Como as regras baseadas em IP (por exemplo, proibições / filtros) são afetadas quando o IPv6 se torna o padrão?

13

Dado que Impedir que o site do Exchange bloqueie o IP , gostaria de saber se há uma opinião ou estratégia comum sobre como criar regras com base no IP de um usuário para ditar comportamentos.

Com o IPv4, você tem algumas coisas que você pode assumir de maneira bastante confiável sobre um determinado IP:

  1. IPs que compartilham uma sub-rede podem muito bem ser o mesmo usuário
  2. Embora os IPs possam ser reutilizados para vários endpoints reais, é relativamente improvável que você veja conexões duplicadas de um IP que não sejam o mesmo usuário ou, no mínimo, o mesmo domicílio / organização (basicamente, uma conexão compartilhada)
  3. não é trivialmente fácil para um usuário obter um novo IP público (há uma barreira de tamanho médio para entrada aqui)

Com o IPv6, você pode assumir tudo isso? Imagino que, no mínimo, o segundo ponto não seria mais verdadeiro, uma vez que o NAT supostamente vai embora com o IPv6, porque haverá IPs suficientes para quem quiser um.

Se você tem um conjunto de políticas baseadas em IP, quais considerações precisam ser feitas para o IPv6, se houver, devido às diferenças entre as duas?

    
por Daniel DiPaolo 11.04.2011 / 21:59

6 respostas

6

Com o IPv6, não acho que haja uma solução perfeita. Mas há várias coisas a serem consideradas:

  • Os ISPs provavelmente distribuirão /64 subnets para clientes individuais. (Haverá o suficiente para dar a volta.)
  • Os locais de trabalho provavelmente terão pelo menos um /64 por escritório.
  • Os ISPs que oferecem links estritamente ponto-a-ponto podem optarem pelo uso de prefixos entre /64 e /126 . (Veja por que eles não estão usando / 127 em geral ) Este provavelmente seria um ISP ou um quem quer cobrar mais por um /64 completo. Não há realmente nenhum motivo para que cada endpoint (que pode ser uma rede completa de clientes) não seja um /64 .
  • Assumindo que a maioria das sub-redes do usuário final IPv6 estará em /64 , pode-se ver o bit 6 no identificador de interface (consulte seção 3.2.1 do RFC 4941 ) para verificar se foi provavelmente gerado com base em um identificador globalmente exclusivo (endereço MAC). Isso não é infalível, obviamente. Mas se este bit estiver definido, provavelmente indica que o endereço foi gerado a partir de um endereço MAC. Assim, pode-se bloquear endereços IPv6 com base nos últimos 64 bits, e os usuários podem ser bloqueados, não importa de qual sub-rede eles sejam. (Talvez seja melhor usar isso como uma "dica", já que os endereços MAC, embora supostamente sejam globalmente únicos, na prática nem sempre são. Além disso, eles são facilmente falsificados. Mas qualquer um capaz de se dar ao trabalho provavelmente acharia mais fácil pegue um /64 e obtenha 2 ^ 64 endereços únicos de qualquer maneira.
  • Se os endereços de privacidade estiverem em uso ... não há muito o que fazer, exceto bloquear esse endereço por um curto período. Isso provavelmente vai mudar em breve de qualquer maneira. Fator na parte de rede do /64 neste ponto, mas seja cauteloso, pois você pode estar bloqueando todo o escritório corporativo de alguém.

Eu diria que a melhor maneira seria procurar primeiro endereços individuais, depois incluir os últimos 64 bits do endereço e padrões de abuso de determinadas sub-redes /64 para implementar uma estratégia de bloqueio. Para resumir:

  • Comece por bloquear endereços IP /128 individuais (como provavelmente faz hoje com o IPv4)
  • Se você perceber um padrão de abuso de um endereço que não seja de privacidade nos últimos 64 bits de um endereço, use-o como um indicador strong em seu algoritmo de bloqueio. Alguém pode estar pulando entre ISPs ou sub-redes. (novamente, tenha cuidado com isso, já que os MACs não são necessariamente únicos - alguém pode estar fingindo para explorar seu algoritmo). Além disso, isso só funcionaria contra usuários que não sabem como o IPv6 funciona. ; -)
  • Se você perceber um padrão de abuso de um determinado /64 , bloqueie todo o /64 com uma boa mensagem de erro para que o administrador da rede ofensora possa fazer qualquer trabalho que precisar ser feito.

Boa sorte.

    
por 12.04.2011 / 00:21
3

As suposições listadas:

IPs that share a subnet could very well be the same user

Continua a valer - de fato, se os ISPs estão alocando sub-redes IPv6 para seus clientes, isso se torna ainda mais verdadeiro.

While IPs can be reused for various actual endpoints, it's relatively unlikely that you'll see duplicate connections from an IP that are not the same user, or at the very least the same household/organization (basically, a shared connection)

Continua a manter (na verdade, aplica-se a toda a sub-rede como descrito acima).

It's not trivially easy for a user to obtain a new public IP (there is a medium-sized barrier to entry here)

Não se aplica a um IP individual, mas aplica-se a uma sub-rede distribuída por um ISP.

Então, basicamente, estamos analisando as proibições de sub-rede em que atualmente temos proibições de IP, supondo que os ISPs distribuam sub-redes para todos os usuários. Se, em vez disso, os usuários obtiverem endereços IPv6 individuais (um por usuário), veremos as proibições de IPv6 únicas, o que pode levar a uma tabela de proibição muito mais longa (e a problemas de desempenho associados) se houver muitos usuários mal comportados. > Em ambos os casos, uma proibição de IP se torna uma ferramenta mais granular (ou seja, menor risco de bloquear um grupo de usuários de um ISP que possui um pool dinâmico porque uma pessoa se comportou mal), o que na minha opinião é uma coisa boa ...

    
por 11.04.2011 / 22:39
2

Wikipedia / MediaWiki estão adotando uma política de bloquear um todo / 64 quando bloqueiam o quinto IP dentro desse / 64.

Cinco parece ser a regra padrão que outros estão adotando - o par de DNSBLs que vi está adotando a mesma política.

Eu não vi nenhum plano para agregar blocos acima de um / 64, mesmo recebendo um / 48 ou um / 56 é bem fácil, mesmo para uma organização modesta. É claro que os spammers atualmente têm um / 24 (IPv4) mais ou menos, então espero que eles comecem a pegar grandes pedaços de espaço IPv6.

    
por 14.04.2011 / 14:45
1

IPs that share a subnet could very well be the same user

Ainda é verdade, na verdade ainda mais verdadeiro com a v6.

while IPs can be reused for various actual endpoints, it's relatively unlikely that you'll see duplicate connections from an IP that are not the same user, or at the very least the same household/organization (basically, a shared connection)

Provavelmente ainda mais verdadeiro com v6 que v4.

it's not trivially easy for a user to obtain a new public IP (there is a medium-sized barrier to entry here)

Na maioria dos casos, em vez de endereços individuais, os ISPs distribuirão blocos de endereços. É fácil para um cliente se movimentar dentro de seu bloco. Mais difícil (embora longe de impossível) para obter um novo bloco.

A parte mais difícil é que os tamanhos de alocação para os clientes variam muito. Alguns ISPs distribuem endereços individuais, alguns blocos / 64, alguns / 56 blocos, alguns / 48 blocos.

Isso dificultará a criação de uma política sensata de proibição / limitação que funcionará para todos os ISPs. É "quente" / 48 um único usuário que encontrou um provedor que forneceu grandes blocos ou é um grande grupo de usuários em um provedor de serviços móveis mesquinho que distribui endereços individuais.

P.S. Recusar-se a implementar o IPv6 não é realmente uma solução, já que, com o esgotamento do IPv4, cada vez mais clientes estarão por trás de alguma forma de NAT no nível do ISP.

    
por 05.09.2016 / 15:21
0

Acho que dependerá muito do que os ISPs farão. Eles continuarão fornecendo IPs dinâmicos reais para os usuários? Caso contrário, ou se cada usuário tiver sua própria ip / sub-rede exclusivamente, os IPs começarão a ser praticamente o mesmo que uma placa de licença.

    
por 11.04.2011 / 22:08
0

Quando eu entendi que o IPv6 ia aumentar o número de endereços IP em um lote , mas não aumentando o número de portas por host, fiquei intrigado pela primeira vez. Dado que os computadores estão ficando cada vez mais poderosos e assim se tornam mais capazes de atender a um número enorme de conexões simultâneas, sendo limitado a um máximo de 65535 portas por endereço IPv6 pareceu "o próximo gargalo". / p>

Depois, pensei sobre isso novamente e percebi que era trivial atribuir vários IPv6 a uma interface física e, desse modo, contornar esse limite do número de portas que podem se conectar ao host. Na verdade, pensando bem, você pode facilmente atribuir 1024 ou 4096 endereços IPv6 ao seu host e depois espalhar aleatoriamente seus serviços em várias portas em todos os endereços, dando aos scanners de porta um tempo bem mais difícil (pelo menos em teoria). .

Agora, tendências como virtualização de host (vários hosts virtuais menores em um host físico relativamente poderoso) e dispositivos portáteis (pense em celulares com conexão IPv6 para todos no planeta) provavelmente farão falar contra isso, provavelmente a maioria dos hosts na Internet futura usará poucas portas e, portanto, precisará apenas de um único endereço IPv6 por host.

(Mas a capacidade de "esconder" em um grande conjunto de endereços IPv6, todos os quais você possui e que você pode escolher aleatoriamente ainda fornece alguma camada de segurança, mesmo que seja admitidamente fina na maioria das circunstâncias)

    
por 12.04.2011 / 16:09

Tags