Version imprimable
Bonjour
j'ai un serveur qui tourne sous FreeBSD
j'utilise paquet filter comme firewall et je recoit souvent des attaques sur le port 22 qui me font tomber le serveur .
j'ai changer le port ssh mais ce "pirate" le retrouve et rattaque le nouveau port
j'aimerai empecher le scan de port du type nmap ou autre
comment puis-je faire ?
Bonjour,
Pour empêcher une personne de savoir qu'un port est ouvert ou fermé, tu peux tout simplement mettre dans ton firewall les ports fermés en drop (= ne traite pas le message), le scan de port sera alors beaucoup plus long.
Ensuite, de quelle façon fait-il tomber ton serveur ?
Il arrive à se connecter ? -> Dans ce cas là, il faudrait penser à revoir la sécurité de ton serveur.
Il fait une attaque DDos ? -> As-tu essayé d'utiliser Fail2Ban ?
Si l'attaquant a toujours la même adresse ip, as-tu essayé de bloquer cette adresse ?
le scan sera plus longt mais il sera toujours possible
je recoit une attaque DDOS avec plusieur ip donc je peux pas ban par ip
Bonjour,
Tu peux regarder du côté de fail2ban. Çà n’empêchera pas le "pirate" de scanner tes ports mais fail2ban s'occupera de bannir automatiquement les IP qui font trop de tentatives de connexion. Du coup même si il a plusieurs IP, c'est pas grave ;)
Edit: Désolé pour le fail, j'avais pas vu que Neckara avait déjà parlé de fail2ban ><'
Regardes aussi du coté de knockd, cela ne te protégera pas du DOS mais rajoute une compléxité.
Le principe : pour ouvrir un port, il te faut envoyer une combinaison au choix
http://fr.wikipedia.org/wiki/Port_knocking
Bonjour,
Ta essayer Port Sentry ? Très efficace face au scan de port...
A la première tentative, l'ip est bloqué... Alors le résultat du scan est pratiquement nulle a tout coup...
Par contre, il doit être configurer au firewall... Un firewall bloque tout les ports non-utiliser, et vu que port-sentry ne fonctionne pas sur les ports utiliser, sa empeche port-sentry de travailler...mais rien de bien sorcier, sufi de mettre quelque ports specifique que portsentry va surveiller et de les ouvrirs sur le firewall... Et probleme regler!
Ensuite tu dois réinitialiser ton firewall de temp en temp pour debloquer les ip que portsentry aurra bloquer pour ne pas engorger ton firewall... (Car le nombre d'ip bloquer augmente asser vite, preuve que c'est asser efficace)
Mais évidament, fail2ban fonctionne tres bien avec portsentry, il est donc fortement conseiller!