ユーザーが自分のIPをホワイトリストに登録するよう要求した場合、どのIPv6ブロックをホワイトリストに登録する必要がありますか?
現在、私のIPv4のみのサービスでは、ユーザーはIPアドレスをホワイトリストに登録できるため、ログイン時に電子メールの2要素認証をバイパスできます。これを実行すると、各ISPの顧客が取得すると想定されるため、その単一のIPアドレスのみをホワイトリストに登録します独自のIPv4アドレス(少なくとも米国では)。
IPv6サポートを有効にしたいと思い、IPv6サブネットがどのように機能するかを調査した結果、単一のアドレスではなくIPv6サブネット全体をホワイトリストに登録する必要があることがわかりました。
Serverfaultで他のIPv6の質問を検索すると、各ISPエンドユーザーに委任されているサブネットに関する情報が競合しているようです。参照 この答え :
/ 56:256の基本的なサブネットのブロック。現在のポリシーでは、ISPが/ 48までのブロックをすべてのエンドユーザーに配布し、アドレスの使用を正当化することを認めていますが、一部のISPは、/ 56をコンシューマーグレードの顧客に妥協点として割り当てることを選択している場合があります(すでにそうしています)。割り当ての間
/ 48:65536の基本的なサブネットのブロックと、すべてのISPカスタマーエンドサイトが受信するブロックの推奨サイズ。
その答えに基づいて、各ユーザーが受け取るIPv6ブロックについては、すでに3つの矛盾するステートメントがあります。
- / 64:単一のサブネット、おそらくエンドユーザーに割り当てる最も「経済的な」ブロック
- / 56:多くのISPはすでにこれを各エンドユーザーに割り当てています
- / 48:各エンドユーザーが取得する必要がある推奨ブロック
では、ホワイトリストにIPアドレスが使用されるサービスの場合、ホワイトリストに適切なIPv6ブロックはどれですか。ユーザーに決定させますか? (ユーザーはかなり技術に熟達しており、サブネットが何であるかを知っているでしょう)
組織によってネットワークが多かれ少なかれ異なるため、プレフィックスのサイズはさまざまであり、一部の組織ではプロバイダーの必要性を正当化しています。私の住居には、ボタンをクリックするだけで、ハリケーン電気トンネル経由で/ 48があります。 (OK、私はそうではありません必要ですしかし、すべてのwifiネットワークが/ 64を取得すれば、すべてが機能します。)
より基本的には、IPアドレスを認証子として扱っているようですが、そうではありません。 IPアドレスは常に動的に再割り当てされ、購入され、(誤って)ルーティングされます。
最初のログインには2つの要素を使用することを検討してください。 (既存のCookieまたはKerberosチケットなどを使用します。)機密設定を変更するとき、または認証されないまま数日経った後、またはシステムがアカウントで疑わしいアクティビティを検出できる場合は、1つの認証要素を要求します。
米国の標準化団体の見解については、 NIST 800-63B を参照してください。 IPアドレスは、実際にはオーセンティケーターシークレットまたはデバイスとしては適格ではありません。また、ユーザーが再認証なしでアクセスできる最大時間は、数時間または数日です。セキュリティ要件に適合している場合は、ユーザーを1週間ログインしたままにすることができます。 IPアドレスホワイトリストなし。