IPTables versus modsecurity

IPTables versus modsecurity - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 18-04-2010 à 11:42:13    


Bonjour, je dois sécuriser mon serveur de courriel  et je ne sais pas quelle méthode choisir contre les « brute-force attack» en se qui concerne les tentatives sur mon serveur IMAP (dovecot).  
A priori j’utiliserai Modsecurity mais il y a t-il un quelconque avantage à utiliser iptables + fail2ban par exemple ou de combiner les deux.
 
Toute aide est la bien venue
 
Merci

Reply

Marsh Posté le 18-04-2010 à 11:42:13   

Reply

Marsh Posté le 18-04-2010 à 12:01:39    

fail2ban et iptables/netfilter ne sont pas fait pour les mêmes choses.
  - iptables/netfilter travaille au niveau IP/[TCP|UDP]
  - fail2ban travaille au niveau des logs de ton applicatif afin de bannir les @IP présentant un trop gros nombre d'échec à l'authentification.

 

AMHA, iptables et fail2ban sont complémentaires.

 

Quant à ModSecurity, je ne connais que trop peu, mais il me semble fortement qu'il n'est utile que pour un serveur HTTP/HTTPS, donc totalement inutile pour un serveur IMAP.


Message édité par o'gure le 18-04-2010 à 12:07:36

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 18-04-2010 à 13:06:21    

Modsecurity est un module d' apache. c'est un WAF ou web application firewall qui travaille les pages  (http ou https comme tu le dis). les règles crées sont basées sur la présence de tels ou tels élements dans la requête ou dans la reponse. Si par exemple je veux prevenir une brut force avec dovecot (imap) et squirrelmail j'analyse la difference de comportement entre une authentification ratée et une réussie et je fais une règle qui ne sera valable que pour squirrelmail dans le milieu décrit. Est-ce la même chose avec iptables plus fail2ban ? merci

Reply

Marsh Posté le 18-04-2010 à 13:07:45    

ps: modsecurity est preventif

Reply

Marsh Posté le 18-04-2010 à 13:20:49    

Si tu nous donnais exactement ton infrastructure ?
Mon précédent post, en particulier la dernière, phrase était valable pour un contexte uniquement "serveur imap devant être joignable par tout internet".

 

A priori maintenant tu utilises squirrelmail, avec un serveur imap en local je suppose ?
  - dovecot doit il être accessible en imap par internet ?
  -  doit on forcément passer par squirrelmail ?


Message édité par o'gure le 18-04-2010 à 13:21:15

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 18-04-2010 à 13:57:14    

Rebonjour
 
A priori maintenant tu utilises squirrelmail, avec un serveur imap en local je suppose ?  oui
  - dovecot doit il être accessible en imap par internet ? oui
  -  doit on forcément passer par squirrelmail ? pour l'instant oui  
le serveur apache heberge aussi wordpress, un site interne et un autre externe
moodle sera aussi installer  
 
merci

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed