TP - Mettre en place Fail2ban et Nftables pour protéger un serveur Web

1. Objectifs pédagogiques

Compétence visée	Indicateurs de réalisation
Installer et publier un CMS dans un environnement Linux	-- Joomla ! fonctionnel en HTTPS -- Accès SSH changé et opérationnel
Définir et appliquer une politique de filtrage avec nftables	-- Tables, chaînes et règles créées -- Journalisation pertinente des paquets
Automatiser la détection / mitigation d'attaques par ForceBrute ou DDoS applicatif	-- Fail2ban actif, bannissement 5 min -- Filtre(s) personnalisé(s) pour nginx/apache
Vérifier & documenter la sécurité déployée	-- Batteries de tests réussies -- Rapport technique rédigé

2. Architecture cible du labo

Internet (COM_EXT)
│
┌────────┴────────┐
│ Pare‑feu (pfSense/opnSense/dynFi/IPFire)
│ • WAN : DHCP
│ • LAN : 10.10.10.254/24 (COM_LAN)
└────────┬────────┘
│
┌──────────┴───────────┐
│ │
Client Win 11 Pro N Debian 12 «Web»
10.10.10.10/24 10.10.10.20/24

NAT/PAT : assurée par le pare‑feu pour le LAN.
Port forwarding (WAN → LAN) : 443/TCP et 54334/TCP vers le serveur Web.

3. Pré‑requis logiciels

VM	OS / Version conseillée	Matériel virtuel minimal
Pare‑feu	pfSense 2.7 / OPNsense 24.1 / dynFi 1.5 / IPFire 2.29	1 vCPU, 4 Go RAM, 2 NIC
Serveur Web	Debian 12 « Bookworm » 64 bits	1 vCPU, 4 Go RAM, 1 NIC
Client	Windows 11 Pro N 23H2	2 vCPU, 4 Go RAM, 1 NIC

Aide : les tutoriels détaillés se trouvent sur le blog.

4. Déroulé pas‑à‑pas

Partie 0 -- Mise en place & vérifications initiales (≈ 1 h)

Importation des VM type nécessaires.
- Ne pas oublier de faire UNE copie. Il ne faut pas importer la VM type sur place !
Affectation des réseaux :
- COM_EXT : Réseau « NAT » direct à Internet.
- COM_LAN : Réseau interne individuel.
Tests de connectivité :
- Ping 10.10.10.254 ↔ 10.10.10.20 ↔ 10.10.10.10
- Accès Internet depuis le client et le serveur via le pare‑feu.

Partie 1 -- Installation de la pile LAMP & de Joomla

📄 Guide « Installer Joomla sur Debian » disponible sur le blog.

Partie 2 -- Configurer la connexion SSH

Connexion par clefs
Port SSH changé (52334)
N'autoriser qu'adminweb à pouvoir se connecter.

Partie 3 -- Politique nftables

Déployer le pare-feu nftables sur le serveur Debian
- Autoriser uniquement les flux entrants pour https et SSH
- Autoriser tous les flux sortants

📄 Guide « Configurer nftables sur Debian » disponible sur le blog

Partie 4 -- Protection Fail2ban

Mettre en place Fail2ban avec 2 jails (a minima) : l'un pour SSH, l'autre pour Nginx/Apache
- Bannissement de 5min au bout de 3 échecs de connexion SSH.
- Anti-DDoS basique en cas de trop nombreuses connexions HTTPS (à vous de déterminer une valeur seuil).

Partie 5 -- Tests d'intrusion & validation

Test	Attendu
Scan Nmap complet depuis le client	Uniquement 443 / 54334 ouverts
tentatives SSH invalides (tentatives par mot de passe)	IP bannie 5 min via jail
Dépassement du seuil de requêtes HTTP/s sur 1 min	IP bannie 5 min via jail

Trouver un outil permettant de simuler des attaques depuis votre PC client (ddosify existe toujours à ma connaissance !).

Regardez sur le blog !

5. Livrables

Livrable
Capture d'écran Joomla (front + back‑office) en HTTPS
Export nft list ruleset commenté
Fichier jail.local + filtres personnalisés
Rapport PDF (max 3 pages) : architecture, tests, conclusions

6. Extensions possibles (facultatif)

Mettre en place nftables sets dynamiques pour bloquer automatiquement les IP bannies par Fail2ban (action nftables-multiport).
Chiffrer la sauvegarde MySQL / MariaDB et l'automatiser (cron).
Déplacer Joomla derrière le reverse‑proxy HAProxy sur le pare‑feu pour TLS offload.

Bon TP !

⬆️ Retour en haut de la page