Заборона адрес IPv6


16

В даний час я звик використовувати такі інструменти, як fail2ban, щоб запобігти небажаному трафіку подалі від моїх серверів, заборонивши IPv4 адреси: занадто багато неправильних записів журналу на IP, заборонити IP.

Однак коли світ завершує міграцію до IPv6, заборона однієї адреси, ймовірно, більше не працюватиме, оскільки "звичайний" ботнет-комп'ютер або зловмисник мають досить багато IPv6 адрес?

Якщо я хочу заблокувати користувачів IPv6, який був би найкращий спосіб досягти цього? Використовуєте певну IP-маску чи щось інше?

А як щодо того, щоб робити "евристику великого рівня", коли ви отримуєте кілька окремих звернень всередині IPv6, а потім забороняєте весь блок?

Для мене важливіше пом'якшити загрозу. Якщо деякі незадовільні справжні користувачі належать до одного блоку із заблокованими IP-адресами, то проблема між тими людьми та їхнім провайдером є проблемою, щоб очистити цей нетблок.

Відповіді:


6

Заборона на 128 не масштабується, коли для атаки використовується підмережа розміром / 64. Ви отримаєте 2 ^ 64 записи в таблиці, що потенційно спричинить відмову в обслуговуванні.

Кінцеві користувачі завжди отримуватимуть / 56 за кожну політику призначення глобальної адреси. Компанії завжди отримуватимуть / 48 за глобальну адресу

Дивіться: https://tools.ietf.org/html/rfc6177 / 128 ніколи не слід призначати серверу / користувачеві, мінімальне призначення іншому об'єкту (клієнт сервера / vps) має бути a / 64. Мінімальне призначення сайту повинно бути / 56. Вихід / 128s принципово порушений, і його слід вважати помилкою конфігурації.

Тому я рекомендую тимчасове заборону на 64, враховуючи, що типовий кінцевий користувач матиме доступ лише до 2 ^ 8/64, він не повинен вносити занадто багато записів у таблицю заборон.


1
Якщо заблокувати ціле /64через одне проблематичне IP, це призведе до блокування законних користувачів.
kasperd

1
Так, але тільки якщо вони знаходяться на одному і тому ж сайті. Так, так, користувальницька VLAN може бути заблокована всередині однієї будівлі. Або всі віртуальні машини, що належать клієнту, якщо один з VM погано поводиться у хмарі. Призначення / 64 для декількох користувачів для серверів є проблематичним за багатьма способами, це порушено. Але поверхня відмови в обслуговуванні блокування per / 64 значно нижча, ніж при / 128.
Вілько Баан Хофман

10

Будь-яка відповідь на ваше запитання передбачає певну кількість здогадок. Розгортань IPv6 ще мало, що ми просто ще не знаємо, як саме буде виглядати сценарій загрози.

Велика кількість IPv6-адрес внесе кілька змін у сценарій загрози, який вам доведеться врахувати.

Перш за все, з IPv4 зловмисник цілком можливо сканувати номер порту за замовчуванням для деякої вразливої ​​служби через усі 3700 мільйонів маршрутизованих IPv4 адрес. Такі ненавмисні атаки неможливо здійснити з IPv6. Ті напади, які ви все ще бачите, повинні бути більш націленими. Чи означає це, що нам доведеться сильно змінити обробку нападів.

Основною метою заборони IP-адрес на основі повідомлень журналу було б зменшити шум у журналах та певною мірою зменшити навантаження системи. Він не повинен слугувати захистом від подвигів. Зловмисник, який знає слабкість, опиниться всередині, перш ніж заборона наступить, тому для захисту від цього вам доведеться виправити вразливості - як завжди.

Заборона окремих IPv6-адрес може бути достатньою для зменшення шуму в журналах. Але це не дано. Навряд чи зловмисник може використовувати нову IP-адресу з доступного їм діапазону для кожного з'єднання. Якщо зловмисники мали б поводитись так, що заборона окремих IPv6-адрес не тільки буде неефективною, але ви навіть можете ненавмисно нанести атаку DoS на себе, використовуючи всю вашу пам'ять для правил брандмауера.

Ви не можете знати довжину префікса, доступного кожному нападнику. Блокування занадто короткого префікса може спричинити атаку DoS, охоплюючи також законних користувачів. Блокування занадто довгого префікса буде малоефективним. Зокрема, для спроб грубої спроби застосувати велику кількість IPv6-адрес клієнта.

Для того, щоб зловмисники могли перемикати IPv6-адресу на кожен запит і щоб зменшити використання пам'яті, вам потрібно заблокувати діапазони, і через те, що заздалегідь не знаєте довжини префіксу, вам доведеться динамічно регулювати довжини префікса.

Можна придумати евристику вже зараз. Наскільки добре вони працюватимуть, ми поки не знаємо.

Одне евристичне значення має для кожної довжини префікса визначати поріг, скільки IP-адрес потрібно для блокування префікса такої довжини. І блокування слід застосовувати лише певної довжини, якщо довший префікс не буде достатнім. Іншими словами, вам потрібно достатньо індивідуально заблокованих IP-адрес у кожній з двох половин, щоб фактично ініціювати блок.

Наприклад, можна вирішити, що для блокування a / 48 повинно бути 100 заблокованих IP-адрес у кожному з двох / 49, що складають / 48. Чим довший префікс, тим меншою є кількість IP-адрес, необхідних для його блокування, але в кожному випадку їх потрібно буде поширювати на обидві половини.


1
Майже через 5 років будь-який перегляд IPv6 та Fail2ban?
Пол

2

Вам слід дотримуватися заборони однієї адреси.

Не визначено, скільки адрес буде надано кінцевим користувачам. Деякі провайдери можуть надати цілу підмережу, а інші лише одну адресу.


Та сама відповідь і на ваше друге запитання. Оскільки ви не можете знати, які налаштування мережі визначені з іншого боку, ви можете заблокувати багато користувачів.
П’єр-Ів Гілєр
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.