Mon PC perso est un serveur SSH: c'est parfois pratique
pour récupérer un fichier au lycée, travailler en ayant
tous mes fichiers sous la main, ou bien pour échanger
(discrètement) des fichiers avec des amis. Mon PC est
accessible seulement si on connaît l'IP. Je suis régulièrement
"attaqué" par des tentatives de login avec des login du genre
webadmin, test, root, nouser etc...
Je pense, bien sur, qu'il s' agit de programmes qui lancent une
demande de connexion SSH au hasard avec des logins "standards"
et qui quand ils voient que cette IP accepte les connexions
SSH essayent des variantes... Ces attaques ne sont pas
massives donc pas de problèmes pour moi...
Comme je sais que ce forum est fréquenté par quelques
administrateurs systèmes la question est simple: existent
t'ils encore des gens qui utilisent webadmin, nouser etc...
comme login? Il me semble que robert comme login est
plus sur que webadmin si robert est l'administrateur web
non? Avec un password (c'est l'étape suivante...) idiot
(0000, 1234 etc...) ou bien ces robots ne font que parasiter
la bande passante?
Autre question: si j'essaye ssh logininexistant@chezmoi on me
demande un mot de passe. Le couple (login/password) est transmis
en une seul fois? Sinon l'ordinateur chezmoi devrait répondre
logininexistant dégage tu n'existes pas il me semble... (idem avec
root: connexion impossible mais on me demande un mot de passe).
Sur ce point un mauvaise configuration de mon PC n'est pas
exclue...
Le 11-12-2009, ? propos de Re: Attaque débile sur le port 22?, Patrice Karatchentzeff ?crivait dans fr.comp.os.linux.debats :
JKB a écrit :
Le 11-12-2009, ? propos de Re: Attaque débile sur le port 22?, Patrice Karatchentzeff ?crivait dans fr.comp.os.linux.debats :
[...]
Tu ne peux pas tunneler ton ssh dans le port 80 ?
Non. Le firewall analyse le contenu des trames. Dès que c'est autre chose que du http, ta connexion coupe.
Sur tous les protocoles ? Généralement, les DNS ne sont pas protégés...
En fait, la résolution DNS se fait à l'extrémité du VPN, mais avant le proxy. J'aimerais d'ailleurs savoir ce qui tourne sur ce proxy pour analyser le contenu des requêtes, parce que ça doit être assez consommateur de ressources (le proxy se présente comme une ouïndowzerie).
Bon, ce n'est pas rapide non plus ;-)
On est bien d'accord.
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
Le 11-12-2009, ? propos de
Re: Attaque débile sur le port 22?,
Patrice Karatchentzeff ?crivait dans fr.comp.os.linux.debats :
JKB <knatschke@koenigsberg.fr> a écrit :
Le 11-12-2009, ? propos de Re: Attaque débile sur le port 22?,
Patrice Karatchentzeff ?crivait dans fr.comp.os.linux.debats :
[...]
Tu ne peux pas tunneler ton ssh dans le port 80 ?
Non. Le firewall analyse le contenu des trames. Dès que c'est
autre chose que du http, ta connexion coupe.
Sur tous les protocoles ? Généralement, les DNS ne sont pas
protégés...
En fait, la résolution DNS se fait à l'extrémité du VPN, mais avant
le proxy. J'aimerais d'ailleurs savoir ce qui tourne sur ce proxy
pour analyser le contenu des requêtes, parce que ça doit être assez
consommateur de ressources (le proxy se présente comme une
ouïndowzerie).
Bon, ce n'est pas rapide non plus ;-)
On est bien d'accord.
JKB
--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
Le 11-12-2009, ? propos de Re: Attaque débile sur le port 22?, Patrice Karatchentzeff ?crivait dans fr.comp.os.linux.debats :
JKB a écrit :
Le 11-12-2009, ? propos de Re: Attaque débile sur le port 22?, Patrice Karatchentzeff ?crivait dans fr.comp.os.linux.debats :
[...]
Tu ne peux pas tunneler ton ssh dans le port 80 ?
Non. Le firewall analyse le contenu des trames. Dès que c'est autre chose que du http, ta connexion coupe.
Sur tous les protocoles ? Généralement, les DNS ne sont pas protégés...
En fait, la résolution DNS se fait à l'extrémité du VPN, mais avant le proxy. J'aimerais d'ailleurs savoir ce qui tourne sur ce proxy pour analyser le contenu des requêtes, parce que ça doit être assez consommateur de ressources (le proxy se présente comme une ouïndowzerie).
Bon, ce n'est pas rapide non plus ;-)
On est bien d'accord.
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
Stephane TOUGARD
JKB wrote:
Continue. La boîte en question possède des bureaux sur l'ensemble de la France. Les seuls postes capables de se connecter au réseau sont des postes dûment authentifiés par la maison mère qui sous-traite cette infrastructure à Cap Gemini (pour ne pas la nommer). Tous les bureaux sont reliés à Cap Gemini par des VPN et le seul proxy analyste/firewall est chez Cap Gemini. Tous les postes ont accès à Internet, mais avec un http filtré (pour que tu ne puisses utiliser que du vrai http et pas un truc qui utilise le port 80), un https du même tonneau et un port 22 ouvert à la demande. _Tout_ le reste est _fermé_ et tu ne peux pas venir avec un poste externe, les postes sont _enregistrés_ sur le réseau. Mes serveurs utilisent entre autre le port 80 pour contourner ce genre de configuration, mais pour prendre la main, il me faut le ssh. J'ai donc parfaitement accès à mes machines depuis ce client, mais sans jamais pouvoir brancher une machine à moi dans leurs bureaux. Et ces configurations sont de plus en plus légion. Toi y en a comprendre ?
Moi y en a comprendre que tu peux pas faire du VPN avec ce genre de network (donc je sais pas pourquoi tu parles de VPN).
JKB wrote:
Continue. La boîte en question possède des bureaux sur l'ensemble de
la France. Les seuls postes capables de se connecter au réseau sont
des postes dûment authentifiés par la maison mère qui sous-traite
cette infrastructure à Cap Gemini (pour ne pas la nommer). Tous les
bureaux sont reliés à Cap Gemini par des VPN et le seul
proxy analyste/firewall est chez Cap Gemini. Tous les postes ont
accès à Internet, mais avec un http filtré (pour que tu ne puisses
utiliser que du vrai http et pas un truc qui utilise le port 80), un
https du même tonneau et un port 22 ouvert à la demande. _Tout_ le
reste est _fermé_ et tu ne peux pas venir avec un poste externe, les postes
sont _enregistrés_ sur le réseau. Mes serveurs utilisent entre autre
le port 80 pour contourner ce genre de configuration, mais pour
prendre la main, il me faut le ssh. J'ai donc parfaitement accès à
mes machines depuis ce client, mais sans jamais pouvoir brancher une
machine à moi dans leurs bureaux. Et ces configurations sont de plus
en plus légion. Toi y en a comprendre ?
Moi y en a comprendre que tu peux pas faire du VPN avec ce genre de
network (donc je sais pas pourquoi tu parles de VPN).
Continue. La boîte en question possède des bureaux sur l'ensemble de la France. Les seuls postes capables de se connecter au réseau sont des postes dûment authentifiés par la maison mère qui sous-traite cette infrastructure à Cap Gemini (pour ne pas la nommer). Tous les bureaux sont reliés à Cap Gemini par des VPN et le seul proxy analyste/firewall est chez Cap Gemini. Tous les postes ont accès à Internet, mais avec un http filtré (pour que tu ne puisses utiliser que du vrai http et pas un truc qui utilise le port 80), un https du même tonneau et un port 22 ouvert à la demande. _Tout_ le reste est _fermé_ et tu ne peux pas venir avec un poste externe, les postes sont _enregistrés_ sur le réseau. Mes serveurs utilisent entre autre le port 80 pour contourner ce genre de configuration, mais pour prendre la main, il me faut le ssh. J'ai donc parfaitement accès à mes machines depuis ce client, mais sans jamais pouvoir brancher une machine à moi dans leurs bureaux. Et ces configurations sont de plus en plus légion. Toi y en a comprendre ?
Moi y en a comprendre que tu peux pas faire du VPN avec ce genre de network (donc je sais pas pourquoi tu parles de VPN).
Stephane TOUGARD
JKB wrote:
N'essaie pas de justifier mes dires qui sont pour le sieur en question des conneries. ST est un crétin qui essaie de se prouver par tous les moyens qu'il n'est pas aussi médiocre qu'il en a l'air.
C'est parce que je note toutes les conneries que tu peux dire pour te gonfler les chevilles que tu m'insultes de la sorte ?
JKB wrote:
N'essaie pas de justifier mes dires qui sont pour le sieur en
question des conneries. ST est un crétin qui essaie de se prouver
par tous les moyens qu'il n'est pas aussi médiocre qu'il en a l'air.
C'est parce que je note toutes les conneries que tu peux dire pour te
gonfler les chevilles que tu m'insultes de la sorte ?
N'essaie pas de justifier mes dires qui sont pour le sieur en question des conneries. ST est un crétin qui essaie de se prouver par tous les moyens qu'il n'est pas aussi médiocre qu'il en a l'air.
C'est parce que je note toutes les conneries que tu peux dire pour te gonfler les chevilles que tu m'insultes de la sorte ?
Stephane TOUGARD
JKB wrote:
Non. Le firewall analyse le contenu des trames. Dès que c'est autre chose que du http, ta connexion coupe.
Et donc, tu te connectes pas a tes machines, tu ne fais pas de VPN et on en parle plus.
A l'extreme limite, on t'ouvre un port 22 sur demande (ce qui est tres gentil et exceptionnel, car en general tout ca est fait de windowseries et les mecs ne savent meme pas ce qu'est un port 22). De la, je vois meme pas le probleme technique a te connecter chez toi.
Ah, ils peuvent catcher le mot de passe sur la machine car c'est pas une machine de confiance.
JKB wrote:
Non. Le firewall analyse le contenu des trames. Dès que c'est autre
chose que du http, ta connexion coupe.
Et donc, tu te connectes pas a tes machines, tu ne fais pas de VPN et on
en parle plus.
A l'extreme limite, on t'ouvre un port 22 sur demande (ce qui est tres
gentil et exceptionnel, car en general tout ca est fait de windowseries
et les mecs ne savent meme pas ce qu'est un port 22). De la, je vois
meme pas le probleme technique a te connecter chez toi.
Ah, ils peuvent catcher le mot de passe sur la machine car c'est pas une
machine de confiance.
Non. Le firewall analyse le contenu des trames. Dès que c'est autre chose que du http, ta connexion coupe.
Et donc, tu te connectes pas a tes machines, tu ne fais pas de VPN et on en parle plus.
A l'extreme limite, on t'ouvre un port 22 sur demande (ce qui est tres gentil et exceptionnel, car en general tout ca est fait de windowseries et les mecs ne savent meme pas ce qu'est un port 22). De la, je vois meme pas le probleme technique a te connecter chez toi.
Ah, ils peuvent catcher le mot de passe sur la machine car c'est pas une machine de confiance.
Stephane TOUGARD
Patrice Karatchentzeff wrote:
Tu ne peux pas tunneler ton ssh dans le port 80 ?
Via un proxy, on tunnele sur le https, parce que le port 80 passe par un proxy qui recoit du HTTP et envoie du HTTP (bref, qui comprend le protocole) alors que sur le HTTPS, le proxy ne comprend pas ce qu'il relaye (c'est un peu le principe).
Patrice Karatchentzeff wrote:
Tu ne peux pas tunneler ton ssh dans le port 80 ?
Via un proxy, on tunnele sur le https, parce que le port 80 passe par un
proxy qui recoit du HTTP et envoie du HTTP (bref, qui comprend le
protocole) alors que sur le HTTPS, le proxy ne comprend pas ce qu'il
relaye (c'est un peu le principe).
Via un proxy, on tunnele sur le https, parce que le port 80 passe par un proxy qui recoit du HTTP et envoie du HTTP (bref, qui comprend le protocole) alors que sur le HTTPS, le proxy ne comprend pas ce qu'il relaye (c'est un peu le principe).
Stephane TOUGARD
JKB wrote:
Tu ne peux pas tunneler ton ssh dans le port 80 ?
Non. Le firewall analyse le contenu des trames. Dès que c'est autre chose que du http, ta connexion coupe.
Tu veux dire qu'ils utilisent un proxy, oh dis donc, c'est de la haute technologie.
JKB wrote:
Tu ne peux pas tunneler ton ssh dans le port 80 ?
Non. Le firewall analyse le contenu des trames. Dès que c'est autre
chose que du http, ta connexion coupe.
Tu veux dire qu'ils utilisent un proxy, oh dis donc, c'est de la haute
technologie.
Non. Le firewall analyse le contenu des trames. Dès que c'est autre chose que du http, ta connexion coupe.
Tu veux dire qu'ils utilisent un proxy, oh dis donc, c'est de la haute technologie.
JKB
Le 12-12-2009, ? propos de Re: Attaque débile sur le port 22?, Stephane TOUGARD ?crivait dans fr.comp.os.linux.debats :
JKB wrote:
N'essaie pas de justifier mes dires qui sont pour le sieur en question des conneries. ST est un crétin qui essaie de se prouver par tous les moyens qu'il n'est pas aussi médiocre qu'il en a l'air.
C'est parce que je note toutes les conneries que tu peux dire pour te gonfler les chevilles que tu m'insultes de la sorte ?
Tu as du pot qu'on ne compte pas les tiennes. Mes chevilles vont bien et ça n'a strictement rien à voir à ton aigreur coutumière.
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
Le 12-12-2009, ? propos de
Re: Attaque débile sur le port 22?,
Stephane TOUGARD ?crivait dans fr.comp.os.linux.debats :
JKB wrote:
N'essaie pas de justifier mes dires qui sont pour le sieur en
question des conneries. ST est un crétin qui essaie de se prouver
par tous les moyens qu'il n'est pas aussi médiocre qu'il en a l'air.
C'est parce que je note toutes les conneries que tu peux dire pour te
gonfler les chevilles que tu m'insultes de la sorte ?
Tu as du pot qu'on ne compte pas les tiennes. Mes chevilles vont
bien et ça n'a strictement rien à voir à ton aigreur coutumière.
JKB
--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
Le 12-12-2009, ? propos de Re: Attaque débile sur le port 22?, Stephane TOUGARD ?crivait dans fr.comp.os.linux.debats :
JKB wrote:
N'essaie pas de justifier mes dires qui sont pour le sieur en question des conneries. ST est un crétin qui essaie de se prouver par tous les moyens qu'il n'est pas aussi médiocre qu'il en a l'air.
C'est parce que je note toutes les conneries que tu peux dire pour te gonfler les chevilles que tu m'insultes de la sorte ?
Tu as du pot qu'on ne compte pas les tiennes. Mes chevilles vont bien et ça n'a strictement rien à voir à ton aigreur coutumière.
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
JKB
Le 12-12-2009, ? propos de Re: Attaque débile sur le port 22?, Stephane TOUGARD ?crivait dans fr.comp.os.linux.debats :
JKB wrote:
Continue. La boîte en question possède des bureaux sur l'ensemble de la France. Les seuls postes capables de se connecter au réseau sont des postes dûment authentifiés par la maison mère qui sous-traite cette infrastructure à Cap Gemini (pour ne pas la nommer). Tous les bureaux sont reliés à Cap Gemini par des VPN et le seul proxy analyste/firewall est chez Cap Gemini. Tous les postes ont accès à Internet, mais avec un http filtré (pour que tu ne puisses utiliser que du vrai http et pas un truc qui utilise le port 80), un https du même tonneau et un port 22 ouvert à la demande. _Tout_ le reste est _fermé_ et tu ne peux pas venir avec un poste externe, les postes sont _enregistrés_ sur le réseau. Mes serveurs utilisent entre autre le port 80 pour contourner ce genre de configuration, mais pour prendre la main, il me faut le ssh. J'ai donc parfaitement accès à mes machines depuis ce client, mais sans jamais pouvoir brancher une machine à moi dans leurs bureaux. Et ces configurations sont de plus en plus légion. Toi y en a comprendre ?
Moi y en a comprendre que tu peux pas faire du VPN avec ce genre de network (donc je sais pas pourquoi tu parles de VPN).
Parce que comme d'habitude tu ne comprends rien.
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
Le 12-12-2009, ? propos de
Re: Attaque débile sur le port 22?,
Stephane TOUGARD ?crivait dans fr.comp.os.linux.debats :
JKB wrote:
Continue. La boîte en question possède des bureaux sur l'ensemble de
la France. Les seuls postes capables de se connecter au réseau sont
des postes dûment authentifiés par la maison mère qui sous-traite
cette infrastructure à Cap Gemini (pour ne pas la nommer). Tous les
bureaux sont reliés à Cap Gemini par des VPN et le seul
proxy analyste/firewall est chez Cap Gemini. Tous les postes ont
accès à Internet, mais avec un http filtré (pour que tu ne puisses
utiliser que du vrai http et pas un truc qui utilise le port 80), un
https du même tonneau et un port 22 ouvert à la demande. _Tout_ le
reste est _fermé_ et tu ne peux pas venir avec un poste externe, les postes
sont _enregistrés_ sur le réseau. Mes serveurs utilisent entre autre
le port 80 pour contourner ce genre de configuration, mais pour
prendre la main, il me faut le ssh. J'ai donc parfaitement accès à
mes machines depuis ce client, mais sans jamais pouvoir brancher une
machine à moi dans leurs bureaux. Et ces configurations sont de plus
en plus légion. Toi y en a comprendre ?
Moi y en a comprendre que tu peux pas faire du VPN avec ce genre de
network (donc je sais pas pourquoi tu parles de VPN).
Parce que comme d'habitude tu ne comprends rien.
JKB
--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
Le 12-12-2009, ? propos de Re: Attaque débile sur le port 22?, Stephane TOUGARD ?crivait dans fr.comp.os.linux.debats :
JKB wrote:
Continue. La boîte en question possède des bureaux sur l'ensemble de la France. Les seuls postes capables de se connecter au réseau sont des postes dûment authentifiés par la maison mère qui sous-traite cette infrastructure à Cap Gemini (pour ne pas la nommer). Tous les bureaux sont reliés à Cap Gemini par des VPN et le seul proxy analyste/firewall est chez Cap Gemini. Tous les postes ont accès à Internet, mais avec un http filtré (pour que tu ne puisses utiliser que du vrai http et pas un truc qui utilise le port 80), un https du même tonneau et un port 22 ouvert à la demande. _Tout_ le reste est _fermé_ et tu ne peux pas venir avec un poste externe, les postes sont _enregistrés_ sur le réseau. Mes serveurs utilisent entre autre le port 80 pour contourner ce genre de configuration, mais pour prendre la main, il me faut le ssh. J'ai donc parfaitement accès à mes machines depuis ce client, mais sans jamais pouvoir brancher une machine à moi dans leurs bureaux. Et ces configurations sont de plus en plus légion. Toi y en a comprendre ?
Moi y en a comprendre que tu peux pas faire du VPN avec ce genre de network (donc je sais pas pourquoi tu parles de VPN).
Parce que comme d'habitude tu ne comprends rien.
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
JKB
Le 12-12-2009, ? propos de Re: Attaque débile sur le port 22?, Stephane TOUGARD ?crivait dans fr.comp.os.linux.debats :
Patrice Karatchentzeff wrote:
Tu ne peux pas tunneler ton ssh dans le port 80 ?
Via un proxy, on tunnele sur le https, parce que le port 80 passe par un proxy qui recoit du HTTP et envoie du HTTP (bref, qui comprend le protocole) alors que sur le HTTPS, le proxy ne comprend pas ce qu'il relaye (c'est un peu le principe).
C'est ça. Regarde un peut ce qui passe sur un port 443 au lieu de dire des conneries. Chiffré, ça ne veut pas dire sans structure. Explique-moi aussi (ça va en amuser certains) comment il se fait qu'au travers du proxy en question tu arrives à aller sur n'importe quel site https et que tu n'arrives pas à tunneler un autre protocole sur le _même_ port.
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
Le 12-12-2009, ? propos de
Re: Attaque débile sur le port 22?,
Stephane TOUGARD ?crivait dans fr.comp.os.linux.debats :
Patrice Karatchentzeff wrote:
Tu ne peux pas tunneler ton ssh dans le port 80 ?
Via un proxy, on tunnele sur le https, parce que le port 80 passe par un
proxy qui recoit du HTTP et envoie du HTTP (bref, qui comprend le
protocole) alors que sur le HTTPS, le proxy ne comprend pas ce qu'il
relaye (c'est un peu le principe).
C'est ça. Regarde un peut ce qui passe sur un port 443 au lieu de
dire des conneries. Chiffré, ça ne veut pas dire sans structure.
Explique-moi aussi (ça va en amuser certains) comment il se fait
qu'au travers du proxy en question tu arrives à aller sur n'importe
quel site https et que tu n'arrives pas à tunneler un autre
protocole sur le _même_ port.
JKB
--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
Le 12-12-2009, ? propos de Re: Attaque débile sur le port 22?, Stephane TOUGARD ?crivait dans fr.comp.os.linux.debats :
Patrice Karatchentzeff wrote:
Tu ne peux pas tunneler ton ssh dans le port 80 ?
Via un proxy, on tunnele sur le https, parce que le port 80 passe par un proxy qui recoit du HTTP et envoie du HTTP (bref, qui comprend le protocole) alors que sur le HTTPS, le proxy ne comprend pas ce qu'il relaye (c'est un peu le principe).
C'est ça. Regarde un peut ce qui passe sur un port 443 au lieu de dire des conneries. Chiffré, ça ne veut pas dire sans structure. Explique-moi aussi (ça va en amuser certains) comment il se fait qu'au travers du proxy en question tu arrives à aller sur n'importe quel site https et que tu n'arrives pas à tunneler un autre protocole sur le _même_ port.
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
