Fail2ban

De
Révision datée du 7 juin 2019 à 09:13 par Root xo1zfe7e (discussion | contributions) (Informations supplémentaires sur les jails et l'utilisation de Fail2Ban)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Sauter à la navigation Sauter à la recherche

Fail2Ban est un outil anti bruteforce pour serveur.

Fonctionnement

Fail2Ban permet de bloquer les attaques de robots sur les serveurs en vérifiant les erreurs générées par les IP accédant au service et en bloquant les IP attaquantes.

Il peut s'activer sur les services désirés : POP, IMAP, SMTP, FTP, Plesk, webmail, WordPress, Apache, etc.

Si l'IP d'un usager du service (ou robot) génère trop d'erreurs dans un temps imparti, l'IP est bloquée pour une certaine durée. A la fin de cette période, si les connexions incorrectes persistent, l'IP d'où proviennent ces connexions est totalement bloquée du serveur jusqu'à intervention d'un administrateur.

Les services protégés

La sécurité des différents services est effectuée par ce que l'on appelle en langage Fail2Ban des "jails" (de l'anglais "prisons").

Les jails disponibles par défaut dans Plesk sont les suivantes :

  • apache-auth, pour les échecs d’authentification Apache.
  • apache-badbots, pour les spambots et robots d’indexation malveillants.
  • plesk-courierlogin, pour les échecs d’authentification Courier-IMAP et POP3.
  • plesk-dovecot, pour les échecs d’authentification Dovecot IMAP, POP3 et Sieve.
  • plesk-horde, pour les échecs d’authentification de la messagerie Web Horde.
  • plesk-modsecurity, pour les attaques contre des applications Web, détectées par le pare-feu d’application Web ModSecurity.
  • plesk-panel, pour les échecs d’authentification de Plesk.
  • plesk-qmail, pour les échecs d’authentification SMTP Qmail.
  • plesk-roundcube, pour les échecs d’authentification de la messagerie Web Roundcube.
  • plesk-wordpress, pour les échecs d’authentification de WordPress.
  • postfix-sasl, pour les échecs d’authentification SMTP et SASL Postfix.
  • proftpd, pour les échecs de connexion ProFTPD.
  • recidive, pour les hôtes bannis plusieurs fois par Fail2Ban.
  • sshd, pour les échecs de connexion SSH.

Serveurs comportant la protection Fail2Ban

Fail2Ban est présent sur l'ensemble des serveurs mutualisés HaiSoft et sur demande sur serveur VM ou dédié.

Faux positifs

Il peut arriver que vous soyez bloqué par la sécurité Fail2Ban alors que vous n'êtes pas un robot pirate. L'on appelle cela un faux positif.

Qui concerne le blocage ?

Il ne s'agit pas de votre site ou des services qui sont totalement inaccessibles, mais de l'IP de la connexion internet utilisée pour effectuer ces connexions incorrectes.

Vous pouvez vérifier cela en accédant à votre site via une connexion internet différente, par exemple sur votre smartphone en 4G. Les services deviennent donc dans ce cas inaccessibles uniquement depuis la connexion internet où s'est produite le blocage, cela peut donc concerner plusieurs utilisateurs au sein d'un foyer ou d'un bureau.

Quelles sont les causes les plus fréquentes de faux positifs ?

  • Cela provient généralement d'un souci de connexion au serveur de mails : Si vous avez entré un mauvais mot de passe, le périphérique tente de se connecter à répétition avec un mauvais mot de passe, provoquant le blocage de votre IP.
  • Cela peut provenir de connexions répétées sur votre webmail avec des identifiants incorrects.
  • Cela peut provenir de connexions répétées à votre backoffice avec des identifiants incorrects.
  • Cela peut provenir de connexions répétées à votre Panneau de contrôle Plesk avec des identifiants incorrects.
  • Plus rarement, cela peut provenir d'une génération répétée d'erreurs sur votre site. Par exemple, si votre site fait appel à un fichier dont la lecture est "403 forbidden", la visite de votre site peut provoquer à terme le blocage de votre IP.

Comment faire débloquer mon IP ?

La méthode conseillée est de créer un ticket support via votre espace client HaiSoft, depuis un PC connecté à la connexion internet dont l'IP est bloquée. Nous aurons ainsi votre IP et pourrons la débloquer rapidement. S'il s'agit de l'IP d'un tiers qui est bloquée, vous pouvez lui demander de visiter "https://ip.lafibre.info/" et de vous fournir son IPv4. Vous pourrez ensuite nous fournir cette IPv4 afin que l'on vérifie la cause du blocage et débloque l'IP.

Comment éviter de me faire bloquer à nouveau ?

HaiSoft peut whitelister votre IP, mais si elle change, vous serez à nouveau bloqués. Il faut donc identifier la cause du blocage et corriger la connexion incorrecte. Si vous venez de connecter un nouveau périphérique à une boîte mail et que celle-ci ne fonctionnait pas, vous savez où chercher. Sinon, vous pouvez demander à notre support technique s'il reste un historique des connexions incorrectes afin de vous aiguiller.

Gestion de Fail2Ban

Cette section s'adresse uniquement aux possesseurs de serveurs VM ou dédiés.

Si Fail2Ban est présent sur votre serveur, vous le retrouverez dans votre panneau de contrôle Plesk dans :
"Outils & Paramètres" / "Bannissement d'adresses IP (Fail2Ban)"

Activer/désactiver Fail2Ban

NB: Cette modification n'est pas anodine et peut être motivée par des raisons qui nécessitent un tout autre traitement que Fail2Ban. Nous vous conseillons d'en parler à vos techniciens HaiSoft avant d'effectuer l'opération.

  • Rendez-vous dans l'onglet "Paramètres" de Fail2Ban
  • Cochez ou décochez "Activer la détection d'intrusion"
  • Cliquez sur "Appliquer" ou "OK"

Activer/désactiver des Jails

NB: Cette modification n'est pas anodine et peut être motivée par des raisons qui nécessitent un tout autre traitement que Fail2Ban. Nous vous conseillons d'en parler à vos techniciens HaiSoft avant d'effectuer l'opération.

  • Rendez-vous dans l'onglet "Jails" de Fail2Ban
  • Cochez les cases correspondant aux jails désirées
  • Sélectionnez "Activer" ou "Désactiver"

Débloquer une IP

NB: Si vous êtes totalement bloqués de votre serveur, n'hésitez pas à contacter votre support HaiSoft qui fera le nécessaire.

  • Le pré-requis est de connaître son IP (IPv4).

Celle-ci s'affiche lorsque vous êtes connectés à votre espace client HaiSoift. Sinon, de nombreux sites existent pour cela, par exemple : https://ip.lafibre.info/

  • Rendez-vous ensuite dans le premier onglet de Fail2Ban : Adresses IP bannies.
  • Si besoin, filtrez l'affichage de l'IP à débloquer via la barre de recherche située en haut à droite.
  • Cochez la case correspondant à l'IP
  • Afin d'éviter que cette IP ne soit bloquée à nouveau, cliquez sur "Déplacer vers les IP de confiance"

On dit que vous avez "whitelisté" l'IP. Notez que ce whitelistage ne sera effectif que tant que le visiteur gardera cette IP. S'il se déplace ou si son opérateur change son IP, celui-ci pourra à nouveau se faire bannir s'il continue d'effectuer des connexions incorrectes.
Il est donc important de trouver la cause du blocage initial. Cela peut se faire en consultant les logs de fail2ban et du service concerné. Cela demande un accès SSH et quelques connaissances, votre service d'Infogérance Haisoft peut bien-sûr se charger de cela pour vous.