(fbsd62)OpenSSH et blacklistage automatique

Le
gwenhael
Bonjour,
J'ai un serveur qui tourne sous FreeBSD 6.2.
Depuis quelques jours j'ai une grande quantité de tentatives de connections sur tous les logins possibles et imaginables, venant en général du même domaine ( un par jour environ).
Je souhaiterais savoir comment faire une blacklist qui serait alimentée automatiquement lors de la troisième tentative de connection avec un login non autorisé.
Quelles sont les solutions pour mettre en oeuvre cette solution?
Merci d'avance


--= Posted using GrabIt =-
= Binary Usenet downloading made easy =
-= Get GrabIt for free from http://www.shemes.com/ =-
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Eric Masson
Le #887838
"gwenhael"
'Lut,

Je souhaiterais savoir comment faire une blacklist qui serait
alimentée automatiquement lors de la troisième tentative de connection
avec un login non autorisé.


http://www.google.com/search?q=ssh+automated+blacklisting
donne un éventail de solutions, certaines sont portées sous Free comme
pam_abl : /usr/ports/security/pam_abl

Ce serait sympa d'utiliser un vrai newsreader, grabit ne sait pas gérer
les fils de discussion...

--
JMM> (padfonetik) sauf erreur de ma part, nous ne sommes pas sur IRC
j'ai ma fiancée qui veut que j'évite d'écrire sur l'ordi alors je le
fais en cachette ou en tous cas le plus rapidement possible
-+- JC in www.le-gnu.net : Trop au lit pour être au net -+-

Stephane Dupille
Le #887837
Bonjour,


Hello,

J'ai un serveur qui tourne sous FreeBSD 6.2.
Depuis quelques jours j'ai une grande quantité de tentatives de
connections sur tous les logins possibles et imaginables, venant en
général du même domaine ( un par jour environ).


Oui, c'est assez courant.

Je souhaiterais savoir comment faire une blacklist qui serait
alimentée automatiquement lors de la troisième tentative de
connection avec un login non autorisé.


Faites attention avec ce genre de choses : si quelqu'un spoofe votre
adresse IP, il peut vous blacklister et vous couper votre accès SSH.

Merci d'avance


De rien.

Paul Gaborit
Le #887836
À (at) Fri, 27 Apr 2007 12:29:36 +0200,
Stephane Dupille
Je souhaiterais savoir comment faire une blacklist qui serait
alimentée automatiquement lors de la troisième tentative de
connection avec un login non autorisé.


Faites attention avec ce genre de choses : si quelqu'un spoofe votre
adresse IP, il peut vous blacklister et vous couper votre accès SSH.


En général, les (bonnes) solutions prévoient une whiteliste d'adresses
IP pour éviter ce problème.

--
Paul Gaborit -

gwenhael
Le #887835
In article says...

À (at) Fri, 27 Apr 2007 12:29:36 +0200,
Stephane Dupille
Je souhaiterais savoir comment faire une blacklist qui serait
alimentée automatiquement lors de la troisième tentative de
connection avec un login non autorisé.


Faites attention avec ce genre de choses : si quelqu'un spoofe votre
adresse IP, il peut vous blacklister et vous couper votre accès SSH.


En général, les (bonnes) solutions prévoient une whiteliste d'adres ses
IP pour éviter ce problème.


Oui en effet j'avais bien pensé au principe de la whitelist mais bon en

premier je pense qu'il faut arriver à faire une blacklist :)
je vais éplucher encore une fois google même si il faut bien avouer que
j'ai eu du mal à comprendre certaines choses, d'ou le poste pour tenter
de comprendre.
Merci
Gwenhaël



Pierre
Le #887834
On 27 avr, 15:07, gwenhael
In article says...

À (at) Fri, 27 Apr 2007 12:29:36 +0200,
Stephane Dupille
Je souhaiterais savoir comment faire une blacklist qui serait
alimentée automatiquement lors de la troisième tentative de
connection avec un login non autorisé.


Faites attention avec ce genre de choses : si quelqu'un spoofe votre
adresse IP, il peut vous blacklister et vous couper votre accès SSH.


En général, les (bonnes) solutions prévoient une whiteliste d'adr esses
IP pour éviter ce problème.


Oui en effet j'avais bien pensé au principe de la whitelist mais bon en
premier je pense qu'il faut arriver à faire une blacklist :)
je vais éplucher encore une fois google même si il faut bien avouer q ue
j'ai eu du mal à comprendre certaines choses, d'ou le poste pour tenter
de comprendre.
Merci
Gwenhaël


Bonjour,

Mon parefeu est sous OpenBSD (3.9) et j'utilise cette règle:

pass in quick log on $ext_if inet proto tcp from any to ($ext_if) port
ssh flags S/SA keep state (max-src-conn-rate 5/60, overload <flood>
flush global) queue (ssh,ack)

En clair: au bout de 5 tentatives de connexion infructueuses en 60
secondes, toutes les sessions de cette ip sont effacées et l'ip est
mise dans la table flood. Ensuite a toi de voir de ce que tu fais de
ces ip.
Ex chez moi: block drop in quick on $ext_if from <flood> to any

Ensuite tu peux effacer automatiquement ces entrees avec le logiciel
expiretable (a noter que sous OBSD 4.1, pfctl sait le faire
directement).
Bien evidemment cela ne marche que si tu utilises PF. Cette solution
ne
detecte pas non plus les logins corrects/incorrects mais je peux
t'assurer que ca degage bcp de monde. En esperant t'avoir aide..




Paul Gaborit
Le #887833
À (at) Fri, 27 Apr 2007 15:07:27 +0200,
gwenhael
In article says...

À (at) Fri, 27 Apr 2007 12:29:36 +0200,
Stephane Dupille
Je souhaiterais savoir comment faire une blacklist qui serait
alimentée automatiquement lors de la troisième tentative de
connection avec un login non autorisé.


Faites attention avec ce genre de choses : si quelqu'un spoofe votre
adresse IP, il peut vous blacklister et vous couper votre accès SSH.


En général, les (bonnes) solutions prévoient une whiteliste d'adre sses
IP pour éviter ce problème.


Oui en effet j'avais bien pensé au principe de la whitelist mais bon en

premier je pense qu'il faut arriver à faire une blacklist :)


Ce que je voulais dire, c'est que les deux vont ensemble.
Effectivement, si on connait la liste définitive des adresses IP
autorisées, la whitelist peut suffire. Mais si on doit accepter les
connexions depuis des adresses IP dynamiques, ça ne marche plus et on
doit alors utiliser les mécanismes de blacklist. Mais dans ce cas,
pour éviter le problème de spoofing qui permettrait à un pirate de
vous bloquer votre accès légitime, on la combine avec une whitelist
d'adresses IP toujours autorisées et/ou de logins toujours autorisés.

Le port pam_abl propose la gestion automagique de la blacklist et
permet en sus une whitelist de logins (dans le fichier d'exemple,
'root' est en whitelist) mais je n'ai pas vu comment faire une
whitelist d'adresses IP. Mais j'ai rapidement survolé la doc...

--
Paul Gaborit -



hugo
Le #887830
Stephane Dupille
Bonjour,


Hello,

J'ai un serveur qui tourne sous FreeBSD 6.2.
Depuis quelques jours j'ai une grande quantité de tentatives de
connections sur tous les logins possibles et imaginables, venant en
général du même domaine ( un par jour environ).


Oui, c'est assez courant.

Je souhaiterais savoir comment faire une blacklist qui serait
alimentée automatiquement lors de la troisième tentative de
connection avec un login non autorisé.


Faites attention avec ce genre de choses : si quelqu'un spoofe votre
adresse IP, il peut vous blacklister et vous couper votre accès SSH.


Si l'outil fait le bloquage en comptant les erreurs de login dans le
syslog, le spoofing d'IP n'est pas trivial puisque SSH utilise une
connection TCP et qu'un login est après la négociation d'encryption.

Ce ne sont pas des choses que l'on fait à l'aveugle.

Il faut plutôt faire attention aux utilisateurs plein de pouce qui se
bloqueraient eux-même.


gwenhael
Le #887653
Hugo Villeneuve wrote:

220 0 Path:
news.free.fr!spooler1c-2.proxad.net!cleanfeed1-a.proxad.net!proxad.net!ecngs!feeder.ecngs.de!newsfeed.freenet.de!bolzen.all.de!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail
From: (Hugo Villeneuve)
Newsgroups: fr.comp.os.bsd
Subject: Re: (fbsd62)OpenSSH et blacklistage automatique
Date: Sat, 28 Apr 2007 03:01:39 -0400
Lines: 31
Message-ID: References: Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
X-Trace: individual.net Das3RSVTwYg/qoeDL/g4VQ6z7NGWtdWUsRYzYJZ/hbF8OvkRCD
X-Orig-Path: hugo
User-Agent: MacSOUP/2.7 (Mac OS X version 10.4.9)
X-Antivirus: avast! (VPS 000738-0, 03/05/2007), Inbound message
X-Antivirus-Status: Clean


Stephane Dupille
Bonjour,


Hello,

J'ai un serveur qui tourne sous FreeBSD 6.2.
Depuis quelques jours j'ai une grande quantité de tentatives de
connections sur tous les logins possibles et imaginables, venant en
général du même domaine ( un par jour environ).


Oui, c'est assez courant.

Je souhaiterais savoir comment faire une blacklist qui serait
alimentée automatiquement lors de la troisième tentative de
connection avec un login non autorisé.


Faites attention avec ce genre de choses : si quelqu'un spoofe votre
adresse IP, il peut vous blacklister et vous couper votre accès SSH.


Si l'outil fait le bloquage en comptant les erreurs de login dans le
syslog, le spoofing d'IP n'est pas trivial puisque SSH utilise une
connection TCP et qu'un login est après la négociation d'encryption.

Ce ne sont pas des choses que l'on fait à l'aveugle.

Il faut plutôt faire attention aux utilisateurs plein de pouce qui se
bloqueraient eux-même.


Pour le moment le serveur que je souhaiterais protéger ne sert à

personne d'autres qu'à moi donc je risque pas trop d'avoir de problème,
sans parler de la whiteList...
Après faut encore configurer le tout correctement et ça ma foi c'est pas
le plus simple ...
a+
Gwenhaël

--
Arsenic et vieilles ferrailles



Marwan Burelle
Le #887306
In article
gwenhael
Quelles sont les solutions pour mettre en oeuvre cette solution?


# portinstall security/denyhosts


Personnellement j'utilise security/bruteforceblocker (pas encore
essayé denyhosts ... le b est avant le d, et quand ça marche ... ;)


--
Marwan Burelle.


Publicité
Poster une réponse
Anonyme