[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Faut t'il bloquer le Multicast - IGMP avec Iptables

Le 24/09/2019 à 18:36, Daniel Caillibaud a écrit :

Le 24/09/19 à 17:27, Daniel Huhardeaux <no-spam@tootai.net> a écrit :

Modifier le port de connexion de services connus comme ssh +
identification par clé suffit pour ne pas avoir à rajouter une couche.


En quoi changer le port améliorerait la sécurité ?
Modifie le port ssh et tu verras la diminution drastique des tentatives (iptables log les connexions vers mes ports exotiques). 




Personnellement, en dehors des ports réputés figés, aucun service ne
tourne sur les ports traditionnels.


C'est peut-être du "sentiment de sécurité" mais ça ne sécurise rien du tout (et à priori
plutôt l'inverse, un faux sentiment de sécurité est pas très bon, ça peut conduire à qq
négligences).


Une connexion avec clé me parait sécurisé. Ne serait ce qu'un sentiment ? ;)


Le scan de ports c'est tout le temps et ça se voit pas dans les logs, un port déplacé ne
protège de rien du tout (ok, pour le ssh ça peut limiter les messages dans le auth.log, mais
y'a d'autres moyens pour ça ;-)).
Les "méchants" ne s'embêtent pas ou peu à scanner: ils ont assez de boulot avec les ports traditionnels. J'utilise au bureau une UTM qui hebdomadairement remonte les statistiques. Ex pour la semaine passée: 

Les 10 principaux services abandonnés 	
Nombre total de paquets abandonnés : 102 578
Principal Nom du service Protocole Service Paquets 	%
1 	  TELNET 	 TCP 	   23 	   5 869 	5.72 %
2 	  T9C0 	         ICMP 	   t9c0    3 689        3.60 %
3 	  MICROSOFT-DS 	 TCP 	   445 	   2 320 	2.26 %
4 	  SSH 	         TCP   	   22 	   1 402 	1.37 %
5 	  T11C1 	 ICMP 	   t11c1   1 096 	1.07 %
6 	  HTTP 	         TCP 	   80 	   1 023 	1.00 %
7 	  PERSONAL-AGENT TCP 	   5555    998  	0.97 %
8 	  SIP 	         UDP 	   5060    887  	0.86 %
9 	  HTTP-ALT 	 TCP 	   8080    882 	        0.86 %
10 	  DOMAIN 	 UDP 	   53 	   815 	        0.79 %



Et pour moi le port 22 du ssh est un port "figé", comme le 80/443 pour le web, le 53 pour le
dns, 25/487 pour le mail… et c'est valable pour tous les ports ouverts sur mes ip publiques.
Je ne vois rien de cela dans mes logs
Que le 80,443,53,25,487 (liste non exhaustive) soient ouverts me parait normal. C'est ce que j'ai appelé les ports figés. 


Je comprends qu'on mette un service "privé" sur une ip publique par commodité, mais dans ce cas
faut assumer et gérer sa sécurité, le mettre sur un port exotique ne l'améliorera pas.
Je ne parlai pas de service "privé", je parle de service "publique" que l'on peut déplacer. Et j'assume.
Ce débat a déjà eu lieu et revient périodiquement. À chacun selon son niveau/besoin/"sentiment"/... de traiter 

--
Daniel
Reply to: