[Linux-bruxelles] port remapping
Juliane De Moerlooze
juliane at bruxxel.org
Sam 27 Fév 06:37:15 CET 2010
> On 02/26/2010 11:19 PM, Manuel Schulte wrote:
>> Attention! Qui dit "visible" de l'extérieur, même sur un port "non
>> standard", ex. 48559, cela impose de sécuriser... veilles au minimum que
>> ton
>> serveur SSH (le pc vers lequel le firewall redirigera les connections
>> SSH)
>> réponde à ces critères:
> [snip]
>> c/ (mais cela tu t'apprêtes à le faire) ne pas utiliser un port standard
>> (et
>> de préférence> 1024)... ceci dit, avec réserves car avec Nmap un bon
>> hacker
>> peut savoir quels sont les ports ouverts sur ton routeur et aussi ce qui
>> "écoute" derrière... d'où l'importance des points a et b.
>
> Le déplacement du port 22 est important pour une seule chose, ça évite
> de polluer tes journaux (log) par les tentatives faites par des robots,
> et donc ceux-ci restent lisibles, du moins le digest. Maintenant si tu
> ne les lis pas...
>
>>
>> Cerise sur le gâteau: pas d'autentification par mot de passe, mais
>> uniquement par clef...
>
> J'aimerais tordre le cou à ce canard. L'authentification par mot de
> passe est "dangereuse" sur un réseau qui limite le nombre de tentative
> par période uniquement si le mot de passe est trivial. Trivial d'un
> point de vue "culturelle" ("password" ou "12345678" par exemple) ou
> "social" (le nom de ton chien, de ta femme...). Tout mot de passe non
> devinable est bon, pas besoin de mot de passe compliqué dans ce cas là.
> Maintenant si ton mot de passe peut être attaqué hors ligne, alors les
> contraintes sont (beaucoup) plus sévères.
ouf - cela sert encore d'avoir des bons de passe !
le mécanisme par clef est super pratique si on bosse toujours de la même
machine (ou des memes machines)
cela dit - pour le plaisir des def pour des definitions : je n'ai plus le
fil avec la phrase exacte mais du PAT ce n'est qu'un cas particulier de
nat -de toute façon il y a du nat : le routeur doit redigirer l'adresse
publique qu'aldo va recevoir (ici aussi un cas particulier) vers une
adresse privée - même si aldo n'a qu'une machine
dans la terminologie cisco du PAT c'est du NAT overload, (et je viens de
voir aussi dans wikipedia)
gnulix
juliane
--
**** Dans ce monde fugace comme un rêve, vivre dans la souffrance en ne
faisant que des choses déplaisantes est pure folie (in Hagakure)
****
Plus d'informations sur la liste de diffusion Linux-bruxelles