[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [HS][up!] fail2ban




Le 16 févr. 15 à 14:18, Vincent Lefevre a écrit :

On 2015-02-15 12:22:34 +0100, Philippe Gras wrote:
Le 15 févr. 15 à 12:08, BERTRAND Joël a écrit :

Philippe Gras a écrit :

Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :

Philippe Gras a écrit :
OKKKKKKKKKAAAAAAAAAAAYYYYYYYYYY !

Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :

Philippe Gras a écrit :
Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage
l'attaquant.

   Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si
le
port est ouvert (et saturé) ou fermé, ou s'il y a même une machine
sur
cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde.
Avec
un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
autre chose.

   Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu protégée,
ils
passent à une autre.

Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu…
repasseras
;-)

   La boîte noire n'est jamais une solution quand on parle de
sécurité.

La boîte noire ? Que veux-tu dire par-là ?

Que faire croire qu'il n'y a aucune machine qui répond sur cette adresse IP n'est pas la solution. Rejeter le paquet signifie "j'ai bien vu ta
tentative et je t'emmerde".

D'un autre côté, faire un DROP embête plus l'attaquant, qui va perdre
son temps à faire des requêtes qui n'aboutiront pas. Mais...

Non, le DROP n'embête pas plus l'attaquant que ça. Tu loues un VPN à
la journée, la semaine ou au mois et t'as un abonnement identique pour
X, Y ou Z Ko de trafic, dans une certaine limite évidemment.

Le plus galère dans la sécurité, ce n'est pas le plus dangereux. On a en
effet 2 types d'attaquants :
Les script kiddies, qui te bouffent un max de ressources, mais ne te font
	pas réellement de dégâts.
Les vrais pirates, qui savent infiltrer un serveur incognito.

Il faut bien se dire que fail2ban te permet de bloquer les premiers, et de
sauver ainsi énormément de ressources. Pour les autres…

Le fait d'avoir changé le DROP en REJECT m'a permis d'en décourager
beaucoup, en seulement quelques jours. Je suis en train de généraliser
l'option sur tous mes filtres.

Avec  le DROP quand tu lèves le ban, tu vois les mêmes IP réapparaître.

On a vraiment l'impression que les mecs ne récupèrent pas les données
de leurs bots, c'est n'importe quoi !


Oui, tu as 1.000.000 fois raison ! Il y a un module pour envoyer des
réclamations abuse

dans fail2ban. J'aimerais bien l'activer aussi, mais je n'ai pas trouvé
comment faire.

un abuse serait peut-être mieux. Ceci dit, je ne sais pas si
les principaux FAI concernés (en général chinois) prendraient
des mesures. Pour info, j'ai ceci dans mon /etc/hosts.deny:

# Permanent SSH ban due to many attempts (according to fail2ban)
# CHINANET-ZJ-HU (CN)
sshd: 61.174.48.0/21
# HEETHAI-HK (CN)
sshd: 103.41.124.0/24
# CHINANET-ZJ-SX (CN)
sshd: 115.231.216.0/21
# CHINANET-ZJ-HU (CN)
sshd: 122.225.96.0/19
# CHINANET-JS (CN)
sshd: 218.2.0.0/16
# UNICOM-JL (CN)
sshd: 222.160.0.0/14

Quand elles aboutissent chez des gens sérieux perchant dans des pays
sérieux, l'effet

rafraîchissant est garanti. Je reçois plein de pourriels de chez OVH en ce
moment, et je

sais qu'en les dénonçant, ils vont cesser leur petit jeu débile.

Les mecs ont déjà usé 3 IP pour me faire ch… et je suppose qu'ils en ont
d'autres. Si je

J'ai déjà blacklisté plus de 500 adresses IP de chez OVH (toutes
provenant de sous-réseaux propageant le même modèle de spam: quand
j'en vois un, je me dis que ça vient de chez OVH, et effectivement).

pouvais leur faire suspendre leur abonnement, ça me ferait bien plaisir :-).

Ce n'est pas ça qui va gêner les spammeurs. Tant qu'il n'y a pas de
grosse conséquence financière...

--
Vincent Lefèvre <vincent@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/ blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/ [🔎] 20150216131856.GA17564@xvii.vinc17.org



Reply to: