Extensiones de privacidad IPv6 con tiempos de vida de dirección cortos e identificadores de interfaz no estructurados obviamente: ayudan a prevenir ataques de hosts individuales y escaneo de subredes.
• IGP, Mobile IPv6 o VLAN pueden usarse para ocultar la topología de la red interna.
• Junto con los ULA, DHCP-PD del ISP hace que la renumeración / multihoming sea más fácil que con IPv4.

( Consulte el RFC para obtener detalles completos; de nuevo, es demasiado largo para reimprimir o incluso extraer extractos significativos).

Para una discusión más general de la seguridad de transición IPv6, vea RFC 4942 .

Mas o menos. En realidad, hay diferentes "tipos" de direcciones IPv6. El más cercano a RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) se llama "Dirección local única" y se define en RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Entonces comienza con fd00 :: / 8, luego agrega una cadena de 40 bits (¡usando un algoritmo predefinido en el RFC!), Y termina con un prefijo pseudoaleatorio / 48 que debería ser globalmente único. Tiene el resto del espacio de direcciones para asignar como desee.

También debe bloquear fd00 :: / 7 (fc00 :: / 8 y fd00 :: / 8) en su enrutador (IPv6) hacia fuera de su organización, de ahí el "local" en el nombre de la dirección. Estas direcciones, mientras están en el espacio de direcciones global, no deberían ser accesibles al mundo en general, solo dentro de su "organización".

Si sus servidores PCI-DSS necesitan un IPv6 para la conectividad con otros hosts IPv6 internos, debe generar un prefijo ULA para su empresa y usarlo para este propósito. Puede usar la configuración automática de IPv6 como cualquier otro prefijo si lo desea.

Dado que IPv6 fue diseñado para que los hosts puedan tener múltiples direcciones, una máquina puede tener, además de un ULA, una dirección globalmente enrutable también. Por lo tanto, un servidor web que necesita comunicarse tanto con el mundo exterior como con las máquinas internas puede tener una dirección de prefijo asignada por el ISP y su prefijo ULA.

Si desea una funcionalidad similar a la de NAT, también puede mirar NAT66, pero en general diseñaría alrededor de ULA. Si tiene más preguntas, puede consultar la lista de correo "ipv6-ops".

En mi humilde opinión: no.

Todavía hay algunos lugares donde SNAT / DNAT puede ser útil. Para la expansión, algunos servidores se movieron a otra red, pero no queremos / no podemos cambiar la IP de la aplicación.

Con suerte, NAT desaparecerá para siempre. Es útil solo cuando tiene una escasez de dirección IP y no tiene características de seguridad que no se proporcionan mejor, más barato y más fácilmente administrado por un firewall con estado.

Dado que IPv6 = no más escasez, significa que podemos librar al mundo del truco feo que es NAT.

No he visto una respuesta definitiva sobre cómo la pérdida de NAT (si realmente desaparece) con IPv6 afectará la privacidad del usuario.

Con las direcciones IP de dispositivos individuales expuestas públicamente, será mucho más fácil para los servicios web supervisar (recopilar, almacenar, agregar a lo largo del tiempo, el espacio y los sitios, y facilitar una multitud de usos secundarios) sus viajes por Internet desde sus diversos dispositivos. A menos que ... los ISP, los enrutadores y otros equipos hagan posible y fácil tener direcciones IPv6 dinámicas que se pueden cambiar con frecuencia para cada dispositivo.

Por supuesto, no importa lo que tengamos, todavía tendremos el problema de que las direcciones MAC de wi-fi estáticas sean públicas, pero esa es otra historia ...

Hay muchos esquemas para admitir NAT en un escenario de transición de V4 a V6. Sin embargo, si tiene una red totalmente IPV6 y se conecta a un proveedor IPV6 ascendente, NAT no es parte del nuevo orden mundial, excepto que puede hacer un túnel entre las redes V4 sobre las redes V6.

Cisco tiene mucha información general sobre escenarios 4to6, migración y tunelización.

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

También en Wikipedia:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

La política y la práctica empresarial básica probablemente favorecerán la existencia de NAT. La gran cantidad de direcciones IPv6 significa que los ISP estarán tentados a cobrar por dispositivo o limitar las conexiones solo a un número restringido de dispositivos. Vea este artículo reciente en /. por ejemplo:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

Para su información, cualquier persona interesante está utilizando NAT / NAPT con IPV6 puede. Todos los sistemas operativos BSD que tienen PF son compatibles con NAT66. Funciona genial. De un blog que utilizamos :

ipv6 nat (nat66) por FreeBSD pf

aunque nat66 todavía está en borrador, pero FreeBSD pf ya lo soporta por mucho tiempo.

(edite el pf.conf e inserte los siguientes códigos)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

¡Estas listo!

Funciona muy bien para las personas que han estado usando squid con una sola dirección IP durante años. Con IPv6 NAT, puedo obtener 2 ^ 120 direcciones privadas (sitio local) que incluye 2 ^ 56 subredes de largo con mis 5/64 subredes. Eso significa que debo ser 100 mil millones de veces más inteligente que cualquier otro gurú de IPv6 aquí porque tengo más direcciones: D

La verdad es que solo porque tengo más direcciones (o puede que haya usado IPv6 más tiempo que usted), realmente no hace que IPv6 (o yo por el mismo problema) sea mejor. Sin embargo, hace que IPv6 sea más complejo cuando se requiere un firewall en lugar de PAT y NAT ya no es un requisito, sino una opción. El objetivo del firewall es permitir todas las conexiones salientes y mantener el estado, pero bloquear las conexiones entrantes iniciadas.

En cuanto a NAPT (NAT con PAT), llevará algo de tiempo sacar a las personas de la mentalidad. Por ejemplo, hasta que podamos lograr que su bisabuelo configure su propio cortafuegos IPv6 sin direccionamiento local del sitio (direcciones privadas) y sin la ayuda de ningún gurú, podría ser una buena idea jugar con la posible idea de NAT, ya que será Todo lo que sabe.

Las propuestas recientes presentadas para ipv6 han sugerido que los ingenieros que trabajan en la nueva tecnología incorporarán NAT a ipv6, razón dada: NAT ofrece una capa adicional de seguridad

La documentación se encuentra en el sitio web ipv6.com, por lo que parece que todas estas respuestas que indican que NAT no ofrece seguridad se ven un poco avergonzadas

Me doy cuenta de que en algún momento futuro (que solo se puede especular) las direcciones IPv4 regionales inevitablemente se agotarán. Estoy de acuerdo con que IPv6 tiene algunas desventajas serias para el usuario. El problema de NAT es extremadamente importante, ya que proporciona seguridad, redundancia, privacidad y permite a los usuarios conectar casi todos los dispositivos que quieran sin restricciones. Sí, un firewall es el estándar de oro contra la intrusión de red no solicitada, pero NAT no solo agrega otra capa de protección, sino que también proporciona un diseño seguro por defecto, independientemente de la configuración del firewall o del conocimiento del usuario final, sin importar cómo lo defina IPv4 con NAT y un firewall es aún más seguro de manera predeterminada que IPv6 con solo un firewall. Otro problema es la privacidad, tener una dirección de enrutamiento de Internet en cada dispositivo abrirá a los usuarios a todo tipo de posibles violaciones de privacidad, recopilación de información personal y seguimiento de formas que hoy en día no se pueden imaginar en tanta masa. También soy de la opinión de que sin Nat podríamos estar abiertos a costos y control adicionales a través de Isp's. Los Isp pueden comenzar a cargar por dispositivo o por las tasas de uso del usuario como ya vemos con la conexión USB, esto reduciría en gran medida la libertad del usuario final para conectar abiertamente cualquier dispositivo que considere adecuado en esa línea. En este momento, pocos ISP de EE. UU. Ofrecen IPv6 en cualquier forma y creo que las empresas no tecnológicas tardarán en cambiar debido al costo agregado con poco o ningún valor ganado.