Jud*_*020 5 networking ipv6 subnet
目前,在我的 IPv4-only 服务上,用户可以将他们的 IP 地址列入白名单,这允许他们在登录时绕过电子邮件 2 因素身份验证。当他们这样做时,我们只将该单个 IP 地址列入白名单,因为假设每个 ISP 客户都获得他们自己的 IPv4 地址(至少在美国)。
我们想要启用 IPv6 支持,在研究 IPv6 子网划分的工作原理后,我们发现我们需要将整个 IPv6 子网而不是单个地址列入白名单。
搜索有关 serverfault 的其他 IPv6 问题,似乎有关于将哪个子网委派给每个 ISP 最终用户的信息存在冲突。看到这个答案:
/56:256 个基本子网的块。尽管当前的政策允许 ISP 向每个最终用户分发大至 /48 的块,并且仍然认为他们的地址使用是合理的,但一些 ISP 可能(并且已经这样做)选择将 /56 分配给消费级客户作为妥协分配之间
/48:一个由 65536 个基本子网组成的块以及每个 ISP 客户端站点应接收的推荐块大小。
仅基于该答案,对于每个用户收到的 IPv6 块,已经有 3 个相互矛盾的陈述:
那么对于使用 IP 地址进行白名单的服务,哪个 IPv6 块适合列入白名单?我应该让用户决定吗?(用户相当精通技术并且知道子网是什么)
前缀的大小各不相同,因为不同的组织拥有或多或少的网络,并且有些组织向其提供商证明了这一需要。我的住处只需单击一个按钮即可通过飓风电力隧道连接 /48。(好吧,我不需要它,但如果每个 wifi 网络都获取 /64,一切都会正常工作。)
更根本的是,您似乎将 IP 地址视为身份验证器,但事实并非如此。IP 地址始终动态地重新分配、购买和(错误)路由。
考虑在初始登录时使用两个因素,但不要在后续登录中使用。(使用现有的 cookie 或 Kerberos 票证或其他方式。)在更改敏感设置时,或者在几天未进行身份验证后,或者您的系统可以检测到其帐户上的可疑活动时,要求提供一种身份验证因素。
有关美国标准机构的规定,请参阅NIST 800-63B。IP 地址并不真正符合身份验证器秘密或设备的资格。用户无需重新验证的最长时间可能是几小时或几天。如果它符合您的安全要求,您可以让用户整周保持登录状态。没有IP地址白名单。