Wie wirken sich IP-basierte Regeln (z. B. Verbote / Filter) aus, wenn IPv6 zum Standard wird?

Angesichts der Tatsache, dass Stack Exchange-Sites IP verbieten , frage ich mich, ob es eine gemeinsame Meinung oder Strategie gibt, Regeln basierend auf der IP eines Benutzers zu erstellen, um Verhaltensweisen zu diktieren.

Mit IPv4 haben Sie einige Dinge, die Sie ziemlich zuverlässig über eine bestimmte IP-Adresse annehmen können:

1. IPs, die ein Subnetz gemeinsam nutzen, können sehr wohl derselbe Benutzer sein
2. Während IPs für verschiedene tatsächliche Endpunkte wiederverwendet werden können, ist es relativ unwahrscheinlich, dass Sie doppelte Verbindungen von einer IP sehen, die nicht derselbe Benutzer oder zumindest derselbe Haushalt / die selbe Organisation ist (im Grunde eine gemeinsam genutzte Verbindung).
3. Es ist nicht einfach für einen Benutzer, eine neue öffentliche IP zu erhalten (es gibt eine mittelgroße Eintrittsbarriere hier).

Können Sie all dies mit IPv6 übernehmen? Ich würde mir zumindest vorstellen, dass der zweite Punkt nicht mehr zutrifft, da NAT'ing IPv6 eigentlich nicht mehr verwenden soll, da es genug IPs für jeden gibt, der eine will.

Wenn Sie über IP-basierte Richtlinien verfügen, welche Überlegungen müssen Sie gegebenenfalls zu IPv6 treffen, da sich diese unterscheiden?

Ich glaube nicht, dass es mit IPv6 eine perfekte Lösung gibt. Es gibt jedoch eine Reihe von Punkten zu beachten:

• ISPs werden wahrscheinlich /64Subnetze an einzelne Kunden vergeben. (Es wird genug geben, um herumzugehen.)
• Am Arbeitsplatz wird es wahrscheinlich mindestens einen /64pro Büro geben.
• ISPs, die ausschließlich Punkt-zu-Punkt-Verbindungen anbieten, können Präfixe zwischen /64und verwenden /126. (Sehen Sie, warum sie / 127 im Allgemeinen nicht verwenden. ) Dies wäre wahrscheinlich entweder ein kurzsichtiger ISP oder einer, der mehr für eine volle Gebühr verlangen möchte /64. Es gibt wirklich keinen Grund, warum jeder Endpunkt (der ein vollständiges Kundennetzwerk sein könnte) kein Endpunkt sein sollte /64.
• Unter der Annahme, dass die meisten IPv6-Endbenutzer-Subnetze sich in einem befinden /64, können Sie anhand von Bit 6 in der Schnittstellenkennung (siehe Abschnitt 3.2.1 von RFC 4941 ) prüfen, ob es wahrscheinlich auf der Grundlage einer global eindeutigen Kennung (MAC-Adresse) generiert wurde. Das ist natürlich nicht kinderleicht. Wenn dieses Bit jedoch gesetzt ist, deutet dies wahrscheinlich darauf hin, dass die Adresse aus einer MAC-Adresse generiert wurde. So kann man IPv6-Adressen basierend auf den letzten 64 Bit blockieren und Benutzer können blockiert werden, unabhängig davon, aus welchem ​​Subnetz sie stammen. (Vielleicht ist es das Beste, dies als "Hinweis" zu verwenden, da MAC-Adressen, obwohl sie global eindeutig sein sollen, in der Praxis nicht immer vorhanden sind. Außerdem können sie leicht gefälscht werden. Aber jeder, der es versteht, sich den Problemen zu stellen, würde es wahrscheinlich leichter finden.) nimm ein /64und erhalte trotzdem 2 ^ 64 eindeutige Adressen.)
• Wenn Privatadressen verwendet werden ... gibt es nicht viel zu tun, außer diese eine Adresse für kurze Zeit zu blockieren. Es wird sich wahrscheinlich sowieso bald ändern. /64Berücksichtigen Sie an dieser Stelle den Netzwerkteil von. Seien Sie jedoch vorsichtig, da Sie möglicherweise die gesamte Unternehmenszentrale blockieren.

Ich würde sagen, dass der beste Weg wäre, zuerst einzelne Adressen zu betrachten, dann die letzten 64 Bits der Adresse und die Missbrauchsmuster von bestimmten /64Subnetzen zu berücksichtigen , um eine Blockierungsstrategie zu implementieren. Zusammenfassen:

• Blockieren Sie zunächst einzelne /128IP-Adressen (wie Sie es heute wahrscheinlich mit IPv4 tun).
• Wenn Sie in den letzten 64 Bit einer Adresse ein Missbrauchsmuster von einer Nicht-Datenschutz-Adresse bemerken, verwenden Sie dies als starken Indikator in Ihrem Blockierungsalgorithmus. Möglicherweise wechselt jemand zwischen ISPs oder Subnetzen. (Seien Sie auch hier vorsichtig, da MACs nicht unbedingt eindeutig sind - es könnte sein, dass jemand Ihren Algorithmus fälscht). ;-)
• Wenn Sie ein Missbrauchsmuster von einer bestimmten Seite bemerken /64, blockieren Sie die gesamte Seite /64mit einer guten Fehlermeldung, damit der Administrator des betreffenden Netzwerks alle an seiner Seite zu erledigenden Arbeiten ausführen kann.

Viel Glück.

Die Annahmen, die Sie auflisten:

IPs, die ein Subnetz gemeinsam nutzen, können sehr wohl derselbe Benutzer sein

Dies gilt umso mehr, als ISPs ihren Kunden IPv6-Subnetze zuweisen.

Während IPs für verschiedene tatsächliche Endpunkte wiederverwendet werden können, ist es relativ unwahrscheinlich, dass Sie doppelte Verbindungen von einer IP sehen, die nicht derselbe Benutzer oder zumindest derselbe Haushalt / dieselbe Organisation ist (im Grunde eine gemeinsam genutzte Verbindung).

Gilt weiterhin (gilt in der Tat für das gesamte Subnetz wie oben beschrieben).

Es ist nicht einfach für einen Benutzer, eine neue öffentliche IP zu erhalten (es gibt eine mittelgroße Eintrittsbarriere hier)

Gilt nicht so sehr für eine einzelne IP, sondern für ein Subnetz, das von einem ISP ausgehändigt wird.

Im Grunde handelt es sich also um Subnetz-Bans, bei denen derzeit IP-Bans gelten, vorausgesetzt, ISPs verteilen Subnetze an alle ihre Benutzer. Wenn Benutzer stattdessen einzelne IPv6-Adressen erhalten (eine pro Benutzer), handelt es sich um einzelne IPv6-Sperren, die zu einer viel längeren Sperrtabelle (und damit verbundenen Leistungsproblemen) führen können, wenn sich viele Benutzer schlecht verhalten.
In beiden Fällen wird ein IP-Verbot zu einem detaillierteren Tool (dh weniger Risiko, eine Gruppe von Benutzern von einem ISP zu blockieren, der einen dynamischen Pool hat, weil sich eine Person schlecht benommen hat), was meiner Ansicht nach eine gute Sache ist ...

Wikipedia / MediaWiki beschließt, eine ganze / 64 zu blockieren, wenn sie die fünfte IP innerhalb dieser / 64 blockieren.

Fünf scheint die Standard-Faustregel zu sein, die andere anwenden - die beiden DNSBLs, die ich gesehen habe, wenden dieselbe Richtlinie an.

Ich habe keine Pläne gesehen, Blöcke über a / 64 zu aggregieren, obwohl es selbst für eine bescheidene Organisation ziemlich einfach ist, a / 48 oder a / 56 zu erhalten. Natürlich haben Spammer derzeit oft ein / 24 (IPv4) oder so, daher erwarte ich, dass sie anfangen werden, große Teile des IPv6-Speicherplatzes zu ergreifen.

IPs, die ein Subnetz gemeinsam nutzen, können sehr wohl derselbe Benutzer sein

Immer noch wahr, in der Tat noch wahrer mit v6.

Während IPs für verschiedene tatsächliche Endpunkte wiederverwendet werden können, ist es relativ unwahrscheinlich, dass Sie doppelte Verbindungen von einer IP sehen, die nicht derselbe Benutzer oder zumindest derselbe Haushalt / die selbe Organisation ist (im Grunde eine gemeinsam genutzte Verbindung).

Wahrscheinlich sogar wahrer mit v6 als v4.

Es ist nicht einfach für einen Benutzer, eine neue öffentliche IP zu erhalten (es gibt eine mittelgroße Eintrittsbarriere hier).

In den meisten Fällen werden ISPs Adressblöcke anstatt einzelner Adressen verteilen. Es ist für einen Kunden einfach, sich in seinem Block zu bewegen. Es ist schwieriger (wenn auch alles andere als unmöglich), einen neuen Block zu bekommen.

Das Schwierigste ist, dass die Zuteilungsgrößen für Kunden sehr unterschiedlich sind. Einige ISPs verteilen einzelne Adressen, einige / 64-Blöcke, einige / 56-Blöcke, einige / 48-Blöcke.

Dies wird es schwierig machen, eine vernünftige Verbots- / Beschränkungsrichtlinie zu entwickeln, die für alle ISPs funktioniert. Ist das "heiß" / 48 ein einzelner Missbraucher, der einen ISP gefunden hat, der große Blöcke herausgegeben hat, oder ist es eine große Gruppe von Benutzern eines geizigen Mobilfunkanbieters, der einzelne Adressen herausgibt?

PS Die Weigerung, IPv6 zu implementieren, ist auch keine wirkliche Lösung, da mit der IPv4-Erschöpfung immer mehr Kunden hinter einer Form von ISP-Level-NAT stehen.

Ich denke, es wird stark davon abhängen, was die ISPs tun werden. Werden sie den Benutzern weiterhin echte dynamische IP-Adressen bereitstellen? Wenn nicht, oder wenn jeder Benutzer exklusiv seine eigene IP / sein eigenes Subnetz erhält, werden die IPs so gut wie die eines Kennzeichens sein.

Als ich verstand , dass IPv6 würde die Anzahl der IP erhöhen ein Adresse viel , aber nicht die Anzahl der Ports pro Host zu erhöhen, wurde verwirrte ich zum ersten Mal. Angesichts der Tatsache, dass Computer immer leistungsfähiger werden und somit in der Lage sind, eine große Anzahl von gleichzeitigen Verbindungen zu bedienen , schien die Beschränkung auf maximal 65535 Ports pro IPv6-Adresse der "nächste Engpass" zu sein.

Dann habe ich noch einmal darüber nachgedacht und festgestellt, dass es trivial ist, einer physischen Schnittstelle mehrere IPv6-Ports zuzuweisen und auf diese Weise diese Beschränkung der Anzahl der Ports zu umgehen, die eine Verbindung zum Host herstellen können. Wenn Sie sich das einmal überlegen, können Sie Ihrem Host ganz einfach 1024 oder 4096 IPv6-Adressen zuweisen und dann Ihre Dienste zufällig auf verschiedene Ports an allen Adressen verteilen, was den Port-Scannern (zumindest theoretisch) eine ziemlich schwierige Zeit macht. .

Trends wie Host-Virtualisierung (mehrere kleinere virtuelle Hosts auf einem relativ leistungsfähigen physischen Host) und Handheld-Geräte (denken Sie, dass IPv6-verbundene Mobiltelefone für alle auf der Welt geeignet sind) sprechen möglicherweise dagegen wenige Ports und benötigen daher nur eine einzige IPv6-Adresse pro Host.

(Die Möglichkeit, sich in einem großen Pool von IPv6-Adressen zu "verstecken", die Sie alle besitzen und aus denen Sie nach dem Zufallsprinzip auswählen können, bietet dennoch ein gewisses Maß an Sicherheit, auch wenn sie in den meisten Fällen zugegebenermaßen dünn sind.)