При условии Блокировка сайтов Stack Exchange по IP, Интересно, есть ли общее мнение или стратегия о создании правил на основе IP-адреса пользователя, чтобы диктовать поведение.
С IPv4 у вас есть несколько вещей, которые вы можете довольно надежно предположить о данном IP:
Можете ли вы принять все это в IPv6? Я могу предположить, что, по крайней мере, второй пункт больше не будет верным, поскольку предполагается, что NAT по существу исчезнет с IPv6, потому что IP-адресов будет достаточно для всех, кто этого хочет.
Если у вас есть набор политик на основе IP, какие соображения необходимо учитывать для IPv6, если таковые имеются, из-за различий между ними?
Я не думаю, что с IPv6 есть идеальное решение. Но следует учитывать ряд моментов:
/64
подсети для индивидуальных клиентов. (Там будет достаточно, чтобы обойти.)/64
за офис./64
и /126
. (Видеть почему они вообще не используют / 127) Вероятно, это будет либо недальновидный интернет-провайдер, либо тот, кто хочет брать больше за полную /64
. На самом деле нет причин, по которым каждая конечная точка (которая может быть полной клиентской сетью) не должна быть /64
./64
, можно было посмотреть бит 6 в идентификаторе интерфейса (см. раздел 3.2.1 из RFC 4941), чтобы проверить, вероятно ли он был создан на основе глобального уникального идентификатора (MAC-адреса). Очевидно, это не является надежным. Но если этот бит установлен, скорее всего, это означает, что адрес был сгенерирован из MAC-адреса. Таким образом, можно было заблокировать адреса IPv6 на основе последних 64 бит, и пользователи могли быть заблокированы независимо от того, из какой подсети они пришли. (Возможно, лучше всего использовать это в качестве «подсказки», поскольку MAC-адреса, которые должны быть уникальными в глобальном масштабе, на практике не всегда. Кроме того, их легко подделать. Но любому, кто достаточно смекал, чтобы пойти на неприятности, вероятно, будет проще взять /64
и все равно получите 2 ^ 64 уникальных адреса.)/64
на этом этапе, но будьте осторожны, так как вы можете заблокировать весь корпоративный офис.Я бы сказал, что лучший способ - сначала посмотреть на отдельные адреса, а затем учесть последние 64 бита адреса и шаблоны злоупотреблений со стороны конкретных /64
подсетей для реализации стратегии блокировки. Подвести итоги:
/128
IP-адреса (как вы, вероятно, делаете сегодня с IPv4)/64
, заблокировать весь /64
с хорошим сообщением об ошибке, чтобы администратор сети-нарушителя мог выполнить любую работу, которая должна быть выполнена на его / ее стороне.Удачи.
Предположения, которые вы перечисляете:
IP-адреса, которые разделяют подсеть, вполне могут быть одним и тем же пользователем
По-прежнему сохраняется - на самом деле, если интернет-провайдеры выделяют подсети IPv6 своим клиентам, это становится еще более верным.
Хотя IP-адреса могут быть повторно использованы для различных фактических конечных точек, относительно маловероятно, что вы увидите дублирующиеся подключения с IP-адреса, который не является одним и тем же пользователем или, по крайней мере, одним и тем же домохозяйством / организацией (в основном, общее соединение)
Продолжает удерживаться (фактически относится ко всей подсети, как описано выше).
Получить новый публичный IP-адрес для пользователя не так-то просто (здесь есть средний барьер для входа).
Не так сильно применяется к индивидуальному IP-адресу, но действительно применяется к подсети, предоставленной интернет-провайдером.
Итак, в основном мы смотрим на запреты подсетей там, где у нас в настоящее время есть запреты IP, предполагая, что интернет-провайдеры раздают подсети всем своим пользователям. Если вместо этого пользователи получают индивидуальные IPv6-адреса (по одному на пользователя), то мы рассматриваем отдельные запреты IPv6, что может привести к гораздо более длинной таблице запретов (и связанным с этим проблемам с производительностью), если есть много пользователей с плохим поведением.
В любом случае запрет IP становится более детальным инструментом (т.е. меньшим риском блокировки группы пользователей от провайдера, у которого есть динамический пул, из-за того, что один человек плохо себя вел), что, на мой взгляд, хорошо ...
Википедия / MediaWiki применяет политику блокировки всего / 64, когда они блокируют пятый IP в этом / 64.
Пять, кажется, стандартное практическое правило, которое принимают другие - пара DNSBL, которые я видел, принимают ту же политику.
Я не видел никаких планов по агрегированию блоков выше / 64, хотя получить / 48 или / 56 довольно легко даже для скромной организации. Конечно, у спамеров в настоящее время часто есть / 24 (IPv4) или около того, поэтому я ожидаю, что они начнут захватывать большие куски пространства IPv6.
IP-адреса, которые разделяют подсеть, вполне могут быть одним и тем же пользователем
Тем не менее верно, даже более верно с v6.
в то время как IP-адреса могут быть повторно использованы для различных конечных точек, относительно маловероятно, что вы увидите дублирующиеся соединения с IP-адреса, который не является одним и тем же пользователем или, по крайней мере, одним и тем же домохозяйством / организацией (в основном, общее соединение)
Вероятно, даже более верно для v6, чем для v4.
пользователю не так-то просто получить новый общедоступный IP-адрес (здесь есть средний барьер для входа)
В большинстве случаев провайдеры вместо отдельных адресов будут раздавать блоки адресов. Клиенту легко перемещаться внутри своего блока. Сложнее (хотя отнюдь не невозможно) получить новый блок.
Самый сложный момент заключается в том, что размеры выделения для клиентов сильно различаются. Некоторые интернет-провайдеры выдают индивидуальные адреса, некоторые блоки / 64, некоторые блоки / 56, некоторые / 48 блоков.
Из-за этого будет сложно разработать разумную политику запрета / ограничения, которая будет работать для всех интернет-провайдеров. Это «горячий» / 48 одинокий нарушитель, который нашел провайдера, который выдавал большие блоки, или это большая группа пользователей у скупого мобильного провайдера, который выдает отдельные адреса.
P.S. Отказ от внедрения IPv6 на самом деле не является решением проблемы, так как с исчерпанием IPv4 все больше и больше клиентов будут стоять за той или иной формой NAT на уровне ISP.
Я думаю, это будет сильно зависеть от того, что сделают интернет-провайдеры. Будут ли они продолжать предоставлять пользователям настоящие динамические IP-адреса? В противном случае или если каждый пользователь получит свой собственный IP-адрес или подсеть, тогда IP-адреса будут примерно такими же, как номерные знаки.
Когда я понял, что IPv6 увеличит количество IP-адресов, много но не увеличивая количество портов на хост, я сначала озадачился. Учитывая, что компьютеры становятся все более мощными и, таким образом, становятся более способными обслуживать огромный количество одновременных подключений, ограниченное максимум 65535 портами на IPv6-адрес, казалось «следующим узким местом».
Затем я подумал об этом еще раз и понял, что было тривиально назначить несколько IPv6 одному физическому интерфейсу и таким образом обойти это ограничение на количество портов, которые могут подключаться к хосту. На самом деле, если подумать, вы можете довольно легко назначить 1024 или 4096 IPv6-адресов своему хосту, а затем как бы случайным образом распределить свои службы по различным портам по всем адресам, что значительно усложняет сканерам портов (по крайней мере, теоретически) .
Теперь такие тенденции, как виртуализация хостов (несколько небольших виртуальных хостов на относительно мощном физическом хосте) и портативные устройства (думаю, мобильные устройства, подключенные к IPv6, для всех на планете), вероятно, будут выступать против этого, большинство хостов в будущем Интернете, вероятно, будут несколько портов и, следовательно, нужен только один IPv6-адрес на хост.
(Но возможность «спрятаться» в большом пуле IPv6-адресов, которыми вы владеете и которые вы можете выбирать случайным образом, по-прежнему обеспечивает некоторый уровень безопасности, даже если, по общему признанию, тонкий в большинстве случаев)