প্রশ্ন আইপিভি 6 এ স্যুইচিং বোঝা যাচ্ছে NAT। এটা কি একটি ভাল জিনিস?


এটা একটা ক্যানোনিকাল প্রশ্ন আইপিভি 6 এবং ন্যাট সম্পর্কে

সম্পর্কিত:

সুতরাং আমাদের আইএসপি সম্প্রতি আইপিভি 6 প্রতিষ্ঠা করেছে, এবং আমি কীভাবে ট্রানজিটটি দখল করতে পারব তা নিয়ে গবেষণা করছি।

আমি তিনটি গুরুত্বপূর্ণ বিষয় লক্ষ্য করেছি:

  1. আমাদের অফিস NAT রাউটার (একটি পুরানো লিঙ্কস BEFSR41) IPv6 সমর্থন করে না। না কোন নতুন রাউটার, AFAICT। আইপিভি 6 সম্পর্কে আমি যে বইটি পড়ছি সেটি আমাকে বলে যে এটি NAT "অযাচিত" যেভাবেই তৈরি করে।

  2. যদি আমরা এই রাউটার থেকে পরিত্রাণ পেতে এবং সরাসরি সবকিছু ইন্টারনেটে প্লাগ করতে চাই, তবে আমি প্যানিক শুরু করি। নরকে কোন উপায় নেই আমি সবাইকে দেখার জন্য ইন্টারনেটে আমাদের বিলিং ডাটাবেস (ক্রেডিট কার্ড তথ্য প্রচুর!) দিয়ে দেব। এমনকি যদি আমি 6 টি ঠিকানা এটিকে অ্যাক্সেস করার অনুমতি দেওয়ার জন্য উইন্ডোজ ফায়ারওয়াল সেট আপ করার প্রস্তাব দেই তবে এমনকি আমি একটি ঠান্ডা ঘামে ভেঙ্গে পড়ি। আমি উইন্ডোজ, উইন্ডোজ ফায়ারওয়াল, বা নেটওয়ার্কের সাথে যথেষ্ট নির্ভরযোগ্য এমনকি এটির সাথে আরামদায়ক হতে বিশ্বাস করি না।

  3. কয়েকটি পুরানো হার্ডওয়্যার ডিভাইস (অর্থাত্ মুদ্রক) যা একেবারেই কোনও IPv6 ক্ষমতা নেই। এবং সম্ভবত প্রায় 1998 সালের তারিখের নিরাপত্তা সমস্যাগুলির লন্ড্রি তালিকা। সম্ভবত কোনও উপায়ে তাদেরকে প্যাচ করার উপায় নেই। এবং নতুন প্রিন্টার জন্য কোন তহবিল।

আমি শুনেছি যে আইপিভি 6 এবং আইপিএসইসি যেকোনোভাবে এই সব নিরাপদ করে তুলতে পারে, তবে শারীরিকভাবে পৃথক নেটওয়ার্কগুলি যা এই ডিভাইসগুলিকে ইন্টারনেটে অদৃশ্য করে তোলে। সত্যিই দেখতে পারছি না কিভাবে। আমি একইভাবে করতে পারেন সত্যিই আমি যে কোনও প্রতিরক্ষা তৈরি করি তা সংক্ষিপ্ত ক্রমবর্ধমান হবে। আমি এখন বছর ধরে ইন্টারনেটে সার্ভার চালাচ্ছি এবং আমি সেগুলিকে সুরক্ষিত করার জন্য প্রয়োজনীয় জিনিসগুলি সম্পর্কে পুরোপুরি পরিচিত, তবে আমাদের বিলিং ডাটাবেসের মতো নেটওয়ার্কে ব্যক্তিগত কিছু নির্বাণ সবসময়ই প্রশ্নটির বাইরে চলে গেছে।

যদি আমাদের শারীরিকভাবে আলাদা নেটওয়ার্ক না থাকে তবে আমি কি NAT এর সাথে প্রতিস্থাপন করব?


101
2017-09-24 23:33


উত্স


আপনি এই পুনরায় জিজ্ঞাসা চেষ্টা করতে পারেন? ঠিক এখন এটি মোটামুটি যুক্তিবাদী মনে হচ্ছে। - Zoredache
আপনি কি জিনিস সম্পর্কে অবাক অস্তিত্ব নেই। সম্ভবত আপনি আপনার মতামতগুলি বর্ণনা করে এমন একটি উপায়ে আপনার প্রশ্নটি পুনর্বিবেচনা করবেন এবং আমাদের নিশ্চিত করতে আমাদের জিজ্ঞাসা করুন। পরিবর্তে আপনি যে জিনিস নিয়েছেন অভিযোগ করার পরিবর্তে একটি নির্দিষ্ট উপায় কাজ করবে। - Zoredache
এছাড়াও - আপনি ক্রেডিট কার্ড তথ্য সংরক্ষণ করছেন? এবং আপনি নিরাপত্তা সম্পর্কে এই অনেক প্রশ্ন আছে? আপনি কি কখনও একটি পিসিআই অডিট পাস করেছেন? অথবা আপনি ক্রেডিট কার্ড বিবরণ সংরক্ষণ করে আপনার চুক্তি ভঙ্গ করছেন? আপনি এই পোস্ট, ঘড়ি পরে দেখতে চাইতে পারেন। - mfinni
আমি ভাল বিবেচনার ভিত্তিতে ভোট দিতে পারি না অথবা এই প্রশ্নটি বন্ধ করে দিতে পারি না যে পোস্টারটি অবহেলিত (অবশ্যই এটি সাইটের অর্ধেক পয়েন্ট)। অনুমান করা হয়েছে, অপব্যবহার মিথ্যা ভিত্তির উপর ভিত্তি করে একটি বড় টানেন্টে চলে যাচ্ছে এবং প্রশ্নটি পুনরায় লিখতে পারে। - Chris Thorpe
"আর কোন NAT" নির্দিষ্টভাবে আইপিভি 6 এর লক্ষ্যগুলির একটি। যদিও এই মুহুর্তে মনে হয় (অন্তত এখানে) যে আইপিভি 6 নৈবেদ্য প্রদানের আগ্রহ কেবল ডেটাসেন্টার ব্যতীত বড় নয় (কারণ বড় প্যাকেটগুলির অর্থ আরো ব্যান্ডউইথ, এবং আরো ব্যান্ডউইথ মানে তাদের জন্য আরও অর্থ!)। DSL এর জন্য এটি বিপরীত, তবে বেশিরভাগই ফ্ল্যাট্রেট আছে, তাই IPv6 এর অর্থ শুধুমাত্র প্রদানকারীদের জন্য আরও বেশি কষ্ট এবং আরো বেশি অর্থ। - dm.skt


উত্তর:


প্রথম এবং সর্বাগ্রে, জনসাধারণের আইপি বরাদ্দ হওয়া থেকে ভয় পাওয়ার কিছু নেই, যতদিন আপনার সুরক্ষা ডিভাইসগুলি ঠিকভাবে কনফিগার করা হয়।

যদি আমাদের শারীরিকভাবে আলাদা নেটওয়ার্ক না থাকে তবে আমি কি NAT এর সাথে প্রতিস্থাপন করব?

1980-এর দশকের রাউটার এবং ফায়ারওয়াল থেকেও আমরা একই সাথে তাদের বিচ্ছেদ করেছি। আপনি NAT- এর সাথে এক বড় সুরক্ষা লাভটি আপনাকে ডিফল্ট-অস্বীকার কনফিগারেশনে বাধ্য করে। পেতে কোন এটি মাধ্যমে সেবা, আপনি আছে স্পষ্টভাবে মুষ্ট্যাঘাত গর্ত। ফ্যান্সওয়াল ডিভাইসগুলি আপনাকে ফায়ারওয়ালের মতো আইপি-ভিত্তিক এসিএলগুলিকে সেই গর্তগুলিতে প্রয়োগ করার অনুমতি দেয়। সম্ভবত কারণ তাদের বাক্সে 'ফায়ারওয়াল' রয়েছে।

একটি সঠিকভাবে কনফিগার করা ফায়ারওয়াল ন্যাট গেটওয়ে হিসাবে ঠিক একই পরিষেবা সরবরাহ করে। তারা যেহেতু ন্যাট গেটওয়েগুলি প্রায়শই ব্যবহৃত হয় সহজ সবচেয়ে ফায়ারওয়াল তুলনায় একটি নিরাপদ কনফিগার পেতে।

আমি শুনেছি যে আইপিভি 6 এবং আইপিএসইসি যেকোনোভাবে এই সব নিরাপদ করে তুলতে পারে, তবে শারীরিকভাবে পৃথক নেটওয়ার্কগুলি যা এই ডিভাইসগুলিকে ইন্টারনেটে অদৃশ্য করে তোলে। সত্যিইদেখতে পারছি না কিভাবে।

এটি একটি ভুল ধারণা। আমি একটি ইউনিভার্সিটির জন্য কাজ করি যার একটি / 16 আইপিভি 4 বরাদ্দ আছে, এবং আমাদের আইপি ঠিকানা ব্যবহারের বিশাল, বিশাল সংখ্যাগরিষ্ঠ জনসাধারণের জন্য বরাদ্দ করা হয়। অবশ্যই আমাদের শেষ ব্যবহারকারী ওয়ার্কস্টেশন এবং প্রিন্টার সব। আমাদের RFC1918 খরচ নেটওয়ার্ক ডিভাইস এবং নির্দিষ্ট নির্দিষ্ট সার্ভারে সীমাবদ্ধ যেখানে এই ঠিকানাগুলি প্রয়োজন। আমি শুধু এখনই shivered যদি আমি অবাক হবে না, কারণ আমি আমার প্রথম দিনে প্রদর্শিত যখন আমি অবশ্যই এবং আমার আইপি ঠিকানা দিয়ে আমার মনিটর পোস্ট পোস্ট দেখেছি।

এবং এখনো, আমরা বেঁচে থাকি। কেন? সীমিত ICMP থ্রুপুট দিয়ে ডিফল্ট-অস্বীকারের জন্য আমাদের একটি বহিরাগত ফায়ারওয়াল কনফিগার করা হয়েছে। 140.160.123.45 তাত্ত্বিকভাবে রাস্তার কারণ, এর অর্থ এই নয় যে আপনি সর্বজনীন ইন্টারনেটে যেখানেই থাকবেন সেখানে থেকে যেতে পারেন। এই ফায়ারওয়াল করতে ডিজাইন করা হয় কি।

ডান রাউটার কনফিগারগুলি দেওয়া হয়েছে, এবং আমাদের বরাদ্দে বিভিন্ন উপনিবেশগুলি একে অপরের থেকে সম্পূর্ণরূপে অ্যাক্সেসযোগ্য হতে পারে। আপনি রাউটার টেবিল বা ফায়ারওয়াল এটি করতে পারেন। এটি একটি পৃথক নেটওয়ার্ক এবং অতীতে আমাদের নিরাপত্তা অডিটর সন্তুষ্ট করেছে।

নরকে কোন উপায় নেই আমি সবাইকে দেখার জন্য ইন্টারনেটে আমাদের বিলিং ডাটাবেস (ক্রেডিট কার্ড তথ্য প্রচুর!) দিয়ে দেব।

আমাদের বিলিং ডাটাবেস একটি পাবলিক আইপিভি 4 ঠিকানার উপর, এবং এর সম্পূর্ণ অস্তিত্বের জন্য হয়েছে, তবে আমাদের কাছে প্রমাণ আছে যে আপনি এখানে থেকে যেতে পারবেন না। জনসাধারণের v4 রুটযোগ্য তালিকাতে একটি ঠিকানা থাকা সত্ত্বেও এটি সরবরাহ করা নিশ্চিত নয়। ইন্টারনেটের দুষ্টতা এবং প্রকৃত ডাটাবেস পোর্টের মধ্যে দুটি ফায়ারওয়াল মন্দিকে ফিল্টার করে। এমনকি আমার ডেস্ক থেকে, প্রথম ফায়ারওয়ালের পিছনে, আমি যে ডাটাবেসটি পেতে পারছি না।

ক্রেডিট কার্ড তথ্য একটি বিশেষ ক্ষেত্রে। এটি পিসিআই-ডিএসএস মানগুলির সাপেক্ষে, এবং মানগুলি সরাসরি এই তথ্যগুলি ধারণ করে যে সার্ভারগুলিতে একটি NAT প্রবেশপথের পিছনে থাকা উচিত1। আমাদের, এবং এই তিন সার্ভার আমাদের RFC1918 ঠিকানাগুলির সম্পূর্ণ সার্ভার ব্যবহার প্রতিনিধিত্ব করে। এটি কোনও নিরাপত্তা, মাত্র জটিলতার স্তর যুক্ত করে না, তবে অডিটগুলির জন্য চেকবক্সটি যাচাই করা দরকার।


আসল "আইপিভি 6 এনটিটি অতীতের একটি জিনিস করে তোলে" ধারণাটি ইন্টারনেট বুম সত্যিই সম্পূর্ণ মূলধারার আঘাত করার আগে এগিয়ে নিয়ে যায়। 1995 সালে ন্যাট একটি ছোট আইপি বরাদ্দের কাছাকাছি পেতে একটি কাজকর্ম ছিল। ২005 সালে এটি বেশিরভাগ নিরাপত্তা সর্বোত্তম অনুশীলন দলিল এবং অন্তত একটি প্রধান মান (পিসিআই-ডিএসএস নির্দিষ্ট হতে) এ রক্ষিত ছিল। এনএটি-র একমাত্র কংক্রিট সুবিধাটি হ'ল নেটওয়ার্কটিতে পুনঃস্থাপন করা বাহ্যিক সত্তা এটি জানে না যে আইপি ল্যান্ডস্কেপটি NAT ডিভাইসের পিছনে কেমন আছে (যদিও RFC1918 এর জন্য তাদের ভাল ধারণা আছে) এবং NAT-free IPv4 (যেমন আমার কাজ হিসাবে) যে ক্ষেত্রে না। এটা প্রতিরক্ষা-গভীরতার একটি ছোট পদক্ষেপ, বড় নয়।

RFC1918 ঠিকানাগুলির জন্য প্রতিস্থাপন যা অনন্য স্থানীয় ঠিকানা বলা হয়। আরএফসি 1918 এর মত, তারা যদি রুটকে রুট করার অনুমতি দেয় না তবে তারা রুট করে না। RFC1918 এর বিপরীতে, তারা (সম্ভবত) বিশ্বব্যাপী অনন্য। আইপিভি 6 অ্যাড্রেস অনুবাদক যা একটি বিশ্বব্যাপী আইএলএকে গ্লোবাল আইপিতে অনুবাদ করে উচ্চ পরিসীমা পেরিমিটার গিয়ারে বিদ্যমান থাকে, তা নিশ্চিতভাবে SOHO গিয়ারে নেই।

আপনি একটি পাবলিক আইপি ঠিকানার সাথে জরিমানা বেঁচে থাকতে পারেন। শুধু মনে রাখবেন যে 'জনসাধারণ' 'পৌছানোর যোগ্য' গ্যারান্টি দেয় না এবং আপনি ঠিক হবেন।


2017 আপডেট

গত কয়েক মাসে আমাজন  IPv6 সমর্থন যোগ করা হয়েছে। এটা শুধু তাদের যোগ করা হয়েছে  নৈবেদ্য, এবং তাদের বাস্তবায়ন কত বড় স্কেল স্থাপনা করা হবে বলে আশা করা হয় কিছু সূত্র দেয়।

  • আপনি একটি / 56 বরাদ্দ (256 সাবনেট) দেওয়া হয়।
  • বরাদ্দ একটি সম্পূর্ণরূপে রুটযোগ্য সাবনেট।
  • আপনি আপনার ফায়ারওয়াল-নিয়ম সেট করার আশা করা হয় () উপযুক্তভাবে নিষিদ্ধ।
  • কোন NAT নেই, এটি এমনকি অফার করা হয় না, তাই বহির্মুখী ট্র্যাফিক উদাহরণের আসল আইপি ঠিকানার থেকে আসবে।

NAT এর সুরক্ষা সুবিধাগুলি আবার যোগ করার জন্য, তারা এখন একটি প্রস্তাব করছে Egress-শুধুমাত্র ইন্টারনেট গেটওয়ে। এটি একটি NAT- মত সুবিধা প্রদান করে:

  • এটি পিছনে Subnets সরাসরি ইন্টারনেট থেকে অ্যাক্সেস করা যাবে না।

কোনও ভুল কনফিগারেশানযুক্ত ফায়ারওয়াল নিয়ম ভুলভাবে অভ্যন্তরীণ ট্র্যাফিকের ক্ষেত্রে যদি সুরক্ষা-ইন-গভীরতার স্তর সরবরাহ করে।

এই প্রস্তাবটি এনএটি-র ভাবে কোন একক ঠিকানায় অভ্যন্তরীণ ঠিকানা অনুবাদ করে না। আউটবাউন্ড ট্র্যাফিকটি এখনও সংযোগ খোলা ইনস্ট্যান্সের উৎস আইপি থাকবে। ফায়ারওয়াল অপারেটররা ভিপিসিগুলিতে শ্বেততন্ত্র সংস্থান খোঁজার জন্য নির্দিষ্ট আইপি ঠিকানাগুলির পরিবর্তে হোয়াইটলিস্টিং নেটব্লক্স বন্ধ করবে।

Routeable সবসময় মানে না পৌঁছানো


1: পিসিআই-ডিএসএস মান অক্টোবর ২010 সালে পরিবর্তিত হয়েছে, আরএফসি 1918 ঠিকানাগুলি জারি করা বিবৃতিটি সরানো হয়েছে, এবং 'নেটওয়ার্ক বিচ্ছিন্নতা' এটি প্রতিস্থাপিত হয়েছে।


182
2017-09-25 00:59



আমি এটি স্বীকার হিসাবে চিহ্নিত হিসাবে এটি আরো সম্পূর্ণ উত্তর। আমি মনে করি যেহেতু আমি যে কোনও ফায়ারওয়াল কনফিগারেশন টমে যাচ্ছি (যেহেতু 1997 সাল থেকে, যখন আমি মাঠে শুরু করেছিলাম এবং এতে ফ্রিবিডিড ফায়ারওয়াল নির্মাণের হাত রয়েছে) RFC1918 এর ব্যবহারকে জোর দিয়েছে, এটি আসলে কোনও ধারণা করে না আমাকে. অবশ্যই, একটি আইএসপি হিসাবে আমরা শেষ ব্যবহারকারীদের এবং তাদের সস্তা রাউটারগুলির সাথে কিছু সমস্যা নিয়ে যাচ্ছি যখন আমরা আইপিভি 4 ঠিকানাগুলি শেষ করব, এবং এটি যে কোনও সময়ই চলে যাবে না। - Ernie
"আইপিএল 6 অ্যাড্রেস অনুবাদক যা একটি গ্লোবাল আইপি তে ইউএলএকে অনুবাদ করে, উচ্চতর পরিসীমা পেরিমেটার গিয়ারে থাকে, নিশ্চিতভাবেই এসওএইচও গিয়ারে নেই।" বহু বছর ধরে বিরোধিতা করার পর লিনাক্স 3.9.0 এ এর ​​জন্য সমর্থন যোগ করেছে। - Peter Green
আমার সম্পর্কে একটি প্রশ্ন আছে "NAT গেটওয়েজ প্রায়শই ব্যবহার করা হয় কারণ তারা সহজ বেশিরভাগ ফায়ারওয়ালের তুলনায় নিরাপদ কনফিগারেশন পেতে "। প্রো আইটি কর্মীদের পক্ষে বা জ্ঞানীয় ভোক্তাদের পক্ষে কোনও বড় চুক্তি নয়, তবে সাধারণ ভোক্তা / নিরপেক্ষ ছোট ব্যবসার জন্য কোনও" নিরাপদ "একটি বিশাল নিরাপত্তা ঝুঁকি না হওয়া উচিত? পাসওয়ার্ডহীন "লিঙ্কস" ওয়াইফাই নেটওয়ার্কগুলির কয়েক দশক বিদ্যমান ছিল কারণ নিরাপত্তা কনফিগার করাটি কনফিগার করার চেয়ে "সহজ" ছিল না। ভোক্তা-স্তরের আইওটি সক্ষম ডিভাইসগুলির একটি ঘরের সাথে আমি আমার মায়ের আইপিভি 6 ফায়ারওয়াল সঠিকভাবে কনফিগার করতে পারছি না। সমস্যা? - Jason C
@ জেসনসি নং, কারন গ্রাহক-স্তরের গিয়ারটি ইতোমধ্যে প্রেরণ করা হচ্ছে কারণ এটি অভ্যন্তরীণ সকলকে প্রত্যাখ্যান করার জন্য আইএসপি দ্বারা পূর্বনির্ধারিত ফায়ারওয়ালের সাথে শিপিংয়ের কাজ করে। অথবা v6 সমর্থন নেই। চ্যালেঞ্জ হল এমন শক্তি ব্যবহারকারী যারা মনে করেন তারা কী করছে তা তারা জানে, কিন্তু আসলে তা হয় না। - sysadmin1138♦
মোটামুটি উত্তম উত্তর, কিন্তু আমি এটি ডাউনভোট করেছি কারণ এটি রুমের বড় হাতিকে খুব কমই সম্বোধন করেছে: নিরাপত্তা ডিভাইসটি সঠিকভাবে কনফিগার করা এমন কিছু যা আপনি মঞ্জুর করার জন্য নিতে পারবেন না। - Kevin Keane


আমাদের অফিস NAT রাউটার (একটি পুরানো Linksys   BEFSR41) আইপিভি 6 সমর্থন করে না। না   কোন নতুন রাউটার আছে

IPv6 অনেক রাউটার দ্বারা সমর্থিত হয়। সস্তা ভোক্তাদের এবং SOHO লক্ষ্যমাত্রা বেশী নয়। সবচেয়ে খারাপ ক্ষেত্রে, শুধু একটি লিনাক্স বক্স ব্যবহার করুন অথবা আপনার রাউটারটি পুনরায় ডিস্ক-রাইট বা আইভিভি 6 সমর্থন পেতে পুনরায় ফ্ল্যাশ করুন। অনেক অপশন আছে, সম্ভবত আপনি শুধু কঠিন দেখতে আছে।

আমরা শুধু পরিত্রাণ পেতে অনুমিত হয়   এই রাউটার এবং সবকিছু প্লাগ   সরাসরি ইন্টারনেটে,

আইপিভি 6 তে কোনও রূপান্তরের বিষয়ে কিছুই জানায় না যে আপনি আপনার রাউটার / ফায়ারওয়ালের মতো পেরিমিটার সুরক্ষা ডিভাইসগুলি পরিত্রাণ পেতে পারেন। রাউটার এবং ফায়ারওয়ালগুলি এখনও বেশিরভাগ নেটওয়ার্কে একটি প্রয়োজনীয় উপাদান হবে।

সমস্ত NAT রাউটার কার্যকরভাবে একটি রাষ্ট্রীয় ফায়ারওয়াল হিসাবে কাজ। RFC1918 ঠিকানার ব্যবহার সম্পর্কে জাদু কিছুই নেই যা আপনাকে এত বেশি সুরক্ষা দেয়। এটা রাষ্ট্রীয় বিট যে কঠোর পরিশ্রম করে। আপনি যদি সঠিক বা ব্যক্তিগত ঠিকানাগুলি ব্যবহার করেন তবে একটি সঠিকভাবে কনফিগার হওয়া ফায়ারওয়াল আপনাকে ঠিক সেইসাথে রক্ষা করবে।

RFC1918 এড্রেস থেকে আপনি যে একমাত্র সুরক্ষা পেতে পারেন তা হল আপনার ফায়ারওয়াল কনফিগারে লোকেদের ত্রুটি / অলসতা থেকে দূরে সরে যেতে এবং এখনও সেই সমস্ত দুর্বল হতে পারে না।

কয়েকটি পুরানো হার্ডওয়্যার ডিভাইস (অর্থাত্ মুদ্রক) যা একেবারেই কোনও IPv6 ক্ষমতা নেই।

তাই? এটি সম্ভবত আপনার ইন্টারনেটে এবং আপনার অভ্যন্তরীণ নেটওয়ার্কে উপলভ্য করতে হবে বলে মনে হয় না, আপনার IPv4 এবং IPv6 চালানো চালিয়ে যেতে পারেন যতক্ষণ না আপনার সমস্ত ডিভাইস সমর্থিত বা প্রতিস্থাপিত হয়।

একাধিক প্রোটোকল চলমান যদি একটি বিকল্প না হয় তবে আপনাকে কোন ধরনের গেটওয়ে / প্রক্সি সেটআপ করতে হতে পারে।

আইপিএসইসি যেকোনোভাবে এই সব নিরাপদ করা অনুমিত হয়

IPSEC এনক্রিপ্ট এবং প্যাকেট অনুমোদন। এটি আপনার সীমান্ত ডিভাইস থেকে মুক্ত হওয়ার সাথে কিছুই করার নেই, এবং ট্রানজিটের মধ্যে ডেটা বেশি সুরক্ষিত করেছে।


56
2017-09-24 23:55



ঠিক তাই অনেক উপায়ে। - sysadmin1138♦
ঠিক আছে, একটি বাস্তব রাউটার পেতে এবং আপনি চিন্তা করতে হবে না। আপনার প্রয়োজনীয় নিরাপত্তা প্রদানের জন্য SonicWall কিছু চমৎকার বিকল্প রয়েছে এবং কোন সমস্যা ছাড়াই IPv6 সমর্থন করবে। এই বিকল্পটি সম্ভবত আপনার কাছে যা আছে তার চেয়ে ভাল নিরাপত্তা এবং কর্মক্ষমতা প্রদান করবে। (news.sonicwall.com/index.php?s=43&item=1022) আপনি এই প্রবন্ধে দেখতে পারেন, আপনি ipv6 এ ipv6 অনুবাদের জন্য সোনিকওয়াল ডিভাইসগুলির সাথেও এটি করতে পারেন যা ipv6 পরিচালনা করতে পারে না। - MaQleod


হ্যাঁ। ন্যাট মারা গেছে। আইপিভি 6 এর উপর এনএটি-র স্ট্যান্ডার্ডগুলি অনুমোদন করার কিছু প্রচেষ্টা হয়েছে তবে তাদের মধ্যে কেউই স্থল বন্ধ করেনি।

এটি প্রকৃতপক্ষে পিসিআই-ডিএসএস স্ট্যান্ডার্ডগুলি পূরণ করার চেষ্টা করছে এমন প্রদানকারীদের জন্য সমস্যা সৃষ্টি করেছে, কারণ প্রকৃতপক্ষে স্ট্যান্ডার্ডটি বলে যে আপনি অবশ্যই একটি NAT এর পিছনে থাকা আবশ্যক।

আমার জন্য, এই আমি শুনেছি সবচেয়ে বিস্ময়কর কিছু কিছু। আমি NAT ঘৃণা করি, এবং আমি আরো ক্যারিয়ার-গ্রেড NAT ঘৃণা করি।

আইপিভি 6 মানসম্মত হয়ে উঠার আগেই আমাদের সাথে যোগাযোগ করার জন্য ন্যাট কেবল ব্যান্ডয়েড সমাধান হিসাবে বোঝানো হয়েছিল, কিন্তু এটি ইন্টারনেট সমাজে প্রবেশ করে।

রূপান্তর সময়ের জন্য, আপনাকে মনে রাখতে হবে যে, আইপিভি 4 এবং আইপিভি 6 একই নাম ছাড়াও সম্পূর্ণ ভিন্ন 1। তাই ডুয়াল স্ট্যাক ডিভাইস, আপনার আইপিভি 4 NATted হবে এবং আপনার আইপিভি 6 হবে না। এটি প্রায় দুটি সম্পূর্ণ পৃথক ডিভাইসের মতো, প্লাস্টিকের এক টুকরাতে কেবল প্যাকেজযুক্ত।

সুতরাং, কিভাবে IPv6 ইন্টারনেট অ্যাক্সেস কাজ করে? আচ্ছা, এনএটিয়ের আগে ইন্টারনেট ব্যবহার করার উপায়টি আবিষ্কার করা হয়েছিল। আপনার আইএসপি আপনাকে একটি আইপি পরিসীমা বরাদ্দ করবে (যা তারা এখনই করে, তবে তারা সাধারণত আপনাকে একটি / 32 বরাদ্দ করে, যার মানে আপনি কেবল একটি আইপি ঠিকানা পাবেন), তবে আপনার পরিসরটিতে এখন লক্ষ লক্ষ উপলব্ধ IP ঠিকানা থাকবে। আপনি এই আইপি ঠিকানাগুলি (যেমন স্ব-কনফিগারেশন বা DHCPv6 সহ) চয়ন করেছেন তার জন্য আপনি মুক্ত। এই আইপি ঠিকানা প্রতিটি এক ইন্টারনেট অন্য যে কোন কম্পিউটার থেকে দৃশ্যমান হবে।

ভয়াবহ শব্দ, ডান? আপনার ডোমেন কন্ট্রোলার, হোম মিডিয়া পিসি এবং আপনার আইফোনের পর্নোগ্রাফি লুকিয়ে রাখা আপনার আইফোন ইন্টারনেট থেকে অ্যাক্সেসযোগ্য হতে যাচ্ছে ?! আচ্ছা, না। যে একটি ফায়ারওয়াল জন্য কি। আইপিভি 6 এর আরেকটি দুর্দান্ত বৈশিষ্ট্য এটি বাহিনী একটি "সমস্তকে মঞ্জুরি দিন" পদ্ধতির (অধিকাংশ হোম ডিভাইস হিসাবে) কোনও "অস্বীকার করুন" পদ্ধতিতে ফায়ারওয়ালগুলি, যেখানে আপনি নির্দিষ্ট আইপি ঠিকানাগুলির জন্য পরিষেবাগুলি খুলেন। 99.999% হোম ব্যবহারকারী আনন্দের সাথে তাদের ফায়ারওয়াল ডিফল্ট এবং পুরোপুরি লক ডাউন রাখবে, যার মানে কোনও অযাচিত ট্র্যাফিক অনুমোদিত হবে না।

1ওকে এর চেয়ে আরও অনেক উপায় আছে, কিন্তু তারা একে অপরের সাথে সামঞ্জস্যপূর্ণ নয়, যদিও তারা উভয়ই একই প্রোটোকলগুলিকে শীর্ষে চলার অনুমতি দেয়


33
2018-03-23 23:42



এনএটি-এর পিছনে কম্পিউটার থাকা অতিরিক্ত নিরাপত্তা প্রদান করে বলে দাবি করে এমন সব লোকদের কী? আমি এটা অন্য কিছু আইটি প্রশাসক থেকে অনেক শুনতে। আপনি যদি সঠিকভাবে ফায়ারওয়ালের প্রয়োজন বোধ করেন তবে এটি কোন ব্যাপার না, কারণ এই সমস্ত লোকেরা বিশ্বাস করে যে NAT নিরাপত্তা স্তর যোগ করে। - user9274
@ ইউজার9২74 - এটি দুটি উপায়ে নিরাপত্তা সরবরাহ করে: 1) এটি বিশ্বের অভ্যন্তরীণ আইপি ঠিকানা লুকিয়ে রাখে (যা পিসিআই-ডিএসএস দাবি করে), এবং 2) এটি ইন্টারনেট থেকে স্থানীয় মেশিনে অতিরিক্ত "হপ"। কিন্তু সৎ হতে, প্রথমটি শুধুমাত্র "অস্পষ্টতার মাধ্যমে সুরক্ষা" যা নিরাপত্তা নয় এবং দ্বিতীয়ত একটি আপত্তিকর NAT ডিভাইসটি একটি আপসযুক্ত সার্ভারের মতোই বিপদজনক, তাই একবার আক্রমণকারীরা NAT এর পরে যা করতে পারে যাইহোক আপনার মেশিনে পেতে। - Mark Henderson♦
এ ছাড়া, এনএটি ব্যবহার করে অর্জিত কোনও সুরক্ষা ছিল আইপিভি 4 ঠিকানায় হ্রাস বন্ধের প্রচেষ্টায় একটি অপ্রত্যাশিত সুবিধা। এটা অবশ্যই নকশা লক্ষ্য অংশ এবং পার্সেল ছিল না, আমি সচেতন। - joeqwerty
পিসিআই-ডিএসএস মানগুলি অক্টোবর ২010 এর শেষ দিকে সংশোধন করা হয়েছে এবং এনএটি প্রয়োজনীয়তা মুছে ফেলা হয়েছে (v1.2 এর ধারা 1.3.8)। তাই তারা এমনকি সময়ের সঙ্গে ধরা হয়। - sysadmin1138♦
@ মার্ক, এটি উল্লেখযোগ্য কিনা তা নিশ্চিত না হলেও NAT64 স্থল বন্ধ হচ্ছে, কিন্তু এটি বেশিরভাগ লোকই মনে করে না। এটি আইপিভি 6 শুধুমাত্র ক্লায়েন্টদের সহযোগিতা ছাড়া আইপিভি 4 ইন্টারনেট অ্যাক্সেস করতে পারবেন; এটি DNS64 সমর্থন এটি কাজ করার জন্য প্রয়োজন। - Chris S


এনটিএর জন্য পিসিআই-ডিএসএসের প্রয়োজনীয়তা নিরাপত্তার থিয়েটার এবং প্রকৃত নিরাপত্তা নয় বলে সুপরিচিত।

সাম্প্রতিক পিসিআই-ডিএসএস এনএটিকে নিখুঁত প্রয়োজনে কল করতে সমর্থ করেছে। অনেক সংগঠন আইটিভি 4 সহ পিসিআই-ডিএসএস অডিটকে রাষ্ট্রীয় ফায়ারওয়ালগুলিকে "সমান নিরাপত্তা বাস্তবায়ন" হিসাবে দেখায় না।

সেখানে অন্যান্য নিরাপত্তা থিয়েটারের নথি রয়েছে যা NAT- র জন্য ডাকে, কিন্তু, কারণ এটি অডিট ট্রেলগুলি ধ্বংস করে এবং ঘটনা তদন্ত / নিঃসরণ আরো কঠিন করে তোলে, NAT (PAT সহ বা PAT ছাড়া) সম্পর্কে আরও গভীরভাবে গভীর নেটওয়ার্কে নির্ভুল সুরক্ষা হতে পারে।

একটি ভাল রাষ্ট্রীয় ফায়ারওয়াল NAT ছাড়া একটি আইপিভি 6 বিশ্বের NAT এর একটি অতিসাধ্য উচ্চতর সমাধান। আইপিভি 4-এ, এনএটি ঠিকানা সংরক্ষণের জন্য সহ্য করা একটি প্রয়োজনীয় মন্দ।


18
2018-01-26 17:45



NAT "অলস নিরাপত্তা"। এবং "অলস নিরাপত্তা" নিয়ে বিস্তারিত মনোযোগের অভাব রয়েছে, এবং সেই সুরক্ষাটির পরবর্তী ক্ষতি হ'ল যা উদ্দেশ্য ছিল। - Skaperen
সম্পূর্ণ একমত; যদিও বেশিরভাগ পিসিআই-ডিএসএস অডিট করা হয় (চেকলিস্ট সহ বানর দ্বারা অডিট) এটি সব অলস নিরাপত্তা, এবং যারা ত্রুটি বহন করে। - MadHatter
যারা দাবি করে যে, ন্যাট "সিকিউরিটি থিয়েটার", আমি কয়েক মাস আগে স্মারক দুর্বলতার উপর নেটওয়ার্কিং নেডারের নিবন্ধটি নির্দেশ করতে চাই। networkingnerd.net/2018/03/02/... তিনি একটি উজ্জ্বল আইপিভি 6 সমর্থক, এবং এনএটি হ্যাটার, কিন্তু নির্দেশ করতে হয়েছিল যে হাজার হাজার কোম্পানি তাদের মেমকাচেড সার্ভারগুলি ফায়ারওয়ালের নিয়মগুলির কারণে ইন্টারনেটে ব্যাপকভাবে খোলা রেখেছে "যেগুলি সাবধানে তৈরি করা হয়নি"। আপনার নেটওয়ার্কে আপনি যা যা অনুমোদন করেন তার বিষয়ে NAT আপনাকে স্পষ্ট হতে বাধ্য করে। - Kevin Keane


এটি (দুঃখজনকভাবে) আপনি একটি একক-স্ট্যাক IPv6-কেবলমাত্র নেটওয়ার্কের সাথে সরাতে পারেন এমন কিছুক্ষণ আগে। তারপরে, IPv6 এর জন্য পছন্দ অনুসারে দ্বৈত-স্ট্যাকটি চালানোর উপায়।

যদিও বেশিরভাগ ভোক্তা রাউটার আজকের স্টক ফার্মওয়্যারের সাথে আইপিভি 6 সমর্থন করে না, তেমনি অনেকেই তৃতীয় পক্ষের ফার্মওয়্যারগুলির সাথে এটি সমর্থন করতে পারে (উদাহরণস্বরূপ, DD-wrt সহ লিঙ্কস WRT54G)। এছাড়াও, অনেক ব্যবসায়িক-ক্লাসের ডিভাইস (সিস্কো, জুনিয়াইপার) IPv6 অফ দ্য-বক্স সমর্থন করে।

NAT এর অন্যান্য ফর্মগুলির সাথে এবং NAT- মুক্ত ফায়ারওয়ালিংয়ের সাথে PAT (অনেকগুলি থেকে এক NAT, ভোক্তাদের রাউটারগুলিতে সাধারণ হিসাবে) বিভ্রান্ত করা গুরুত্বপূর্ণ নয়; ইন্টারনেট একবার IPv6-এ হয়ে গেলে, ফায়ারওয়ালগুলি এখনও অভ্যন্তরীণ পরিষেবায় এক্সপোজার প্রতিরোধ করবে। একইভাবে, এক থেকে এক NAT সহ একটি আইপিভি 4 সিস্টেম স্বয়ংক্রিয়ভাবে সুরক্ষিত হয় না; যে একটি ফায়ারওয়াল নীতি কাজ।


11
2017-09-24 23:52





যদি আইটিভি 6 বিশ্বের মধ্যে এনএটি বেঁচে থাকে তবে এটি সম্ভবত 1: 1 NAT হতে পারে। IPv4 স্পেসে কোনও NAT দেখা যায় না। কি 1: 1 NAT কি? এটি একটি স্থানীয় ঠিকানাতে একটি বিশ্বব্যাপী ঠিকানা 1: 1 অনুবাদ। IPv4 সমতুল্য সমস্ত সংযোগ 1.1.1.2 থেকে শুধুমাত্র 10.1.1.2 তে অনুবাদ করা হবে এবং তাই সমগ্র 1.0.0.0/8 স্পেসের জন্য। IPv6 সংস্করণটি একটি বিশ্বব্যাপী ঠিকানাকে একটি অনন্য স্থানীয় ঠিকানাতে অনুবাদ করতে হবে।

আপনি যে কোনও পদের জন্য ম্যাপিংয়ের ঘন ঘন ঘন ঘন ঘন ঘন ঘন ঘন ঘন ঘন ঘন ঘন সুরক্ষা প্রদান করতে পারেন (যেমন অভ্যন্তরীণ অফিস ব্যবহারকারীরা ফেসবুক ব্রাউজ করছে)। অভ্যন্তরীণভাবে, আপনার ULA নম্বরগুলি একই রকম থাকবে যাতে আপনার বিভক্ত-দিগন্ত DNS কেবল সূক্ষ্ম কাজ চালিয়ে যেতে পারে তবে বাহ্যিক ক্লায়েন্টগুলি ভবিষ্যদ্বাণীযোগ্য পোর্টে কখনও থাকবে না।

কিন্তু প্রকৃতপক্ষে, এটি হতাশার জন্য এটি একটি ছোট পরিমাণে উন্নত সুরক্ষা। আইপিভি 6 সাবনেটগুলি স্ক্যান করা সত্যিই একটি বড় কাজ এবং এটি কোন উপায়ে আইপি ঠিকানাগুলি কীভাবে এই সাবনেটগুলিতে (এমএসি-প্রজন্মের পদ্ধতি? র্যান্ডম পদ্ধতি? মানব-পঠনযোগ্য ঠিকানাগুলির স্ট্যাটিক অ্যাসাইনমেন্ট) নির্ধারণ করা ছাড়া কোনও সংখ্যাগরিষ্ঠ নয়?

বেশিরভাগ ক্ষেত্রে, কী ঘটবে তা হল যে কর্পোরেট ফায়ারওয়ালের পিছনে থাকা ক্লায়েন্টগুলি বিশ্বব্যাপী ঠিকানা পাবে, সম্ভবত একটি ULA, এবং পেরিমিটার ফায়ারওয়াল সেটিকে যেসব ঠিকানাগুলিতে যেকোন ধরণের সমস্ত ইনকামিং সংযোগ অস্বীকার করতে সেট করবে। সমস্ত উদ্দেশ্য ও উদ্দেশ্যগুলির জন্য, সেই ঠিকানাগুলি বাইরে থেকে অ্যাক্সেসযোগ্য নয়। অভ্যন্তরীণ ক্লায়েন্ট একটি সংযোগ শুরু করার পরে, প্যাকেট যে সংযোগ বরাবর মাধ্যমে অনুমতি দেওয়া হবে। আইপি ঠিকানার সম্পূর্ণ ভিন্ন কিছু পরিবর্তন করার প্রয়োজন হ'ল একজন আক্রমণকারীকে সেবনেটে ২ ^ 64 সম্ভাব্য ঠিকানাগুলির মাধ্যমে থামাতে বাধ্য করা হয়।


9
2018-03-24 02:33



@ সিএসডামিন 1138: আমি এই সমাধান পছন্দ করি। যেহেতু আমি বর্তমানে আইপিভি 6 বুঝি, যদি আমার আইএসপি আমাকে 64/64 দেয় তবে আমি আমার মেশিনগুলিকে আইপিভি 6 ইন্টারনেট অ্যাক্সেসযোগ্য করতে চাই। কিন্তু যদি আমি সেই আইএসপি থেকে বিরক্ত হয়ে অন্য দিকে চলে যাই তবে এখন আমাকে পুরোপুরি পরিশ্রম করতে হবে। - Kumba
@ সিএসডামমিন 1138: তবে, আমি লক্ষ্য করেছি যে, আমি একাধিক আইপিআইকে আইপিভি 4 এর তুলনায় অনেক সহজে বরাদ্দ করতে পারি, তাই আমি বাইরের অ্যাক্সেসের জন্য আইএসপি-প্রদত্ত / 64 এবং আমার নিজের ব্যক্তিগত অভ্যন্তরীণ ULA স্কিমের জন্য ব্যবহার করতে পারি হোস্টের মধ্যে comms, এবং ULA ঠিকানাগুলি বাইরে থেকে অ্যাক্সেসযোগ্য করতে একটি ফায়ারওয়াল ব্যবহার করুন। আরো সেটআপ কাজ জড়িত, কিন্তু এটি সম্পূর্ণরূপে NAT এড়াতে হবে মনে হচ্ছে। - Kumba
@ সিএসডামমিন 1138: আমি এখনও আমার মাথা খোলামেলা কেন সব উদ্দেশ্য এবং উদ্দেশ্যগুলির জন্য, ULA কেন, এখনও তারা বিশ্বব্যাপী অনন্য হওয়ার আশা করা হচ্ছে। এটি এমন যে বলার অপেক্ষা রাখে না যে আমি যে কোনও তৈরি করা মডেল এবং মডেলটি বর্তমানে উপলব্ধ করতে পারি, তবে যে কোনও মডেল / মডেল / বছর ইতিমধ্যে অন্য কারো দ্বারা ব্যবহৃত হয় না, যদিও এটি আমার গাড়ি এবং আমি এটির একমাত্র ড্রাইভার হব। - Kumba
@ কাম্বা কারণ RFC 4193 টি ঠিকানা বিশ্বব্যাপী অনন্য হওয়া উচিত তা নিশ্চিত করার জন্য আপনাকে ভবিষ্যতে ভাড়া নিতে হবে না। সম্ভবত একদিন আপনি RFC 4193 ঠিকানাগুলি ব্যবহার করে দুটি নেটওয়ার্ক একত্রিত করতে পারেন, অথবা একটি মেশিন যা ইতিমধ্যে একটি RFC 4193 ঠিকানা থাকতে পারে সেটি এক বা একাধিক ভিপিএনগুলিতে সংযোগ করতে হবে, যার সাথে RFC 4193 ঠিকানা রয়েছে। - kasperd
@ কাম্বা যদি সবাই তাদের নেটওয়ার্কের প্রথম অংশে fd00 :: / 64 ব্যবহার করে তবে দুই অবশ্যই এই ধরনের নেটওয়ার্কগুলির সাথে যোগাযোগ করতে হলে আপনি অবশ্যই দ্বন্দ্ব চালাতে পারবেন। RFC 4193 এর বিন্দুটি হল যে যতক্ষণ আপনি আপনার 40 বিটগুলি এলোমেলোভাবে চয়ন করেন, ততক্ষণ আপনি অবশিষ্ট 80 টি বিট নির্দিষ্ট করতে পারেন তবে আপনি অনুগ্রহ করে নিশ্চিত হন যে আপনাকে পুনর্নির্মাণ করতে হবে না। - kasperd


আরএফসি 4864 আইপিভি 6 স্থানীয় নেটওয়ার্ক সুরক্ষা বর্ণনা করে, আইপিভি 6 এনভায়রনমেন্টে এনএটি এর অনুভূত সুবিধাগুলি প্রদানের জন্য পন্থাগুলির একটি সেট, প্রকৃতপক্ষে NAT- তে অবলম্বন ছাড়াই।

এই নথিতে অনেকগুলি কৌশল বর্ণনা করা হয়েছে যা তার নেটওয়ার্ক আর্কিটেকচারের অখণ্ডতা রক্ষার জন্য IPv6 সাইটে মিলিত হতে পারে। যৌথভাবে স্থানীয় নেটওয়ার্ক সুরক্ষা হিসাবে পরিচিত এই কৌশলগুলি, "ভিতরে" এবং "বাইরের" ব্যক্তিগত নেটওয়ার্কের মধ্যে একটি ভাল-সংজ্ঞায়িত সীমানা ধারণ করে এবং ফায়ারওয়ালিং, টপোলজি গোপন এবং গোপনীয়তা অনুমোদন করে। যাইহোক, যেহেতু তারা প্রয়োজন যেখানে ঠিকানা স্বচ্ছতা সংরক্ষণ, তারা ঠিকানা অনুবাদ অসুবিধা অসুবিধা ছাড়া এই লক্ষ্য অর্জন। এভাবে, আইপিভি 6-এ স্থানীয় নেটওয়ার্ক সুরক্ষা সংশ্লিষ্ট অসুবিধাগুলি ব্যতীত IPv4 নেটওয়ার্ক অ্যাড্রেস অনুবাদের সুবিধাগুলি সরবরাহ করতে পারে।

এটি প্রথমে এনএটি-এর অনুভূত সুবিধাগুলির (এবং যথোপযুক্ত সৃষ্টিকর্তাগুলিকে ডিবাঙ্ক করে) কী বলে তা বর্ণনা করে, তারপরে আইপিভি 6 এর বৈশিষ্ট্যগুলি বর্ণনা করে যা একই উপকারগুলি সরবরাহ করতে ব্যবহার করতে পারে। এটি বাস্তবায়ন নোট এবং কেস স্টাডিজ প্রদান করে।

এখানে পুনঃপ্রতিষ্ঠা করা খুব দীর্ঘ, তবে আলোচনা করা সুবিধাগুলি হল:

  • "ভিতরে" এবং "বাইরে" এর মধ্যে একটি সহজ গেটওয়ে
  • রাষ্ট্রীয় ফায়ারওয়াল
  • ব্যবহারকারী / অ্যাপ্লিকেশন ট্র্যাকিং
  • গোপনীয়তা এবং টোপোলজি গোপন
  • একটি ব্যক্তিগত নেটওয়ার্কের মধ্যে মোকাবেলার স্বাধীন নিয়ন্ত্রণ
  • Multihoming / renumbering

এইটি বেশিরভাগ পরিস্থিতিতেই এনটিএর চেয়ে সমস্ত পরিস্থিতিতে কভার করে এবং NAT ছাড়া আইপিভি 6 এ তাদের প্রয়োগের জন্য সমাধানগুলি সরবরাহ করে।

আপনি যে প্রযুক্তি ব্যবহার করবেন সেগুলি হল:

  • অনন্য স্থানীয় ঠিকানা: আপনার অভ্যন্তরীণ যোগাযোগগুলি অভ্যন্তরীণ যোগাযোগগুলি অভ্যন্তরীণ রাখতে এবং অভ্যন্তরীণ যোগাযোগগুলি অবিরত থাকতে পারে কিনা তা নিশ্চিত করতে আপনার অভ্যন্তরীণ নেটওয়ার্কে এটি পছন্দ করুন।
  • সংক্ষিপ্ত ঠিকানা জীবনকালের সাথে IPv6 গোপনীয়তা এক্সটেনশানগুলি এবং স্পষ্টভাবে গঠিত ইন্টারফেস সনাক্তকারীরা: এই সহায়তাগুলি ব্যক্তিগত হোস্ট এবং সাবনেট স্ক্যানিংয়ে আক্রমণ প্রতিরোধ করতে সহায়তা করে।
  • আইজিপি, মোবাইল আইপিভি 6 বা ভিএলএএনগুলি অভ্যন্তরীণ নেটওয়ার্কের টপোলজি লুকানোর জন্য ব্যবহার করা যেতে পারে।
  • ইউএলএর পাশাপাশি, আইএসপি থেকে ডিএইচসিপি-পিডি আইপিভি 4 এর তুলনায় পুনরাবৃত্তি / মাল্টিহোমিং সহজ করে তোলে।

(আরএফসি দেখুন সম্পূর্ণ বিবরণের জন্য; আবার, এটি পুনর্নবীকরণ বা এমনকি উল্লেখযোগ্য উদ্ধৃতি নিতে খুব দীর্ঘ।)

আইপিভি 6 ট্রানজিট নিরাপত্তা সম্পর্কে আরও সাধারণ আলোচনার জন্য দেখুন আরএফসি 4942


9
2018-05-13 18:37





এই বিষয় সম্পর্কে বিভ্রান্তির বিশাল পরিমাণ রয়েছে, কারণ নেটওয়ার্ক অ্যাডমিনিস্ট্রেটররা এক আলোতে NAT দেখতে পান এবং ছোট ব্যবসা এবং আবাসিক গ্রাহকরা একে অন্যকে দেখতে পান। আমাকে স্পষ্ট করা যাক।

স্ট্যাটিক এনএটি (কখনও কখনও এক-থেকে-এক NAT বলা হয়) প্রস্তাব একেবারে কোন সুরক্ষা আপনার ব্যক্তিগত নেটওয়ার্ক বা একটি পৃথক পিসি জন্য। সুরক্ষা আইপি ঠিকানা পরিবর্তন যতক্ষণ পর্যন্ত অর্থহীন হয়।

ডায়নামিক ওভারলোড হওয়া NAT / PAT যা বেশিরভাগ আবাসিক গেটওয়ে এবং ওয়াইফাই এপি এর সম্পূর্ণরূপে আপনার ব্যক্তিগত নেটওয়ার্ক এবং / অথবা আপনার পিসিকে সুরক্ষিত করতে সহায়তা করে। এই ডিভাইসগুলিতে NAT টেবিলটি ডিজাইন করে একটি স্টেট টেবিল। এটি আউটবাউন্ড অনুরোধগুলির ট্র্যাক রাখে এবং NAT টেবিলে তাদের মানচিত্র রাখে - নির্দিষ্ট সময় পরে সংযোগগুলি সময় শেষ হয়। NAT টেবিলের যা মিলছে তা মেলে না এমন কোনও অনাকাঙ্ক্ষিত ইনবাউন্ড ফ্রেমগুলি ডিফল্টভাবে বাদ দেওয়া হয় - NAT রাউটারটি ব্যক্তিগত নেটওয়ার্কে তাদের কোথায় পাঠাতে হয় তা জানে না তাই এটি তাদের ড্রপ করে। এই ভাবে, আপনি হ্যাক করা হচ্ছে এমন একমাত্র ডিভাইস যা হ্যাক করা আপনার রাউটার। যেহেতু বেশিরভাগ নিরাপত্তা শোষণ উইন্ডোজ ভিত্তিক - ইন্টারনেটের মতো একটি ডিভাইস থাকা এবং আপনার উইন্ডোজ পিসি সত্যিই আপনার নেটওয়ার্ক রক্ষা করতে সহায়তা করে। এটি মূল উদ্দেশ্যে নির্ধারিত ফাংশন হতে পারে না, যা জনসাধারণের আইপি এর উপর সংরক্ষণ করতে হয়েছিল, কিন্তু এটি কাজটি সম্পন্ন করে। বোনাস হিসাবে, এই ডিভাইসগুলিতে বেশীরভাগ ফায়ারওয়াল ক্ষমতা রয়েছে যা ডিফল্টভাবে ICMP অনুরোধগুলি ব্লক করে, যা নেটওয়ার্ককে রক্ষা করতেও সহায়তা করে।

উপরের তথ্যটি দেওয়া হলে, আইপিভি 6 এ যাওয়ার সময় NAT এর সাথে নিষ্পত্তি করা সম্ভাব্য হ্যাকিংয়ে লক্ষ লক্ষ ভোক্তা এবং ছোট ব্যবসা ডিভাইসগুলি প্রকাশ করতে পারে। এটি কর্পোরেট নেটওয়ার্কে কোনও প্রভাব ফেলবে না কারণ তারা পেশাগতভাবে তাদের প্রান্তে ফায়ারওয়াল পরিচালনা করেছে। কনজিউমার এবং ছোট ব্যবসা নেটওয়ার্কের সম্ভবত ইন্টারনেট এবং তাদের পিসির মধ্যে * নিক্স ভিত্তিক NAT রাউটার থাকতে পারে না। কোনও ব্যক্তি কোনও ফায়ারওয়ালের সমাধানটি কেবলমাত্র সমাধান করতে পারে না - সঠিকভাবে স্থাপন করা থাকলে আরো নিরাপদ, কিন্তু 99% ভোক্তাদের কীভাবে কাজ করতে হয় তা উপলব্ধি করার সুযোগও অতিক্রম করে। ডায়নামিক ওভারলোডেড এনএটি কেবলমাত্র এটি ব্যবহার করে সুরক্ষা একটি মডিকুম দেয় - আপনার আবাসিক রাউটারে প্লাগ করুন এবং আপনি সুরক্ষিত। সহজ।

যে বলেন, আইপিভি 4 ব্যবহার করা হয় ঠিক একই ভাবে NAT ব্যবহার করা যাবে না যে কোন কারণ নেই। আসলে, রাউটারটি একটি আইপিভি 6 অ্যাড্রেসটি WAN পোর্টে আইপিভি 4 প্রাইভেট নেটওয়ার্কে রয়েছে যার পিছনে এটি NAT এর উপরে রয়েছে (উদাহরণস্বরূপ)। এই ভোক্তা এবং আবাসিক মানুষের জন্য একটি সহজ সমাধান হবে। অন্য একটি বিকল্প হল সর্বজনীন IPv6 আইপি এর সাথে সমস্ত ডিভাইসগুলি স্থাপন করা --- ইন্টারমিডিয়েট ডিভাইসটি তখন L2 ডিভাইস হিসাবে কাজ করতে পারে তবে একটি স্টেট টেবিল, প্যাকেট পরিদর্শন এবং সম্পূর্ণরূপে ফায়ারওয়াল সরবরাহ করে। মূলত, কোন NAT, কিন্তু এখনও কোন অনাকাঙ্ক্ষিত অন্তর্মুখী ফ্রেম অবরোধ। মনে রাখা গুরুত্বপূর্ণ বিষয় হল যে আপনি আপনার পিসি সরাসরি কোনও মধ্যস্থ ডিভাইসের সাথে আপনার WAN সংযোগে প্লাগ করবেন না। অবশ্যই আপনি উইন্ডোজ ফায়ারওয়াল উপর নির্ভর করতে চান না। । । এবং যে একটি ভিন্ন আলোচনা। উইন্ডোজ ফায়ারওয়াল ব্যবহার করার পাশাপাশি প্রতিটি নেটওয়ার্ক এমনকি এমনকি হোম নেটওয়ার্কে স্থানীয় নেটওয়ার্কে সুরক্ষিত ডিভাইসের প্রয়োজন।

আইপিভি 6 তে কিছু ক্রমবর্ধমান যন্ত্রণা চলছে, তবে কোন সমস্যা নেই যা মোটামুটি সহজে সমাধান করা সম্ভব হবে না। আপনি আপনার পুরানো আইপিভি 4 রাউটার বা আবাসিক গেটওয়ে খনন করতে হবে? হয়তো, কিন্তু সময় আসে যখন সস্তা নতুন সমাধান উপলব্ধ করা হবে। আশা করি অনেক ডিভাইস শুধু একটি ফার্মওয়্যার ফ্ল্যাশ প্রয়োজন হবে। IPv6 বর্তমান স্থাপত্যের মধ্যে আরো নির্বিশেষে মাপসই করার জন্য ডিজাইন করা হয়েছে? অবশ্যই, কিন্তু এটি কি এবং এটি চলে যাচ্ছে না - তাই আপনি হয়তো এটি শিখতে পারেন, এটি শিখতে পারেন, ভালোবাসেন।


8
2018-06-09 14:38



এর মূল্য কত, আমি পুনর্ব্যক্ত করতে চাই যে বর্তমান আর্কিটেকচার মৌলিকভাবে ভাঙা (শেষ থেকে শেষ রুটিবিলিটি) এবং এটি জটিল নেটওয়ার্কগুলিতে বাস্তব সমস্যাগুলি তৈরি করে (অনাদায়ী NAT ডিভাইসগুলি অত্যন্ত জটিল এবং ব্যয়বহুল)। NAT হ্যাকটি হ্রাস করা জটিলতার এবং ব্যর্থতার সম্ভাব্য দিকগুলিকে কমিয়ে দেবে, যখন নিরাপত্তাটি সরল রাষ্ট্রীয় ফায়ারওয়াল দ্বারা রক্ষণাবেক্ষণ করা হবে (আমি ডিফল্টরূপে সক্রিয় ফায়ারওয়াল ছাড়াই আসছে একটি দ্বিতীয় SOHO রাউটারের জন্য কল্পনা করতে পারি না যাতে গ্রাহকরা প্লাগ-এন-খেলা ছাড়াই একটা চিন্তা). - Chris S
কখনও কখনও ভাঙ্গা শেষ টু রুটিলিটি আপনি ঠিক কি চান। আমি আমার প্রিন্টার এবং পিসি ইন্টারনেট থেকে রুট করতে সক্ষম হচ্ছে না চান। এনএটি একটি হ্যাক হিসাবে শুরু হলেও, এটি একটি খুব ব্যবহারযোগ্য হাতিয়ার হিসাবে বিকশিত হয়েছে, কিছু ক্ষেত্রে পকেটগুলির সম্ভাব্য একটি নোডে যাওয়ার পথে সম্ভাব্যতা সরিয়ে নিরাপত্তা সুরক্ষা উন্নত করতে পারে। যদি আমার কোনও পিসিতে স্থিরভাবে RFC1918 আইপি নির্ধারিত থাকে, তবে কোনও পরিস্থিতিতে আইপি ইন্টারনেটে রুটযোগ্য হতে পারে না। - Computerguy
ভাঙ্গা রুটিনযোগ্যতা হয় একটা খারাপ জিনিস। ইন্টারনেটের (ফায়ারওয়ালের মাধ্যমে) আপনার ডিভাইসগুলি অ্যাক্সেসযোগ্য হওয়ার জন্য আপনি যা চান তা একই জিনিস নয়। দেখ আপনি অভ্যন্তরীণভাবে আইপিভি 6 ব্যবহার করবেন কেন?। এছাড়াও, RFC1918 বলে যে এই ঠিকানাটি শুধুমাত্র ব্যক্তিগত নেটওয়ার্কে ব্যবহার করা উচিত এবং ইন্টারনেট অ্যাক্সেস শুধুমাত্র অ্যাপ্লিকেশন স্তর গেটওয়েগুলি সরবরাহ করা উচিত (যা NAT নয়)। বাহ্যিক সংযোগের জন্য হোস্টকে একটি আইএএনএ সমন্বিত সমন্বয় থেকে একটি ঠিকানা বরাদ্দ করা উচিত। হ্যাকগুলি, কোনও উপকারে আসে না, অপ্রয়োজনীয় আপোস করে এবং 'সঠিক' উপায় নয়। - Chris S