Banir des ip public



  • bonjour,

    je cherche comment bannir des ip qui tente de rentre sur mon reseau en testant les port .

    dans les log du firewall j ai les ip et peux faire add to block list.

    mais j aimerai automatiser comme avec fail2ban.

    je pense que l option doit exister dans pfsense.

    merci pour votre aide



  • @olivedu56:

    je pense que l option doit exister dans pfsense.

    Non elle n'existe pas dans Pfsense. Ce type de détection peut être réalisée au moyen d'un IDS/IPS. L'archétype étant un produit comme Snort. Toutefois il faudra écrire la ou les règles et les actions qui vont avec. Il existe bien un package Snort pour pfsense. Je déconseille son installation sur le firewall lui même. Notamment parce que les ressources nécessaires à un fonctionnement efficace de Snort peuvent peser lourdement sur le firewall. Par ailleurs Snort, comme tout logiciel, comporte son lot de failles et bug en tout genre. Ce ne sont pas, loin de là, les seules raisons, mais je n'ai pas le temps de détailler tout cela. Nous sortirions du cadre de ce forum.



  • Ce qui est pratique avec des systèmes automatique de banissement d'ip, c'est qu'on peut … se banir soi-même ! (que celui à qui ce n'est jamais arrivé me jette la première pierre ...)
    En mettant un tel système en place, et en mettant des règles particulières en pensant à cette situation non souhaitée, il arrive toujours qu'on a oublié un cas, et bim !

    Il vaut mieux un système d'alerte : on traite ou pas.

    Sinon, pas mieux que ccnet :

    • évitez de mettre en place un IDS sur un firewall à cause des ressources (mém, cpu) nécessaires et de la fragilité induite à ajouter un addons
    • bien pesez la complexité de compréhension et de réglage d'un tel système (surtout versus fail2ban, qui est très simple)
    • le positionnement d'un IDS côté WAN est particulièrement complexe ... (switch avec recopie de trafic, cfg en accord avec celle du firewall ...)
    • enfin un IDS fait beaucoup beaucoup d'autres choses que la détection de scan : avalanche d'alertes à prévoir ...


  • Sans répondre exactement au besoin tel que tu l'exprimes, pfBlockerNG peut être une solution qui peut t'intéresser



  • Je rajouterai, suis à ma brève réponse précédente, qu'il m'est arrivé de me poser la même question que toi et que j'ai finalement opté pour une approche différente.

    • les seuls ports vraiment ouverts coté WAN (pour accéder à la machine pfSense) sont ceux du VPN pour lesquels il convient bien sûr d'avoir des mécanismes d’authentification correctement configurés.
    • les autres ports sont des redirections vers des services qui tournent sur la DMZ: serveur de mail principalement, HTTPS, etc…

    Il est plus simple, à mon avis, de configurer fail2ban au niveau de ces serveurs, pour les services exposés par chacun des serveurs, plutôt que vouloir traiter le problème au niveau du firewall.

    La mise en œuvre d'IDS (et surtout d'IPS) demande beaucoup de travail et de suivi, avec, je suis bien d'accord, un risque significatif de se fermer la porte ou de rendre le service inaccessible aux utilisateurs légitimes.



  • bonjour,

    merci pour vos réponses éclairés .
    oui effectivement traite l information a partir d serveur (web,rdp,etc..) est une bonne solution.

    le brute force sur le rdp est courant et chi…t, j ai ce qu il faut pour y remédier.

    merci et bon wkend



  • Un service comme RDP ne devrait jamais être exposé directement sut internet mais exclusivement au travers d'une connexion vpn.
    RDP est très souvent mal configuré par ailleurs.



  • re,

    c 'est pas faux
    :)


Locked