Các quy tắc dựa trên IP (ví dụ: cấm / bộ lọc) bị ảnh hưởng như thế nào khi IPv6 trở thành tiêu chuẩn?

13

Do các trang web Stack Exchange cấm IP , tôi tự hỏi liệu có ý kiến ​​hay chiến lược chung nào về việc đưa ra các quy tắc dựa trên IP của người dùng để ra lệnh cho các hành vi hay không.

Với IPv4, bạn đã có một vài điều mà bạn hoàn toàn có thể tin tưởng về một IP nhất định:

  1. Các IP chia sẻ một mạng con rất có thể là cùng một người dùng
  2. Mặc dù IP có thể được sử dụng lại cho các điểm cuối thực tế khác nhau, nhưng rất khó có khả năng bạn sẽ thấy các kết nối trùng lặp từ một IP không cùng người dùng hoặc ít nhất là cùng một hộ gia đình / tổ chức (về cơ bản, kết nối được chia sẻ)
  3. Người dùng không dễ dàng có được một IP công cộng mới (có một rào cản cỡ trung bình để vào đây)

Với IPv6, bạn có thể đảm nhận tất cả những điều này? Tôi sẽ tưởng tượng ít nhất là điểm thứ hai sẽ không còn đúng nữa vì NAT về cơ bản sẽ biến mất với IPv6 vì sẽ có đủ IP cho bất kỳ ai muốn một.

Nếu bạn đã có một bộ chính sách dựa trên IP, những cân nhắc nào cần được thực hiện cho IPv6 nếu có vì sự khác biệt trong hai chính sách này?

ipv6 
Daniel DiPaolo
nguồn

Câu trả lời:

6

Với IPv6, tôi không nghĩ có một giải pháp hoàn hảo. Nhưng có một số điều cần xem xét:

  • ISP có thể sẽ cung cấp /64mạng con cho khách hàng cá nhân. (Sẽ có đủ để đi xung quanh.)
  • Nơi làm việc có thể sẽ có ít nhất một /64cho mỗi văn phòng.
  • Các ISP cung cấp các liên kết điểm-điểm nghiêm ngặt có thể chọn sử dụng để sử dụng tiền tố giữa /64/126. (Xem lý do tại sao họ không sử dụng / 127 nói chung ) Đây có thể là một ISP thiển cận hoặc một người muốn tính phí nhiều hơn cho đầy đủ /64. Thực sự không có lý do gì mà mỗi điểm cuối (có thể là một mạng lưới khách hàng đầy đủ) không nên là một /64.
  • Giả sử hầu hết các mạng con người dùng cuối IPv6 sẽ ở trên một /64, người ta có thể nhìn vào bit 6 trong mã định danh giao diện (xem phần 3.2.1 của RFC 4941 ) để kiểm tra xem nó có khả năng được tạo dựa trên số nhận dạng duy nhất toàn cầu (địa chỉ MAC) không. Điều này không phải là hoàn hảo, rõ ràng. Nhưng nếu bit này được đặt, có khả năng chỉ ra rằng địa chỉ được tạo từ địa chỉ MAC. Vì vậy, người ta có thể chặn các địa chỉ IPv6 dựa trên 64 bit cuối cùng và người dùng có thể bị chặn bất kể họ đến từ mạng con nào. (Có lẽ tốt nhất nên sử dụng điều này như một "gợi ý" vì các địa chỉ MAC, trong khi được cho là duy nhất trên toàn cầu, trong thực tế không phải lúc nào. Ngoài ra, chúng dễ bị giả mạo. Nhưng bất kỳ ai đủ hiểu biết để gặp rắc rối có thể sẽ dễ dàng hơn lấy một /64và nhận 2 ^ 64 địa chỉ duy nhất nào.)
  • Nếu địa chỉ riêng tư đang được sử dụng ... không có gì nhiều để làm ngoại trừ chặn một địa chỉ đó trong một thời gian ngắn. Dù sao nó cũng sẽ thay đổi. Yếu tố trong phần mạng của /64thời điểm này, nhưng hãy cảnh giác vì bạn có thể chặn toàn bộ văn phòng công ty của ai đó.

Tôi sẽ nói rằng cách tốt nhất là trước tiên hãy xem các địa chỉ riêng lẻ, sau đó tính đến 64 bit cuối cùng của địa chỉ và các kiểu lạm dụng từ các /64mạng con cụ thể để thực hiện chiến lược chặn. Để tóm tắt:

  • Bắt đầu bằng cách chặn các /128địa chỉ IP riêng lẻ (như bạn có thể làm hôm nay với IPv4)
  • Nếu bạn nhận thấy mô hình lạm dụng từ một địa chỉ không riêng tư trong 64 bit cuối cùng của địa chỉ, hãy sử dụng đó làm chỉ báo mạnh trong thuật toán chặn của bạn. Ai đó có thể nhảy giữa các ISP hoặc mạng con. (một lần nữa, hãy cẩn thận với điều này vì MAC không nhất thiết phải là duy nhất - ai đó có thể giả mạo để khai thác thuật toán của bạn) Ngoài ra, điều này chỉ có tác dụng với những kẻ lạm dụng không biết IPv6 hoạt động như thế nào. ;-)
  • Nếu bạn nhận thấy một mô hình lạm dụng từ một cụ thể /64, hãy chặn toàn bộ /64bằng một thông báo lỗi tốt để quản trị viên của mạng vi phạm có thể thực hiện bất kỳ công việc nào cần phải thực hiện ở phần cuối của mình.

Chúc may mắn.

mpontillo
nguồn
2 ^ 64 = 18,446,744,073,709,552,000 địa chỉ có thể. Tại sao người dùng cần nhiều địa chỉ như vậy?
TheLQ
@TheLQ, họ không, rõ ràng. Tuy nhiên, mạng người dùng cuối thực hiện vì RFC 4291 yêu cầu số nhận dạng giao diện 64 bit. Vì vậy, 64 bit cuối cùng, ít nhất là trên các mạng Ethernet, gần như sẽ được chiếm bởi một địa chỉ EUI-64 - MAC 48 bit được mở rộng thành 64 bit. Hầu hết các mạng gia đình, thay vì một địa chỉ IP đơn (tĩnh hoặc động) sẽ cần một /64mạng con (tĩnh hoặc động) vì lý do này, vì không có NAT trong IPv6.
mpontillo
Ngoài ra, như một người khác đã đề cập, DHCPv6 có thể giúp ích cho tình huống này, nhưng nó có thể gây căng thẳng cho các bộ định tuyến vì bạn phải định tuyến dựa trên tất cả 128 bit, thay vì chỉ 64 bit đầu tiên. thay vì /64mỗi khách hàng, điều đó có thể làm nổ bảng định tuyến của bạn đến kích thước không hợp lý và gây ra sự cố tùy thuộc vào phần cứng được sử dụng để định tuyến.
mpontillo
Cảm ơn, tôi không biết rằng IP dựa trên địa chỉ Mac và quên rằng ở đâu đó có bảng định tuyến. Có vẻ như tôi có một số việc phải làm
TheLQ
1
Thực tiễn tốt nhất hiện nay dường như là sự phân công tối thiểu cho khách hàng dân cư của ISP là / 56. Tất nhiên, hầu hết khách hàng có thể sẽ không sử dụng nhiều hơn một hoặc hai / 64 mạng con trong một khối như vậy trong một thời gian, nếu có, nhưng việc sử dụng được dự đoán trước.
Michael Hampton
3

Các giả định bạn liệt kê:

Các IP chia sẻ một mạng con rất có thể là cùng một người dùng

Tiếp tục giữ - trên thực tế nếu các ISP đang phân bổ các mạng con IPv6 cho khách hàng của họ thì điều đó càng trở nên đúng hơn.

Mặc dù IP có thể được sử dụng lại cho các điểm cuối thực tế khác nhau, nhưng rất có thể bạn sẽ không thấy các kết nối trùng lặp từ một IP không cùng người dùng hoặc ít nhất là cùng một hộ gia đình / tổ chức (về cơ bản, kết nối được chia sẻ)

Tiếp tục giữ (trên thực tế áp dụng cho toàn bộ mạng con như được mô tả ở trên).

Người dùng không dễ dàng có được một IP công cộng mới (có một rào cản cỡ trung bình để vào đây)

Không áp dụng cho một IP riêng lẻ, nhưng áp dụng cho một mạng con được cung cấp bởi một ISP.

Vì vậy, về cơ bản, chúng tôi đang xem xét các lệnh cấm mạng con nơi chúng tôi hiện đang có các lệnh cấm IP, giả sử các ISP cung cấp mạng con cho tất cả người dùng của họ. Nếu thay vào đó, người dùng nhận được các địa chỉ IPv6 riêng lẻ (một cho mỗi người dùng) thì chúng tôi đang xem các lệnh cấm IPv6 duy nhất, điều này có thể dẫn đến bảng cấm dài hơn (và các vấn đề về hiệu suất liên quan) nếu có nhiều người dùng có hành vi xấu.
Trong cả hai trường hợp, lệnh cấm IP trở thành một công cụ chi tiết hơn (nghĩa là ít rủi ro hơn trong việc chặn một nhóm người dùng khỏi ISP có nhóm động do một người hoạt động sai), theo quan điểm của tôi là một điều tốt ...

voretaq7
nguồn
1
Tôi sẽ ngạc nhiên nếu các mạng di động phân phát toàn bộ / 64 giây cho mỗi điện thoại. Họ chắc chắn sẽ nhận được một IP từ một nhóm năng động. Nếu LTE cất cánh theo cách lớn, chúng ta vẫn có thể quay lại "chặn nhiều người dùng khỏi một ISP có nhóm động do một người hoạt động sai".
Richard Gadsden
2

Wikipedia / MediaWiki đang áp dụng chính sách chặn toàn bộ / 64 khi họ chặn IP thứ năm trong phạm vi đó / 64.

Năm dường như là quy tắc chuẩn mà người khác đang áp dụng - một vài DNSBL mà tôi thấy đang áp dụng chính sách tương tự.

Tôi chưa thấy bất kỳ kế hoạch nào để tổng hợp các khối lên trên a / 64, mặc dù việc lấy a / 48 hoặc a / 56 là khá dễ dàng đối với ngay cả một tổ chức khiêm tốn. Tất nhiên, những kẻ gửi thư rác hiện thường có / 24 (IPv4) hoặc hơn, vì vậy tôi hy vọng rằng họ sẽ bắt đầu thu được nhiều khối không gian IPv6.

Richard Gadsden
nguồn
1

Các IP chia sẻ một mạng con rất có thể là cùng một người dùng

Vẫn đúng, thực sự thậm chí còn đúng hơn với v6.

Mặc dù IP có thể được sử dụng lại cho các điểm cuối thực tế khác nhau, nhưng rất có thể bạn sẽ không thấy các kết nối trùng lặp từ một IP không cùng người dùng hoặc ít nhất là cùng một hộ gia đình / tổ chức (về cơ bản, kết nối được chia sẻ)

Có lẽ đúng hơn với v6 so với v4.

Người dùng không dễ dàng có được một IP công cộng mới (có một rào cản cỡ trung bình để vào đây)

Trong hầu hết các trường hợp thay vì các địa chỉ riêng lẻ, ISP sẽ phân phát các khối địa chỉ. Thật dễ dàng để khách hàng di chuyển arround trong khối của họ. Khó hơn (mặc dù xa không thể) để có được một khối mới.

Khó khăn nhất là kích thước phân bổ cho khách hàng rất khác nhau. Một số ISP cung cấp địa chỉ riêng lẻ, một số / 64 khối, một số / 56 khối, một số / 48 khối.

Điều này sẽ làm cho khó có thể đưa ra một chính sách cấm / giới hạn hợp lý sẽ hoạt động cho tất cả các ISP. Đó có phải là "nóng" / 48 một kẻ lạm dụng đã tìm thấy một ISP cung cấp các khối lớn hay đó là một nhóm lớn người dùng trên một nhà cung cấp dịch vụ di động keo kiệt đưa ra các địa chỉ riêng lẻ.

PS Từ chối triển khai IPv6 thực sự không phải là một giải pháp vì sự cạn kiệt của IPv4, ngày càng nhiều khách hàng sẽ đứng sau một số dạng ISP cấp ISP.

Peter Green
nguồn
0

Tôi nghĩ nó sẽ phụ thuộc nhiều vào những gì các ISP sẽ làm. Họ sẽ tiếp tục chứng minh IP động thực sự cho người dùng chứ? Nếu không, hoặc nếu mỗi người dùng chỉ có ip / mạng con riêng thì IP sẽ bắt đầu giống như một tấm giấy phép.

Dexter
nguồn
Câu hỏi của ISP rút lại thành: "ISP có muốn giới hạn số lượng đơn vị bạn có thể kết nối với mạng không?" Nếu không, việc phát a / 64 cho mỗi và đồ lặt vặt sẽ là lộ trình. Nếu có, tôi tưởng tượng dhcpv6 sẽ chiếm ưu thế.
Bittrance
1
Tôi nghi ngờ rằng / 64 sẽ chiếm ưu thế đối với băng thông rộng của người dùng gia đình - trên thực tế, rất nhiều triển khai IPv6 trên CPE tại nhà ("bộ định tuyến") cho rằng chúng sẽ được cấp / 64. OTOH, các nhà cung cấp dịch vụ viễn thông di động có thể ngăn chặn việc kết nối bằng cách trao một IP duy nhất cho mỗi thiết bị và a / 64 cho người dùng đã trả tiền cho việc kết nối.
Richard Gadsden
0

Khi tôi hiểu rằng IPv6 sẽ tăng số lượng địa chỉ IP lên rất nhiều nhưng không tăng số lượng cổng trên mỗi máy chủ, tôi lần đầu tiên bối rối. Cho rằng các máy tính đang ngày càng mạnh hơn và do đó có khả năng phục vụ một số lượng lớn các kết nối đồng thời, bị giới hạn ở mức tối đa 65535 cổng trên mỗi địa chỉ IPv6 dường như là "nút cổ chai tiếp theo".

Sau đó, tôi nghĩ về nó một lần nữa và nhận ra rằng việc gán nhiều IPv6 cho một giao diện vật lý là một cách tầm thường và theo cách đó tránh được giới hạn số lượng cổng có thể kết nối với máy chủ. Trên thực tế, hãy nghĩ về nó, bạn hoàn toàn có thể dễ dàng gán địa chỉ IPv6 1024 hoặc 4096 cho máy chủ của mình và sau đó sắp xếp ngẫu nhiên các dịch vụ của bạn trên các cổng khác nhau trên tất cả các địa chỉ, giúp máy quét cổng có thời gian khá khó khăn (ít nhất là về lý thuyết) .

Bây giờ các xu hướng như ảo hóa máy chủ (nhiều máy chủ ảo nhỏ hơn trên máy chủ vật lý tương đối mạnh) và thiết bị cầm tay (nghĩ rằng điện thoại di động được kết nối IPv6 với mọi người trên hành tinh) có thể sẽ chống lại điều này, hầu hết các máy chủ trên internet trong tương lai có thể sẽ sử dụng khá vài cổng và do đó chỉ cần một địa chỉ IPv6 trên mỗi máy chủ.

(Nhưng khả năng "ẩn" trong một nhóm lớn địa chỉ IPv6, tất cả những gì bạn sở hữu và bạn có thể chọn ngẫu nhiên vẫn cung cấp một số lớp bảo mật, ngay cả khi được thừa nhận là một lớp mỏng trong hầu hết các trường hợp)

IllvilJa
nguồn
1
Và khi nào hai máy tính sẽ mở 65536 kết nối đồng thời với nhau, ngoại trừ trong thử nghiệm tải nhân tạo?
Michael Hampton
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.