Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente | Prochaine révision Les deux révisions suivantes | ||
firewall [2013/07/30 14:39] |
firewall [2014/05/29 07:38] 127.0.0.1 modification externe |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
+ | ====== Protections réseaux (Firewall/ | ||
+ | Pour un affinage de la sécurité, n' | ||
+ | |||
+ | ===== Protections entrantes ===== | ||
+ | |||
+ | ==== Détection d' | ||
+ | |||
+ | L' | ||
+ | |||
+ | Si l' | ||
+ | |||
+ | Votre adresse IP xxx.xxx.xxx.xxx été bannie pour 15 minutes le **/**/** à | ||
+ | **:** en raison d'au moins 6 authentifications infructueuses sur le serveur | ||
+ | FTP et sera débannie dans x minutes le **/**/**** à **:**. Une fois le | ||
+ | débannissement effectué, vous pourrez de nouveau vous connecter à votre espace | ||
+ | FTP. | ||
+ | ==== Protection Flood/DoS ==== | ||
+ | |||
+ | Un système de protection anti Flood/DOS bloque les adresses IP depuis le frontend avant même l' | ||
+ | |||
+ | Ce système a alors deux actions, la première est " | ||
+ | |||
+ | Les adresses IP suspendues sont retirées du bannissement automatiquement après un certain temps, selon la puissance de l' | ||
+ | |||
+ | ==== Protection DDoS ==== | ||
+ | |||
+ | Nous utilisons la technologie Arbor PeakFlow. | ||
+ | |||
+ | ==== Intrusion Prevention System (IPS) ==== | ||
+ | |||
+ | Nous sommes amenés à utiliser parfois MoBlock / PGL pour certaines RBL. | ||
+ | |||
+ | ==== Détection de phishing ==== | ||
+ | |||
+ | Un robot est présent sur le serveur FTP pour détecter les tentatives de phishing. | ||
+ | |||
+ | ===== Protections sortantes ===== | ||
+ | |||
+ | En plus des protections entrantes pour sécuriser le réseau de FranceServ Hébergement, | ||
+ | |||
+ | ==== Filtrage des ports sortants ==== | ||
+ | |||
+ | Les sockets sont tolérés en sortie par le protocole TCP et UDP à destination de la plage des ports 1024 à 65535 exceptés la plage des ports allant de 6600 à 8000 qui sont bloqués en raison de leurs appartenances au protocole IRC. | ||
+ | |||
+ | En dessous du port 1024, seuls les ports suivants sont accessibles en sorties depuis l' | ||
+ | |||
+ | * 21 pour le FTP | ||
+ | * 25, 465 et 587 pour le SMTP, le SMTP SSL et le SMTP TLS | ||
+ | * 43 pour le WHOIS | ||
+ | * 80 et 443 pour le WEB | ||
+ | * 110 pour le POP | ||
+ | * 143 et 993 pour l'IMAP et l' | ||
+ | ==== Limitation du débit sortant ==== | ||
+ | |||
+ | Les transactions TCP sont limitées à 10 connexions sortantes et les transactions UDP sont limitées à 5 connexions sortantes à la seconde pour éviter les attaques de déni de service. | ||
+ | < | ||
+ | -p udp -m limit --limit 5/ | ||
+ | ==== Proxy sortant ==== | ||
+ | |||
+ | Un proxy Squid met en cache toutes les requêtes WEB sortantes de toute l' | ||
+ | |||
+ | Actuellement seul le port 80 est supervisé en vu d' | ||
+ | |||
+ | Par exemple, une mise à jour d'un Wordpress est très rapide car le proxy se place entre le CMS et la plateforme de téléchargement de son éditeur et accélère considérablement son téléchargement. | ||
+ | |||
+ | Un filtrage est également en place pour bloquer les débrideurs de bande passante via proxy ainsi que tout proxy en général ou tout système permettant d' | ||
+ | |||
+ | ==== Scripts de supervision des ressources ==== | ||
+ | |||
+ | Par défaut, le moteur PHP défini les variables memory_limit selon l' | ||
+ | |||
+ | Si vous modifiez cette valeur et mettez une valeur plus grande que l' | ||
+ | |||
+ | Si vous désactivez le memory_limit ou si vous l' | ||
+ | |||
+ | Lorsqu' | ||
+ | |||
+ | Il revient à l' | ||
+ | |||
+ | Pour en savoir plus : | ||
+ | |||
+ | https:// |