IPv6アドレスの禁止

あなたの質問に対する答えには、ある程度の推測が含まれます。 IPv6の展開はまだ十分に少ないため、脅威のシナリオはどのようなものになるか、まだわかりません。

IPv6アドレスの数が多いと、考慮しなければならない脅威のシナリオに複数の変更が生じます。

まず、IPv4を使用すると、攻撃者がデフォルトのポート番号をスキャンして、3億7千万のルーティング可能なIPv4アドレスすべての脆弱なサービスを探すことができます。このような対象を絞った攻撃は、IPv6では実行できません。まだ目にする攻撃は、より的を絞ったものでなければなりません。これが攻撃への対応を大幅に変更する必要があるかどうかはまだ不明です。

ログメッセージに基づいてIPを禁止する主な目的は、ログのノイズを減らし、システムの負荷をある程度減らすことです。それはエクスプロイトに対する保護として役立つべきではありません。弱点を知っている攻撃者は、禁止が開始される前に内部にいるため、これを防ぐには脆弱性にパッチを適用する必要があります-これまでと同じように。

ログのノイズを減らすには、個々のIPv6アドレスを禁止するだけで十分な場合があります。しかし、それは当然のことではありません。攻撃者がすべての接続で使用可能な範囲から新しいIPアドレスを使用する可能性はありません。攻撃者がそのように振る舞う場合、個々のIPv6アドレスを禁止しても効果がなくなるだけでなく、ファイアウォールルールにすべてのメモリを使用して、意図せずにDoS攻撃を仕掛けることもあります。

個々の攻撃者が利用できるプレフィックスの長さを知ることはできません。短すぎる接頭辞をブロックすると、正当なユーザーもカバーしてDoS攻撃が発生します。長すぎるプレフィックスをブロックすると効果がなくなります。特にパスワードの総当たり攻撃は、多数のクライアントIPv6アドレスを使用する可能性があります。

リクエストごとにIPv6アドレスを切り替える攻撃者に対して効果的であり、メモリ使用量を抑えるためには、範囲をブロックする必要があります。また、プレフィックス長が事前にわからないため、プレフィックス長を動的に調整する必要があります。

現在、ヒューリスティックスを考案することは可能です。彼らがどれだけうまく働くかはまだわかりません。

1つのヒューリスティックは、すべてのプレフィックス長がその長さのプレフィックスをブロックするために必要なIPの数のしきい値を定義することです。また、より長いプレフィックスでは不十分な場合は、ブロッキングは特定の長さでのみ適用する必要があります。つまり、実際にブロックを開始するには、2つの半分それぞれに十分に個別にブロックされたIPが必要です。

たとえば、/ 48をブロックするには、/ 48を構成する2つの/ 49のそれぞれに100個のブロックされたIPが必要であると判断する場合があります。プレフィックスが長いほど、それをブロックするために必要なIPの数を少なくする必要がありますが、いずれの場合も、両方の半分に分散する必要があります。

単一のアドレスを禁止することに固執する必要があります。

エンドユーザーに付与されるアドレスの数は定義されていません。一部のISPはサブネット全体を提供し、他のISPは1つのアドレスのみを提供します。