Bonjour,

Je voulais savoir, sur un serveur web Debian en termes de sécurité, est-ce que la désactivation du scan de port est réellement utile ?

Quelles sont les conséquences de cette désactivation ?

Il y a-t-il des répercutions sur les différents services ?

J’ai vu notamment le paquet portsentry qui permet de faciliter les choses vous en pensez quoi ?

Bonjour,

Ça ne se désactive pas le scan de port, ça se bloque.

Scanner les ports, c'est faire de la reconnaissance pour essayer de déterminer les ports ouverts et ensuite pouvoir déterminer les services en écoute et si ils sont exploitables à travers des failles ou une mauvaise configuration.

Le scan de port n'est pas dangereux en soi, par contre, c'est possiblement annonciateur d'une attaque. Dans la plupart des cas, ces scans sont automatisés et les actions prises en fonction du résultat du scan le sont aussi. Bloquer le scan de port permet de prémunir de nombreuses attaques (notamment d'attaque par dictionnaire) sur des services comme SSH.

Si tu as des services comme SSH ou FTP en écoute, je te conseille d'utiliser un logiciel comme portsentry ou fail2ban qui bloqueront en amont ces attaques (souvent par bannissement de l'adresse IP source). Ils sont efficaces comme première couche de protection pour des petits serveurs qui seront dans 99,9% des cas la cible de bot.

Bonjour,

Merci pour ta réponse, j'ai déjà fail2ban d'installé, mais je me disais pour limiter les attaques des kiddies, ça serait bien de bloquer le scan de port. Vu qu'ils ne savent pas quels ports est ouvert, bah ça complique un peu plus pour savoir quel service est actif.

Fail2ban ne bloque pas le scan à ma connaissance (je dis bien à ma connaissance) mais portsentry lui le fait, est-ce que ça vaut le coup d'avoir les 2 d'installés ?

Personnellement, je préfère fail2ban en couplant avec de la sécurité par l'obscurité (en changeant le port d'écoute de mes services) et en autorisant uniquement du trafic dont j'ai besoin au niveau du pare-feu. Ensuite, je suis consciencieux sur la configuration de mes services.

Portsentry met en place un honeypot et laisse rentrer une partie du trafic correspondant au scan pour le détecter. Je trouve que de toute manière, vu que je ne suis pas ciblé directement, ça ne sert à rien mis-à-part augmenter la charge sur le serveur car la plupart sont des bots de toute manière.

Les script kiddies, il font un scan avec Nmap ou Nessus et n'arriveront pas à exploiter des logiciels robustes. Je porterai plus mon attention sur le serveur Web dont les failles sont souvent plus simple à exploiter.

Il y a jamais «trop de sécurité», c'est vrai, donc tu peux très bien coupler les deux.

Cependant, attention à ne pas surcharger le serveur de solution que tu vas ensuite devoir maintenir en état opérationnel (mise-à-jour, config, veille).

OK, je vais me concentrer sur Fail2ban, une bonne config de mon serveur web et les règles mon pare-feu.