F.A.Q.

[Sécurité] Configurer l'Anti-DDOS (Firewall Réseau)
Questions diverses

Nos infrastructures sont protégées contre les attaques par déni de service distribuées.
Nous fournissons à nos utilisateurs, via notre hébergeur en Data-Center, l'anti-DDoS le plus performant du marché.
Celui-ci vous protège 24 h/24 contre tout type d'attaque DDoS, sans restriction de taille ou de durée et sans surcoût.

Cette technologie mêle trois techniques pour :
- Analyser rapidement et en temps réel tous les paquets ;
- Détourner le trafic entrant sur votre serveur ;
- Séparer les éléments non légitimes du reste pour laisser passer le trafic légitime
L'activation de cette technologie est automatique en cas d'attaque et ne nécessite pas d'intervention de votre part.

Qu'avez-vous à faire ?

- Une protection AntiDDOS efficace repose aussi sur la mise en place de règles Firewall afin de limiter votre surface d'attaque.
Sur nos solutions VPS, vous avez la possibilité de paramétrer votre protection sur des équipements situés en amont de votre serveur.
Les règles que vous y ajouterez seront intégrées directement à la politique anti-DDOS à laquelle nous souscrivons.
Conseil : Pour une protection efficace, activez et paramétrez vos Firewalls (Réseau et local) !

- Vous pouvez choisir d'activer la mitigation permanente ou bien de la laisser en détection automatique (par défaut).
Conseil : activez la mitigation permanente !

La mitigation qu'est-ce que c'est ?
La mitigation concerne les moyens et mesures mis en place pour atténuer les effets négatifs sur un serveur ou un service liés aux attaques DDoS. La mitigation consiste à filtrer le flux pour ne laisser passer que le trafic légitime.

1.1) Où et comment activer mon Firewall Réseau et / ou modifier la configuration de la mitigation ?
Tout ce passe au même endroit :
Rendez-vous dans votre espace utilisateur NiHost
Dans votre DashBoard, sélectionnez l'item "Réseau"
Cliquez sur "Gérer"
image

1.2) Fonctionnement du Firewall Réseau
Vous pouvez configurer jusqu’à 20 règles.

+------------------------------------------------------+
Le pare-feu s’active automatiquement à chaque attaque DDoS et ne peut pas être désactivé avant la fin de l’attaque. C’est pourquoi il est important de maintenir à jour les règles de pare-feu. Par défaut, vous n’avez pas de règles configurées. Toutes les connexions peuvent donc être établies. Si vous avez déjà des règles, nous vous recommandons de les vérifier régulièrement, même si le pare-feu est désactivé.
+------------------------------------------------------+

+------------------------------------------------------+
La fragmentation UDP est bloquée (DROP) par défaut. Lorsque vous activez le Firewall Network, n’oubliez pas de configurer correctement votre unité de transmission maximale (Maximum Transmission Unit ou MTU) si vous utilisez un VPN. Par exemple, sur OpenVPN, vous pouvez cocher MTU test .

Le Firewall Network n’affectent que les connexions Internet <=> réseau de l'hébergeur.

+------------------------------------------------------+

Pour chaque règle, vous devez choisir :
- une priorité (de 0 à 19, 0 étant la première règle à appliquer) ;
- une action (Autoriser ou Refuser) ;
- le protocole ;
- le port source (TCP uniquement) ;
- le port de destination (TCP uniquement).

image

1.2.1) LIMITATIONS :
- Protocole : utilisez uniquement les protocoles TCP, UDP et ICMP.
- IP Source : il n'est actuellement pas possible de spécifier une adresse IP source. [Laissez vide (=ALL)].
- Port Source/Destination : Il n'est pas possible de spécifier une plage de ports TCP ou UDP. [Spécifiez un seul port ou laissez vide (=ALL).]
- Options TCP : ce champ est prévu pour une utilisation future. [Laissez vide.]

1.2.2) PROCEDURE :
1) Autoriser les connexions TCP et UDP entrantes dont vous avez besoin.

2) Autoriser les communications retour.

3) Interdire l'accès aux ports qui n'ont pas été spécifiés précédemments.
ATTENTION: L'absence de règle de refus équivaut à l'autorisation implicite.

4) Filtrer finement en installant un firewall local sur le serveur :
par exemple, afin de limiter l'utilisation du port 22 SSH à certaines IP connues.
par exemple, afin de limiter les communications retours depuis votre serveur uniquement (au lieu de IP source = ALL)

Exemple de configuration :
Pour vous assurer que seuls les ports SSH (22), HTTP (80), HTTPS (443), UDP (10 000) et l'ICMP restent ouverts.
Voici les règles à mettre en place :

image

Les règles sont triées de 0 (la première règle lue) à 19 (la dernière). La chaîne cesse d’être analysée dès qu’une règle est appliquée au paquet reçu.

Par exemple, un paquet pour le port 80/TCP sera capturé par la règle 2 et les règles qui suivent ne seront pas appliquées. Un paquet pour le port 53/UDP sera bloqué à la règle 19, car le pare-feu n’autorise pas la communication sur le port 53 dans les règles précédentes.

+------------------------------------------------------+
Si notre solution anti-DDoS limite une attaque, votre Firewall Network s’activera automatiquement, même si vous l’avez désactivé par défaut. Si vous souhaitez qu’aucune règle ne soit appliquée durant une attaque, vous devez supprimer toute règle préalablement créée.
+------------------------------------------------------+

2) Pour finir
Il vous incombe de parfaire la mise en oeuvre de la sécurité de vos équipements par tous moyens à votre disposition :
-Mot de passes forts changés régulièrement
-Fail2Ban
-firewall local.

N'hésitez pas à consulter nos FAQ :
https://support.ni-host.com/faq/vps/ufw-firewalld
https://support.ni-host.com/faq/vps/fail2ban