Packet Filter : protection bruteforce SSH
Boris HUISGEN March 13, 2009
Le firewall PacketFilter permet de vous protéger des attaques SSH par brute force. La technique consiste à ajouter dynamiquement les IP fautives dans une table et de bloquer tout connexion entrante de celles-ci.
Il convient donc de mettre en place un fichier de règle PF remplissant les actions suivantes:
- déclarer la table qui va contenir les IP bannies.
- bloquer en début de filtrage les connexions entrantes des IPs présentes dans cette table.
- ajouter les options de collecte des états des connexions sur les règles que l’on souhaite protéger des attaques par bruteforce.
- optionnelement vider la table par une commande en tâche cron.
Dans le fichier ci-dessous, j’autorise uniquement le trafic ICMP et les connexions SSH mais celles-ci sont protégées des attaques par brute force :
|
|
Dans le cas où un client se connecte plus de 10 fois par minute, il sera banni et bloqué pour toute nouvelle connexion. Pour débannir les IP au bout de 24 heures par exemple, cette commande est utilisée :
# /usr/local/sbin/expiretable -t 24h bruteforce