编辑:既然我被要求编辑此内容,我将询问一个非常具体的问题。问题显然与 OSI 第 7 层的信息泄漏无关,因为这不是网络问题。
我假设有坏人坐在防火墙前面,窃取所有流量。我进一步假设所有流量都经过加密(例如 TLS)。
如果我们不使用 NAT,坏人只需查看 IP 地址就能轻松识别出有多少设备。许多设备都有明确的访问模式,仅凭地址就可以识别某些设备,可能通过使用时间和请求大小的统计方法进行增强。
在没有 NAT 的情况下,如何避免将这些有价值的信息透露给坏人?
答案1
类似的对 IPv6 的误解在过去已经被澄清过好几次了,但我还会再试一次。
通过 IP 地址究竟会泄露什么信息?假设我访问 google.com。我的 v6 地址每天都会随机更改,但聪明的分析会做出明智的假设,认为 /64 是(一个 LAN)我们的组织。流量也是 TLS 加密的,因此它只是线路上的垃圾。最重要的是,通过使用 VPN,隐藏原始 ISP 并添加另一个加密层相对容易。这与 v4 的安全配置文件非常相似。
随机生成的隐私 IPv6 地址是许多堆栈中的默认地址,因此不要太担心其他方法。MAC 地址是网络堆栈可用的唯一标识符。还有什么可以合理地用作全局标识符?基于 /64 的地址发生冲突的概率极小。就我个人而言,我并不十分担心它作为标识符,这是我的:00-24-1D-1C-D1-0D。在我的第 2 层网络之外,与浏览器会话和广告标识符相比,MAC 地址不是一个容易检索的标识符。
NAT 从来就不是一种安全功能。您可以拥有一个 NAT,它无条件地将所有 IP 数据包重定向到一个客户端,它只是重写地址。默认拒绝的防火墙是一个完全独立的功能。我不想在我的 IPv6 连接上使用 NAT,那只会减慢速度。防火墙可以,NAT 不行。
IPv6 地址空间足够大,可以进行各种实验。如果您想开发一种针对每个请求使用不同地址的方法,请继续。当智能跟踪器查看您的 v6 前缀时,我对实用性持怀疑态度,而且非常智能的跟踪器使用的是浏览器 cookie 而不是 IP 地址。
如果您根本不想让主机公开,请不要为其提供通往互联网的路由和/或防火墙。如果您想从其他服务提供商处显示,请获取 VPN。