Forum Linux.général brute-force et ip6tables

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
3
16
déc.
2016

bonjour à tous

avec la généralisation de l'accès ipv6 sur nos boxs,je m'interroge sur les attaques en brute force en ipv6

pour le serveur ssh on peut:
changer l'user de connexion
changer le port de connexion
définir une l'adresse ip du client ssh
définir un mot de passe long comme le bras

fail2ban-ipv6 est experimental et pas dans les paquets stables

j'ai trouvé un article sur le sujet: https://blog.crifo.org/post/2010/03/10/Proteger-son-acces-SSH

extrait de l'article
exemple: interdire plus de 3 nouvelles connexions depuis la meme ip en moins de 90 secondes
les règles iptables

en ipv4

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j LOG --log-prefix="SSH BRUTEFORCE BANNED"
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP

je suppose que ces règles sont transposables en ipv6

ip6tables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set
ip6tables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j LOG --log-prefix="SSH BRUTEFORCE BANNED"
ip6tables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP

ces règles vous semblent elles convenir pour les connexions ipv6 au moins pour ssh ?

plus généralement comment protéger les machines connectées en ipv6 contre les attaques en brutes forces,l'utilisation de règles ip6tables sont elles une bonne solution dans ce cas ?

  • # pass phrase

    Posté par  (site Web personnel) . Évalué à 0.

    Quand on est parano

    Déjà l'ipv6 est pas facile à trouver, tout du moins si elle est en autoconfiguration.

    Système - Réseau - Sécurité Open Source

    • [^] # Re: pass phrase

      Posté par  . Évalué à -10. Dernière modification le 16/12/16 à 16:56.

      je m'interroge sur les bonnes pratiques en ce qui concerne les boxs et ipv6
      ce n'est pas assez documenté il me semble
      il y a bien quelques lecteurs qui se sont penchés sur cette question je suppose

  • # IPv6 ou pas…

    Posté par  . Évalué à 3.

    Je ne vois pas ce que cela change.
    Personnellement je ne compte pas sur fail2ban ou des règles de pare-feu pour contrer ce type d'attaque. Je préfère les rendre quasi impossible en utilisant exclusivement des connexions par clés.

  • # moinssage

    Posté par  . Évalué à -2. Dernière modification le 16/12/16 à 19:25.

    Je suis le seul que ça choque de voir des gens qui posent une question et se font moinsser? (avant que je ne mette un +1 ce thread était en négatif)

    PS: si tu trouve ça m'intéresse aussi, je vais bientôt mettre quelques machines en IPv6 et pour un truc aussi âgé c'est ouf comme c'est mal documenté (genre bêtement LA question de base: comment je fais pour trouver l'IP de mon périphérique (camera surveillance, rpi, machine a laver, chat connecté, que sais-je) en IPv6 sans passer par la box. Comme avec IPv4 on scan toute la plage d'IP? Et parmi tout les peteux qui se moquent de ceux en IPv4 y en a pas un seul qui sais faire des tuto histoire qu'on ne soit pas obligé d'essayer pour savoir?

    PS2: pour ton serveur ssh tu peux aussi restreindre l'accès aux IP locales uniquement (je suppose que c'est aussi faisable en IPv6) et uniquement par Tor Hidden Service lors des déplacements (ça ralenti les montages SSHFS et SFTP hors local mais c'est vachement efficace niveau sécurité ^ ^ ) un tuto ici

    Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

  • # Livre sur IPv6

    Posté par  (site Web personnel) . Évalué à 3.

    http://livre.g6.asso.fr/

    Système - Réseau - Sécurité Open Source

    • [^] # Re: Livre sur IPv6

      Posté par  . Évalué à 1.

      Merci pour le partage @nano14 ;)

      Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.