[gull] sshd

[Daniel Cordey]

> Voici une solution sophistiquée et élégante mais simple à implémenter. On
> l’appelle « port knocking » et consiste à bloquer le port 22 depuis
> l'extérieur et l’ouvrir sur demande. Pour ça il faut un simple script
> capable de ouvrir/fermer le port 22 avec iptables après avoir reçu un «
> port knocking ». Le script se déclenche avec l’arrivé d’une succession de
> paquets IP connue par l’utilisateur. La réception de ces paquets déclenche
> une rule iptables qui déclanche le script. Alors le script ouvre le port
> 22 et l’utilisateur peut se connecter en remote.

Le port knocking consiste a envoyer des paquest a une suite de ports avec une 
sequence particuliere (ex: 1212->1213->1210->1211), puis a ouvrir le port 
desire pour l'adresse IP de celui qui vient de suivre cette sequence. C'est 
bien, mais c'est un peu lourd a gerer quand on veut offrir plusieurs 
services. De plus, et il y a eu quelques articles a ce sujet sur le net 
l'annee passee, c'est une fausse idee de securite. Si qcq decouvre la 
sequence, on aura tendance a le considerer comme 'safe' et a utiliser moins 
de procedure de securite a son encontre. Ce qui n'est pas souhaitable ! Ca 
n'evite pas de devoir limiter les accees d'autres manieres.

Ca evite simplement de ne pas montre un port comme etant ouvert aux 
'scanners', tel que nmap.

dc