IPv6 и бан по IP-адресу?

Question

[andyN]

В связи с постепенным переходом на IPv6 возникают вопросы уникальности IP-адреса. Как известно, сейчас многое привязывается к IP-адресу (v4): возможность забанить нарушителя на форуме, например, довольно ограничена — нарушитель может находиться за NAT'ом, забанив одного, можно забанить всех остальных его «соседей». Поэтому эту меру используют в крайних случаях. А что будет в случае повсеместного распространения v6? Можно будет легко банить нарушителей, отражать DDoS-атаки и т.п.? Ведь (насколько я понял) сайту будет доступен реальный пользовательский IP, не затрагивающий остальных пользователей из той же сети. Или все-таки у них будет какая-то возможность обойти это ограничение? Более того, ведь если они могут сами назначать себе IP-адрес, забанить их будет практически нереально (не зная их подсеть)?

Answer 1

[merlin-vrn]

Больше скажу, существует IPv6 privacy extensions, которые включены во всех системах по умолчанию. Система назначает интерфейсу временные корректные случайные IPv6-адреса, которые используются для установления соединений в течение часа, потом адрес объявляется устаревшим и назначается следующий случайный. Т.е. любой пользователь IPv6 выглядит как постоянно меняющий адрес в пределах своей сети.

Так что если вам нужно кого-то таким образом забанить по адресу — вам придётся банить его по подсети, точно так же, как и сейчас в случае с IPv4 NAT, вся сеть окажется заблокирована из-за одного урода.

Answer 2

[malan]

С введением IPv6 NAT'ы никуда не денутся, единственное, что может измениться, так это то, что провайдеры могут перестать выдавать динамические IP, т.к. имеющихся диапазонов хватит на всех

Comments

[andyN]

То есть у NAT'ов будет «торчать наружу» IPv6 вместо IPv4, а в остальном все то же самое?

[malan]

Либо оба сразу

[tgz]

Будем надеяться что в v6 никаких натов не будет.

[malan]

Одна из функций NAT'а — это сокрытие структуры внутренней сети от злоумышленников и эта задача с введением IPv6 никуда не денется:)

[tgz]

Это у тех кто закончил ПТУ такие фукнции в НАТе бывают. Грамонтые люди знают буквы ACL.

[malan]

Я смотрю нас посетил эксперт с мировым именем. Можно поподробнее о преимуществе ACL над NAT в задачах сокрытия структуры внутренней сети?

[joneleth]

Я смотрю нас посетил эксперт с мировым именем. Можно поподробнее о преимуществе ACL над NAT в задачах сокрытия структуры внутренней сети?

bit.ly/1cqGUe0

[malan]

Афигеть. Пара недоучек не знают чем с точки зрения ИБ отличаются функции ACL и NAT, а мне при этом сливают карму.

Первым этапом атаки злоумышленника на сеть, является сбор информации об объекте, в частности о топологии сети, т.е. сколько в ней машин, что на них установлено, из каких подсетей состоят и т.п. Это возможно с помощью прослушивания исходящего из сети трафика. Из TCP/IP пакетов вычленяются адреса и порты отправителей и получателей, а на основании этих данных и строится топология.

Сокрытия этой информации возможно лишь при использовании механизма трансляции адресов, когда адреса отправителей из внутренней сети заменяются на адрес транслятора. Использование ACL никак не мешает прослушиванию и анализу трафика.

Задача механизма ACL заключается в защите от НСД.

По поводу остроумного замечания joneth, о том что «nat is not a firewall», отвечу лишь, что большинство современных Межсетевых Экранов включают в себя механизмы NAT, хотя конечно ACL механизм в МЭ является краеугольным.

Итого, с точки зрения ИБ: NAT — сокрытие топологии сети, ACL — защита от НСД. Не думал, что на хабре придётся объяснять такие азы.

[tgz]

Откройте для себя стейтфул фаервол уже. Прямо как пыонеры из домонетов. НАТ — костыль при нехватке адресов, который сопровождается массой сайд-эффектов. Грамотно настроеный стайтфул фаервол этих недостатков лишен.

[ValdikSS]

Действительно. Я удивлен, что еще кто-то думает, что NAT обеспечивает какую-то защиту.

[malan]

Т.е. по сути ответить нечего, что и требовалось доказать.

[joneleth]

Security through obscurity — порочная практика. Специалистов по ИБ, которые на нее полагаются, надо гнать метлой.

[malan]

Security through obscurity — порочная практика. Специалистов по ИБ, которые на нее полагаются, надо гнать метлой.

Очень спорное заявление. Если полагаться ТОЛЬКО на неё, то да можно гнать, но ничего такого порочного в принципе я не вижу. Возможно от неё должны отказаться разработчики средств защиты, и вообще разработчики ПО в целом, но какое отношение это имеет к обсуждаемому вопросу? Что такого порочного в сокрытии топологии сети?

Answer 3

[ValdikSS]

Я использую IPv6 уже года, наверное, три. Конечно, это все ненативные адреса, а либо через тунель-брокера, либо через 6to4.
В любом случае, RIPE очень сильно рекомендует выдавать /64 конечному клиенту. В реальном же мире, выдают либо одну /64, либо две /64 (чтобы маршрутизацию можно было просто настроить, на самом деле и одной /64 хватает, а в локалке маршрутизировать через link-local адреса), либо что побольше, /60 или /56. Узнать, какой именно диапазон выдается клиенту несколько проблематично, тут только логика и интуиция, ну и гуглинг по провайдеру. Поэтому банить нужно сразу всю /64.

Answer 4

[joneleth]

Рано вы думаете об этом, мне кажется. Как наступит время — будут и рецепты в блогах, и все, что нужно.