IPv6 standart hale geldiğinde IP tabanlı kurallar (ör. Yasaklar / filtreler) nasıl etkilenir?

13

Stack Exchange sitelerinin IP'yi yasakladığı göz önüne alındığında, davranışları dikte etmek için kullanıcının IP'sine dayalı kurallar oluşturma konusunda ortak bir görüş veya strateji olup olmadığını merak ediyorum.

IPv4 ile, belirli bir IP hakkında oldukça güvenilir bir şekilde üstlenebileceğiniz birkaç şey var:

  1. Bir alt ağı paylaşan IP'ler aynı kullanıcı olabilir
  2. IP'ler çeşitli gerçek uç noktalar için tekrar kullanılabilse de , aynı kullanıcı olmayan veya en azından aynı ev / kuruluşta (temelde paylaşılan bir bağlantı) bir IP'den yinelenen bağlantılar görmeniz pek olası değildir .
  3. bir kullanıcının yeni bir genel IP alması çok kolay değildir (buraya giriş için orta büyüklükte bir engel vardır)

IPv6 ile tüm bunları varsayabilir misiniz? En azından ikinci noktanın artık doğru olmayacağını hayal ediyorum çünkü NAT'ing'in IPv6 ile esasen ortadan kalkması gerekiyor çünkü bir tane isteyen herkes için yeterli IP olacak.

IP tabanlı bir dizi ilke kümeniz varsa, ikisi arasındaki farklar nedeniyle varsa IPv6 için ne dikkate alınması gerekir?

ipv6 
Daniel DiPaolo
kaynak

Yanıtlar:

6

IPv6 ile mükemmel bir çözüm olduğunu düşünmüyorum. Ancak dikkate alınması gereken birkaç nokta var:

  • İSS'ler büyük olasılıkla /64bireysel müşterilere alt ağlar verecektir . (Etrafta dolaşmak için yeterli olacak.)
  • İşyerlerinde /64her ofis için en az bir tane olacaktır .
  • Kesinlikle noktadan noktaya bağlantıları sunan ISS'ler olabilir arasındaki kullanım öneklerine kullanımını tercih /64ve /126. ( Neden genel olarak / 127 kullanmadıklarına bakın ) Bu, muhtemelen kısa görüşlü bir İSS veya tam olarak daha fazla ücret almak isteyen bir kullanıcı olacaktır /64. Her uç noktanın (tam müşteri ağı olabilir) gerçekten olmaması için hiçbir neden yoktur /64.
  • En IPv6 son kullanıcı alt ağlar bir olacak varsayarsak /64, tek arayüz belirleyicisi (bkz Bit 6 bakabilir bölüm 3.2.1 ait RFC 4941 ) büyük olasılıkla bir genel benzersiz tanımlayıcı (MAC adresi) dayalı oluşturulan kontrol etmek. Bu kesinlikle kusursuz değil. Ancak bu bit ayarlanırsa, büyük olasılıkla adresin bir MAC adresinden üretildiğini gösterir. Böylece IPv6 adresleri son 64 bite dayalı olarak engellenebilir ve hangi alt ağdan geldiklerine bakılmaksızın kullanıcılar engellenebilir. (Belki de bunu "ipucu" olarak kullanmak en iyisidir çünkü MAC adresleri küresel olarak benzersiz olsa da, pratikte her zaman değildir. Artı kolayca sahtekardır. Ama belaya gidecek kadar anlayışlı olan herkes muhtemelen daha kolay bulur bir tane al /64ve yine de 2 ^ 64 benzersiz adres al.)
  • Eğer gizlilik adresleri kullanılıyorsa ... tek bir adresi kısa bir süre için engellemek dışında yapılacak pek bir şey yoktur. Muhtemelen yakında değişecek. /64Bu noktada ağdaki faktör , ancak birisinin tüm şirket ofisini engelliyor olabileceğinizden emin olun.

En iyi yolun önce tek tek adreslere bakmak, sonra adresin son 64 bitini ve belirli /64alt ağlardan kötüye kullanım kalıplarını bir engelleme stratejisi uygulamak için bakmak olacağını söyleyebilirim . Özetlemek:

  • Tek tek /128IP adreslerini engelleyerek başlayın (muhtemelen bugün IPv4 ile yaptığınız gibi)
  • Bir adresin son 64 bitinde gizlilik dışı bir adresten kötüye kullanım modeli görürseniz, bunu engelleme algoritmanızda güçlü bir gösterge olarak kullanın. Birisi İSS'ler veya alt ağlar arasında atlamalı olabilir. (yine, MAC'lerin benzersiz olması nedeniyle buna dikkat edin - birisi algoritmanızdan yararlanmak için sahtekarlık yapabilir) Ayrıca, bu sadece IPv6'nın nasıl çalıştığını bilmeyen istismarcılara karşı işe yarayacaktır. ;-)
  • Belli bir kötüye kullanım modeli fark ederseniz , rahatsız edici ağ yöneticisinin sonunda yapılması gereken her şeyi yapabilmesi /64için tümünü /64iyi bir hata mesajı ile engelleyin .

İyi şanslar.

mpontillo
kaynak
2 ^ 64 = 18,446,744,073,709,552,000 olası adres. Neden kullanıcılar bu kadar çok adrese ihtiyaç duyuyor?
TheLQ
@TheLQ, belli ki bilmiyorlar. Ancak, son kullanıcı ağları bunu yapar, çünkü RFC 4291 64 bit arabirim tanımlayıcıları gerektirir. Bu nedenle, son 64 bit, en azından Ethernet ağlarında, neredeyse bir EUI-64 adresi tarafından alınacak - 64 bit'e genişletilen 48 bitlik bir MAC. /64IPv6'da NAT olmadığından, tek bir (statik veya dinamik) IP adresi yerine çoğu ev ağının tek (statik veya dinamik) bir alt ağa ihtiyacı olacaktır .
mpontillo
Ayrıca, başka birinin belirttiği gibi, DHCPv6 duruma biraz yardımcı olabilir, ancak sadece ilk 64 yerine 128 bitin hepsine dayalı olarak yönlendirmeniz gerekeceğinden, yönlendiriciler üzerinde bir zorlama olacaktır. /64müşteri başına değil , yönlendirme tablonuzu mantıksız bir boyutta patlatabilir ve yönlendirme için kullanılan donanıma bağlı olarak sorunlara neden olabilir.
mpontillo
Teşekkürler, IP'lerin Mac adreslerine dayandığını bilmiyordum ve bir yerlerde yönlendirme tablosu olduğunu unuttum. Görünüşe göre bazı okumalarım var
TheLQ
1
Mevcut en iyi uygulama , bir İSS'nin konut müşterisi için asgari atamanın / 56 olması gibi görünüyor . Tabii ki, çoğu müşteri muhtemelen bir süre boyunca böyle bir blokta bir veya iki / 64'den fazla alt ağ kullanmaz, ancak kullanım beklenir.
Michael Hampton
3

Listelediğiniz varsayımlar:

Bir alt ağı paylaşan IP'ler aynı kullanıcı olabilir

Tutmaya devam ediyor - aslında ISS'ler müşterilere IPv6 alt ağları tahsis ediyorsa, daha da gerçek oluyor.

IP'ler çeşitli gerçek uç noktalar için tekrar kullanılabilse de, aynı kullanıcı olmayan veya en azından aynı ev / kuruluşta (temelde paylaşılan bir bağlantı) bir IP'den yinelenen bağlantılar görmeniz pek olası değildir.

Tutmaya devam eder (aslında yukarıda açıklandığı gibi tüm alt ağ için geçerlidir).

Bir kullanıcının yeni bir genel IP alması çok kolay değil (buraya giriş için orta ölçekli bir engel var)

Tek bir IP için çok fazla geçerli değildir, ancak ISS tarafından verilen bir alt ağ için geçerlidir.

Temel olarak, şu anda IP yasaklarına sahip olduğumuz alt ağ yasaklarına bakıyoruz ve ISP'lerin tüm kullanıcılara alt ağlar dağıttığını varsayalım. Bunun yerine kullanıcılar tek tek IPv6 adresleri (kullanıcı başına bir tane) alırsa, tek bir IPv6 yasaklarına bakıyoruz; bu da çok fazla kötü niyetli kullanıcı varsa çok daha uzun bir yasak tablosuna (ve ilişkili performans sorunlarına) yol açabilir.
Her iki durumda da bir IP yasağı daha ayrıntılı bir araç haline gelir (yani, bir kişinin yanlış davranması nedeniyle dinamik bir havuzu olan bir ISS'den bir grup kullanıcıyı engelleme riski daha azdır), bence iyi bir şey ...

voretaq7
kaynak
1
Mobil ağlar her telefona tüm 64'leri dağıtırsa şaşıracağım. Dinamik bir havuzdan mutlaka bir IP alacaklar. LTE büyük bir yoldan çıkarsa, yine de "dinamik havuzlu bir İSS'den birden fazla kullanıcıyı engelleme nedeniyle bir kişi hatalı davrandığından" geri dönebiliriz.
Richard Gadsden
2

Wikipedia / MediaWiki, / 64 içindeki beşinci IP'yi engellediğinde bir bütünü / 64'ü engelleme politikasını benimsiyor.

Beşi, diğerlerinin benimsediği standart temel kural olarak görünüyor - gördüğüm birkaç DNSBL aynı politikayı benimsiyor.

/ 48 veya a / 56 almak mütevazı bir organizasyon için bile oldukça kolay olsa da, / 64'ün üzerinde blokları birleştirme planlarını görmedim. Tabii ki, spam gönderenler şu anda genellikle bir / 24 (IPv4) ya da daha fazlasına sahipler, bu yüzden IPv6 alanının büyük yığınlarını yakalamaya başlayacaklarını umuyorum.

Richard Gadsden
kaynak
1

Bir alt ağı paylaşan IP'ler aynı kullanıcı olabilir

Hala doğrudur, v6 ile daha da doğrudur.

IP'ler çeşitli gerçek uç noktalar için tekrar kullanılabilse de, aynı kullanıcı olmayan veya en azından aynı ev / kuruluşta (temelde paylaşılan bir bağlantı) bir IP'den yinelenen bağlantılar görmeniz pek olası değildir.

Muhtemelen v6 ile v4'ten daha doğru.

bir kullanıcının yeni bir genel IP alması çok kolay değildir (buraya giriş için orta büyüklükte bir engel vardır)

Çoğu durumda, tek tek adresler yerine ISS'ler adres blokları dağıtacaktır. Bir müşterinin blokları içinde hareket etmesi kolaydır. Yeni bir blok almak daha zor (imkansız olmaktan uzak olsa da).

En zor yanı, müşterilere tahsis boyutlarının çılgınca değişmesidir. Bazı ISS'ler tek tek adresler, bazı / 64 blok, bazı / 56 blok, bazı / 48 blok dağıtır.

Bu, tüm İSS'ler için işe yarayacak mantıklı bir yasak / sınırlama politikası geliştirmeyi zorlaştıracaktır. Bu "sıcak" / 48 büyük bloklar veren bir ISS bulan tek bir istismar mı yoksa tek tek adresler veren cimri bir mobil sağlayıcı üzerinde büyük bir kullanıcı grubu mu.

PS IPv6'yı uygulamayı reddetmek, IPv4 tükenmesinde olduğu gibi giderek daha fazla müşteri, ISS düzeyi NAT'ın bir türünün arkasında olacak.

Peter Green
kaynak
0

Bence bu, İSS'lerin ne yapacağına bağlı. Kullanıcılara gerçek dinamik IP'leri kanıtlamaya devam edecekler mi? Değilse veya her kullanıcı sadece kendi ip / alt ağını alırsa, IP'ler bir plaka ile hemen hemen aynı olmaya başlar.

sağda olan
kaynak
ISS sorusu aşağıdakilere dayanır: "ISS ağa bağlanabileceğiniz birim sayısını sınırlamak istiyor mu?" Hayır ise, her birine bir / 64 dağıtmak ve muhtelif yol olacaktır. Evetse, dhcpv6'nın hakim olacağını hayal ediyorum.
Bittrance
1
/ 64'ün ev kullanıcısı geniş bant için baskın olacağından şüpheleniyorum - aslında, ev CPE ("yönlendiricileri") üzerindeki IPv6 uygulamalarının çoğu / 64 verileceğini varsayar. OTOH, mobil telekom sağlayıcıları, her cihaza tek bir IP dağıtarak tethering'i ve tethering için ödeme yapan kullanıcılara a / 64 gönderebilir.
Richard Gadsden
0

IPv6'nın IP adreslerinin sayısını çok artıracağını anladığımda, ancak ana bilgisayar başına bağlantı noktası sayısını artırmayacağım, önce şaşkındım. Bilgisayarların gittikçe daha güçlü hale geldiği ve bu nedenle çok sayıda eşzamanlı bağlantıya hizmet verebildiği göz önüne alındığında, IPv6 adresi başına maksimum 65535 bağlantı noktasıyla sınırlı olmak "bir sonraki darboğaz" gibi görünüyordu.

Sonra bir kez daha düşündüm ve bir fiziksel arabirime birden fazla IPv6 atamanın önemsiz olduğunu fark ettim ve bu şekilde ana bilgisayara bağlanabilen bağlantı noktası sayısının sınırını aştım. Aslında, düşünün, ana makinenize 1024 veya 4096 IPv6 adreslerini kolayca atayabilir ve daha sonra hizmetlerinizi tüm adreslerdeki çeşitli bağlantı noktalarına rastgele dağıtabilirsiniz, bu da bağlantı noktası tarayıcılarına oldukça zor bir zaman verir (en azından teoride) .

Artık ana bilgisayar sanallaştırma (nispeten güçlü bir fiziksel ana bilgisayarda birden çok daha küçük sanal ana bilgisayar) ve el cihazları (IPv6 bağlantılı cep telefonlarını gezegendeki herkese düşünüyorum) gibi eğilimler muhtemelen buna karşı konuşabilir, gelecekteki internetteki çoğu ana bilgisayar muhtemelen oldukça birkaç bağlantı noktası ve bu nedenle ana bilgisayar başına yalnızca tek bir IPv6 adresine ihtiyaç duyar.

(Ancak, sahip olduğunuz ve rastgele seçebileceğiniz geniş bir IPv6 adresi havuzunda "gizleme" yeteneği, kabul edilebilir bir şekilde çoğu durumda ince olsa bile, bir miktar güvenlik katmanı sağlar)

IllvilJa
kaynak
1
Yapay yük testi dışında iki bilgisayar 65536 eşzamanlı bağlantıyı ne zaman açar?
Michael Hampton
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.