Avec un blacklistage d'1 heure pour chaque IP ayant 3 echecs, bon
courage deja rien que pour trouver le username.
Sauf que si le botnet dispose de suffisament d'ip, le blacklistage ne
sert à rien.
Un blacklistage de quelques minutes valable pour toutes les ip serait
peut-être une solution (avec si besoin des plages spécifiques en
white-list).
Avec un blacklistage d'1 heure pour chaque IP ayant 3 echecs, bon
courage deja rien que pour trouver le username.
Sauf que si le botnet dispose de suffisament d'ip, le blacklistage ne
sert à rien.
Un blacklistage de quelques minutes valable pour toutes les ip serait
peut-être une solution (avec si besoin des plages spécifiques en
white-list).
Avec un blacklistage d'1 heure pour chaque IP ayant 3 echecs, bon
courage deja rien que pour trouver le username.
Sauf que si le botnet dispose de suffisament d'ip, le blacklistage ne
sert à rien.
Un blacklistage de quelques minutes valable pour toutes les ip serait
peut-être une solution (avec si besoin des plages spécifiques en
white-list).
Jean-Marc Desperrier n'était pas loin de dire :Avec un blacklistage d'1 heure pour chaque IP ayant 3 echecs, bon
courage deja rien que pour trouver le username.
Sauf que si le botnet dispose de suffisament d'ip, le blacklistage ne
sert à rien.
D'après les logs que l'on peut trouver sur le net en recherchant
certaines des IP indiquées, non seulement il dispose d'un bon parc
d'adresses IP, mais en plus il ne va pas jusqu'au trois tentatives.Un blacklistage de quelques minutes valable pour toutes les ip serait
peut-être une solution (avec si besoin des plages spécifiques en
white-list).
Dans l'un de mes messages précédent j'ai pointé un fichier
denyssh.host qui contient entre autres un bon nombre[1] des adresses IP
de ce botnet. Bloquer toutes ces adresses au moins pour deux ou trois
jours serait encore plus efficace.
[1]
Je ne suis pas non plus allé les comparer une à une hein.
Jean-Marc Desperrier n'était pas loin de dire :
Avec un blacklistage d'1 heure pour chaque IP ayant 3 echecs, bon
courage deja rien que pour trouver le username.
Sauf que si le botnet dispose de suffisament d'ip, le blacklistage ne
sert à rien.
D'après les logs que l'on peut trouver sur le net en recherchant
certaines des IP indiquées, non seulement il dispose d'un bon parc
d'adresses IP, mais en plus il ne va pas jusqu'au trois tentatives.
Un blacklistage de quelques minutes valable pour toutes les ip serait
peut-être une solution (avec si besoin des plages spécifiques en
white-list).
Dans l'un de mes messages précédent j'ai pointé un fichier
denyssh.host qui contient entre autres un bon nombre[1] des adresses IP
de ce botnet. Bloquer toutes ces adresses au moins pour deux ou trois
jours serait encore plus efficace.
[1]
Je ne suis pas non plus allé les comparer une à une hein.
Jean-Marc Desperrier n'était pas loin de dire :Avec un blacklistage d'1 heure pour chaque IP ayant 3 echecs, bon
courage deja rien que pour trouver le username.
Sauf que si le botnet dispose de suffisament d'ip, le blacklistage ne
sert à rien.
D'après les logs que l'on peut trouver sur le net en recherchant
certaines des IP indiquées, non seulement il dispose d'un bon parc
d'adresses IP, mais en plus il ne va pas jusqu'au trois tentatives.Un blacklistage de quelques minutes valable pour toutes les ip serait
peut-être une solution (avec si besoin des plages spécifiques en
white-list).
Dans l'un de mes messages précédent j'ai pointé un fichier
denyssh.host qui contient entre autres un bon nombre[1] des adresses IP
de ce botnet. Bloquer toutes ces adresses au moins pour deux ou trois
jours serait encore plus efficace.
[1]
Je ne suis pas non plus allé les comparer une à une hein.
Bonjour à tous
Je me permets de m'immiscer dans votre discussion car je me demandais s'il
était possible de s'abonner (au niveau du serveur ssh) à des listes d'ip
blacklistées un peu comme dans postfix avec les rbl spamcop ou mail-abuse
Les hosts.deny me semblent un peu figés face à la volatilité des IP.
Bonjour à tous
Je me permets de m'immiscer dans votre discussion car je me demandais s'il
était possible de s'abonner (au niveau du serveur ssh) à des listes d'ip
blacklistées un peu comme dans postfix avec les rbl spamcop ou mail-abuse
Les hosts.deny me semblent un peu figés face à la volatilité des IP.
Bonjour à tous
Je me permets de m'immiscer dans votre discussion car je me demandais s'il
était possible de s'abonner (au niveau du serveur ssh) à des listes d'ip
blacklistées un peu comme dans postfix avec les rbl spamcop ou mail-abuse
Les hosts.deny me semblent un peu figés face à la volatilité des IP.
Un blacklistage de quelques minutes valable pour toutes les ip serait
peut-être une solution (avec si besoin des plages spécifiques en
white-list).
Un blacklistage de quelques minutes valable pour toutes les ip serait
peut-être une solution (avec si besoin des plages spécifiques en
white-list).
Un blacklistage de quelques minutes valable pour toutes les ip serait
peut-être une solution (avec si besoin des plages spécifiques en
white-list).
Une autre méthode efficace serait peut-être d'utiliser 2 ports :
- On drop tout par défaut.
- L'utilisateur légitime se connecte à un port secret, qui est lui aussi
droppé
- Mais cela a ouvert pour son ip une fenêtre de 30 secondes où il peut
se connecter sans drop au port légitime et envoyer ses identifiants
Une autre méthode efficace serait peut-être d'utiliser 2 ports :
- On drop tout par défaut.
- L'utilisateur légitime se connecte à un port secret, qui est lui aussi
droppé
- Mais cela a ouvert pour son ip une fenêtre de 30 secondes où il peut
se connecter sans drop au port légitime et envoyer ses identifiants
Une autre méthode efficace serait peut-être d'utiliser 2 ports :
- On drop tout par défaut.
- L'utilisateur légitime se connecte à un port secret, qui est lui aussi
droppé
- Mais cela a ouvert pour son ip une fenêtre de 30 secondes où il peut
se connecter sans drop au port légitime et envoyer ses identifiants
Les hosts.deny me semblent un peu figés face à la volatilité des IP.
http://denyhosts.sourceforge.net/ ?
Ps : merci de répondre en dessous du message original.
Les hosts.deny me semblent un peu figés face à la volatilité des IP.
http://denyhosts.sourceforge.net/ ?
Ps : merci de répondre en dessous du message original.
Les hosts.deny me semblent un peu figés face à la volatilité des IP.
http://denyhosts.sourceforge.net/ ?
Ps : merci de répondre en dessous du message original.
Jean-Marc Desperrier wrote:
Une autre méthode efficace serait peut-être d'utiliser 2 ports :
- On drop tout par défaut.
- L'utilisateur légitime se connecte à un port secret, qui est lui aussi
droppé
- Mais cela a ouvert pour son ip une fenêtre de 30 secondes où il peut
se connecter sans drop au port légitime et envoyer ses identifiants
- si l'ip se connecte à un autre port que le bon pendant les 30
secondes, cela ferme la fenêtre
- il faut voir les numéros des deux ports juste comme un pré-filtrage
qui évite d'encombrer les log et le CPU en gérant trop de tentatives de
connexions rejetées.
Jean-Marc Desperrier wrote:
Une autre méthode efficace serait peut-être d'utiliser 2 ports :
- On drop tout par défaut.
- L'utilisateur légitime se connecte à un port secret, qui est lui aussi
droppé
- Mais cela a ouvert pour son ip une fenêtre de 30 secondes où il peut
se connecter sans drop au port légitime et envoyer ses identifiants
- si l'ip se connecte à un autre port que le bon pendant les 30
secondes, cela ferme la fenêtre
- il faut voir les numéros des deux ports juste comme un pré-filtrage
qui évite d'encombrer les log et le CPU en gérant trop de tentatives de
connexions rejetées.
Jean-Marc Desperrier wrote:
Une autre méthode efficace serait peut-être d'utiliser 2 ports :
- On drop tout par défaut.
- L'utilisateur légitime se connecte à un port secret, qui est lui aussi
droppé
- Mais cela a ouvert pour son ip une fenêtre de 30 secondes où il peut
se connecter sans drop au port légitime et envoyer ses identifiants
- si l'ip se connecte à un autre port que le bon pendant les 30
secondes, cela ferme la fenêtre
- il faut voir les numéros des deux ports juste comme un pré-filtrage
qui évite d'encombrer les log et le CPU en gérant trop de tentatives de
connexions rejetées.
Jean-Marc Desperrier n'était pas loin de dire :Une autre méthode efficace serait peut-être d'utiliser 2 ports : - On
drop tout par défaut.
- L'utilisateur légitime se connecte à un port secret, qui est lui
aussi droppé
- Mais cela a ouvert pour son ip une fenêtre de 30 secondes où il peut
se connecter sans drop au port légitime et envoyer ses identifiants
Pourquoi se compliquer la vie ? Prenons les faits, seul un pirate
voulant absolument rentrer sur la machine fera un scan de port
systématique avec analyse du service qui répond, or une telle personne
finirait de toute façon par comprendre ton mécanisme d'ouverture de
fenêtre.
Du coup, autant demander directement à SSH d'écouter sur cet autre
port (2222 par exemple) et le problème est réglé. Si c'est un bot il
croira qu'il n'y a pas de service SSH disponible, et si c'est un vrai
pirate bah ça ne changera de toute façon pas grand chose aux données du
problème. Par contre ça limitera les risques d'effets de bord négatif.
Jean-Marc Desperrier n'était pas loin de dire :
Une autre méthode efficace serait peut-être d'utiliser 2 ports : - On
drop tout par défaut.
- L'utilisateur légitime se connecte à un port secret, qui est lui
aussi droppé
- Mais cela a ouvert pour son ip une fenêtre de 30 secondes où il peut
se connecter sans drop au port légitime et envoyer ses identifiants
Pourquoi se compliquer la vie ? Prenons les faits, seul un pirate
voulant absolument rentrer sur la machine fera un scan de port
systématique avec analyse du service qui répond, or une telle personne
finirait de toute façon par comprendre ton mécanisme d'ouverture de
fenêtre.
Du coup, autant demander directement à SSH d'écouter sur cet autre
port (2222 par exemple) et le problème est réglé. Si c'est un bot il
croira qu'il n'y a pas de service SSH disponible, et si c'est un vrai
pirate bah ça ne changera de toute façon pas grand chose aux données du
problème. Par contre ça limitera les risques d'effets de bord négatif.
Jean-Marc Desperrier n'était pas loin de dire :Une autre méthode efficace serait peut-être d'utiliser 2 ports : - On
drop tout par défaut.
- L'utilisateur légitime se connecte à un port secret, qui est lui
aussi droppé
- Mais cela a ouvert pour son ip une fenêtre de 30 secondes où il peut
se connecter sans drop au port légitime et envoyer ses identifiants
Pourquoi se compliquer la vie ? Prenons les faits, seul un pirate
voulant absolument rentrer sur la machine fera un scan de port
systématique avec analyse du service qui répond, or une telle personne
finirait de toute façon par comprendre ton mécanisme d'ouverture de
fenêtre.
Du coup, autant demander directement à SSH d'écouter sur cet autre
port (2222 par exemple) et le problème est réglé. Si c'est un bot il
croira qu'il n'y a pas de service SSH disponible, et si c'est un vrai
pirate bah ça ne changera de toute façon pas grand chose aux données du
problème. Par contre ça limitera les risques d'effets de bord négatif.
Jean-Marc Desperrier n'était pas loin de dire :Une autre méthode efficace serait peut-être d'utiliser 2 ports : - On
drop tout par défaut.
- L'utilisateur légitime se connecte à un port secret, qui est lui
aussi droppé
- Mais cela a ouvert pour son ip une fenêtre de 30 secondes où il peut
se connecter sans drop au port légitime et envoyer ses identifiants
Pourquoi se compliquer la vie ? Prenons les faits, seul un pirate
voulant absolument rentrer sur la machine fera un scan de port
systématique avec analyse du service qui répond, or une telle personne
finirait de toute façon par comprendre ton mécanisme d'ouverture de
fenêtre.
Du coup, autant demander directement à SSH d'écouter sur cet autre
port (2222 par exemple) et le problème est réglé. Si c'est un bot il
croira qu'il n'y a pas de service SSH disponible, et si c'est un vrai
pirate bah ça ne changera de toute façon pas grand chose aux données du
problème. Par contre ça limitera les risques d'effets de bord négatif.
Jean-Marc Desperrier n'était pas loin de dire :
Une autre méthode efficace serait peut-être d'utiliser 2 ports : - On
drop tout par défaut.
- L'utilisateur légitime se connecte à un port secret, qui est lui
aussi droppé
- Mais cela a ouvert pour son ip une fenêtre de 30 secondes où il peut
se connecter sans drop au port légitime et envoyer ses identifiants
Pourquoi se compliquer la vie ? Prenons les faits, seul un pirate
voulant absolument rentrer sur la machine fera un scan de port
systématique avec analyse du service qui répond, or une telle personne
finirait de toute façon par comprendre ton mécanisme d'ouverture de
fenêtre.
Du coup, autant demander directement à SSH d'écouter sur cet autre
port (2222 par exemple) et le problème est réglé. Si c'est un bot il
croira qu'il n'y a pas de service SSH disponible, et si c'est un vrai
pirate bah ça ne changera de toute façon pas grand chose aux données du
problème. Par contre ça limitera les risques d'effets de bord négatif.
Jean-Marc Desperrier n'était pas loin de dire :Une autre méthode efficace serait peut-être d'utiliser 2 ports : - On
drop tout par défaut.
- L'utilisateur légitime se connecte à un port secret, qui est lui
aussi droppé
- Mais cela a ouvert pour son ip une fenêtre de 30 secondes où il peut
se connecter sans drop au port légitime et envoyer ses identifiants
Pourquoi se compliquer la vie ? Prenons les faits, seul un pirate
voulant absolument rentrer sur la machine fera un scan de port
systématique avec analyse du service qui répond, or une telle personne
finirait de toute façon par comprendre ton mécanisme d'ouverture de
fenêtre.
Du coup, autant demander directement à SSH d'écouter sur cet autre
port (2222 par exemple) et le problème est réglé. Si c'est un bot il
croira qu'il n'y a pas de service SSH disponible, et si c'est un vrai
pirate bah ça ne changera de toute façon pas grand chose aux données du
problème. Par contre ça limitera les risques d'effets de bord négatif.
EPiKoiEncore a écrit :Visiblement l'attaquant se cache derrière des IP forgées.
Forgées ou IP de proxy ouverts ? Je n'ai jamais vu de ma vie une seule
attaque avec une "IP forgée" (l'IP spoofing est plus du domaine de la
légende urbaine que de la réalité, mis à part quelques curiosités
d'attaques par UDP ou ICMP)
EPiKoiEncore a écrit :
Visiblement l'attaquant se cache derrière des IP forgées.
Forgées ou IP de proxy ouverts ? Je n'ai jamais vu de ma vie une seule
attaque avec une "IP forgée" (l'IP spoofing est plus du domaine de la
légende urbaine que de la réalité, mis à part quelques curiosités
d'attaques par UDP ou ICMP)
EPiKoiEncore a écrit :Visiblement l'attaquant se cache derrière des IP forgées.
Forgées ou IP de proxy ouverts ? Je n'ai jamais vu de ma vie une seule
attaque avec une "IP forgée" (l'IP spoofing est plus du domaine de la
légende urbaine que de la réalité, mis à part quelques curiosités
d'attaques par UDP ou ICMP)