O IPv6 remove a necessidade de uma VPN?


8

Sei que uma VPN pode ser usada de muitas maneiras diferentes para muitas coisas diferentes, por isso não estou sugerindo que o IPv6 elimine completamente a necessidade de uma VPN. Estou interessado em um caso de uso específico:

Eu tenho um roteador de celular (GSM) e, tradicionalmente, um SIM padrão da minha operadora de rede local fornece um endereço IPv4 dinâmico. Para poder acessar meu roteador pela Internet, hoje eu uso uma VPN. Isso faz duas coisas:

  • Isso fornece ao meu roteador um endereço IPv4 estático. Isso não será alterado se o endereço IPv4 dinâmico atribuído pelo operador for alterado ou se eu for alterado.
  • Isso me permite atravessar o firewall NAT do operador. Se meu roteador estiver atuando como servidor, eu posso iniciar uma conexão com ele.

Ainda estou aprendendo sobre IPv6, mas parece-me que, se uma operadora de rede suportar IPv6 (como a Verizon Wireless nos EUA), não precisarei mais de uma VPN:

  • As operadoras de celular 3GPP usam SLAAC e recebo um endereço Unicast global. Isso, por definição, é globalmente roteável. Não há NAT.
  • Sei qual prefixo / 64 o operador atribui e sei que ID de interface será usado (EUI-64 ou RFC 7217), portanto, tenho um endereço IPv6 estático.

Isso está correto? Ou eu estou esquecendo de alguma coisa?

Obviamente, estou ciente de que uma VPN fornece segurança extra, porque adiciona autenticação e criptografia. Mas vamos supor, para os fins desta discussão, que usarei um firewall IPv6, IPsec ou TLS na camada de aplicativos, por segurança.

Eu sei que poderia continuar usando uma VPN com IPv6, e isso me permitiria usar endereços IPv6 locais exclusivos, assim como meus endereços IPv4 privados antigos. Mas por que eu precisaria ?

Respostas:


4

Acho que sua ideia de que ISPs de consumidores e dispositivos móveis fornecerão IPv6 estático é otimista para dizer o mínimo. Alguns podem fazê-lo, mas muitos provavelmente não.

As VPNs fornecem dois recursos principais.

  1. Eles fornecem proteção para o tráfego contra ataques de evasão, falsificação, repetição e assim por diante.
  2. Eles separam seu endereçamento e roteamento dos operadores de suas redes subjacentes.

O recurso 2 é útil por vários motivos.

  • Você pode contornar firewalls / NATs "somente conexões de saída". Enquanto Nat é fortemente desencorajado para conexões de saída v6 ", somente os firewalls provavelmente permanecerão comuns.
  • Você pode manter um endereço IP consistente nas máquinas, mesmo quando seu provedor reajustar suas redes.
  • Você pode manter um endereço IP consistente nas máquinas, mesmo quando elas mudam de local ou provedor.
  • Devido aos dois pontos acima, você pode usar mais facilmente o controle de acesso baseado em IP, dentro de suas próprias redes ou para acessar serviços de terceiros.
  • Se você possui links de alta qualidade entre seus campi em todo o mundo e boas conexões de cada campus com os provedores locais de banda larga / celular, você pode direcionar o tráfego do seu celular e trabalhar em usuários domésticos por esses links, em vez de por qualquer trânsito de merda em sua "banda larga" fornecedor comprado.

Alguns desses podem ser menos problemáticos no mundo da v6, mas espero que as VPNs ainda sejam úteis em geral e provavelmente continuem sendo uma boa solução para administrar dispositivos remotos.


3
"sua idéia de que ISPs de consumidores e dispositivos móveis fornecerão IPv6 estático é otimista para dizer o mínimo". Por quê? O uso da configuração automática de endereços sem estado IPv6 (SLAAC) é padrão em todas as redes GSM, de acordo com o 3GPP TS 29.061.
banjaxed

2
Seu ponto de vista sobre "conexões de saída apenas firewalls" é interessante. Existe alguma evidência anedótica disso em uma rede celular IPv6?
banjaxed

Em relação aos firewalls. Não conheço redes celulares, mas sei que muitos "roteadores domésticos" contêm esses firewalls. Em relação ao SLACC, o SLACC não implica estática, os prefixos do SLACC podem ser limitados no tempo, assim como as concessões do DHCP.
Peter Green

11
Re questão "estática" do endereço IPv6: acho que você está certo. Nos meus testes preliminares, a Verizon Wireless sempre me dava um prefixo 2600: 1008: b045: 2275. Ingenuamente, pensei que isso seria estático. Mas acontece que eles têm um pool de centenas de prefixos diferentes: tcpiputils.com/browse/as/22394
banjaxed

11
Como isso implica que o prefixo não será estático?
user1686

5

O ponto principal do IPv6 é que ele restaura a ideia original de cada dispositivo com um endereço IP exclusivo, o que restaura o conceito de ponta a ponta do IP. O NAT é um problema para estender a vida útil do IPv4 até que o IPv6 possa se tornar onipresente.

O objetivo de uma VPN ( Rede Privada Virtual ) é dar privacidade ao seu tráfego durante o transporte, embora possa corrigir alguns dos problemas inerentes ao NAT do IPv4, mas corrigi-los não é o objetivo real de uma VPN. Você pode usar uma VPN com IPv6 pelo verdadeiro motivo de uma VPN: privacidade.

O IPv6 possui, embutido, uma maneira de criptografar o tráfego na conexão. Infelizmente, ele é pouco suportado da maneira como foi planejado, embora o OSPFv3 o use. A intenção era não precisar de um invólucro de VPN em torno dos pacotes IPv6, mas movê-lo para dentro dos pacotes IPv6. Com o ambiente atual do IPv4 e do IPv6, é muito mais simples ter uma maneira de criptografar seu tráfego.


Obrigado Ron. Só para esclarecer, quando você diz "IPv6 tem ... uma maneira de criptografar o tráfego", você quer dizer IPsec? E quando você diz "é muito mais simples ter uma maneira de criptografar seu tráfego", você quer dizer uma VPN?
banjaxed

O IPv6 foi projetado com IPsec, que pode ser implementado usando o cabeçalho de autenticação AH e o cabeçalho de extensão ESP dentro dos pacotes IPv6. O IPv4 não possui isso; portanto, os pacotes são encapsulados dentro de outros pacotes (encapsulamento) e podem ser criptografados para uma VPN. Isso também pode acontecer com o IPv6.
Ron Maupin

Então ... sim e sim?
banjaxed

Apenas para salientar que nem todas as VPNs são projetadas para serem privadas no sentido de "outras pessoas não sabem ler", mas privadas no sentido de "sob seu controle". Algumas VPNs não têm criptografia e usam a VPN apenas para simplificar a rede. Certamente, a maioria das VPNs usa criptografia, lembrando que algumas não.
jonathanjo

Bem, acho que depende do contexto. Eu acho que você está apontando o que a maioria das pessoas considera um túnel. A maioria das pessoas considera uma VPN (onde "P" significa "Privado") como um túnel criptografado.
Ron Maupin

1

Supondo que o ISP IPv6 atribua um "Endereço Unicast Global. Isso, por definição, é globalmente roteável. Não há NAT". ... Mesmo que isso lhe permita uma alocação completamente estática, talvez com base no IMEI ou similar do dispositivo de chamada, não há razão para supor que ele realmente o encaminhará nas condições que mais lhe convierem.

Uma das funções da VPN é fornecer controle sobre sua numeração e roteamento, o que pode ser muito útil para dar, entre outras coisas, independência ao ISP. A maneira preeminente de se isolar contra as mudanças de endereçamento é obviamente o DNS, mas as VPNs são outras que atendem a alguns requisitos de rede.


0

Apenas no caso de privacidade, talvez ... mas ainda tem outros usos, como contornar restrições geográficas e desbloquear sites e tudo mais ... então, acho que uma VPN serve a um propósito maior do que apenas oferecer privacidade.

Além da discussão técnica, acho que esta página resume o que uma VPN pode fazer.

https://www.ivacy.com/what-is-vpn/


Se você pensar bem, " ignorar restrições geográficas e desbloquear sites " tem tudo a ver com privacidade. O fato de você poder ter esses é um efeito colateral da privacidade oferecida pelas VPNs.
Ron Maupin

Eu sei o que uma VPN pode fazer, eu as uso o tempo todo. Como eu disse, queria limitar a discussão a um caso de uso específico: acessar meu dispositivo quando ele estiver em uma rede IPv6 celular. Preciso de uma VPN nesse caso?
banjaxed

@banjaxed "_ queria limitar a discussão a um caso de uso específico: acessar meu dispositivo quando ele estiver em uma rede IPv6 celular._" Essa questão é realmente fora de tópico aqui porque envolve uma rede sobre a qual você não tem controle direto, e também a configuração do host, que não são tópicos de engenharia de rede .
Ron Maupin
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.