Як впливають правила на основі IP (наприклад, заборони / фільтри), коли IPv6 стає стандартом?

Зважаючи на те, що сайти Stack Exchange забороняють IP , мені цікаво, чи існує спільна думка чи стратегія щодо формування правил, заснованих на IP-адресі користувача, щоб диктувати поведінку.

За допомогою IPv4 у вас є кілька речей, про які можна досить надійно припустити щодо даного IP:

1. IP-адреси, які ділять підмережу, цілком можуть бути тим самим користувачем
2. хоча IP-адреси можуть бути використані повторно для різних фактичних кінцевих точок, відносно малоймовірно, що ви побачите дублікати з'єднань із IP-адреси, які не є тим самим користувачем, або принаймні одного і того ж домашнього господарства / організації (в основному, спільне з'єднання)
3. користувачеві нелегко отримати нову загальнодоступну IP-адресу (є середній розмір бар'єру для входу сюди)

З IPv6 ви можете припустити все це? Я думаю, щонайменше, другий момент вже не буде правдивим, оскільки НАТ'інг, по суті, йде з IPv6, оскільки буде достатньо IP-адрес для всіх, хто хоче його.

Якщо у вас є набір правил на основі IP-адрес, які міркування потрібно зробити для IPv6, якщо такі є через відмінності між ними?

З IPv6, я не думаю, що ідеального рішення немає. Але слід врахувати низку речей:

• Інтернет-провайдери, ймовірно, роздають /64підмережі окремим клієнтам. (Буде достатньо, щоб обійти.)
• На робочих місцях, ймовірно, буде щонайменше одне /64в офісі.
• Інтернет-провайдери, що пропонують строго посилання "точка-точка", можуть вибрати для використання префікси між /64та /126. (Дивіться, чому вони взагалі не використовують / 127 ) Це, мабуть, або недалекий провайдер, або той, хто хоче стягувати більше за повне /64. Дійсно немає причин, що кожна кінцева точка (яка може бути повноцінною мережею клієнтів) не повинна бути а /64.
• Якщо припустити , що більшість IPv6 підмережа кінцевих користувачів буде на /64, один міг дивитися на біт 6 в ідентифікатор інтерфейсу (див розділ 3.2.1 в RFC 4941 ) , щоб перевірити , якщо він був , ймовірно , генерується на основі глобально унікальний ідентифікатор (MAC - адреса). Очевидно, що це не дурно. Але якщо цей біт встановлений, швидше за все, це вказує на те, що адреса була створена з MAC-адреси. Таким чином, можна заблокувати IPv6 адреси на основі останніх 64 біт, а користувачів можна заблокувати, незалежно від того, з якої підмережі вони надходять. (Можливо, найкраще використовувати це як "підказку", оскільки MAC-адреси, хоча вони мають бути унікальними у всьому світі, на практиці не завжди. Плюс, вони легко підробляються. Але, хто достатньо кмітливий, щоб піти на проблему, напевно, буде легше візьміть /64і отримайте 2 ^ 64 унікальних адреси в будь-якому випадку.)
• Якщо використовуються адреси конфіденційності ... нічого не робити, крім того, щоб блокувати цю адресу на короткий час. Це, швидше за все, незабаром зміниться. Фактор в мережевій частині /64на даний момент, але будьте обережні, оскільки ви можете блокувати чийсь корпоративний офіс.

Я б сказав, що найкращим способом було б переглянути спочатку окремі адреси, потім врахувати останні 64 біти адреси та структури зловживань із певних /64підмереж для реалізації стратегії блокування. Узагальнити:

• Почніть із блокування окремих /128IP-адрес (як це, мабуть, сьогодні з IPv4)
• Якщо ви помітили схему зловживань щодо адреси, що не стосується конфіденційності, в останні 64 біти адреси, використовуйте це як сильний показник у вашому алгоритмі блокування. Хтось може скакати між провайдерами або підмережами. (знову ж, будьте обережні з цим, оскільки MAC не обов'язково унікальні - хтось може сфабрикувати, щоб використовувати ваш алгоритм) Крім того, це буде працювати лише проти зловмисників, які не знають, як працює IPv6. ;-)
• Якщо ви помітили схему зловживань з боку конкретної особи /64, заблокуйте /64це повідомлення гарним повідомленням про помилку, щоб адміністратор мережі правопорушників міг виконувати будь-яку роботу, яка повинна бути виконана в його кінці.

Удачі.

Ви перераховуєте припущення:

IP-адреси, які ділять підмережу, цілком можуть бути тим самим користувачем

Продовжує діяти - адже, якщо провайдери розподіляють IPv6 підмережі своїм клієнтам, це стає ще правдивішим.

Хоча IP-адреси можуть бути використані повторно для різних фактичних кінцевих точок, порівняно малоймовірно, що ви побачите дублікати з'єднань із IP-адреси, які не є одним і тим же користувачем, або принаймні тим самим домогосподарством / організацією (в основному, спільне з'єднання)

Продовжує тримати (фактично стосується всієї підмережі, як описано вище).

Користувачеві нелегко отримати новий загальнодоступний IP-адресу (є середній бар'єр для входу сюди)

Не застосовується до окремої IP-адреси настільки сильно, але стосується підмережі, переданої провайдером.

Таким чином, ми в основному розглядаємо заборони підмереж, де в даний час ми забороняємо IP, припускаючи, що провайдери роздають підмережі всім своїм користувачам. Якщо натомість користувачі отримують індивідуальні адреси IPv6 (по одному на користувача), ми розглядаємо окремі заборони IPv6, що може призвести до набагато більш тривалої таблиці заборон (і пов’язаних із цим проблем із продуктивністю), якщо багато користувачів, які погано поводяться.
В будь-якому випадку заборона інтелектуальної власності стає більш детальним інструментом (тобто меншим ризиком заблокувати купу користувачів від Інтернет-провайдера, який має динамічний пул, оскільки одна людина погано себе поводить), що, на мій погляд, є хорошою справою ...

Wikipedia / MediaWiki приймають політику блокування цілого / 64, коли вони блокують п'ятий IP в межах цього / 64.

П'ять, здається, є стандартним принципом, який приймають інші - пара DNSBL, яку я бачив, приймає ту саму політику.

Я не бачив жодних планів агрегувати блоки вище рівня / 64, навіть якщо отримати / 48 або a / 56 досить легко навіть для скромної організації. Звичайно, зараз у спамерів часто є / 24 (IPv4) або близько того, тому я очікую, що вони почнуть захоплювати великі шматки простору IPv6.

IP-адреси, які ділять підмережу, цілком можуть бути тим самим користувачем

І все-таки правда, справді ще більше правда з v6.

хоча IP-адреси можуть бути використані повторно для різних фактичних кінцевих точок, відносно малоймовірно, що ви побачите дублікати з'єднань із IP-адреси, які не є тим самим користувачем, або принаймні одного і того ж домашнього господарства / організації (в основному, спільне з'єднання)

Напевно, навіть більш вірно з v6, ніж v4.

користувачеві нелегко отримати нову загальнодоступну IP-адресу (є середній розмір бар'єру для входу сюди)

У більшості випадків замість окремих адрес провайдери роздаватимуть блоки адрес. Клієнт легко пересуватися по своєму блоку. Важче (хоча далеко і неможливо) отримати новий блок.

Найскладніший біт - це те, що розміри розподілу для клієнтів сильно різняться. Деякі провайдери роздають окремі адреси, деякі / 64 блоки, деякі / 56 блоків, деякі / 48 блоків.

Це дозволить важко придумати розумну політику заборони / обмеження, яка буде працювати для всіх Інтернет-провайдерів. Це "гаряче" / 48 - один кривдник, який знайшов Інтернет-провайдера, який видав великі блоки, чи це велика група користувачів мобільного провайдера, що видає окремі адреси.

PS Відмова від впровадження IPv6 насправді не є рішенням, так як при виснаженні IPv4 все більше і більше клієнтів будуть відставати від певної форми NAT на рівні ISP.

Я думаю, це буде дуже залежати від того, що робитимуть провайдери. Чи продовжуватимуть вони надавати користувачам реальні динамічні IP-адреси? Якщо ні, або якщо кожен користувач отримує власну ip / підмережу виключно, IP-адреси почнуть бути приблизно такими ж, як номерні знаки.

Коли я зрозумів , що IPv6 збирається збільшити кількість IP - адрес багато , але не збільшуючи число портів на хості, я спочатку спантеличив. Зважаючи на те, що комп’ютери стають все більш потужними і, отже, стають більш здатними обслуговувати величезну кількість одночасних з'єднань, обмеження максимумом 65535 портів за IPv6 адресою здавалося «наступним вузьким місцем».

Потім я ще раз подумав про це і зрозумів, що тривіально призначити кілька IPv6 одному фізичному інтерфейсу і таким чином обійти цю межу кількості портів, які можуть підключитися до хоста. Насправді, подумайте про це, ви можете досить легко призначити 1024 або 4096 IPv6 адресам своєму хосту, а потім начебто випадковим чином розповсюдити свої послуги на різні порти на всі адреси, що надає сканерам портів досить важкий час (принаймні теоретично) .

Зараз такі тенденції, як віртуалізація хостів (кілька менших віртуальних хостів на відносно потужному фізичному хості) та кишенькові пристрої (думаю, що мобільні мобільні телефони, підключені IPv6 всім на планеті), напевно, змусять висловитись проти цього, більшість хостів у майбутньому Інтернеті, ймовірно, використовуватимуть цілком мало портів, і тому потрібен лише один єдиний IPv6-адресу на хост.

(Але можливість "сховатися" у великому пулі адреси IPv6, яким ви володієте і який ви можете вибрати випадковим чином, все ще забезпечує певний рівень безпеки, навіть якщо це, мабуть, тонкий у більшості обставин)