Forum Linux.débutant Pare feu : mise à niveau

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
0
24
nov.
2017

Bonjour,

En ce moment je met à jour mon pare-feu avec iptables.

J'ai plusieurs services sur une raspberry :
-ssh -> associé à fail2ban
-sftp par ssh -> protégé par id & mot de passe
-xmpp -> protégé par id & mot de passe

En prenant l'exemple du serveur xmpp, un daemond écoute pour réceptionner les messages venant des clients.

Solution 1 :

Est-ce que comme sftp par ssh il ne peut utiliser le service qu'avec un bon id et mdp ?

Si il est bloqué à ce niveau la il faut un fail2ban pour sftp par ssh et fail2ban pour xmpp ! Sinon on est assujéti à des attaques par dictionnaire, …

Solution 2 :

Filtrer les IP mais dans le cas de téléphones sur 3G/4G, … l'IP n'est pas statique.

Par ailleur je me demande lorsqu'un paquet passe de la box à la raspberry quelle adresse a t-il? Celle de la box ou celle de départ ?

Solution 3 :

Envoyer un mail si intrusion

Merci pour vos retours d'expériences.

  • # comprendre comment ca marche peut aider dans ta recherche

    Posté par  . Évalué à 2.

    ssh associé à fail2ban => en fait ssh via ssh

    une erreur de login (tentative d'intrusion) est loggé,
    fail2ban voit cette erreur, la compte, et surveille s'il y en a d'autre,
    s'il y en a trop en provenance d'une source, pendant un temps donné => cela creer automatiquement un regle qui bloque la source (via l'IP)

    du coup, tu as
    - ssh via ssh avec id/pass
    - sftp via ssh avec id/pass
    - xmpp via id/pass

    qui devient donc
    - ssh ou sftp, via id/pass => fail2ban surveille deja les logs ssh
    - xmpp via id/pass

    1°) donc oui, si tu veux bloquer les attaques par dictionnaire, il faut configurer fail2ban pour analyser les logs xmpp, et comme pour ssh bloquer s'il y a trop de tentative, trop rapide, etc

    2°) ca il faut que tu fasses le test, mais il n'y a pas de raison pour que la box fasse du NAT en entrée (masquant l'IP publique à ton RPi) et ne presentant que son IP

    3°) cf la configuration de fail2ban qui doit pouvoir jouer un script en plus de faire des regles
    attention, tu risques de te faire spammer pour les tentatives d'intrusions, non pour l'intrusion en elle meme
    car une tentative sera vu et bloquer par fail2ban,
    une intrusion sera vue comme un acces normal

    • [^] # Re: comprendre comment ca marche peut aider dans ta recherche

      Posté par  . Évalué à 1.

      Actuellement,

      1°) oui configurer fail2ban

      ssh : OK via fail2ban

      sftp : IP non banni si trop de tentatives

      xmpp : analyser les logs xmpp

      2°) fail2ban avec script d'envoie de mail si IP banni
      Si 1°) -> OK pas besoin du 2°)

      3°) gérer les IP, non nécessaire si 1°) mis en place.
      Nécessaire si changement IP & hacker
      ->

      4°) Cas de figure si trop d'essai via plusieurs machines dans la même journée

      Bonne feuille de route, merci

      • [^] # Re: comprendre comment ca marche peut aider dans ta recherche

        Posté par  . Évalué à 2.

        sftp : IP non banni si trop de tentatives

        voire comme pour xmpp, si ca se trouve les lignes de log et la config de fail2ban ne matchent pas

        3°) et 4°)
        necessaire si changement IP&hacker, non, tu ne pourras pas detecter que c'est le meme hacker autrement que par l'adresse IP
        c'est un couple IP/nombre d'erreurs qui declenche le fail2ban
        si l'attaquant change d'IP entre chaque attaque, et que les attaques sont suffisamment espacées fail2ban ne verra rien

        attention si toi meme tu te trompes dans ton couple id/pass (d'ou l'interet d'une clef SSH, qui ne se trompe jamais)
        tu peux te retrouver à te bloquer toi meme si tu es trop restrictif dans fail2ban

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.