Assegnazione di intervalli IPv6 casuali agli ISP come misura di sicurezza

Naviga le tue risposte
1

Il ping di tutto lo spazio degli indirizzi IPv4 richiede circa 5 ore (e può generare bellissime mappe ). Port-scanning non richiede molto più tempo e può rivelare servizi vulnerabili , come l'amministrazione remota di router con credenziali predefinite o server mal configurati.

Supponendo che sia scalabile in modo lineare, la scansione dello spazio di indirizzamento IPv6 potrebbe richiedere circa 10 quadrilioni di anni.

Quanto è fattibile assegnare gli intervalli dinamici e casuali dello spazio degli indirizzi IPv6 agli ISP? Questi intervalli potrebbero cambiare ogni pochi giorni e i client cambierebbero il loro indirizzo IP quando il lease DHCP scadrà.

    
posta isanae 12.05.2015 - 21:05
fonte

2 risposte

2

La maggior parte delle subnet IPv6 non è inferiore a /64 . Non è un requisito di protocollo, ma è di fatto standard e anche necessario per le reti che eseguono SLAAC .

Ciascuna di queste reti contiene gli indirizzi IP 18446744073709551616 e, in ciascuna rete, solo una manciata di tali indirizzi sarà mai utilizzata.

Pertanto, anche se si conoscono esattamente quali subnet sono assegnate e quali non sono assegnate, è impossibile scansionare anche una singola subnet IPv6 per trovare gli indirizzi host che sono in uso all'interno di quella sottorete. Quindi è difficile indovinare quali subnet sono assegnate in realtà non aiuta.

Mettilo insieme al fatto che anche se gli ISP devono spostare i loro blocchi di indirizzi di volta in volta, devono comunque documentare i loro compiti in WHOIS in modo che gli estranei possano scoprire chi è responsabile di un determinato indirizzo IP e contattare il giusto scrivania abusiva. Facciamo intenzionalmente il contrario di nascondere i compiti della rete IP!

Eccezioni: se si indovina una sottorete IPv6 in uso, in realtà è meglio della possibilità di 1/18446744073709551616 di trovare un indirizzo IP assegnato all'interno di quella sottorete. Ad esempio, se SLAAC è in uso e chi può indovinare l'indirizzo MAC di un host nella subnet, è possibile generare il suo indirizzo IP. Indirizzi sulla privacy attenuano questo. Inoltre, i server hanno spesso indirizzi noti e semplici come <subnet>::1 , quindi puoi indovinare anche quelli (ma di nuovo, sono server, quindi sono supposti avere indirizzi ben noti). Tuttavia, è abbastanza scoraggiante che penso che sia ancora un compito inutile provare a "portscan" IPv6.

    
risposta data 12.05.2015 - 23:49
fonte
1

Ci sono due elementi in gioco qui.

Innanzitutto, c'è la possibilità di spostare interi blocchi dell'ISP ogni pochi giorni. I vantaggi per la sicurezza sono ambigui nel migliore dei casi.

In secondo luogo, c'è il possibile fastidio dei clienti. Persino gli utenti privi di garanzie IP statiche hanno l'aspettativa di non essere spostati in giro, volenti o nolenti. Questi utenti "dinamici" sanno che a volte si verificano cambiamenti IP e molti hanno servizi come DNS dinamico per contrastare spostamenti periodici. Quindi, ci sono gli utenti che hanno pagato per avere un indirizzo IP statico. Se spostate questi utenti, si innervoserebbero sfogando la loro frustrazione sull'ISP, mettendo l'ISP nel mezzo per risolvere il problema. Soprattutto con un sito di vendita al dettaglio, l'ISP può essere in qualche misura in difficoltà a causa di vendite perse a causa di un contratto stipulato.

Avere l'intero internet (tramite gli ISP collegati) spostati ogni paio di giorni può sembrare buono inizialmente su carta. Cercare di applicare il concetto alla realtà di come funziona Internet tende a crollare immediatamente.

Potrei sbagliarmi. In tal caso, si prega di votare meno. Ne ho abbastanza, e ucciderò questa risposta.

    
risposta data 12.05.2015 - 23:01
fonte

Leggi altre domande sui tag

Controllo hash di integrità della macchina virtuale In quali modi può essere inoltrato X-Per informazioni sull'intestazione essere utilizzato in un attacco