IPv6 पतों पर प्रतिबंध लगाना

16

मैं वर्तमान में IPv4 पतों पर प्रतिबंध लगाकर अपने सर्वर से अवांछित ट्रैफ़िक को दूर रखने के लिए विफल 2ban जैसे उपकरणों का उपयोग करने का आदी हूं: प्रति आईपी बहुत खराब लॉग एंट्री, आईपी पर प्रतिबंध।

हालाँकि जब दुनिया IPv6 के प्रवास को पूरा करती है, तो एकल पतों पर प्रतिबंध लगाना शायद काम नहीं करेगा, क्योंकि "सामान्य" बॉटनेट कंप्यूटर या हमलावर काफी IPv6 पते रखता है?

अगर मैं IPv6 उपयोगकर्ताओं को ब्लॉक करना चाहता हूं तो इसे पूरा करने का सबसे अच्छा तरीका क्या होगा? एक निश्चित आईपी मास्क या कुछ और का उपयोग करें?

जब आप IPv6 के अंदर कई अलग-अलग हिट प्राप्त करते हैं तो "अपकमिंग ह्यूरिस्टिक्स" करने के बारे में तब पूरे ब्लॉक पर प्रतिबंध लगा दें।

मेरे लिए यह खतरे को कम करने के लिए अधिक महत्वपूर्ण है। यदि कुछ गरीब वास्तविक उपयोगकर्ता अवरुद्ध आईपी के साथ एक ही ब्लॉक से संबंधित हैं, तो यह उन लोगों और उनके आईएसपी के बीच एक मुद्दा है कि नेटब्लॉक को मंजूरी दी जाए।

ipv6  fail2ban 
मिक्को ओहतामा
स्रोत

जवाबों:

6

एक हमले के लिए / 64 आकार के एक सबनेट का उपयोग करने पर प्रति / 128 पर प्रतिबंध लगाने का कोई पैमाना नहीं है। आप तालिका में 2 ^ 64 प्रविष्टियों के साथ समाप्त हो जाएंगे, संभवतः सेवा से इनकार कर सकते हैं।

अंत-उपयोगकर्ताओं को हमेशा वैश्विक पता असाइनमेंट नीति / 56 प्राप्त होगी। व्यवसाय हमेशा वैश्विक पते पर / 48 प्राप्त करेंगे

देखें: https://tools.ietf.org/html/rfc6177 / 128 को कभी भी सर्वर / उपयोगकर्ता को नहीं सौंपा जाना चाहिए, दूसरी इकाई (सर्वर / vps ग्राहक) को न्यूनतम असाइनमेंट / 64 होना चाहिए। किसी साइट पर न्यूनतम असाइनमेंट / 56 होना चाहिए। बाहर / 128s देना मौलिक रूप से टूट गया है और इसे कॉन्फ़िगरेशन त्रुटि माना जाना चाहिए।

इसलिए मैं प्रति / 64 पर अस्थायी प्रतिबंध लगाने की सलाह देता हूं, यह देखते हुए कि एक विशिष्ट एंड-यूज़र की पहुंच केवल 2 ^ 8/64 तक होगी, इसे प्रतिबंध तालिका में बहुत अधिक प्रविष्टियां नहीं मिलनी चाहिए।

विल्को बान हॉफमैन
स्रोत
1
/64एक समस्याग्रस्त IP के कारण एक संपूर्ण ब्लॉक करने से वैध उपयोगकर्ता अवरुद्ध होने वाले हैं।
कास्परैड
1
हां, लेकिन केवल अगर वे एक ही साइट पर हैं .. तो हां, एक उपयोगकर्ता वीएलएएन एक इमारत के अंदर अवरुद्ध हो सकता है। या सभी VMs ग्राहक से संबंधित हैं यदि VMs में से कोई एक क्लाउड में दुर्व्यवहार करता है। सर्वर के लिए कई उपयोगकर्ताओं को / 64 असाइन करना कई मायनों में समस्याग्रस्त है, जो टूट गया है। लेकिन प्रति / 64 ब्लॉक करने की सर्विस अटैक सतह का इनकार / 128 की तुलना में बहुत कम है।
विल्को बैन हॉफमैन
10

आपके प्रश्न के किसी भी उत्तर में अनुमान लगाने की कुछ मात्रा शामिल होगी। IPv6 की तैनाती अभी भी कुछ पर्याप्त है जो हम अभी तक नहीं जानते हैं, वास्तव में खतरे का परिदृश्य कैसा दिखेगा।

IPv6 पतों की बड़ी संख्या खतरे के परिदृश्य के लिए कई बदलाव पेश करेगी, जिस पर आपको विचार करना होगा।

IPv4 के साथ सबसे पहले यह हमलावर के लिए पूरी तरह से संभव है कि वह सभी 3700 मिलियन राउटेबल IPv4 पतों में कुछ असुरक्षित सेवा के लिए डिफ़ॉल्ट पोर्ट नंबर को स्कैन करे। आईपीवी 6 के साथ इस तरह के अलक्षित हमले संभव नहीं हैं। उन हमलों को आप अभी भी देखते हैं जिन्हें अधिक लक्षित करना होगा। क्या इसका मतलब है कि हमलों को देखने के लिए हमारे हैंडलिंग में बहुत बदलाव करना होगा।

लॉग संदेशों पर आधारित आईपी पर प्रतिबंध लगाने का प्राथमिक उद्देश्य लॉग में शोर को कम करना और सिस्टम लोड को कम करने के लिए कुछ हद तक होगा। यह शोषण के खिलाफ सुरक्षा के रूप में काम नहीं करना चाहिए। एक हमलावर जो एक कमजोरी जानता है, प्रतिबंध लगाने से पहले अंदर होगा, इसलिए इससे बचाव के लिए आपको कमजोरियों को पैच करना होगा - ठीक वैसे ही जैसे आपको हमेशा करना पड़ता है।

व्यक्तिगत IPv6 पतों पर प्रतिबंध लगाना लॉग में शोर को कम करने के लिए पर्याप्त हो सकता है। लेकिन वह एक दिया नहीं है। यह संभावना नहीं है कि एक हमलावर हर कनेक्शन के लिए उनके पास उपलब्ध सीमा से एक नए आईपी पते का उपयोग कर सकता है। यदि हमलावरों को ऐसा व्यवहार करना था कि व्यक्तिगत IPv6 पतों पर प्रतिबंध लगाना न केवल अप्रभावी होने वाला है, बल्कि आप अनजाने में फ़ायरवॉल नियमों के लिए अपनी सभी मेमोरी का उपयोग करके स्वयं पर DoS हमले का कारण भी बन सकते हैं।

आप प्रत्येक व्यक्तिगत हमलावर को उपलब्ध उपसर्ग की लंबाई नहीं जान सकते। बहुत छोटे उपसर्ग को ब्लॉक करने से वैध उपयोगकर्ताओं को भी कवर करके DoS हमले का कारण होगा। बहुत लंबे उपसर्ग को रोकना अप्रभावी होगा। पासवर्ड ब्रूट बल प्रयास विशेष रूप से क्लाइंट IPv6 पतों की एक बड़ी संख्या का उपयोग करने की संभावना है।

प्रत्येक अनुरोध पर IPv6 पता स्विच करने वाले हमलावरों के खिलाफ प्रभावी होने के लिए और स्मृति उपयोग को नीचे रखने के लिए, आपको श्रेणियों को ब्लॉक करना होगा, और अग्रिम में उपसर्ग लंबाई नहीं जानने के कारण, आपको गतिशील रूप से उपसर्ग लंबाई समायोजित करना होगा।

यह संभव है कि पहले से ही हेरास्टिक्स के साथ आ जाए। वे कितनी अच्छी तरह काम करेंगे हम अभी तक नहीं जानते हैं।

एक अनुमानी प्रत्येक उपसर्ग लंबाई के लिए होगा कि उस लंबाई के एक उपसर्ग को ब्लॉक करने के लिए कितने आईपी लगते हैं। और अवरुद्ध केवल एक विशिष्ट लंबाई पर लागू किया जाना चाहिए, अगर एक लंबा उपसर्ग पर्याप्त नहीं होगा। दूसरे शब्दों में, आपको वास्तव में ब्लॉक शुरू करने के लिए दो आधे में से प्रत्येक में व्यक्तिगत रूप से अवरुद्ध आईपी की आवश्यकता होती है।

उदाहरण के लिए, कोई यह तय कर सकता है कि / 48 को ब्लॉक करने के लिए, प्रत्येक में दो / 49 में 100 अवरुद्ध IP होने चाहिए / 48। अब उपसर्ग जितना छोटा होगा, उसे ब्लॉक करने के लिए IP की संख्या उतनी ही अधिक होगी, लेकिन हर मामले में उन्हें दोनों आधे हिस्से में फैलाना होगा।

kasperd
स्रोत
1
लगभग 5 साल बाद, IPv6 और Fail2ban का कोई पुनर्विचार?
पॉल
2

आपको एकल पतों पर प्रतिबंध लगाना चाहिए।

यह परिभाषित नहीं है कि अंतिम उपयोगकर्ताओं को कितने पते दिए जाएंगे। कुछ ISP पूरे सबनेट और अन्य केवल एक ही पता दे सकते हैं।

पियरे-यवेस गिलियर
स्रोत
आपके दूसरे प्रश्न के लिए भी यही उत्तर है। जैसा कि आप नहीं जानते हैं कि दूसरी तरफ किस नेटवर्क सेटअप को परिभाषित किया गया है, आप बहुत सारे उपयोगकर्ताओं को अवरुद्ध करने में समाप्त हो सकते हैं।
पियरे-यवेस गिलियर
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.