Protection contre les attaques par force brute (Fail2Ban)

Le bannissement d'adresses IP (Fail2Ban) est un mécanisme pour protéger automatiquement votre serveur des attaques par force brute. Fail2Ban s'appuie sur des expressions régulières pour surveiller les fichiers de log en se servant de modèles correspondants à des échecs d'authentifications et d'autres erreurs considérées comme suspectes.

Si le nombre de tentatives de connexion d'une adresse IP est trop élevé au cours d'un intervalle défini par l'administrateur, cette adresse IP est bannie pour une période définie. Fail2Ban peut également mettre à jour les règles de pare-feu et envoyer des notifications par mail. Une fois que la période de bannissement est terminée, l'adresse IP est automatiquement placée dans les adresses non bannies.

Remarque : pour utiliser Fail2Ban, les administrateurs qui mettent à niveau depuis Plesk 11.5 doivent obtenir une nouvelle clé de licence pour Plesk 12 auprès d'Odin ou d'un revendeur.

Pour configurer Plesk de sorte que les adresses IP et les réseaux qui génèrent du trafic malveillant soient automatiquement bannis :

1. Allez dans  Outils & Paramètres  > Bannissement d'adresses IP (Fail2Ban) (groupe  Sécurité ). Le composant Fail2Ban a bien été installé sur votre serveur.
2. Cochez la case Activer la détection d'intrusion.
3. Spécifiez les paramètres suivants :
   • Période de bannissement de l'adresse IP : intervalle en secondes pendant lequel l'adresse IP est bannie. Une fois que la période de bannissement est terminée, l'adresse IP est automatiquement placée dans les adresses non bannies.
   • Intervalle de détection des attaques ultérieures : intervalle en secondes pendant lequel le système compte le nombre de tentatives de connexion infructueuses et les actions indésirables d'une adresse IP.
   • Nombre d'échecs avant le bannissement de l'adresse IP : nombre de tentatives de connexion qui ont échoué pour cette adresse IP.
4. Cliquez sur OK.

Désormais, toutes les jails Fail2Ban actives seront utilisées pour surveiller les fichiers de log et bannir les adresses IP suspectes.

Dans Plesk, les limites et les spécificités suivantes s'appliquent à Fail2Ban :

• Fail2Ban ne doit pas être redémarré manuellement en tant que service Plesk, sinon toutes les données de statistiques recueillies, y compris les adresses IP bannies, seront perdues.
• Fail2Ban ne protège pas contre les attaquants avec une adresse IPv6. Dans Plesk, Fail2Ban repose uniquement sur les adresses IP (sans recherches de noms d'hôtes) tant qu'il n'est pas reconfiguré.
• Fail2Ban ne protège pas contre les attaques par force brute étant donné qu'il identifie les intrus à l'aide de leur adresse IP.
• Si votre version de Plesk est installée dans un VPS, alors la limite des enregistrements iptables VPS (numiptent) peuvent affecter le fonctionnement de Fail2Ban. Quand cette limite est dépassée, Fail2Ban cesse de fonctionner correctement et la ligne suivante est ajoutée au log Fail2Ban :
  fail2ban.actions.action: ERROR iptables -I fail2ban-plesk-proftpd 1 -s 12.34.56.78 -j REJECT --reject-with icmp-port-unreachable returned 100
  Dans ce cas, contactez votre hébergeur VPS pour résoudre le problème.
• Si Fail2Ban est installé sur votre serveur avant la mise à niveau vers Plesk 12, alors le pack est remplacé par le pack Fail2Ban de Plesk. Si le pack que vous avez installé est plus récent que celui fourni avec Plesk, alors la mise à niveau risque d'échouer. Les jails existantes ne seront pas écrasées et vous pourrez les gérer dans Plesk avec les jails de Plesk 12.

Si une adresse IP ne doit pas être bloquée :

1. Allez dans  Outils & Paramètres >  Bannissement d'adresses IP (Fail2Ban) > Adresses IP de confiance  > Ajouter une adresse IP de confiance.
2. Dans le champ Adresse IP, indiquez une adresse IP, une plage d'IP ou un nom d'hôte DNS et cliquez sur OK.

Vous pouvez afficher et télécharger les fichiers de log Fail2Ban. Pour cela, allez sous  Outils & Paramètres > Bannissement d'adresses IP (Fail2Ban) > onglet Logs .

Vous pouvez afficher la liste des adresses IP bannies, ne plus les bannir ou les déplacer vers la liste des adresses IP de confiance. Pour cela, allez dans  Outils & Paramètres > Bannissement d'adresses IP (Fail2Ban) > onglet Adresses IP bannies .

Vous pouvez afficher la liste des adresses IP qui ne seront jamais bannies, ajouter et supprimer des adresses IP de cette liste. Pour cela, allez sous Outils & Paramètres > Bannissement d'adresses IP (Fail2Ban) > onglet Adresses IP de confiance .