Merci ! A peine mon serveur installé à la maison je me suis fait brute force toute la nuit 😅 Du coup j'ai changé le port RDP et installé ce petit logiciel !
Hello, Je pense qu'avec 15 minutes ça permet d'obtenir des résultats pertinents. Le problème de mettre encore plus long c'est qu'après tu peux avoir des faux positifs si tu as des users qui se trompent de login/mdp.... À moins de bien mettre les sous-réseau en liste blanche mais ça veut dire que l'attaque ne peut pas venir de l'intérieur du réseau, ce qui n'est pas vrai 😉
Merci pour le partage ! Petites questions pour éclaircir la configuration. 1. Si une IP sort du ban temp et retente une BF, son TriggerCount sera de 1 c'est ça ? Si c'est le cas, est-ce judicieux de paramétrer un EventAge supérieur au LockTime afin de se protéger de ces ip qui tentent des connexions avec un temps supérieur à l'EventAge sachant que la whitelist est bien renseignée au préalable ? 2. Est-il possible d'ajouter aux perma ban des étendu d'ip directement dans EvlWatcher ou il faut créer une règle de pare-feu à part ?
Hello, oui c'est bien ça pour le TriggerCount, mais je te recommande plutôt d'utiliser CrowdSec à la place d'EvlWatcher. Il va permettre de détecter d'autres attaques. Il n'existait pas sous Windows à l'époque où j'ai fait cette vidéo. Voici un lien si tu veux regarder : www.it-connect.fr/comment-securiser-un-serveur-windows-avec-crowdsec/
Bonsoir, j'ai loyer un serveur VPS ,j'ai ouvert un port spécifique qui permet une connexion depuis l’extérieur et j'y ai installé un logiciel partager avec des collaborateurs qui peuvent s'y connecter toute la journée. je voulais savoir si j'installe "EvlWatcher" mes collaborateurs ne seront pas bloquer par "EvlWatcher"? NB: le fournisseurs m'envoi dés fois des email ou il me signale qu'il y'a une "activité anormale sur le serveur VPS" ou "Nous avons détecté une attaque réseau depuis votre réseau, un ordinateur qui y est connecté est probablement infecté et fait partie d'un botnet. " . MERCI DE VOTRE AIDE. URGENT
@@IT-Connect azure m'intéresse et vos explications sont vraiment bien, ayant moi même effectué ces formations j'aurais aimé aller plus en détail la dessus peut être connaissez vous le sujet tout de même?
Merci ! A peine mon serveur installé à la maison je me suis fait brute force toute la nuit 😅 Du coup j'ai changé le port RDP et installé ce petit logiciel !
Cela ne m'étonne pas, les scans sur des protocoles comme le RDP et le SSH sont constants...
Merci / Obrigado!!
Merci pour le partage, bonne journée
Merci pour l'info, il a l'air très bien ce petit logiciel. Sinon tu conseilles combien pour le EventAge au final?
Hello,
Je pense qu'avec 15 minutes ça permet d'obtenir des résultats pertinents. Le problème de mettre encore plus long c'est qu'après tu peux avoir des faux positifs si tu as des users qui se trompent de login/mdp.... À moins de bien mettre les sous-réseau en liste blanche mais ça veut dire que l'attaque ne peut pas venir de l'intérieur du réseau, ce qui n'est pas vrai 😉
Merci pour le partage ! Petites questions pour éclaircir la configuration.
1. Si une IP sort du ban temp et retente une BF, son TriggerCount sera de 1 c'est ça ?
Si c'est le cas, est-ce judicieux de paramétrer un EventAge supérieur au LockTime afin de se protéger de ces ip qui tentent des connexions avec un temps supérieur à l'EventAge sachant que la whitelist est bien renseignée au préalable ?
2. Est-il possible d'ajouter aux perma ban des étendu d'ip directement dans EvlWatcher ou il faut créer une règle de pare-feu à part ?
Hello, oui c'est bien ça pour le TriggerCount, mais je te recommande plutôt d'utiliser CrowdSec à la place d'EvlWatcher. Il va permettre de détecter d'autres attaques. Il n'existait pas sous Windows à l'époque où j'ai fait cette vidéo. Voici un lien si tu veux regarder : www.it-connect.fr/comment-securiser-un-serveur-windows-avec-crowdsec/
Bonsoir, j'ai loyer un serveur VPS ,j'ai ouvert un port spécifique qui permet une connexion depuis l’extérieur et j'y ai installé un logiciel partager avec des collaborateurs qui peuvent s'y connecter toute la journée. je voulais savoir si j'installe "EvlWatcher" mes collaborateurs ne seront pas bloquer par "EvlWatcher"?
NB: le fournisseurs m'envoi dés fois des email ou il me signale qu'il y'a une "activité anormale sur le serveur VPS" ou "Nous avons détecté une attaque réseau depuis votre réseau, un ordinateur qui y est connecté est probablement infecté et fait partie d'un botnet. " . MERCI DE VOTRE AIDE. URGENT
n'auriez vous pas fait une formation azure az-104 az 900 il y a peu ?
Bonjour,
Heu non... Pourquoi ? 😅
@@IT-Connect azure m'intéresse et vos explications sont vraiment bien, ayant moi même effectué ces formations j'aurais aimé aller plus en détail la dessus peut être connaissez vous le sujet tout de même?