J’ai tenté d’installer knockd pour SSH mais j’ai rencontré trop de problèmes d’association avec le jeu de clefs. j’ai donc abandonné.
Par contre, je voudrais bien tenter d’installer knockd pour mon serveur de courrier-maison.
Quels sont les ports concernés ?
J’utilise ‘Postfix’ et ‘Icedove’
Imap : 143
smtp : 25
Je suppose que l’emploi ne gêne pas la réception et l’envoi des mails ?
Y-a-t-il quelque chose de particulier à savoir ?
Si ton serveur reçoit du courrier extérieur en SMTP, il ne faut pas utiliser de port knocking sur le port 25.
Oui, c’est le cas.
En quoi alors le port knocking est-il utile concernant les mails ?
Peut-on l’utiliser, et comment, pour éviter les tentatives d’utilisation (répétition, je sais) par autrui ?
Oui, c’est le cas.
En quoi alors le port knocking est-il utile concernant les mails ?
Peut-on l’utiliser, et comment, pour éviter les tentatives d’utilisation (répétition, je sais) par autrui ?[/quote]
Dans le cas du mail il n’y a à mon sens pour ton installation et ton utilisation aucun intérêt.
Regarde plutôt pour obliger l’authentification lors de l’envoi de mail.
L’utilité du portknocking réside dans la possibilité de rendre accessible ou non un software écoutant sur un port bien spécifique (serveur ssh, panel de gestion, etc …
Tu peux l’utiliser pour l’IMAP, si ce service est accessible depuis internet.
De manière générale, le port knocking peut se mettre en place pour des services accessibles depuis internet mais réservés à un certain nombre d’utilisateurs autorisés, donc pas un serveur web public ni un MX.
Et si je l’utilise pour Imap (port 143 ?), est-ce que ça aura une incidence sur les volontés d’intrusion des mal-intentionnés ?
Un exemple, assez rare, du rapport journalier de logwatch sur mon serveur :
[quote]--------------------- Postfix Begin ------------------------
4.513K Bytes accepted 4,621
4.513K Bytes delivered 4,621
======== ==================================================
2 Accepted 7.69%
[b]24 Rejected 92.31%[/b]
26 Total 100.00%
======== ==================================================
24 5xx Reject relay denied 100.00%
24 Total 5xx Rejects 100.00%[/quote]
======== ==================================================
Fail2ban fait bien son travail mais c’est chiant de lire ce genre de rapport.
Cela empêchera ceux qui ne connaissent pas la séquence de port knocking de se connecter à ton serveur IMAP. Par contre cela n’empêchera pas le spam ou les tentatives d’utiliser ton MTA postfix comme relais ouvert, puisque le serveur SMTP doit rester accessible sans portknocking (tu ne peux pas demander à tous les MTA utilisés pour t’envoyer du mail de faire la séquence avant).
[quote=“ricardo”]Et si je l’utilise pour Imap (port 143 ?), est-ce que ça aura une incidence sur les volontés d’intrusion des mal-intentionnés ?
Un exemple, assez rare, du rapport journalier de logwatch sur mon serveur :
[quote]--------------------- Postfix Begin ------------------------
4.513K Bytes accepted 4,621
4.513K Bytes delivered 4,621
======== ==================================================
2 Accepted 7.69%
[b]24 Rejected 92.31%[/b]
26 Total 100.00%
======== ==================================================
24 5xx Reject relay denied 100.00%
24 Total 5xx Rejects 100.00%[/quote]
======== ==================================================
Fail2ban fait bien son travail mais c’est chiant de lire ce genre de rapport.[/quote]
On n’y peut pas grand chose, ce n’est qu’une énième “attaque” bots de plus. Pas trop de souci à se faire si ton smtp est correctement configuré.
Merci Pascal, Clochette et Argentsteel, vous me confirmez que dans mon cas, Knockd n’est pas utile et que je dois me suffire de la mise à l’écart des chieurs par Fail2ban.
Inutile, je pense, que j’ouvre le même genre de post pour le WWW port 80 ?
Je me demande si tu as bien compris comment fonctionne et à quoi sert le port knocking…
Je crois que oui docteur mais j’aime tellement te faire réagir que je ne peux m’empêcher de poser des questions 
Y’en a qui sont méchants, y’en a qui sont chiants !
Je vais quand même te dire ce que j’en ai compris :
Cacher aux sniffeurs l’existence d’un port en n’ouvrant ledit port qu’à la demande et pendant le minimum de temps possible, voire juste ce qu’il faut pour entrer les séquences avec ‘cmd_timeout= XX’.
Ce délai XX étant passé, le port est de nouveau fermé, sauf pour la séquence en place si la ligne “…ESTABLISHED…” est bien présente dans le parefeu.
Tu verras quand tu seras vieux, non seulement tu resteras ‘méchant’, mais en plus, tu deviendras ‘chiant’.