การห้ามที่อยู่ IPv6

ขณะนี้ฉันคุ้นเคยกับการใช้เครื่องมือเช่น fail2ban เพื่อป้องกันการรับส่งข้อมูลที่ไม่ต้องการออกจากเซิร์ฟเวอร์ของฉันโดยการห้ามที่อยู่ IPv4: มีรายการบันทึกที่ไม่ดีต่อ IP มากเกินไปห้ามแบน IP

อย่างไรก็ตามเมื่อโลกเสร็จสิ้นการโยกย้ายไปยัง IPv6 การห้ามที่อยู่เดียวอาจจะไม่ทำงานอีกต่อไปเนื่องจากคอมพิวเตอร์ botnet "ปกติ" หรือผู้โจมตีมีที่อยู่ IPv6 จำนวนมากใช่ไหม

หากฉันต้องการปิดกั้นผู้ใช้ IPv6 สิ่งที่จะเป็นวิธีที่ดีที่สุดในการบรรลุเป้าหมายนี้ ใช้ IP mask ตัวใดตัวหนึ่งหรืออย่างอื่น?

ทำอย่างไรกับ "ยกระดับการวิเคราะห์พฤติกรรม" เมื่อคุณได้รับความนิยมหลายครั้งใน IPv6 จากนั้นแบนบล็อกทั้งหมด?

สำหรับฉันมันสำคัญกว่าที่จะบรรเทาภัยคุกคาม หากผู้ใช้ของแท้ที่น่าสงสารบางคนอยู่ในบล็อกเดียวกันกับ IP ที่ถูกบล็อกนั่นเป็นปัญหาระหว่างคนเหล่านั้นกับ ISP ของพวกเขาเพื่อให้ netblock นั้นถูกล้าง

การห้ามต่อ / 128 จะไม่ขยายเมื่อใช้เครือข่ายย่อยขนาด / 64 สำหรับการโจมตี คุณจะจบด้วย 2 ^ 64 รายการในตารางซึ่งอาจทำให้เกิดการปฏิเสธการให้บริการ

ผู้ใช้ปลายทางจะได้รับ / 56 ตามนโยบายการกำหนดที่อยู่ทั่วโลก ธุรกิจจะได้รับ / 48 ต่อที่อยู่ทั่วโลก

ดูที่: https://tools.ietf.org/html/rfc6177 / 128 ไม่ควรถูกกำหนดให้กับเซิร์ฟเวอร์ / ผู้ใช้การมอบหมายขั้นต่ำให้กับเอนทิตีอื่น (ลูกค้า / เซิร์ฟเวอร์ / vps) ควรเป็น / 64 การกำหนดขั้นต่ำให้กับเว็บไซต์ควรเป็น / 56 การให้ออก / 128s นั้นใช้งานไม่ได้และควรได้รับการพิจารณาว่าผิดพลาด

ฉันจึงแนะนำให้ห้ามชั่วคราวต่อ / 64 เนื่องจากผู้ใช้ทั่วไปทั่วไปจะสามารถเข้าถึง 2 ^ 8 / 64s ได้ดังนั้นจึงไม่ควรแนะนำรายการที่มากเกินไปในตารางห้าม

คำตอบสำหรับคำถามของคุณจะเกี่ยวข้องกับการคาดเดาจำนวนหนึ่ง การปรับใช้ IPv6 ยังมีอยู่ไม่มากพอที่เราจะไม่รู้ว่าสถานการณ์การคุกคามจะเป็นอย่างไร

ที่อยู่ IPv6 จำนวนมากจะมีการเปลี่ยนแปลงสถานการณ์ภัยคุกคามที่คุณต้องพิจารณาหลายครั้ง

ก่อนอื่นด้วย IPv4 ผู้โจมตีสามารถสแกนหมายเลขพอร์ตเริ่มต้นสำหรับบริการที่มีช่องโหว่ในที่อยู่ IPv4 ที่กำหนดเส้นทางได้ทั้งหมด 3700 ล้านเครื่อง การโจมตีที่ไม่ตรงเป้าหมายนั้นไม่สามารถทำได้ด้วย IPv6 การโจมตีเหล่านั้นที่คุณยังเห็นจะต้องมีเป้าหมายมากขึ้น ไม่ว่าจะเป็นสิ่งนี้หมายความว่าเราจะต้องเปลี่ยนแปลงสิ่งต่างๆมากมายในการจัดการการโจมตี

วัตถุประสงค์หลักของการแบนไอพีตามข้อความบันทึกคือเพื่อลดเสียงรบกวนในบันทึกและในระดับหนึ่งเพื่อลดภาระของระบบ ไม่ควรทำหน้าที่เป็นการป้องกันการหาประโยชน์ ผู้โจมตีที่รู้จุดอ่อนจะอยู่ข้างในก่อนที่การแบนจะเริ่มขึ้นดังนั้นเพื่อป้องกันไม่ให้คุณต้องแก้ไขช่องโหว่เช่นเดียวกับที่คุณต้องทำ

การห้ามที่อยู่ IPv6 แต่ละรายการอาจเพียงพอที่จะลดเสียงรบกวนในบันทึก แต่นั่นไม่ได้รับ ไม่น่าเป็นไปได้ที่ผู้โจมตีอาจใช้ที่อยู่ IP ใหม่จากช่วงที่มีให้สำหรับการเชื่อมต่อทุกครั้ง หากผู้โจมตีมีพฤติกรรมเช่นนั้นการห้ามที่อยู่ IPv6 แต่ละรายการไม่เพียง แต่จะไม่ได้ผล แต่คุณยังอาจทำให้ DoS โจมตีตัวเองโดยไม่ได้ตั้งใจโดยใช้หน่วยความจำทั้งหมดสำหรับกฎไฟร์วอลล์

คุณไม่สามารถทราบความยาวของคำนำหน้าที่มีให้สำหรับผู้โจมตีแต่ละคน การบล็อกคำนำหน้าสั้นเกินไปจะทำให้การโจมตี DoS โดยครอบคลุมผู้ใช้ที่ถูกกฎหมายเช่นกัน การปิดกั้นส่วนนำหน้ายาวเกินไปจะไม่ได้ผล ความพยายามบังคับใช้รหัสผ่านโดยเฉพาะอย่างยิ่งมีแนวโน้มที่จะใช้ที่อยู่ IPv6 ไคลเอ็นต์จำนวนมาก

เพื่อให้มีประสิทธิภาพต่อผู้โจมตีที่เปลี่ยนที่อยู่ IPv6 ในแต่ละคำขอและเพื่อให้การใช้งานหน่วยความจำลดลงคุณจะต้องปิดกั้นช่วงและเนื่องจากไม่ทราบความยาวของคำนำหน้าล่วงหน้าคุณจะต้องปรับความยาวของคำนำหน้าแบบไดนามิก

เป็นไปได้ที่จะมีการวิเคราะห์พฤติกรรมในตอนนี้ พวกเขาจะทำงานได้ดีแค่ไหนเรายังไม่รู้

หนึ่งฮิวริสติกสำหรับทุกความยาวของคำนำหน้าเพื่อกำหนดเกณฑ์จำนวน IP ที่ต้องใช้ในการบล็อกคำนำหน้าของความยาวนั้น และการบล็อกควรถูกนำไปใช้ที่ความยาวเฉพาะถ้าคำนำหน้าอีกต่อไปจะไม่เพียงพอ กล่าวอีกนัยหนึ่งคุณต้องมี IP ที่ถูกบล็อกเพียงพอในแต่ละครึ่งเพียงพอเพื่อเริ่มบล็อกได้จริง

ตัวอย่างเช่นหนึ่งอาจตัดสินใจว่าเพื่อบล็อก a / 48 จะต้องมี 100 IP ที่ถูกบล็อกในแต่ละสอง / 49s ที่ทำขึ้น / 48 คำนำหน้ายิ่งยาวเท่าไหร่จำนวน IP ที่จำเป็นในการบล็อกก็จะน้อยลง แต่ในทุกกรณีพวกเขาจะต้องถูกแพร่กระจายไปทั่วทั้งสองครึ่ง

คุณควรจะห้ามที่อยู่เดียว

ไม่ได้ระบุว่าจะให้ที่อยู่จำนวนเท่าใดแก่ผู้ใช้ปลายทาง ISP บางแห่งอาจให้ทั้งเครือข่ายย่อยและที่อยู่เดียวเท่านั้น