[gull] Attaque SSH
Daniel Cordey
dc at mjt.ch
Wed Dec 13 11:59:42 CET 2006
On Wednesday 13 December 2006 11:35, Christian ALT wrote:
> Toute mesure prise qui réduit les risques est une "méthode de protection".
> Le port 22222 c'est très bien, pas cher, efficace contre certains robots.
Je ne serais pas supris de decouvir, a l'avenir, que les tentatives
d'intrusion sur ssh se mettent a utiliser les ports 222, 2222, 22222; voir a
faire un nmap prealable. La plupart de ces tentatives essaient d'ailleurs de
se connecter en 'root'., 'test', 'admin', etc. Il est deja facile de rejeter
systemetiquement les tentatives de login ssh pour ces utilisateurs dans la
config de sshd. Ensuite, pas de 'sudo' automatique; CAD sans devoir entre le
mot de passe ! C'est deja une bonne barriere.
L'utilisation de denyhost permet de mettre en quarantaine les systemes fautif,
ceci pendant une periode que l'on peut definir (jours, semaines, etc.). C'est
assez utile car les tentatives sont repetitives.
> La modification des règles sur le firewall c'est très bien.
> Une bonne méthode de protection est d'ajouter de l'authentification en
> entrée sur le firewall. Cela veut dire gérer des utilisateurs sur le
> firewall qui peuvent faire du SSH.
Tu veux dire : n'autoriser que les connexions ssh depuis des adresses
reconnues ?
Dans ce cas, c'est un peu restrictif si tu as besoin d'etre itinerant. Une
solution peut-etre alors d'utiliser la technologie de 'port-knocking'. C'est
conteste par certains, mais offre, a mon avis, un degre de diificulte
suplementaire aux crackers. Pas trop complique a mettre en place...
> En ce qui concerne les contacts avec les ISPs pourquoi pas si ils sont en
> Suisse. Ailleurs cela devient plus problématique. Il faut déterminer si
> l'attaque est ciblée ou si elle fait partie du bruit de fond. Dans le
> second cas cela ne vaut pas la peine.
Il y a longtemps, j'avais remonte al trace de certains 'crackers' et elles
menaient toutes en Asie... on oublie :-) Sans compter que certaines
tentatives sont effectuees a partir de PC 'cracques' a l'insu de leurs
proprietaires.
dc
More information about the gull
mailing list