J'ai récemment dû travailler avec certains serveurs qui ont une connexion IPv6 et j'ai été surpris de découvrir que fail2ban ne prend pas en charge IPv6, ni les denyhosts. En recherchant sur Google, j'ai trouvé que les gens recommandent généralement:
- Désactiver la connexion ssh via IPv6 (pas une solution pour moi)
- utiliser uniquement l'authentification par clé privée / publique sur le serveur, sans authentification par mot de passe (fonctionne, mais de nombreuses attaques peuvent coûter beaucoup de puissance de traitement au serveur, ou le rendre même indisponible en le faisant par DDoS)
- en utilisant ip6tables pour bloquer les attaques consécutives de la même IP
- en utilisant sshguard qui prend en charge IPv6
D'après ce que j'ai rassemblé jusqu'à présent, interdire les adresses dans IPv6 est un peu différent de celui sur IPv4 car les FAI ne donnent pas à un utilisateur une seule adresse (/ 128), mais tout un sous-réseau (j'ai actuellement un / 48). Ainsi, interdire des adresses IPv6 uniques serait inefficace contre les attaques. J'ai cherché haut et bas sur le sujet des sous-réseaux de blocage ip6tables et sshguard sur la détection d'attaque, mais je n'ai pas réussi à trouver d'informations.
Est-ce que quelqu'un sait si sshguard interdit les sous-réseaux sur les attaques IPv6?
Est-ce que quelqu'un sait comment faire une configuration ip6tables pour interdire les sous-réseaux sur les attaques IPv6?
Ou quelqu'un connaît-il un meilleur moyen d'atténuer les attaques que ce que j'ai déjà trouvé?
PS: j'utilise CentOS 7 sur le système.