Di recente ho dovuto lavorare con alcuni server che hanno una connessione IPv6 e sono stato sorpreso di scoprire che fail2ban non ha il supporto IPv6, né nega gli host. Cercando su google ho scoperto che le persone generalmente raccomandano:
- Disattivazione dell'accesso ssh tramite IPv6 (non è una soluzione per me)
- utilizzando solo l'autenticazione con chiave privata / pubblica sul server, senza autenticazione tramite password (funziona, ma molti attacchi potrebbero costare molta potenza di elaborazione al server o potrebbero anche renderlo non disponibile da DDoS-ing)
- usando ip6tables per bloccare attacchi consecutivi dallo stesso IP
- usando sshguard che ha il supporto IPv6
Da quello che ho raccolto finora vietare gli indirizzi in IPv6 è un po 'diverso rispetto a IPv4 perché gli ISP non danno a un utente un singolo indirizzo (/ 128), ma un'intera sottorete (al momento ho un / 48). Pertanto, vietare singoli indirizzi IPv6 sarebbe inefficace contro gli attacchi. Ho cercato in alto e in basso sul tema delle sottoreti di blocco ip6tables e sshguard al rilevamento degli attacchi, ma non sono riuscito a trovare alcuna informazione.
Qualcuno sa se sshguard vieta le subnet sugli attacchi IPv6?
Qualcuno sa come effettuare una configurazione ip6tables per vietare le subnet sugli attacchi IPv6?
O qualcuno conosce un modo migliore per mitigare gli attacchi rispetto a quello che ho già trovato?
PS: sto usando CentOS 7 sul sistema.