Bonjour, Le 22 oct. 2012 à 17:14, Wallace a écrit :
> > Pour ce qui est à banir, je dirais le plus petit subnet attribuable soit > /64. > Vu qu'une liaison fai, un loueur de serveur, ... ne sont pas sensé te > donner moins que /64 c'est que tu as forcément à faire à une seule et > même entité. Je plussoie sur ce point. Le minimum à bloquer est le /64. C'est le plus grand préfixe pour lequel on puisse supposer qu'il est géré par une entité administrative unique. Si un administrateur réseau ne sait pas contrôler ce qu'il se passe sur son réseau, c'est son problème. On peut même dire que l'on met généralement un /64 IPv6 là où en IPv4 on met une adresse IPv4 unique (connexion résidentielle NATée par exemple). Certains opérateurs attribuent des plus petits préfixes (/127 pour l'interco ou des liaisons point-à-point), dans ce cas ce sont des préfixes qui n'auraient jamais dû se retrouver dans les internets. Bloquer au /128 reviendrait à flooder son propre parefeu et on va pouvoir transformer un simple bruteforce SSH en une magnifique attaque DoS à moindre coût. Le 22/10/2012 16:46, Xavier Beaudouin a écrit : > > Bon c'est sympa, mais quitte à lancer un pavé dans la marre.... Quid des IPv6 > ? > > Si 2001:db8:1337::dead:beef arrive a ton fail2ban tu colles quoi dans ta RBL : > - l'ip en /128 ? > - le subnet en /64 ? > - le subnet en /56 ? > - ? > > Parce que bon quand en SLAAC tu as un /64 chez certains fournisseurs, voire > un /56 ou /48... Quid de l'utilité (ou inutilité) d'une RBL en IPv6... Sur ce point, j'en discutais récemment avec un collègue, et dans l'attente d'une solution supportée et déployée par tout le monde, on peut imaginer un palliatif: - On stocke tous les /64 à l'origine d'une attaque (SSH, spam, etc) dans une base de donnée adaptée - A chaque nouvelle entrée, on calcule sa proximité avec les autres entrées, si plus de x% de /64 bloquées dans le /60 conteneur depuis un temps n, la granularité monte au /60, et on remonte comme ça jusqu'au /48 L'algo est simple, je pense en faire un proto un de ces jours si ça n'existe pas encore. Cordialement Emmanuel Thierry _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
