Mudar para IPv6 implica descartar o NAT. Isso é uma coisa boa?

Esta é uma pergunta canônica sobre IPv6 e NAT

Palavras-chave:

• Como funciona a sub-rede IPv6 e como ela difere da sub-rede IPv4?
• Como posso "mergulhar meus pés" no endereçamento de rede IPv6 dinâmico?
• IPv6 sem nat mas que tal uma mudança de provedor?

Portanto, nosso ISP configurou o IPv6 recentemente, e estive estudando o que a transição deve acarretar antes de entrar em conflito.

Eu notei três questões muito importantes:

1. O roteador NAT do escritório (um antigo Linksys BEFSR41) não suporta IPv6. Nem qualquer roteador mais novo, o AFAICT. O livro que estou lendo sobre o IPv6 me diz que torna o NAT "desnecessário" de qualquer maneira.

2. Se devemos nos livrar desse roteador e conectar tudo diretamente à Internet, começo a entrar em pânico. Não há nenhuma maneira de colocar nosso banco de dados de cobrança (com muitas informações de cartão de crédito!) Na internet para todo mundo ver. Mesmo que eu propusesse configurar o firewall do Windows nele para permitir que apenas 6 endereços tivessem acesso a ele, eu continuo suando frio. Não confio no Windows, no firewall do Windows ou na rede em geral o suficiente para estar remotamente confortável com isso.

3. Existem alguns dispositivos de hardware antigos (ou seja, impressoras) que não possuem absolutamente nenhum recurso IPv6. E provavelmente uma lista completa de problemas de segurança que datam de 1998. E provavelmente não há como corrigi-los de alguma maneira. E nenhum financiamento para novas impressoras.

Ouvi dizer que o IPv6 e o ​​IPSEC devem proteger tudo isso de alguma forma, mas sem redes fisicamente separadas que tornam esses dispositivos invisíveis para a Internet, eu realmente não consigo entender como. Da mesma forma, posso realmente ver como as defesas que eu criar serão vencidas em pouco tempo. Estou executando servidores na Internet há anos e estou familiarizado com o tipo de coisas necessárias para protegê-los, mas colocar algo de Particular na rede como nosso banco de dados de cobrança sempre esteve completamente fora de questão.

Com o que devo substituir o NAT se não tivermos redes fisicamente separadas?

Em primeiro lugar, não há o que temer em uma alocação de IP pública, desde que seus dispositivos de segurança estejam configurados corretamente.

Com o que devo substituir o NAT se não tivermos redes fisicamente separadas?

A mesma coisa com a qual os separamos fisicamente desde os anos 80, roteadores e firewalls. O grande ganho de segurança que você obtém com o NAT é que ele o força a uma configuração de negação padrão. Para obter qualquer serviço através dele, é necessário fazer explicitamente furos. Os dispositivos mais sofisticados permitem que você aplique ACLs baseadas em IP a esses buracos, como um firewall. Provavelmente porque eles têm 'Firewall' na caixa, na verdade.

Um firewall configurado corretamente fornece exatamente o mesmo serviço que um gateway NAT. Os gateways NAT são usados ​​com frequência porque são mais fáceis de acessar uma configuração segura do que a maioria dos firewalls.

Ouvi dizer que o IPv6 e o ​​IPSEC devem proteger tudo isso de alguma forma, mas sem redes fisicamente separadas que tornam esses dispositivos invisíveis para a Internet, eu realmente não consigo entender como.

Isso é um equívoco. Eu trabalho para uma universidade que possui uma alocação IPv4 / 16, e a grande maioria do nosso consumo de endereços IP está nessa alocação pública. Certamente todas as nossas estações de trabalho e impressoras para usuários finais. Nosso consumo RFC1918 é limitado a dispositivos de rede e certos servidores específicos em que esses endereços são necessários. Eu não ficaria surpreso se você apenas tremesse agora, porque certamente o fiz quando apareci no meu primeiro dia e vi o post-it no meu monitor com o meu endereço IP.

E, no entanto, sobrevivemos. Por quê? Porque temos um firewall externo configurado para negação padrão com taxa de transferência ICMP limitada. Só porque 140.160.123.45 é teoricamente roteável, não significa que você pode chegar lá de onde quer que esteja na Internet pública. É para isso que os firewalls foram projetados para fazer.

Dadas as configurações corretas do roteador, e diferentes sub-redes em nossa alocação podem ser completamente inacessíveis uma da outra. Você pode fazer isso em tabelas de roteadores ou firewalls. Esta é uma rede separada e satisfez nossos auditores de segurança no passado.

Não há nenhuma maneira de colocar nosso banco de dados de cobrança (com muitas informações de cartão de crédito!) Na internet para todo mundo ver.

Nosso banco de dados de cobrança está em um endereço IPv4 público e existe por toda a sua existência, mas temos provas de que você não pode chegar lá daqui. Só porque um endereço está na lista pública roteável da v4 não significa que é garantido que ele seja entregue. Os dois firewalls entre os males da Internet e as portas reais do banco de dados filtram o mal. Mesmo da minha mesa, atrás do primeiro firewall, não consigo acessar esse banco de dados.

As informações do cartão de crédito são um caso especial. Isso está sujeito aos padrões PCI-DSS, e os padrões afirmam diretamente que os servidores que contêm esses dados devem estar atrás de um gateway NAT ¹ . Os nossos são e esses três servidores representam nosso uso total de endereços RFC1918. Ele não adiciona nenhuma segurança, apenas uma camada de complexidade, mas precisamos marcar essa caixa de seleção para auditorias.

A idéia original "IPv6 faz da NAT uma coisa do passado" foi apresentada antes que o boom da Internet realmente atingisse todo o mainstream. Em 1995, o NAT era uma solução alternativa para contornar uma pequena alocação de IP. Em 2005, foi consagrado em muitos documentos de Melhores Práticas de Segurança e em pelo menos um padrão importante (PCI-DSS para ser específico). O único benefício concreto que o NAT oferece é que uma entidade externa que realiza o reconhecimento na rede não sabe como é o cenário de IP atrás do dispositivo NAT (embora, graças ao RFC1918, eles tenham uma boa estimativa) e no IPv4 sem NAT (como como meu trabalho) não é esse o caso. É um pequeno passo na defesa em profundidade, não um grande.

A substituição dos endereços RFC1918 são os chamados endereços locais exclusivos. Como o RFC1918, eles não encaminham, a menos que os colegas concordem especificamente em deixá-los encaminhar. Ao contrário do RFC1918, eles são (provavelmente) globalmente únicos. Os tradutores de endereços IPv6 que convertem um ULA em um IP global existem na faixa de perímetro de faixa mais alta, definitivamente ainda não na faixa de SOHO.

Você pode sobreviver muito bem com um endereço IP público. Lembre-se de que 'public' não garante 'alcançável' e você ficará bem.

2017 update

Nos últimos meses, o Amazon aws vem adicionando suporte ao IPv6. Ele acabou de ser adicionado à sua oferta amazon-vpc , e sua implementação fornece algumas pistas sobre como se espera que implantações em grande escala sejam feitas.

• Você recebe uma alocação / 56 (256 sub-redes).
• A alocação é uma sub-rede totalmente roteável.
• Espera-se que você defina suas regras de firewall ( grupos de segurança ) adequadamente restritivas.
• Não existe NAT, ele nem é oferecido; portanto, todo o tráfego de saída virá do endereço IP real da instância.

Para adicionar um dos benefícios de segurança do NAT, eles agora oferecem um Gateway de Internet somente para saída . Isso oferece um benefício semelhante ao NAT:

• As sub-redes por trás dele não podem ser acessadas diretamente da Internet.

Que fornece uma camada de defesa profunda, caso uma regra de firewall mal configurada permita acidentalmente o tráfego de entrada.

Esta oferta não converte o endereço interno em um único endereço, como o NAT. O tráfego de saída ainda terá o IP de origem da instância que abriu a conexão. Os operadores de firewall que desejam colocar recursos na lista de permissões na VPC terão melhor desempenho em bloqueios de rede na lista de permissões, em vez de endereços IP específicos.

Roteável nem sempre significa alcançável .

¹ : Os padrões do PCI-DSS foram alterados em outubro de 2010, a declaração exigindo endereços RFC1918 foi removida e o 'isolamento de rede' o substituiu.

O roteador NAT do escritório (um antigo Linksys BEFSR41) não suporta IPv6. Nem qualquer roteador mais novo

O IPv6 é suportado por muitos roteadores. Só que não muitos dos mais baratos destinados a consumidores e SOHO. Na pior das hipóteses, basta usar uma caixa Linux ou atualizar novamente o roteador com dd-wrt ou algo assim para obter suporte ao IPv6. Existem muitas opções, você provavelmente só precisa procurar mais.

Se devemos nos livrar desse roteador e conectar tudo diretamente à Internet,

Nada sobre a transição para o IPv6 sugere que você deve se livrar de dispositivos de segurança de perímetro, como o seu roteador / firewall. Roteadores e firewalls ainda serão um componente necessário em praticamente todas as redes.

Todos os roteadores NAT atuam efetivamente como um firewall com estado. Não há nada mágico sobre o uso de endereços RFC1918 que o proteja tanto assim. É a parte estável que faz o trabalho duro. Um firewall configurado corretamente também o protegerá se você estiver usando endereços reais ou particulares.

A única proteção que você obtém dos endereços RFC1918 é que permite que as pessoas se livrem de erros / preguiça na configuração de seu firewall e ainda assim não sejam tão vulneráveis.

Existem alguns dispositivos de hardware antigos (ou seja, impressoras) que não possuem absolutamente nenhum recurso IPv6.

Assim? É pouco provável que você precise disponibilizá-lo pela Internet e, na sua rede interna, continue executando o IPv4 e o IPv6 até que todos os seus dispositivos sejam suportados ou substituídos.

Se a execução de vários protocolos não for uma opção, talvez seja necessário configurar algum tipo de gateway / proxy.

IPSEC deve tornar tudo isso seguro de alguma forma

IPSEC criptografou e autentica pacotes. Não tem nada a ver com a eliminação do seu dispositivo de fronteira e protege mais os dados em trânsito.

Sim. NAT está morto. Houve algumas tentativas de ratificar padrões para o NAT através do IPv6, mas nenhum deles decolou.

Na verdade, isso causou problemas para os provedores que estão tentando atender aos padrões PCI-DSS, pois na verdade o padrão afirma que você deve estar protegido por um NAT.

Para mim, esta é uma das notícias mais maravilhosas que já ouvi. Eu odeio o NAT e odeio o NAT de operadora ainda mais.

O NAT só foi concebido para ser uma solução bandaid para passar até que o IPv6 se tornasse padrão, mas se tornou arraigado na sociedade da Internet.

Para o período de transição, lembre-se de que IPv4 e IPv6 são, além de um nome semelhante, totalmente diferentes ¹ . Portanto, os dispositivos que são de pilha dupla, seu IPv4 serão NATted e seu IPv6 não. É quase como ter dois dispositivos totalmente separados, embalados em um único pedaço de plástico.

Então, como funciona o acesso à Internet IPv6? Bem, a maneira como a internet funcionava antes do NAT ser inventado. Seu ISP atribuirá um intervalo de IPs (o mesmo que agora, mas geralmente atribui a / 32, o que significa que você obtém apenas um endereço IP), mas agora terá milhões de endereços IP disponíveis. Você pode preencher esses endereços IP conforme desejar (com configuração automática ou DHCPv6). Cada um desses endereços IP estará visível em qualquer outro computador na Internet.

Parece assustador, certo? Seu controlador de domínio, seu PC de mídia doméstica e seu iPhone, com seu estoque oculto de pornografia, serão acessíveis pela Internet ?! Bem não. É para isso que serve um firewall. Outro ótimo recurso do IPv6 é que ele força os firewalls de uma abordagem "Permitir tudo" (como a maioria dos dispositivos domésticos) a uma abordagem "Negar tudo", na qual você abre serviços para endereços IP específicos. 99,999% dos usuários domésticos manterão seus firewalls padrão e totalmente bloqueados, o que significa que nenhum tráfego não solicitado será permitido.

¹ _{Ok, há muito mais do que isso, mas eles não são de forma alguma compatíveis um com o outro, mesmo que ambos permitam os mesmos protocolos rodando no topo}

O requisito do PCI-DSS para NAT é conhecido por ser um teatro de segurança e não uma segurança real.

O PCI-DSS mais recente desistiu de chamar o NAT de um requisito absoluto. Muitas organizações passaram nas auditorias do PCI-DSS com IPv4 sem o NAT mostrando firewalls com estado como "implementações de segurança equivalentes".

Existem outros documentos do teatro de segurança por aí pedindo o NAT, mas, como destrói as trilhas de auditoria e dificulta a investigação / mitigação de incidentes, um estudo mais aprofundado do NAT (com ou sem PAT) é um negativo de segurança líquida.

Um bom firewall de estado sem NAT é uma solução muito superior ao NAT em um mundo IPv6. No IPv4, o NAT é um mal necessário a ser tolerado em prol da conservação de endereços.

(Tristemente) levará um tempo até que você possa se safar de uma rede única de IPv6 de pilha única. Até então, a pilha dupla com preferência pelo IPv6, quando disponível, é o caminho a ser executado.

Embora a maioria dos roteadores de consumidor não suporte IPv6 com firmware padrão, muitos podem suportá-lo com firmwares de terceiros (por exemplo, Linksys WRT54G com dd-wrt, etc.). Além disso, muitos dispositivos de classe empresarial (Cisco, Juniper) suportam o IPv6 pronto para uso.

É importante não confundir o PAT (NAT muitos para um, como é comum em roteadores de consumidores) com outras formas de NAT e com firewall sem NAT; Depois que a Internet se tornar apenas IPv6, os firewalls ainda impedirão a exposição de serviços internos. Da mesma forma, um sistema IPv4 com NAT um para um não é protegido automaticamente; esse é o trabalho de uma política de firewall.

Existe uma enorme confusão sobre esse assunto, pois os administradores de rede veem o NAT de uma maneira e os clientes residenciais e de pequenas empresas veem isso de outra. Deixe-me esclarecer.

O NAT estático (às vezes chamado de um para um) não oferece absolutamente nenhuma proteção para sua rede privada ou um PC individual. Alterar o endereço IP não faz sentido no que diz respeito à proteção.

NAT / PAT sobrecarregado dinâmico, como o que a maioria dos gateways residenciais e pontos de acesso Wi-Fi faz absolutamente ajuda a proteger sua rede privada e / ou seu PC. Por design, a tabela NAT nesses dispositivos é uma tabela de estado. Ele monitora as solicitações de saída e as mapeia na tabela NAT - as conexões atingem o tempo limite após um certo período de tempo. Quaisquer quadros de entrada não solicitados que não correspondam ao que está na tabela NAT são descartados por padrão - o roteador NAT não sabe para onde enviá-los na rede privada. Dessa forma, o único dispositivo em que você está vulnerável a ser invadido é o seu roteador. Como a maioria das explorações de segurança é baseada no Windows - ter um dispositivo como este entre a Internet e o PC com Windows ajuda a proteger sua rede. Pode não ser a função pretendida originalmente, que era para economizar em IPs públicos, mas faz o trabalho. Como bônus, a maioria desses dispositivos também possui recursos de firewall que muitas vezes bloqueiam solicitações de ICMP por padrão, o que também ajuda a proteger a rede.

Dadas as informações acima, descartar o NAT ao migrar para o IPv6 pode expor milhões de dispositivos de consumidores e pequenas empresas a possíveis ataques de hackers. Isso terá pouco ou nenhum efeito nas redes corporativas, pois eles gerenciam profissionalmente os firewalls. As redes de consumidores e pequenas empresas podem não ter mais um roteador NAT baseado em * nix entre a Internet e seus PCs. Não há razão para que uma pessoa não possa mudar para uma solução apenas de firewall - muito mais segura se implantada corretamente, mas também além do escopo do que 99% dos consumidores entendem como fazer. O NAT sobrecarregado dinâmico oferece um pouco de proteção usando-o - conecte seu roteador residencial e você estará protegido. Fácil.

Dito isto, não há razão para que o NAT não possa ser usado exatamente da mesma maneira que está sendo usado no IPv4. De fato, um roteador pode ser projetado para ter um endereço IPv6 na porta WAN com uma rede privada IPv4 por trás dele e NAT (por exemplo). Esta seria uma solução simples para consumidores e residências. Outra opção é colocar todos os dispositivos com IPs IPv6 públicos - o dispositivo intermediário poderia atuar como um dispositivo L2, mas fornecer uma tabela de estados, inspeção de pacotes e firewall totalmente funcional. Essencialmente, sem NAT, mas ainda bloqueando os quadros de entrada não solicitados. O importante é lembrar que você não deve conectar o seu PC diretamente à sua conexão WAN sem nenhum dispositivo intermediário. A menos, claro, que você queira confiar no firewall do Windows. . . e essa é uma discussão diferente.

Haverá algumas dores de crescimento mudando para o IPv6, mas não há nenhum problema que não possa ser resolvido com bastante facilidade. Você precisará abandonar seu roteador IPv4 antigo ou gateway residencial? Talvez, mas haverá novas soluções baratas disponíveis quando chegar a hora. Espero que muitos dispositivos precisem apenas de um flash de firmware. O IPv6 foi projetado para se encaixar mais perfeitamente na arquitetura atual? Claro, mas é o que é e não vai desaparecer - então você pode aprender, viver, amar.

Se o NAT sobreviver no mundo IPv6, provavelmente será 1: 1 NAT. Um formulário que um NAT nunca é visto no espaço IPv4. O que é NAT 1: 1? É uma tradução 1: 1 de um endereço global para um endereço local. O equivalente ao IPv4 converteria todas as conexões para 1.1.1.2 apenas para 10.1.1.2 e assim por diante para todo o espaço 1.0.0.0/8. A versão do IPv6 seria converter um endereço global em um endereço local exclusivo.

A segurança aprimorada pode ser fornecida girando frequentemente o mapeamento para endereços com os quais você não se importa (como usuários internos do escritório navegando no Facebook). Internamente, seus números de ULA permaneceriam os mesmos, para que o DNS com horizonte dividido continuasse a funcionar bem, mas externamente os clientes nunca estariam em uma porta previsível.

Mas, na verdade, é uma pequena quantidade de segurança aprimorada pelo incômodo que ela cria. A varredura de sub-redes IPv6 é uma tarefa realmente grande e inviável sem que haja um reconhecimento de como os endereços IP são atribuídos nessas sub-redes (método de geração MAC? Método aleatório? Atribuição estática de endereços legíveis por humanos?).

Na maioria dos casos, o que acontecerá é que os clientes atrás do firewall corporativo obterão um endereço global, talvez um ULA, e o firewall de perímetro será configurado para negar todas as conexões de entrada de qualquer tipo para esses endereços. Para todos os efeitos, esses endereços são inacessíveis do lado de fora. Depois que o cliente interno inicia uma conexão, os pacotes serão permitidos ao longo dessa conexão. A necessidade de alterar o endereço IP para algo completamente diferente é tratada forçando um invasor a folhear 2 ^ 64 endereços possíveis nessa sub-rede.

O RFC 4864 descreve a proteção de rede local IPv6 , um conjunto de abordagens para fornecer os benefícios percebidos do NAT em um ambiente IPv6, sem realmente precisar recorrer ao NAT.

Este documento descreveu várias técnicas que podem ser combinadas em um site IPv6 para proteger a integridade de sua arquitetura de rede. Essas técnicas, conhecidas coletivamente como proteção de rede local, mantêm o conceito de um limite bem definido entre "dentro" e "fora" da rede privada e permitem firewall, ocultação de topologia e privacidade. No entanto, como preservam a transparência do endereço quando necessário, eles atingem esses objetivos sem a desvantagem da tradução de endereços. Portanto, a proteção de rede local no IPv6 pode fornecer os benefícios da conversão de endereços de rede IPv4 sem as desvantagens correspondentes.

Primeiro, ele descreve quais são os benefícios percebidos do NAT (e os desmascara quando apropriado), depois descreve os recursos do IPv6 que podem ser usados ​​para fornecer os mesmos benefícios. Ele também fornece notas de implementação e estudos de caso.

Embora seja muito longo para reimprimir aqui, os benefícios discutidos são:

• Um gateway simples entre "dentro" e "fora"
• O firewall stateful
• Rastreamento de usuário / aplicativo
• Ocultar privacidade e topologia
• Controle independente de endereçamento em uma rede privada
• Multihoming / renumeração

Isso abrange praticamente todos os cenários em que alguém poderia querer o NAT e oferece soluções para implementá-los no IPv6 sem o NAT.

Algumas das tecnologias que você usará são:

• Endereços locais exclusivos: prefira estes na sua rede interna para manter suas comunicações internas internas e para garantir que as comunicações internas possam continuar, mesmo que o ISP tenha uma interrupção.
• Extensões de privacidade IPv6 com vida útil curta do endereço e identificadores de interface não-obviamente estruturados: Eles ajudam a impedir o ataque de hosts individuais e a verificação de sub-rede.
• IGP, IPv6 móvel ou VLANs podem ser usados ​​para ocultar a topologia da rede interna.
• Juntamente com os ULAs, o DHCP-PD do ISP facilita a renumeração / multihoming do que com o IPv4.

( Veja a RFC para obter detalhes completos; mais uma vez, é muito tempo para reimprimir ou até obter trechos significativos.)

Para uma discussão mais geral sobre segurança de transição IPv6, consulte RFC 4942 .

Mais ou menos. Na verdade, existem "tipos" diferentes de endereços IPv6. O mais próximo da RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) é chamado "Endereço local exclusivo" e é definido na RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Então você começa com fd00 :: / 8, adiciona uma string de 40 bits (usando um algoritmo predefinido na RFC!) E acaba com um prefixo pseudo-aleatório / 48 que deve ser globalmente exclusivo. Você tem o restante do espaço de endereço para atribuir como desejar.

Você também deve bloquear fd00 :: / 7 (fc00 :: / 8 e fd00 :: / 8) no seu roteador (IPv6) para fora da sua organização - daí o "local" no nome do endereço. Esses endereços, enquanto estiverem no espaço de endereços global, não devem ser acessíveis ao mundo em geral, apenas dentro da sua "organização".

Se seus servidores PCI-DSS precisarem de um IPv6 para conectividade com outros hosts IPv6 internos, você deverá gerar um prefixo de ULA para sua empresa e usá-lo para esse fim. Você pode usar a configuração automática do IPv6 como qualquer outro prefixo, se desejar.

Dado que o IPv6 foi projetado para que os hosts possam ter vários endereços, uma máquina pode ter - além de um ULA - um endereço roteável globalmente. Portanto, um servidor da web que precise conversar com o mundo externo e com máquinas internas pode ter um endereço de prefixo atribuído ao ISP e seu prefixo ULA.

Se você quiser funcionalidade semelhante a NAT, também poderá ver o NAT66, mas em geral eu arquitetaria em torno do ULA. Se você tiver outras dúvidas, consulte a lista de discussão "ipv6-ops".

IMHO: não.

Ainda existem alguns lugares onde o SNAT / DNAT pode ser útil. Por exemplo, alguns servidores foram movidos para outra rede, mas não queremos / não podemos alterar o IP do aplicativo.

Felizmente, o NAT desaparecerá para sempre. É útil apenas quando você tem uma escassez de endereço IP e não possui recursos de segurança que não são fornecidos melhor, mais baratos e mais facilmente gerenciados por um firewall com estado.

Como IPv6 = não há mais escassez, significa que podemos livrar o mundo do feio truque que é o NAT.

Não vi uma resposta definitiva sobre como a perda de NAT (se realmente desaparecer) com o IPv6 afetará a privacidade do usuário.

Com os endereços IP de dispositivos individuais expostos publicamente, será muito mais fácil para os serviços da Web monitorar (coletar, armazenar, agregar ao longo do tempo, espaço e sites e facilitar uma infinidade de usos secundários) suas viagens pela Internet a partir de seus vários dispositivos. A menos que ... ISPs, roteadores e outros equipamentos tornem possível e fácil ter endereços IPv6 dinâmicos que podem ser alterados frequentemente para cada dispositivo.

É claro que não importa o que ainda teremos a questão de os endereços MAC estáticos serem públicos, mas isso é outra história ...

Existem muitos esquemas para oferecer suporte ao NAT em um cenário de transição V4 para V6. No entanto, se você tiver uma rede IPV6 completa e se conectar a um provedor IPV6 upstream, o NAT não fará parte da nova ordem mundial, exceto que você poderá fazer um túnel entre redes V4 e redes V6.

A Cisco possui muitas informações gerais sobre cenários 4to6, migração e encapsulamento.

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

Também na Wikipedia:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

A política e a prática comercial básica provavelmente promoverão ainda mais a existência do NAT. A infinidade de endereços IPv6 significa que os ISPs serão tentados a cobrar por dispositivo ou limitar as conexões apenas a um número restrito de dispositivos. Veja este artigo recente em /. por exemplo:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

Para sua informação, qualquer pessoa interessante está usando NAT / NAPT com IPV6. Todos os sistemas operacionais BSD que possuem PF suportam NAT66. Funciona bem. Em um blog que usamos :

ipv6 nat (nat66) do FreeBSD pf

embora o nat66 ainda esteja em rascunho, o FreeBSD já o suporta há muito tempo.

(edite o pf.conf e insira os seguintes códigos)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

Estás pronto!

Funciona muito bem para nós, pessoas que usamos o squid com um único endereço IP há anos. Com o NAT do IPv6, posso obter 2 ^ 120 endereços privados (local do site), que incluem 2 ^ 56 sub-redes de comprimento com minhas 5/64 sub-redes. Isso significa que devo ser 100 bilhões de vezes mais inteligente que qualquer outro guru do IPv6 aqui, porque tenho mais endereços.: D

A verdade é que, apenas porque eu tenho mais endereços (ou posso ter usado o IPv6 por mais tempo que você), realmente não melhora o IPv6 (ou eu pelo mesmo problema). No entanto, torna o IPv6 mais complexo onde um firewall é necessário no lugar do PAT e o NAT não é mais um requisito, mas é uma opção. O objetivo do firewall é permitir todas as conexões de saída e manter o estado, mas bloquear as conexões iniciadas de entrada.

Quanto ao NAPT (NAT com PAT), levará algum tempo para tirar as pessoas da mentalidade. Por exemplo, até que nosso bisavô possa configurar seu próprio firewall IPv6 sem endereçamento local (endereços privados) e sem qualquer assistência do guru, pode ser uma boa ideia brincar com a possível idéia de NAT, pois isso será tudo o que ele sabe.

As recentes propostas apresentadas para o ipv6 sugeriram que os engenheiros que trabalham na nova tecnologia incorporarão o NAT ao ipv6, pelo motivo: O NAT oferece uma camada adicional de segurança

A documentação está no site ipv6.com, portanto parece que todas essas respostas informando que o NAT não oferece segurança estão parecendo um pouco envergonhadas

Percebo que em algum momento futuro (que só pode ser especulado) os endereços IPv4 regionais inevitavelmente acabarão. Concordo que o IPv6 tem algumas sérias desvantagens para o usuário. A questão do NAT é extremamente importante, pois fornece inerentemente segurança, redundância, privacidade e permite que os usuários conectem quase quantos dispositivos quiserem sem restrição. Sim, um firewall é o padrão-ouro contra invasões de rede não solicitadas, mas o NAT não apenas adiciona outra camada de proteção, como também geralmente fornece um design padrão seguro, independentemente da configuração do firewall ou do conhecimento do usuário final, não importa como você o defina IPv4 com NAT e um firewall ainda é mais seguro por padrão do que o IPv6 com apenas um firewall. Outra questão é a privacidade, ter um endereço roteável da Internet em todos os dispositivos abrirá os usuários para todos os tipos de possíveis violações da privacidade, coleta de informações pessoais e rastreamento de maneiras que dificilmente se imaginam hoje em massa. Também sou da opinião de que, sem o Nat, seremos abertos a custos e controle adicionais por meio do ISP. Os provedores de serviços de Internet podem começar a cobrar taxas de uso por dispositivo ou por usuário, como já vemos no tethering USB, isso reduziria bastante a liberdade do usuário final de conectar abertamente qualquer dispositivo que entendesse na linha. A partir de agora, poucos provedores de serviços de Internet dos EUA oferecem IPv6 de qualquer forma, e acho que as empresas que não são de tecnologia demoram a mudar devido ao custo agregado com pouco ou nenhum valor agregado.