Provya

Expertise pfSense

Sommaire des articles  -  Liens & Actualités  -  Firewall pour pfSense

# - @ - Julian - 25/08/2020 à 11:44:24

Hello,

Fail2ban est indispensable, oui, mille fois oui. Je ne comprends pas pourquoi par contre il y en a qui s'obstinent à ne parler que de SSH avec Fail2ban. Oui, il existe des filtres SSH avec f2b, mais ce n'est qu'une goutte d'eau dans l'océan. Et j'ai presque envie de dire qu'avec une configuration de sshd réellement propre (auth RSA avec limitation @host, plus règle FW), Fail2ban n'est même pas utile.
Fail2ban, c'est avant tout la garantie de pouvoir générer des règles à partir de puissantes regex pour n'importe quelle log, et c'est génial.

Me concernant, une de mes fonction est gérer un ERP vieillissant, en PHP, je n'ai pas les ressources pour le mettre à niveau, je corrige tout ce que je trouve (sqli, xss, etc..), je passe un maximum de chose de _mysql à PDO filtré, mais ça ne suffit pas, il peut y avoir des oublis. Fail2ban me rend ici un service immense en filtrant mes logs nginx et dès qu'une tentative d'injection SQL est détectée (du moins les plus courantes), boom, c'est le ban.
Idem pour toutes les requêtes un peu trop chelou, les appels à des pages/scripts inexistants.

Rien que pour que ce type d'utilisation, fail2ban fait un boulot extra. Je l'ai couplé avec plein d'outils. Alors évidemment, avant de mettre fail2ban, il faut avoir une configuration propre de base, bien maîtriser l'ensemble et la portée des paramètres utilisés, faire du hardening, mettre en place des règles FW propre, puis, seulement, rajouter la couche Fail2ban.

Fail2ban ne doit en revanche jamais être considéré comme un pansement pour ceux qui ne veulent pas se casser la tête à faire du hardenning.

# - @ - Autourdupc - 20/08/2020 à 09:45:06

J'utilise Fail2ban + pfsense...

J'héberge un serveur asterisk "ouvert" sur le port 5060 car je dois pouvoir m'y connecter à distance en VoIP via mon smartphone(le nombre de tentatives d'intrusions est phénoménal).
L'usage d'un VPN pour les nomades VoIP n'est pas adapté (décrochages lors de mauvaises conditions de réception, temps de connexion, etc) aussi j'utilise Fail2ban sur mon asterisk en association avec pfblockerNG sur mon pfsense.

En effet, je récupère chaque heure les IP bannies sur mon asterisk que j'injecte dans pfblockerNG ainsi je déporte le blocage sur le pfsense en amont du serveur asterisk (avec drop des paquets).

Cette configuration a l'avantage de pouvoir paramétrer Fail2ban avec des recherches de log sur de courtes durées limitant ainsi l'usage CPU, et de laisser le travail de blocage au pfsense dont c'est le rôle.

pfblockerNG permet de bloquer les IP par pays et/ou par listes noires, et l'association avec Fail2ban permet de filtrer unitairement les IP qui tentent d'entrer.

Avec cette méthode, je n'ai jamais eu aucune intrusion depuis des années d'usage.