IPv6- এ এসএসএইচ ব্রুট ফোর্স আক্রমণ আটকাচ্ছে

10

আমি সম্প্রতি এমন কয়েকটি সার্ভারের সাথে কাজ করতে হয়েছিল যার একটি আইপিভি 6 সংযোগ রয়েছে এবং আমি অবাক হয়ে জানতে পেরেছিলাম যে ফেল2ban আইপিভি 6 সমর্থন করে না, অস্বীকারও করে না। গুগলে অনুসন্ধান করে আমি দেখতে পেয়েছি যে লোকেরা সাধারণত সুপারিশ করে:

  • আইপিভি 6 এর মাধ্যমে এসএসএল লগইন নিষ্ক্রিয় করা হচ্ছে (আমার জন্য কোনও সমাধান নয়)
  • কোনও পাসওয়ার্ড প্রমাণীকরণ ছাড়াই সার্ভারে কেবলমাত্র বেসরকারী / সর্বজনীন কী প্রমাণীকরণ ব্যবহার করে (কাজ করে তবে প্রচুর আক্রমণে সার্ভারকে প্রচুর পরিমাণে প্রসেসিং শক্তি খরচ করতে পারে, অথবা এটি ডিডিও-ইন-এটি দ্বারা অনুপলব্ধ করে তুলতে পারে)
  • একই আইপি থেকে একটানা আক্রমণ অবরুদ্ধ করতে ip6tables ব্যবহার করা
  • sshguard ব্যবহার করে যার IPv6 সমর্থন রয়েছে

আমি এতক্ষণ আইপিভি 6-তে ঠিকানা নিষিদ্ধ করার বিষয়টি আইপিভি 4 এর চেয়ে কিছুটা আলাদা কারণ আইএসপিগুলি ব্যবহারকারীর একক ঠিকানা (/ 128) দেয় না, তবে একটি সম্পূর্ণ সাবনেট (আমার বর্তমানে একটি / 48 আছে)। সুতরাং একক আইপিভি 6 ঠিকানা নিষিদ্ধ করা আক্রমণগুলির বিরুদ্ধে অকার্যকর হবে। আমি আক্রমণ সনাক্তকরণে আইপি 6 টেবিল এবং এসগার্ড ব্লক করা সাবনেটস বিষয়গুলিতে উচ্চ এবং নিম্ন সন্ধান করেছি কিন্তু আমি কোনও তথ্য সন্ধান করতে পারি নি।

কেউ কি জানেন যে এসএসগার্ড আইপিভি 6 আক্রমণে সাবনেট নিষিদ্ধ করে?
আইপিভি 6 আক্রমণে সাবনেট নিষিদ্ধ করার জন্য কীভাবে কেউ আইপি 6 টেবিল কনফিগারেশন করবেন তা জানেন?
অথবা আমি ইতিমধ্যে যা পেয়েছি তার থেকে আক্রমণগুলি প্রশমিত করার আরও ভাল উপায় সম্পর্কে কেউ কি জানেন?

PS: আমি সিস্টেমে CentOS 7 ব্যবহার করছি।

ssh  security  sshd  ipv6  ip6tables 
DarthRevan13
সূত্র
3
ব্যর্থ 2ban আইপিভি 6 সমর্থন যুক্ত সম্পর্কে আরও তথ্যের জন্য: github.com/fail2ban/fail2ban/issues/39 । দেখে মনে হচ্ছে তারা সাবনেট ব্লকিংয়ের সাথে একটি সমস্যার মুখোমুখি হচ্ছে যা আরও বাস্তবায়ন বিলম্বিত করে (এটি আমাদের থেকে আরও বেশি দূরে সরে গেছে বলে মনে হচ্ছে ...)।
জন ডব্লিউ এইচ স্মিথ
Iptables এ সীমাবদ্ধকরণ / নিষেধাজ্ঞার বিধিগুলি নির্ধারণ করুন। তার জন্য আপনার প্রশ্নটি পরিবর্তন করুন এবং বেশ কয়েকটি বেশ্যা বেশিরভাগের সুনির্দিষ্টভাবে উত্তর দেওয়া উচিত।
এটা কি অনুমান সমস্যা? আমি কয়েকটি সার্ভার থেকে ব্রুট ফোর্সের প্রচেষ্টার লগগুলি খুঁজছি, এবং তাদের প্রত্যেকেরই আইপিভি 4 এর মাধ্যমে চেষ্টা করা হয়েছিল। এবং সার্ভারের পাশ দিয়ে পাসওয়ার্ড প্রমাণীকরণ অক্ষম করা থাকলে আমি এই জাতীয় প্রচেষ্টার কারণে কোনও সার্ভারকে খুব বেশি লোডের মধ্যে আসতে দেখিনি।
কাস্পারড
1
@ ক্যাস্পার্ড আমি আইপিভি 6 এ দিনে কয়েক হাজার চেষ্টা করেছি তাই না, এটি কোনও অনুমানের সমস্যা নয়। সার্ভারের ঠিকানাটি সর্বজনীন কারণ এটি কোনও সাইটকে হোস্ট করে, তাই এটি একটি আসল সমস্যা।
দারথেরওয়ান 13
@ ইউজার 123418 আমি এখনকার মতো প্রশ্নের শিরোনামটি ছেড়ে দেব, আইপি 6 টেবিলের বিধি বিধি বিধি বিধি নিয়ন্ত্রণের কারণে আমি সত্যিই এসগার্ডের মতো কিছু পছন্দ করবো। যদি পরের সপ্তাহে কেউ উত্তর না দেয় তবে আমি আমার প্রশ্নটি পরিবর্তন করব।
দারথেরওয়ান 13

উত্তর:

4

কোনও সার্ভার আক্রমণ করার জন্য আক্রমণকারীকে প্রথমে তার আইপি ঠিকানাটি জানতে হবে। আইপিভি 6 এর সাথে আপনার কাছে এমন অনেকগুলি ঠিকানা বেছে নেওয়া উচিত যা থেকে আইপি রেঞ্জটি স্ক্যান করে সঠিক ঠিকানাটি পাওয়া সম্ভব নয়।

এর অর্থ আপনি ইন্টারফেসে কেবল দুটি পৃথক IPv6 ঠিকানা বরাদ্দ করতে পারেন। আপনি আপনার সাইটের ডোমেন নামটি বরাবরের মতো একই আইপি ঠিকানার দিকে ইঙ্গিত করতে দিন এবং আপনি sshd কেবলমাত্র নতুন বরাদ্দকৃত আইপি ঠিকানায় শুনতে দিলেন।

এর পরে আপনার সাইটের ডোমেন নাম এবং আইপি ঠিকানা জেনে কোনও আক্রমণকারী আপনার এসএসডি তে কোনও অ্যাক্সেস দেবে না।

Ssh ব্যবহার করে সংযোগ করার সময় অবশ্যই আপনার একটি মাধ্যমিক হোস্ট নাম ব্যবহার করা উচিত। এই হোস্টের নামের আইপিভি 6 ঠিকানার চেয়ে অনেক বেশি এনট্রপি থাকতে পারে। হোস্টের নামের জন্য কেউ অনুমান করছেন যে আপনি যদি 63৩ টি বর্ণানুক্রমিক অক্ষর ব্যবহার করেন তবে তা অকল্পনীয়।

কেউ যদি sshd- র জন্য ব্যবহৃত IPv6 ঠিকানা খুঁজে বের করে তবে আপনি sshd কে একটি নতুন আইপিভি 6 ঠিকানায় সরিয়ে নিয়েছেন এবং এএএএ রেকর্ডটি আপডেট করেন। তারপরে তাদের শুরু করতে হবে।

যদি আপনি শঙ্কিত হন যে কোনও বৈধ ssh ব্যবহারকারী হোস্টের নাম এবং / অথবা আইপি ঠিকানাগুলি ফাঁস করতে পারে তবে আপনি প্রতিটি ব্যবহারকারীর জন্য এসএসএস দিয়ে অ্যাক্সেসের জন্য আলাদা হোস্টের নাম তৈরি করতে পারেন। প্রাথমিকভাবে আমি তাদের সকলকেই একটি একক হোস্টের নামে সিআইএম করতাম যে আপডেট করার জন্য কেবলমাত্র একটি একা এএএএ রেকর্ড রয়েছে।

kasperd
সূত্র
আমার কাছে বর্তমানে যা আছে তার চেয়ে ভাল লাগে তবে আমি যা খুঁজছিলাম তা পুরোপুরি নয়। যাই হোক ধন্যবাদ.
ডারথেরভান 13
0

সুসংবাদটি হ'ল ব্যর্থ2 ban সম্প্রতি আইপিভি 6 এর জন্য সমর্থন প্রকাশ করেছে।

ডেবিয়ান আইপিভি 6 সার্ভারগুলির জন্য আমি এই টিউটোরিয়ালটি অনুসরণ করার পরামর্শ দেব ।

CentOS IPv6 সার্ভারগুলির জন্য, আমি এটি এখানে ডাউনলোড করার পরামর্শ দেব এবং তারপরে সংস্করণ নম্বরটি প্রতিস্থাপন করে এই আদেশগুলি কার্যকর করব:

tar xvfj fail2ban-0.11.0.tar.bz2
cd fail2ban-0.11.0
python setup.py install

নিশ্চিত করুন যে sshd এর জন্য একটি জেল /etc/fail2ban/jail.local তে সক্ষম রয়েছে , উদাহরণস্বরূপ:

[sshd]
enabled=1
ncomputers
সূত্র
1
যদিও আমি ব্যর্থ2ban এ ছেলেরা যা করেছে তার প্রশংসা করি, এটি এখনও পর্যাপ্ত নয়! সমস্ত বৈশিষ্ট্যগুলি আইপিভি 6 প্রোটোকল দ্বারা তাদের চেঞ্জলগ github.com/fail2ban/fail2ban/blob/0.10/ChangeLog অনুসারে সমর্থিত নয় এবং এখনও গিথুব.com/fail2ban/fail2ban/issues/927 সাবনেট নিষিদ্ধ করার জন্য কোনও সমর্থন নেই যা এর জন্য গুরুত্বপূর্ণ আইপিভি since যেহেতু কোনও আইএসপি গ্রাহককে কেবল একটি আইপিভি address ঠিকানা সরবরাহ করবে না, তবে একটি সম্পূর্ণ সাবনেট। যতক্ষণ না এটি সত্য থাকে ততক্ষণ কোনও প্রযোজনা মেশিনকে এখন ব্যর্থ 2ban ব্যবহার করা উচিত নয়! এটি প্রতিফলিত করতে দয়া করে আপনার উত্তর পরিবর্তন করুন, কারণ এই পৃষ্ঠাটি প্রচুর লোক দেখেছে।
দারথেরওয়ান 13
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.