[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [gulliver] SSH, sécurité, les questions, ça vient toujours après :)


From dermiste <dermiste at gmail dot com>
Subject Re: [gulliver] SSH, sécurité, les questions, ça vient toujours après :)
Date Tue, 15 Apr 2008 21:10:36 +0200

Le mardi 15 avril 2008 à 20:04 +0200, David MENTRE a écrit :
> Bonjour,
> 
> David Hatanian <david dot hatanian at wanadoo dot fr> writes:
> 
> >     Lorsque tu parles de requêtes tu parles juste d'un paquet (SYN)
> > envoyé vers ton serveur ou bien d'une tentative d'entrer en tapant un
> > mot de passe choisi dans un dictionnaire?
> >
> >     Si le premier cas t'inquiète réellement, à part une architecture
> > redondante (coûteuse) je ne vois pas comment on pourrait empêcher de
> > tels paquets de passer. Peut-être qu'en installant un Système de
> > Détection d'Intrusions (type Snort) sur une machine en amont du
> > serveur tu économiserais de la charge sur ce dernier? Le SDI doit
> > savoir bloquer des paquets SYN qui arrivent en trop grand nombre.
> 
> Il y a des techniques bien connues pour éviter le stockage d'un état sur
> le serveur lors de la réception d'un SYN comme les « SYN cookies ».
> 
>   http://fr.wikipedia.org/wiki/SYN_cookie
> 
> Amicalement,
> d.

certes, les syncookies permettent de ne pas encombrer inutilement le TCB
(transmission control block), mais demandent plus de calculs de la part
du CPU. Après si le CPU peut bouffer du syncookie a 100Mb/s, c'est bon.
Sinon le coup de snort est juste bon a rendre les DoS plus faciles : tu
bidonnes les IP sources judicieusement, et le gus peut plus prendre le
controle de son serveur. C'est ballot hein ?