Des outils pour la sécurité de SSH

Progression :

SSH est un protocole ayant été conçu avec une optique de sécurité, néanmoins, il reste la cible de nombreuses attaques et beaucoup d'outils permettent aujourd'hui d'améliorer encore plus la sécurité de vos serveurs SSH. Je vais dans cette partie du cours vous orienter vers différents outils allant dans le sens du durcissement de la sécurité des serveurs Linux et plus généralement, de SSH :

  • Deny Host :

DenyHost est un logiciel qui va analyser le fichier de log des authentifications (/var/log/auth.log, nous en avons parlé durant ce cours) et va permettre de bloquer les IP ayant trop de tentatives de connexion SSH. Un nombre trop important de tentatives infructueuses de connexion peut en effet révéler une tentative de brute force sur un compte SSH. Les outils comme DenyHost permettent alors de stopper ces attaques et de faire en sorte qu'elles n'aboutissent pas.

Si vous souhaitez en savoir plus sur cet outil et découvrir comment il s'installe et se configure, je vous conseille la lecture de ce tutoriel écrit par Florian Burnel sur IT-Connect : http://www.it-connect.fr/proteger-son-acces-ssh-avec-denyhosts%EF%BB%BF/

  • Fail2ban :

Fail2ban est un outil qui va dans le même sens que DenyHost, il permet, au travers l'étude et l'analyse des logs, de bloquer des IP ou d'effectuer d'autres actions de prévention (bloquer un port, une IP, redémarrer un service, envoyer un mail). Il s'agit là d'un outil plus complet que DenyHost car il permet de sécuriser de cette manière d'autres ports que SSH et d'autres applications. Fail2ban est souvent utilisé pour sécuriser le port SSH mais il ne se limite pas à cela.

Si vous souhaitez mettre en place Fail2Ban pour améliorer la sécurité de votre accès SSH, je vous oriente vers ce tutoriel que j'ai écrit, il vous permettra d'installer Fail2ban et de le configurer pour sécuriser un accès SSH : http://www.it-connect.fr/premiers-pas-avec-fail2ban/

Également, d'autres tutoriels sur Fail2Ban ont été écrits par moi-même et par d'autres rédacteurs sur IT-Connect.

  • Honeypot : Kippo

Kippo est un HoneyPot, c'est à dire un pot de miel. Un Pot de miel a pour fonction d'attirer les abeilles puis de les piéger. Un HoneyPot reprend le même principe, il s'agit d'une fausse machine, d'un appât que l'on va mettre en place pour attirer les attaquants et les occuper. Lorsqu'un attaquant va tomber sur le port 22 de notre HoneyPot, il va penser qu'il s'agit d'une machine légitime et réussir à y pénétrer (étant donné que c'est une fausse machine, nous l'aiderons un peu en mettant un mot de passe simple par exemple). Nous pourrons alors étudier son comportement, bloquer son IP pour protéger nos autres serveurs.

J'ai également écrit un tutoriel sur ce Honey Pot SSH, je vous encourage à aller le voir et, pourquoi pas, mettre en place Kippo : http://www.it-connect.fr/honey-pot-ssh-avec-kippo/

  • La sécurité de l'accès SSH : Les conseils de l'ANSSI :

L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) publie régulièrement des rapports, conseils et "white paper" (guide de bonnes pratiques). Je vous recommande chaudement de lire toutes les publications de l'ANSSI. Celle qui nous intéresse dans le contexte de ce cours SSH est le guide de bonnes pratiques sur le déploiement, la configuration et l'utilisation de SSH. Ce document et l'application des règles et conseils qui s'y trouvent vous permettra de construire une base de sécurité solide autour de l'utilisation de SSH dans votre entreprise.

Pour les intéressés, voici le lien du document : http://www.ssi.gouv.fr/uploads/IMG/pdf/NP_OpenSSH_NoteTech.pdf


Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

    Mickael Dorigny

    Fondateur d'IT-Connect.fr et d'Information-security.fr. Auditeur sécurité chez Amossys.

      mickael a publié 475 articles sur IT-Connect.See all posts by mickael