Gestione identificazione e blocco utenti con IPv6

LucaTheHacker Telegram se fai troppi login con lo stesso IP ti blocca, con IPv6, anche solo cambiando da 0002 a 0003 bypassi il limite.
Stessa cosa fa CF per l'identificazione di alcune cose tramite l'attività del singolo IP.

Non puoi farlo anche in IPv4 con un banalissimo IP pubblico dinamico? ( che ha tipo la quasi totalità degli utenti? )

LucaTheHacker Cambia eccome, qui non sono più gli ISP ad avere milioni di IP, sono direttamente gli utenti finali.

E quindi?
Ripeto, non ci sono schiavetti a segnare gli IP uno a uno in blacklist.
Sono sistemi automatici, basta scalarli adeguatamente.

LucaTheHacker Se arrivano 400 segnalazioni per lo stesso IPv4, una qualsiasi BL lo aggiunge alla lista di quelli bloccati, se gli IP cambiano in continuo limitare questi eventi (cosda possibile con IPv6), beccare anche solo due volte lo stesso IP diventa veramente complesso.

Aumenta il traffico, aumentano le segnalazioni e aumenteranno gli IPv6 in BL.
Sarà una crescita fisiologica

LucaTheHacker NAT su IPv6? Cosa mi son perso?

A occhio e croce direi tutto, ma in generale sul IPv6.

LucaTheHacker Spiega, altrimenti che senso ha la discussione?

Mi auguro sinceramente che non sviluppi webapp perché se il tuo metodo di autenticazione è la verifica dell' IP credo tu debba tirare giù tutto immediatamente.

LucaTheHacker è un caso raro che venga data una /128, ma appunto, se qualcuno assegna una /48 e altri una /128, come fai a trovare la subnet giusta? Tiri la monetina?

Non devi trovare nessuna subnet giusta, non devi tirare alcuna monetina.
Se sei in una situazione grave blocchi tutto, altrimenti ti studi sistemi un po' più intelligenti di andare a cercare l'ago nel pagliaio.

Cortesemente mettiamo in OT il thread?

LucaTheHacker Il problema che come detto, molte volte ciò non avviene.
Ci sono server, dunque non "servizi casalinghi", che hanno una /128, dunque potenzialmente vai a bloccare un'infinità di gente che non c'entra nulla.

Chi fa così va contro le best practice però (https://www.ripe.net/publications/docs/ripe-690#4--size-of-end-user-prefix-assignment---48---56-or-something-else-). Probabilmente all'aumentare delle lamentele si adeguerà e assegnerà gli indirizzi da standard. I link /127 e /128, da quel che ricordo, sono destinati solo ai point-to-point.
Non credo sia corretto considerare questi casi anomali

LucaTheHacker Eh, ma con IPv4 era l'ISP ad avere tanti IP, non "l'end-user".
Btw, esiste qualcuno che lo fa già? Si risolverebbero tantissimi problemi.

LucaTheHacker Cambia eccome, qui non sono più gli ISP ad avere milioni di IP, sono direttamente gli utenti finali.

Come sopra, all'end user viene assegnata una subnet, non il singolo ip. Quindi è sbagliato un blocco a livello di singolo ip.
Esempio (ipv6 preso da Wikipedia): 2001:0db8:85a3:0000:0000:8a2e:0370:7334.
Tu non bloccherai mai una cosa simile, ma bloccherai il prefisso /64 "2001:0db8:85a3:0000", perché da standard assumerai che tutti gli altri 64 bit possano variare e appartengono allo stesso utente/dispositivo. Se l'operatore assegnasse solo una /64, hai ottenuto lo stesso effetto di bloccare un IPv4
Non credo esista al momento un db simile, ma non vedo perché non potrebbe esistere in futuro: le assegnazioni fornite sono pubbliche, quindi basta stabilire "operatore x offre una /y" a ogni cliente e regolarsi di conseguenza.
Secondo me è over-kill e basta bloccare le /64 volta per volta, piuttosto usando techiche alternative per stabilire se la subnet è più grande (machine learning, ad esempio).

LucaTheHacker Telegram se fai troppi login con lo stesso IP ti blocca, con IPv6, anche solo cambiando da 0002 a 0003 bypassi il limite.

Mm non sono convintissimo neanche a livello IPv4, in università (Polimi) Telegram funziona e c'è un natting selvaggio (migliaia di utenti condividono lo stesso exit-IP del campus).
Forse ho inteso male, se intendi lo stesso utente che fa accesso al suo account da più dispositivi allora non ho esperienza.

LucaTheHacker ma rischi di andare a bloccare anche gente che non segue gli standard, o no?

sì, ma quello che ti dicevano sopra è che è lo stesso rischio che c'è oggi con CGNAT (usato praticamente da tutti gli utenti mobili). Quindi cambia poco

stemax97 Direi che cambia in meglio, perché bloccare una /64 (assegnata a utente) nella stra-grande maggioranza dei casi vorrà dire bloccare solo l'attaccante, a differenza del CGNAT in cui si colpisce chiunque abbia lo stesso IP.

Diciamo che almeno in italia, anche con gli IPv4 è così

Comunque una presunta botnet che cambia IP ogni secondo sarebbe un po' troppo invasiva, si farebbe notare facilmente
Mentre per i web scrapers, alla fine è lo stesso rischio che abbiamo con gli ip dinamici oggi, anche da quel punto di vista cambia poco

L4ky Fortunatamente, nel mondo reale, non è così e sinceramente mi auguro che con l'avvento di IPv6 si mantenga la buona abitudine di nattare salvo casi di reale necessità.

Ti prego, no.

IPv6 è nato proprio per eliminare il problema alla radice e evitare di nattare.

Per la privacy ci sono le privacy extension, ormai attive di default su tutti gli OS moderni.

A ogni device vengono assegnati due IPv6 pubblici (nella /64), uno random per uscire su internet che cambia ogni volta e uno statico generato dal MAC address se si vuole contattare il dispositivo dall'esterno.

LucaTheHacker Ensomma, il nat su IPv6 non andrebbe messo, giusto?

No, ma questo non vuol dire lasciare aperta la tua rete al mondo. NAT ≠ Firewall

Il firewall c'è sempre, che (almeno su router domestici) consente di default dall'esterno solo i pacchetti relativi a connessioni related ed established e la "apertura delle porte" va fatta manualmente come in IPv4.

Però se vuoi hai la possibilità di prendere uno o più host che devono essere raggiungibili dall'esterno e metterli in DMZ (una vera DMZ) su cui il firewall non agisce o agisce in modo diverso.

Se poi l'utente per avere NAT 1 sulla PS4 prende e disattiva il firewall e si fa bucare tutti i dispositivi, cavoli suoi.