Pare-feu : ouverture de ports à reception d'un mail

Le
Patrice OLIVER
Bonjour,

Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les
attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise
a été attaqué 302 fois cette nuit
Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de
messagerie reçoit un mail.
Avez-vous déjà mis cela en oeuvre ?

Merci.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
steve
Le #12880901
Le 2008-07-09, à 09:15:20 +0200, Patrice OLIVER () a écrit :

Lignes : 20

Bonjour,



Salut Patrice,

Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les
attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise
a été attaqué 302 fois cette nuit ...
Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de
messagerie reçoit un mail.
Avez-vous déjà mis cela en oeuvre ?



Non mais as-tu essayé fail2ban ? Il ferme les ports attaqués pendant un
certain temps, ça calme les robots en général. Les attaques ssh ont
drastiquement diminué depuis que je l'utilise.

Merci.



Bonne journée

--
Steve

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Jeremy Garrouste
Le #12880891
------=_Part_30014_27323377.1215588369465
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

On Wed, Jul 9, 2008 at 9:15 AM, Patrice OLIVER
Bonjour,

Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les
attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise
a été attaqué 302 fois cette nuit ...
Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de
messagerie reçoit un mail.
Avez-vous déjà mis cela en oeuvre ?

Merci.





Bonjour,

Ce que tu cherches a faire s'appelle du "portknoking".
http://www.giac.org/certified_professionals/practicals/gsec/4122.php

A bientot

--
Jeremy GARROUSTE

------=_Part_30014_27323377.1215588369465
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

On Wed, Jul 9, 2008 at 9:15 AM, Patrice OLIVER &lt; Bonjour,<br>
<br>
Utilisant Denyhost depuis décembre, j&#39;observe que ces temps-ci les<br >
attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise<br>
a été attaqué 302 fois cette nuit ...<br>
Je souhaite donc fermer le port SSH, et l&#39;ouvrir quand mon relais de<br >
messagerie reçoit un mail.<br>
Avez-vous déjà mis cela en oeuvre ?<br>
<br>
Merci.<br>
<br>
Ce que tu cherches a faire s&#39;appelle du &quot;portknoking&quot;.
<br>A bientot<br clear="all"><br>-- <br>Jeremy GARROUSTE

------=_Part_30014_27323377.1215588369465--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Romaric Defaux
Le #12881191
Bonjour,


Je ne réponds pas directement à ta question, mais il existe des outils
pour contrer le brute-force (Si c'est bien d'attaques de brute-force
dont tu parles). Perso, j'utilise fail2ban, ce qui permet de bloquer les
attaques de brute-force sur pas mal de services (SSH, SMTP, IMAP, POP, ...)


Romaric

Patrice OLIVER a écrit :
Bonjour,

Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les
attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise
a été attaqué 302 fois cette nuit ...
Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de
messagerie reçoit un mail.
Avez-vous déjà mis cela en oeuvre ?

Merci.






--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Franck Joncourt
Le #12881741
Romaric Defaux a écrit :
Bonjour,



Bonjour,

Je ne réponds pas directement à ta question, mais il existe des outils
pour contrer le brute-force (Si c'est bien d'attaques de brute-force
dont tu parles). Perso, j'utilise fail2ban, ce qui permet de bloquer les
attaques de brute-force sur pas mal de services (SSH, SMTP, IMAP, POP, ...)



Utilises le couple fwsnort, psad et fwknop.

L'auteur explique mieux que moi comment cela fonctionne donc voici un lien :

http://cipherdyne.org/

Si tu as des questions je reste quand même à disposition. Psad vient
d'être mis à jour dans les dépôts Debian et pour ce qui est de fwknop et
fwsnort, je viens de finir l'empaquetage ; ils devraient arriver d'ici
peu dans les dépôts. Si tu veux les essayer, je peux te fournir les
paquets Debian.

Bonne journée,

--
Franck Joncourt
http://debian.org - http://smhteam.info/wiki/
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Edi Stojicevic
Le #12882071
* Jeremy Garrouste
On Wed, Jul 9, 2008 at 9:15 AM, Patrice OLIVER
> Bonjour,
>
> Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les
> attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise
> a été attaqué 302 fois cette nuit ...
> Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de
> messagerie reçoit un mail.
> Avez-vous déjà mis cela en oeuvre ?
>
> Merci.
>
>

Bonjour,

Ce que tu cherches a faire s'appelle du "portknoking".
http://www.giac.org/certified_professionals/practicals/gsec/4122.php

A bientot



Il existe le package knockd qui est relativement simple a mettre en
place et qui permet apes une sequence donnee de connexions sur
differents ports d'ouvrir le port ssh pour X minutes.

@+

--
. ''`. (___/) E d i S T O J I C E V I C
: :' : (='.'=) http://www.debianworld.org
`. `~' (")_(") GPG: 0x1237B032
`-

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
steve
Le #12882401
Le 2008-07-09, à 10:30:58 +0200, Patrice OLIVER () a écrit :

Lignes : 42

Merci à tous pour vos réponses.
Je n'utilise pas fail2ban car j'utilise SSH avec 2 sociétés pour ma maintenance.
Si SSH est fermé, ils ne peuvent pas intervenir ...



Le port SSH n'est pas fermé par fail2ban, il l'est seulement après
plusieurs tentatives sur ce port (et rouvert quelques minutes plus tard). Tout cela est bien sûr configurable à
souhait.

Je vais regarder du côté du portknoking.



Moi auss, par curiosité.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Patrice OLIVER
Le #12882391
Merci à tous pour vos réponses.
Je n'utilise pas fail2ban car j'utilise SSH avec 2 sociétés pour ma mai ntenance.
Si SSH est fermé, ils ne peuvent pas intervenir ...

Je vais regarder du côté du portknoking.

2008/7/9 Jeremy Garrouste
On Wed, Jul 9, 2008 at 9:15 AM, Patrice OLIVER

Bonjour,

Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les
attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise
a été attaqué 302 fois cette nuit ...
Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de
messagerie reçoit un mail.
Avez-vous déjà mis cela en oeuvre ?

Merci.




Bonjour,

Ce que tu cherches a faire s'appelle du "portknoking".
http://www.giac.org/certified_professionals/practicals/gsec/4122.php

A bientot

--
Jeremy GARROUSTE



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Nicolas KOWALSKI
Le #12882731
On Wed, Jul 09, 2008 at 10:30:58AM +0200, Patrice OLIVER wrote:
Je n'utilise pas fail2ban car j'utilise SSH avec 2 sociétés pour ma maintenance.
Si SSH est fermé, ils ne peuvent pas intervenir ...



fail2ban interdit les connexions provenant d'une machine distante
uniquement si cette dernière fait plusieurs tentatives de connexion
*infructueuses* en un certain laps de temps. Au bout de quelques minutes
(10 par défaut je crois), les connexions provenant de cette
machine seront de nouveau autorisées.

En d'autres termes, si les deux sociétés de maintenance ne font pas
bêtises à la connexion (login/pass corrects), elles ne seront jamais
bloquées, y compris si au même moment il y a une attaque provenant de
quelqu'un d'autre.

--
Nicolas

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Thibaut LE LEVIER
Le #12884061
Patrice OLIVER wrote:
Bonjour,

Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les
attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise
a été attaqué 302 fois cette nuit ...
Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de
messagerie reçoit un mail.
Avez-vous déjà mis cela en oeuvre ?

Merci.



Pourquoi ne pas mettre en place un couple de clé SSH?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Patrice OLIVER
Le #12884051
Je ne penses pas que cela empêchera les attaques / scans de ports.

Le 9 juillet 2008 11:54, Thibaut LE LEVIER
Patrice OLIVER wrote:

Bonjour,

Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les
attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise
a été attaqué 302 fois cette nuit ...
Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de
messagerie reçoit un mail.
Avez-vous déjà mis cela en oeuvre ?

Merci.




Pourquoi ne pas mettre en place un couple de clé SSH?




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme