mettre serveur en DMZ

Compte supprimé · Le 19/02/2018, à 12:58

Bonjour, je vous explique je voudrais mettre en DMZ mon serveur Ubuntu serveur.
Car déjà en cas de hack le serveur ne peut pas accéder au LAN du moins pas directement je précise que j'ai une livebox 4.
Pourquoi vouloir le mettre en DMZ par exemple chez ovh un serveur dédier et il me semble ouvert c'est a l'utilisateur de le sécurisé je croie il me semble.
Car quand un scan de port est effectuer il est détecter par le serveur puis bloquer est j'ai un email (j'utilise portsentry) quand je suis derrière la box ça scanne pas car la box bloque l'attaque avant qu'elle arrive au serveur, mais elle ne bannit pas.
je pense que se que j'ai mi en place permet au serveur de se défendre par lui même j'ai aussi fail2ban.
J'ai changer le port ssh par défaut.
Chaque utilisateur ssh son sur une white-list seuls certains utilisateurs peuvent utilisé ssh est son complété par des mots de passe qui on plus de 150 caractères (merci keepass) allait brute-force ça faut y aller quand même, puis y a fail2ban qui m'envoie un mail aussi.
le seul truc que je n’ai pas réussi à installer sans que sa finisse par avoir des erreur c'est snort (si vous avez un bon tutoriel ça serez parfait).
Si j'utilise nmap sous VPN ban direct.
Mais bizarrement avec l'application port scanner sur Android il en détecte quelque un, mais il n’arrive pas a détecte les ports smb car je les bloquer au niveau parfeu que pour une plage d'ip de mon réseau LAN la question est d'après vous ce serveur et t-il apte a finir en dmz avec tous ces paramètres privent compte et t-il apte a ce défendre dans ce réseau qui est parfois hostile qui et nommé internet en tous cas je pense que face a des bots il devrait gérer

port scanner apps android

re eu après vérif la dmz et pas pratique, car enfaîte les pc en local peuvent le voir, mais si je contacte mon non de domaine le serveur voit que je suis sur le même réseau, mais lui n'a pas le droit d'accéder au réseau LAN en étant en dmz du coup bas vu qu’il ne peut pas me répondre bas sa marche pas sauf si je passe par nordvpn, car considérer comme connexion externe en gros bye la dmz, mais je veux bien savoir s’il aurait était apte avec les sécurités actuelles si vous avez tuto portsentry ça serez cool aussi merci d'avance

Dernière modification par Compte supprimé (Le 19/02/2018, à 13:23)

krodelabestiole · Le 19/02/2018, à 13:26

MrFogHunter83 a écrit :

Chaque utilisateur ssh son sur une white-list seuls certains utilisateurs peuvent utilisé ssh est son complété par des mots de passe qui on plus de 150 caractères (merci keepass) allait brute-force ça faut y aller quand même, puis y a fail2ban qui m'envoie un mail aussi.

150 caractères ou pas si tu autorises la connexion avec des mots de passe en clair, n'importe qui sur le réseau d'un de tes clients peut intercepter (sniffer) les identifiants et mots de passe. ni fail2ban, ni un mot de passe à rallonge ne te protégera contre ça.
le b-a-ba de la sécurité c'est de mettre en place un système de clé privée / publiques solide pour ssh, puis éventuellement de passer un maximum de services via ce tunnel (très pratique pour monter un proxy, un serveur sftp, x2go, ou autre), et surtout d'interdire les autres procédés de connexion.
tu peux regarder cette vidéo pour en apprendre un peu plus sur le SSL (il parle plutôt du HTTPS, mais c'est à peu près le même principe pour le SSH) : https://www.youtube.com/watch?v=Fqvo6M2d5IQ

la différence entre une dmz et un nat est pas si importante que ça, un nat agit simplement comme une sorte de firewall dont tous les ports sont fermés par défaut, une fois qu'on est dedans c'est pas beaucoup plus compliqué à exploiter qu'en dmz.

Dernière modification par krodelabestiole (Le 19/02/2018, à 13:33)

jean-luc5629 · Le 19/02/2018, à 13:39

Salut,

(j'utilise portsentry) quand je suis derrière la box ça scanne pas car la box bloque l'attaque avant qu'elle arrive au serveur, mais elle ne bannit pas.

Au fait explique nous quel serait le bénéfice de bannir et de collectionner des ip de bots qui à l'heure actuelle ne scannent pas ton serveur ?

La délocalisation du port ssh : bof !!! à part diminuer les logs de tentatives infructueuses émanant des bots....

Si ton serveur devient la cible privilégiée d'un hacker, il aura vite fait de découvrir ton port ssh sur le port 56421 par exemple, on ne dispose que de 65535 ports il me semble...et Portsentry bloque une ip qui scanne plusieurs ports en un temps record il me semble, et ces gens disposent de suffisamment d'ip pour couvrir la totalité de la plage des ports disponibles plus rapidement que tu ne le penses.

Vaut mieux sécuriser l'accès avec des mots de passes digne de ce nom (longs,alphanumériques mélangeant majuscules, minuscules + caractères spéciaux); ou encore mieux, avec une connexion par paire de clefs et en bannissant toute connexion possible par mot de passe "PasswordAuthentication no" dans le sshd_config

http://security.stackexchange.com/quest … encryption
http://superuser.com/questions/881063/h … pted-email

Une clef rsa de 2048 n'est même pas crackable avec des moyens disproportionnés en 10 ans !!! les ED25519 seraient l'équivalent en difficulté d'une rsa de 3500 environ !!!

A partir de là, ils peuvent toujours frapper à la porte même si tu te connectes en root; et comme il y resteront, c'est perte de temps, de ressources du serveur, ... que d'essayer de les bannir; perso j'ai un serveur chez OVH et ça fait belle lurette que ça m'a passé tous ces méthodes glanées par ci par là sur le net.

Dernière modification par jean-luc5629 (Le 19/02/2018, à 13:39)

Compte supprimé · Le 19/02/2018, à 15:13

alors par apport au ssh on est sur de l'aes 256 bits le HTTPS fonctionne avec lets'encrypt avec clef rsa 4096 pour le FTP on et en ftps (implicite) en 4096 aussi désoler je n’avais pas tous donnée toute les info
connaitre les ip eu sa sert a rien a moin blague bien sur je leurs renvoyé leur truc dans leur gueules, et enfaite sa banne que en cas de scanne si une connexion parait louche bannissement

blague à part voila
je sais que sais pas legal mais un script qui fait une petite attaque dos je suis fibrer mais je doute que sa serve car ils ont surement des connexion bien plus grande
si je pouvais plombé ces bots sa serait cool
blague à part voila

pour le mot de passe exemple V3Tj"N1NPq@=F4Z:d7ns3/'*h`~gP^6l1ILagyBRhirldF#*`kAz7*q28B2JMiP'@liAjhBb4:D5MbG#z?2q^|!P:!`yO5A:;w`Eu'wXN,/S4ei\3aWHgX^X8Lw11eC:8\@a?BpT#;"qOp'zQ.z6d:
bon je l’attend le mec et sa brute force en principe son 2 fois plus long mes mot de passe mais bon merci keepass

à la petite vidéo de réfèrance, à on l'aime se monsieur capuche il ne rentrera pas du moins j’espère XD

Dernière modification par Compte supprimé (Le 19/02/2018, à 15:26)

Nathaly01 · Le 19/02/2018, à 21:18

Je rejoins krodelabestiole pour dire qu'un système d'authentification par clef et "PasswordAuthentication no" est plus sur.
Je pense que Fail2ban peut-être intéressant pour bannir les IP's se livrant à certaines attaques mais il faut pousser la configuration bien au delà de celle proposé par défaut et encore, je ne suis pas assez qualifiée pour affirmer ou non de la réelle utilité de ce logiciel si tous les logiciels présents sont à jour et correctement configuré.

Compte supprimé · Le 20/02/2018, à 10:54

la question c'est eu peut on save les fichier clef dans un keepass je croie que l'on peut il me semble ?

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 19/02/2018, à 12:58

mettre serveur en DMZ

#2 Le 19/02/2018, à 13:26

Re : mettre serveur en DMZ

#3 Le 19/02/2018, à 13:39

Re : mettre serveur en DMZ

#4 Le 19/02/2018, à 15:13

Re : mettre serveur en DMZ

#5 Le 19/02/2018, à 21:18

Re : mettre serveur en DMZ

#6 Le 20/02/2018, à 10:54

Re : mettre serveur en DMZ

Pied de page des forums