Afin d’évoluer avec son temps, il serait pas mal de passer de fail2ban à CrowdSec qui est tout comme fail2ban mais avec une couche communautaire, c’est-à-dire que l’information qui est extraite des attaques (IP source, date, heure, type de comportement malveillant) est ensuite envoyée à un serveur appartenant à Crowdsec pour être mutualisée pour l’ensemble de tous les utilisateurs, ce qui fait de cet outil quelque chose de beaucoup plus puissant que fail2ban.
Si vous voulez plus d’informations : https://crowdsec.net/
La doc est plutôt bien fournie, c’est opensource, licence MIT il me semble, et c’est Français
J’ai regardé ultra rapidement. Le principe est pas forcément mal, par contre c’est une startup et l’objectif c’est de lancer une version avec abonnement à 50e par mois.
Par expérience ce genre de truc ne dure jamais très longtemps :
attirer du monde avec l’offre gratuite
vendre la partie payante (on a plein d’utilisateurs)
Si l’offre se vends ça continu un peu de temps. Si ça marche pas, fermeture de la startup parce que mine de rien, la partie cloud il faut la financer…
À voir l’efficacité de la chose et les données échangées… J’ai pas creusé de ce côté encore
Donc il est urgent de pas se précipiter
Donc on est bien d’accord, on est dans la phase buzz pour faire monter la mayonnaise
Ils ont un peu de trésorerie d’avance mais tôt ou tard il devoir y avoir un retour sur investissement, en plus des frais. La survie est donc bien conditionnée à une certaine quantité d’abonnements
J’y compte bien surtout que j’ai vu que ça pouvait tourner sous docker. Bon par contre avoir une liste d’ip à l’avance ça casse pas des briques non plus. Tant qu’elles n’arrivent pas sur le serveur on s’en fiche un peu. L’intérêt c’est de bloquer plus vite que si on attends x tentatives.
Fail2ban fait bien le job : quand le scan balance un truc toutes les 100ms c’est pas flagrant comme différence
C’est pour ça qu’il y a les scénario, si ça t’intéresse, il y a un podcast avec le fondateur sur https://www.nolimitsecu.fr/ ou il explique tout.
du 10 Janvier donc assez frais…
Je bosse dans la cybersecu et c’était mon projet pour le weekend prochain (j’ai aussi été séduit par le produit et le niveau technique de son créateur français sur NoLimitSecu)
Bon j’ai écouté le podcast et j’en retiens 2 choses :
La moitié du boulot (les bouncers) sera à faire par la communauté
C’est quand même vachement vachement neuf
ça me laisse quand même l’impression que quand tu as passé plein de temps à intégrer tout ça au cœur de ton système … un coup de changement de licence à la Oracle/Redhat et c’est le carnet de cheques ou se bouffer les c*
Ça vaut peut être le coup de demander à crowdsec leur stratégie a long terme
Il seront peut être pas honnête mais ça aura le mérite de mettre les pieds dans le plat
Sinon il y a des tonnes de blacklists gratuites sur internet, un petit script « crontabéisé » qui gère une mise à jour de tables ipset, 1 règle iptable et c’est réglé…
Sinon fail2ban peut reporter une IP via une action jails. Un petit serveur côté Jeedom qui génère une blacklist de tout ce qui est remonté par les users Jeedom, un cron pour la maj ipset sur tous les Jeedom, une rule iptable pour drop et le tour est joué. C’est communautaire Jeedom et presque open source. Après gérer les faux positifs c’est une autre histoire, mais rien n’empêche avant d’ajouter une IP à la blacklist, d’interroger des API pour tester la réputation de l’IP (abuseipdb etc par ex).
Ils ne doivent pas être là (dans le forum), sinon ils auraient déjà répondu, mais j’ai parlé en face à face avec Philippe Humeau hier après-midi aux Assises de la Sécurité à Monaco (c’est le CEO de Crowdsec). Il m’a dit : « le produit est gratuit et le restera « forever ». Pour sécuriser le fait que le produit resterait gratuit et open source même après un éventuel rachat de la startup par un mastodonte (comme Google ou autre), nous avons choisi la licence MIT ». C’est donc non négociable pour lui, il a vraiment l’esprit communautaire et n’a pas l’intention de trahir cette dernière.