Bloquée IP après x tentatives de scan

Bonjour,

Grâce aux logs de look'n stop, je vois que mon serveur est scanné en permanence par différentes IP. Certains Internautes se donnent à coeur joie de lancer de multiples scan en un temps record.

En conséquence, je me demandais s'il était possible d'ajouter une règle automatique qui blackliste l'IP source après un certains nombres de scans de ports ?


Cordialement
flecomte

 

Bonjour flecomte

De quel genre de scan s'agit-il?
Un échantillon significatif du log pourrait nous mettre sur la piste...

Ceci étant dit, si le jeu de règle est correct, votre PC est "stealth" id est qu'il ne répond à aucune sollicitation venant d'Internet tel que des requêtes de connexions (TCP + flag Syn) ou via des paquets UDP, ICMP, IGMP ou autres.

Les scans en questions ne donneront strictement rien aux "scanneurs" puisque l'adresse IP correspondant à votre PC est muette. Y a-t-il quelque chose ou rien associé à cette adresse IP? Aucun scan ne pourra le révéler.

Puisque ces paquets sont bloqués (plus précisément "dropped": arrêtés sans feed-back à la source), rien ne peut atteindre le système d'exploitation même à un bas-niveau et en conséquence rien ne peut l'affecter.

LnS fait son boulot. Pas besoin de blacklister les adresses IP en question...
Non?

Tenez-nous au courant.

A+

 

Bonsoir Climenole,

Mon serveur est en DMZ car il sert de :
- de serveur FTPES
- de serveur VPN PPTP
- de point d'entrée pour une autre application professionnelle.

En conséquence, les ports 990, 1723 et xxxxx sont ouvert à tous. Du coup certains en profitent pour voir quel(s) autre(s) port(s) pourrai(en)t être ouvert(s).

Je souhaite qu'une IP faisant plus de x scans de port (nb à définir) soit bloquée pendant un temps donné, même infini. Ainsi quoi qu'il arrive ils ne verront pas l'état des autres ports (ouverts ou non).

Un peu comme avec certains serveurs FTP qui au bout de x tentatives de connexions bloquent la connexion venant l'IP source pendant un temps défini.

J'ai l'impression que cette fonction n'est pas proposée par look'n stop.


Cordialement
François LECOMTE

 

Bonjour flecomte

En effet, la fonction dont vous parlez n'est pas proposée par la version actuelle de LnS. Votre demande pourrait être ajoutée la "wish list" des utilisateurs de LnS. Sera-t-elle l'objet d'un développement prochain? Seuls les développeurs de Look'n'Stop pourraient y répondre..

Bien cordialement.

 

Bonsoir,

Je l'espère.

Merci en tout cas pour vos réponses.


Cordialement
flecomte

 

Bonjour,

Avec des règles avancées de type SPF (Stateful Packet Filtering), il est possible de réaliser cela.
Cependant si vous avez un grand nombre de scans entrants avec des IP différentes (du genre une nouvelle IP à filtrer par seconde, constamment sur 1 heure => 3600 IP différentes) ce système ne sera pas suffisant.
Quel est votre "taux" de scan ?

Frédéric