Protections réseaux (Firewall/pare-feux)

Pour un affinage de la sécurité, n'hésitez pas à nous contacter si les protections actuelles perturbes un besoin précis.

Protections entrantes

Détection d'intrusion FTP

L'adresse IP de l'internaute saisissant 6 fois de suite un mot de passe incorrect sur le serveur FTP est automatiquement bannie pendant 15 minutes du serveur FTP. Il en est de même pour les internautes qui se trompent dans leur identifiant ou qui effectue une connexion anonyme sans préciser leur identifiant.

Si l'internaute possédant cette adresse IP visite le site de FranceServ Hébergement pendant cette période de bannissement, un encadré rouge s'affiche en haut de chaque page (excepté le forum et la documentation wiki) dont voici :

Votre adresse IP xxx.xxx.xxx.xxx été bannie pour 15 minutes le **/**/** à
**:** en raison d'au moins 6 authentifications infructueuses sur le serveur
FTP et sera débannie dans x minutes le **/**/**** à **:**. Une fois le 
débannissement effectué, vous pourrez de nouveau vous connecter à votre espace
FTP.

Protection Flood/DoS

Un système de protection anti Flood/DOS bloque les adresses IP depuis le frontend avant même l'accès au serveur WEB en déviant l'attaque sur une page Web autre avec un message explicatif pour inviter les faux positifs à se manifester.

Ce système a alors deux actions, la première est “éducative” en informant de la situation pour éviter que la personne renouvelle son flood/attaque et la deuxième action est “préventive” car elle permet d'affiner les protections par rapports aux erreurs et aux faux positifs reportés.

Les adresses IP suspendues sont retirées du bannissement automatiquement après un certain temps, selon la puissance de l'attaque.

Protection DDoS

Nous utilisons la technologie Arbor PeakFlow.

Intrusion Prevention System (IPS)

Nous sommes amenés à utiliser parfois MoBlock / PGL pour certaines RBL.

Détection de phishing

Un robot est présent sur le serveur FTP pour détecter les tentatives de phishing.

Protections sortantes

En plus des protections entrantes pour sécuriser le réseau de FranceServ Hébergement, des protections sortantes ont été mises en place pour éviter les attaques depuis notre réseau.

Filtrage des ports sortants

Les sockets sont tolérés en sortie par le protocole TCP et UDP à destination de la plage des ports 1024 à 65535 exceptés la plage des ports allant de 6600 à 8000 qui sont bloqués en raison de leurs appartenances au protocole IRC.

En dessous du port 1024, seuls les ports suivants sont accessibles en sorties depuis l'hébergement mutualisé :

  • 21 pour le FTP
  • 25, 465 et 587 pour le SMTP, le SMTP SSL et le SMTP TLS
  • 43 pour le WHOIS
  • 80 et 443 pour le WEB
  • 110 pour le POP
  • 143 et 993 pour l'IMAP et l'IMAPS

Limitation du débit sortant

Les transactions TCP sont limitées à 10 connexions sortantes et les transactions UDP sont limitées à 5 connexions sortantes à la seconde pour éviter les attaques de déni de service.

-p tcp --syn -m limit --limit 10/s
-p udp -m limit --limit 5/s

Proxy sortant

Un proxy Squid met en cache toutes les requêtes WEB sortantes de toute l'infrastructure du réseau de FranceServ Hébergement via un proxy transparent.

Actuellement seul le port 80 est supervisé en vu d'identifier plus rapidement les attaques possibles depuis un site hébergé sur le réseau, en plus d'accélérer le transit IP via le cache.

Par exemple, une mise à jour d'un Wordpress est très rapide car le proxy se place entre le CMS et la plateforme de téléchargement de son éditeur et accélère considérablement son téléchargement.

Un filtrage est également en place pour bloquer les débrideurs de bande passante via proxy ainsi que tout proxy en général ou tout système permettant d'attaquer un réseau distant via une liste noir sur des sites illégaux et/ou dangereux en vu de protéger notre réseau et vos sites de leurs contenus.

Scripts de supervision des ressources

Par défaut, le moteur PHP défini les variables memory_limit selon l'offre d'hébergement choisie. Si vous ne modifiez pas cette valeur à l'aide de iniset(), le moteur PHP gère lui même de manière la plus souple possible, le maximum de ressources utilisées sur le système.

Si vous modifiez cette valeur et mettez une valeur plus grande que l'offre que vous avez choisie ou si vous désactivé le memory_limit en mettant 0, un robot de supervision des ressources intervient de manière plus drastique :

Si vous désactivez le memory_limit ou si vous l'augmentez, lorsqu'un script PHP d'un site dépasse son allocation mémoire ou processeur suivant l'offre d'hébergement choisie, le script est immédiatement interrompu et un mail d'alerte est envoyé à l'hébergé pour lui notifier le problème.

Lorsqu'un site génère 3 alertes dans l'heure pour un même site, celui-ci est mis hors ligne automatiquement dans les 5 minutes avec un nouveau mail d'alerte invitant l'hébergé à corriger le problème puis à remettre en ligne son site depuis sont interface de gestion. Un site internet peux être remis en ligne dans les 5 minutes par l'hébergé lui même.

Il revient à l'hébergé de corriger son développement ou de mettre en quarantaine la partie du site fautive avant de remettre en ligne son site.

Pour en savoir plus :

https://www.franceserv.fr/offres-hebergement#langage_php_et_fonctions_proposes

 
firewall.txt · Dernière modification: 2014/05/29 09:38 par elodie
 
Recent changes RSS feed Creative Commons License Donate Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki