IPv6이 표준이되면 IP 기반 규칙 (예 : 금지 / 필터)에 어떤 영향이 있습니까?

13

Stack Exchange 사이트가 IP를 금지 한다는 것을 감안할 때 , 행동을 지시하기 위해 사용자의 IP를 기반으로 규칙을 만드는 것에 대한 일반적인 의견이나 전략이 있는지 궁금합니다.

IPv4를 사용하면 주어진 IP에 대해 상당히 안정적으로 가정 할 수있는 몇 가지 사항이 있습니다.

  1. 서브넷을 공유하는 IP는 동일한 사용자 일 수 있습니다.
  2. 다양한 실제 엔드 포인트에 IP를 재사용 할 수는 있지만 동일한 사용자 가 아니 거나 최소한 동일한 세대 / 조직 (기본적으로 공유 연결) 이 아닌 IP에서 중복 된 연결을 볼 가능성은 비교적 낮 습니다.
  3. 사용자가 새로운 공개 IP를 얻는 것은 쉬운 일이 아닙니다 (여기에는 중간 크기의 장벽이 있습니다)

IPv6을 사용하면이 모든 것을 가정 할 수 있습니까? NAT를 사용하는 사람은 누구나 IP를 충분히 확보 할 수 있기 때문에 NAT가 IPv6을 사용하지 않기 때문에 최소한 두 번째 요점은 더 이상 사실이 아니라고 생각합니다.

IP 기반 정책 세트가있는 경우 두 정책의 차이점으로 인해 IPv6에 대해 고려해야 할 사항은 무엇입니까?

ipv6 
다니엘 디 파올로
소스

답변:

6

IPv6을 사용하면 완벽한 솔루션이 없다고 생각합니다. 그러나 고려해야 할 사항이 많이 있습니다.

  • ISP는 /64개별 고객에게 서브넷을 제공 할 것 입니다. (돌아 가기에 충분할 것입니다.)
  • 직장에는 /64사무실 당 하나 이상이있을 것 입니다.
  • 엄격 포인트 - 투 - 포인트 연결을 제공하는 ISP의 와 사용을 접두사로 사용을 선택 /64하고을 /126. ( 일반적으로 / 127을 사용하지 않는 이유를 참조하십시오. ) 아마도 근시 ISP이거나 전체 요금을 더 청구하려는 사람 일 것입니다 /64. 전체 엔드 포인트 (전체 고객 네트워크 일 수 있음)가이어야하는 이유는 없습니다 /64.
  • 대부분의 IPv6 최종 사용자 서브넷이 될 예정 가정하면 /64, 하나의 인터페이스 식별자 (참조의 비트 6 볼 수 3.2.1RFC 4941를 )가 가능성 전역 고유 식별자 (MAC 주소)에 기초하여 생성 된 경우 확인하십시오. 이것은 명백한 것이 아닙니다. 그러나이 비트가 설정되면 MAC 주소에서 주소가 생성되었음을 나타냅니다. 따라서 마지막 64 비트를 기반으로 IPv6 주소를 차단할 수 있으며 사용자는 자신이 어떤 서브넷에서 왔든지 차단할 수 있습니다. (MAC 주소는 전 세계적으로 고유해야하지만 MAC 주소 때문에 항상 "힌트"로 사용하는 것이 가장 좋습니다. 실제로는 항상 그런 것은 아닙니다. 또한 쉽게 스푸핑 할 수 있습니다. a를 잡고 /64어쨌든 2 ^ 64 고유 주소를 얻습니다.)
  • 프라이버시 주소를 사용하는 경우 ... 한 번만 해당 주소를 차단하는 것 외에는 할 일이 많지 않습니다. 어쨌든 곧 바뀔 것입니다. /64이 시점에서 네트워크 부분을 고려 하되 다른 사람의 회사 전체를 차단할 수 있으므로주의하십시오.

가장 좋은 방법은 먼저 개별 주소를 확인한 다음 주소의 마지막 64 비트와 특정 /64서브넷 의 남용 패턴을 고려 하여 차단 전략을 구현하는 것입니다. 요약:

  • 개별 /128IP 주소 를 차단하여 시작하십시오 (현재 IPv4를 사용하는 것처럼)
  • 주소의 마지막 64 비트에서 개인 정보가 아닌 주소로 인해 남용 패턴이 발견되면이를 차단 알고리즘의 강력한 지표로 사용하십시오. 누군가 ISP 나 서브넷 사이를 연결하고있을 수 있습니다. (MAC가 반드시 고유하지는 않으므로이 점에주의하십시오. 누군가 알고리즘을 악용하기 위해 스푸핑 할 수도 있습니다) 또한 IPv6 작동 방식을 모르는 악용 자에 대해서만 작동합니다. ;-)
  • 특정 유형의 악용 패턴을 발견 한 경우 문제가있는 네트워크 관리자가 자신의 목적으로 수행해야하는 모든 작업을 수행 할 수 있도록 좋은 오류 메시지로 /64전체 /64를 차단하십시오 .

행운을 빕니다.

폰틸로
소스
2 ^ 64 = 18,446,744,073,709,552,000 가능한 주소. 왜 지구상에서 사용자에게 많은 주소가 필요합니까?
TheLQ
@ TheLQ는 분명히 그렇지 않습니다. 그러나 RFC 4291 에는 64 비트 인터페이스 식별자가 필요 하기 때문에 최종 사용자 네트워크 는 그렇게 합니다. 따라서 적어도 이더넷 네트워크에서 마지막 64 비트는 거의 64 비트로 확장 된 48 비트 MAC 인 EUI-64 주소에 의해 거의 사용됩니다 . IPv6에는 NAT가 없기 때문에 단일 (정적 또는 동적) IP 주소가 아닌 대부분의 홈 네트워크에는 단일 (정적 또는 동적) 서브넷이 필요합니다. /64
mpontillo
또한 다른 사람이 언급했듯이 DHCPv6은 상황에 다소 도움이 될 수 있지만 처음 64 비트가 아닌 128 비트를 기준으로 라우팅해야하기 때문에 라우터에 부담을 줄 수 있습니다. 개별 IP 주소로 라우팅하는 경우 오히려보다 /64고객 당, 그 무리한 크기로 라우팅 테이블을 폭발 할 수 있으며 하드웨어에 따라 원인이 문제는 라우팅에 사용되는.
mpontillo
고맙게도 IP가 Mac 주소를 기반으로한다는 것을 몰랐으며 라우팅 테이블이있는 곳을 잊어 버렸습니다. 내가해야 할 일이있는 것 같습니다
TheLQ
1
현재 모범 사례 는 ISP의 거주 고객에 대한 최소 할당이 / 56 인 것으로 보입니다 . 물론, 대부분의 고객은 아마도 그러한 블록 내에서 하나 또는 둘 이상의 / 64 서브넷을 꽤 오랫동안 사용하지 않을 것입니다. 그러나 그 사용이 예상됩니다.
Michael Hampton
3

당신이 나열한 가정 :

서브넷을 공유하는 IP는 동일한 사용자 일 수 있습니다.

계속 유지하십시오. 사실 ISP가 고객에게 IPv6 서브넷을 할당하는 경우 훨씬 더 사실이됩니다.

다양한 실제 엔드 포인트에 IP를 재사용 할 수는 있지만 동일한 사용자가 아니거나 최소한 동일한 세대 / 조직 (기본적으로 공유 연결)이 아닌 IP에서 중복 된 연결을 볼 가능성은 비교적 낮습니다.

계속 유지합니다 (실제로 위에서 설명한 전체 서브넷에 적용됨).

사용자가 새로운 공개 IP를 얻는 것은 쉬운 일이 아닙니다 (여기에는 중간 크기의 장벽이 있습니다)

개별 IP에는 그다지 적용되지 않지만 ISP가 전달한 서브넷에는 적용됩니다.

따라서 기본적으로 ISP가 모든 사용자에게 서브넷을 전달한다고 가정하면 현재 IP 금지가있는 서브넷 금지를보고 있습니다. 대신 사용자가 개별 IPv6 주소 (사용자 당 하나)를받는 경우 단일 IPv6 금지를보고 있습니다. 이는 불량 사용자가 많은 경우 금지 테이블 및 관련 성능 문제를 야기 할 수 있습니다.
어쨌든 IP 금지는보다 세분화 된 도구 (즉 한 사람이 잘못 행동했기 때문에 동적 풀이있는 ISP에서 많은 사용자를 차단 할 위험이 적음)가되어 내 견해로는 좋은 것입니다 ...

voretaq7
소스
1
모바일 네트워크가 각 전화에 / 64를 전체적으로 전달하면 놀랍습니다. 그들은 반드시 동적 풀에서 IP를 얻습니다. LTE가 크게 발전하더라도 "한 사람이 잘못 행동했기 때문에 동적 풀이있는 ISP에서 여러 사용자를 차단"할 수 있습니다.
Richard Gadsden
2

Wikipedia / MediaWiki는 / 64 내의 다섯 번째 IP를 차단할 때 전체 / 64를 차단하는 정책을 채택하고 있습니다.

5 명이 다른 사람들이 채택하고있는 표준 규칙 인 것 같습니다. 제가 본 DNSBL은 동일한 정책을 채택하고 있습니다.

비록 / 48 또는 / 56을 얻는 것이 아주 작은 조직조차도 꽤 쉽지만 / 64 이상으로 블록을 집계하려는 계획을 보지 못했습니다. 물론, 스패머는 현재 종종 / 24 (IPv4) 정도이므로 IPv6 공간이 거칠어지기 시작합니다.

리차드 개 즈덴
소스
1

서브넷을 공유하는 IP는 동일한 사용자 일 수 있습니다.

v6에서는 여전히 더 사실입니다.

다양한 실제 엔드 포인트에 IP를 재사용 할 수는 있지만, 동일한 사용자가 아니거나 최소한 동일한 세대 / 조직 (기본적으로 공유 연결)이 아닌 IP에서 중복 된 연결을 볼 가능성은 비교적 낮습니다.

v4보다 v6에서 훨씬 더 사실입니다.

사용자가 새로운 공개 IP를 얻는 것은 쉬운 일이 아닙니다 (여기에는 중간 크기의 장벽이 있습니다)

대부분의 경우 개별 주소가 아닌 ISP가 주소 블록을 전달합니다. 고객은 자신의 블록 내에서 arround를 쉽게 이동할 수 있습니다. 새로운 블록을 얻기가 더 어렵습니다 (불가능하지는 않지만).

가장 어려운 점은 고객에 대한 할당 크기가 크게 다르다는 것입니다. 일부 ISP는 개별 주소, 일부 / 64 블록, 일부 / 56 블록, 일부 / 48 블록을 나눠줍니다.

이로 인해 모든 ISP에 적용되는 합리적인 금지 / 제한 정책을 마련하기가 어려울 것입니다. "핫"/ 48은 단일 블록을 제공하는 ISP를 찾은 단일 학대자입니까 아니면 개별 주소를 제공하는 인색 한 모바일 제공 업체의 대규모 사용자 그룹입니까?

PS IPv6 사용을 거부하는 것은 실제로 IPv4 소진으로 인해 더 많은 고객이 ISP 수준 NAT의 형태를 잃게 될 것입니다.

피터 그린
소스
0

ISP가하는 일에 크게 의존 할 것이라고 생각합니다. 그들은 계속해서 실제 동적 IP를 사용자에게 제공 할 것인가? 그렇지 않은 경우 또는 모든 사용자가 자신의 IP / 서브넷을 독점적으로 얻는 경우 IP는 번호판과 거의 동일하게 시작됩니다.

덱스터
소스
ISP 질문은 다음과 같이 요약됩니다 : "ISP가 네트워크에 연결할 수있는 장치의 수를 제한하고 싶습니까?" 그렇지 않다면, / 64를 각각 나누어주고 햇볕에 쬐게됩니다. 그렇다면 dhcpv6이 우세 할 것입니다.
Bittrance
1
/ 64가 가정 사용자 광대역에 지배적이라고 생각합니다. 실제로 가정 CPE ( "라우터")에 대한 많은 IPv6 구현에는 / 64가 있다고 가정합니다. 모바일 통신 제공 업체 인 OTOH는 테 더링 비용을 지불 한 사용자에게 각 장치에 단일 IP를, / 64를 전달하여 테 더링을 방지 할 수 있습니다.
Richard Gadsden
0

IPv6가 IP 주소 수를 많이 늘릴 것이지만 호스트 당 포트 수는 늘리지 않는다는 것을 알았을 때, 나는 당황했습니다. 컴퓨터가 점점 더 강력 해짐에 따라 수많은 동시 연결 을 처리 할 수있게되면서 IPv6 주소 당 최대 65535 개의 포트로 제한되는 것은 "다음 병목 현상"으로 보였습니다.

그런 다음 다시 한 번 생각하고 하나의 물리적 인터페이스에 여러 개의 IPv6을 할당하는 것이 쉽지 않다는 것을 깨달았으므로 호스트에 연결할 수있는 포트 수의 제한을 피할 수있었습니다. 실제로 생각하면, 1024 또는 4096 IPv6 주소를 호스트에 쉽게 할당 한 다음 모든 주소의 다양한 포트에 임의로 서비스를 분산하여 포트 스캐너에 상당히 어려운 시간을 줄 수 있습니다 (적어도 이론적으로는) .

이제 호스트 가상화 (상대적으로 강력한 물리적 호스트에있는 여러 개의 작은 가상 호스트) 및 핸드 헬드 장치 (지구상의 모든 사람에게 IPv6 연결 모바일을 생각할 것)와 같은 추세는 아마도 이에 반대 할 수 있습니다. 미래 인터넷의 대부분의 호스트는 아마도 포트가 적으므로 호스트 당 하나의 단일 IPv6 주소 만 필요합니다.

(그러나 소유하고 있고 임의로 선택할 수있는 큰 IPv6 주소 풀에서 "숨기기"기능은 대부분의 환경에서 매우 얇은 경우에도 여전히 일부 보안 계층을 제공합니다)

일 빌자
소스
1
그리고 인공 부하 테스트를 제외하고 두 대의 컴퓨터가 서로 동시에 65536 개의 동시 연결을 여는 시점은 언제입니까?
Michael Hampton
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.