Article Interessant, Témoignages

Protéger son serveur en utilisant Fail2Ban par Samir Hamouti en RARE2013

Introduction : fail2ban

Comme toutes les machines exposées au réseau Internet, un serveur Web est continuellement la cible de tentatives d’attaques basiques de type brute force et DOS (denial of service attack). Nous allons aujourd’hui parler d’une solution de protection active se déclenchant automatiquement lors d’une de ces attaques : Fail2Ban.

Comment marche Fail2Ban ?

Développé en langage Python, Fail2Ban est un logiciel libre permettant d’analyser des fichiers de logs et de déclencher des actions si certaines choses suspectes sont détectées. La grande force de Fail2ban est sa grande modularité (un monde libre ) que cela soit au niveau des mécanismes de détections basées sur les expressions régulières ou sur les actions à mener qui peuvent aller de l’expédition d’un mail à la mise » en place de règle de Firewall.
Fail3base se base sur un système de prisons que l’on peut définir, activer ou désactiver dans un simple fichier de configuration (/etc/fail2ban/jail.conf)

Une prison dite Jail est composée, entre autres, des éléments suivants :

· Nom du fichier de log à analyser

· Filtre à appliquer sur le fichier de log (la liste des filtres disponibles se trouve dans /etc/fail2ban/filter.d). Il est bien sûr possible de créer ses propres filtres.

· Paramètres permettant de définir si une action doit être déclenchée quand le filtre correspond (« match») : nombre de « match » (maxretry), intervalle de temps correspondant (findtime)…

· Action à mener si nécessaire. La liste des actions se trouve dans /etc/fail2ban/action.d. il est également possible de créer ses propres actions.

Pourquoi ?

Le but de fail2ban est d’empêcher une attaque qui, par brute force, trouve un identifiant/mot de passe permettant l’accès à un service. Les postes serveurs ne dormant jamais, ils sont la cible d’attaques automatiques en provenance de partout. Et sans un tel outil, qui sanctionne les tentatives, plus un serveur est rapide à répondre, plus il est menacé.

Le paramétrage par défaut de la sanction est de 10mn, alors faisons un petit calcul : si un attaquant du service SSH fait 5 tentatives toutes les 10mn (il ne se fait sanctionner qu’à 6 erreurs), alors sans jamais se faire bloquer, il pourra effectuer 5×(60/10)×24×365=262800 tentatives par an, soit plus d’un quart de million. Alors supposons qu’un individu dispose de 10 postes (10 IP) d’où lancer une attaque, il aura effectué au bout d’un an 2.6 millions d’essais, et avec 100 ou 1000 postes, 26 millions ou 260 millions. On voit donc bien que 10 minutes n’est pas une sanction suffisante.

Conclusion :

Actuellement ma boite subit des attaques DDOS il m’a semblé important d’avoir un bref focus sur cette solution Fail2ban qui nous a au moins fait du ménage, En effet nous avons mis en place cette solution il y a environ 1 mois et nous avons eu environ 10 500 mails d’alerte d’attaque potentielle. clip_image002

Vous trouverez ici toutes les informations concernant la configuration et l’installation pour Fail2Ban.

Equivalant windows Cyberarms IDDS

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s