Назад | Перейти на главную страницу

Как повлияет на правила на основе IP (например, запреты / фильтры), когда IPv6 станет стандартом?

При условии Блокировка сайтов Stack Exchange по IP, Интересно, есть ли общее мнение или стратегия о создании правил на основе IP-адреса пользователя, чтобы диктовать поведение.

С IPv4 у вас есть несколько вещей, которые вы можете довольно надежно предположить о данном IP:

  1. IP-адреса, которые разделяют подсеть, вполне могут быть одним и тем же пользователем
  2. хотя IP-адреса могут быть повторно использованы для различных конечных точек, маловероятно, что вы увидите дублирующиеся соединения с IP-адреса, который не тот же пользователь или, по крайней мере, одно и то же домохозяйство / организация (в основном, общее соединение)
  3. пользователю не так-то просто получить новый общедоступный IP-адрес (здесь есть средний барьер для входа)

Можете ли вы принять все это в IPv6? Я могу предположить, что, по крайней мере, второй пункт больше не будет верным, поскольку предполагается, что NAT по существу исчезнет с IPv6, потому что IP-адресов будет достаточно для всех, кто этого хочет.

Если у вас есть набор политик на основе IP, какие соображения необходимо учитывать для IPv6, если таковые имеются, из-за различий между ними?

Я не думаю, что с IPv6 есть идеальное решение. Но следует учитывать ряд моментов:

  • Интернет-провайдеры, скорее всего, выдадут /64 подсети для индивидуальных клиентов. (Там будет достаточно, чтобы обойти.)
  • На рабочих местах наверняка будет хотя бы один /64 за офис.
  • Интернет-провайдеры, предлагающие строго двухточечные ссылки может выберите использование префиксов между /64 и /126. (Видеть почему они вообще не используют / 127) Вероятно, это будет либо недальновидный интернет-провайдер, либо тот, кто хочет брать больше за полную /64. На самом деле нет причин, по которым каждая конечная точка (которая может быть полной клиентской сетью) не должна быть /64.
  • Предполагая, что большинство подсетей конечных пользователей IPv6 будут /64, можно было посмотреть бит 6 в идентификаторе интерфейса (см. раздел 3.2.1 из RFC 4941), чтобы проверить, вероятно ли он был создан на основе глобального уникального идентификатора (MAC-адреса). Очевидно, это не является надежным. Но если этот бит установлен, скорее всего, это означает, что адрес был сгенерирован из MAC-адреса. Таким образом, можно было заблокировать адреса IPv6 на основе последних 64 бит, и пользователи могли быть заблокированы независимо от того, из какой подсети они пришли. (Возможно, лучше всего использовать это в качестве «подсказки», поскольку MAC-адреса, которые должны быть уникальными в глобальном масштабе, на практике не всегда. Кроме того, их легко подделать. Но любому, кто достаточно смекал, чтобы пойти на неприятности, вероятно, будет проще взять /64 и все равно получите 2 ^ 64 уникальных адреса.)
  • Если используются конфиденциальные адреса ... особо нечего делать, кроме как заблокировать этот адрес на короткое время. Скорее всего, это скоро изменится. Фактор сетевой части /64 на этом этапе, но будьте осторожны, так как вы можете заблокировать весь корпоративный офис.

Я бы сказал, что лучший способ - сначала посмотреть на отдельные адреса, а затем учесть последние 64 бита адреса и шаблоны злоупотреблений со стороны конкретных /64 подсетей для реализации стратегии блокировки. Подвести итоги:

  • Начните с блокировки отдельных /128 IP-адреса (как вы, вероятно, делаете сегодня с IPv4)
  • Если вы заметили образец злоупотребления адресом, не связанным с конфиденциальностью, в последних 64 битах адреса, используйте это как надежный индикатор в своем алгоритме блокировки. Кто-то может переключаться между интернет-провайдерами или подсетями. (опять же, будьте осторожны с этим, поскольку MAC-адреса не обязательно уникальны - кто-то может подделывать ваш алгоритм) Кроме того, это будет работать только против злоумышленников, которые не знают, как работает IPv6. ;-)
  • Если вы заметили шаблон злоупотреблений со стороны определенного /64, заблокировать весь /64 с хорошим сообщением об ошибке, чтобы администратор сети-нарушителя мог выполнить любую работу, которая должна быть выполнена на его / ее стороне.

Удачи.

Предположения, которые вы перечисляете:

IP-адреса, которые разделяют подсеть, вполне могут быть одним и тем же пользователем

По-прежнему сохраняется - на самом деле, если интернет-провайдеры выделяют подсети IPv6 своим клиентам, это становится еще более верным.


Хотя IP-адреса могут быть повторно использованы для различных фактических конечных точек, относительно маловероятно, что вы увидите дублирующиеся подключения с IP-адреса, который не является одним и тем же пользователем или, по крайней мере, одним и тем же домохозяйством / организацией (в основном, общее соединение)

Продолжает удерживаться (фактически относится ко всей подсети, как описано выше).


Получить новый публичный IP-адрес для пользователя не так-то просто (здесь есть средний барьер для входа).

Не так сильно применяется к индивидуальному IP-адресу, но действительно применяется к подсети, предоставленной интернет-провайдером.


Итак, в основном мы смотрим на запреты подсетей там, где у нас в настоящее время есть запреты IP, предполагая, что интернет-провайдеры раздают подсети всем своим пользователям. Если вместо этого пользователи получают индивидуальные IPv6-адреса (по одному на пользователя), то мы рассматриваем отдельные запреты IPv6, что может привести к гораздо более длинной таблице запретов (и связанным с этим проблемам с производительностью), если есть много пользователей с плохим поведением.
В любом случае запрет IP становится более детальным инструментом (т.е. меньшим риском блокировки группы пользователей от провайдера, у которого есть динамический пул, из-за того, что один человек плохо себя вел), что, на мой взгляд, хорошо ...

Википедия / MediaWiki применяет политику блокировки всего / 64, когда они блокируют пятый IP в этом / 64.

Пять, кажется, стандартное практическое правило, которое принимают другие - пара DNSBL, которые я видел, принимают ту же политику.

Я не видел никаких планов по агрегированию блоков выше / 64, хотя получить / 48 или / 56 довольно легко даже для скромной организации. Конечно, у спамеров в настоящее время часто есть / 24 (IPv4) или около того, поэтому я ожидаю, что они начнут захватывать большие куски пространства IPv6.

IP-адреса, которые разделяют подсеть, вполне могут быть одним и тем же пользователем

Тем не менее верно, даже более верно с v6.

в то время как IP-адреса могут быть повторно использованы для различных конечных точек, относительно маловероятно, что вы увидите дублирующиеся соединения с IP-адреса, который не является одним и тем же пользователем или, по крайней мере, одним и тем же домохозяйством / организацией (в основном, общее соединение)

Вероятно, даже более верно для v6, чем для v4.

пользователю не так-то просто получить новый общедоступный IP-адрес (здесь есть средний барьер для входа)

В большинстве случаев провайдеры вместо отдельных адресов будут раздавать блоки адресов. Клиенту легко перемещаться внутри своего блока. Сложнее (хотя отнюдь не невозможно) получить новый блок.

Самый сложный момент заключается в том, что размеры выделения для клиентов сильно различаются. Некоторые интернет-провайдеры выдают индивидуальные адреса, некоторые блоки / 64, некоторые блоки / 56, некоторые / 48 блоков.

Из-за этого будет сложно разработать разумную политику запрета / ограничения, которая будет работать для всех интернет-провайдеров. Это «горячий» / 48 одинокий нарушитель, который нашел провайдера, который выдавал большие блоки, или это большая группа пользователей у скупого мобильного провайдера, который выдает отдельные адреса.

P.S. Отказ от внедрения IPv6 на самом деле не является решением проблемы, так как с исчерпанием IPv4 все больше и больше клиентов будут стоять за той или иной формой NAT на уровне ISP.

Я думаю, это будет сильно зависеть от того, что сделают интернет-провайдеры. Будут ли они продолжать предоставлять пользователям настоящие динамические IP-адреса? В противном случае или если каждый пользователь получит свой собственный IP-адрес или подсеть, тогда IP-адреса будут примерно такими же, как номерные знаки.

Когда я понял, что IPv6 увеличит количество IP-адресов, много но не увеличивая количество портов на хост, я сначала озадачился. Учитывая, что компьютеры становятся все более мощными и, таким образом, становятся более способными обслуживать огромный количество одновременных подключений, ограниченное максимум 65535 портами на IPv6-адрес, казалось «следующим узким местом».

Затем я подумал об этом еще раз и понял, что было тривиально назначить несколько IPv6 одному физическому интерфейсу и таким образом обойти это ограничение на количество портов, которые могут подключаться к хосту. На самом деле, если подумать, вы можете довольно легко назначить 1024 или 4096 IPv6-адресов своему хосту, а затем как бы случайным образом распределить свои службы по различным портам по всем адресам, что значительно усложняет сканерам портов (по крайней мере, теоретически) .

Теперь такие тенденции, как виртуализация хостов (несколько небольших виртуальных хостов на относительно мощном физическом хосте) и портативные устройства (думаю, мобильные устройства, подключенные к IPv6, для всех на планете), вероятно, будут выступать против этого, большинство хостов в будущем Интернете, вероятно, будут несколько портов и, следовательно, нужен только один IPv6-адрес на хост.

(Но возможность «спрятаться» в большом пуле IPv6-адресов, которыми вы владеете и которые вы можете выбирать случайным образом, по-прежнему обеспечивает некоторый уровень безопасности, даже если, по общему признанию, тонкий в большинстве случаев)