Omezení přístupu na web z IPv6 adres

[leten]

Pokud má někdo jednu veřejnou IPv4 adresu, které nepovolím přístup na web, potřebuje člověk pro překonání této překážky VPN a pod.

Co když má ale dotyčný IPv6 adresu? Neznamená to, že má automaticky k dispozici například 2^64 veřejných IP adres?

Dá se někde najít, jaký "prefix sítě" poskytovatel přidělil a podle něj, tj. podle určitého počtu znaků, pak blokovat uživatele?

[Reklama]

[Miroslav Šilhavý]

S IPv6 musíte počítat s tím, že každý má (může mít) prakticky neomezené množství IP adres k dispozici. Blokování na základě IPv4 byla vždy zoufalá praktika (u IPv4 přináší false positives díky účastnickým NATŮM). Na IPv6 je problém opačný.

Doporučuji kompletně opustit přemýšlení, že blokace IP adresy je nějaký nástroj bezpečnosti. Bezpečnost se tvoří jinak.

[Džan]

Když už máš potřebu tuhle zbytečnost dělat, blokuj vždycky prefixy /64.
Svého času blokovalo MinFin přístup do ARESu z celého prefixu /32, což byla paráda.

Šel bych ale spíš do řešení, založeném na rate-limitingu nebo WAF, nikdy nevíš čí ta síť je.

[Miroslav Šilhavý]

Když už máš potřebu tuhle zbytečnost dělat, blokuj vždycky prefixy /64.

To bych nedělal, nedá se spolehnout na to, že za /64 je jen jeden účastník.
Znám spousty přípojek i připojených serverů, které jsou v jednom /64 prefixu a každý má svoji vlastní IP z něj.

Jediným řešením je zabezpečení aplikace samotné a pak zmiňovaný WAF.

[leten]

Díky za odpovědi 

[Reklama]

[leten]

Když už sem o tom bavíme - umožňují čeští ISP mít např. těch 2^64 adres, nebo to nějak limitují?

[DgBd]

Když už sem o tom bavíme - umožňují čeští ISP mít např. těch 2^64 adres, nebo to nějak limitují?

Jo, spodní /64 je nezajímá. Slušný provider by ti navíc mohl dávat /56 (ještě slušnější /48)