Как влияют правила на основе IP (например, запреты / фильтры), когда IPv6 становится стандартом?

Учитывая, что сайты Stack Exchange запрещают IP , мне интересно, есть ли общее мнение или стратегия о создании правил, основанных на IP пользователя, для того, чтобы диктовать поведение.

С IPv4 у вас есть несколько вещей, которые вы можете достаточно надежно предположить о данном IP:

1. IP-адреса, которые совместно используют подсеть, вполне могут быть одним и тем же пользователем
2. хотя IP-адреса можно повторно использовать для различных реальных конечных точек, относительно маловероятно, что вы увидите дублированные соединения с IP-адреса, которые не являются принадлежат одному и тому же пользователю или, по крайней мере, одному и тому же домашнему хозяйству / организации (в основном, разделяемому соединению)
3. пользователю не так просто получить новый публичный IP-адрес (здесь есть средний барьер для входа)

С IPv6, вы можете принять все это? Я бы предположил, что, по крайней мере, второй пункт больше не будет правдой, так как предполагается, что NAT'ing по существу уйдет с IPv6, потому что будет достаточно IP-адресов для любого, кто этого хочет.

Если у вас есть набор политик на основе IP, какие соображения необходимо учитывать для IPv6, если таковые имеются, из-за различий в этих двух?

С IPv6 я не думаю, что есть идеальное решение. Но есть ряд вещей, которые следует учитывать:

• Интернет-провайдеры, скорее всего, будут выдавать /64подсети отдельным клиентам. (Там будет достаточно, чтобы обойти.)
• Рабочие места, скорее всего, будут иметь хотя бы одно /64рабочее место.
• Интернет-провайдеры, предлагающие строго двухточечные ссылки, могут использовать префиксы между /64и /126. (Смотрите, почему они вообще не используют / 127 ). Возможно, это будет либо недальновидный провайдер, либо тот, кто хочет брать больше за полную /64. На самом деле нет никаких причин, по которым каждая конечная точка (которая может быть полноценной клиентской сетью) не должна быть /64.
• Предполагая, что большинство подсетей конечных пользователей IPv6 будут подключены к a /64, можно взглянуть на бит 6 в идентификаторе интерфейса (см. Раздел 3.2.1 в RFC 4941 ), чтобы проверить, был ли он сгенерирован на основе глобального уникального идентификатора (MAC-адреса). Это не надежно, очевидно. Но если этот бит установлен, вероятно, указывает, что адрес был сгенерирован из MAC-адреса. Таким образом, можно заблокировать адреса IPv6 на основе последних 64 битов, и пользователи могут быть заблокированы независимо от того, из какой они сети. (Возможно, лучше использовать это как «подсказку», поскольку MAC-адреса, хотя они и должны быть уникальными для всего мира, на практике не всегда. Плюс они легко подделываются. Но любому, кто достаточно разбирается в этом, вероятно, будет легче захватить /64и получить 2 ^ 64 уникальных адресов в любом случае.)
• Если адреса конфиденциальности используются ... мало что можно сделать, кроме как заблокировать этот один адрес на короткое время. Скорее всего, скоро все изменится. Фактор в сетевой части /64на данный момент, но будьте осторожны, так как вы можете заблокировать чей-то весь корпоративный офис.

Я бы сказал, что наилучшим способом было бы сначала взглянуть на отдельные адреса, а затем учесть последние 64 бита адреса и схемы злоупотребления в отдельных /64подсетях, чтобы реализовать стратегию блокировки. Подвести итоги:

• Начните с блокировки отдельных /128IP-адресов (как вы, вероятно, делаете сегодня с IPv4)
• Если в последних 64 битах адреса вы заметили злоупотребление адресом, не связанным с конфиденциальностью, используйте его в качестве сильного индикатора в алгоритме блокировки. Кто-то может прыгать между провайдерами или подсетями. (опять же, будьте осторожны с этим, поскольку MAC не обязательно являются уникальными - кто-то может подделать, чтобы использовать ваш алгоритм). Кроме того, это будет работать только против злоумышленников, которые не знают, как работает IPv6. ;-)
• Если вы заметили характер злоупотребления со стороны конкретного /64, заблокируйте все /64с хорошим сообщением об ошибке, чтобы администратор сети-нарушителя мог выполнить любую работу, которую необходимо выполнить на его / ее конце.

Удачи.

Предположения, которые вы перечислите:

IP-адреса, которые совместно используют подсеть, вполне могут быть одним и тем же пользователем

Продолжает удерживаться - фактически, если интернет-провайдеры распределяют подсети IPv6 своим клиентам, это становится еще более верным.

Несмотря на то, что IP-адреса могут быть повторно использованы для различных фактических конечных точек, относительно маловероятно, что вы увидите дублированные подключения с IP-адреса, которые не принадлежат одному и тому же пользователю или, по крайней мере, одному и тому же домашнему хозяйству / организации (в основном, общее подключение)

Продолжает удерживать (фактически относится ко всей подсети, как описано выше).

Пользователю не так просто получить новый публичный IP-адрес (здесь существует средний барьер для входа)

Не применяется к отдельному IP-адресу, а применяется к подсети, разосланной интернет-провайдером.

Таким образом, в основном мы рассматриваем запреты подсетей, где у нас в настоящее время есть запреты IP, предполагая, что интернет-провайдеры раздают подсети всем своим пользователям. Если вместо этого пользователи получают отдельные адреса IPv6 (по одному на пользователя), то мы рассматриваем отдельные запреты IPv6, которые могут привести к гораздо более длинной таблице запретов (и связанным с этим проблемам с производительностью), если существует много пользователей с плохим поведением.
В любом случае запрет на использование IP становится более детальным инструментом (т. Е. Снижается риск блокирования группы пользователей от интернет-провайдера, который имеет динамический пул из-за неправильного поведения одного человека), что, на мой взгляд, является хорошей вещью ...

Википедия / MediaWiki применяют политику блокировки целого / 64, когда блокируют пятый IP-адрес в этом / 64.

Пять, кажется, стандартное эмпирическое правило, которое принимают другие - пара DNSBL, которые я видел, придерживаются той же политики.

Я не видел никаких планов собирать блоки выше / 64, хотя получить / 48 или / 56 довольно легко даже для скромной организации. Конечно, спаммеры в настоящее время часто имеют / 24 (IPv4) или около того, поэтому я ожидаю, что они начнут захватывать большие куски пространства IPv6.

IP-адреса, которые совместно используют подсеть, вполне могут быть одним и тем же пользователем

Все еще верно, действительно даже более верно с v6.

хотя IP-адреса могут быть повторно использованы для различных реальных конечных точек, относительно маловероятно, что вы увидите дублированные подключения с IP-адреса, которые не принадлежат одному и тому же пользователю или, по крайней мере, одному и тому же домашнему хозяйству / организации (в основном, общее подключение)

Вероятно, еще более верно с v6, чем v4.

пользователю не так просто получить новый публичный IP-адрес (здесь есть средний барьер для входа)

В большинстве случаев вместо отдельных адресов интернет-провайдеры будут раздавать блоки адресов. Клиенту легко перемещаться в пределах своего блока. Сложнее (хотя и далеко не невозможно) получить новый блок.

Самое сложное в том, что размеры распределения для клиентов сильно различаются. Некоторые интернет-провайдеры раздают индивидуальные адреса, некоторые / 64 блока, некоторые / 56 блоков, некоторые / 48 блоков.

Это усложнит разработку разумной политики запрета / ограничения, которая будет работать для всех интернет-провайдеров. Является ли это «горячим» / 48 единственным злоумышленником, который обнаружил интернет-провайдера, который выдал большие блоки, или это большая группа пользователей скупого мобильного провайдера, который выдает отдельные адреса.

PS Отказ от реализации IPv6 на самом деле не является решением, так как с исчерпанием IPv4 все больше и больше клиентов будут находиться за той или иной формой NAT уровня ISP.

Я думаю, что это будет сильно зависеть от того, что будут делать провайдеры. Будут ли они продолжать предоставлять пользователям реальные динамические IP-адреса? Если нет, или если каждый пользователь получит свой собственный IP / подсеть исключительно, то IP-адреса начнут быть почти такими же, как номерной знак.

Когда я понял , что IPv6 собирается увеличить количество IP - адресов много , но не увеличивая число портов на хосте, я сначала озадачил. Учитывая, что компьютеры становятся все более и более мощными и, следовательно, становятся более способными обслуживать огромное количество одновременных подключений, ограничение до 65535 портов на IPv6-адрес представляется «следующим узким местом».

Затем я подумал об этом еще раз и понял, что тривиально назначать несколько IPv6 одному физическому интерфейсу и таким образом обойти ограничение количества портов, которые могут подключаться к хосту. На самом деле, если подумать, вы можете довольно легко назначить 1024 или 4096 IPv6-адресов вашему хосту, а затем как бы случайным образом распределить ваши сервисы по различным портам по всем адресам, предоставляя сканерам портов довольно трудное время (по крайней мере, в теории) ,

Теперь такие тенденции, как виртуализация хостов (несколько меньших виртуальных хостов на относительно мощном физическом хосте) и портативные устройства (думаю, мобильные телефоны, подключенные по протоколу IPv6 для всех на планете), вероятно, скажут на это, большинство хостов в будущем Интернете, вероятно, будут использовать довольно несколько портов и, следовательно, нужен только один IPv6-адрес на хост.

(Но возможность «спрятаться» в большом пуле IPv6-адресов, каждый из которых у вас есть и который вы можете выбирать случайным образом, по-прежнему обеспечивает некоторый уровень безопасности, даже если в большинстве случаев он, по общему признанию, тонкий)