Discussion :

[Trebor]

Bonjour à tous,

J'ai cherché pas mal de temps sur le net, dans les forums et les différents tutos qu'il est possible de trouver mais je ne pense pas à avoir trouvé une réponse à ma question.

Je vais disposer d'un serveur dédié mais je souhaiterais pousser ma paranoïa plus loin... Je souhaiterais savoir s'il est possible de surveiller l'ensemble des accès réseaux et logger toutes les tentatives d'accès à la machine, en entrée et en sortie et identifier le port.

Le but étant de détecter des tentatives d'intrusions ou même de consultation non autorisée.

J'ai déjà ce qu'il faut niveau fail2ban, iptables, ufw mais je souhaiterais pousser le vis plus loin.

Merci d'avance de votre aide.

[Ti-Slackeux]

Bonjour,

snort peut-être ?

https://www.snort.org/

hth,

[Trebor]

Bonsoir,

Merci de ta réponse. Effectivement, une fois qu'on à le bon terme de recherche, ça fonctionne mieux... Je n'avais pas connaissance de ce qu'était un IDS.

Mon choix va, je pense, se porter vers prelude et snort.

Toutefois, une question me taraude... Je suis à la maison et je viens d'installer une VM ou j'ai fait tourner prelude et snort. Lorsque "j'attaque ma VM" en SSH depuis internet, via la connexion 4G de mon mobile, l'IP qui ressort est celle de ma box internet.
De ce fait, je me dis que si je souhaite surveiller le trafic réseau, ce n'est pas forcément l'idéal.

J'ai un serveur Nextcloud personnel à la maison et je souhaiterais surveiller le trafic pour être sûr que n'y accède que les personnes autorisées et que j'ai identifié. (Je suis en mode parano ces derniers temps ne cherchez pas à comprendre...).

J'ai déjà un système de double authentification via SMS envoyé en utilisant RaspiSMS. Mais je voudrais renforcer la sécurité en analysant l'ensemble du trafic réseau (au moins identifier les IP extérieures qui tenteraient de taper le serveur et les bloquer si besoin voir éteindre le réseau.

Donc... Pour envisager une infrastructure réseau à la maison, j'envisage d'installer OpenWRT sur un Rpi x64 avec 4Go ou 8 Go. Est-ce que si je bridge ma box internet, je vais récupérer l'IP de "l'attaquant" ou vais-je voir apparaître l'IP de la passerelle et donc celle du Pi OpenWRT ?

Merci de l'aide, je voudrais être sur de savoir ou je vais et ne pas faire n'importe quoi...

[chrtophe]

Lorsque "j'attaque ma VM" en SSH depuis internet, via la connexion 4G de mon mobile, l'IP qui ressort est celle de ma box internet.

T’es sur que ton tél passe pas par le wifi ?

[Trebor]

T’es sur que ton tél passe pas par le wifi ?

Oui, le wifi est désactivé et la clé n'a jamais été saisi.

[Ti-Slackeux]

Bonjour,

. Lorsque "j'attaque ma VM" en SSH depuis internet, via la connexion 4G de mon mobile, l'IP qui ressort est celle de ma box internet.

Si tu cherche à te connecter depuis l'extérieur tu verras toujours l'IP de ta box vu que c'est elle (box / IP) qui est connectée sur internet.

J'ai un serveur Nextcloud personnel à la maison et je souhaiterais surveiller le trafic pour être sûr que n'y accède que les personnes autorisées et que j'ai identifié. (Je suis en mode parano ces derniers temps ne cherchez pas à comprendre...).

J'ai déjà un système de double authentification via SMS envoyé en utilisant RaspiSMS. Mais je voudrais renforcer la sécurité en analysant l'ensemble du trafic réseau (au moins identifier les IP extérieures qui tenteraient de taper le serveur et les bloquer si besoin voir éteindre le réseau.

Nextcloud, j'ai aussi ^^"
il embarque aussi un système de contrôle de connexions nommé Suspicious Login.
Nextcloud a aussi en dispo un système de double identification, Two-Factor TOTP Provider, qui utilise des clients comme Authenticator par exemple.

Donc... Pour envisager une infrastructure réseau à la maison, j'envisage d'installer OpenWRT sur un Rpi x64 avec 4Go ou 8 Go. Est-ce que si je bridge ma box internet, je vais récupérer l'IP de "l'attaquant" ou vais-je voir apparaître l'IP de la passerelle et donc celle du Pi OpenWRT ?

Merci de l'aide, je voudrais être sur de savoir ou je vais et ne pas faire n'importe quoi...

Tu peut rester en mode routeur sur ta box.
Dans les logs apparaitront les IPs des "attaquants" ainsi que d'autres détails :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
Sep 27 10:27:33 p233 sshd[15965]: Invalid user ftpusr from 103.147.4.202 port 51282 
Sep 27 10:27:33 p233 sshd[15965]: input_userauth_request: invalid user ftpusr [preauth]                                                               
Sep 27 10:27:33 p233 sshd[15965]: Failed password for invalid user ftpusr from 103.147.4.202 port 51282 ssh2                                          Sep 27 10:27:33 p233 sshd[15965]: Received disconnect from 103.147.4.202 port 51282:11: Bye Bye [preauth]

hth,

[tabouret]

Hello,

Aucun intérêt à avoir un NIDS chez toi (Snort/Suricata et d'ailleurs je te conseil plutôt franchement Suricata) d'ailleurs sur du trafic chiffré tu ne verras pas grand chose.

Installe plutôt un HIDS (le nouveau nom à la mode c'est EDR) ---> Wazuh.
C'est out of the box et ça te sera d'une bien plus grand utilité.

[Trebor]

Je ne m'étais jamais penché sur ce côté de la sécurité. Je me suis toujours arrêté à firewall, contrôle d'accès, fail2ban...

Souhaitant stocker des fichiers sur mon propre serveur, à domicile, je voudrais pouvoir exécuter des actions en fonction des connexions entrantes et sortantes.

Dans l'idée, réception d'une requête ping par une IP non connue = désactivation de la carte réseau. Ce n'est qu'un exemple.

Je regarde les différentes solutions envisageables.

[tabouret]

Wazuh te permet de faire des "active response".
Je l'utilise pour bloquer automatiquement les attaques sur Nginx, apache, SSH...
Wazuh est basé sur Elasticsearch-oss (le fork d'Amazon), il te permet même de configurer un IDS comportemental qui te remontera la moindre anomalie si tu lui fais ingérer tes actifs réseau (CPU RAM et compagnie) et ca ca envoie.

Quant aux IP que tu verras, ca dépend des sources NAT au niveau de ta livebox et des différents composants que vont traverser les trames réseaux.

J'oubliais si vraiment tu es en mode paranoïa, alors configure unattended-upgrades pour des MAj automatiques journalières, Se Linux si vraiment tu veux une sécurité de niveau militaire.
Configure aussi OpenSSH pour n'accepter que des algorithmes de haut niveau (clef ed25519 pour l'authentification, DH groupe 21 pour l'échange de clefs et chacha20-poly1305 pour le chiffrement).
Sans oublier la double authentification à tous les étages bien sur.

Mais ça c'est vraiment si tu es parano.

[Trebor]

C'est exactement ce que je cherchais, ne me reste plus qu'à comprendre la configuration.

Oui, c'est la total paranoïa depuis que j'ai subi des tentatives de connexion SSH et FTP d'IP totalement inconnues via brute force alors qu'aucune publicité n'était faite sur cette IP (Pas de site internet, rien de particulier...) les mecs doivent passer leur journée à sniffer les IP...

[tabouret]

Internet est rempli de bots. Les entreprises subissent constamment des attaques, la plupart du temps bidon. les groupes de hackers spécialisés constituent un véritable problème mais ils ne te concernent pas, toi ce qui te concerne ce sont les bots.
Sous Linux, PAM va automatiquement "bloquer" l'IP pendant un court laps de temps s'il détecte un bruteforce. Mais ce n'est pas un ban.

Mets Wazuh sur ton poste tu ne sera pas déçu.
Il détecte les malware, fais un audit avec scoring de ta configuration, peut être configuré comme un antivirus via virustotal, fais des contrôle d'intégrité de tes fichiers, analyse entièrement tes logs pour ensuite décider d'action via les "actives responses", et te renvoie la liste des vulnérabilités qui affecte ton système, en vrai c'est une arme de guerre.

[Ti-Slackeux]

Mets Wazuh sur ton poste tu ne sera pas déçu.
Il détecte les malware, fais un audit avec scoring de ta configuration, peut être configuré comme un antivirus via virustotal, fais des contrôle d'intégrité de tes fichiers, analyse entièrement tes logs pour ensuite décider d'action via les "actives responses", et te renvoie la liste des vulnérabilités qui affecte ton système, en vrai c'est une arme de guerre.

Bonjour,

Je ne connaissais pas wazuh, du coup j'y ai jeté un oeil.
Le client suffit-il ??

Merci,

[tabouret]

Le client suffit-il ??

Hello,

Il te faut le serveur wazuh sur ton poste. Ca tombe bien l'installation est entièrement scriptée et il n'y a aucune difficulté à l'installer.