Как влияют правила на основе IP (например, запреты / фильтры), когда IPv6 становится стандартом?

13

Учитывая, что сайты Stack Exchange запрещают IP , мне интересно, есть ли общее мнение или стратегия о создании правил, основанных на IP пользователя, для того, чтобы диктовать поведение.

С IPv4 у вас есть несколько вещей, которые вы можете достаточно надежно предположить о данном IP:

  1. IP-адреса, которые совместно используют подсеть, вполне могут быть одним и тем же пользователем
  2. хотя IP-адреса можно повторно использовать для различных реальных конечных точек, относительно маловероятно, что вы увидите дублированные соединения с IP-адреса, которые не являются принадлежат одному и тому же пользователю или, по крайней мере, одному и тому же домашнему хозяйству / организации (в основном, разделяемому соединению)
  3. пользователю не так просто получить новый публичный IP-адрес (здесь есть средний барьер для входа)

С IPv6, вы можете принять все это? Я бы предположил, что, по крайней мере, второй пункт больше не будет правдой, так как предполагается, что NAT'ing по существу уйдет с IPv6, потому что будет достаточно IP-адресов для любого, кто этого хочет.

Если у вас есть набор политик на основе IP, какие соображения необходимо учитывать для IPv6, если таковые имеются, из-за различий в этих двух?

Даниэль ДиПаоло
источник

Ответы:

6

С IPv6 я не думаю, что есть идеальное решение. Но есть ряд вещей, которые следует учитывать:

  • Интернет-провайдеры, скорее всего, будут выдавать /64подсети отдельным клиентам. (Там будет достаточно, чтобы обойти.)
  • Рабочие места, скорее всего, будут иметь хотя бы одно /64рабочее место.
  • Интернет-провайдеры, предлагающие строго двухточечные ссылки, могут использовать префиксы между /64и /126. (Смотрите, почему они вообще не используют / 127 ). Возможно, это будет либо недальновидный провайдер, либо тот, кто хочет брать больше за полную /64. На самом деле нет никаких причин, по которым каждая конечная точка (которая может быть полноценной клиентской сетью) не должна быть /64.
  • Предполагая, что большинство подсетей конечных пользователей IPv6 будут подключены к a /64, можно взглянуть на бит 6 в идентификаторе интерфейса (см. Раздел 3.2.1 в RFC 4941 ), чтобы проверить, был ли он сгенерирован на основе глобального уникального идентификатора (MAC-адреса). Это не надежно, очевидно. Но если этот бит установлен, вероятно, указывает, что адрес был сгенерирован из MAC-адреса. Таким образом, можно заблокировать адреса IPv6 на основе последних 64 битов, и пользователи могут быть заблокированы независимо от того, из какой они сети. (Возможно, лучше использовать это как «подсказку», поскольку MAC-адреса, хотя они и должны быть уникальными для всего мира, на практике не всегда. Плюс они легко подделываются. Но любому, кто достаточно разбирается в этом, вероятно, будет легче захватить /64и получить 2 ^ 64 уникальных адресов в любом случае.)
  • Если адреса конфиденциальности используются ... мало что можно сделать, кроме как заблокировать этот один адрес на короткое время. Скорее всего, скоро все изменится. Фактор в сетевой части /64на данный момент, но будьте осторожны, так как вы можете заблокировать чей-то весь корпоративный офис.

Я бы сказал, что наилучшим способом было бы сначала взглянуть на отдельные адреса, а затем учесть последние 64 бита адреса и схемы злоупотребления в отдельных /64подсетях, чтобы реализовать стратегию блокировки. Подвести итоги:

  • Начните с блокировки отдельных /128IP-адресов (как вы, вероятно, делаете сегодня с IPv4)
  • Если в последних 64 битах адреса вы заметили злоупотребление адресом, не связанным с конфиденциальностью, используйте его в качестве сильного индикатора в алгоритме блокировки. Кто-то может прыгать между провайдерами или подсетями. (опять же, будьте осторожны с этим, поскольку MAC не обязательно являются уникальными - кто-то может подделать, чтобы использовать ваш алгоритм). Кроме того, это будет работать только против злоумышленников, которые не знают, как работает IPv6. ;-)
  • Если вы заметили характер злоупотребления со стороны конкретного /64, заблокируйте все /64с хорошим сообщением об ошибке, чтобы администратор сети-нарушителя мог выполнить любую работу, которую необходимо выполнить на его / ее конце.

Удачи.

mpontillo
источник
2 ^ 64 = 18,446,744,073,709,552,000 возможных адресов. С какой стати пользователям нужно так много адресов?
TheLQ
@TheLQ, нет, очевидно. Конечных пользователей сети , тем не менее, поскольку RFC 4291 требует идентификаторы интерфейсов 64-разрядных. Таким образом, последние 64 бита, по крайней мере в сетях Ethernet, будут почти заняты адресом EUI-64 - 48-битный MAC - адрес, расширенный до 64-битных. По /64этой причине большинству домашних сетей вместо одного (статического или динамического) IP-адреса потребуется одна (статическая или динамическая) подсеть, поскольку в IPv6 нет NAT.
mpontillo
Кроме того, как уже упоминал кто-то другой, DHCPv6 может несколько помочь в этой ситуации, но это может создать нагрузку на маршрутизаторы, так как вам придется маршрутизировать на основе всех 128 битов, а не только первых 64. Если вы маршрутизируете на отдельные IP-адреса а не на /64каждого клиента, это может привести к тому, что ваша таблица маршрутизации может оказаться неоправданно большой и вызвать проблемы в зависимости от оборудования, используемого для маршрутизации.
mpontillo
Спасибо, я понятия не имел, что IP-адреса основаны на Mac-адресах, и забыл, что где-то есть таблица маршрутизации. Похоже, у меня есть кое-что для чтения
TheLQ
1
Похоже, что в настоящее время лучшая практика заключается в том, что минимальным назначением для постоянного интернет-клиента является / 56. Конечно, большинство клиентов, вероятно, не будут использовать более одной или двух / 64 подсетей в таком блоке достаточно долгое время, если вообще когда-либо, но использование ожидается.
Майкл Хэмптон
3

Предположения, которые вы перечислите:

IP-адреса, которые совместно используют подсеть, вполне могут быть одним и тем же пользователем

Продолжает удерживаться - фактически, если интернет-провайдеры распределяют подсети IPv6 своим клиентам, это становится еще более верным.


Несмотря на то, что IP-адреса могут быть повторно использованы для различных фактических конечных точек, относительно маловероятно, что вы увидите дублированные подключения с IP-адреса, которые не принадлежат одному и тому же пользователю или, по крайней мере, одному и тому же домашнему хозяйству / организации (в основном, общее подключение)

Продолжает удерживать (фактически относится ко всей подсети, как описано выше).


Пользователю не так просто получить новый публичный IP-адрес (здесь существует средний барьер для входа)

Не применяется к отдельному IP-адресу, а применяется к подсети, разосланной интернет-провайдером.


Таким образом, в основном мы рассматриваем запреты подсетей, где у нас в настоящее время есть запреты IP, предполагая, что интернет-провайдеры раздают подсети всем своим пользователям. Если вместо этого пользователи получают отдельные адреса IPv6 (по одному на пользователя), то мы рассматриваем отдельные запреты IPv6, которые могут привести к гораздо более длинной таблице запретов (и связанным с этим проблемам с производительностью), если существует много пользователей с плохим поведением.
В любом случае запрет на использование IP становится более детальным инструментом (т. Е. Снижается риск блокирования группы пользователей от интернет-провайдера, который имеет динамический пул из-за неправильного поведения одного человека), что, на мой взгляд, является хорошей вещью ...

voretaq7
источник
1
Я буду удивлен, если мобильные сети раздают целые / 64-е на каждый телефон. Они обязательно получат IP из динамического пула. Если LTE выходит из-под контроля, мы все равно можем «заблокировать нескольких пользователей от интернет-провайдера, который имеет динамический пул, потому что один человек плохо себя вел».
Ричард Гадсден
2

Википедия / MediaWiki применяют политику блокировки целого / 64, когда блокируют пятый IP-адрес в этом / 64.

Пять, кажется, стандартное эмпирическое правило, которое принимают другие - пара DNSBL, которые я видел, придерживаются той же политики.

Я не видел никаких планов собирать блоки выше / 64, хотя получить / 48 или / 56 довольно легко даже для скромной организации. Конечно, спаммеры в настоящее время часто имеют / 24 (IPv4) или около того, поэтому я ожидаю, что они начнут захватывать большие куски пространства IPv6.

Ричард Гадсден
источник
1

IP-адреса, которые совместно используют подсеть, вполне могут быть одним и тем же пользователем

Все еще верно, действительно даже более верно с v6.

хотя IP-адреса могут быть повторно использованы для различных реальных конечных точек, относительно маловероятно, что вы увидите дублированные подключения с IP-адреса, которые не принадлежат одному и тому же пользователю или, по крайней мере, одному и тому же домашнему хозяйству / организации (в основном, общее подключение)

Вероятно, еще более верно с v6, чем v4.

пользователю не так просто получить новый публичный IP-адрес (здесь есть средний барьер для входа)

В большинстве случаев вместо отдельных адресов интернет-провайдеры будут раздавать блоки адресов. Клиенту легко перемещаться в пределах своего блока. Сложнее (хотя и далеко не невозможно) получить новый блок.

Самое сложное в том, что размеры распределения для клиентов сильно различаются. Некоторые интернет-провайдеры раздают индивидуальные адреса, некоторые / 64 блока, некоторые / 56 блоков, некоторые / 48 блоков.

Это усложнит разработку разумной политики запрета / ограничения, которая будет работать для всех интернет-провайдеров. Является ли это «горячим» / 48 единственным злоумышленником, который обнаружил интернет-провайдера, который выдал большие блоки, или это большая группа пользователей скупого мобильного провайдера, который выдает отдельные адреса.

PS Отказ от реализации IPv6 на самом деле не является решением, так как с исчерпанием IPv4 все больше и больше клиентов будут находиться за той или иной формой NAT уровня ISP.

Питер Грин
источник
0

Я думаю, что это будет сильно зависеть от того, что будут делать провайдеры. Будут ли они продолжать предоставлять пользователям реальные динамические IP-адреса? Если нет, или если каждый пользователь получит свой собственный IP / подсеть исключительно, то IP-адреса начнут быть почти такими же, как номерной знак.

правый
источник
Вопрос провайдера сводится к следующему: «Хочет ли провайдер ограничить количество устройств, которые вы можете подключить к сети?» Если нет, маршрутом будет раздача / 64 каждому. Если да, я думаю, что dhcpv6 будет доминировать.
Биттранс
1
Я подозреваю, что / 64 будет доминирующим для домашнего широкополосного пользователя - на самом деле, многие реализации IPv6 на домашнем CPE («маршрутизаторах») предполагают, что им будет предоставлен / 64. OTOH, операторы мобильной связи могут предотвратить привязку, раздавая один IP-адрес каждому устройству и / 64 пользователям, которые заплатили за привязку.
Ричард Гадсден
0

Когда я понял , что IPv6 собирается увеличить количество IP - адресов много , но не увеличивая число портов на хосте, я сначала озадачил. Учитывая, что компьютеры становятся все более и более мощными и, следовательно, становятся более способными обслуживать огромное количество одновременных подключений, ограничение до 65535 портов на IPv6-адрес представляется «следующим узким местом».

Затем я подумал об этом еще раз и понял, что тривиально назначать несколько IPv6 одному физическому интерфейсу и таким образом обойти ограничение количества портов, которые могут подключаться к хосту. На самом деле, если подумать, вы можете довольно легко назначить 1024 или 4096 IPv6-адресов вашему хосту, а затем как бы случайным образом распределить ваши сервисы по различным портам по всем адресам, предоставляя сканерам портов довольно трудное время (по крайней мере, в теории) ,

Теперь такие тенденции, как виртуализация хостов (несколько меньших виртуальных хостов на относительно мощном физическом хосте) и портативные устройства (думаю, мобильные телефоны, подключенные по протоколу IPv6 для всех на планете), вероятно, скажут на это, большинство хостов в будущем Интернете, вероятно, будут использовать довольно несколько портов и, следовательно, нужен только один IPv6-адрес на хост.

(Но возможность «спрятаться» в большом пуле IPv6-адресов, каждый из которых у вас есть и который вы можете выбирать случайным образом, по-прежнему обеспечивает некоторый уровень безопасности, даже если в большинстве случаев он, по общему признанию, тонкий)

IllvilJa
источник
1
И когда два компьютера откроют 65536 одновременных соединений друг с другом, за исключением теста на искусственную нагрузку?
Майкл Хэмптон