• Detecting attacks
• If a Log Processor is running, the following scenarios are enabled by default:
○ portscan
○ ssh brute-force
○ pfSense admin UI brute-force
○ HTTP vulnerability probing
○
•
•
•
•
• En premier, il faut activer le SSH, pour qu'on puisse faire des copier-coller des lignes en shell, à partir d'un PC Windows par exemple.
• D'abord, aller dans le menu PfSense [System] -> [Avancé]
- 1.png (102.32 Kio) Vu 23125 fois
• Défilez vers le bas (c'est au milieu environ), et configurez comme au dessus.
• Enregistrez, tout en bas
• Allez ensuite dans [System] -> [Users], puis défilez un peu vers le bas (c'est vers la fin)
- 2.png (24.58 Kio) Vu 23125 fois
- 3.png (55.27 Kio) Vu 23125 fois
• Enregistrez, tout en bas.
• Ensuite, il suffit de vous connecter en SSH avec votre logiciel préféré (en mettant dedans la clé privée, correspondante à la clé publique qu'on vient d'entrer à l'étape précédente.)
- 4.png (13.18 Kio) Vu 23125 fois
○ 2) Une fois connecté en ssh, faites le choix [8] pour lancer le shell (à distance, à partir d'un poste dans le LAN)
○ Cliquez ici :
○ https://github.com/crowdsecurity/pfSens ... c/releases
○ Ensuite suivez les instructions donnés pour le dernier CrowdSec, (dans mon cas, v0.1.5-1.6.9-32), en Shell, tapez (copiez-collez les instructions donnés sur la page github) :
○ # fetch https://raw.githubusercontent.com/crowd ... rowdsec.sh
○ # sh install-crowdsec.sh --release v0.1.5-1.6.9-32
○ Si ça ne fonctionne pas, il va falloir l'installer à la main :
• Tapez ceci dans le shell :
setenv IGNORE_OSVERSION yes
- 5.png (1.77 Kio) Vu 23125 fois
• Allez ensuite ici : https://github.com/crowdsecurity/pfSens ... c/releases , puis cliquez sur le numéro de la dernière version ( https://github.com/crowdsecurity/pfSens ... tag/v0.1.3 )
• Relevez les dernières versions et adaptez les lignes suivantes à entrer dans la console de pfSense (à la suite, et faire attention de pas copier le "/:" devant chaque instruction) :
/: pkg add -f https://github.com/crowdsecurity/pfSens ... 0125.3.pkg
/: pkg add -f https://github.com/crowdsecurity/pfSens ... 231101.pkg
/: pkg add -f https://github.com/crowdsecurity/pfSens ... -1.6.0.pkg
/: pkg add -f https://github.com/crowdsecurity/pfSens ... 0.28_3.pkg
/: pkg add -f https://github.com/crowdsecurity/pfSens ... -0.1.3.pkg
• Redemarrez le service :
○ service crowdsec.sh restart
•
• Maintenant que CrowdSec est bien installé,
• Allez dans l'interface web de PfSense (avec un poste appartenant au LAN dans un explorateur internet, en saisissant l'adresse de pfSense. Ex : 172.16.1.1) puis :
- 6.png (34.46 Kio) Vu 23125 fois
- 7.png (75.67 Kio) Vu 23125 fois
• Normalement, tout est configuré correctement par défaut. Enregistrez tout en bas, pour activer CrowdSec (sinon, il ne sera pas activé)
- 8.png (70.5 Kio) Vu 23125 fois
• Vous devez voir alors dans cette page, les services activés.
- 9.png (83.34 Kio) Vu 23125 fois
• Pour voir les logs, consultez les fichiers suivants :
• /usr/local/etc/crowdsec/acquis.yaml
• /usr/local/etc/crowdsec/acquis.d/pfsense.yaml
Voir les décisions que CrowdSec a pris :
• Naviguez dans les menus pour aller jusqu'à "Status/CrowdSec" (1)
• Cliquez sur l'onglet "Decisions" (2)
• Copiez "cscli decisions list -a" (3)
- 10.png (62.53 Kio) Vu 23125 fois
• Ensuite, naviguez dans "Diagnostics/Command Prompt" (1) (dans les menus de pfSense).
• Collez ici (2) la commande copiée précédemment (2)
• Exécutez-la alors (3)
- 11.png (54.89 Kio) Vu 23125 fois
• Voici le résultat :
- 12.png (73.49 Kio) Vu 23125 fois
Voilà, fini, à bientôt.