Tout d’abord, il n’ya rien à craindre d’être sur une allocation IP publique, tant que vos périphériques de sécurité sont configurés correctement.
Avec quoi devrais-je remplacer NAT, si nous n'avons pas de réseaux physiquement séparés?
La même chose que nous séparons physiquement depuis les années 1980, les routeurs et les pare-feu. Le seul avantage important que vous obtenez avec la sécurité avec NAT est que cela vous oblige à une configuration de refus par défaut. Pour obtenir un service, vous devez explicitement percer des trous. Les périphériques les plus sophistiqués vous permettent même d’appliquer des ACL basées sur IP à ces trous, comme un pare-feu. Probablement parce qu'ils ont «Firewall» sur la boîte, en fait.
Un pare-feu correctement configuré fournit exactement le même service qu'une passerelle NAT. Les passerelles NAT sont fréquemment utilisées car elles sont plus faciles à intégrer à une configuration sécurisée que la plupart des pare-feu.
J'ai entendu dire qu'IPv6 et IPSEC sont censés sécuriser tout cela d'une manière ou d'une autre, mais sans réseaux physiquement séparés qui rendent ces périphériques invisibles pour Internet, je ne vois vraiment pas comment.
Ceci est une idée fausse. Je travaille pour une université disposant d'une allocation / 16 IPv4, et la grande majorité de notre consommation d'adresses IP se fait sur cette allocation publique. Certainement tous nos postes de travail et imprimantes pour utilisateurs finaux. Notre consommation de RFC1918 est limitée aux périphériques réseau et à certains serveurs spécifiques où de telles adresses sont requises. Je ne serais pas surpris si vous frissonniez tout à l'heure, car je l'ai certainement fait lorsque je suis arrivé le premier jour et que j'ai vu le post-it sur mon moniteur avec mon adresse IP.
Et pourtant, nous survivons. Pourquoi? Parce que nous avons un pare-feu extérieur configuré pour le refus par défaut avec un débit ICMP limité. Le fait que 140.160.123.45 soit théoriquement routable ne signifie pas que vous pouvez vous y rendre où que vous soyez sur Internet. C'est ce que les pare-feu ont été conçus pour faire.
Avec les bonnes configurations de routeur, différents sous-réseaux de notre allocation peuvent être complètement inaccessibles les uns aux autres. Vous pouvez le faire dans des tables de routeur ou des pare-feu. Il s’agit d’un réseau séparé qui a déjà satisfait nos auditeurs de la sécurité.
Il est impossible que je mette notre base de données de facturation (avec beaucoup d'informations de cartes de crédit!) Sur Internet pour que tout le monde puisse la voir.
Notre base de données de facturation se trouve sur une adresse IPv4 publique et dure depuis toute son existence, mais nous avons la preuve que vous ne pouvez pas y accéder à partir de maintenant. Ce n’est pas parce qu’une adresse figure sur la liste routable publique v4 que son adresse sera garantie. Les deux pare-feu entre les maux d’Internet et les ports de base de données réels filtrent le mal. Même de mon bureau, derrière le premier pare-feu, je ne peux pas accéder à cette base de données.
Les informations de carte de crédit constituent un cas particulier. Cela est soumis aux normes PCI-DSS, et ces normes stipulent directement que les serveurs contenant de telles données doivent se trouver derrière une passerelle NAT 1 . Les nôtres sont, et ces trois serveurs représentent notre utilisation totale d’adresses RFC1918 par nos serveurs. Cela n'apporte aucune sécurité, mais une couche de complexité, mais nous devons cocher cette case pour les audits.
L'idée originale "IPv6 fait du NAT une chose du passé" a été avancée avant que le boom d'Internet ne frappe vraiment le grand public. En 1995, NAT était une solution de contournement pour contourner une petite allocation d’IP. En 2005, il figurait dans de nombreux documents relatifs aux meilleures pratiques de sécurité et dans au moins une norme importante (la norme PCI-DSS, en particulier). Le seul avantage concret que procure le NAT est qu’une entité externe effectuant une reconnaissance sur le réseau ne sait pas à quoi ressemble le paysage IP derrière le périphérique NAT (bien que, grâce à RFC1918, ils aient une bonne idée), et sur IPv4 sans NAT (tel que comme mon travail) ce n'est pas le cas. C'est un petit pas dans la défense en profondeur, pas un grand.
Les adresses de remplacement pour RFC1918 sont appelées adresses uniques locales. À l'instar de la RFC1918, ils n'acheminent pas à moins que leurs pairs acceptent expressément de les laisser acheminer. Contrairement à la RFC1918, ils sont (probablement) uniques au monde. Les traducteurs d'adresses IPv6 qui traduisent une ULA en une adresse IP globale existent dans les engrenages périphériques les plus élevés, mais pas encore dans les engrenages SOHO.
Vous pouvez très bien survivre avec une adresse IP publique. Gardez simplement à l'esprit que "public" ne garantit pas "accessible", et tout ira bien pour vous.
Mise à jour 2017
Ces derniers mois, Amazon aws a ajouté la prise en charge IPv6. Il vient juste d’être ajouté à leur offre amazon-vpc , et sa mise en œuvre donne quelques indices sur la manière dont on s'attend à ce que des déploiements à grande échelle soient effectués.
- Vous recevez une allocation / 56 (256 sous-réseaux).
- L'allocation est un sous-réseau entièrement routable.
- Vous êtes censé définir des règles de pare-feu ( groupes de sécurité ) suffisamment restrictives.
- Il n'y a pas de NAT, il n'est même pas offert, de sorte que tout le trafic sortant proviendra de l'adresse IP réelle de l'instance.
Pour ajouter l’un des avantages de la sécurité du NAT à l’arrière, ils proposent désormais une passerelle Internet de sortie uniquement . Cela offre un avantage semblable à NAT:
- Les sous-réseaux situés derrière ne sont pas directement accessibles depuis Internet.
Ce qui fournit une couche de défense en profondeur, au cas où une règle de pare-feu mal configurée autorise accidentellement le trafic entrant.
Cette offre ne traduit pas l'adresse interne en une adresse unique comme le fait NAT. Le trafic sortant aura toujours l'IP source de l'instance qui a ouvert la connexion. Les exploitants de pare-feu qui cherchent à ajouter des ressources à la liste blanche dans le VPC seront plus efficaces que les adresses réseau, plutôt que les adresses IP spécifiques.
Routable ne signifie pas toujours accessible .
1 : Les normes PCI-DSS ont été modifiées en octobre 2010, la déclaration demandant des adresses RFC1918 a été supprimée et "l'isolation du réseau" l'a remplacée.