Cấm địa chỉ IPv6

Tôi hiện đang quen với việc sử dụng các công cụ như fail2ban để tránh lưu lượng truy cập không mong muốn khỏi máy chủ của mình bằng cách cấm địa chỉ IPv4: quá nhiều mục nhật ký xấu trên mỗi IP, cấm IP.

Tuy nhiên, khi thế giới hoàn thành việc di chuyển sang IPv6, việc cấm các địa chỉ đơn lẻ có thể sẽ không hoạt động nữa, vì một máy tính botnet "bình thường" hoặc kẻ tấn công sở hữu khá nhiều địa chỉ IPv6?

Nếu tôi muốn chặn người dùng IPv6, cách tốt nhất để thực hiện việc này là gì? Sử dụng một mặt nạ IP nhất định hoặc cái gì khác?

Làm thế nào về việc thực hiện "nâng cấp heuristic" khi bạn nhận được nhiều lượt truy cập riêng lẻ trong IPv6 sau đó cấm toàn bộ khối?

Đối với tôi điều quan trọng hơn là giảm thiểu các mối đe dọa. Nếu một số người dùng chính hãng nghèo thuộc cùng một khối với các IP bị chặn thì đó là vấn đề giữa những người đó và ISP của họ để xóa netblock đó.

Cấm mỗi / 128 không mở rộng khi mạng con có kích thước / 64 được sử dụng cho một cuộc tấn công. Bạn sẽ kết thúc với 2 ^ 64 mục trong bảng, có khả năng gây ra sự từ chối dịch vụ.

Người dùng cuối sẽ luôn nhận được / 56 cho mỗi chính sách gán địa chỉ toàn cầu. Các doanh nghiệp sẽ luôn nhận được / 48 mỗi địa chỉ toàn cầu

Xem: https://tools.ietf.org/html/rfc6177 / 128 không bao giờ được chỉ định cho máy chủ / người dùng, chỉ định tối thiểu cho một thực thể khác (khách hàng của máy chủ / vps) phải là / 64. Chỉ định tối thiểu cho một trang web phải là / 56. Đưa ra / 128s về cơ bản bị hỏng và nên được coi là một lỗi cấu hình.

Do đó, tôi khuyên bạn nên tạm thời cấm / 64, vì người dùng cuối thông thường sẽ chỉ có quyền truy cập vào 2 ^ 8/64, không nên giới thiệu quá nhiều mục trong bảng cấm.

Bất kỳ câu trả lời cho câu hỏi của bạn sẽ liên quan đến một số lượng đoán. Việc triển khai IPv6 vẫn còn đủ ít mà chúng ta chỉ đơn giản là chưa biết, chính xác kịch bản mối đe dọa sẽ như thế nào.

Số lượng lớn địa chỉ IPv6 sẽ giới thiệu nhiều thay đổi cho kịch bản mối đe dọa mà bạn sẽ phải xem xét.

Trước hết với IPv4, kẻ tấn công có thể quét số cổng mặc định cho một số dịch vụ dễ bị tổn thương trên tất cả 3700 triệu địa chỉ IPv4 có thể định tuyến là hoàn toàn khả thi. Các cuộc tấn công không nhắm mục tiêu như vậy là không khả thi với IPv6. Những cuộc tấn công mà bạn vẫn thấy sẽ phải được nhắm mục tiêu nhiều hơn. Cho dù điều này có nghĩa là chúng ta sẽ phải thay đổi nhiều trong việc xử lý các cuộc tấn công vẫn còn được nhìn thấy.

Mục đích chính của việc cấm IP dựa trên thông điệp tường trình sẽ là giảm tiếng ồn trong nhật ký và trong một chừng mực nào đó để giảm tải hệ thống. Nó không nên phục vụ như là bảo vệ chống lại khai thác. Kẻ tấn công biết điểm yếu sẽ ở bên trong trước khi lệnh cấm được kích hoạt, vì vậy để bảo vệ chống lại điều đó, bạn phải vá các lỗ hổng - giống như bạn luôn phải làm vậy.

Cấm các địa chỉ IPv6 riêng lẻ có thể đủ để giảm nhiễu trong nhật ký. Nhưng đó không phải là một cho trước. Không có khả năng kẻ tấn công có thể sử dụng địa chỉ IP mới từ phạm vi có sẵn cho chúng cho mọi kết nối. Nếu những kẻ tấn công hành xử như vậy thì việc cấm các địa chỉ IPv6 riêng lẻ không chỉ không hiệu quả mà thậm chí bạn có thể vô tình gây ra một cuộc tấn công DoS vào chính mình bằng cách sử dụng tất cả bộ nhớ của bạn cho các quy tắc tường lửa.

Bạn không thể biết độ dài của tiền tố có sẵn cho mỗi kẻ tấn công riêng lẻ. Chặn một tiền tố quá ngắn sẽ gây ra một cuộc tấn công DoS bằng cách bao gồm cả người dùng hợp pháp. Chặn một tiền tố quá dài sẽ không hiệu quả. Các nỗ lực vũ phu mật khẩu nói riêng có khả năng sử dụng một số lượng lớn địa chỉ IPv6 của máy khách.

Để có hiệu quả chống lại kẻ tấn công chuyển đổi địa chỉ IPv6 theo từng yêu cầu và để giảm mức sử dụng bộ nhớ, bạn phải chặn phạm vi và do không biết trước độ dài tiền tố, bạn phải điều chỉnh độ dài tiền tố một cách linh hoạt.

Bây giờ có thể đến với heuristic. Họ sẽ làm việc tốt như thế nào mà chúng ta chưa biết.

Một heuristic sẽ dành cho mọi độ dài tiền tố để xác định ngưỡng có bao nhiêu IP cần thiết để chặn tiền tố có độ dài đó. Và chặn chỉ nên được áp dụng ở một độ dài cụ thể, nếu tiền tố dài hơn sẽ không đủ. Nói cách khác, bạn cần có đủ số IP bị chặn riêng lẻ trong mỗi hai nửa để thực sự bắt đầu một khối.

Ví dụ, người ta có thể quyết định rằng để chặn a / 48, phải có 100 IP bị chặn trong mỗi hai / 49 tạo thành / 48. Tiền tố càng dài thì số lượng IP cần thiết để chặn nó càng nhỏ, nhưng trong mọi trường hợp, chúng sẽ phải được trải đều trên cả hai nửa.

Bạn nên bám vào việc cấm các địa chỉ duy nhất.

Không xác định có bao nhiêu địa chỉ sẽ được cung cấp cho người dùng cuối. Một số ISP có thể cung cấp toàn bộ mạng con và một số khác chỉ có một địa chỉ.