[gull] Attaque SSH

Christian ALT calt at tla.ch
Wed Dec 13 15:06:00 CET 2006 

Non le problème n'est pas repoussé. Il est "contrôlé". Nous avons réduit le
risque.


Pour l'analogie, il y a une différence importante. Le bruit de fond sont des
tentatives qui n'aboutissent pas. Ce serait plus juste de dire. Les gamins
du quartier font tous les immeubles et essayent toutes les portes. Je crois
pas que cela vaille la peine d'appeler la police.

Si maintenant les tentatives sont fructueuses, c'est le cas de ce que tu
décris. Cela revient à dire dans mon quartier (D'internet) les serveurs sont
piratés, bien sûr qu'il faut appeler la police.

Maintenant c'est pas toujours agréable ou satisfaisant de recourir à la
police. Qui aime voir son serveur défiguré?

Mieux vaut réduire le risque de ces attaques pour qu'elles passent en
catégorie bruit de fond.

Christian


-----Original Message-----
From: gull-bounces at lists.alphanet.ch [mailto:gull-bounces at lists.alphanet.ch]
On Behalf Of magnus
Sent: mercredi, 13. décembre 2006 12:08
To: Groupe romand des Utilisateurs de Linux et Logiciels Libres (Liste
technique)
Subject: RE: [gull] Attaque SSH


l'illustre Christian ALT a dit un jour,
> Bonjour,
(...)
>
> Une bonne méthode de protection est d'ajouter de l'authentification en
> entrée sur le firewall. Cela veut dire gérer des utilisateurs sur le
> firewall qui peuvent faire du SSH.

ok mais on ne fait que repousser le problème sur le fw.

> En ce qui concerne les contacts avec les ISPs pourquoi pas si ils sont en
> Suisse. Ailleurs cela devient plus problématique. Il faut déterminer si
> l'attaque est ciblée ou si elle fait partie du bruit de fond. Dans le
second
> cas cela ne vaut pas la peine.

permet moi une petite image:
si ton quartier est régulièrement la cible d'un groupe de voleur (ça c'est
donc le
bruit du fond). Est ce que tu penses que ça ne vaut pas la peine d'appeler
la police
à chaque fois? Et que seules les banques victimes de cambriolage doivent
porter
plainte?

>
> Salutations amicales,
>
>
> Christian ALT
>
> Telecom and Logistics Associates
> Network Security Company
> Security Lead Auditor for ISO 27001
> http://www.tla.ch
> Agenda Romand de la formation IT et Securité http://www.tla.ch/agenda.htm
>
> -----Original Message-----
> From: gull-bounces at lists.alphanet.ch
[mailto:gull-bounces at lists.alphanet.ch]
> On Behalf Of François
> Sent: mardi, 12. décembre 2006 11:47
> To: Groupe romand des Utilisateurs de Linux et Logiciels Libres (Liste
> technique)
> Subject: Re: [gull] Attaque SSH
>
> samyboy a écrit :
>>
>>
>> On 12/11/06, *Blaise Vogel* <blaise.vogel at bluewin.ch
>> <mailto:blaise.vogel at bluewin.ch>> wrote:
>>
>>     Bonjour,
>>
>>     En contrôlant une machine ce matin, j'ai constaté que je subissais
>>     une attaque
>>     en force brute sur ssh, soit:
>>     netstat -ant
>>
>>
>>
>> Salut,
>>
>> N'hésite pas à changer le port du service ssh. Typiquement  22222 ou
>> quelquechose du genre.
>> Ca épargne pas mal de remplissages poubellistiques de logs .
> Je confirme. Avant, des centaines de tentatives par jour. Depuis le
> déplacement, rien :-)
> Ce n'est pas une protection, mais au moins ça ne remplis pas les logs.
>
> François
> _______________________________________________
> gull mailing list
> gull at lists.alphanet.ch
> http://lists.alphanet.ch/mailman/listinfo/gull
>
> _______________________________________________
> gull mailing list
> gull at lists.alphanet.ch
> http://lists.alphanet.ch/mailman/listinfo/gull
>
>


-- 
magnus
[ mob ] +41 79 364 12 65
[ web ] http://magnus.anderssen.ch or http://magooweb.com
[ pgp ] 0xDD4C966D

_______________________________________________
gull mailing list
gull at lists.alphanet.ch
http://lists.alphanet.ch/mailman/listinfo/gull

More information about the gull mailing list