Bonjour tout le monde !
J'ai bien envie de tenter ça, mais j'aimerais bien vos avis d'abord :
Autoriser certains ports et surveiller ces derniers avec Fail2ban (Maxretry : 2).
DROPPER tous les AUTRES ports avec BAN immédiat pendant plusieurs jours. Et si récidive, pendant 6 mois mini.
Oui, je me demande, pourquoi attendre pour les bannir ? Cela m'éviterait l'utilisation de PortSentry ou autre.
Je me demande aussi, existe t'il des scans de ports "légitimes" ou même des connexions d'inconnus ?
Merci de vos avis 
Vous allez vous retrouver avec une banlist énorme sans grand intérêt…
De toute façon les ports non utilisés sont fermés, par conséquent des gus peuvent bien essayer de s'y connecter vous ne risquez strictement rien…
Que la connexion soit bloquée au niveau du parefeu ne change rien vu qu'aucun service n'écoute derrière…
Et le ban de 6 mois ne sert pas à grand chose, 1 semaine max est suffisant.
Et je rajouterai que :
- Soit un service doit être accessible depuis le web, dans ce cas les connexions sont légitimes et autorisées
- Soit un service ne doit pas être accessible depuis le web et normalement vous avez déjà un parefeu qui vous protège à ce niveau.
MerciSich !
En fait, je me disais, si je les attrape en train de tenter de se connecter, je pourrais les bannir avant qu'ils n'aillent fouiner sur mes autres ports. Bonne tactique ou non ?
Ben pour les voir se connecter à un autre port vous allez parer les logs du parefeu ?
Comme dit, vous pouvez le faire, mais vous allez vous retrouver avec une banlist monstrueuse vu ce qui se trimbale sur le web…
Dans ce genre de scénario je déconseille de bannir + d'une semaine… Sinon vous allez vraiment vous retrouver avec une liste énorme…
Vous utilisez quoi pour la banlist ? Ipset est probablement a recommander, si vous bloquez trop d'ip avec iptable vous allez vous retrouver avec des pertes de performances…
Oui c'est IPtables qui bloque.
Merci pour IPset, je vais creuser et je vais donc commencer par 1 semaine et adapter en fonction du résultat.
Merci Sich et bon WE !
Perso, j'ai un peu la même logique que toi @AnthonyD21, mais j'utilise Portsentry avec certains ports ouverts dans le firewall.
Le problème avec cette stratégie, c'est que je ne crois pas que portSentry dé-ban les IP.
Donc effectivement comme le dit @Sich la liste d'IP bannies est assez importante sur chaque machine.
Je reset de temps en temps la BDD de portsentry pour palier ce problème, même si je n'ai jamais constaté une grosse conso de netfilter avec quelques milliers d'IP bannies.
Le faire avec fail2ban est peut être plus efficace mais il faut avoir un log à analyser et donc un service qui tourne derrière chaque port ouvert en "piège".
Il gère le dé-ban, mais une semaine me parait excessif. De plus fail2ban n'est pas neutre au niveau conso de ressources.
Bonjour,
sinon activer la jail "portsentry" de fail2ban est tout aussi efficace.
Cordialement, janus57
Merci, bonne idée !
OK merci Janus, je vais tenter ça.
Si j'ai bien compris :
Portsentry écrit un log après connexion d'une IP sur un port piège.
Fail2ban surveille ces logs et banne l'IP récidiviste puis débanne l'IP qques jours après.
C'est bien ça ?
Bonjour,
C'est bien ça, après il est possible d'affiner les réglages dans facilitant comme le nombre de tentatives et/ou la durée et/ou comment bloquer.
Cordialement, janus57
Et comme méthode de ban sur fail2ban pensez à utiliser ipset…
normalement il y a des actions déjà prévues pour ça dans l'install par défaut.