> Voici une solution sophistiquée et élégante mais simple à implémenter. On > lappelle « port knocking » et consiste à bloquer le port 22 depuis > l'extérieur et louvrir sur demande. Pour ça il faut un simple script > capable de ouvrir/fermer le port 22 avec iptables après avoir reçu un « > port knocking ». Le script se déclenche avec larrivé dune succession de > paquets IP connue par lutilisateur. La réception de ces paquets déclenche > une rule iptables qui déclanche le script. Alors le script ouvre le port > 22 et lutilisateur peut se connecter en remote.
Le port knocking consiste a envoyer des paquest a une suite de ports avec une sequence particuliere (ex: 1212->1213->1210->1211), puis a ouvrir le port desire pour l'adresse IP de celui qui vient de suivre cette sequence. C'est bien, mais c'est un peu lourd a gerer quand on veut offrir plusieurs services. De plus, et il y a eu quelques articles a ce sujet sur le net l'annee passee, c'est une fausse idee de securite. Si qcq decouvre la sequence, on aura tendance a le considerer comme 'safe' et a utiliser moins de procedure de securite a son encontre. Ce qui n'est pas souhaitable ! Ca n'evite pas de devoir limiter les accees d'autres manieres. Ca evite simplement de ne pas montre un port comme etant ouvert aux 'scanners', tel que nmap. dc _______________________________________________ gull mailing list [email protected] http://lists.alphanet.ch/mailman/listinfo/gull
