IPv6 adreslerini yasaklama

Şu anda IPv4 adreslerini yasaklayarak sunucularımdan istenmeyen trafiği uzak tutmak için fail2ban gibi araçları kullanmaya alışkınım: IP başına çok fazla kötü günlük girişi, IP yasağı.

Ancak dünya IPv6'ya geçişi tamamladığında, "normal" bir botnet bilgisayarı veya saldırganın IPv6 adresleri çok fazla olduğundan, tek adreslerin yasaklanması artık işe yaramayacak mı?

IPv6 kullanıcılarını engellemek istersem bunu başarmanın en iyi yolu ne olurdu? Belirli bir IP maskesi veya başka bir şey mi kullanıyorsunuz?

IPv6 içinde birden fazla ayrı isabet elde edip tüm bloğu yasakladığınızda "sezgisel sezgisel tarama" yapmaya ne dersiniz?

Benim için tehdidi azaltmak daha önemli. Bazı zayıf gerçek kullanıcılar engellenen IP'lerle aynı bloğa aitse, bu netblock'un temizlenmesini sağlamak için bu insanlar ve İSS'leri arasında bir sorundur.

Saldırı için / 64 boyutlu bir alt ağ kullanıldığında / 128 başına yasaklama ölçeklenmez. Tabloda 2 ^ 64 giriş ile sonuçlanacaksınız ve bu da muhtemelen hizmet reddine neden olacaktır.

Son kullanıcılar her zaman genel adres atama politikası başına / 56 alır. İşletmeler her global adres için / 48

Bkz. Https://tools.ietf.org/html/rfc6177 / 128 hiçbir zaman bir sunucuya / kullanıcıya atanmamalı, başka bir varlığa (sunucu / vps müşterisi) minimum atama / 64 olmalıdır. Bir siteye minimum atama / 56 olmalıdır. / 128'lerin verilmesi temelde kırılmıştır ve bir yapılandırma hatası olarak düşünülmelidir.

Bu nedenle, tipik bir son kullanıcının yalnızca 2 ^ 8 / 64'lere erişebileceği göz önüne alındığında, / 64 başına geçici yasaklamayı öneriyorum, yasaklama tablosuna çok fazla giriş eklememelidir.

Sorunuza verdiğiniz herhangi bir cevap, bir miktar tahmin gerektirecektir. IPv6 dağıtımları hala henüz bilmediğimiz kadar azdır, tehdit senaryosunun nasıl görüneceğini.

Çok sayıda IPv6 adresi, dikkate almanız gereken tehdit senaryosuna birden fazla değişiklik getirecektir.

Her şeyden önce IPv4 ile, bir saldırganın 3700 milyon yönlendirilebilir IPv4 adresinin tamamında bazı savunmasız hizmetler için varsayılan bağlantı noktası numarasını taraması tamamen mümkündür. Bu tür hedefsiz saldırılar IPv6 ile mümkün değildir. Hâlâ gördüğünüz saldırıların daha fazla hedeflenmesi gerekecek. Bunun, saldırıları ele alırken çok değişmemiz gerekip gerekmediği görülüyor.

Günlük iletilerine dayalı IP'leri yasaklamanın temel amacı, günlüklerdeki gürültüyü azaltmak ve bir dereceye kadar sistem yükünü azaltmak olacaktır. İstismarlara karşı koruma görevi görmemelidir. Zayıflığı bilen bir saldırgan, yasaklama başlamadan önce içeride olurdu, bu nedenle güvenlik açıklarını her zaman zorunda kaldığınız gibi düzeltmeniz gerekir.

Tek tek IPv6 adreslerinin yasaklanması günlüklerdeki gürültüyü azaltmak için yeterli olabilir. Ama bu belirli bir şey değil. Saldırganın her bağlantı için erişilebilecek aralıktan yeni bir IP adresi kullanması pek olası değildir. Saldırganlar bireysel IPv6 adreslerini yasaklamak gibi davranacaklarsa, sadece etkisiz olmayacaklar, aynı zamanda güvenlik duvarı kuralları için tüm belleğinizi kullanarak yanlışlıkla kendinize bir DoS saldırısına neden olabilirsiniz.

Her bir saldırganın kullanabileceği önek uzunluğunu bilemezsiniz. Çok kısa bir ön ekin engellenmesi, meşru kullanıcıları da kapsayarak bir DoS saldırısına neden olur. Çok uzun bir ön ekin engellenmesi etkin olmayacaktır. Özellikle parola kaba kuvvet girişimlerinin çok sayıda istemci IPv6 adresi kullanması olasıdır.

Her istekte IPv6 adresini değiştiren saldırganlara karşı etkili olmak ve bellek kullanımını azaltmak için aralıkları engellemeniz ve önek uzunluklarını önceden bilmemeniz nedeniyle önek uzunluklarını dinamik olarak ayarlamanız gerekir.

Şimdiden sezgisel tarama yapmak mümkün. Ne kadar iyi çalışacaklarını henüz bilmiyoruz.

Bir sezgisel tarama, her önek uzunluğu için, bu uzunluğun bir önekini engellemek için kaç IP'nin gerektiğine ilişkin bir eşik tanımlamak olacaktır. Ve engelleme, daha uzun bir önek yeterli olmazsa, yalnızca belirli bir uzunlukta uygulanmalıdır. Başka bir deyişle, gerçekten bir blok başlatmak için her iki yarıda da ayrı ayrı engellenen IP'lere ihtiyacınız vardır.

Örneğin, bir / 48'i engellemek için, / 48'i oluşturan iki / 49'un her birinde 100 engellenmiş IP olması gerektiğine karar verilebilir. Ön ek ne kadar uzun olursa, bloke etmek için gereken IP sayısı o kadar az olmalıdır, ancak her durumda her iki yarıya da yayılması gerekir.

Tek adreslerin yasaklanmasına sadık kalmalısınız.

Son kullanıcılara kaç adres verileceği tanımlanmamıştır. Bazı İSS'ler bir alt ağa, bazıları ise yalnızca bir adres verebilir.