Interdire le Scan de Ports

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Interdire le Scan de Ports

Olivier

Bonjour,

Je suis en train d'essayer un serveur dédié livré avec Plesk Onyx. J'ai donc activé depuis "Tools & Settings > Security" le "Firewall" et son adjoint "Fail2Ban". J'ai ensuite changé le port de mon service SSH. Bien entendu, j'ai restreint l'accès de ce port SSH à quelques IP (la mienne et celles de mon hébergeur).

Malgré toutes ces mesures, et seulement 24 heures après la mise en place de ces précautions, une vilaine IP chinoise vient de trouver mon port SSH et a "gratté à la porte SSH" environ 7.000 fois, bien qu'elle ce soit fait à chaque fois bannir.

J'ai bien entendu ajouté cette nouvelle règle à mon firewall :

Deny incoming from 203.91.121.73 on all ports

C'est bien pour une première fois de regarder les logs Fail2Ban, mais je ne vois pas faire ceci tous les jours.

Que me conseillez de faire pour contrer – autant faire se peut – ce genre d'ennui ?

Merci de votre aide !

jean-luc

Olivier
Salut,

Pour le ssh, regarde mon post ici:

https://mondedie.fr/d/9020-restraindre-l-ecoute-de-ssh-uniquement-sur-un-domaine-specifique/21

Changer de port : useless ; à partir du moment que ton attaquant ne peux pas rentrer, même si celui ci frappe à la porte, en quoi, ça dérange; moi non...

Et sur une seedbox, tous ces fail2ban, portsentry, ne sont pas vraiment toujours utiles à part collectionner au ban des milliers d'ip...alourdir la charge du serveur...
L'essentiel est de bien se couvrir sur la façon de pouvoir rentrer sur ton serveur (mots de passes très très durs, connexion/clefs exclusivement en ssh ; Password Authentification à no dans ton sshd_config une fois les clefs testées).

Anti-scannage de ports : bof !!!; tous les ports sous linux sont fermés par défaut et ce sans règles iptables, sauf ceux qui ont un service derrière, et comme ceux là t'es de toute façon obligé de les laisser ouverts pour pouvoir utiliser tes services....
Donc portsentry va bannir des tas d'ip qui ne font que frôler le mur en béton de ton serveur; car un serveur c'est > 99,999% de mur en béton par défaut sans firewall et < 0.001% de portes...faut juste bien protéger l'accès aux portes, et ça suffit..

Erusaris

Hello,

Essaye de regarder du coter de Portsentry

Olivier

Merci de vos points de vue.

Veuillez pardonner mon ignorance, je ne sais pas ce qu'est une "SeedBox".

Pour ma part, je suis en train de tester un serveur dédié possédant un Xeon E3-1220v5, serveur qui a pour objectif, si les tests sont concluant, de motoriser les sites de eCommerce de mon entreprise.

jean-luc : Tes arguments sont intéressants, et je ne connaissais pas ce que tu écris, car je n'ai JAMAIS été Admin, ni Root avant aujourd'hui :

jean-luc tous les ports sous linux sont fermés par défaut et ce sans règles iptables, sauf ceux qui ont un service derrière, et comme ceux là t'es de toute façon obligé de les laisser ouverts pour pouvoir utiliser tes services....

En fait, en tant que wsebmaster d'un site "PCI DSS compliant", le service certificateur t'oblige de fermer certains ports, comme par exemple les ports 111, 161, 543, 544, 2105 et 3306. J'imagine que cette mesure est destinée à contrecarrer des tentatives d'intrusion sur le serveur. Il est bien à noter que l'on nous ne demande PAS un mot de passe solide, mais bien de verrouiller le port. Si l'on ne ferme pas le port, la certification n'est pas validée.

https://fr.pcisecuritystandards.org/minisite/en/

Donc, toujours dans cette optique du PCI DSS, il est nécessaire d'avoir a minima un firewall PLUS un WAF (Web Application Firewall) afin de contrer les 10.000 tentatives d'intrusions du robot du service de conformité PCI DSS pour obtenir le fameux certificat.

Le WAF étant là pour pallier les éventuels trous de sécurité de l'application de eCommerce, et/ou du Kernel, et/ou de je ne sais quoi d'autres.

Enfin, je tiens à vous dire que depuis que j'ai redirigé le port SSH, j'ai nettement moins de monde à la porte 😉

Trouver des IP venant de la jungle Amazonienne, d'une ville au nom imprononçable, très peu pour moi, bien que j'utilise des mots de passe niveau paranoïaque en phase terminale, je préfère garder mes mesures de sécurité présentes.

Donc, avant la redirection, j'avais des milliers d'IP chaque jour dans mes logs Fail2Ban, et depuis 24 heures que je viens de faire la redirection, j'en ai seulement une petite dizaine. Voilà pourquoi j'aimerai savoir s'il est possible d'interdire le Scan de ports.

Merci de votre précieuse aide !

Aerya

Sur mes serveurs média je laisse uniquement le port de stream en accès publique. Le SSH est bloqué sur mes IP perso (et fonctionne par clé). Sur une seedbox je laisse uniquement le port rTorrent (et non une plage). Ca limite les risques. Et je partage l'avis niveau sécurité, pour un serveur de fichiers je ne m'enquiquine pas trop 🙂
Tous les monitoring de ton hébergeur peuvent être coupés/bloqués la plupart du temps (par contre faut pas utiliser le SAV ensuite).

myxomatom

Personnellement je suis assez fan de portsentry.

Si c'est pour une entreprise en plus, ça n'est pas du luxe.

Surtout que pour moi changer le port sans installer portsentry n'est pas très utile vu qu'un simple scan des ports suffit à trouver les ports utilisés, reste "plus" qu'à faire du brute force sur les dits ports.

Avec portsentry, celui qui scan tes ports se fait ban immédiatement, et du coup, ça évite les 7000 tentatives de connexion suivantes.

Par contre, il ne vaut mieux pas paramétrer portsentry en mode "ultraparno" sinon on se bloque facilement soit même (donc bien penser à mettre son IP en white list)

Olivier

myxomatom portsentry

Le blème, Plesk ignore portsentry, et les premiers résultats de la recherche Google "portsentry Plesk" sont une discution datant de 2001 !

http://forum.odin.com/threads/portsentry.34403/

Et une suggestion sans lendemain :

https://plesk.uservoice.com/forums/184549-feature-suggestions/suggestions/11465130-port-scan-protection-portsentry-psad

Vu que je suis ignare… Donc, si une solution équivalente existe sur Plesk, ce serait bien 😉

=================================

Aerya WAF

Je tiens à garder le secret sur ce point (mode Paranoïaque ON).

=================================

Aerya Nessus

Merci ! Je ne connaissais pas. Je vais tester 😉

=================================

Aerya OSSEC & Prelude

Woa ! La longueur de la page fait froid dans le dos !

https://mondedie.fr/d/5821-Tuto-Securiser-son-serveur-avec-Prelude-IDS-et-Ossec

On dirait la rotative du botin des PTT 🙁

Oui, je me sent capable de réussir (avec BEAUCOUP de chance) l’installation.

Non, je ne me sent PAS capable de maintenir l’engin plus de 6 mois d’affilé. Désolé.

=================================

Aerya port knocking

Je ne connaissais pas.

Merci pour ton tuto :

https://mondedie.fr/d/8277-Tuto-Port-Knocking-cacher-son-port-SSH

Cela devrait convenir pour mes petits neurones.

=================================

Le changement de port SSH a réduit mon fichier de log de 8056 lignes pour la journée du 5 Juin 2017, à seulement 5 lignes pour aujourd’hui à 19:00 avec seulement 2 IPs d’enregistrées : La mienne et celle de mon hébergeur.

Aerya

@Olivier ces derniers temps on rencontre plus de personnes s'occupant de serveurs de fichiers que de "pro" 😉

Donc PortSentry oui mais ça fait pas tout. S'il te faut un WAF pour être certifié, pourquoi pas (tu penses à quelle solution ?), mais je persiste à penser que bloquer directement tous les ports via IPtables (+ IP6tables), voire filtrer les paquets entrants, sera plus efficace. Il ne reste du coup qu'à monitorer les entrants/sortants selon tes services.
Bon ceci dit... je ne parle que de l'aspect machine, pas des sites hébergés dessus. Mais je suppose que ces derniers auront une couche logicielle de protection dédiée.

Niveau monitoring justement, d'un point de vue sécurité, il y a ces tutoriels pour OSSEC & Prelude.
Et également quelques petits tests à mener avec Nessus.

Pour le SSH : clé SSH bien sûr + port knocking. Là au moins tu seras tranquille. Si tu es parano tu peux aussi ajouter du whitelisting d'IP via IPtables (et IP6tables).

myxomatom

Olivier
Ah si plesk n'est pas compatible, c'est sur que portsentry n'est pas la solution 😕

Désolé, je ne connais pas du tout plesk.

Du coup, les solutions d'Aerya semble tout à fait indiqué.

Pour une utilisation "entreprise" je pense qu'il vaut mieux faire quelque-chose de sérieux... Quite à perdre du temps pour configurer les différents outils.