• # Pas mal !

    Posté par . En réponse à la dépêche MySafeIP: un tiers de confiance pour votre pare-feu !. Évalué à 2.

    Projet intéressant en effet.

    J’utilise d’autre techniques, plus archaïque mais ça marche bien, ca a beaucoup réduit les scan de scripts kiddies :
    - Pour SSH: port-knocking ICMP. Pas besoin de client, et ça reste simple. Avec un SSH tar pit en plus (endlessh), ça leur fera les pieds !
    - Pour les sites web public: je reste avec du purement static (genre Jekyll), pas de PHP ou autre, ça limite la surface d’attaque à Nginx.
    - Pour les sites privés: authentification client par certificat SSL. Ça demande de gérer des certificats et de les installer dans les navigateurs des gens de ta famille, mais c’est diablement efficace. Si pas de certificat, la connection SSL monte pas.

    Le filtrage par IP ça peut poser problème pour les gens en 4G/5G. L’IP publique est partagée avec d’autre personnes et elle peut changer d’un site à l’autre. J’ai souvent ce problème avec des captchas qui tourne en boucle vu que mon IP publique n’est pas stable.