bonjour à tous
avec la généralisation de l'accès ipv6 sur nos boxs,je m'interroge sur les attaques en brute force en ipv6
pour le serveur ssh on peut:
changer l'user de connexion
changer le port de connexion
définir une l'adresse ip du client ssh
définir un mot de passe long comme le bras
fail2ban-ipv6 est experimental et pas dans les paquets stables
j'ai trouvé un article sur le sujet: https://blog.crifo.org/post/2010/03/10/Proteger-son-acces-SSH
extrait de l'article
exemple: interdire plus de 3 nouvelles connexions depuis la meme ip en moins de 90 secondes
les règles iptables
en ipv4
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j LOG --log-prefix="SSH BRUTEFORCE BANNED"
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP
je suppose que ces règles sont transposables en ipv6
ip6tables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set
ip6tables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j LOG --log-prefix="SSH BRUTEFORCE BANNED"
ip6tables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP
ces règles vous semblent elles convenir pour les connexions ipv6 au moins pour ssh ?
plus généralement comment protéger les machines connectées en ipv6 contre les attaques en brutes forces,l'utilisation de règles ip6tables sont elles une bonne solution dans ce cas ?
# pass phrase
Posté par nono14 (site web personnel) . Évalué à 0.
Quand on est parano
Déjà l'ipv6 est pas facile à trouver, tout du moins si elle est en autoconfiguration.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: pass phrase
Posté par robertix . Évalué à -10. Dernière modification le 16 décembre 2016 à 16:56.
je m'interroge sur les bonnes pratiques en ce qui concerne les boxs et ipv6
ce n'est pas assez documenté il me semble
il y a bien quelques lecteurs qui se sont penchés sur cette question je suppose
# Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
# moinssage
Posté par EauFroide . Évalué à -2. Dernière modification le 16 décembre 2016 à 19:25.
Je suis le seul que ça choque de voir des gens qui posent une question et se font moinsser? (avant que je ne mette un +1 ce thread était en négatif)
PS: si tu trouve ça m'intéresse aussi, je vais bientôt mettre quelques machines en IPv6 et pour un truc aussi âgé c'est ouf comme c'est mal documenté (genre bêtement LA question de base: comment je fais pour trouver l'IP de mon périphérique (camera surveillance, rpi, machine a laver, chat connecté, que sais-je) en IPv6 sans passer par la box. Comme avec IPv4 on scan toute la plage d'IP? Et parmi tout les peteux qui se moquent de ceux en IPv4 y en a pas un seul qui sais faire des tuto histoire qu'on ne soit pas obligé d'essayer pour savoir?
PS2: pour ton serveur ssh tu peux aussi restreindre l'accès aux IP locales uniquement (je suppose que c'est aussi faisable en IPv6) et uniquement par Tor Hidden Service lors des déplacements (ça ralenti les montages SSHFS et SFTP hors local mais c'est vachement efficace niveau sécurité ^ ^ ) un tuto ici
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
# Livre sur IPv6
Posté par nono14 (site web personnel) . Évalué à 3.
http://livre.g6.asso.fr/
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: Livre sur IPv6
Posté par EauFroide . Évalué à 1.
Merci pour le partage @nano14 ;)
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.