Bloquée IP après x tentatives de scan

Discussion in 'LnS French Forum' started by flecomte, Jan 28, 2009.

Thread Status:
Not open for further replies.
  1. flecomte

    flecomte Registered Member

    Joined:
    Mar 15, 2008
    Posts:
    10
    Bonjour,

    Grâce aux logs de look'n stop, je vois que mon serveur est scanné en permanence par différentes IP. Certains Internautes se donnent à coeur joie de lancer de multiples scan en un temps record.

    En conséquence, je me demandais s'il était possible d'ajouter une règle automatique qui blackliste l'IP source après un certains nombres de scans de ports ?


    Cordialement
    flecomte
     
  2. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Bonjour flecomte :)

    De quel genre de scan s'agit-il?
    Un échantillon significatif du log pourrait nous mettre sur la piste...

    Ceci étant dit, si le jeu de règle est correct, votre PC est "stealth" id est qu'il ne répond à aucune sollicitation venant d'Internet tel que des requêtes de connexions (TCP + flag Syn) ou via des paquets UDP, ICMP, IGMP ou autres.

    Les scans en questions ne donneront strictement rien aux "scanneurs" puisque l'adresse IP correspondant à votre PC est muette. Y a-t-il quelque chose ou rien associé à cette adresse IP? Aucun scan ne pourra le révéler.

    Puisque ces paquets sont bloqués (plus précisément "dropped": arrêtés sans feed-back à la source), rien ne peut atteindre le système d'exploitation même à un bas-niveau et en conséquence rien ne peut l'affecter.

    LnS fait son boulot. Pas besoin de blacklister les adresses IP en question...
    Non?

    Tenez-nous au courant.

    A+ :)
     
  3. flecomte

    flecomte Registered Member

    Joined:
    Mar 15, 2008
    Posts:
    10
    Bonsoir Climenole,

    Mon serveur est en DMZ car il sert de :
    - de serveur FTPES
    - de serveur VPN PPTP
    - de point d'entrée pour une autre application professionnelle.

    En conséquence, les ports 990, 1723 et xxxxx sont ouvert à tous. Du coup certains en profitent pour voir quel(s) autre(s) port(s) pourrai(en)t être ouvert(s).

    Je souhaite qu'une IP faisant plus de x scans de port (nb à définir) soit bloquée pendant un temps donné, même infini. Ainsi quoi qu'il arrive ils ne verront pas l'état des autres ports (ouverts ou non).

    Un peu comme avec certains serveurs FTP qui au bout de x tentatives de connexions bloquent la connexion venant l'IP source pendant un temps défini.

    J'ai l'impression que cette fonction n'est pas proposée par look'n stop.


    Cordialement
    François LECOMTE
     
  4. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Bonjour flecomte :)

    En effet, la fonction dont vous parlez n'est pas proposée par la version actuelle de LnS. Votre demande pourrait être ajoutée la "wish list" des utilisateurs de LnS. Sera-t-elle l'objet d'un développement prochain? Seuls les développeurs de Look'n'Stop pourraient y répondre..

    Bien cordialement.

    :)
     
  5. flecomte

    flecomte Registered Member

    Joined:
    Mar 15, 2008
    Posts:
    10
    Bonsoir,

    Je l'espère. :p

    Merci en tout cas pour vos réponses.


    Cordialement
    flecomte
     
  6. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Avec des règles avancées de type SPF (Stateful Packet Filtering), il est possible de réaliser cela.
    Cependant si vous avez un grand nombre de scans entrants avec des IP différentes (du genre une nouvelle IP à filtrer par seconde, constamment sur 1 heure => 3600 IP différentes) ce système ne sera pas suffisant.
    Quel est votre "taux" de scan ?

    Frédéric
     
Thread Status:
Not open for further replies.