PfSense : protéger la page de connexion avec le Login Protection

I. Présentation

L'interface d'administration est accessible seulement depuis le LAN dans la configuration par défaut, ce qui limite déjà les accès sur cette précieuse interface. Le danger peut venir également de l'intérieur, il me semble intéressant de protéger la page de connexion en activant la fonctionnalité "Login Protection" ce qui permet de lutter contre les attaques par Brute Force.

Cette fonctionnalité n'est pas activée par défaut et elle est un peu cachée dans les options avancées, d'où l'intérêt de faire cet article pour en profiter pour mettre en avant son existence.

II. Configurer Login Protection

Connectez-vous à l'interface d'administration de pfsense, et dans le menu "Système" cliquez sur "Avancé".

Descendez dans la page et vous allez trouver la section "Login Protection", tout se passe ici. Plusieurs options sont à configurer :

  • Seuil : lorsque le score de l'attaquant atteinte cette limite, son adresse IP sera bloquée, sachant qu'une attaque a un score de 10
  • Blocktime : lorsque le seuil est atteint, pendant combien de temps souhaitez-vous bloquer l'adresse IP de l'attaquant ? A exprimer en secondes
  • Detection time : lorsqu'une attaque est détectée à partir d'une IP, pendant combien de temps cette IP est-elle mise "sous surveillance" avant que son score soit remis à zéro
  • Whitelist : indiquez une ou plusieurs adresses IP de machines (ou un réseau) que vous souhaitez mettre en liste blanche, donc sur lequel la protection ne s'appliquera pas

Les options sont classiques pour une protection de ce type donc si vous avez l'habitude de configurer des protections anti-brute force vous ne devriez pas être perdu.

Il suffit de sauvegarder la configuration à la suite de la configuration.

Vous pouvez tester ensuite le mécanisme, vous verrez que c'est très efficace. Un poste bloqué peut continuer d'accéder à Internet mais il ne peut plus afficher la page de connexion de pfsense. Les hôtes bloqués sont directement gérés par pfsense et n’apparaissent pas dans une règle de firewall (en tout cas visible via l'interface web).

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Consultant chez Délibérata le jour, blogueur pour IT-Connect la nuit, je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 2506 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.