[gull] Attaque SSH

Christian ALT calt at tla.ch
Mon Dec 18 13:51:43 CET 2006


Le déplacement du numéro de port est bon marché, fourni un premier contrôle, mais n'est pas toujours applicable en raison des clients ou firewall en amont.

La solution avec denyhost est intéressante puisque c'est une modification dynamique de la sécurité. Il faut juste se méfier des faux positifs et arriver à les contrôler. Le contrôle est situé au niveau du serveur. C'est souhaitable de le voir alors dans une DMZ, si c'est possible.

L'authentification en amont sur un firewall est une mesure efficace, mais il faut un équipement capable d'authentification. Cette mesure déplace le contrôle au périmètre ce qui n'est pas mal non plus. Jusqu'à maintenant j'ai eu de très bonnes expérience avec ce procédé.


Christian ALT

Telecom and Logistics Associates
Network Security Company
Security Lead Auditor for ISO 27001
http://www.tla.ch
Agenda Romand de la formation IT et Securité
http://www.tla.ch/agenda.htm 



-----Original Message-----
From: gull-bounces at lists.alphanet.ch [mailto:gull-bounces at lists.alphanet.ch] On Behalf Of Daniel Cordey
Sent: jeudi, 14. décembre 2006 13:57
To: Groupe romand des Utilisateurs de Linux et Logiciels Libres (Liste technique)
Subject: Re: [gull] Attaque SSH

On Thursday 14 December 2006 12:59, Anne Possoz wrote:

> Je suis toujours surprise de ne pas voir mentionne la solution
> que permet (x)inetd et ses fichiers hosts.allow / hosts.deny .

J'avais fait commence par mettre les adresses IP dans hosts.deny, mais je 
m'etais rapidement rendu compte que ces adresses ne se repeteaient pas. Ce 
qui fait qu'il etait inutile de scanner les logs une fois par jour. En fait 
un site qui fait des tentatives en fait un certain nombre. L'objectif avec 
des outils comme denyhost (ou autres) est de determiner tres rapidement que 
l'on a 3 tentatives infrustueuses de la part d'un site et de l'empecher d'en 
faire d'autres dans les minutes qui suivent.

> La redirection du port ssh me semble  terme assez nave et d'ailleurs
> pas toujours utilisable (par exemple, si en amont on a des protections
> qui ne laissent passer que quelques ports, dont le 22).

C'est vrai lorsque tu est derriere en FW que tu ne controles pas. Par contre, 
quand meme utile dans certains cas. Je pense que l'on devrait bientot voir 
des tentatives sur sshd, dont les ports d'ecoutes ont ete scannes. Bien sur, 
cela pose probleme car on risque d'etre detecte en effectuant le scan, mais 
si j'etais craker, c'est ce que je ferais (--paranoid !), donc il n'y a pas 
de raisons que ces types n'y pensent pas non plus. Quand on voit la 
sofistication des bot-nets, il ne vaut mieux pas speculer sur la stupidite de 
ces gens. Un jour ou l'autre ca arrivera.

dc
_______________________________________________
gull mailing list
gull at lists.alphanet.ch
http://lists.alphanet.ch/mailman/listinfo/gull




More information about the gull mailing list