Le déplacement du numéro de port est bon marché, fourni un premier contrôle, mais n'est pas toujours applicable en raison des clients ou firewall en amont.
La solution avec denyhost est intéressante puisque c'est une modification dynamique de la sécurité. Il faut juste se méfier des faux positifs et arriver à les contrôler. Le contrôle est situé au niveau du serveur. C'est souhaitable de le voir alors dans une DMZ, si c'est possible. L'authentification en amont sur un firewall est une mesure efficace, mais il faut un équipement capable d'authentification. Cette mesure déplace le contrôle au périmètre ce qui n'est pas mal non plus. Jusqu'à maintenant j'ai eu de très bonnes expérience avec ce procédé. Christian ALT Telecom and Logistics Associates Network Security Company Security Lead Auditor for ISO 27001 http://www.tla.ch Agenda Romand de la formation IT et Securité http://www.tla.ch/agenda.htm -----Original Message----- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Daniel Cordey Sent: jeudi, 14. décembre 2006 13:57 To: Groupe romand des Utilisateurs de Linux et Logiciels Libres (Liste technique) Subject: Re: [gull] Attaque SSH On Thursday 14 December 2006 12:59, Anne Possoz wrote: > Je suis toujours surprise de ne pas voir mentionne la solution > que permet (x)inetd et ses fichiers hosts.allow / hosts.deny . J'avais fait commence par mettre les adresses IP dans hosts.deny, mais je m'etais rapidement rendu compte que ces adresses ne se repeteaient pas. Ce qui fait qu'il etait inutile de scanner les logs une fois par jour. En fait un site qui fait des tentatives en fait un certain nombre. L'objectif avec des outils comme denyhost (ou autres) est de determiner tres rapidement que l'on a 3 tentatives infrustueuses de la part d'un site et de l'empecher d'en faire d'autres dans les minutes qui suivent. > La redirection du port ssh me semble terme assez nave et d'ailleurs > pas toujours utilisable (par exemple, si en amont on a des protections > qui ne laissent passer que quelques ports, dont le 22). C'est vrai lorsque tu est derriere en FW que tu ne controles pas. Par contre, quand meme utile dans certains cas. Je pense que l'on devrait bientot voir des tentatives sur sshd, dont les ports d'ecoutes ont ete scannes. Bien sur, cela pose probleme car on risque d'etre detecte en effectuant le scan, mais si j'etais craker, c'est ce que je ferais (--paranoid !), donc il n'y a pas de raisons que ces types n'y pensent pas non plus. Quand on voit la sofistication des bot-nets, il ne vaut mieux pas speculer sur la stupidite de ces gens. Un jour ou l'autre ca arrivera. dc _______________________________________________ gull mailing list [email protected] http://lists.alphanet.ch/mailman/listinfo/gull _______________________________________________ gull mailing list [email protected] http://lists.alphanet.ch/mailman/listinfo/gull
