Vlákno názorů k článku IPv6: nechtěné dítě (pomalu) přichází od Topr - Zatim jsem se od propagatoru IPv6 nedozvedel jak...
-
Topr (neregistrovaný)
Zatim jsem se od propagatoru IPv6 nedozvedel jak u tohoto protokolu ucinne (tedy i za financne prijatelnych podminek) bojovat s DDoS. Jestli me neco odrazuje od pouzivani tohoto protokolu, tak je to prave tento problem. Zatimco u IPv4 jsme dnes schopni relativne levne filtrovat "cely svet", u IPv6 to mozne neni. Radeji budu bez IPv6 nez pred timto problemem strkat hlavu do pisku.
-
Petr M (neregistrovaný)
Normálně. Blokuje se celý blok IP6 adres. ISP dostane blok, ten dělí na zákazníky. Když chci odpojit zákazníka, tak ustřihnu /32, když celou síť, filtruju podle třeba horních 16 bitů. A kapacita spojení je stejná...
U IPv4 je průšvih v tom, že ISP má třeba /16 z jednoho bloku, pak přikoupí /20 z Izraele a /20 z USA a neaktualizuje záznamy a nevíš, kdo a odkud na tebe pálí. Proto se o obraně na IPv4 tolik mluví, protože je složitější lokalizovat a vykrýt útok.
-
Ondřej CaletkaZlatý podporovatelCo konkrétně myslíte relativně levným filtrováním „celého světa“ a proč si myslíte, že v IPv6 něco takového nejde?
Hint: Místo jedné IPv4 adresy můžete filtrovat celý IPv6 prefix /64, /56, /48 i kratší.
-
Ondřej CaletkaZlatý podporovatel
Prefix si nezvolí náhodně, to by k němu žádný paket nedoputoval, náhodně si zvolí naopak suffix. V čem je rozdíl proti situaci v IPv4 s NATem, kde odstřelení jedné IP adresy odstřelí celou univerzitní/firemní síť, kde náhodou byl jeden zavirovaný počítač?
Co je s geolokací a IPv6? Není tam žádný technický rozdíl proti geolokaci na IPv4, naopak může dávat přesnější data, protože má lepší rozlišení.
-
Topr (neregistrovaný)
Ale ja nechci filtrovat cele site, ja chci filtrovat pouze skodlivy provoz a to u IPv4 jde. Adresni prostoru IPv4 (tedy 32bitu) to umoznuje. Zariznout 32bit prefix u IPv6 znamena zariznou celou republiku. A na uzsi masku nemate dostatek pameti. Vychazim z principu programovani techto ochran. Pokud to budete delat databazove, tak to reseni zase nebude mit dostatecnou propustnost. Ten stroj nema cas v pameti hledat, kde se ten konkretni counter nachazi...
-
Zariznout 32bit prefix u IPv6 znamena zariznou celou republiku.
No, tak jsme si zapřeháněli. /32 má můj malý lokální isp, takže kdyby někdo zablokoval tohle, tak to postihne max pár tisíc lidí (a to ještě pouze v případě, že mají zájem jít na vaše služby). Pokud se rozhodnete blokovat /48, zaříznete jednoho zákazníka daného isp, tedy jen pár lidí.
Takže máte jednodušší situaci, než u ipv4 (kde za jednou adresou bude celá vesnice), můžete blokovat /64 nebo /48 a zařezávat pouze jednotlivé zákazníky případně jejich sítě.
-
proc je problem efektivne filtrovat /40
No to by mě zajímalo, proč je to problém. Naše společnost poskytuje software jako službu (dalo by se to tak říct), máme vlastní hw v DC, nějaké velké ddos útoky se nám vyhýbají (a otevřeně říkám, že na naší úrovni si s tím stejně neporadíme, pokud nám někdo zahltí porty do DC, tak jsou prostě zahlcené), ale občas jsme pod útoky na jednotlivé služby a není nejmenší problém to na úrovní IPv4 filtrovat klidně i po jednotlivých IP a v případě větších problémů klidně po celých subnetech.
Rozdíl pro ipv6 nevidím, prostě místo jedné IPv4/32 bude jeden /64, místo /24 bude /48 a tak dále. Stejně na nás neutočí celý svět, takže v tom firewallu je těch záznamů jen pár. Fakt nevidím důvod (a rád bych ho znal), proč bych měl řešit velikost blokovaného subnetu a proč by mě to mělo způsobovat nějaký problém. Se subnety pracuju jako s jednotlivými záznamy a pokud detekuju, že jsou všechny z jedné sítě, tak to nahradím větším subnetem a počet záznamů ve firewallu se tím sníží. Nevidím problém.
-
Petr M (neregistrovaný)
Vidím, že hodně lidí nepochopilo, jak to je. Takže srovnání:
IPv4
ISP: Prefix řekněme /16
Oblast (město,...): /32 (CGNAT)
Zákazník: Nelze rozlišit (/32 za CGNATem)
Počítač zákazníka: nelze rozlišit (/32 za NATem za CGNATem)IPv6:
ISP: Prefix řekněme /32
Oblast (město,...): Nelze rozlišit, interní pravislo ISP
Zákazník: /48 (nebo /56)
Počítač zákazníka: nelze rozlišit (schováno v dolních 48b - PE apod.)Když dělá problémy někdo nebo něco v síti konkrétního zákazníka, v IPv4 bloknu jednu adresu a je out celá oblast (třeba 10 zákazníků, kteří by v tu chvíli utráceli).
V IPv6 bloknu /48 a postihne to jednu konkrétní domácnost... Efekt stejný, jako u čtyřky volat ISP a zjišťovat, odkud v jeho síti to jde a žádat ho za odstřižení něčeho (neví se čeho) za NATem.
-
Topr (neregistrovaný)
Jo, jenomze ty tady pises o blokovani. Coz je samozrejme uplne jednoduche. Ale me jde o detekci DDoS. Uz u masky /40 neni technicky mozne dosahovat stejnych kvalit detekce jako se dnes bezne dosahuje u IPv4. Pritom /40 je obrovska oblast na rozdil od 1 IPv4 s NATem. Vic uz k tomu nejde rici. Konec. Pekny vikend.
-
Ondřej CaletkaZlatý podporovatel
Tady se skutečně asi nepohneme nikam dál, dokud nám nevysvětlíte, jakým kritériem poměřujete „kvalitu detekce“. Protože není žádný důvod, proč by stejná síť, která do internetu vystupuje třeba jako bloky /32 IPv4 a /48 IPv6, měla být jinak detekovaná v IPv4 a jinak v IPv6.
-
Topr (neregistrovaný)
Ne, u wedos nepracuji, ale uvazoval jsem nad tim jejich problemem. Vy tu rezete cele IPv6 site. U IPv4 jste schopni filtrovat pouze skodlivy provoz. Proc to nejde u IPv6? Staci se zamyslet jak takova ochrana funguje. Zariznout koncaka je jedna vec, ale zariznout hosting uz je vec druha. Ja v tom rozdily nedelam.
-
Petr M (neregistrovaný)
Hosting nejede jako jedna síť. Pokud je rozumně udělaná, tak má /32 a zákazníkům dává třeba /48. Když zlobí jeden jejich zákazník, zařízneš jednu (nebo několik) /48 a zbytek jede. V čem je problém?
Pokud zlobí celý /32 (někdo zneužuje 0-day na infrastruktuře ISP nebo datacentra), a bordel chodí z celýho /32, tak se zařízne /32 jedním pravidlem a je to.
Naopak je průšvih, když přes maškarádu portů schová pět zákazníků za jednu IPv4 adresu a tu někdo odřízne. Vypadnou pak další čtyři zákazníci... Nebo když je 20 zavirovaných IoT krámů za jedním CGNATem, kde je za jednou IPv4 celá vesnice s 50 barákama.
