09-13-2009, 07:59 PM
|
||||
|
||||
Bonjour,
Pf est formidable, c'est un parefeu efficace et bien pense  Concernant les protections(autour de DoS, bruteforce...), il y a une option utile a connaitre absolument, il s'agit des options de 'stateful tracking' (au revoir les failtoban-like) Sans oublier egalement d'activer les divers options antispoof. Normaliser par la meme occasion les paquets. Le cas du DDoS reste delicat, puisqu'il s'agit d'une ip differente, donc on simule un traffic des plus normaux, simplement plus intense. Ce qu'on fait dans ce cas, c'est de la repartition de charge grace aux serveurs dns(round-robin...). Le mieux est donc deja de limiter le nombre de connection par host(max-src-conn), d'y regler un nombre de connection par seconde(max-src-conn-rate), en rajoutant l'option (overload <table_name> flush global), tous les personnes ne respectant pas les regles ci-dessus seront blackliste). On y applique donc des restrictions precises, selon le type de comportement. Une bonne partie des attaques de type DoS et Bruteforcing sont prises en compte. La strategie principale reste donc de gerer aux mieux ses propres ressources pour etre pret a supporter celle de l'attaquant. C'est un peu un combat au 50/50, celui qui a la plus grosse est gagnant
__________________
we are god Last edited by _ipv_; 09-14-2009 at 05:19 AM. 
|
|
09-17-2009, 10:57 AM
|
||||
|
||||
|
Quote:
Je me demandais donc quelles seraient les possibilités d'un attaquant (et son IP), une fois banni par portsentry après avoir réalisé un scan de ports. Si on exclue les DDoS... Car cette méthode (portsentry + bann) me semble bien efficace, mais peut-être est-ce du à mon manque de connaissances des possibilités d'attaque/spoofing ?
|
|
09-17-2009, 01:22 PM
|
|||
|
|||
|
Quote:
Des techniques de scans via NMap en stealth scan basées sur un scan qui va prendre un temps assez conséquent ainsi que des scans basés sur les ACK, les XMAS et les NULL ne sont pas détectés par PortSentry. Etant donné que ces types de scans n'envoient aucun packet SYN il ne peut pas détecter d'initialisation de connexion et est donc aveugle. PortSentry reste tout de même efficace puisqu'il faussera de toute manière les données d'un scan grâce à ce que l'on peut appeler les ports Zombies. En gros il va écouter/ouvrir un maximum de ports où il sait qu'un service potentiel peut tourner. Si un service tourne déjà il ne fera rien (il signalera dans la configuration qu'il n'a pas pu l'ouvrir à juste titre) sinon il écoutera sur le port. A partir de là il est impossible de savoir si un port est ouvert avec un service derrière ou un IDS.
|
|
09-17-2009, 10:20 PM
|
||||
|
||||
|
D'accord, tu viens de me faire comprendre un peu mieux le fonctionnement de portsentry.
Merci
|
|
10-07-2009, 03:44 PM
|
||||
|
||||
|
Quote:
|
|
10-08-2009, 10:22 PM
|
|||
|
|||
|
Quote:
|
 |
| Bookmarks |
«
Previous Thread
|
Next Thread
»
| Thread Tools | |
| Display Modes | |
Linear Mode
|
|
All times are GMT. The time now is 01:11 AM.
