首先我要声明,我对 IPv6 的经验并不多。请多包涵。
我们(我的公司)目前根据 IPv4 地址/子网将入站客户端访问列入白名单,然后才与我们的远程访问/VPN 服务器通信。但对于我们的移动客户端来说,这意味着将整个 ISP 租约范围列入白名单,随着我们的领土不断扩大,这种做法变得越来越没有好处。
我正在研究将我们的移动客户端过渡到 IPv6 并使用 EUI-64/接口 ID 作为可能的白名单方法的可行性。由于 EUI-64 基于移动宽带调制解调器的硬件 MAC 地址,因此理论上我可以只将我们拥有的 MAC 列入白名单 - 从安全角度来看,这种吸引力是显而易见的。
然而,在我看来,至少有两个障碍需要克服:
- 据我所知,基于 EUI-64 的接口 ID 似乎不是常态。我查看过的每个租用 IPv6 地址似乎都没有使用 EUI-64。我不确定移动客户端是否可以坚持/依赖使用基于 EUI-64 的接口 ID 的租约。
- 无论是我们当前的防火墙(思科)还是我调查过的任何防火墙,似乎都不支持部分/通配符 IPv6 匹配。这不是什么大问题。如果有必要,我会构建自己的路由器;提供第 1 项并不会使这项工作变得毫无意义。
我的问题:
- 是否可以配置移动客户端(Android、Windows),以便它们可以依靠基于 EUI-64 的接口 ID 接收 IPv6 租约,还是这仅由 DHCPv6 服务器控制?
- 静态 IPv6 是否可以以某种方式用于此目的(隧道?)。
- 是否有人知道任何供应商的商业硬件允许仅根据 IPv6 地址的接口 ID 进行 IPv6 过滤(屏蔽)?
- 有谁有这方面的经验可以提供见解吗?
请仅针对主题进行回复:IPv6 接口 ID 白名单。我目前对替代策略不感兴趣,谢谢。
答案1
不。
移动用户体验很差,因为他们可能无法控制可以访问哪个 ISP。
根据 NIST sp800-63b 等定义,IP 地址不是身份验证器。它不是秘密,也不受用户控制。MAC 地址甚至不是恒定的,可以在 Android 上(临时)更改,无需 root 权限。
Android 对 EUI-64 不感兴趣,隐私扩展始终处于开启状态。
将您从未使用过的整个网络列入黑名单?将 IP 地址记录为威胁情报?当然可以。但授权用户使用其 IP 地址则毫无意义。