Protéger contre les attaques par force brute (Fail2ban)

Le bannissement d'adresses IP (Fail2Ban) est un mécanisme de protection automatique du serveur contre les attaques par force brute. Fail2Ban s'appuie sur des expressions régulières pour surveiller les fichiers de log en se servant de modèles correspondant à des échecs d'authentification, en cherchant des tentatives d'exploitation et autres entrées considérées comme suspectes. Ce type d'entrées de log est comptabilisé. Dès que leur nombre atteint une valeur prédéfinie, Fail2Ban envoie un mail de notification ou bloque l'adresse IP de l'attaquant pour une durée prédéfinie. Au terme du délai de blocage, l'adresse IP est automatiquement débloquée.

La logique de Fail2Ban est déterminée par un nombre de jails. Une jail est un ensemble de règles couvrant une situation individuelle. Les paramètres de la jail déterminent les actions à effectuer lorsqu'une attaque est détectée, selon un filtre prédéfini (ensemble d'expressions régulières de surveillance des logs). Pour en savoir plus, consultez la section Gestion des jails Fail2Ban.

Remarque : pour utiliser Fail2Ban, les administrateurs mettant à niveau depuis Plesk 11.5 doivent obtenir une nouvelle clé de licence pour Plesk Onyx auprès de Plesk ou d'un revendeur.

Pour configurer Plesk de sorte que les adresses IP et les réseaux qui génèrent du trafic malveillant soient automatiquement bannis :

  1. Allez sous Outils & Paramètres > Bannissement d'adresses IP (dans le groupe Sécurité ). Le composant Fail2Ban doit être installé sur votre serveur.
  2. Cochez la case Activer la détection d'intrusion. Ceci active le service Fail2Ban.
  3. Définissez les paramètres suivants :
    • Période de bannissement de l'adresse IP : durée de bannissement pendant laquelle l'adresse IP est bannie. Une fois cette période terminée, l'adresse IP est automatiquement débloquée.
    • Intervalle de détection des attaques ultérieures : durée en secondes pendant laquelle le système compte le nombre de tentatives de connexion infructueuses et les actions indésirables d'une adresse IP.
    • Nombre d'échecs avant le bannissement de l'adresse IP : nombre de tentatives de connexion qui ont échoué depuis cette adresse IP.
  4. Cliquez sur OK.

Désormais, tous les jails Fail2Ban actifs seront utilisés pour surveiller les fichiers de log et bannir les adresses IP suspectes.

IP_Address_Banning

Dans Plesk, les limites et spécificités suivantes s'appliquent à Fail2Ban :

  • Fail2Ban ne doit pas être redémarré manuellement en tant que service Plesk, sinon toutes les données statistiques recueillies, y compris les adresses IP bannies, seront perdues.
  • Fail2Ban ne protège pas contre les attaquants avec adresse IPv6. Dans Plesk, Fail2Ban repose uniquement sur les adresses IP (sans recherche de noms d'hôtes) tant qu'il n'est pas reconfiguré.
  • Fail2Ban ne protège pas contre les attaques par force brute car il identifie les intrus à l'aide de leur adresse IP.
  • Si votre version de Plesk est installée dans un VPS, alors la limite des enregistrements iptables VPS (numiptent) peut affecter le fonctionnement de Fail2Ban. Une fois cette limite dépassée, Fail2Ban cesse de fonctionner correctement et le log Fail2Ban présente une ligne du type :
    fail2ban.actions.action: ERROR iptables -I fail2ban-plesk-proftpd 1 -s 12.34.56.78 -j REJECT --reject-with icmp-port-unreachable returned 100
    Dans ce cas contactez votre hébergeur VPS pour résoudre le problème.
  • Si Fail2Ban est installé sur votre serveur avant mise à niveau vers Plesk Onyx, alors le pack est remplacé par le pack Fail2Ban de Plesk. Si le pack que vous avez installé est plus récent que celui fourni avec Plesk, alors la mise à niveau risque d'échouer. Les jails existantes ne seront pas écrasées et vous pourrez les gérer dans Plesk avec les jails de Plesk Onyx.

Si une adresse IP ne doit pas être bloquée :

  1. Allez sous Outils & Paramètres > Bannissement d'adresses IP Adresses IP de confiance  >Ajouter une adresse IP de confiance.
  2. Dans le champ Adresse IP, indiquez une adresse IP, une plage d'IP ou un nom d'hôte DNS et cliquez sur OK.

Vous pouvez afficher et télécharger les fichiers de log Fail2Ban dans Outils & Paramètres > Bannissement d'adresses IP (Fail2Ban), puis dans les logs .

Vous pouvez afficher les adresses IP bannies, désactiver leur bannissement ou les déplacer vers les adresses IP de confiance dans Outils & Paramètres > Bannissement d'adresses IP (Fail2Ban) > Adresses IP bannies .

Vous pouvez afficher la liste des adresses IP qui ne seront jamais bannies, ajouter et supprimer des adresses IP de cette liste. Pour cela, allez sous Outils & Paramètres > Bannissement d'adresses IP (Fail2Ban) > Adresses IP de confiance .

Dans cette section :

Gérer les jails Fail2Ban

 

Leave your feedback on this topic here

If you have questions or need support, please visit the Plesk forum or contact your hosting provider.
The comments below are for feedback on the documentation only. No timely answers or help will be provided.