Bonjour à tous,
Je cherche à filtrer les IP de certains pays pour enlever de la charge CPU et éviter des problèmes de fuite de données.
Est-ce que vous avez des pistes de mise en oeuvres ?
J'ai trouvé ce site internet qui pourrait être une piste à suivre mais, j'ai ufw en ce moment.
https://www.cyberciti.biz/faq/block-entier-country-using-iptables/
Avec la liste des IP à bloquer,
https://www.ipdeny.com/ipblocks/
Merci d'avance pour vos retours d'expériences.
Qu'utilisez-vous ? iptables ? ufw ? … fail2ban
# Pas testé
Posté par aurel (site web personnel, Mastodon) . Évalué à 3.
https://gist.github.com/jasonruyle/8870296 ?
# Se concentrer sur l'essentiel
Posté par _kaos_ . Évalué à 6. Dernière modification le 21 mars 2020 à 11:33.
Salut,
Bon, tu vas faire comment à l'heure du VPN ?
Sécurise plutôt tes données.
Matricule 23415
[^] # Re: Se concentrer sur l'essentiel
Posté par electro575 . Évalué à 0.
Sécurise plutôt tes données.
Qu'est-ce que tu proposes comme solution pour cela ?
[^] # Re: Se concentrer sur l'essentiel
Posté par Tonton Th (Mastodon) . Évalué à 4.
Ne pas en avoir ?
[^] # Re: Se concentrer sur l'essentiel
Posté par _kaos_ . Évalué à 1.
Salut,
:)
Bon dès fois t'as un peu besoin d'en avoir, comme des hash de password :)
Matricule 23415
[^] # Re: Se concentrer sur l'essentiel
Posté par _kaos_ . Évalué à 3.
Salut,
Bin comme c'est complètement vague comme description, je ne peux pas fournir de recommendation. :)
Matricule 23415
[^] # Re: Se concentrer sur l'essentiel
Posté par totof2000 . Évalué à 2.
L'un n'empeche pas l'autre.
J'ai chez moi une machine qui me sert de firewall … j'ai ouvert les ports 443 et 22 en entrée pour permettre d'acccéder à mon réseau interne. Cependant je constate parfois des pics de montée en charge CPU sur ce firewall parce que j'ai des bots qui essaient de se connecter sur mon réseau avec des mots de passe bidon. Ca a tendance à ralentir mon débit (le temps que le CPU traite ces paquets, il ne traite pas les paquets légitimes).
Pour le PI, essaie de mettre en place un truc du genre fail2ban: Ca n'empechera pas les attaques mais ça réduira un peu leur impact
[^] # Re: Se concentrer sur l'essentiel
Posté par _kaos_ . Évalué à 3.
Salut,
Je ne dis pas le contraire, ou si c'est lu comme ça, c'est une mauvaise formulation de ma part. :)
Ce que je dis, c'est qu'il faut d'abord se préoccuper de la sécurisation des données, et après régler les problèmes d'accès.
Dans l'autre sens, c'est soit du blackout total pour certains utilisateurs légitimes, ou une mesure non confinée ;)
Matricule 23415
[^] # Re: Se concentrer sur l'essentiel
Posté par totof2000 . Évalué à 3.
En fait c'est le "d'abord" qui me gène. Pour moi il faut s'occuper des deux.
Tu peux avoir tes datas hyper sécurisées, ça ne sert à rien si celles-ci sont inaccessibles parce qu'un tas de bots t'empêche d'y accéder. Mais je suis d'accord avec ti sur le fait qu'il faut s'occupezr de la sécurité des données. Mais pour moi il n'y a pas de hiérarchie. Ce sont des réponses à des problématiques différentes.
[^] # Re: Se concentrer sur l'essentiel
Posté par ted (site web personnel) . Évalué à 4.
Je pense que ton firewall est déjà bien sécurisé, mais que ça pourrait aider pour réduire la charge CPU:
- Utiliser un port autre que 22: ça devrait réduire les attaques simples
- Désactiver la connexion par mot de passe
- Ouvrir le port SSH que lorsque c'est nécessaire? Ça devait pouvoir se faire depuis une interface web.
Un LUG en Lorraine : https://enunclic-cappel.fr
[^] # Re: Se concentrer sur l'essentiel
Posté par Tonton Th (Mastodon) . Évalué à 2.
Mais qui va contrôler l'ouverture de l'interface web ?
[^] # Re: Se concentrer sur l'essentiel
Posté par Graveen . Évalué à 2.
Il a raison. Sur un port SSH classique, si on enlève déjà le traffic venant d'Europe de l'est ou d'Asie, on dégage 90% de brute force.
Fail2ban marche bien, mais une segmentation par IP est aussi très efficace.
Ici, c'est Stomrshield qui s'en occupe, si je ne l'avais pas, j'utiliserais un truc pour le faire :)
[^] # Re: Se concentrer sur l'essentiel
Posté par electro575 . Évalué à 1. Dernière modification le 25 mars 2020 à 14:45.
Effectivement
# les drop list de spamhaus par exemple
Posté par NeoX . Évalué à 2. Dernière modification le 21 mars 2020 à 20:03.
https://www.spamhaus.org/drop/
tu recuperes les drop et e-drop
ce sont des fichiers textes, tu parses et generes la règle qui va bien pour ton firewall.
ca va deja éliminer par mal de monde.
ensuite si tu veux le faire par pays, il doit bien y avoir des geoListes, apache sait le faire il me semble.
Ah, justement c'est ce que propose les listes fournies sur ipdeny.
/!\ attention le copyright du site s'arrête à 2016, les données sont-elles à jours ?
tu recuperes le TGZ, le decompresse, ca te fait un fichier par pays.
tu fais un script avec la liste des pays à bloquer (ou à autoriser) et tu boucles sur tous les fichiers pour faire les règles qui vont bien.
le plus simple pouvant être de lister les pays autorisés (disons le FR) et de bloquer les autres.
il y a meme des exemples sur internet avec UFW
ici par exemple : https://community.spiceworks.com/topic/1989139-block-list-of-ip-s-from-txt-file-in-ufw
[^] # Re: les drop list de spamhaus par exemple
Posté par electro575 . Évalué à 1.
C'est une bonne piste déjà
# Non !!!
Posté par gUI (Mastodon) . Évalué à 4. Dernière modification le 22 mars 2020 à 13:51.
Une adresse IP n'est pas une géolocalisation.
J'ai été victime de ce raccourcis : OVH avait racheté des IP Russes et j'ai été considéré comme Russe pendant un bon moment sur mon ADSL perso. C'est chiant, vraiment. Et en plus c'est raciste au plus haut point ("les Russes sont tous des hackers").
Donc pitié, pas ça, en plus d'être inutile (les Russes n'ont pas découvert le VPN peut-être ? Tu crois que OVH refuse de louer ses serveurs avec IP française à des Russes ?) ça fait chier les honnêtes gens (99,9% de la population, un détail).
Si vraiment le service dont tu parles est limité (style les employés de ton entreprise), il vaut peut-être mieux passer par une whitelist : tu interdits tout le monde sauf… Mais bon courage avec des FAI comme Orange qui donnent encore des IP variables.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Non !!!
Posté par flavien75 . Évalué à 2.
En plus d'avoir changé le numéro de port SSH, on faisait également ça dans mon premier boulot.
Le problème des IP dynamiques était réglé par un script qui mettait à jour la whitelist en fonction d'un dyndns.
Les vrais naviguent en -42
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.