Anzeige:
Ergebnis 1 bis 4 von 4

Thema: fail2ban ipv6 ganzes Subnetz blockieren

  1. #1
    @SlopePointNZ Avatar von craano
    Registriert seit
    Jul 2004
    Beiträge
    1.313

    fail2ban ipv6 ganzes Subnetz blockieren

    Hallo,
    ich habe den ssh Zugang eines Servers mit fail2ban abgesichert. Der Server ist auch via ipv6 erreichbar.
    Wenn fail2ban nach n Fehlversuchen eine ip per iptables sperrt, dann ist das für ipv4 OK. Allerdings würde ich gerne bei ipv6 das ganze 64er oder 56er Subnetz sperren. Denn dem Client steht vermutlich ein ganzes Subnetz zur Verfügung und er kann einfach eine neue ipv6-Adresse generieren und so den iptabels REJECT umgehen.
    Nun ist die ipv6 Integration in fail2ban ziemlich neu (seit Version 0.10) und die Dokumentation bezüglich ipv6 noch äußerst spärlich.

    Bei Debian wird für die sshd Jail /etc/fail2ban/action.d/iptables-multiport.conf eingebunden.

    Für ipv6 habe ich die defaults für actionban und actionunban überschrieben und einfach den <ip> Platzhalter um das Subnetz erweitert.
    <iptables> wird durch /etc/fail2ban/action.d/iptables-common.conf automatich zu ip6tables verändert.

    Code:
    # Fail2Ban configuration file
    #
    # Author: Cyril Jaquier
    # Modified by Yaroslav Halchenko for multiport banning
    #
    
    [INCLUDES]
    
    before = iptables-common.conf
    
    [Definition]
    
    # Option:  actionstart
    # Notes.:  command executed once at the start of Fail2Ban.
    # Values:  CMD
    #
    actionstart = <iptables> -N f2b-<name>
                  <iptables> -A f2b-<name> -j <returntype>
                  <iptables> -I <chain> -p <protocol> -m multiport --dports <port> -j f2b-<name>
    
    # Option:  actionstop
    # Notes.:  command executed once at the end of Fail2Ban
    # Values:  CMD
    #
    actionstop = <iptables> -D <chain> -p <protocol> -m multiport --dports <port> -j f2b-<name>
                 <actionflush>
                 <iptables> -X f2b-<name>
    
    # Option:  actioncheck
    # Notes.:  command executed once before each actionban command
    # Values:  CMD
    #
    actioncheck = <iptables> -n -L <chain> | grep -q 'f2b-<name>[ \t]'
    
    # Option:  actionban
    # Notes.:  command executed when banning an IP. Take care that the
    #          command is executed with Fail2Ban user rights.
    # Tags:    See jail.conf(5) man page
    # Values:  CMD
    #
    actionban = <iptables> -I f2b-<name> 1 -s <ip> -j <blocktype>
    
    # Option:  actionunban
    # Notes.:  command executed when unbanning an IP. Take care that the
    #          command is executed with Fail2Ban user rights.
    # Tags:    See jail.conf(5) man page
    # Values:  CMD
    #
    actionunban = <iptables> -D f2b-<name> -s <ip> -j <blocktype>
    
    [Init]
    [Init?family=inet6]
    actionban = <iptables> -I f2b-<name> 1 -s <ip>\/64 -j <blocktype>
    actionunban = <iptables> -D f2b-<name> -s <ip>\/64 -j <blocktype>
    Das ganze scheint so (stabil?) zu laufen.
    Die Lösung erscheint mir aber fast zu einfach. Bis ich diese simple Lösung hatte, habe ich zunächst versucht eine eigene jail (abgeleitet aus dummy.conf ( dediziert für ipv6 zu erstellen. Dann werden die Logs aber zweimal geparst, die vorgenannte Lösung sollte daher effizienter sein.

    Blockt jemand von Euch ipv6 Sutbnezte mit fail2ban und kann bestätigen, dass die Veränderung von actionban und actionunban dafür ausreichend und sicher ist?
    Hat jemand Lust dies auch einmal zu testen?
    Gibt es für Version 0.10 eine andere default Methode um Subnezte zu blockieren?

    Einen Stolperstein gibt es. Beim Aufruf von fail2ban-client set JAIL banip|unbanip IP muss stets die ganze Adresse angegeben werden, nur das Subnetz reicht nicht aus. Es scheint, dass die volle Adresse in der SQLite Datei hinterlegt zu sein.

    Gruß
    craano

  2. #2
    @SlopePointNZ Avatar von craano
    Registriert seit
    Jul 2004
    Beiträge
    1.313
    Moin Moin,
    so, jetzt habe ich fail2ban mit der oben beschriebenen Erweiterung um ipV6 Subnetzte schon fast 3 Monate laufen.

    Das Ergebnis ist sehr spannend und etwas ernüchternd. Oder beruhigend - je nach dem wie man es wertet.

    In der ganzen Zeitspanne wurde NICHT EINE EINIZIGE ipV6 Adresse gesperrt. Es gab nach Auswertung der Logs anscheinend auch nicht einen einzigen Login Versuch über eine ipV6 Anbindung.
    Einen Fehler schließe ich aus. Ich selbst kann mich via ipV6 auf den Server verbinden. Nach n erfolglosen Zugriffversuchen sperrt fail2ban auch dann das entsprechende Subnetz. Alles erscheint in den Logs.

    Wie sieht das bei Euch aus?
    Ist die Verbreitung von ipV6 unter Scriptkiddies in der Tat noch so gering, dass man den Verzicht auf ipV4 sogar heute noch als "Sicherheitsfeature" sehen kann?
    Oder werden unerlaubte Zugriffsversuche über eine ipV6 VErbindung aufgrund der eindeutigen Zuordbarkeit des Internetanschlusses bewusst vermieden?

    HG
    craano

  3. #3
    @SlopePointNZ Avatar von craano
    Registriert seit
    Jul 2004
    Beiträge
    1.313
    Zitat Zitat von craano Beitrag anzeigen

    Wie sieht das bei Euch aus?
    Ist die Verbreitung von ipV6 unter Scriptkiddies in der Tat noch so gering, dass man den Verzicht auf ipV4 sogar heute noch als "Sicherheitsfeature" sehen kann?
    Oder werden unerlaubte Zugriffsversuche über eine ipV6 VErbindung aufgrund der eindeutigen Zuordbarkeit des Internetanschlusses bewusst vermieden?
    Ich pushe ausnahmsweise einmal meine Frage. Noch immer hat kein einziger SSH Loginversuch via IpV6 stattgefunden.

    An die System- und Netzwerkadmins da draußen, macht Ihr ähnliche Erfahrungen?
    Das wäre für 2020 ja schon fast traurig.
    Gruß
    craano

  4. #4
    Registrierter Benutzer
    Registriert seit
    Apr 2020
    Beiträge
    1
    Hallo Craano,

    ich habe meinen Server die Tage für IPv6 vorbereitet und vor 2 Tagen deine tollen Regeln hier gefunden und eingebaut. Diese funktionieren sehr gut :-) Ich habe Regeln erstellt, die mir die Bots fern halten sollen und da wurden auch schon einige geblockt. Bei anderen Regeln muss ich allerdings bei den Einzel-IPs bleiben. Kannst du mir bitte sagen, wie ich die Änderung für diese Regeln wieder überschreiben kann?

    danke & gruß, paul
    Geändert von Eppi (05.04.20 um 22:03 Uhr)

Ähnliche Themen

  1. chmod 777 für ganzes verzeichnis
    Von phpfreak im Forum System installieren und konfigurieren
    Antworten: 10
    Letzter Beitrag: 26.02.06, 17:30
  2. Fedora: ganzes KDE entfernen?
    Von keiner_1 im Forum Windowmanager
    Antworten: 4
    Letzter Beitrag: 15.01.04, 22:25
  3. mpg123 mp3 -> wav ein ganzes verzeichnis
    Von newton im Forum Musik
    Antworten: 5
    Letzter Beitrag: 09.04.03, 22:26
  4. Tar ganzes Verzeichnis bis auf ....
    Von Firew im Forum Linux Allgemein
    Antworten: 4
    Letzter Beitrag: 09.07.02, 09:29
  5. ganzes Verveichnis von wav nach mp3
    Von curdegn im Forum Musik
    Antworten: 3
    Letzter Beitrag: 29.04.02, 18:41

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •