Asignación de rangos aleatorios de IPv6 a los ISP como medida de seguridad

Navega tus respuestas
1

Hacer ping a todo el espacio de direcciones IPv4 tarda aproximadamente 5 horas (y puede generar mapas hermosos ). El escaneo de puertos no toma mucho tiempo y puede revelar servicios vulnerables , como la administración remota de enrutadores con credenciales predeterminadas o servidores mal configurados.

Suponiendo que se amplíe de forma lineal, el escaneo del espacio de direcciones IPv6 podría tomar alrededor de 10 billones de años.

¿Qué tan factible sería asignar rangos dinámicos y aleatorios del espacio de direcciones IPv6 a los ISP? Esos rangos podrían cambiar cada pocos días y los clientes cambiarían su dirección IP cuando caduque el contrato DHCP.

    
pregunta isanae 12.05.2015 - 21:05
fuente

2 respuestas

2

La mayoría de las subredes IPv6 no son más pequeñas que /64 . No es un requisito del protocolo, pero es un estándar de facto y también es necesario para las redes que ejecutan SLAAC .

Cada una de esas redes contiene 18446744073709551616 direcciones IP y, en cada red, solo se utilizarán algunas de esas direcciones.

Por lo tanto, incluso si sabe exactamente qué subredes están asignadas y cuáles no están asignadas, es imposible escanear incluso una sola subred IPv6 para encontrar las direcciones de host que están en uso dentro de esa subred. Por lo tanto, hacer que sea difícil adivinar qué subredes están asignadas no ayuda realmente.

Ponga eso junto con el hecho de que incluso si los ISP deben mover sus bloques de direcciones de vez en cuando, deben documentar sus asignaciones en WHOIS para que los extraños puedan averiguar quién es responsable de una dirección IP determinada y comunicarse con el derecho escritorio de abuso Intencionalmente hacemos lo contrario de ocultar las asignaciones de red IP.

Excepciones: si adivina una subred IPv6 que está en uso, en realidad tiene una probabilidad mejor que 1/18446744073709551616 de encontrar una dirección IP asignada dentro de esa subred. Por ejemplo, si SLAAC está en uso y quién puede adivinar la dirección MAC de un host en la subred, puede generar su dirección IP. Las direcciones de privacidad mitigan esto. Además, los servidores a menudo tendrán direcciones simples y bien conocidas como <subnet>::1 , por lo que también pueden adivinarlas (pero, de nuevo, son servidores, por lo que se supone que se supone que tienen direcciones conocidas). Aún así, es lo suficientemente desalentador que creo que sigue siendo una tarea inútil tratar de "portscan" IPv6.

    
respondido por el Celada 12.05.2015 - 23:49
fuente
1

Hay dos elementos en juego aquí.

Primero, existe la posibilidad de mover bloques ISP completos cada pocos días. Los beneficios de seguridad son, en el mejor de los casos, ambiguos.

En segundo lugar, existe la posible molestia de los clientes. Incluso los usuarios sin garantías de IP estática tienen la expectativa de que no se moverán de ninguna manera. Esos usuarios "dinámicos" saben que a veces se producen cambios de IP, y muchos tienen servicios como DNS dinámico para contrarrestar movimientos periódicos. Luego, están los usuarios que han pagado para tener una dirección IP estática. Si mueves a esos usuarios, generarán un infierno al descargar su frustración en el ISP, poniendo al ISP en el hotseat para solucionar el problema. Especialmente con un sitio de venta minorista, el ISP puede hasta cierto punto estar pendiente de las ventas perdidas debido a la falta de contrato.

El hecho de que toda la Internet (a través de los ISP conectados) se desplace cada dos días puede verse bien inicialmente en el papel. Tratar de aplicar el concepto a la realidad de cómo funciona Internet tiende a desmoronarse de inmediato.

Podría estar equivocado. Si es así, por favor vota. Suficiente de ellos, y mataré esta respuesta.

    
respondido por el killermist 12.05.2015 - 23:01
fuente

Lea otras preguntas en las etiquetas

¿Cuánto debo cambiar mi contraseña de TrueCrypt de 64 caracteres? ¿Cómo se aplica la corrupción de memoria a Android?