Protections réseaux (Firewall/pare-feux)

Pour un affinage de la sécurité, n'hésitez pas à nous contacter si les protections actuelles perturbes un besoin précis.

Protections entrantes

Détection d'intrusion FTP

L'adresse IP de l'internaute saisissant 6 fois de suite un mot de passe incorrect sur le serveur FTP est automatiquement bannie pendant 15 minutes du serveur FTP. Il en est de même pour les internautes qui se trompent dans leur identifiant ou qui effectue une connexion anonyme sans préciser leur identifiant.

L'internaute qui se voit son adresse IP bannie sur le service FTP sera informé à l'aide d'un message présent sur le site de FranceServ Hébergement pendant cette période de bannissement.

Votre adresse IP xxx.xxx.xxx.xxx été bannie pour 15 minutes le **/**/** à **:** en raison d'au moins 6 authentifications infructueuses sur le serveur FTP et sera débannie dans x minutes le **/**/**** à **:**. Une fois le dé bannissement effectué, vous pourrez de nouveau vous connecter à votre espace FTP.

Protection Flood/DoS

Un système de protection anti Flood/DOS bloque les adresses IP depuis le frontend avant même l'accès au serveur WEB en déviant l'attaque sur une page Web autre avec un message explicatif pour inviter les faux positifs à se manifester.

Ce système a alors deux actions, la première est “éducative” en informant de la situation pour éviter que la personne renouvelle son flood/attaque et la deuxième action est “préventive” car elle permet d'affiner les protections par rapports aux erreurs et aux faux positifs reportés.

Les adresses IP suspendues sont retirées du bannissement automatiquement après un certain temps, selon la puissance de l'attaque.

Protection DDoS

Nous utilisons la technologie Arbor PeakFlow.

Intrusion Prevention System (IPS)

Nous sommes amenés à utiliser parfois MoBlock / PGL pour certaines RBL.

Détection de phishing

Un robot est présent sur le serveur FTP pour détecter les tentatives de phishing.

Protections sortantes

En plus des protections entrantes pour sécuriser le réseau de FranceServ Hébergement, des protections sortantes ont été mises en place pour éviter les attaques depuis notre réseau.

Filtrage des ports sortants

Les sockets sont tolérés en sortie par le protocole TCP et UDP à destination de la plage des ports 1024 à 65535.

En dessous du port 1024, seuls les ports suivants sont accessibles en sorties depuis l'hébergement mutualisé :

  • 21 pour le FTP
  • 25, 465 et 587 pour le SMTP, le SMTP SSL et le SMTP TLS
  • 43 pour le WHOIS
  • 80 et 443 pour le WEB
  • 110 pour le POP
  • 143 et 993 pour l'IMAP et l'IMAPS

Limitation du débit sortant

Les transactions TCP sont limitées à 10 connexions sortantes et les transactions UDP sont limitées à 5 connexions sortantes à la seconde pour éviter les attaques de déni de service.

-p tcp --syn -m limit --limit 10/s
-p udp -m limit --limit 5/s

Proxy sortant

Un proxy Squid met en cache toutes les requêtes WEB sortantes de toute l'infrastructure du réseau de FranceServ Hébergement via un proxy transparent.

Actuellement seul le port 80 est supervisé en vu d'identifier plus rapidement les attaques possibles depuis un site hébergé sur le réseau, en plus d'accélérer le transit IP via le cache.

Par exemple, une mise à jour d'un Wordpress est très rapide car le proxy se place entre le CMS et la plateforme de téléchargement de son éditeur et accélère considérablement son téléchargement.

Un filtrage est également en place pour bloquer les débrideurs de bande passante via proxy ainsi que tout proxy en général ou tout système permettant d'attaquer un réseau distant via une liste noir sur des sites illégaux et/ou dangereux en vu de protéger notre réseau et vos sites de leurs contenus.

Scripts de supervision des ressources

Par défaut, le moteur PHP défini les variables memory_limit selon l'offre d'hébergement choisie. Si vous ne modifiez pas cette valeur à l'aide de iniset(), le moteur PHP gère lui-même de manière la plus souple possible, le maximum de ressources utilisées sur le système.

Si vous modifiez cette valeur et mettez une valeur plus grande que l'offre que vous avez choisie ou si vous désactivez le memory_limit en mettant 0, un robot de supervision des ressources intervient de manière plus drastique :

Si vous désactivez le memory_limit ou si vous l'augmentez, lorsqu'un script PHP d'un site dépasse son allocation mémoire ou processeur suivant l'offre d'hébergement choisie, le script sera interrompu.

Il revient à l'hébergé de corriger son développement ou de mettre en quarantaine la partie du site fautive avant de remettre en ligne son site.

Pour en savoir plus :

https://www.franceserv.fr/offres-hebergement#langage_php_et_fonctions_proposes