Essaie de filtrer en liste blanche sur des plages d’adresses IP source depuis lesquelles les administrateurs sont les plus susceptibles de se connecter, par exemple celles de FAI de pays dans lequel tu te situes.
Ça évitera la majorité des tentatives.
xlp a dit:
Si tu ne connais pas, jette un œil au port knocking. Faut pas voir ça comme un atout en sécurité (Security by obscurity), par contre ça permet de réduire la taille des logs…
J’appuie, et je précise, qu’aujourd’hui, l’analyse de l’ensemble des adresses IPv4 est réalisable en quelques heures. Sur la durée, l’ensemble des ports qui répondent peuvent être essayé, et la prise d’empreinte permet de détecter le protocole parlé, notamment pour SSH.
L’obfuscation du port ne sert donc pas à grand chose, mais limite simplement la surface d’attaque face aux vers qui tentent la force brute sur TCP/22… Ce n’est généralement pas d’eux que vient le problème.
Le port knocking c’est pas changer le port SSH sur un autre port, non c’est une méthode qui permet d’autoriser une adresse IP a se connecter au port SSH en faisant des tentatives de connexion sur différents ports dans un ordre précis, c’est un peu un “Port de passe”, exemple: port 52510, puis port 29345, puis port 13334, puis port 7664, ensuite le firewall du serveur autorisa ton IP sur le port SSH. Avec cette méthode tu peux avoir la totalité des ports de fermés aux yeux du monde.
1 commentaires
Serveurs Linux : de plus en plus de cyberattaques, mais moins sophistiquées
14/02/2022
Le 14/02/2022 à 23h 44
Le port knocking c’est pas changer le port SSH sur un autre port, non c’est une méthode qui permet d’autoriser une adresse IP a se connecter au port SSH en faisant des tentatives de connexion sur différents ports dans un ordre précis, c’est un peu un “Port de passe”, exemple: port 52510, puis port 29345, puis port 13334, puis port 7664, ensuite le firewall du serveur autorisa ton IP sur le port SSH.
Avec cette méthode tu peux avoir la totalité des ports de fermés aux yeux du monde.