NPTv6 (IPv6 NAT 6to6) security

NPTv6 (IPv6 NAT 6to6) security
Как я уже  писал  ранее, IPv6 разрабатывался с целью обеспечения всех нуждающихся IP-адресами. Естественно, в этом случае необходимость NAT на фоне концепции полной прозрачности адресации и общей математической эйфории "каждому юзеру по провайдерскому диапазону" смотрится довольно блекло. Это потом, когда возникает необходимость "спрятать" от Интернета IPv6-адрес интерфейса управления электростанцией, телеком-инфраструктурой, или ПК генерального директора - становится понятно, что старый добрый NAT 4to4 - не рудимент древней адресации, а вполне себе неплохой инструмент сетевой безопасности. Кроме того, процесс миграции всей сети на IPv6 - тоже не очень тривиальная задача. Необходимо обеспечить поддержку IPv6 на уровнях:
  • Клиента;
  • Сервера;
  • Сети L3-доступа;
  • Всех промежуточных сетевых устройств;
  • А чтобы пользователь меньше всего почувствовал, то еще и в DNS (AAAA-записи,  RFC3596 ).




Так что, как ни крути, а NAT пригодится. 
Какие бывают виды NAT в IPv6?
  • NAT 6to4 - для передачи IPv6-трафика по IPv4-транспорту;
  • NAT 4to6 - для передачи IPv4-трафика по IPv6-транспорту;
  • NAT 6to6 - для сокрытия реальных IP-адресов конечных устройств в сквозной IPv6-сети. 
Поговорим о последнем: NAT 6to6. В терминологии IETF этот вид трансляции адресов называется IPv6-to-IPv6 Network Prefix Translation (NPTv6) и описывается в  RFC6296 . В отличие от IPv4 NAT, NPTv6 не предусматривает возможности спрятать много IPv6-адресов за одним, трансляция адресов производится 1:1.

Спасибо  полупальто  за картинку, объясню на ней. 
Предположим, ПК с IPv6-адресом 4001:5009:32e8:111::55/48 выходит в Интернет, используя NPTv6. В Интернете он будет виден как 8002:cd77:f955:111::55/48. Я выделил жирным, хотя и невооруженным глазом заметно, что изменяются только первые 12 символов (48 бит), остальные 80 бит IPv6-адреса и номера портов TCP/UDP остаются неизменными. То есть, для определения IPv6-адреса до трансляции нужно узнать эти самые первые символы.



Точно так же работает и трансляция destination-адресов.

Соответственно, если необходимо более неузнаваемо поменять IPv6-адрес источника или назначения, необходимо использовать proxy либо reverse proxy-сервера соответствующего приложения.

 

Alt text

Биометрическую идентификацию легко обойти с помощью deepfake, доступ к данным пользователей хакерских форумов могли получить спецслужбы, а также розыгрыш уникальной хакерской настольной игры и билета на PhDays в 11 выпуске на нашем Youtube канале.

Андрей Дугин

Практическая информационная безопасность и защита информации | Information Security and Cyber Defense in Deed