Outils pour utilisateurs

Outils du site


Panneau latéral

linux:port-knocking-alternative (lu 21438 fois)

Ceci est une ancienne révision du document !


Port Knocking Alternative

SSH sur le port 22 c’est pratique et changer de port n’est pas vraiment une solution plus sécurisante. Récemment j’ai eu beaucoup d’attaque sur le port 22 ce qui surchargeait mon pauvre raspberry pi en nombre de process.

J’ai pensé à mettre en place port knocking qui permet de n’ouvrir le port 22 uniquement en frappant à la porte d’une série de port défini à l’avance.

Mais pour moi c’est trop de contrainte :

  • en frappant à la porte, on ouvre le port 22 pour tout le monde pendant un certain temps, ce qui laisse le temps de bourriner le port pour les attaquant.
  • il faut avoir un client knock, ce qui est peut pratique quand on utilise plusieurs pc voir même un smartphone

Je me suis qu’on devait bien pouvoir faire la même chose mais sans knock, et j’ai fini par trouver ce site ⇒ https://www.adayinthelifeof.nl/2012/03/12/why-putting-ssh-on-another-port-than-22-is-bad-idea/

Il suffirait d’utiliser des règles iptables pour tagguer notre connexion lorsque l’on essaie de se connecter sur un port défini puis d’autoriser cette connexion sur le port ssh

${IPTABLES} -A INPUT -p tcp --dport 3456 -m recent --set --name portknock
${IPTABLES} -A INPUT -p tcp --syn --dport 22 -m recent --rcheck --seconds 60 --name portknock -j ACCEPT
${IPTABLES} -A INPUT -p tcp --syn --dport 22 -j DENY

Après on peut toujours s’amuser à compliquer la chose en rajoutant d’autre port et ainsi définir une série.

C’est peut être facile à détourner car un faisant un scan de tous les ports et en réessayant le port ssh, on devrait pouvoir réussir à tenter une connexion. Mais c’est très facile à mettre en place :)

Quand j’aurai le temps, j’essayerai de faire un script qui permettra de mettre en plus quelque chose de plus corsé :)

linux/port-knocking-alternative.1403613552.txt.gz · Dernière modification: 24-06-2014 14:39 de edmc73