Bijour …
Bon ben je tente le killing-spree du week-end ^^ encore un article sur « comment améliorer sa sécurité » (Hadopi oblige 
) donc voilà, il semblerait selon un rapport d’étude pour HADOPI (merci) que SSH aide à pirater (si j’ai bien lu la page 11, on le fait carrément passer pour un logiciel de P2P … bande d’ignorants!!), et que donc il va falloir bannir son utilisation … pour telnet ?? :p ou bien « cacher » le service.
Pour ce faire on peut regarder du côté de mon rapide « tuto » sur le firewall iptable et en particulier le système de marquage de paquets, mais comme je l’ai dit, ça se bruteforce assez vite, par contre, on peut utiliser une technique similaire : L’utilisation d’un tunnel IPSec, avec comme règle : l’obligation d’utiliser le « protocole » ESP pour encapsuler la connexion SSH comme ça, en plus de protéger son service ssh d’éventuel « bruteforceur », on est sûr de l’identité des deux machines qui se connecte et on chiffre plusieurs fois notre connexion!! (ESP + AH + SSH).
Petite note : Comme le disait je sais-plus-trop-qui on va aller vers une généralisation de l’utilisation des systèmes de chiffrement grâce à HADOPI (je pense d’ailleurs que c’est une bonne chose, comme ça, lorsque le gouvernement voudra mettre en place le projet HERISSON, ils vont se casser les pics et devoir traiter des chiffrements encapsulés … j’imagine bien le truc du genre : ipsec (avec certificat) + encapsulation tcp-over-dnssec + encapsulation tcp-over-httpS (avec certificats valides signés par verisign ou …) + tunnel ssh pour l’envoi d’un texte chiffré par gpg dans un conteneur truecrypt avec chiffrement en 3 passes et hash sha-512 .. et tout ça pour dire à sa copine qu’on l’aime sans qu’une centaine d’agents du renseignement le sache elle est pas belle la vie ??).
Donc voilà … la parenthèse fermée … une petite config IPSec (à mettre dans /etc/ipsec-tools.conf) pour ce mettre en forme en ce Dimanche ensoleillé (tuto gentillement repiqué d’Ubuntu ^^ j’ai même gardé les mêmes clé, mais faudrait les générer si vous comptez utiliser la chose … pour ma part, je vais tenter la « roadwarrior » ^^) :
#!/usr/sbin/setkey -f flush; spdflush; # ici on a nos clés (une différentes pour chaque sens ...) utilisant du mac/md5 pour l'Authentication Header (AH) add 192.168.0.10 192.168.0.11 ah 0x200 -A hmac-md5 0xc0291ff014dccdd03874d9e8e4cdf3e6; add 192.168.0.11 192.168.0.10 ah 0x300 -A hmac-md5 0x96358c90783bbfa3d7b196ceabe0536b; # ici nos clés pour le Encapsulating Security Payload (pas l'esp en ASM :p) add 192.168.0.10 192.168.0.11 esp 0x201 -E 3des-cbc 0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831; add 192.168.0.11 192.168.0.10 esp 0x301 -E 3des-cbc 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df; # Nos politiques de sécurité ... en gros bourrin on oblige l'utilisation du chiffrement en direction/sorti du port 22 du serveur (ici l'ip 192.168.0.10) spdadd 192.168.0.10 22 0.0.0.0/0 any -P out ipsec esp/transport//require ah/transport//require; spdadd 0.0.0.0/0 any 192.168.0.10 22 -P in ipsec esp/transport//require ah/transport//require;
(ATTENTION vous pouvez perdre l’accès à votre serveur, et je vous rappel que vous êtes RESPONSABLE DE VOS ACTES … je ne pourrais pas être tenu responsable en cas d’échec(avec s au cas où ^^) de votre part … et ne dites pas que je ne vous ai pas prévenu ^^)
Vérifier que votre config IPSec soit plus ou moins juste avant de faire le /etc/init.d/setkey start, puis se connecter et lancer wireshark (ou un autre sniffer), il faut que le protocole retourner soit « ESP » et qu’il y ait bien l’ESP et l’AH (comme sur le screen …)
Bon bien sûr dans ce cas toutes nos connexions avec notre serveur seront chiffrées (encore mieux, comme ça, on peut se passer d’ssl… quoique ^^) et toutes tentatives de connexion au serveur SSH sans config IPSec sera rejetée (donc même les scans). Mais, malheureusement, cette technique nécessite une ip fixe pour le client … si c’est votre cas une roadwarrior s’impose [1] et [2](j’adore le nom … j’imagine bien le parcours du ninja ^^). Et voilà … un vous aurez donc un serveur HADOPI proof!!
Voilà … bonne paranoïa
