Qual bloco IPv6 deve ser colocado na lista de permissões quando um usuário solicitar a lista de permissões de seu IP?

Question

Qual bloco IPv6 deve ser colocado na lista de permissões quando um usuário solicitar a lista de permissões de seu IP?

#1 resposta do (3 votos)

4

Atualmente, no meu serviço somente IPv4, os usuários podem colocar na lista de permissões o endereço IP que permite que eles ignorem a autenticação de dois fatores quando fizerem login. Quando isso é feito, colocamos apenas esse endereço IP na lista de permissões, pois O cliente do ISP obtém seu próprio endereço IPv4 (pelo menos nos Estados Unidos).

Queremos ativar o suporte ao IPv6 e, depois de pesquisar como funciona a sub-rede IPv6, descobrimos que precisamos incluir na lista de permissões toda uma sub-rede IPv6, não um único endereço.

Pesquisando outras questões IPv6 no serverfault, parece haver informações conflitantes sobre qual sub-rede é delegada a cada usuário final do ISP. Veja esta resposta :

/56: a block of 256 basic subnets. Even though current policies permit ISPs to hand out blocks as large as /48 to every end user and still consider their address utilisation well justified, some ISPs may (and already do) choose to allocate a /56 to consumer-grade customers as a compromise between allocation

/48: a block of 65536 basic subnets and the recommended size of block that every ISP customer end site should receive.

Apenas com base nessa resposta, já existem 3 declarações conflitantes sobre o bloco IPv6 que cada usuário recebe:

/ 64: uma sub-rede única, provavelmente o bloco mais "econômico" para alocar aos usuários finais
/ 56: muitos ISPs já alocam isso para cada usuário final
/ 48: o bloco recomendado que cada usuário final deve receber

Assim, para um serviço em que os endereços IP são usados para a lista de permissões, qual bloco IPv6 é apropriado para a lista de permissões? Devo deixar o usuário decidir? (Os usuários são bastante proficientes em tecnologia e sabem o que é uma sub-rede)

networking ipv6 subnet

por Judge2020 18.11.2018 / 16:59

1 resposta

Tags networking ipv6 subnet

Esgotamento do endereço IP para lambdas na VPC Restauração bare metal do DPM

score 3 · Answer 1

Os prefixos são de tamanho variável, porque organizações diferentes têm mais ou menos redes e algumas justificam a necessidade de seu provedor. Minha residência tem um / 48 através de um túnel Hurricane Electric simplesmente clicando em um botão. (OK, eu não preciso , mas tudo só funciona se cada uma das redes wifi pegar um / 64.)

Mais fundamentalmente, parece que você está tratando um endereço IP como um autenticador, o que não é. Os endereços IP são reatribuídos dinamicamente, comprados e (mal) roteados o tempo todo.

Considere usar dois fatores para o login inicial, mas não os subsequentes. (Usando o cookie existente ou o tíquete do Kerberos ou qualquer outra coisa.) Peça um fator de autenticação ao alterar configurações confidenciais ou após alguns dias sem autenticação, ou se o seu sistema puder detectar atividades suspeitas em suas contas.

Para um órgão de padrões dos EUA, consulte NIST 800-63B . Um endereço IP não se qualifica como um segredo ou dispositivo autenticador. E o tempo máximo que um usuário deve passar sem reautenticação pode ser de horas ou dias. Se for adequado aos seus requisitos de segurança, você poderá deixar o usuário logado toda a semana. Sem uma lista de permissões de endereço IP.