Bonsoir,
hervé de Dianous a écrit :
> Jonathan Ballet a écrit :
>
>> hervé de Dianous a écrit :
>>
>>> Connaissez-vous un moyen de droper l'IP d'un attaquant après n (3?)
>>> tentatives infructueuses de connexions sur un port d'une passerelle ?
>>> Il me semble avoir lu ici l'existance d'un script qui construit une
>>> règle iptable à la volée pour droper temporairement l'IP d'un J.K ?
>>> Marre de voir défiler des tentatives de connexions sur ssh et autres
>>> ports ouverts.
>>> Quoique, pour ssh il y a LoginGraceTime qui va bien.
Il y a surtout le (/etc/ssh/sshd_config) :
PermitRootLogin no
AllowUsers herve rv2d autre_login
- La première ligne interdit de se loger directement en temps que root
(mais le "su" est possible)
- La seconde ligne n'autorise qu'aux utilisateurs "herve", "rv2d" et
"autre_login" de se logger. Les JK ne pourront donc pas utiliser les
logins root, nouser, ftp, et autre qui sont par defaut sur ta machine.
>> Il y a ça qui existe :
>> http://blog.andrew.net.au/2005/02/17#ipt_recent_and_ssh_attacks (assez
>> récent).
>> J'ai pas testé personnellement, mais ça correspond à ce que tu
>> cherches ;)
>
>
> Hôôôô ! Très intéresssant !
> Sauf que, en suivant le lien vers ce module :
> http://snowman.net/projects/ipt_recent/
> je vois que celà date de Mar 2003 et toujours pas intégré à Iptables !!!
>
> Olivier, qu'en penses-tu ?
Je n'ai pas eu le temps de m'y pencher dessus. Cependant, la technique
me semble un tantinet "bourine" (multiplication des règles iptables pour
chaque tentative d'intrusion).
Si tes serveurs (ssh, autre...) sont lancé sous le contrôle de xinetd
(voir
http://olivieraj.free.fr/fr/linux/information/firewall/fw-02-03.html#II-3-3
et
http://olivieraj.free.fr/fr/linux/information/firewall/fw-02-05.html#II-5-5
pour les explications), il y a un mécanisme assez sympathique qui peut
bannir cette adresse IP pour les démons lancé par xinetd :
<extrait>
SENSOR Ce flag remplace le service avec un
detecteur qui detecte les acces au port
specifie. NOTE : Les scans furtifs ne
seront PAS detectes. Ce flag doit etre
utilise seulement pour les services dont
vous etes sur de ne pas avoir besoin.
Quand un acces est fait sur le port de ce
service, l'adresse IP est ajoutee a une
liste d'adresses interdites. Cela implique
que tous les acces en provenance de cette
adresse IP seront interdits jusqu'a
l'expiration du delai indique dans
deny_time. Le temps passe sur cette liste
est parametrable par l'attribut deny_time.
Le flag SENSOR va aussi obliger xinetd a
considerer l'attribut du serveur comme un
attribut INTERNE sans se soucier de ce
qu'il y a sur la meme ligne. Autre chose
importante, il ne faut pas oublier que si
socket_type est de type stream, alors
l'attribut wait doit etre positionne a no.
</extrait>
L'idée est de mettre en place un tel "senseur" sur un port que u
n'utilises pas (80, 25, 21, ...) et qui tentera potentiellement les JK.
Après, tout dépend des types de démons que tu as
Olivier
Note : JK = Jean Keyvin = Jeunes adolescents ou vieux décerebrés sans
talent qui cherchent à rentrer dans des machines, pour y faire diverses
bêtises...
--
~~~~~~~ _____/\_____ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix / _ \/ _ \ Olivier Allard-Jacquin
/ / \ / \ \ Web: http://olivieraj.free.fr/
/___/ / \ \___\ Mail: olivieraj@???
~~~~ ///// ///\\\ \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!
