Attaque réseau ?

Forum dédié à l'accès à DomoticZ depuis l'extérieur de chez vous : routage de ports, VPN, VPS ...
La sécurité, c'est important !!
manuloup
Messages : 781
Inscription : 18 févr. 2015, 13:05

Re: Attaque réseau ?

Message par manuloup »

Donc voilà la solution :

[Post edit ]
Au préalable, installer fail2ban sur le RPI :

Code : Tout sélectionner

sudo apt-get install fail2ban
Il faut également mettre un fichier de log pour domoticz :

Dans le fichier /etc/init.d/domoticz.sh changer :

Code : Tout sélectionner

DAEMON_ARGS="$DAEMON_ARGS -log /var/log//domoticz.log"
et relancer domoticz :

Code : Tout sélectionner

sudo /etc/init.d/domoticz.sh restart
[/Post edit ]


1 - modifier le fichier jail.local dans /etc/fail2ban/ en y ajoutant la section suivante :

Code : Tout sélectionner

 [domoticz]

enabled  = true
port     = 8080
filter   = domoticz
logpath  = /var/log/domoticz.log
maxretry = 3
findtime = 3600
Modifier le port et le logpath selon votre configuration.

2 - ajouter le filtre domoticz.conf dans /etc/fail2ban/filter.d

Code : Tout sélectionner

vi /etc/fail2ban/filter.d/domoticz.conf
 
 # Fail2Ban configuration file for domoticz
#
# Author: Emmanuel Chanteloup
#
# $Revision$
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#
failregex = .* Error: Failed login attempt from <HOST> for user '.*' !

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =
3 - relancer fail2ban

Code : Tout sélectionner

 sudo /etc/init.d/fail2ban restart
C'est fini !

Pour tester :

Code : Tout sélectionner

 vi toto.txt :
 2015-11-03 18:35:51.908  Error: Failed login attempt from 37.130.158.115 for user 'toto' !
puis lancer la commande suivante :

Code : Tout sélectionner

fail2ban-regex  toto.txt /etc/fail2ban/filter.d/domoticz.conf

confirmation :

Code : Tout sélectionner

Success, the total number of match is 1
J'ai également fait un test depuis mon tel portable en 3G. Après 3 tentatives, mon ip est bannie :

Code : Tout sélectionner

root@raspberrypi:/etc/fail2ban# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
fail2ban-domoticz  tcp  --  anywhere             anywhere             multiport dports 8080
fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain fail2ban-domoticz (1 references)
target     prot opt source               destination
DROP       all  --  37.140.158.148       anywhere
RETURN     all  --  anywhere             anywhere
- retirer le ban de l'ip :

Code : Tout sélectionner

 root@raspberrypi:/etc/fail2ban/filter.d# iptables -D fail2ban-domoticz -s VOTRE_IP(ici 37.140.158.148) -j DROP
Mon ip n'est plus bannie :

Code : Tout sélectionner

 root@raspberrypi:/etc/fail2ban# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
fail2ban-domoticz  tcp  --  anywhere             anywhere        multiport dports 8080
fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain fail2ban-domoticz (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain fail2ban-ssh (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere
Voilà, j'espère que c'est clair et que cela vous a aidé. N'hésitez pas à me dire si j'ai oublié un truc.
Dernière modification par manuloup le 28 sept. 2016, 19:48, modifié 4 fois.
Synology DS920+ avec VM Debian 12, Aeon Labs Z-Stick Gen5, Aeon Zwave et devices zwaves , Teleinfo USB, devices Zigbee, batterie Marstek Venus E, Shelly Pro 3EM...
vil1driver
Messages : 5661
Inscription : 30 janv. 2015, 11:07
Localisation : Rennes (35)

Re: Attaque réseau ?

Message par vil1driver »

merci c'est top ;)

ne faut il pas également activer la création et l'usage de ce fichier log ?

éditer le fichier domoticz.sh

Code : Tout sélectionner

 nano /home/pi/domoticz/domoticz.sh
modifier cette ligne

Code : Tout sélectionner

#DAEMON_ARGS="$DAEMON_ARGS -log /tmp/domoticz.txt"
en ceci

Code : Tout sélectionner

DAEMON_ARGS="$DAEMON_ARGS -log /var/log/domoticz.log"
puis relancer domoticz

Code : Tout sélectionner

sudo service domoticz restart
MAJ = VIDER LE CACHE(<-Clicable)
/!\Les mises à jour de Domoticz sont souvent sources de difficultés, ne sautez pas dessus
modules.lua

Un ex domoticzien
manuloup
Messages : 781
Inscription : 18 févr. 2015, 13:05

Re: Attaque réseau ?

Message par manuloup »

Ah oui effectivement. Je ne me souvenais plus qu'il n'est pas activé par défaut.

Après, libre à vous de le mettre aussi en rotatelog etc... Je me suis concentré sur la partie fail2ban uniquement.
Synology DS920+ avec VM Debian 12, Aeon Labs Z-Stick Gen5, Aeon Zwave et devices zwaves , Teleinfo USB, devices Zigbee, batterie Marstek Venus E, Shelly Pro 3EM...
patoche
Messages : 192
Inscription : 25 oct. 2015, 15:51

Re: Attaque réseau ?

Message par patoche »

Merci pour votre aide.
RPI2 OSMC + domoticz + Rfx 433e + chacon dio, teleinfo 433 via arduino nano, sonde T° innovaley et TFA 303139, sonde T° piscine DIY 433 oregon, OWL 180, RPI zero W + camera
fredclo
Messages : 121
Inscription : 28 févr. 2015, 16:57

Re: Attaque réseau ?

Message par fredclo »

Bonjour,

j'ai suivi ce tuto avec intérêt mais n'ayant pas paramétré iptables je n'ai pas le même résultat lorsque je liste les règles ; j'ai rien du tout au lieu de :
fail2ban-domoticz tcp -- anywhere anywhere multiport dports 8080
fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh

Quelles sont les commandes pour mettre ces 2 règles svp ?
merci
RPi sur powerbank, bouton off/reset, domoticz (début avec Fhem sur dockstar), 4 sondes 1wire via rj45, ctrl des volets, tv/fbx, lumière, détecteurs d'ouverture, karotz, multiroom via pifm, ecodevice, ATI RF, et prg du mode arrêt des radiateurs via FP
manuloup
Messages : 781
Inscription : 18 févr. 2015, 13:05

Re: Attaque réseau ?

Message par manuloup »

fredclo a écrit :Bonjour,

j'ai suivi ce tuto avec intérêt mais n'ayant pas paramétré iptables je n'ai pas le même résultat lorsque je liste les règles ; j'ai rien du tout au lieu de :
fail2ban-domoticz tcp -- anywhere anywhere multiport dports 8080
fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh

Quelles sont les commandes pour mettre ces 2 règles svp ?
merci
Normal, ces lignes n'apparaissent que si tu as une ip bannie. Regarde, j'avais fait exprès de faire 3 tentatives infructueuses.
Synology DS920+ avec VM Debian 12, Aeon Labs Z-Stick Gen5, Aeon Zwave et devices zwaves , Teleinfo USB, devices Zigbee, batterie Marstek Venus E, Shelly Pro 3EM...
fredclo
Messages : 121
Inscription : 28 févr. 2015, 16:57

Re: Attaque réseau ?

Message par fredclo »

Eh bien j'ai pas du faire qqchose correctement, car j'ai aussi fait 3 essais infructueux via ma 3G, et ca ne m'a pas banni mon IP (je l'ai fais aussi du bureau idem).
Quand je fais iptables -L j'ai des listes vides.

J'ai suivi tout le tuto sauf l'install de fail2ban que j'avais déjà installé mais pas paramétré (à part mon email c'est tout).
J'ai fais une erreur sûrement ici :
DAEMON_ARGS="$DAEMON_ARGS -log /var/log/domoticz.log"
car j'ai 2 domoticz.sh : un pour le démarrage de domoticz (endroit classique) et un autre dans /home/pi/domoticz/domoticz.sh
Ce ne sont pas les mêmes mais j'ai mis cette ligne dans les 2.
Lequel il faut utiliser ?
merci
RPi sur powerbank, bouton off/reset, domoticz (début avec Fhem sur dockstar), 4 sondes 1wire via rj45, ctrl des volets, tv/fbx, lumière, détecteurs d'ouverture, karotz, multiroom via pifm, ecodevice, ATI RF, et prg du mode arrêt des radiateurs via FP
manuloup
Messages : 781
Inscription : 18 févr. 2015, 13:05

Re: Attaque réseau ?

Message par manuloup »

Regarde si tu vois quelque chose en faisant un :

ps -ef |grep domoticz

et regarde si tu vois un fichier de log dans /var/log/domoticz.log

Commence déjà par être que tu as la log. Ensuite relance fail2ban :

/etc/init.d/fail2ban restart
Synology DS920+ avec VM Debian 12, Aeon Labs Z-Stick Gen5, Aeon Zwave et devices zwaves , Teleinfo USB, devices Zigbee, batterie Marstek Venus E, Shelly Pro 3EM...
fredclo
Messages : 121
Inscription : 28 févr. 2015, 16:57

Re: Attaque réseau ?

Message par fredclo »

j'y ai pas accès avant ce soir, mais par contre, je sais que je n'ai pas de log, c'est un pb que j'avais remarqué.
merci
RPi sur powerbank, bouton off/reset, domoticz (début avec Fhem sur dockstar), 4 sondes 1wire via rj45, ctrl des volets, tv/fbx, lumière, détecteurs d'ouverture, karotz, multiroom via pifm, ecodevice, ATI RF, et prg du mode arrêt des radiateurs via FP
vil1driver
Messages : 5661
Inscription : 30 janv. 2015, 11:07
Localisation : Rennes (35)

Re: Attaque réseau ?

Message par vil1driver »

Lorsque l'on s'intéresse.. On apprend que fail2ban scan les fichiers de log et suivant s'il y trouve ce qu'on lui dit d'y chercher, en l'occurrence des tentatives d'accès infructueuses.. déclanche les actions voulues, soit le ban pour durée déterminée + alerte mail etc...

Donc pas de log, pas d'action.

C'est bien pour cela qu'il est précisé d'activer les logs.. ;)
MAJ = VIDER LE CACHE(<-Clicable)
/!\Les mises à jour de Domoticz sont souvent sources de difficultés, ne sautez pas dessus
modules.lua

Un ex domoticzien
Répondre