Jak wpływa na reguły oparte na IP (np. Zakazy / filtry), kiedy IPv6 stanie się standardem?

13

Biorąc pod uwagę, że witryny Stack Exchange blokują IP , zastanawiam się, czy istnieje wspólna opinia lub strategia dotycząca tworzenia reguł opartych na adresie IP użytkownika w celu dyktowania zachowań.

W przypadku IPv4 masz kilka rzeczy, które możesz rzetelnie założyć o danym adresie IP:

  1. Adresy IP współdzielące podsieć mogą równie dobrze być tym samym użytkownikiem
  2. podczas gdy adresy IP mogą być ponownie wykorzystane do różnych rzeczywistych punktów końcowych, stosunkowo mało prawdopodobne jest, że zobaczysz zduplikowane połączenia z adresu IP, które nie są tym samym użytkownikiem lub przynajmniej tym samym domem / organizacją (w zasadzie połączenie współdzielone)
  3. uzyskanie nowego publicznego adresu IP nie jest trywialnie łatwe (istnieje tutaj średniej wielkości bariera wejścia)

Czy w przypadku IPv6 możesz to wszystko założyć? Wyobrażam sobie, że przynajmniej drugi punkt nie byłby już prawdziwy, ponieważ NAT'ing ma zasadniczo odejść od IPv6, ponieważ będzie wystarczająco dużo adresów IP dla każdego, kto je chce.

Jeśli masz zestaw zasad opartych na adresie IP, jakie należy rozważyć w przypadku protokołu IPv6, jeśli takie istnieją, ze względu na różnice między nimi?

Daniel DiPaolo
źródło

Odpowiedzi:

6

W przypadku IPv6 nie sądzę, że istnieje idealne rozwiązanie. Ale jest wiele rzeczy do rozważenia:

  • Dostawcy usług internetowych prawdopodobnie udostępnią /64podsieci klientom indywidualnym. (Będzie wystarczająco dużo do obejrzenia.)
  • Miejsca pracy będą prawdopodobnie mieć co najmniej jeden /64na biuro.
  • Dostawcy usług internetowych oferujący ściśle połączenia typu punkt-punkt mogą wybrać użycie prefiksów między /64i /126. (Zobacz, dlaczego w ogóle nie używają / 127 ). Prawdopodobnie byłby to krótkowzroczny dostawca usług internetowych lub ktoś, kto chce pobierać więcej za pełną opłatę /64. Naprawdę nie ma powodu, dla którego każdy punkt końcowy (który może być pełną siecią klientów) nie powinien być /64.
  • Zakładając, że większość podsieci IPv6 użytkowników końcowych będzie na zasadzie /64, można spojrzeć na bit 6 identyfikatora interfejsu (patrz punkt 3.2.1 z RFC 4941 ), aby sprawdzić, czy to było prawdopodobnie generowane w oparciu o unikatowy identyfikator globalny (adres MAC). Oczywiście nie jest to niezawodne. Ale jeśli ten bit jest ustawiony, prawdopodobnie wskazuje, że adres został wygenerowany z adresu MAC. Można więc blokować adresy IPv6 na podstawie ostatnich 64 bitów, a użytkowników można blokować bez względu na to, z jakiej podsieci pochodzą. (Być może najlepiej użyć tego jako „podpowiedzi”, ponieważ adresy MAC, choć mają być globalnie unikatowe, w praktyce nie zawsze są. Ponadto łatwo je sfałszować. Ale każdemu, kto jest wystarczająco bystry, by zadać sobie trud, prawdopodobnie łatwiej byłoby weź /64i zdobądź 2 ^ 64 unikalnych adresów.)
  • Jeśli używane są adresy prywatności ... nie ma wiele do roboty poza blokowaniem tego jednego adresu na krótki czas. Prawdopodobnie i tak wkrótce się zmieni. Weź pod uwagę część sieci /64w tym momencie, ale bądź ostrożny, ponieważ możesz blokować czyjeś biuro firmy.

Powiedziałbym, że najlepszym sposobem byłoby przyjrzenie się najpierw poszczególnym adresom, a następnie uwzględnienie ostatnich 64 bitów adresu i wzorców nadużyć w poszczególnych /64podsieciach w celu wdrożenia strategii blokowania. Podsumowując:

  • Zacznij od zablokowania pojedynczych /128adresów IP (jak prawdopodobnie robisz dzisiaj z IPv4)
  • Jeśli zauważysz wzorzec nadużycia z adresu nieprywatnego w ostatnich 64 bitach adresu, użyj go jako silnego wskaźnika w algorytmie blokującym. Ktoś może przeskakiwać między dostawcami usług internetowych lub podsieciami. (znowu uważaj na to, ponieważ MAC niekoniecznie są unikatowe - ktoś może sfałszować, aby wykorzystać twój algorytm) Ponadto działałoby to tylko przeciwko nadużyciom, którzy nie wiedzą, jak działa IPv6. ;-)
  • Jeśli zauważysz wzorzec nadużycia od konkretnego /64, zablokuj całość /64dobrym komunikatem o błędzie, aby administrator sieci wykraczającej mógł zrobić wszystko, co należy zrobić na jego / jej końcu.

Powodzenia.

mpontillo
źródło
2 ^ 64 = 18 446,744,073,709,552 000 możliwych adresów. Dlaczego, u licha, użytkownicy potrzebują tak wielu adresów?
TheLQ
@TheLQ, oczywiście nie. Jednak sieci użytkowników końcowych tak robią, ponieważ RFC 4291 wymaga 64-bitowych identyfikatorów interfejsów. Tak więc ostatnie 64 bity, przynajmniej w sieci Ethernet, zostaną prawie zajęte przez adres EUI-64 - 48-bitowy MAC rozszerzony do 64 bitów. Większość sieci domowych zamiast jednego (statycznego lub dynamicznego) adresu IP potrzebuje z /64tego powodu pojedynczej podsieci (statycznej lub dynamicznej) , ponieważ w IPv6 nie ma NAT.
mpontillo
Ponadto, jak ktoś już wspomniał, DHCPv6 może nieco pomóc w tej sytuacji, ale prawdopodobnie obciążyłby routery, ponieważ musiałbyś trasować w oparciu o wszystkie 128 bitów, a nie tylko pierwsze 64. Jeśli wybierzesz trasę do poszczególnych adresów IP a nie na /64jednego klienta, co może rozerwać tabelę routingu do nieuzasadnionego rozmiaru i powodować problemy w zależności od sprzętu używanego do routingu.
mpontillo
Dzięki, nie miałem pojęcia, że ​​adresy IP były oparte na adresach Mac i zapomniałem, że gdzieś jest tablica routingu. Wygląda na to, że mam trochę do przeczytania
TheLQ
1
Obecna najlepsza praktyka wydaje się polegać na tym, że minimalnym zleceniem dla klienta mieszkaniowego dostawcy usług internetowych jest a / 56. Oczywiście większość klientów prawdopodobnie nie użyje więcej niż jednej lub dwóch / 64 podsieci w takim bloku przez dłuższy czas, jeśli w ogóle, ale przewidywane jest użycie.
Michael Hampton
3

Wymienione przez ciebie założenia:

Adresy IP współdzielące podsieć mogą równie dobrze być tym samym użytkownikiem

Nadal utrzymuje się - w rzeczywistości, jeśli dostawcy usług internetowych przydzielają podsieci IPv6 swoim klientom, staje się to jeszcze bardziej prawdziwe.


Chociaż adresów IP można ponownie użyć do różnych rzeczywistych punktów końcowych, stosunkowo mało prawdopodobne jest, że zobaczysz zduplikowane połączenia z adresu IP, które nie są tym samym użytkownikiem lub przynajmniej tym samym gospodarstwem domowym / organizacją (w zasadzie połączenie współdzielone)

Nadal utrzymuje (w rzeczywistości dotyczy całej podsieci, jak opisano powyżej).


Uzyskiwanie nowego publicznego adresu IP nie jest banalnie łatwe (istnieje tutaj średniej wielkości bariera wejścia)

Nie dotyczy tak bardzo pojedynczego adresu IP, ale dotyczy podsieci rozdanej przez dostawcę usług internetowych.


Zasadniczo patrzymy na zakazy podsieci, w których obecnie mamy zakazy IP, zakładając, że dostawcy usług internetowych rozdają podsieci wszystkim swoim użytkownikom. Jeśli zamiast tego użytkownicy otrzymają indywidualne adresy IPv6 (jeden na użytkownika), wówczas przyjrzymy się pojedynczym zakazom IPv6, co może prowadzić do znacznie dłuższej tabeli blokowania (i powiązanych problemów z wydajnością), jeśli jest dużo złych użytkowników.
W obu przypadkach zakaz IP staje się bardziej szczegółowym narzędziem (tj. Mniejszym ryzykiem zablokowania grupy użytkowników przed dostawcą usług internetowych, który ma pulę dynamiczną, ponieważ jedna osoba źle się zachowała), co moim zdaniem jest dobrą rzeczą ...

voretaq7
źródło
1
Będę zaskoczony, jeśli sieci komórkowe rozdają całe / 64s do każdego telefonu. Z pewnością uzyskają adres IP z puli dynamicznej. Jeśli LTE wystartuje w wielkim stylu, nadal możemy skończyć na „blokowaniu wielu użytkowników przed dostawcą usług internetowych, który ma pulę dynamiczną, ponieważ jedna osoba źle się zachowała”.
Richard Gadsden
2

Wikipedia / MediaWiki przyjmują politykę blokowania całego / 64, gdy blokują piąty adres IP w tym / 64.

Pięć wydaje się być standardową zasadą przyjętą przez innych - kilka DNSBLów, które widziałem, stosują te same zasady.

Nie widziałem żadnych planów agregowania bloków powyżej A / 64, nawet jeśli uzyskanie / 48 lub A / 56 jest dość łatwe nawet dla skromnej organizacji. Oczywiście, spamerzy obecnie często mają / 24 (IPv4), więc spodziewam się, że zaczną pobierać duże fragmenty przestrzeni IPv6.

Richard Gadsden
źródło
1

Adresy IP współdzielące podsieć mogą równie dobrze być tym samym użytkownikiem

Nadal prawdziwe, a nawet jeszcze bardziej prawdziwe w wersji 6.

podczas gdy adresy IP mogą być ponownie wykorzystane do różnych rzeczywistych punktów końcowych, stosunkowo mało prawdopodobne jest, że zobaczysz zduplikowane połączenia z adresu IP, które nie są tym samym użytkownikiem lub przynajmniej tym samym domem / organizacją (w zasadzie połączenie współdzielone)

Prawdopodobnie jeszcze bardziej prawdziwe w wersji 6 niż w wersji 4.

uzyskanie nowego publicznego adresu IP nie jest trywialnie łatwe (istnieje tutaj średniej wielkości bariera wejścia)

W większości przypadków zamiast pojedynczych adresów dostawcy usług internetowych będą rozdawać bloki adresów. Klient może łatwo poruszać się po swoim bloku. Trudniej (choć dalekie od niemożliwego) zdobyć nowy blok.

Najtrudniejszy jest fakt, że wielkości przydziału dla klientów różnią się bardzo. Niektórzy dostawcy usług internetowych rozdają indywidualne adresy, niektóre / 64 bloki, niektóre / 56 bloków, niektóre / 48 bloków.

Utrudni to wymyślenie rozsądnych zasad dotyczących banowania / ograniczania, które będą działać dla wszystkich dostawców usług internetowych. Czy to „gorący” / 48 pojedynczy sprawca, który znalazł usługodawcę, który rozdawał duże bloki, czy też jest to duża grupa użytkowników na skąpym dostawcy usług mobilnych, który rozdaje poszczególne adresy.

PS Odmowa wdrożenia IPv6 nie jest tak naprawdę rozwiązaniem, ponieważ wraz z wyczerpaniem IPv4 coraz więcej klientów będzie stać za jakąś formą NAT na poziomie ISP.

Peter Green
źródło
0

Myślę, że będzie to bardzo zależeć od tego, co zrobią dostawcy usług internetowych. Czy nadal będą dostarczać użytkownikom prawdziwe dynamiczne adresy IP? Jeśli nie, lub jeśli każdy użytkownik otrzyma wyłącznie swój adres IP / podsieć, adresy IP zaczną być prawie takie same jak tablica rejestracyjna.

Dexter
źródło
Pytanie ISP sprowadza się do: „Czy ISP chce ograniczyć liczbę jednostek, które można podłączyć do sieci?” Jeśli nie, rozdanie każdemu z nich znaku / 64 będzie trasą. Jeśli tak, to wyobrażam sobie, że dhcpv6 będzie dominował.
Bittrance
1
Podejrzewam, że / 64 będzie dominował w przypadku szerokopasmowego Internetu dla użytkowników domowych - w rzeczywistości wiele implementacji IPv6 na domowych CPE („routerach”) zakłada, że ​​otrzymają / 64. OTOH, dostawcy usług telefonii komórkowej mogą zapobiec tetheringowi, przekazując pojedynczy adres IP każdemu urządzeniu i / 64 użytkownikom, którzy zapłacili za tethering.
Richard Gadsden,
0

Kiedy zrozumiał, że IPv6 zamierza zwiększyć liczbę adresów IP dużo ale nie zwiększając liczbę portów na hoście, ja najpierw zdziwiony. Biorąc pod uwagę, że komputery stają się coraz mocniejsze, a tym samym stają się w stanie obsługiwać ogromną liczbę jednoczesnych połączeń, ograniczenie do maksymalnie 65535 portów na adres IPv6 wydawało się „kolejnym wąskim gardłem”.

Potem pomyślałem o tym jeszcze raz i zdałem sobie sprawę, że przypisanie wielu IPv6 do jednego interfejsu fizycznego jest banalne i w ten sposób można ominąć ten limit liczby portów, które mogą połączyć się z hostem. Pomyśl o tym, możesz dość łatwo przypisać 1024 lub 4096 adresów IPv6 do swojego hosta, a następnie losowo rozłożyć swoje usługi na różne porty na wszystkich adresach, dając skanerom portów znacznie trudniejszy czas (przynajmniej teoretycznie) .

Teraz trendy, takie jak wirtualizacja hosta (wiele mniejszych wirtualnych hostów na względnie silnym hoście fizycznym) i urządzenia przenośne (myślą, że telefony komórkowe podłączone do IPv6 są dostępne dla wszystkich na świecie) prawdopodobnie przemówią przeciwko temu, większość hostów w przyszłym Internecie prawdopodobnie będzie używać dość kilka portów i dlatego potrzebny jest tylko jeden adres IPv6 na host.

(Ale możliwość „ukrywania się” w dużej puli adresów IPv6, z których wszystkie posiadasz i którą możesz wybierać losowo, nadal zapewnia pewną warstwę bezpieczeństwa, nawet jeśli w większości przypadków jest cienka)

IllvilJa
źródło
1
A kiedy dwa komputery otworzą 65536 jednoczesnych połączeń ze sobą, z wyjątkiem testu sztucznego obciążenia?
Michael Hampton