Attaque pirate?

Jeandhom · Décembre 4, 2019, 12:32

Non, rien de tout ça. Toutes ces ressources sont sur des serveurs en local. Seul ces serveurs peuvent sortir.
Nous, pour sortir, c’est direction proxy avec filtrage de certains sites.

dJuL · Décembre 4, 2019, 12:35

Pas de bureau à distance (ou TS) non plus ?
Bah dans cas il te reste toujours ton mobile ou ta tablette ou ton ordi perso avec partage du point d’accès de ton mobile…

Jeandhom · Décembre 4, 2019, 12:46

Non ce n’est pas nécessaire, j’ai le port 443 pour atteindre mon proxy inverse.

dJuL · Décembre 4, 2019, 2:05

De toutes façons si ils ont nazifié le parfeu et le proxy, tu ne pourras rien faire d’autre.
Car même avec un VPN sur le port 80 ou 443, il peut y avoir un filtre qui bloquera les paquets détectant que ce n’est pas du http (web) qui circule dans le tuyau…

Jeandhom · Décembre 4, 2019, 2:14

Chose impossible, car je ne suis pas administrateur de la machine que j’utilise.

bartounet · Décembre 4, 2019, 5:23

C’est le but du filtrage en entreprise.
Si c’était si simple, n’importe qui pourrait outrepasser.

Mais bon dans une entreprise classique, ils ne filtrent jamais le http/https

L’entreprise te fournie un accès internet filtré par Proxy lui même en général dans une DMZ derrière un firewall IPS.

Mais si ton Jeedom est accessible en https classique tu n’aura aucun problème d’accès même depuis ton entreprise, et tu es dans les clous au niveau de la charte informatique

Après en effet si tu veux faire du VPN à travers ces couches de sécurités, c’est plus compliqués…
Mais en même temps tu n’es plus dans les clous et tu fais prendre des risques à ton entreprises.
A travers un VPN tu peux donner accès à tout ce que tu veux au réseau de l’entreprise…
C’est normal que se soit bloqués.

Après rare sont les boites qui vont aller regarder dans les paquets…
L’IPS peut en effet se déclencher… mais bon j’en doute…

Du tunneling SSH sur du port 443 je pense que ca passera

naboleo · Décembre 4, 2019, 5:31

Pour faire en même temps SSH et HTTPS sur le port 443, il y a sslh … sslh 1.10, la bête noire des censeurs - LinuxFr.org

Jeandhom · Décembre 4, 2019, 5:49

Ca va être difficile …

bartounet · Décembre 5, 2019, 6:42

A tenter.
Tu trouve Putty sans install juste le binaire.
et tu dois pouvoir le faire sans etre admin.

A part si il y a des outil du type applocker

naboleo · Décembre 5, 2019, 1:41

Tiens ça sent la fonction de base avec fail2ban

github.com

jeedom/core/blob/alpha/install/fail2ban.jeedom.conf

[DEFAULT]
#Ne pas bloque localhost ni s'auto-bloquer.
ignoreip = 127.0.0.1/8 192.168.1.0/24 192.168.0.0/24 10.0.0.0/8

# ban de  60 minutes
bantime  = 28800

# on regarde les attaques sur les 2 dernières heures. Les 5 minutes par défaut, ça ne marche plus, les pirates se sont adaptés
findtime = 7200
maxretry = 3

# on surveille tous les ports
banaction = iptables-multiport

# action a prendre: ban + log détaillé
action = %(action_)s

[apache-multiport]
enabled = true
port      = http,https

This file has been truncated. show original

pleco · Janvier 31, 2021, 8:29

Bonjour,
Je viens de me faire peur en regardant le fichier: Analyse / Log / http.error
Je trouve beaucoup d’occurrences provenant de Chine ou de Russie…
Du coup, je me suis intéressé à fail2ban
J’ai constaté que celui ci était actif sur mon serveur debian 10 buster
(systemctl status fail2ban → …Active: active (running)…)
Mais que seul le sshd était surveillé
(sudo fail2ban-client status → - Jail list: sshd)
Et en effet, dans le fichier de conf complémentaire:
/etc/fail2ban/jail.d/defaults-debian.conf
… il n’y a que 2 lignes:
sshd]
enabled = true
Que dois je faire pour surveiller également les requêtes http ?
… et est ce utile ?
Merci d’avance
pleco

naboleo · Janvier 31, 2021, 8:41

Hello.

Prendre la configuration donnée en exemple juste au dessus par exemple ?
Pour l’utilité, c’est à chacun de voir et mesurer les risques,car après l’intrusion, c’est trop tard

pleco · Janvier 31, 2021, 8:54

oui, j’ai vu cette config et je comprend à peu près
Ce que je ne comprends pas trop, c’est comment le système fail2ban sait que le fichier de config par défaut (/etc/fail2ban/jail.conf) est suivi par un complément dans le fichier /etc/fail2ban/jail.d/defaults-debian.conf ?
Qui sait qui lui dit ? D’autant que ce n’est pas le même fichier selon les intervenants
J’ai trouvé aussi:
/etc/fail2ban/jail.d/custom.conf
/etc/fail2ban/jail.local
etc
Merci en tout cas !
pleco

naboleo · Janvier 31, 2021, 8:57

L’extension, l’emplacement et/ou le nom sont reconnus par fail2ban donc la prise en compte est pratiquement automatique. Dans le doute rien n’empêche de remplacer le contenu actuel du fichier…

pleco · Janvier 31, 2021, 9:11

OK, donc je me lance !
Merci encore
Ah, une dernière question
Dans le fichier de conf principal (/etc/fail2ban/jail.conf)
bantime = 10m
findtime = 10m
maxretry = 5
port = 0:65535
(…)
Ces valeurs sont nettement plus basses que celle que tu préconises
Est ce important ? et pourquoi ?
NB: # ban de 60 minutes et bantime = 28800 ???
pleco

naboleo · Janvier 31, 2021, 9:16

Logique ma conf est un peu plus agressive.
La durée de bannissement est de 1h contre 10min.
Je regarde dans une fenêtre de temps plus longue 2 heures au lieu de 10min et le ban s’active après 3 erreurs au lieu de 5

Mettre un ban de 10 minutes contre des tentatives automatisées c’est presque comme ne rien faire

pleco · Janvier 31, 2021, 9:21

OK, j’ai compris
Merci
Je reviendrais ici pour un reporting !
pleco

pleco · Février 1, 2021, 11:42

Bonjour,
La configuration complémentaire de fail2ban ne fonctionne pas.
Voici ce que j’ai fait:

Ajout de lignes dans le fichier /etc/fail2ban/jail.d/defaults-debian.conf:
[DEFAULT]
ignoreip = 192.168.1.1/24
[sshd]
enabled = true
bantime = 3600
findtime = 3600
maxretry = 3
[http]
enabled = true
bantime = 3600
findtime = 3600
maxretry = 3
Relance de fail2ban (service fail2ban restart)
Vérification de fail2ban (sudo fail2ban-client status)
Status
|- Number of jail: 1
`- Jail list: sshd
Constat de la non prise en compte du http
Dans le doute, relance de jeedom… pas de changement de comportement
Du coup, j’ai vraiment loupé quelque chose, mais quoi ?
pleco

F_yann · Février 1, 2021, 8:45

Il faut plutôt créer un fichier /etc/fail2ban/jail.local
Et y enregistrer ses options.

Pour recharger la config : sudo fail2ban reload

pleco · Février 1, 2021, 8:50

Ah ok
Je vais créer ce fichier /etc/fail2ban/jail.local
En effet, ça me parait normal qu’il soit dans le même répertoire que le fichier de config principal…(/etc/fail2ban/jail.conf)
Merci !
pleco