Niedawno musiałem pracować z niektórymi serwerami, które mają połączenie IPv6 i byłem zaskoczony, gdy dowiedziałem się, że fail2ban nie obsługuje IPv6, ani nie odmawia hostów. Przeszukując google, zauważyłem, że ludzie ogólnie polecają:
- Dezaktywacja logowania ssh przez IPv6 (nie jest to dla mnie rozwiązanie)
- przy użyciu tylko uwierzytelniania klucza prywatnego / publicznego na serwerze, bez uwierzytelniania hasłem (działa, ale wiele ataków może kosztować serwer dużo mocy obliczeniowej, a nawet może uniemożliwić jego wykonanie przez DDoS)
- za pomocą ip6tables do blokowania kolejnych ataków z tego samego adresu IP
- za pomocą sshguard, który ma obsługę IPv6
Z tego, co dotychczas zebrałem, banowanie adresów w IPv6 jest nieco inne niż w IPv4, ponieważ dostawcy usług internetowych nie dają użytkownikowi pojedynczego adresu (/ 128), ale całej podsieci (obecnie mam / 48). Zatem zablokowanie pojedynczych adresów IPv6 byłoby nieskuteczne przeciwko atakom. Szukałem wysoko i nisko na temat blokowania podsieci ip6tables i sshguard podczas wykrywania ataku, ale nie udało mi się znaleźć żadnych informacji.
Czy ktoś wie, czy sshguard blokuje podsieci przed atakami IPv6?
Czy ktoś wie, jak skonfigurować konfigurację ip6tables do blokowania podsieci przed atakami IPv6?
A może ktoś wie o lepszym sposobie łagodzenia ataków niż to, co już znalazłem?
PS: Używam CentOS 7 w systemie.