Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: leten 13. 03. 2020, 14:10:05

Název: Omezení přístupu na web z IPv6 adres
Přispěvatel: leten 13. 03. 2020, 14:10:05
Pokud má někdo jednu veřejnou IPv4 adresu, které nepovolím přístup na web, potřebuje člověk pro překonání této překážky VPN a pod.

Co když má ale dotyčný IPv6 adresu? Neznamená to, že má automaticky k dispozici například 2^64 veřejných IP adres?

Dá se někde najít, jaký "prefix sítě" poskytovatel přidělil a podle něj, tj. podle určitého počtu znaků, pak blokovat uživatele?

Název: Re:Omezení přístupu na web z IPv6 adres
Přispěvatel: Miroslav Šilhavý 13. 03. 2020, 14:40:44
S IPv6 musíte počítat s tím, že každý má (může mít) prakticky neomezené množství IP adres k dispozici. Blokování na základě IPv4 byla vždy zoufalá praktika (u IPv4 přináší false positives díky účastnickým NATŮM). Na IPv6 je problém opačný.

Doporučuji kompletně opustit přemýšlení, že blokace IP adresy je nějaký nástroj bezpečnosti. Bezpečnost se tvoří jinak.
Název: Re:Omezení přístupu na web z IPv6 adres
Přispěvatel: jeniceek 13. 03. 2020, 15:10:18
Když už máš potřebu tuhle zbytečnost dělat, blokuj vždycky prefixy /64.
Svého času blokovalo MinFin přístup do ARESu z celého prefixu /32, což byla paráda.

Šel bych ale spíš do řešení, založeném na rate-limitingu nebo WAF, nikdy nevíš čí ta síť je.
Název: Re:Omezení přístupu na web z IPv6 adres
Přispěvatel: Miroslav Šilhavý 13. 03. 2020, 15:29:50
Když už máš potřebu tuhle zbytečnost dělat, blokuj vždycky prefixy /64.

To bych nedělal, nedá se spolehnout na to, že za /64 je jen jeden účastník.
Znám spousty přípojek i připojených serverů, které jsou v jednom /64 prefixu a každý má svoji vlastní IP z něj.

Jediným řešením je zabezpečení aplikace samotné a pak zmiňovaný WAF.
Název: Re:Omezení přístupu na web z IPv6 adres
Přispěvatel: leten 13. 03. 2020, 17:03:36
Díky za odpovědi  :)
Název: Re:Omezení přístupu na web z IPv6 adres
Přispěvatel: leten 13. 03. 2020, 19:48:41
Když už sem o tom bavíme - umožňují čeští ISP mít např. těch 2^64 adres, nebo to nějak limitují?
Název: Re:Omezení přístupu na web z IPv6 adres
Přispěvatel: DgBd 13. 03. 2020, 22:20:22
Když už sem o tom bavíme - umožňují čeští ISP mít např. těch 2^64 adres, nebo to nějak limitují?

Jo, spodní /64 je nezajímá. Slušný provider by ti navíc mohl dávat /56 (ještě slušnější /48)