Biorąc pod uwagę, że witryny Stack Exchange blokują IP , zastanawiam się, czy istnieje wspólna opinia lub strategia dotycząca tworzenia reguł opartych na adresie IP użytkownika w celu dyktowania zachowań.
W przypadku IPv4 masz kilka rzeczy, które możesz rzetelnie założyć o danym adresie IP:
- Adresy IP współdzielące podsieć mogą równie dobrze być tym samym użytkownikiem
- podczas gdy adresy IP mogą być ponownie wykorzystane do różnych rzeczywistych punktów końcowych, stosunkowo mało prawdopodobne jest, że zobaczysz zduplikowane połączenia z adresu IP, które nie są tym samym użytkownikiem lub przynajmniej tym samym domem / organizacją (w zasadzie połączenie współdzielone)
- uzyskanie nowego publicznego adresu IP nie jest trywialnie łatwe (istnieje tutaj średniej wielkości bariera wejścia)
Czy w przypadku IPv6 możesz to wszystko założyć? Wyobrażam sobie, że przynajmniej drugi punkt nie byłby już prawdziwy, ponieważ NAT'ing ma zasadniczo odejść od IPv6, ponieważ będzie wystarczająco dużo adresów IP dla każdego, kto je chce.
Jeśli masz zestaw zasad opartych na adresie IP, jakie należy rozważyć w przypadku protokołu IPv6, jeśli takie istnieją, ze względu na różnice między nimi?
/64
tego powodu pojedynczej podsieci (statycznej lub dynamicznej) , ponieważ w IPv6 nie ma NAT./64
jednego klienta, co może rozerwać tabelę routingu do nieuzasadnionego rozmiaru i powodować problemy w zależności od sprzętu używanego do routingu.Wymienione przez ciebie założenia:
Nadal utrzymuje się - w rzeczywistości, jeśli dostawcy usług internetowych przydzielają podsieci IPv6 swoim klientom, staje się to jeszcze bardziej prawdziwe.
Nadal utrzymuje (w rzeczywistości dotyczy całej podsieci, jak opisano powyżej).
Nie dotyczy tak bardzo pojedynczego adresu IP, ale dotyczy podsieci rozdanej przez dostawcę usług internetowych.
Zasadniczo patrzymy na zakazy podsieci, w których obecnie mamy zakazy IP, zakładając, że dostawcy usług internetowych rozdają podsieci wszystkim swoim użytkownikom. Jeśli zamiast tego użytkownicy otrzymają indywidualne adresy IPv6 (jeden na użytkownika), wówczas przyjrzymy się pojedynczym zakazom IPv6, co może prowadzić do znacznie dłuższej tabeli blokowania (i powiązanych problemów z wydajnością), jeśli jest dużo złych użytkowników.
W obu przypadkach zakaz IP staje się bardziej szczegółowym narzędziem (tj. Mniejszym ryzykiem zablokowania grupy użytkowników przed dostawcą usług internetowych, który ma pulę dynamiczną, ponieważ jedna osoba źle się zachowała), co moim zdaniem jest dobrą rzeczą ...
źródło
Wikipedia / MediaWiki przyjmują politykę blokowania całego / 64, gdy blokują piąty adres IP w tym / 64.
Pięć wydaje się być standardową zasadą przyjętą przez innych - kilka DNSBLów, które widziałem, stosują te same zasady.
Nie widziałem żadnych planów agregowania bloków powyżej A / 64, nawet jeśli uzyskanie / 48 lub A / 56 jest dość łatwe nawet dla skromnej organizacji. Oczywiście, spamerzy obecnie często mają / 24 (IPv4), więc spodziewam się, że zaczną pobierać duże fragmenty przestrzeni IPv6.
źródło
Nadal prawdziwe, a nawet jeszcze bardziej prawdziwe w wersji 6.
Prawdopodobnie jeszcze bardziej prawdziwe w wersji 6 niż w wersji 4.
W większości przypadków zamiast pojedynczych adresów dostawcy usług internetowych będą rozdawać bloki adresów. Klient może łatwo poruszać się po swoim bloku. Trudniej (choć dalekie od niemożliwego) zdobyć nowy blok.
Najtrudniejszy jest fakt, że wielkości przydziału dla klientów różnią się bardzo. Niektórzy dostawcy usług internetowych rozdają indywidualne adresy, niektóre / 64 bloki, niektóre / 56 bloków, niektóre / 48 bloków.
Utrudni to wymyślenie rozsądnych zasad dotyczących banowania / ograniczania, które będą działać dla wszystkich dostawców usług internetowych. Czy to „gorący” / 48 pojedynczy sprawca, który znalazł usługodawcę, który rozdawał duże bloki, czy też jest to duża grupa użytkowników na skąpym dostawcy usług mobilnych, który rozdaje poszczególne adresy.
PS Odmowa wdrożenia IPv6 nie jest tak naprawdę rozwiązaniem, ponieważ wraz z wyczerpaniem IPv4 coraz więcej klientów będzie stać za jakąś formą NAT na poziomie ISP.
źródło
Myślę, że będzie to bardzo zależeć od tego, co zrobią dostawcy usług internetowych. Czy nadal będą dostarczać użytkownikom prawdziwe dynamiczne adresy IP? Jeśli nie, lub jeśli każdy użytkownik otrzyma wyłącznie swój adres IP / podsieć, adresy IP zaczną być prawie takie same jak tablica rejestracyjna.
źródło
Kiedy zrozumiał, że IPv6 zamierza zwiększyć liczbę adresów IP dużo ale nie zwiększając liczbę portów na hoście, ja najpierw zdziwiony. Biorąc pod uwagę, że komputery stają się coraz mocniejsze, a tym samym stają się w stanie obsługiwać ogromną liczbę jednoczesnych połączeń, ograniczenie do maksymalnie 65535 portów na adres IPv6 wydawało się „kolejnym wąskim gardłem”.
Potem pomyślałem o tym jeszcze raz i zdałem sobie sprawę, że przypisanie wielu IPv6 do jednego interfejsu fizycznego jest banalne i w ten sposób można ominąć ten limit liczby portów, które mogą połączyć się z hostem. Pomyśl o tym, możesz dość łatwo przypisać 1024 lub 4096 adresów IPv6 do swojego hosta, a następnie losowo rozłożyć swoje usługi na różne porty na wszystkich adresach, dając skanerom portów znacznie trudniejszy czas (przynajmniej teoretycznie) .
Teraz trendy, takie jak wirtualizacja hosta (wiele mniejszych wirtualnych hostów na względnie silnym hoście fizycznym) i urządzenia przenośne (myślą, że telefony komórkowe podłączone do IPv6 są dostępne dla wszystkich na świecie) prawdopodobnie przemówią przeciwko temu, większość hostów w przyszłym Internecie prawdopodobnie będzie używać dość kilka portów i dlatego potrzebny jest tylko jeden adres IPv6 na host.
(Ale możliwość „ukrywania się” w dużej puli adresów IPv6, z których wszystkie posiadasz i którą możesz wybierać losowo, nadal zapewnia pewną warstwę bezpieczeństwa, nawet jeśli w większości przypadków jest cienka)
źródło