Запрет адресов IPv6
Я в настоящее время приучаюсь к использованию инструментов как fail2ban для держания нежелательного трафика отдельно от моих серверов путем запрета адресов IPv4: слишком много плохих записей в журнале на IP, запретите IP.
Однако, когда мир завершает миграцию к IPv6, запрещение единственных адресов, вероятно, не будет работать еще, начиная с "нормального" компьютера ботнета или отрядов взломщика вполне много адресов IPv6?
Если бы я хочу заблокировать пользователей IPv6, каков был бы лучший способ выполнить это? Использовать определенную маску IP или что-то еще?
Как насчет того, чтобы делать "эвристику увелечения масштаба", когда Вы получаете несколько отдельных хитов в IPv6 затем, запрещают целый блок?
Для меня более важно смягчить угрозу. Если некоторые бедные подлинные пользователи для принадлежности тому же блоку с заблокированным дюйм/с затем это - проблема между теми людьми и их ISP для получения этого очищенный netblock.
Запрет на / 128 не масштабируется, если для атаки используется подсеть размером / 64. В результате вы получите 2 ^ 64 записей в таблице, что может вызвать отказ в обслуживании.
Конечные пользователи всегда будут получать / 56 для каждой политики назначения глобальных адресов. Компании всегда будут получать / 48 на глобальный адрес
См .: https://tools.ietf.org/html/rfc6177 / 128 никогда не следует назначать серверу / пользователю, минимальное назначение другому объекту (клиенту сервера / vps) должно быть / 64. Минимальное назначение сайту должно быть / 56. Выдача / 128s принципиально нарушена и должна считаться ошибкой конфигурации.
Поэтому я рекомендую временно запретить / 64, учитывая, что типичный конечный пользователь будет иметь доступ только к 2 ^ 8 / 64s, это тоже не должно вводить много записей в таблице запретов.
Любой ответ на ваш вопрос потребует некоторого количества предположений. Развертываний IPv6 все еще недостаточно, поэтому мы просто еще не знаем, как именно будет выглядеть сценарий угрозы.
Большое количество адресов IPv6 внесет несколько изменений в сценарий угрозы, который вам придется учитывать.
Прежде всего, с IPv4 злоумышленник вполне может просканировать номер порта по умолчанию для какой-либо уязвимой службы по всем 3700 миллионам маршрутизируемых IPv4-адресов. Такие нецелевые атаки невозможны с IPv6. Те атаки, которые вы все еще наблюдаете, должны быть более целенаправленными. Будет ли это означать, что нам придется что-то менять в нашей обработке атак, еще неизвестно.
Основная цель запрета IP-адресов на основе сообщений журнала - уменьшить шум в журналах и до некоторой степени снизить нагрузку на систему. . Это не должно служить защитой от эксплойтов. Злоумышленник, который знает слабое место, окажется внутри до того, как сработает запрет, поэтому для защиты от него вы должны исправить уязвимости - как и всегда.
Запрета отдельных адресов IPv6 может быть достаточно для уменьшения шума в журналах. Но это не дано. Не исключено, что злоумышленник может использовать новый IP-адрес из доступного им диапазона для каждого соединения. Если злоумышленники будут вести себя подобным образом, запрет отдельных IPv6-адресов не только будет неэффективным, но и вы можете даже непреднамеренно вызвать DoS-атаку на себя, используя всю свою память для правил брандмауэра.
Вы не можете знать длину префикс доступен каждому злоумышленнику. Блокировка слишком короткого префикса вызовет DoS-атаку, в том числе и законных пользователей. Блокировка слишком длинного префикса будет неэффективной. В частности, попытки перебора пароля могут использовать большое количество клиентских IPv6-адресов.
Чтобы быть эффективными против злоумышленников, переключающих IPv6-адрес при каждом запросе, и для снижения использования памяти, вам необходимо заблокировать диапазоны и из-за того, что длина префикса неизвестна заранее, вам необходимо динамически регулировать длину префикса.
Уже сейчас можно придумать эвристику. Насколько хорошо они будут работать, мы пока не знаем.
Одна эвристика будет для каждой длины префикса, чтобы определить порог того, сколько IP-адресов необходимо для блокировки префикса такой длины.И блокировку следует применять только на определенной длине, если более длинного префикса недостаточно. Другими словами, вам нужно достаточное количество индивидуально заблокированных IP-адресов в каждой из двух половин, чтобы фактически инициировать блокировку.
Например, можно решить, что для блокировки / 48 должно быть 100 заблокированных IP-адресов в каждом из две / 49 составляют / 48. Чем длиннее префикс, тем меньше должно быть количество IP-адресов, необходимых для его блокировки, но в любом случае они должны быть распределены по обеим половинам.
Вам следует придерживаться запрета отдельных адресов.
Не определено, сколько адресов будет отдано конечным пользователям. Некоторые интернет-провайдеры могут давать целую подсеть, а другие - только один адрес.