Nicolas KOWALSKI a écrit : > Pascal Hambourg <[email protected]> writes: >> J'hésite à dire simpliste, même. La correspondance "recent" d'iptables >> est vulnérable à l'usurpation d'adresse et a une mémoire limitée, ce qui >> permet à un attaquant de débloquer son adresse rapidement ou de bloquer >> une adresse arbitraire, provoquant un déni de service. > > Il y a une autre méthode basée sur iptables, simple et sûre, en lieu > et place de fail2ban ?
Tu veux dire une méthode non basée sur les logs d'échec de sshd ? Je n'en connais pas. Pour se protéger contre l'usurpation d'adresse, il faudrait se baser sur la réception du dernier paquet de la poignée de main TCP. Mais ce paquet est un simple ACK qu'il n'est pas aisé de distinguer de n'importe quel autre ACK. Sa seule particularité est qu'il est le premier ACK reçu. De toute façon iptables n'a aucun moyen seul de reconnaître un échec d'authentification, et il peux exister des usages légitimes impliquant plusieurs connexions SSH rapprochées, par exemple avec scp. L'analyse des logs a le double avantage de protéger raisonnablement contre l'usurpation d'adresse (très difficile d'établir une connexion TCP en usurpant l'adresse source sur internet, et pas de log si pas de connexion) et de ne sanctionner que les échecs. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers [email protected] En cas de soucis, contactez EN ANGLAIS [email protected] Archive: http://lists.debian.org/[email protected]
