Réduire les signalements d'abus lors de l'exploitation d'un service VPN

Gérer un service VPN ou proxy sur un serveur comporte plusieurs risques. En tant que
propriétaire de l'IP, vous êtes responsable de tout abus ou activité illégale
effectué via votre service. Pour vous protéger contre ce
problème, vous devez prendre des mesures préventives pour préserver votre
réputation.

Mode strict :
Liste blanche

Une façon de s'assurer que votre serveur n'est pas détourné est de n'autoriser que
certaines activités. Cette approche, appelée liste blanche, ne
prévient pas totalement les abus : vos utilisateurs peuvent toujours attaquer d'autres personnes et provoquer
la suspension de votre serveur. Elle rend toutefois le processus d'abus
bien plus difficile, et dissuade généralement les personnes malveillantes de
vos services (et, malheureusement, certains utilisateurs légitimes également).

Ce que nous proposons ici est de bloquer tous les paquets entrants et sortants
de votre serveur, à l'exception de ceux qui sont absolument nécessaires.
Voici comment procéder.

La seule chose à vérifier avant de suivre ce guide est
de ne pas avoir d'autres pare-feux activés sur votre serveur.
Bien que ce guide couvre la procédure sur Ubuntu, vous n'avez pas besoin de l'utiliser
comme système d'exploitation. La logique du processus est identique pour les autres systèmes d'exploitation.
well.

1. Installation de UFW

Commencez par installer UFW.

sudo apt install ufw

2.
Bloquer toutes les connexions entrantes et sortantes

Assurez-vous de désactiver UFW, car les commandes suivantes peuvent
interrompre votre connexion à votre serveur :

sudo ufw disable

les commandes ci-dessous vont bloquer tous les paquets qui tentent de
accéder à votre serveur ou en sortir. plus tard, nous n'autoriserons que les connexions qui
ce dont nos utilisateurs ont besoin :

sudo ufw default deny incoming

sudo ufw default deny outgoing

3. Permettre
vous connecter à votre serveur

Nous allons maintenant autoriser les connexions entrantes sur le port 22, qui est le port
utilisée pour établir des connexions SSH. Bien qu'il soit toujours conseillé
pour changer votre port SSH en autre chose :

sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”

Les connexions sortantes sont déjà bloquées, mais nous allons spécifiquement
bloquer tous les paquets sortants dont le port de destination est le 22 (dans
au cas où vous modifieriez la politique par défaut à l'avenir). Cela rendra les deux
vous et vos utilisateurs dans l'impossibilité de vous connecter à d'autres serveurs via SSH sur le port
22. Même si cela peut sembler contraignant, cela résoudra en réalité l'un des plus
les motifs de suspension fréquents. En utilisant ce
commande, aucun utilisateur ne pourra effectuer d'attaques par force brute SSH depuis
votre serveur :

sudo ufw deny out 22/tcp comment “Stops SSH brute force”

Après avoir autorisé les connexions entrantes sur le port 22, vous pouvez activer votre
pare-feu sans être déconnecté de votre serveur :

sudo ufw enable

Si vous êtes déconnecté de votre serveur, vous pouvez utiliser
Utilisez VNC pour accéder à nouveau à votre serveur et désactiver votre pare-feu.

4.
Permettre à vos utilisateurs de se connecter à votre serveur pour obtenir un proxy/VPN
services

Il est clair que vos utilisateurs doivent se connecter au proxy de votre serveur et l'utiliser.
services. Bloquer toutes les connexions entrantes rend la chose impossible pour
eux. Nous devons donc autoriser les ports proxy/VPN utilisés par les utilisateurs pour
Par exemple, supposons que nous souhaitons autoriser les utilisateurs à se connecter au port 1194, qui
est généralement utilisé pour OpenVPN. Pour ce faire, tapez la commande suivante :

sudo ufw allow in 1194/tcp comment “OpenVPN port for users”

Ou, si vous utilisez OpenVPN via UDP :

sudo ufw allow in 1194/udp comment “OpenVPN port for users”

La logique est la même pour les autres VPN et serveurs proxy,
il vous suffit de trouver le port auquel vos utilisateurs doivent se connecter et d'autoriser les connexions
entrantes vers ce port.

Vos utilisateurs peuvent désormais se connecter à votre serveur et au VPN, mais
ils ne pourront établir aucune connexion vers l'extérieur. C'est précisément
le principe de la liste blanche : les utilisateurs ne peuvent se connecter à aucun
port sans autorisation explicite. Cela réduit considérablement le risque
de signalements d'abus.

5.
Permettre à vos utilisateurs de visiter des sites web et d'utiliser des
applications

Nous allons maintenant autoriser le trafic sortant vers les ports utilisés pour naviguer
sur le web et effectuer des appels API vers des serveurs web. Pour cela, autorisez
le port TCP 80 et le port TCP 443. Autoriser également le port UDP 443 permettra
à vos utilisateurs d'établir des connexions HTTP3 :

sudo ufw allow out 80/tcp comment “HTTP connections”

sudo ufw allow out 443 comment “HTTPS and HTTP3 connections”

6. Permettre
différents services selon les besoins

En général, ouvrir les ports 80 et 443 suffit, mais pour bénéficier de toutes les
fonctionnalités de certaines applications ou logiciels, vous pourriez avoir besoin d'autoriser
d'autres ports pour vos utilisateurs.

Il est généralement conseillé de faire vos propres recherches et de n'autoriser
des ports que s'ils sont absolument nécessaires. Chaque application majeure dispose d'une
documentation réseau destinée aux administrateurs réseau
comme vous. Dans ces documents, vous trouverez les ports que
applications utilisées et les ajouter à la liste blanche. Voici quelques exemples courants.
à titre d'exemples.

WhatsApp
(Sans appel vidéo ni vocal) :

sudo ufw allow out 443/tcp comment “WhatsApp”

sudo ufw allow out 5222/tcp comment “WhatsApp”

Git:

sudo ufw allow out 9418/tcp comment “Git”

Certains services comme Discord,
Zoom,
ou les appels vocaux et vidéo WhatsApp nécessitent une large plage de ports UDP. Vous
pouvez les ouvrir à votre discrétion.

Mode permissif :
Liste noire

Avec la liste blanche, vous bloquez tout et autorisez des ports spécifiques. Avec
la liste noire, vous autorisez tout et bloquez des ports spécifiques.

1. Installation de UFW

Vous devez d'abord installer UFW

sudo apt install ufw

2. Bloquer les
connexions entrantes

Assurez-vous de désactiver UFW, car les commandes suivantes peuvent
interrompre votre connexion à votre serveur :

sudo ufw disable

Il est logique de bloquer toutes les connexions entrantes, sauf si vous exposez
des services spécifiques. Rejetons donc tout le trafic entrant :

sudo ufw default deny incoming

Notez que cette fois, vous ne bloquez pas toutes les connexions sortantes.
Cela permet à vos utilisateurs de se connecter à n'importe quel port. Ce n'est pas
recommandé, sauf si vous faites entièrement confiance à vos utilisateurs.

3.
Autoriser votre propre accès au serveur

Nous allons maintenant autoriser les connexions entrantes sur le port 22, qui est le port
utilisé pour établir des connexions SSH vers votre serveur. Il est cependant
toujours conseillé de changer votre port SSH pour un autre :

sudo ufw allow in 22/tcp comment “Allows me to SSH to my server”

Si vous souhaitez bloquer le port SSH pour éviter les signalements d'abus liés aux attaques par force brute,
vous pouvez utiliser la commande suivante :

sudo ufw allow out 22/tcp comment “Block Outgoing SSH ”

4. Bloquer BitTorrent

Pour la même raison, vous devez bloquer les ports utilisés par
BitTorrent. Comme plusieurs ports sont concernés, vous devrez
faire vos recherches et bloquer les IP des trackers publics ainsi que les ports
habituellement utilisés par BitTorrent.

Si vous avez des questions, n'hésitez pas à nous contacter via soumettant une
ticket.