Actions











Le pare-feu de MenzoNet

Écrit le 22 June 2015 @ 11:42 par Drizzt

Informatique - SécuritéJe l'ai promis il y a longtemps.. le voici enfin! Voici comment MenzoNet se protège des méchants Wink

Comme c'est une petite installation plutôt type Lab, MenzoNet n'a pas les moyens de s'acheter un UTM qui bloquerait toutes sortes de menaces et aurait des frais récurrents. La solution que nous utilisons est donc basée sur de l'équipement peu coûteux, performant, flexible et programmable, i.e. un routeur Mikrotik!

La flexibilité des routeurs Mikrotik permet de détecter quelques attaques, par exemple ShellShock, et de bloquer le trafic alors qu'il transige. Il est aussi possible d'envoyer des commandes via SSH ou encore via des APIs.

Pour éviter que les pas fins aient le temps de tester des choses, mon serveur récolte plusieurs blacklists sur Internet ( Emergin Threats, DShield, OpenBL, SpamHaus, Blocklist.de, CINSscore, BruteForce Blocker et la liste des Tor Exit Nodes). Les scripts génère les commandes requises pour mettre à jour les routeurs et les exécutent sur ceux-ci. Certaines de ces listes sont automatisées, la mise à jour se fait donc aux 15 minutes.

Ces blacklists m'ont générés environ 190 000 adresses IP bloquées. Dès que l'une de ces IPs me contacte, elle est ajoutée dans une liste Banned pour 10 jours. Si un nouvelle connexion est tentée pendant ces 10 jours, le compteur recommence au début.

Il y a plus de 1650 de ces IPs blacklistés qui ont été bloqués dans les 25 derniers jours.

Comme les pas gentils ont des réseaux de machines infectées qui grossissent tout le temps, il arrive que des connexions malsaines ne soient pas bloquées par ces listes. Il y a donc des politiques de programmées dans le routeur.

Si, par exemple, un même IP tente de se connecter telnet, SSH, RDP ou VNC 7 fois en 20 minutes, il est ajouté à la liste Banned pour 10 jours. Si un même IP se connecte POP3, POP3S, IMAP ou IMAPS plus de 14 fois en 15 minutes, il est aussi ajouté à la liste Banned pour 10 jours. Petit conseil, évitez les port scan sur mon IP public, c'est certain que vous allez être banni!

Il est aussi possible de détecter des attaques connues, tel que ShellShock. J'ai fini par retirer ces règles parce qu'elles étaient peu utilisées et parce que les BlackLists les bloquaient de toute façon.

Ces méthodes pour sécuriser mon réseau ne sont pas infaillibles. Elles permettent quand même d'éliminer beaucoup d'attaques potentielles avant même que mon serveur ait à répondre, économisant ainsi des ressources. Ces mêmes règles sont appliquées sur le routeur de ma mère, qui n'offre aucun service. Il y a pourtant plus de 460 IPs qui ont été bannies alors qu'elle n'offre aucun service sur Internet.

La sécurité sur Internet, ça commence avec l'accès physique à la machine et c'est dans toutes les couches du réseau, jusqu'à l'utilisateur!

Pas de commentaires


Tous les blogs
<< En maintenance vendredi | Retour aux blogs | Détection automatique de connexion de périphériques audio : quand ça ne fonctionne pas >>
Blogs de la même catégorie
<< MenzoNet n'a plus d'authentification texte clair | Pourquoi je n'aurai pas de téléphone Android >>