Bonjour,
En ce moment je met à jour mon pare-feu avec iptables.
J'ai plusieurs services sur une raspberry :
-ssh -> associé à fail2ban
-sftp par ssh -> protégé par id & mot de passe
-xmpp -> protégé par id & mot de passe
En prenant l'exemple du serveur xmpp, un daemond écoute pour réceptionner les messages venant des clients.
Solution 1 :
Est-ce que comme sftp par ssh il ne peut utiliser le service qu'avec un bon id et mdp ?
Si il est bloqué à ce niveau la il faut un fail2ban pour sftp par ssh et fail2ban pour xmpp ! Sinon on est assujéti à des attaques par dictionnaire, …
Solution 2 :
Filtrer les IP mais dans le cas de téléphones sur 3G/4G, … l'IP n'est pas statique.
Par ailleur je me demande lorsqu'un paquet passe de la box à la raspberry quelle adresse a t-il? Celle de la box ou celle de départ ?
Solution 3 :
Envoyer un mail si intrusion
Merci pour vos retours d'expériences.
# comprendre comment ca marche peut aider dans ta recherche
Posté par NeoX . Évalué à 2.
ssh associé à fail2ban => en fait ssh via ssh
une erreur de login (tentative d'intrusion) est loggé,
fail2ban voit cette erreur, la compte, et surveille s'il y en a d'autre,
s'il y en a trop en provenance d'une source, pendant un temps donné => cela creer automatiquement un regle qui bloque la source (via l'IP)
du coup, tu as
- ssh via ssh avec id/pass
- sftp via ssh avec id/pass
- xmpp via id/pass
qui devient donc
- ssh ou sftp, via id/pass => fail2ban surveille deja les logs ssh
- xmpp via id/pass
1°) donc oui, si tu veux bloquer les attaques par dictionnaire, il faut configurer fail2ban pour analyser les logs xmpp, et comme pour ssh bloquer s'il y a trop de tentative, trop rapide, etc
2°) ca il faut que tu fasses le test, mais il n'y a pas de raison pour que la box fasse du NAT en entrée (masquant l'IP publique à ton RPi) et ne presentant que son IP
3°) cf la configuration de fail2ban qui doit pouvoir jouer un script en plus de faire des regles
attention, tu risques de te faire spammer pour les tentatives d'intrusions, non pour l'intrusion en elle meme
car une tentative sera vu et bloquer par fail2ban,
une intrusion sera vue comme un acces normal
[^] # Re: comprendre comment ca marche peut aider dans ta recherche
Posté par electro575 . Évalué à 1.
Actuellement,
1°) oui configurer fail2ban
ssh : OK via fail2ban
sftp : IP non banni si trop de tentatives
xmpp : analyser les logs xmpp
2°) fail2ban avec script d'envoie de mail si IP banni
Si 1°) -> OK pas besoin du 2°)
3°) gérer les IP, non nécessaire si 1°) mis en place.
Nécessaire si changement IP & hacker
->
4°) Cas de figure si trop d'essai via plusieurs machines dans la même journée
Bonne feuille de route, merci
[^] # Re: comprendre comment ca marche peut aider dans ta recherche
Posté par NeoX . Évalué à 2.
voire comme pour xmpp, si ca se trouve les lignes de log et la config de fail2ban ne matchent pas
3°) et 4°)
necessaire si changement IP&hacker, non, tu ne pourras pas detecter que c'est le meme hacker autrement que par l'adresse IP
c'est un couple IP/nombre d'erreurs qui declenche le fail2ban
si l'attaquant change d'IP entre chaque attaque, et que les attaques sont suffisamment espacées fail2ban ne verra rien
attention si toi meme tu te trompes dans ton couple id/pass (d'ou l'interet d'une clef SSH, qui ne se trompe jamais)
tu peux te retrouver à te bloquer toi meme si tu es trop restrictif dans fail2ban
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.