[gull] sshd

Daniel Cordey dc at mjt.ch
Wed Oct 26 12:19:13 CEST 2005


> Voici une solution sophistiquée et élégante mais simple à implémenter. On
> l’appelle « port knocking » et consiste à bloquer le port 22 depuis
> l'extérieur et l’ouvrir sur demande. Pour ça il faut un simple script
> capable de ouvrir/fermer le port 22 avec iptables après avoir reçu un «
> port knocking ». Le script se déclenche avec l’arrivé d’une succession de
> paquets IP connue par l’utilisateur. La réception de ces paquets déclenche
> une rule iptables qui déclanche le script. Alors le script ouvre le port
> 22 et l’utilisateur peut se connecter en remote.

Le port knocking consiste a envoyer des paquest a une suite de ports avec une 
sequence particuliere (ex: 1212->1213->1210->1211), puis a ouvrir le port 
desire pour l'adresse IP de celui qui vient de suivre cette sequence. C'est 
bien, mais c'est un peu lourd a gerer quand on veut offrir plusieurs 
services. De plus, et il y a eu quelques articles a ce sujet sur le net 
l'annee passee, c'est une fausse idee de securite. Si qcq decouvre la 
sequence, on aura tendance a le considerer comme 'safe' et a utiliser moins 
de procedure de securite a son encontre. Ce qui n'est pas souhaitable ! Ca 
n'evite pas de devoir limiter les accees d'autres manieres.

Ca evite simplement de ne pas montre un port comme etant ouvert aux 
'scanners', tel que nmap.

dc



More information about the gull mailing list