Bagaimana aturan berbasis IP (misalnya, larangan / filter) dipengaruhi setelah IPv6 menjadi standar?

13

Mengingat bahwa situs Stack Exchange melarang IP , saya ingin tahu apakah ada pendapat umum atau strategi tentang membuat aturan berdasarkan IP pengguna untuk mendikte perilaku.

Dengan IPv4, Anda memiliki beberapa hal yang dapat Anda asumsikan secara wajar tentang IP yang diberikan:

  1. IP yang berbagi subnet bisa jadi pengguna yang sama
  2. sementara IP dapat digunakan kembali untuk berbagai titik akhir aktual, relatif tidak mungkin Anda akan melihat koneksi duplikat dari IP yang bukan pengguna yang sama, atau setidaknya rumah tangga / organisasi yang sama (pada dasarnya, koneksi bersama)
  3. itu tidak mudah bagi pengguna untuk mendapatkan IP publik baru (ada penghalang berukuran sedang untuk masuk di sini)

Dengan IPv6, dapatkah Anda mengasumsikan semua ini? Saya akan membayangkan setidaknya poin kedua tidak akan benar lagi karena NAT'ing pada dasarnya akan hilang dengan IPv6 karena akan ada cukup IP untuk siapa pun yang menginginkannya.

Jika Anda memiliki seperangkat kebijakan berbasis IP yang berlaku, pertimbangan apa yang perlu dibuat untuk IPv6 jika ada karena perbedaan keduanya?

ipv6 Daniel DiPaolo
sumber

Jawaban:

6

Dengan IPv6, saya tidak berpikir ada solusi yang sempurna. Tetapi ada beberapa hal yang perlu dipertimbangkan:

  • ISP kemungkinan akan memberikan /64subnet kepada pelanggan individu. (Akan ada cukup untuk berkeliling.)
  • Tempat kerja kemungkinan akan memiliki setidaknya satu /64per kantor.
  • ISP yang menawarkan tautan point-to-point yang ketat dapat memilih penggunaan untuk menggunakan awalan antara /64dan /126. (Lihat mengapa mereka tidak menggunakan / 127 secara umum ) Ini mungkin akan menjadi ISP jangka pendek, atau orang yang ingin mengenakan biaya lebih banyak untuk penuh /64. Sebenarnya tidak ada alasan bahwa setiap titik akhir (yang bisa menjadi jaringan pelanggan penuh) tidak boleh a /64.
  • Dengan anggapan sebagian besar subnet pengguna akhir IPv6 akan menggunakan /64, seseorang dapat melihat bit 6 pada pengenal antarmuka (lihat bagian 3.2.1 dari RFC 4941 ) untuk memeriksa apakah kemungkinan dihasilkan berdasarkan pengidentifikasi unik global (alamat MAC). Ini tidak mudah, jelas. Tetapi jika bit ini diset, kemungkinan menunjukkan bahwa alamat itu dihasilkan dari alamat MAC. Jadi seseorang dapat memblokir alamat IPv6 berdasarkan 64 bit terakhir, dan pengguna dapat diblokir tidak peduli dari mana subnet mereka berasal. (Mungkin lebih baik menggunakan ini sebagai "petunjuk" karena alamat MAC, meskipun seharusnya unik secara global, dalam praktiknya tidak selalu. Ditambah lagi, mereka mudah dipalsukan. Tetapi siapa pun yang cukup pintar untuk menghadapi masalah mungkin akan merasa lebih mudah untuk melakukannya. ambil a /64dan dapatkan 2 ^ 64 alamat unik.)
  • Jika alamat privasi sedang digunakan ... tidak banyak yang bisa dilakukan kecuali memblokir satu alamat untuk waktu yang singkat. Sepertinya akan segera berubah. Faktor di bagian jaringan pada /64saat ini, tetapi berhati-hatilah karena Anda mungkin memblokir seluruh kantor perusahaan seseorang.

Saya akan mengatakan bahwa cara terbaik adalah melihat pertama pada alamat individu, kemudian faktor dalam 64 bit terakhir dari alamat, dan pola penyalahgunaan dari /64subnet tertentu untuk menerapkan strategi pemblokiran. Untuk meringkas:

  • Mulailah dengan memblokir /128alamat IP individual (seperti yang mungkin Anda lakukan hari ini dengan IPv4)
  • Jika Anda melihat pola penyalahgunaan dari alamat non-privasi dalam 64 bit terakhir alamat, gunakan itu sebagai indikator kuat dalam algoritma pemblokiran Anda. Seseorang dapat berpindah antar ISP atau subnet. (sekali lagi, berhati-hatilah dengan ini karena MAC tidak selalu unik - seseorang bisa saja menipu untuk mengeksploitasi algoritme Anda) Selain itu, ini hanya akan bekerja melawan pelaku yang tidak tahu cara kerja IPv6. ;-)
  • Jika Anda melihat pola penyalahgunaan dari orang tertentu /64, blokir keseluruhan /64dengan pesan kesalahan yang baik sehingga administrator jaringan yang menyinggung itu dapat melakukan pekerjaan apa pun yang perlu dilakukan di pihaknya.

Semoga berhasil.

mpontillo
sumber
2 ^ 64 = 18.446.744.073.709.552.000 kemungkinan alamat. Mengapa pengguna membutuhkan banyak alamat?
TheLQ
@ TheLQ, tentu saja tidak. Namun demikian, jaringan pengguna akhir karena RFC 4291 memerlukan pengidentifikasi antarmuka 64-bit. Jadi 64 bit terakhir, setidaknya pada jaringan Ethernet, hampir akan diambil oleh alamat EUI-64 - MAC 48-bit diperluas menjadi 64 bit. Sebagian besar jaringan rumah, daripada satu alamat IP (statis atau dinamis) akan memerlukan satu /64subnet (statis atau dinamis) untuk alasan ini, karena tidak ada NAT dalam IPv6.
mpontillo
Juga, seperti yang disebutkan orang lain, DHCPv6 mungkin sedikit membantu situasi, tetapi mungkin akan membuat masalah pada router karena Anda harus merute berdasarkan semua 128 bit, bukan hanya 64 bit pertama. Jika Anda merutekan ke alamat IP individual daripada /64per pelanggan, yang mungkin meledak tabel routing Anda ke ukuran yang tidak masuk akal, dan menyebabkan masalah tergantung pada perangkat keras yang digunakan untuk routing.
mpontillo
Terima kasih, saya tidak tahu bahwa IP didasarkan pada alamat Mac dan lupa bahwa di suatu tempat ada tabel routing. Sepertinya saya harus membaca
TheLQ
1
Praktik terbaik saat ini tampaknya adalah bahwa penetapan minimum untuk pelanggan residensial ISP adalah a / 56. Tentu saja, sebagian besar pelanggan mungkin tidak akan menggunakan lebih dari satu atau dua / 64 subnet dalam blok semacam itu untuk sementara waktu, jika pernah, tetapi penggunaannya sudah diantisipasi.
Michael Hampton
3

Asumsi yang Anda cantumkan:

IP yang berbagi subnet bisa jadi pengguna yang sama

Terus memegang - sebenarnya jika ISP mengalokasikan subnet IPv6 untuk pelanggan mereka, itu menjadi lebih benar.

Sementara IP dapat digunakan kembali untuk berbagai titik akhir aktual, relatif tidak mungkin bahwa Anda akan melihat koneksi duplikat dari IP yang bukan pengguna yang sama, atau setidaknya rumah tangga / organisasi yang sama (pada dasarnya, koneksi bersama)

Terus memegang (sebenarnya berlaku untuk seluruh subnet seperti dijelaskan di atas).

Tidak mudah bagi pengguna untuk mendapatkan IP publik baru (ada penghalang berukuran sedang untuk masuk di sini)

Tidak berlaku untuk IP individu terlalu banyak, tetapi berlaku untuk subnet yang diberikan oleh ISP.

Jadi pada dasarnya kita sedang melihat larangan subnet di mana saat ini kami memiliki larangan IP, dengan asumsi ISP membagikan subnet ke semua pengguna mereka. Jika alih-alih pengguna mendapatkan alamat IPv6 individual (satu per pengguna) maka kami sedang melihat larangan IPv6 tunggal, yang dapat menyebabkan tabel larangan yang lebih lama (dan masalah kinerja terkait) jika ada banyak pengguna yang berperilaku buruk.
Dalam kedua kasus, larangan IP menjadi alat yang lebih terperinci (yaitu risiko lebih kecil untuk memblokir sekelompok pengguna dari ISP yang memiliki kumpulan dinamis karena satu orang melakukan kesalahan), yang menurut saya merupakan hal yang baik ...

voretaq7
sumber
1
Saya akan terkejut jika jaringan seluler membagikan seluruh / 64 untuk setiap telepon. Mereka pasti akan mendapatkan IP dari kolam dinamis. Jika LTE lepas landas secara besar-besaran, kita masih bisa berakhir pada "pemblokiran beberapa pengguna dari ISP yang memiliki kumpulan dinamis karena satu orang melakukan kesalahan".
Richard Gadsden
2

Wikipedia / MediaWiki mengadopsi kebijakan pemblokiran seluruh / 64 ketika mereka memblokir IP kelima di dalamnya / 64.

Lima tampaknya menjadi patokan standar yang diadopsi orang lain - pasangan DNSBL yang saya lihat mengadopsi kebijakan yang sama.

Saya belum melihat adanya rencana untuk menggabungkan blok di atas a / 64, meskipun mendapatkan / 48 atau a / 56 cukup mudah bahkan untuk organisasi yang sederhana. Tentu saja, spammer saat ini sering memiliki / 24 (IPv4) atau lebih, jadi saya berharap bahwa mereka akan mulai meraih potongan besar ruang IPv6.

Richard Gadsden
sumber
1

IP yang berbagi subnet bisa jadi pengguna yang sama

Masih benar, bahkan lebih benar dengan v6.

sementara IP dapat digunakan kembali untuk berbagai titik akhir aktual, relatif tidak mungkin bahwa Anda akan melihat koneksi duplikat dari IP yang bukan pengguna yang sama, atau setidaknya rumah tangga / organisasi yang sama (pada dasarnya, koneksi bersama)

Mungkin bahkan lebih benar dengan v6 daripada v4.

itu tidak mudah bagi pengguna untuk mendapatkan IP publik baru (ada penghalang berukuran sedang untuk masuk di sini)

Dalam kebanyakan kasus, bukan alamat individual, ISP akan membagi-bagikan blok alamat. Sangat mudah bagi pelanggan untuk bergerak di sekitar blok mereka. Lebih sulit (meskipun jauh dari mustahil) untuk mendapatkan blok baru.

Yang paling sulit adalah ukuran alokasi untuk pelanggan sangat bervariasi. Beberapa ISP membagikan alamat individual, sebagian / 64 blok, sebagian / 56 blok, sebagian / 48 blok.

Ini akan membuat sulit untuk membuat kebijakan pelarangan / pembatasan yang masuk akal yang akan bekerja untuk semua ISP. Apakah itu "panas" / 48 pelaku tunggal yang menemukan ISP yang memberikan blok besar atau itu sekelompok besar pengguna pada penyedia seluler pelit yang memberikan alamat individual.

PS Menolak untuk mengimplementasikan IPv6 tidak benar-benar soloution baik karena dengan kelelahan IPv4 semakin banyak pelanggan akan berada di belakang beberapa bentuk NAT tingkat ISP.

Peter Green
sumber
0

Saya pikir itu akan sangat tergantung pada apa yang akan dilakukan ISP. Apakah mereka akan terus memberikan IP dinamis nyata kepada pengguna? Jika tidak, atau jika setiap pengguna mendapatkan ip / subnet sendiri secara eksklusif maka IP akan mulai hampir sama dengan plat nomor.

Dexter
sumber
Pertanyaan ISP bermuara pada: "Apakah ISP ingin membatasi jumlah unit yang dapat Anda sambungkan ke jaringan?" Jika tidak, membagikan a / 64 untuk masing-masing dan galanya akan menjadi rute. Jika ya, saya membayangkan dhcpv6 akan mendominasi.
Bittrance
1
Saya menduga bahwa / 64 akan dominan untuk home-user-broadband - pada kenyataannya, banyak implementasi IPv6 pada CPE rumah ("router") menganggap mereka akan diberi / 64. OTOH, penyedia telekomunikasi seluler dapat mencegah tethering dengan membagikan satu IP untuk setiap perangkat, dan / 64 untuk pengguna yang telah membayar tethering.
Richard Gadsden
0

Ketika saya mengerti bahwa IPv6 akan meningkatkan jumlah alamat IP banyak tetapi tidak menambah jumlah port per host, saya pertama kali bingung. Mengingat bahwa komputer semakin kuat dan dengan demikian menjadi lebih mampu untuk melayani sejumlah besar koneksi simultan, dibatasi hingga maksimal 65535 port per alamat IPv6 tampaknya menjadi "hambatan berikutnya".

Kemudian saya memikirkannya sekali lagi dan menyadari bahwa itu sepele untuk menetapkan beberapa IPv6 ke satu antarmuka fisik dan dengan cara itu menghindari batas jumlah port yang dapat terhubung ke host. Sebenarnya, kalau dipikir-pikir, Anda dapat dengan mudah menetapkan 1024 atau 4096 alamat IPv6 ke host Anda dan kemudian secara acak menyebar layanan Anda di berbagai port di semua alamat, memberikan pemindai port waktu yang cukup sulit (setidaknya secara teori) .

Sekarang tren seperti virtualisasi host (beberapa host virtual yang lebih kecil pada host fisik yang relatif kuat) dan perangkat genggam (bayangkan ponsel yang terhubung dengan IPv6 untuk semua orang di planet ini) mungkin akan membuat hal ini bertentangan, kebanyakan host di internet masa depan mungkin akan menggunakan cukup beberapa port dan karenanya hanya perlu satu alamat IPv6 tunggal per host.

(Tetapi kemampuan untuk "bersembunyi" di kumpulan besar alamat IPv6, yang semuanya Anda miliki dan yang dapat Anda pilih secara acak masih menyediakan beberapa lapisan keamanan, bahkan jika memang tipis di sebagian besar keadaan)

IllvilJa
sumber
1
Dan kapan dua komputer akan membuka 65536 koneksi simultan satu sama lain, kecuali dalam uji beban buatan?
Michael Hampton