IPv6アドレスの禁止

16

現在、fail2banなどのツールを使用して、IPv4アドレスを禁止することにより、不要なトラフィックをサーバーから遠ざけることに慣れています。IPあたりの不正なログエントリが多すぎる、IPを禁止します。

しかし、世界がIPv6への移行を完了すると、「通常の」ボットネットコンピューターまたは攻撃者は非常に多くのIPv6アドレスを所有しているため、単一アドレスの禁止はおそらく機能しなくなります。

IPv6ユーザーをブロックしたい場合、これを達成する最良の方法は何ですか?特定のIPマスクなどを使用しますか?

IPv6内で複数の個別のヒットを取得し、ブロック全体を禁止する場合に「アップリンクヒューリスティック」を実行してはどうですか。

私にとっては、脅威を軽減することがより重要です。ブロックされたIPを持つ同じブロックに属する貧しい本物のユーザーがいる場合、そのネットブロックをクリアすることはそれらの人々とISPの間の問題です。

ipv6  fail2ban 
ミッコ・オタマー
ソース

回答:

6

/ 64サイズのサブネットが攻撃に使用される場合、/ 128ごとの禁止はスケーリングしません。テーブルに2 ^ 64のエントリが存在することになり、サービス拒否が発生する可能性があります。

エンドユーザーは、常にグローバルアドレス割り当てポリシーごとに/ 56を受け取ります。企業は常にグローバルアドレスごとに/ 48を受け取ります

参照:https : //tools.ietf.org/html/rfc6177 / 128をサーバー/ユーザーに割り当てることはできません。別のエンティティ(server / vpsの顧客)への最小割り当ては/ 64にする必要があります。サイトへの最小割り当ては/ 56である必要があります。/ 128sを与えることは基本的に壊れており、構成エラーと見なす必要があります。

したがって、一般的なエンドユーザーが2 ^ 8/64のみにアクセスできることを考えると、/ 64ごとの一時的な禁止をお勧めします。禁止テーブルに多くのエントリを導入しないでください。

ウィルコ・バーン・ホフマン
ソース
1
/641つの問題のあるIPが原因で全体をブロックすると、正当なユーザーがブロックされます。
カスペルド
1
はい。ただし、同じサイトにある場合のみです。したがって、はい、ユーザーVLANは1つの建物内でブロックされる可能性があります。または、VMの1つがクラウド内で誤動作する場合、顧客に属するすべてのVM。サーバーの/ 64を複数のユーザーに割り当てることは、多くの点で問題があり、壊れています。ただし、/ 64ごとのブロックのサービス拒否攻撃の可能性は、/ 128の場合よりもはるかに低くなります。
ウィルコバーンホフマン14
10

質問への回答には、ある程度の推測が伴います。IPv6の展開はまだ十分ではないため、脅威のシナリオがどのようになるかはまだわかりません。

多数のIPv6アドレスにより、考慮する必要がある脅威シナリオに複数の変更が導入されます。

まず、IPv4を使用すると、攻撃者が3700万個のルーティング可能なIPv4アドレス全体で脆弱なサービスのデフォルトのポート番号をスキャンすることは完全に実行可能です。このような非標的型攻撃は、IPv6では実行できません。あなたがまだ見ている攻撃は、より標的を絞る必要があります。これが、攻撃への対処方法を大幅に変更する必要があることを意味するかどうかは、まだわかりません。

ログメッセージに基づいてIPを禁止する主な目的は、ログのノイズを減らし、システム負荷をある程度減らすことです。悪用に対する保護として機能するべきではありません。弱点を知っている攻撃者は、禁止が発動する前に内部にいるので、それを防ぐために、いつもそうであるように、脆弱性にパッチを当てる必要があります。

ログのノイズを減らすには、個々のIPv6アドレスを禁止するだけで十分な場合があります。しかし、それは与えられていません。攻撃者がすべての接続で利用可能な範囲の新しいIPアドレスを使用する可能性はありません。攻撃者がそのように振る舞うと、個々のIPv6アドレスの禁止は効果がなくなるだけでなく、ファイアウォールルールにすべてのメモリを使用することで、不注意で自分にDoS攻撃を仕掛けることさえあります。

個々の攻撃者が利用できるプレフィックスの長さを知ることはできません。短すぎるプレフィックスをブロックすると、正当なユーザーも対象にされるため、DoS攻撃が発生します。長すぎるプレフィックスをブロックしても効果がありません。特にパスワードの総当たり攻撃では、多数のクライアントIPv6アドレスが使用される可能性があります。

リクエストごとにIPv6アドレスを切り替える攻撃者に対して効果的であり、メモリ使用量を抑えるために、範囲をブロックする必要があり、プレフィックス長を事前に知らないため、プレフィックス長を動的に調整する必要があります。

現在、すでにヒューリスティックを思い付くことができます。彼らがどれだけうまく機能するかはまだわかりません。

1つのヒューリスティックは、すべてのプレフィックス長に対して、その長さのプレフィックスをブロックするのに必要なIP数のしきい値を定義することです。また、長いプレフィックスでは不十分な場合は、特定の長さでのみブロッキングを適用する必要があります。つまり、実際にブロックを開始するには、2つの半分のそれぞれで個別にブロックされたIPが十分に必要です。

たとえば、/ 48をブロックするには、/ 48を構成する2つの/ 49のそれぞれに100個のブロックされたIPが必要であると判断する場合があります。プレフィックスが長いほど、ブロックするのに必要なIPの数は少なくなりますが、いずれの場合も両方の半分に分散する必要があります。

カスパード
ソース
1
ほぼ5年後、IPv6とFail2banの再考はありますか?
ポール
2

単一のアドレスの禁止に固執する必要があります。

エンドユーザーに与えられるアドレスの数は定義されていません。一部のISPはサブネット全体を提供し、他のISPは1つのアドレスのみを提供します。

ピエール・イヴ・ギリエ
ソース
2番目の質問についても同じ答えです。反対側でどのネットワーク設定が定義されているかわからないので、多くのユーザーをブロックすることになります。
ピエールイヴギリアー14
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.