目前,在我的仅限 IPv4 的服务上,用户可以将他们的 IP 地址列入白名单,这样他们在登录时就可以绕过电子邮件双因素身份验证。当他们这样做时,我们只将该单个 IP 地址列入白名单,因为假定每个 ISP 客户都有自己的 IPv4 地址(至少在美国)。
我们希望启用 IPv6 支持,在研究了 IPv6 子网划分的工作原理后,我们发现需要将整个 IPv6 子网列入白名单,而不是单个地址。
在 serverfault 上搜索其他 IPv6 问题,似乎存在关于将哪个子网委托给每个 ISP 最终用户的相互矛盾的信息。请参阅这个答案:
/56:256 个基本子网的地址块。尽管当前政策允许 ISP 向每个最终用户分配最大为 /48 的地址块,并且仍然认为其地址利用率合理,但一些 ISP 可能(并且已经)选择将 /56 分配给消费级客户,作为分配之间的折衷
/48:65536 个基本子网的块,也是每个 ISP 客户端站点都应接收的块的建议大小。
仅基于该答案,关于每个用户收到的 IPv6 块已经有 3 个相互矛盾的说法:
- /64:单个子网,可能是分配给最终用户最“经济”的块
- /56:许多 ISP 已将其分配给每个最终用户
- /48:每个最终用户应获得的推荐区块
那么对于使用 IP 地址进行白名单管理的服务,哪个 IPv6 地址块适合列入白名单?我应该让用户决定吗?(用户技术水平相当高,知道什么是子网)
答案1
前缀的大小各不相同,因为不同的组织拥有或多或少的网络,有些组织向其提供商证明了其需要。我的住所只需单击一个按钮,即可通过飓风电气隧道获得 /48。(好吧,我不知道需要但是如果每个 wifi 网络都抓取一个 /64,那么一切就都能正常工作。)
更根本的是,您似乎将 IP 地址视为身份验证器,但事实并非如此。IP 地址始终在动态地重新分配、购买和(错误)路由。
考虑在初次登录时使用两个因素,但在后续登录时不使用。(使用现有的 cookie 或 Kerberos 票证等。)在更改敏感设置时,或在几天未进行身份验证后,或者您的系统可以检测到其帐户中的可疑活动时,要求一个身份验证因素。
有关美国标准机构的看法,请参阅NIST 800-63B。IP 地址实际上并不符合身份验证器密钥或设备的资格。用户无需重新进行身份验证的最大时间可能是几小时或几天。如果符合您的安全要求,您可以让用户整周保持登录状态。无需 IP 地址白名单。
答案2
虽然许多最终用户 ISP 会分配比 /64 更大的块,但大多数最终用户只会将该块中的一个 /64 用于他们的 LAN。他们的计算机可能会在该 /64 内移动(这要归功于隐私扩展),但不太可能移动到其 ISP 分配内的其他 /64,除非他们更换路由器(或者是少数极客之一,其路由器支持多个独立子网,但这些极客也可能拥有多个 IPv4 地址.........)。
因此,将 /64 列入白名单可能与将单个 IPv4 IP 列入白名单最为接近。
当然,这样的白名单本质上是不完善的,但你可能已经知道这一点。