Le passage à IPv6 implique la suppression du NAT. Est-ce une bonne chose?


109

Ceci est une question canonique sur IPv6 et NAT

Apparenté, relié, connexe:

Ainsi, notre FAI a récemment mis en place IPv6, et j’ai étudié les conséquences de la transition avant de nous lancer dans la mêlée.

J'ai remarqué trois problèmes très importants:

  1. Le routeur NAT de notre bureau (un ancien Linksys BEFSR41) ne prend pas en charge IPv6. Ni plus aucun routeur plus récent, AFAICT. Le livre que je lis sur IPv6 me dit que cela rend le NAT "inutile" de toute façon.

  2. Si nous sommes supposés nous débarrasser de ce routeur et tout connecter directement à Internet, je commence à paniquer. Il est impossible que je mette notre base de données de facturation (avec beaucoup d'informations de cartes de crédit!) Sur Internet pour que tout le monde puisse la voir. Même si je proposais d'installer un pare-feu Windows pour ne permettre l'accès qu'à 6 adresses, je continue de transpirer. Je ne fais pas suffisamment confiance à Windows, au pare-feu de Windows ou au réseau pour être à l'aise avec cela à distance.

  3. Il existe quelques anciens périphériques matériels (c.-à-d. Des imprimantes) qui ne possèdent absolument aucune capacité IPv6. Et probablement une longue liste de problèmes de sécurité remontant aux alentours de 1998. Et probablement aucun moyen de les corriger de quelque manière que ce soit. Et pas de financement pour de nouvelles imprimantes.

J'entends dire qu'IPv6 et IPSEC sont censés sécuriser tout cela, mais sans réseaux physiquement séparés qui rendent ces périphériques invisibles pour Internet, je ne vois vraiment pas comment. De même, je peux vraiment voir comment les défenses que je crée seront rapidement dépassées. Cela fait des années que je fais fonctionner des serveurs sur Internet et je connais bien le genre de choses nécessaires pour les sécuriser, mais mettre quelque chose de privé sur le réseau, comme notre base de données de facturation, a toujours été complètement exclu.

Avec quoi devrais-je remplacer NAT, si nous n'avons pas de réseaux physiquement séparés?


9
Pouvez-vous essayer de demander à nouveau cela? À l'heure actuelle, cela semble être assez argumentatif.
Zoredache

9
Les choses qui vous choquent n'existent pas. Peut-être devriez-vous reformater votre question de manière à décrire les choses que vous croyez être des faits et nous demander de les confirmer. Au lieu de vous plaindre de choses que vous avez supposées marcher, cela fonctionnera d'une certaine manière.
Zoredache

25
En outre, vous stockez des informations de carte de crédit? Et vous avez autant de questions sur la sécurité? Avez-vous déjà passé un audit PCI? Ou rompez-vous votre contrat en enregistrant les détails de votre carte de crédit? Vous voudrez peut-être examiner la question après la hâte.
mfinni

4
En toute bonne conscience, je ne peux pas voter en bas ou voter pour fermer cette question, que ce soit parce que l'affiche est mal informée (c'est sûrement la moitié du but du site). Certes, le PO se déroule sur une grosse tangente basée sur une fausse hypothèse, et la question pourrait se résoudre avec une réécriture.
Chris Thorpe

3
"Plus de NAT" est définitivement l'un des objectifs d'IPv6. Bien qu’à l’heure actuelle, il semble (du moins ici) que l’intérêt d’offrir IPv6 n’est pas vraiment grand, sauf dans les centres de données (car des paquets plus volumineux signifient plus de bande passante, et plus de bande passante signifie plus d’argent pour eux!). Pour DSL, c’est l’inverse, cependant, à peu près tout le monde a le forfait, donc IPv6 signifie seulement plus de problèmes et plus de coûts pour les fournisseurs.
dm.skt

Réponses:


185

Tout d’abord, il n’ya rien à craindre d’être sur une allocation IP publique, tant que vos périphériques de sécurité sont configurés correctement.

Avec quoi devrais-je remplacer NAT, si nous n'avons pas de réseaux physiquement séparés?

La même chose que nous séparons physiquement depuis les années 1980, les routeurs et les pare-feu. Le seul avantage important que vous obtenez avec la sécurité avec NAT est que cela vous oblige à une configuration de refus par défaut. Pour obtenir un service, vous devez explicitement percer des trous. Les périphériques les plus sophistiqués vous permettent même d’appliquer des ACL basées sur IP à ces trous, comme un pare-feu. Probablement parce qu'ils ont «Firewall» sur la boîte, en fait.

Un pare-feu correctement configuré fournit exactement le même service qu'une passerelle NAT. Les passerelles NAT sont fréquemment utilisées car elles sont plus faciles à intégrer à une configuration sécurisée que la plupart des pare-feu.

J'ai entendu dire qu'IPv6 et IPSEC sont censés sécuriser tout cela d'une manière ou d'une autre, mais sans réseaux physiquement séparés qui rendent ces périphériques invisibles pour Internet, je ne vois vraiment pas comment.

Ceci est une idée fausse. Je travaille pour une université disposant d'une allocation / 16 IPv4, et la grande majorité de notre consommation d'adresses IP se fait sur cette allocation publique. Certainement tous nos postes de travail et imprimantes pour utilisateurs finaux. Notre consommation de RFC1918 est limitée aux périphériques réseau et à certains serveurs spécifiques où de telles adresses sont requises. Je ne serais pas surpris si vous frissonniez tout à l'heure, car je l'ai certainement fait lorsque je suis arrivé le premier jour et que j'ai vu le post-it sur mon moniteur avec mon adresse IP.

Et pourtant, nous survivons. Pourquoi? Parce que nous avons un pare-feu extérieur configuré pour le refus par défaut avec un débit ICMP limité. Le fait que 140.160.123.45 soit théoriquement routable ne signifie pas que vous pouvez vous y rendre où que vous soyez sur Internet. C'est ce que les pare-feu ont été conçus pour faire.

Avec les bonnes configurations de routeur, différents sous-réseaux de notre allocation peuvent être complètement inaccessibles les uns aux autres. Vous pouvez le faire dans des tables de routeur ou des pare-feu. Il s’agit d’un réseau séparé qui a déjà satisfait nos auditeurs de la sécurité.

Il est impossible que je mette notre base de données de facturation (avec beaucoup d'informations de cartes de crédit!) Sur Internet pour que tout le monde puisse la voir.

Notre base de données de facturation se trouve sur une adresse IPv4 publique et dure depuis toute son existence, mais nous avons la preuve que vous ne pouvez pas y accéder à partir de maintenant. Ce n’est pas parce qu’une adresse figure sur la liste routable publique v4 que son adresse sera garantie. Les deux pare-feu entre les maux d’Internet et les ports de base de données réels filtrent le mal. Même de mon bureau, derrière le premier pare-feu, je ne peux pas accéder à cette base de données.

Les informations de carte de crédit constituent un cas particulier. Cela est soumis aux normes PCI-DSS, et ces normes stipulent directement que les serveurs contenant de telles données doivent se trouver derrière une passerelle NAT 1 . Les nôtres sont, et ces trois serveurs représentent notre utilisation totale d’adresses RFC1918 par nos serveurs. Cela n'apporte aucune sécurité, mais une couche de complexité, mais nous devons cocher cette case pour les audits.


L'idée originale "IPv6 fait du NAT une chose du passé" a été avancée avant que le boom d'Internet ne frappe vraiment le grand public. En 1995, NAT était une solution de contournement pour contourner une petite allocation d’IP. En 2005, il figurait dans de nombreux documents relatifs aux meilleures pratiques de sécurité et dans au moins une norme importante (la norme PCI-DSS, en particulier). Le seul avantage concret que procure le NAT est qu’une entité externe effectuant une reconnaissance sur le réseau ne sait pas à quoi ressemble le paysage IP derrière le périphérique NAT (bien que, grâce à RFC1918, ils aient une bonne idée), et sur IPv4 sans NAT (tel que comme mon travail) ce n'est pas le cas. C'est un petit pas dans la défense en profondeur, pas un grand.

Les adresses de remplacement pour RFC1918 sont appelées adresses uniques locales. À l'instar de la RFC1918, ils n'acheminent pas à moins que leurs pairs acceptent expressément de les laisser acheminer. Contrairement à la RFC1918, ils sont (probablement) uniques au monde. Les traducteurs d'adresses IPv6 qui traduisent une ULA en une adresse IP globale existent dans les engrenages périphériques les plus élevés, mais pas encore dans les engrenages SOHO.

Vous pouvez très bien survivre avec une adresse IP publique. Gardez simplement à l'esprit que "public" ne garantit pas "accessible", et tout ira bien pour vous.


Mise à jour 2017

Ces derniers mois, Amazon a ajouté la prise en charge IPv6. Il vient juste d’être ajouté à leur offre , et sa mise en œuvre donne quelques indices sur la manière dont on s'attend à ce que des déploiements à grande échelle soient effectués.

  • Vous recevez une allocation / 56 (256 sous-réseaux).
  • L'allocation est un sous-réseau entièrement routable.
  • Vous êtes censé définir des règles de pare-feu ( ) suffisamment restrictives.
  • Il n'y a pas de NAT, il n'est même pas offert, de sorte que tout le trafic sortant proviendra de l'adresse IP réelle de l'instance.

Pour ajouter l’un des avantages de la sécurité du NAT à l’arrière, ils proposent désormais une passerelle Internet de sortie uniquement . Cela offre un avantage semblable à NAT:

  • Les sous-réseaux situés derrière ne sont pas directement accessibles depuis Internet.

Ce qui fournit une couche de défense en profondeur, au cas où une règle de pare-feu mal configurée autorise accidentellement le trafic entrant.

Cette offre ne traduit pas l'adresse interne en une adresse unique comme le fait NAT. Le trafic sortant aura toujours l'IP source de l'instance qui a ouvert la connexion. Les exploitants de pare-feu qui cherchent à ajouter des ressources à la liste blanche dans le VPC seront plus efficaces que les adresses réseau, plutôt que les adresses IP spécifiques.

Routable ne signifie pas toujours accessible .


1 : Les normes PCI-DSS ont été modifiées en octobre 2010, la déclaration demandant des adresses RFC1918 a été supprimée et "l'isolation du réseau" l'a remplacée.


1
J'ai marqué ceci comme étant accepté parce que c'est la réponse la plus complète. Je suppose que depuis chaque lecture de configuration de pare-feu (depuis environ 1997, lorsque j'ai commencé sur le terrain, et cela inclut la construction manuelle de pare-feu FreeBSD), j'ai insisté sur l'utilisation de la RFC1918, que cela n'avait pas vraiment de sens. tome. Bien sûr, en tant que fournisseur d’accès Internet, nous allons avoir des problèmes avec les utilisateurs finaux et leurs routeurs peu coûteux lorsque nous manquons d’adresses IPv4, et cela ne disparaîtra pas de si tôt.
Ernie

"Les traducteurs d'adresses IPv6 qui traduisent un ULA en IP global existent dans les engrenages périphériques, mais pas encore dans les SOHO." Après avoir résisté pendant de nombreuses années, Linux a pris en charge cette fonctionnalité dans la version 3.9.0.
Peter Green

2
J'ai une question à propos de "Les passerelles NAT sont fréquemment utilisées car elles sont plus faciles à intégrer à une configuration sécurisée que la plupart des pare-feu". Pour les entreprises avec du personnel informatique pro ou pour des consommateurs avertis, ce n'est pas grave, mais pour le consommateur général / naïf des petites entreprises, quelque chose qui ne soit pas facile ne représente-t-il pas un risque énorme pour la sécurité? Par exemple, des décennies de réseaux wifi "linksys" sans mot de passe existaient car ne pas configurer la sécurité était "plus facile" que la configurer. Avec une maison pleine d'appareils compatibles IoT au niveau du consommateur, je ne vois pas ma mère configurer correctement un pare-feu IPv6. Pensez-vous que cela pose un problème?
Jason C

6
@JasonC Non, car le matériel grand public déjà expédié est expédié avec des pare-feu préconfigurés par le fournisseur de services Internet pour interdire tous les appels entrants. Ou n'avez pas de support v6. Le défi, ce sont les puissants utilisateurs qui pensent savoir ce qu’ils font, mais qui ne le savent pas.
sysadmin1138

1
Une excellente réponse dans l’ensemble, mais j’ai voté contre, car il s’agissait à peine du gros éléphant dans la pièce: configurer correctement le dispositif de sécurité est quelque chose que vous ne pouvez pas prendre pour acquis.
Kevin Keane

57

Le routeur NAT de notre bureau (un ancien Linksys BEFSR41) ne prend pas en charge IPv6. Aucun routeur plus récent non plus

IPv6 est pris en charge par de nombreux routeurs. Juste pas beaucoup de ceux bon marché destinés aux consommateurs et SOHO. Dans le pire des cas, utilisez simplement une machine Linux ou re-flashez votre routeur avec dd-wrt ou quelque chose pour obtenir le support IPv6. Il y a beaucoup d'options, vous devez probablement regarder plus fort.

Si nous sommes supposés simplement nous débarrasser de ce routeur et tout connecter directement à Internet,

Rien dans la transition vers IPv6 ne suggère de vous débarrasser des périphériques de sécurité périmétrique, tels que votre routeur / pare-feu. Les routeurs et les pare-feu resteront un composant indispensable de presque tous les réseaux.

Tous les routeurs NAT agissent efficacement comme un pare-feu avec état. Il n’ya rien de magique dans l’utilisation des adresses RFC1918 qui vous protègent tout autant. C'est le moment critique qui fait le travail difficile. Un pare-feu correctement configuré vous protégera tout aussi bien si vous utilisez des adresses réelles ou privées.

La seule protection que vous obtenez des adresses RFC1918 est de permettre aux gens d’éviter les erreurs / la paresse dans la configuration de leur pare-feu et de ne pas rester vulnérables.

Il existe quelques anciens périphériques matériels (c.-à-d. Des imprimantes) qui ne possèdent absolument aucune capacité IPv6.

Alors? Il est peu probable que vous deviez le rendre disponible sur Internet et sur votre réseau interne, vous pouvez continuer à exécuter IPv4 et IPv6 jusqu'à ce que tous vos périphériques soient pris en charge ou remplacés.

Si plusieurs protocoles ne sont pas une option, vous devrez peut-être configurer une sorte de passerelle / proxy.

IPSEC est censé sécuriser tout cela

IPSEC crypté et authentifie les paquets. Cela n'a rien à voir avec la suppression de votre appareil à la frontière et protège davantage les données en transit.


2
Droit à bien des égards.
sysadmin1138

3
Exactement, obtenez un vrai routeur et vous n'aurez pas à vous inquiéter. SonicWall dispose d'excellentes options pour fournir la sécurité dont vous avez besoin et supportera IPv6 sans problème. Cette option offrira probablement une sécurité et des performances supérieures à celles que vous avez actuellement. ( news.sonicwall.com/index.php?s=43&item=1022 ) Comme vous pouvez le voir dans cet article, vous pouvez également effectuer la traduction d'ipv4 en ipv6 avec des périphériques Sonicwall pour ceux qui ne peuvent pas gérer ipv6.
MaQleod

34

Oui. NAT est mort. Il y a eu quelques tentatives pour ratifier les normes pour NAT sur IPv6 mais aucune d'entre elles n'a été lancée.

Cela a en fait posé problème aux fournisseurs qui tentent de respecter les normes PCI-DSS, car la norme stipule en réalité que vous devez vous trouver derrière un NAT.

Pour moi, c'est l'une des plus merveilleuses nouvelles que j'ai jamais entendues. Je déteste les NAT et je déteste encore plus les NAT de classe opérateur.

Le NAT n’a jamais été conçu que comme une solution de pansement pour nous permettre d’obtenir jusqu’à ce que IPv6 devienne la norme, mais il s’est enraciné dans la société Internet.

Pour la période de transition, vous devez vous rappeler que IPv4 et IPv6 sont, à part un nom similaire, totalement différents 1 . Donc, les périphériques qui sont Dual-Stack, votre IPv4 sera NATted et votre IPv6 ne sera pas. C'est presque comme si vous aviez deux appareils totalement séparés, juste emballés dans un seul morceau de plastique.

Alors, comment fonctionne l'accès Internet IPv6? Eh bien, la façon dont Internet fonctionnait avant l’invention du NAT. Votre FAI vous attribuera une plage IP (identique à celle qu’ils ont maintenant, mais ils vous attribuent généralement un / 32, ce qui signifie que vous n’obtenez qu’une seule adresse IP), mais votre plage contiendra désormais des millions d’adresses IP disponibles. Vous êtes libre de renseigner ces adresses IP à votre choix (avec configuration automatique ou DHCPv6). Chacune de ces adresses IP sera visible de tout autre ordinateur sur Internet.

Ça fait peur, non? Votre contrôleur de domaine, votre ordinateur multimédia personnel et votre iPhone avec votre cachette cachée de pornographie seront tous accessibles depuis Internet?! Et bien non. C'est à quoi sert un pare-feu. Une autre grande caractéristique d'IPv6 est qu'il oblige les pare-feu d'une approche "Autoriser tout" (comme le sont la plupart des périphériques domestiques) à une approche "Tout refuser", dans laquelle vous ouvrez des services pour des adresses IP particulières. 99,999% des utilisateurs à domicile seront heureux de conserver leur pare-feu par défaut et totalement verrouillé, ce qui signifie qu'aucun trafic non sollicité ne sera autorisé.

1 Ok, il y a bien plus que cela, mais ils ne sont en aucun cas compatibles les uns avec les autres, même s'ils permettent tous deux que les mêmes protocoles s'exécutent par dessus


1
Qu'en est-il de toutes les personnes qui affirment qu'avoir des ordinateurs derrière NAT fournit une sécurité supplémentaire? J'entends beaucoup cela de la part d'autres administrateurs informatiques. Peu importe que vous disiez qu'un pare-feu adéquat est tout ce dont vous avez besoin, car beaucoup de ces personnes pensent que le NAT ajoute une couche de sécurité.
user9274

3
@ user9274 - il fournit la sécurité de deux manières: 1) il masque votre adresse IP interne du monde (c'est pourquoi le PCI-DSS l'exige), et 2) c'est un "saut" supplémentaire d'Internet vers la machine locale. Mais pour être honnête, le premier est simplement "la sécurité par l'obscurité" qui n'est pas du tout une sécurité. Quant à la seconde, un périphérique NAT compromis est aussi dangereux qu'un serveur compromis. Ainsi, une fois que les attaquants ont dépassé le NAT, entrez dans votre machine quand même.
Mark Henderson

En outre, toute sécurité obtenue grâce à l’utilisation de la technologie NAT constituait un avantage inattendu dans l’effort d’empêcher l’épuisement des adresses IPv4. Ce n'était certainement pas une partie intégrante de l'objectif de conception, que je sache.
joeqwerty

7
Les normes PCI-DSS ont été modifiées à la fin octobre 2010 et l'exigence NAT a été supprimée (section 1.3.8 de la v1.2). Donc, même ils sont en train de rattraper le temps.
sysadmin1138

2
@Mark, je ne suis pas sûr que cela mérite d'être mentionné, mais NAT64 est en train de démarrer, mais ce n'est pas le NAT auquel la plupart des gens pensent. Il permet aux réseaux IPv6 uniquement d'accéder à Internet IPv4 sans «coopération» client. DNS64 est nécessaire pour que cela fonctionne.
Chris S

18

L’exigence PCI-DSS pour NAT est bien connue pour être un théâtre de sécurité et non une sécurité réelle.

La dernière norme PCI-DSS s’est abstenue d’appeler le NAT, ce qui était une nécessité absolue. De nombreuses organisations ont passé avec succès les audits PCI-DSS avec IPv4 sans NAT, présentant des pare-feu dynamiques comme «implémentations de sécurité équivalentes».

Il existe d’autres documents sur la sécurité qui réclament le NAT, mais comme il détruit les pistes de vérification et rend plus difficile la recherche et l’atténuation des incidents, une étude plus approfondie du NAT (avec ou sans PAT) devient un négatif net pour la sécurité.

Un bon pare-feu dynamique sans NAT est une solution nettement supérieure au NAT dans un monde IPv6. Dans IPv4, la traduction d'adresses réseau est un mal nécessaire à tolérer pour préserver les adresses.


2
Le NAT est une "sécurité paresseuse". Et avec "la sécurité paresseuse" vient le manque d'attention portée aux détails, et la perte de sécurité qui en a résulté.
Skaperen

1
Complètement d'accord; mais la façon dont la plupart des audits PCI-DSS sont effectuées (vérification par singe avec check - list) , il est tout sécurité paresseux, et porte ces défauts.
MadHatter

Pour ceux qui prétendent que le NAT est un «théâtre de la sécurité», je voudrais mentionner l'article de The Networking Nerd sur la vulnérabilité Memcached, publié il y a quelques mois. networkingnerd.net/2018/03/02/… Il est un fervent partisan d'IPv6 et un ennemi de NAT, mais il a dû souligner que des milliers d'entreprises avaient laissé leurs serveurs memcached largement ouverts sur Internet en raison de règles de pare-feu fabriqué avec soin ". Le NAT vous oblige à être explicite sur ce que vous autorisez dans votre réseau.
Kevin Keane

12

Malheureusement, il faudra un certain temps avant de pouvoir vous échapper avec un réseau à pile unique IPv6. Jusque-là, la méthode d'exécution consiste à utiliser une double pile avec une préférence pour IPv6, le cas échéant.

Bien que la plupart des routeurs grand public ne prennent pas en charge IPv6 avec le microprogramme standard à l'heure actuelle, beaucoup peuvent le prendre en charge avec des firmwares tiers (par exemple, Linksys WRT54G avec dd-wrt, etc.). De plus, de nombreux périphériques professionnels (Cisco, Juniper) prennent en charge IPv6 prêt à l'emploi.

Il est important de ne pas confondre PAT (NAT plusieurs-à-un, comme c'est souvent le cas sur les routeurs consommateurs) avec d'autres formes de NAT et avec un pare-feu sans NAT; Une fois qu'Internet devient IPv6 uniquement, les pare-feu empêchent toujours l'exposition des services internes. De même, un système IPv4 avec NAT un à un n'est pas automatiquement protégé; c'est le travail d'une politique de pare-feu.


11

Il y a énormément de confusion à ce sujet, car les administrateurs réseau voient le NAT sous un jour, et les clients des petites entreprises et des particuliers le voient sous un autre angle. Laissez-moi clarifier.

Le NAT statique (parfois appelé NAT un à un) n'offre aucune protection pour votre réseau privé ou un PC individuel. Changer l'adresse IP n'a pas de sens en ce qui concerne la protection.

NAT / PAT dynamique surchargé, comme le font la plupart des passerelles résidentielles et des points d'accès wifi, aide de manière absolue à protéger votre réseau privé et / ou votre PC. De par sa conception, la table NAT de ces périphériques est une table d'états. Il garde une trace des demandes sortantes et les mappe dans la table NAT - les connexions expirent après un certain temps. Tous les cadres entrants non sollicités qui ne correspondent pas à ce qui est dans la table NAT sont supprimés par défaut - le routeur NAT ne sait pas où les envoyer dans le réseau privé, il les supprime donc. De cette manière, votre routeur est le seul appareil que vous laissez vulnérable. Comme la plupart des exploits de sécurité sont basés sur Windows - le fait d’avoir un tel périphérique entre Internet et votre PC Windows aide réellement à protéger votre réseau. Ce ne peut pas être la fonction prévue à l'origine, qui était d'économiser sur l'IP publique, mais il fait le travail. En prime, la plupart de ces périphériques disposent également de fonctions de pare-feu qui bloquent souvent les demandes ICMP par défaut, ce qui permet également de protéger le réseau.

Compte tenu des informations ci-dessus, l'élimination avec NAT lors du passage à IPv6 pourrait exposer des millions de périphériques grand public et de petites entreprises à un piratage potentiel. Cela aura peu ou pas d'incidence sur les réseaux d'entreprise, car ils disposent de pare-feu gérés de manière professionnelle. Les réseaux grand public et des petites entreprises peuvent ne plus avoir de routeur NAT basé sur * nix entre Internet et leur PC. Il n'y a aucune raison pour qu'une personne ne puisse pas passer à une solution uniquement avec un pare-feu - beaucoup plus sûre si elle est déployée correctement, mais aussi au-delà de ce que 99% des consommateurs comprennent comment faire. Le NAT dynamique surchargé offre un minimum de protection simplement en l'utilisant: branchez votre routeur résidentiel et vous êtes protégé. Facile.

Cela dit, il n'y a aucune raison pour que le NAT ne puisse pas être utilisé exactement de la même manière que dans IPv4. En fait, un routeur pourrait être conçu pour avoir une adresse IPv6 sur le port WAN avec un réseau privé IPv4 derrière lui, ainsi que le NAT sur celui-ci (par exemple). Ce serait une solution simple pour les consommateurs et les résidents. Une autre option consiste à placer tous les périphériques avec des adresses IP publiques IPv6: le périphérique intermédiaire pourrait alors faire office de périphérique L2, mais fournir une table d'états, une inspection des paquets et un pare-feu pleinement opérationnel. Essentiellement, pas de NAT, mais bloquant toujours les images entrantes non sollicitées. La chose importante à retenir est que vous ne devez pas brancher votre PC directement sur votre connexion WAN sans périphérique intermédiaire. À moins bien sûr que vous souhaitiez utiliser le pare-feu Windows. . . et c'est une discussion différente.

Il y aura des difficultés de croissance pour passer à IPv6, mais il n’ya pas de problème qui ne puisse pas être résolu assez facilement. Devrez-vous abandonner votre ancien routeur IPv4 ou votre passerelle résidentielle? Peut-être, mais il y aura de nouvelles solutions peu coûteuses disponibles le moment venu. Espérons que de nombreux appareils n’auront besoin que d’un micrologiciel flash. IPv6 pourrait-il être conçu pour s’intégrer de manière plus transparente dans l’architecture actuelle? Bien sûr, mais c'est ce que c'est et ça ne va pas disparaître - Alors, autant le savoir, le vivre, l'aimer.


3
Pour ce qui en vaut la peine, j'aimerais rappeler que l'architecture actuelle est fondamentalement défaillante (routabilité de bout en bout) et que cela crée des problèmes pratiques dans les réseaux complexes (les périphériques NAT redondants sont trop complexes et coûteux). Abandonner le hack NAT réduira la complexité et les points de défaillance potentiels, alors que la sécurité est maintenue par de simples pare-feu à états (je ne peux pas imaginer un routeur SOHO sans le pare-feu à état activé par défaut afin que les clients puissent se connecter sans jouer. une pensée).
Chris S

Parfois, une routabilité totale de bout en bout est exactement ce que vous voulez. Je ne veux pas que mes imprimantes et mes ordinateurs puissent être routés depuis Internet. Bien que le NAT ait commencé comme un piratage, il est devenu un outil très utilisable, qui peut dans certains cas améliorer la sécurité en supprimant le risque que les paquets soient directement acheminés vers un nœud. Si une adresse IP RFC1918 est attribuée de manière statique sur un PC, cette adresse IP ne sera en aucun cas routable sur Internet.
Ordinateur

6
La routabilité brisée est une mauvaise chose ™ . Ce que vous voulez, c'est que vos appareils soient inaccessibles par Internet (par un pare-feu), ce n'est pas la même chose. Voir Pourquoi utiliseriez-vous IPv6 en interne? . En outre, la RFC1918 stipule que ces adresses ne doivent être utilisées que pour des réseaux privés et que l'accès à Internet ne doit être fourni que par des passerelles de couche application (ce que NAT n'est pas). Pour les connexions externes, l'hôte doit se voir attribuer une adresse provenant d'une allocation coordonnée par l'IANA. Les bidouilles, aussi utiles soient-elles, font des compromis inutiles et ne sont pas la «bonne» façon.
Chris S

10

Si le NAT survit dans le monde IPv6, il s'agira probablement d'un NAT 1: 1. Une forme un NAT jamais vu dans l'espace IPv4. Qu'est-ce qu'un NAT 1: 1? C'est une traduction 1: 1 d'une adresse globale en une adresse locale. L'équivalent IPv4 traduirait toutes les connexions en 1.1.1.2 uniquement en 10.1.1.2, et ainsi de suite, pour tout l'espace 1.0.0.0/8. La version IPv6 consisterait à traduire une adresse globale en une adresse locale unique.

Une sécurité accrue peut être fournie en faisant fréquemment pivoter le mappage pour les adresses qui ne vous intéressent pas (comme les utilisateurs de bureau internes parcourant Facebook). En interne, vos numéros ULA resteraient identiques, de sorte que votre DNS à horizon partagé continuerait à fonctionner correctement, mais en externe, les clients ne seraient jamais sur un port prévisible.

Mais, en réalité, il ne s’agit que d’une petite amélioration de la sécurité. L'analyse des sous-réseaux IPv6 est une tâche très lourde et irréalisable sans une reconfiguration de la manière dont les adresses IP sont attribuées sur ces sous-réseaux (méthode de génération MAC? Méthode aléatoire? Affectation statique d'adresses lisibles par l'homme?).

Dans la plupart des cas, les clients situés derrière le pare-feu de l'entreprise obtiendront une adresse globale, peut-être un ULA, et le pare-feu de périmètre sera configuré pour interdire toutes les connexions entrantes de toutes sortes à ces adresses. À toutes fins utiles, ces adresses sont inaccessibles de l'extérieur. Une fois que le client interne établit une connexion, les paquets sont autorisés à traverser cette connexion. La nécessité de changer l’adresse IP en quelque chose de complètement différent est gérée en forçant un attaquant à parcourir 2 ^ 64 adresses possibles sur ce sous-réseau.


@ sysadmin1138: j'aime cette solution. Si je comprends actuellement IPv6, si mon fournisseur de services Internet me donne un / 64, je suis censé l’utiliser sur l’ensemble du réseau si je veux que mes machines soient accessibles via Internet IPv6. Mais si j'en ai marre de ce fournisseur de services Internet et que je passe à un autre, je dois maintenant tout renuméroter.
Kumba

1
@ sysadmin1138: Cela dit, j'ai toutefois remarqué que je pouvais attribuer plusieurs adresses IP à une seule interface beaucoup plus facilement qu'avec IPv4. Je peux donc prévoir l'utilisation du fournisseur d'accès Internet / 64 pour l'accès externe et de mon propre système ULA interne privé pour communiquez entre les hôtes et utilisez un pare-feu pour rendre les adresses ULA inaccessibles de l'extérieur. Plus de travail d'installation est nécessaire, mais il semble que cela évitera complètement le NAT.
Kumba

@ sysadmin1138: Je me demande quand même pourquoi ULA est, à toutes fins pratiques, privée, mais on s'attend à ce qu'elle soit toujours unique au monde. C'est comme dire que je peux avoir une voiture de n'importe quelle marque et modèle actuellement disponible, mais pas une marque / modèle / année déjà utilisée par quelqu'un d'autre, même si c'est ma voiture et que je serai le seul pilote qu'elle aura jamais.
Kumba

2
@Kumba La raison pour laquelle les adresses RFC 4193 doivent être globalement uniques est pour vous assurer de ne pas devoir renuméroter à l'avenir. Un jour, vous devrez peut-être fusionner deux réseaux utilisant des adresses RFC 4193, ou un ordinateur qui pourrait déjà avoir une adresse RFC 4193 devra peut-être se connecter à un ou plusieurs VPN, qui possèdent également des adresses RFC 4193.
Kasperd

1
@Kumba Si tout le monde utilisait fd00 :: / 64 pour le premier segment de son réseau, vous seriez certainement confronté à un conflit dès qu'une paire de deux de ces réseaux devait communiquer. Le point important de la RFC 4193 est que tant que vous choisissez vos 40 bits de manière aléatoire, vous pouvez attribuer les 80 bits restants comme bon vous semble et rester confiant, vous ne serez pas obligé de renuméroter.
Kasperd

9

La RFC 4864 décrit la protection de réseau local IPv6 , un ensemble d’approches permettant de tirer parti des avantages perçus du NAT dans un environnement IPv6, sans avoir à recourir au NAT.

Ce document décrit un certain nombre de techniques pouvant être combinées sur un site IPv6 afin de protéger l’intégrité de son architecture réseau. Ces techniques, appelées collectivement protection de réseau local, conservent le concept d'une frontière bien définie entre le réseau "intérieur" et "extérieur" du réseau privé et autorisent le pare-feu, le masquage de topologie et la confidentialité. Cependant, comme ils préservent la transparence d'adresse là où c'est nécessaire, ils atteignent ces objectifs sans l'inconvénient de la traduction d'adresse. Ainsi, la protection de réseau local dans IPv6 peut fournir les avantages de la traduction d'adresses réseau IPv4 sans les inconvénients correspondants.

Il expose d'abord quels sont les avantages perçus de la traduction d'adresses réseau (et les désamorce le cas échéant), puis décrit les fonctionnalités d'IPv6 qui peuvent être utilisées pour offrir ces mêmes avantages. Il fournit également des notes de mise en œuvre et des études de cas.

Bien qu'il soit trop long de réimprimer ici, les avantages discutés sont les suivants:

  • Une simple passerelle entre "dedans" et "dehors"
  • Le pare-feu avec état
  • Suivi utilisateur / application
  • Confidentialité et masquage de topologie
  • Contrôle indépendant de l'adressage dans un réseau privé
  • Multihébergement / renumérotation

Cela couvre à peu près tous les scénarios dans lesquels on aurait pu vouloir NAT et offre des solutions pour les implémenter en IPv6 sans NAT.

Certaines des technologies que vous utiliserez sont:

  • Adresses locales uniques: préférez celles-ci sur votre réseau interne pour garder vos communications internes internes et pour garantir que les communications internes puissent continuer même en cas de panne du FAI.
  • Extensions de confidentialité IPv6 avec des durées de vie d’adresse courtes et des identificateurs d’interface non clairement structurés: elles permettent d’empêcher d’attaquer des hôtes individuels et d’analyser des sous-réseaux.
  • IGP, Mobile IPv6 ou VLAN peuvent être utilisés pour masquer la topologie du réseau interne.
  • Avec les ULA, le protocole DHCP-PD du fournisseur de services Internet facilite la renumérotation / le multihébergement plus facilement qu'avec IPv4.

( Voir le RFC pour plus de détails; encore une fois, il est beaucoup trop long de réimprimer ou même de prendre des extraits significatifs.)

Pour une discussion plus générale sur la sécurité de transition IPv6, voir RFC 4942 .


8

Genre de. Il existe en réalité différents "types" d'adresses IPv6. Le plus proche de la RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) est appelé "adresse locale unique" et est défini dans la RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Vous commencez donc par fd00 :: / 8, puis ajoutez une chaîne de 40 bits (en utilisant un algorithme prédéfini dans le RFC!) Et vous vous retrouvez avec un préfixe pseudo-aléatoire / 48 qui devrait être globalement unique. Vous avez le reste de l'espace d'adressage à affecter comme vous le souhaitez.

Vous devez également bloquer fd00 :: / 7 (fc00 :: / 8 et fd00 :: / 8) sur votre routeur (IPv6) en dehors de votre organisation, d'où le "local" dans le nom de l'adresse. Ces adresses, bien que se trouvant dans l'espace d'adressage global, ne devraient pas être accessibles au monde entier, mais simplement dans votre "organisation".

Si vos serveurs PCI-DSS ont besoin d'un IPv6 pour la connectivité à d'autres hôtes IPv6 internes, vous devez générer un préfixe ULA pour votre entreprise et l'utiliser à cette fin. Vous pouvez utiliser la configuration automatique d'IPv6 comme n'importe quel autre préfixe si vous le souhaitez.

Etant donné qu'IPv6 a été conçu pour que les hôtes puissent avoir plusieurs adresses, une machine peut avoir, en plus d'un ULA, une adresse pouvant être routée globalement. Ainsi, un serveur Web ayant besoin de communiquer à la fois avec le monde extérieur et avec les machines internes peut avoir à la fois une adresse préfex attribuée par le FAI et votre préfixe ULA.

Si vous voulez une fonctionnalité de type NAT, vous pouvez aussi regarder NAT66, mais en général, je créerais une architecture autour de ULA. Si vous avez d'autres questions, vous pouvez consulter la liste de diffusion "ipv6-ops".


1
Hah. J'écris tous ces commentaires dans sysadmin1138, et je n'ai même pas pensé à regarder votre réponse concernant l'utilisation d'adresses doubles pour les communications globales et locales. Cependant, je suis en désaccord avec véhémence avec les préceptes de ULA qui doivent être uniques au monde. Je n'aime pas randomisées, les numéros 40 bits du tout , surtout pour mon réseau local interne, dont je suis le seul utilisateur. Ils ont probablement besoin d’une base de données mondiale d’ULA pour pouvoir être enregistrés (SixXS en est un exemple), mais laissez tomber le fouillis de nombres aléatoires et laissez les gens faire preuve de créativité. Comme des plaques d'immatriculation personnalisées. Vous postulez pour un et si c'est pris, vous essayez pour un autre.
Kumba

1
@Kumba essaient d'arrêter chaque réseau en utilisant les mêmes adresses - aléatoire signifie que vous n'avez pas besoin d'une base de données publique et que chaque réseau est indépendant; si vous souhaitez émettre des adresses IP de manière centralisée, utilisez simplement des adresses globales!
Richard Gadsden

@ Richard: C'est un ... Comment puis-je le dire, concept idiot, à mon humble avis. Pourquoi est-ce important si la petite entreprise Joe située dans une ville du Montana utilise le même adressage IPv6 qu'une autre petite entreprise de Perth, en Australie? Les chances que les deux traversent jamais, bien que pas impossibles, sont plutôt improbables. Si l'intention des concepteurs IPv6 était de tenter de supprimer complètement le concept de "réseaux privés", ils doivent alors faire vérifier leur café, car ce n'est pas réalisable de manière réaliste.
Kumba

2
@Kumba Je pense que ce sont les cicatrices de la tentative de fusion de deux grands réseaux privés IPv4 en 10/8 et de la renumérotation d'un (ou même des deux) d'entre eux qu'ils tentent d'éviter.
Richard Gadsden

2
@Richard: Exactement, rien de plus pénible que d'utiliser un VPN pour se connecter à un autre réseau avec le même sous-réseau privé. Certaines implémentations ne fonctionneront plus.
Hubert Kario

4

IMHO: pas.

Il existe encore des endroits où SNAT / DNAT peut être utile. Pour exemple, certains serveurs ont été déplacés vers un autre réseau, mais nous ne voulons pas / nous ne pouvons pas changer l'adresse IP de l'application.


1
Vous devez utiliser des noms DNS au lieu d'adresses IP dans les configurations de votre application.
rmalayter

DNS ne résout pas votre problème, si vous devez créer un chemin d'accès réseau sans modifier l'ensemble de votre topologie de routage et de vos règles de pare-feu.
Résumé

3

Espérons que NAT disparaisse pour toujours. C'est utile uniquement lorsque vous avez une pénurie d'adresses IP et que vous n'avez aucune fonctionnalité de sécurité qui ne soit pas fournie mieux, moins chère et plus facilement gérée par un pare-feu dynamique.

Depuis IPv6 = plus de rareté, cela signifie que nous pouvons débarrasser le monde du piratage laid que constitue le NAT.


3

Je n'ai pas vu de réponse définitive sur la manière dont la perte de NAT (si elle disparaît vraiment) avec IPv6 affectera la confidentialité des utilisateurs.

Avec des adresses IP de périphérique individuelles exposées publiquement, il sera beaucoup plus facile pour les services Web de surveiller (collecter, stocker, agréger dans le temps et l’espace et les sites et faciliter une multitude d’utilisations secondaires) vos voyages sur Internet à partir de vos différents périphériques. Sauf si ... les fournisseurs de services Internet, les routeurs et autres équipements permettent d'avoir facilement des adresses IPv6 dynamiques pouvant être fréquemment modifiées pour chaque périphérique.

Bien sûr, peu importe ce que nous aurons toujours la question des adresses MAC statiques Wi-Fi statiques, mais c'est une autre histoire ...


2
Vous devez simplement activer les adresses de confidentialité. Cela vous donnera tout autant d’intimité qu’un NAT. De plus, en utilisant IPv6, vous serez beaucoup moins exposé aux problèmes causés par une mauvaise sélection d’IPID.
Kasperd

2

Il existe de nombreux systèmes pour prendre en charge NAT dans un scénario de transition V4 à V6. Toutefois, si vous disposez d'un réseau entièrement IPV6 et que vous vous connectez à un fournisseur IPV6 en amont, la traduction d'adresses réseau ne fait pas partie du nouvel ordre mondial, sauf que vous pouvez utiliser un tunnel entre réseaux V4 via des réseaux V6.

Cisco dispose de nombreuses informations générales sur les scénarios 4to6, la migration et la tunnelisation.

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

Également sur Wikipedia:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms


2

La politique et les pratiques commerciales de base renforceront probablement l’existence du NAT. La pléthore d'adresses IPv6 signifie que les fournisseurs de services Internet seront tentés de facturer par périphérique ou de limiter les connexions à un nombre limité de périphériques. Voir cet article récent sur /. par exemple:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Charge-Per-Device


2
Je ne suis pas si sûr. Je pense qu'il y aura une énorme révolte technique contre tout fournisseur de services Internet qui tente de facturer par périphérique. Bien que je puisse voir pourquoi les fournisseurs de services Internet sautent à cette idée, car ils peuvent maintenant savoir combien de périphériques se trouvent à l'autre bout de la connexion.
Mark Henderson

1
Compte tenu de la décision de fournir un certain niveau d'anonymat en utilisant des adresses temporaires pour les connexions sortantes, l'application de règles par périphérique serait complexe, voire impossible. Un dispositif peut avoir au moins deux adresses globales actives dans ce schéma, en plus de toute autre assignée.
BillThor

2
@ Mark Henderson - Il existe déjà des FAI qui facturent leurs services par appareil. AT & T, par exemple, facturera un supplément pour "connexion".
Richard Gadsden

1
@Richard - si c'était le cas, si j'étais avec AT & T, je les laisserais tomber comme il fait chaud
Mark Henderson

@ Mark - C'est AT & T sans fil (regardez les contrats iPhone, par exemple).
Richard Gadsden le

-2

Pour votre information, toute personne intéressée utilise NAT / NAPT avec IPV6. Tous les systèmes d'exploitation BSD dotés de PF prennent en charge NAT66. Fonctionne très bien. D'un blog nous avons utilisé :

ipv6 nat (nat66) par FreeBSD pf

bien que nat66 soit encore en projet, mais FreeBSD le supporte déjà depuis longtemps.

(éditez le pf.conf et insérez les codes suivants)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

Vous êtes prêt!

Cela fonctionne très bien pour nous, les gens qui utilisons des calmars avec une seule adresse IP depuis des années. Avec le NAT IPv6, je peux obtenir 2 ^ 120 adresses privées (site local) qui comprend 2 ^ 56 sous-réseaux avec mes sous-réseaux 5/64. Cela signifie que je dois être 100 milliards de fois plus intelligent que n'importe quel autre gourou d'IPv6 car j'ai plus d'adresses.:D

La vérité est que ce n’est pas parce que j’ai plus d’adresses (ou que j’ai utilisé IPv6 plus longtemps que vous) que l’IPV6 (ou moi pour le même problème) est meilleur. Cependant, cela rend plus complexe IPv6 lorsqu'un pare-feu est requis à la place de PAT et que NAT n'est plus une nécessité, mais une option. L'objectif du pare-feu est d'autoriser toutes les connexions sortantes et de conserver l'état, mais de bloquer les connexions initiées entrantes.

En ce qui concerne NAPT (NAT avec PAT), il faudra un certain temps pour sortir les gens de l’esprit. Par exemple, jusqu'à ce que votre arrière-grand-père puisse configurer son propre pare-feu IPv6 sans adressage local (adresses privées) et sans assistance d'un gourou, il serait peut-être judicieux de jouer avec l'idée possible du NAT, car cela tout ce qu'il sait.


2
Votre équipement SOHO moyen prenant éventuellement en charge IPv6 sera presque certainement dépourvu de NAT IPv6 (que le NAT66 que vous citez ne fonctionne pas de la même façon que NATv4, mais nous le suivrons quand même) et viendra avec une règle de refus par défaut pour le trafic entrant (avec une autorisation d’établir des connexions sortantes) qui fournit presque la même sécurité que le matériel IPv4 SOHO actuel. Comme d'autres l'ont souligné, nous comprenons que les gens deviennent complaisants et à l'aise avec leurs technologies de piratage informatique, cela ne signifie pas qu'ils sont nécessaires ou un peu plus que le théâtre de la sécurité.
Chris S

NAT66 n'a pas besoin de fonctionner de la même manière que NAT44. Cela doit seulement sonner la même chose pour que nous puissions attraper les gens plus rapidement sur IPv6. Une fois qu’ils utilisent IPv6, nous devrions pouvoir travailler en équipe pour les aider à configurer correctement un pare-feu. Soit nous travaillons en équipe, soit nous devons commencer à utiliser NAT44444. Votre choix.
Gnarlymarley

Ce n'est pas juste PF. Sur le plan pratique, la plupart des routeurs peuvent effectuer le même type de NAT sur IPv6 que sur IPv4, juste en fronçant les sourcils. J'ai vu cette fonctionnalité dans les routeurs Fortinet, ainsi que dans OpenWRT.
Kevin Keane

-2

Les récentes propositions avancées pour ipv6 ont suggéré aux ingénieurs travaillant sur la nouvelle technologie d’incorporer le NAT à ipv6, raison invoquée: le NAT offre une couche de sécurité supplémentaire.

La documentation est sur le site ipv6.com, donc il semblerait que toutes ces réponses indiquant que le NAT n'offre aucune sécurité semblent un peu gênées


1
Peut-être que vous pourriez développer plus précisément ce qui concerne le NAT offre selon vous une couche de sécurité supplémentaire? Plus précisément, quel risque face à quelle menace particulière est atténué?
Growse

La «sécurité» fournie par le NAT consiste à obscurcir et à forcer un réseau à adopter une posture par défaut, le premier est discutable, tandis que le dernier est une bonne idée. Le refus par défaut peut tout aussi bien être obtenu par d'autres moyens, et IPv6 élimine l'une des principales raisons techniques de la traduction d'adresses réseau: la rareté IP.
sysadmin1138

2
Il y a une page sur IPv6.com à propos de NAT . Entre autres choses, il dit ceci: «Le problème de sécurité est souvent utilisé dans la défense du processus de traduction d’adresses réseau. Cependant, le principe fondamental d’Internet est d’offrir une connectivité de bout en bout aux différentes ressources du réseau. " Et aussi ceci: "Alors que l'IPv6 remplace lentement le protocole IPv4, le processus de traduction d'adresse réseau deviendra redondant et inutile."
Ladadadada

-6

Je me rends compte qu'à un moment donné (on ne peut que spéculer), les adresses régionales IPv4 s'épuiseront inévitablement. Je conviens que IPv6 présente de sérieux inconvénients pour les utilisateurs. La question du NAT est extrêmement importante car elle apporte intrinsèquement sécurité, redondance, confidentialité et permet aux utilisateurs de connecter presque autant de périphériques qu'ils le souhaitent sans restriction. Oui, un pare-feu est le standard idéal contre l'intrusion réseau non sollicitée, mais le NAT ajoute non seulement une couche de protection supplémentaire, mais offre également une conception sécurisée par défaut, quelle que soit la configuration du pare-feu ou les connaissances de l'utilisateur final, quelle que soit sa définition. IPv4 avec NAT et un pare-feu est toujours plus sécurisé par défaut que IPv6 avec seulement un pare-feu. Un autre problème est la vie privée, le fait d'avoir une adresse routable sur Internet sur chaque appareil ouvrira les utilisateurs à toutes sortes de violations potentielles de la vie privée, à la collecte d'informations personnelles et au suivi de manière peu imaginable aujourd'hui. Je suis également d'avis que sans Nat, nous pourrions être ouverts à des coûts supplémentaires et à un contrôle via l'Isp. Les fournisseurs de services Internet peuvent commencer à charger par appareil ou par utilisateur, comme nous le voyons déjà avec le partage de connexion USB, ce qui réduirait considérablement la liberté de l'utilisateur final de connecter ouvertement tout appareil qu'il jugera utile. À l'heure actuelle, rares sont les fournisseurs américains de services IPv6 qui proposent IPv6 sous quelque forme que ce soit et je pense que les entreprises non technologiques seront lentes à changer en raison des coûts supplémentaires et de la moindre valeur ou de la moindre valeur.


4
Le NAT est une illusion de sécurité.
Skaperen

4
NAT n'offre aucune protection. C'est le pare-feu automatique que vous obtenez avec le NAT qui fournit toute "protection" dont vous pourriez bénéficier tout en profitant de tous les inconvénients du NAT.
Michael Hampton
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.