Isolation réseau avec IPv6

Je crois comprendre que la traduction d'adresse réseau (NATing) disparaît avec IPv6. Comment isoler les ressources du réseau à ceux qui en ont besoin du rest de l'Internet? Je pense spécifiquement à l'access aux ressources réseau internes, comme les servers de files ou les hôtes VM aux users distants, comme ceux qui travaillent à domicile.

Un scénario similaire apparaît également dans IPv4 aujourd'hui. Dans de nombreuses universités, y compris la mienne, chaque périphérique réseau obtient une IP publiable. Je voudrais exécuter un server de files, mais je ne le souhaite pas vraiment accessible au public. Idéalement, il faudrait également une IP publique et un VPN ne serait pas nécessaire.

Commentaires?

3 Solutions collect form web for “Isolation réseau avec IPv6”

Comment isoler les ressources du réseau à ceux qui en ont besoin du rest de l'Internet?

C'est pour cela que fonctionnent les pare-feu. L'isolement que NAT fournit ne fournit vraiment qu'un faux sentiment de security, et n'est pas bon pour autre chose que la security par obscurité.

Cela dit, alors que NAT serait nécessaire sur une base beaucoup less fréquente après la migration vers IPv6, il ne disparaîtra bientôt. En fait, pour le bien ou le pire, les implémentations NATv6 existent déjà et sont en production dans diverses organisations aujourd'hui.

Tout simplement parce qu'un périphérique possède une adresse IP publique ne signifie pas qu'il soit accessible au public. Votre stratégie de pare-feu par défaut devrait être refusée par défaut, puis autoriser uniquement le trafic vers / depuis des ports ou des sous-réseaux spécifiques au besoin.

Vous pouvez utiliser des adresses locales uniques pour les ressources qui ne devraient pas être disponibles sur Internet public. La gamme ULA est fc00 :: / 7, qui est en dehors de la gamme globale (2000 :: / 3).

Le sharepoint VPN est de ne pas contourner NAT, mais d'imposer une authentification et une security de connection. VPN sera toujours une grande partie de l'access distant sécurisé. (c'est-à-dire, simplement parce que vous avez l'espace d'adresse pour exposer les services au réseau, ne signifie pas que vous devriez exposer tout)

Faites défaire vos périphériques IPv6 hors d'Internet, fournissant un access uniquement aux services qui devraient être accessibles au public. Les users qui ont besoin d'accéder aux ressources internes doivent continuer d'accéder à un réseau VPN et ont éventuellement un set différent de règles de pare-feu qui leur sont appliquées (ou tout simplement un access complet au réseau interne, dépend de votre politique de security).

  • VPN dans plusieurs sous-réseaux LAN
  • Routage du trafic de plusieurs servers sur un autre
  • Cisco ASA: Autoriser et refuser l'access VPN en fonction de l'appartenance à un groupe AD
  • Relier Linux et Windows Server pour le partage de files et l'édition sur le réseau?
  • Comment configurer un VPN sur WIndows Server 2008 R2?
  • Peut-on connecter un ordinateur OSX à un VPN AWS ​​VPC?
  • Le pair ne répond pas aux requests ISAKMP de phase 1
  • L2TP iptables port forward
  • Le client Windows 8.1 se déconnecte immédiatement après une connection VPN réussie avec Windows Server 2012 R2
  • Azure "firewall" capture le trafic VPN
  • OpenVPN Mac (Tunnelblick) tout le trafic sur VPN
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.