Setiap jawaban atas pertanyaan Anda akan melibatkan sejumlah tebakan. Penyebaran IPv6 masih cukup sedikit sehingga kita belum tahu, seperti apa skenario ancamannya.
Sejumlah besar alamat IPv6 akan memperkenalkan beberapa perubahan pada skenario ancaman yang harus Anda pertimbangkan.
Pertama-tama dengan IPv4, sangat mungkin bagi penyerang untuk memindai nomor port default untuk beberapa layanan yang rentan di semua 3700 juta alamat IPv4 yang dapat dirutekan. Serangan yang tidak ditargetkan seperti itu tidak layak dengan IPv6. Serangan-serangan yang masih Anda lihat harus lebih bertarget. Apakah ini berarti kita harus banyak berubah dalam penanganan serangan kita masih harus dilihat.
Tujuan utama pelarangan IP berdasarkan pesan log adalah untuk mengurangi noise dalam log dan sampai batas tertentu untuk mengurangi beban sistem. Seharusnya tidak berfungsi sebagai perlindungan terhadap eksploitasi. Seorang penyerang yang tahu kelemahan akan ada di dalam sebelum pelarangan masuk, jadi untuk melindungi Anda harus menambal kerentanan - seperti yang selalu Anda harus lakukan.
Melarang alamat IPv6 individual mungkin cukup untuk mengurangi kebisingan dalam log. Tapi itu tidak diberikan. Bukan tidak mungkin penyerang dapat menggunakan alamat IP baru dari kisaran yang tersedia untuk setiap koneksi. Jika penyerang berperilaku seperti itu yang melarang alamat IPv6 individu tidak hanya tidak akan efektif, tetapi Anda bahkan dapat secara tidak sengaja menyebabkan serangan DoS pada diri sendiri dengan menggunakan semua memori Anda untuk aturan firewall.
Anda tidak dapat mengetahui panjang awalan yang tersedia untuk setiap penyerang individu. Memblokir awalan yang terlalu pendek akan menyebabkan serangan DoS dengan mencakup pengguna yang sah juga. Memblokir awalan yang terlalu lama tidak akan efektif. Upaya brute force kata sandi khususnya cenderung menggunakan sejumlah besar alamat IPv6 klien.
Agar efektif terhadap penyerang yang mengganti alamat IPv6 pada setiap permintaan dan untuk menjaga penggunaan memori tetap rendah, Anda harus memblokir rentang, dan karena tidak mengetahui panjang awalan di muka, Anda harus menyesuaikan panjang awalan secara dinamis.
Dimungkinkan untuk datang dengan heuristik sudah sekarang. Seberapa baik mereka akan bekerja, kita belum tahu.
Satu heuristik akan untuk setiap panjang awalan untuk menentukan ambang batas berapa banyak IP yang diperlukan untuk memblokir awalan panjang itu. Dan pemblokiran seharusnya hanya diterapkan pada panjang tertentu, jika awalan yang lebih panjang tidak akan cukup. Dengan kata lain, Anda perlu cukup IP yang diblokir secara individual di masing-masing dua setengah untuk benar-benar memulai blok.
Misalnya seseorang dapat memutuskan bahwa untuk memblokir a / 48, harus ada 100 IP yang diblokir di masing-masing dari dua / 49 yang membentuk / 48. Semakin lama awalan semakin kecil jumlah IP yang diperlukan untuk memblokirnya, tetapi dalam setiap kasus mereka harus tersebar di kedua setengahnya.
/64
karena satu IP bermasalah akan menyebabkan pengguna yang sah diblokir.