bernard lefebvre 3wconseils , informaticien , lisieux , bernay, calvados et eure
06 81 79 53 48
06 81 79 53 48
Se connecter

Que fait BANIP

En savoir plus
Le module «banIP», intégré au cœur du Système Cerbère, est un système de filtrage avancé qui bloque automatiquement ces adresses dangereuses avant même qu'elles n'atteignent vos ordinateurs. Il fonctionne en permanence, se met à jour tout seul, et peut être entièrement configuré par l'utilisateur final grâce à une interface graphique simple accessible depuis un navigateur web.

Le module «banIP», intégré au cœur du Système Cerbère, est un système de filtrage avancé qui bloque automatiquement ces adresses dangereuses avant même qu’elles n’atteignent vos ordinateurs. Il fonctionne en permanence, se met à jour tout seul, et peut être entièrement configuré par l’utilisateur final grâce à une interface graphique simple accessible depuis un navigateur web. Pour ceux qui veulent en savoir plus vous trouverez la description en mode texte sous les graphiques.

Le module «banIP», intégré au cœur du Système Cerbère, est un système de filtrage avancé qui bloque automatiquement ces adresses dangereuses avant même qu'elles n'atteignent vos ordinateurs. Il fonctionne en permanence, se met à jour tout seul, et peut être entièrement configuré par l'utilisateur final grâce à une interface graphique simple accessible depuis un navigateur web.
banIP – Le bouclier du Système Cerbère banIP , Le bouclier du Système Cerbère contre les adresses IP dangereuses Votre réseau est ouvert à 4 milliards d'adresses. banIP décide lesquelles ont le droit d'entrer. Chaque seconde, votre connexion internet reçoit des tentatives de contact provenant d'adresses IP du monde entier. La plupart sont inoffensives. D'autres appartiennent à des machines contrôlées par des cybercriminels, des robots qui scannent les réseaux à la recherche de failles, ou des serveurs infectés par des logiciels malveillants. Le module «banIP», intégré au cœur du Système Cerbère, est un système de filtrage avancé qui bloque automatiquement ces adresses dangereuses avant même qu'elles n'atteignent vos ordinateurs. Il fonctionne en permanence, se met à jour tout seul, et peut être entièrement configuré par l'utilisateur final grâce à une interface graphique simple accessible depuis un navigateur web. Que fait banIP concrètement ? Pour le dire simplement : banIP prend des listes d'adresses IP connues comme dangereuses et les bloque automatiquement au niveau du réseau. Aucune de ces adresses ne peut communiquer avec vos machines, ni en entrée (quelqu'un qui tente de vous atteindre), ni en sortie (un logiciel malveillant sur votre réseau qui tenterait de "téléphoner" à son serveur de commande). Ce blocage s'effectue à trois niveaux distincts En entrée vers votre routeur : Il bloque les tentatives d'accès direct à votre équipement réseau, par exemple, un pirate qui tente de se connecter à distance. En entrée vers vos appareils : Il bloque les connexions venant d'internet qui ciblent vos ordinateurs, imprimantes, caméras ou tout appareil connecté à votre réseau local. En sortie depuis vos appareils : Il empêche vos machines de contacter des serveurs dangereux, ce qui est essentiel si un logiciel malveillant a réussi à s'installer et tente de communiquer avec son "centre de commande". Le blocage géographique : la première ligne de défense Le Système Cerbère utilise banIP pour bloquer des pays entiers. Sur les 4 milliards d'adresses IP existantes dans le monde, seules environ 315 millions sont autorisées à communiquer avec votre réseau. Les 90 % restants, qui n'ont aucune raison légitime de contacter votre entreprise, sont bloqués à la porte. Ce n'est pas de la paranoïa. Les statistiques montrent que la grande majorité des attaques informatiques contre les entreprises françaises proviennent de zones géographiques très identifiées. En bloquant ces zones, on élimine d'emblée l'immense majorité des tentatives d'intrusion, sans aucun impact sur votre activité quotidienne. Le blocage par 30 listes noires spécialisées : un filet de sécurité à mailles très serrées Au-delà du blocage géographique, banIP s'appuie sur une trentaine de listes noires maintenues par des organisations reconnues en cybersécurité, universités, centres de recherche, entreprises spécialisées, communautés d'experts. Ces listes sont mises à jour automatiquement, gratuitement et en continu. Chaque liste a une spécialité Certaines identifient les serveurs qui lancent des attaques par force brute (des milliers de tentatives de mots de passe par minute). D'autres repèrent les machines infectées par des logiciels malveillants (botnets) qui servent de relais aux cybercriminels. D'autres encore ciblent spécifiquement les réseaux utilisés pour le phishing bancaire (faux sites de banques). Certaines bloquent les adresses IP qui ne devraient tout simplement pas exister sur internet (adresses "bogon", utilisées pour de l'usurpation d'identité réseau). Le détail complet des 30 listes utilisées par le Système Cerbère est disponible en bas de cette page. La protection contre les attaques par saturation (DoS) banIP ne se contente pas de filtrer les adresses IP. Il protège également votre réseau contre les attaques par saturation, dites "déni de service", qui visent à noyer votre connexion sous un flot de requêtes inutiles jusqu'à la rendre inutilisable. Trois types d'attaques sont détectés et bloqués automatiquement : Attaques SYN Flood : des milliers de demandes de connexion simultanées qui visent à épuiser les ressources de votre routeur. banIP détecte ce comportement anormal et bloque les paquets excédentaires au-delà d'un seuil configurable. Attaques UDP Flood : même principe, mais avec un autre protocole de communication. Particulièrement utilisé pour saturer les connexions des petites structures. Attaques ICMP Flood : envoi massif de "pings" pour ralentir ou bloquer votre réseau. banIP les détecte et les stoppe. Pour chaque type d'attaque, un seuil de tolérance est défini. En dessous, le trafic passe normalement. Au-dessus, les paquets suspects sont automatiquement rejetés. La surveillance en temps réel des tentatives de connexion Comme les logiciels professionnels fail2ban ou CrowdSec, banIP surveille en permanence les journaux d'activité de votre réseau. Si une adresse IP tente de se connecter avec un mauvais mot de passe, que ce soit sur l'interface d'administration de votre routeur, via une connexion SSH, ou sur tout autre service protégé, elle est automatiquement ajoutée à la liste noire locale. Cette fonctionnalité est personnalisable : vous pouvez définir au bout de combien de tentatives échouées une adresse est bloquée, et pendant combien de temps elle le reste. Les services surveillés par défaut Les tentatives de connexion SSH (accès à distance sécurisé) Les tentatives de connexion à l'interface d'administration LuCI Les tentatives de connexion au serveur web (nginx) Les tentatives de connexion au système téléphonique (Asterisk, pour les entreprises utilisant la VoIP) Vous pouvez ajouter d'autres services à surveiller en définissant simplement les termes à rechercher dans les journaux. Une liste blanche et une liste noire personnalisables banIP gère deux listes locales que vous pouvez modifier à tout moment : La liste blanche (allowlist) : les adresses IP, les plages d'adresses ou les noms de domaine qui ne doivent jamais être bloqués, quoi qu'il arrive. Par exemple, l'adresse de votre fournisseur de logiciel métier, ou celle de votre expert-comptable. La liste noire locale (blocklist) : les adresses que vous souhaitez bloquer vous-même, en plus de celles déjà présentes dans les listes noires automatiques. Utile si vous constatez des comportements suspects venant d'une adresse précise. Ces listes acceptent des adresses IP individuelles, des plages d'adresses complètes (en notation CIDR), des adresses MAC (l'identifiant unique de chaque appareil réseau), et même des noms de domaine, banIP se charge de retrouver les adresses IP correspondantes. Le mode "liste blanche uniquement" : la sécurité maximale Pour les environnements les plus sensibles, banIP propose un mode radical : au lieu de bloquer les adresses dangereuses, il bloque tout ce qui n'est pas explicitement autorisé. Seules les adresses IP présentes dans votre liste blanche peuvent communiquer avec votre réseau. Ce mode est particulièrement adapté aux postes de travail qui n'ont besoin d'accéder qu'à un nombre limité de services en ligne, par exemple, uniquement la messagerie, le logiciel de comptabilité et le site de la banque. La protection BCP38 contre l'usurpation d'adresses banIP implémente la norme BCP38, une recommandation internationale de sécurité réseau. Son principe : rejeter tout paquet dont l'adresse source n'est pas cohérente avec l'interface par laquelle il arrive. En termes simples, si une connexion prétend venir d'un réseau local alors qu'elle arrive depuis internet, elle est immédiatement bloquée. Cette technique empêche une forme d'attaque appelée "spoofing", où un attaquant se fait passer pour une adresse de confiance. BANIP se pilote depuis une interface graphique L'ensemble de ces fonctionnalités est accessible depuis l'interface graphique LuCI, que vous ouvrez simplement dans votre navigateur web en tapant l'adresse de votre routeur Cerbère. L'interface est organisée en onglets clairs Paramètres généraux : activer/désactiver le service, configurer la détection automatique du réseau, choisir le mode de blocage (silencieux ou avec notification). Sélection des listes : cocher ou décocher les listes noires que vous souhaitez activer. Vous pouvez aussi choisir les pays à bloquer dans le filtre géographique. Paramètres des listes : pour chaque liste, vous pouvez décider si elle bloque le trafic entrant, sortant, ou les deux. Vous pouvez aussi limiter le blocage à certains protocoles ou ports. Paramètres du journal : configurer la surveillance des tentatives de connexion échouées, ajuster les seuils de détection, ajouter des services à surveiller. Rapports : consulter les statistiques de blocage en temps réel, combien de paquets bloqués, par quelle liste, depuis quelles adresses. Un bouton "Actualiser" affiche les données les plus récentes. Recherche : saisir n'importe quelle adresse IP pour savoir instantanément si elle est bloquée et par quelle liste. Éditeur de listes personnalisées : modifier vos listes blanches et noires locales, ou même créer de nouvelles sources de blocage personnalisées. Carte géographique : une carte interactive qui montre en vert la localisation de votre connexion et en rouge celle des attaquants détectés. Les fonctionnalités avancées banIP offre également des fonctionnalités destinées aux utilisateurs plus expérimentés ou aux configurations réseau complexes : Blocage par numéro ASN : permet de bloquer non pas un pays entier, mais un fournisseur d'accès ou un hébergeur spécifique identifié par son numéro de système autonome. Blocage par registre régional (RIR) : possibilité de bloquer l'ensemble des pays rattachés à un registre internet régional, par exemple, tous les pays de la zone APNIC (Asie-Pacifique). Liaison MAC/IP : possibilité d'associer une adresse physique d'appareil (MAC) à une adresse IP spécifique, pour renforcer la sécurité de vos attributions réseau. Blocage de DNS et DoH tiers : empêche vos appareils de contourner le filtrage DNS d'AdGuard Home en utilisant des serveurs DNS publics ou des serveurs DNS chiffrés (DoH). Cette fonctionnalité est essentielle pour garantir que tout le trafic DNS passe bien par le filtrage du Système Cerbère. Gestion des VLAN : possibilité d'autoriser ou de bloquer le trafic entre différents réseaux virtuels au sein de votre entreprise. Notifications par e-mail : réception d'un rapport automatique par e-mail à chaque mise à jour des listes ou en cas d'événement de sécurité. Interface de journalisation à distance : les autres équipements de votre réseau peuvent envoyer des événements de sécurité à banIP pour un blocage centralisé. Sauvegarde et restauration automatiques : toutes les listes sont sauvegardées automatiquement. En cas de problème de téléchargement lors d'une mise à jour, les dernières versions valides sont restaurées instantanément. Dédoublonnage : les adresses IP présentes dans plusieurs listes ne sont comptées qu'une seule fois, ce qui optimise les performances et la mémoire. En résumé banIP est le composant de défense active du Système Cerbère. Il combine le blocage géographique, le filtrage par listes noires spécialisées, la détection d'attaques par saturation, la surveillance en temps réel des tentatives d'intrusion et la protection contre l'usurpation d'adresses, le tout piloté depuis une interface graphique accessible à un non-spécialiste. C'est l'équivalent d'un vigile professionnel posté à l'entrée de votre réseau, 24 heures sur 24, qui vérifie l'identité de chaque visiteur et refuse l'accès à tous ceux qui figurent sur une liste noire, ou qui n'ont tout simplement rien à faire là. Annexe — Les 30 listes noires du Système Cerbère Voici le détail des listes de blocage activées dans le Système Cerbère. Chacune est spécialisée dans un type de menace et maintenue à jour automatiquement par des organismes reconnus en cybersécurité. Listes de réputation et d'attaques actives # becyber — Attaquants identifiés par la communauté BeCyber Liste de réputation ciblant les attaquants actifs identifiés par la communauté BeCyber. Indispensable pour bloquer les tentatives d'intrusion furtives. Volume approximatif : 1 000 à 5 000 adresses IP. # cinsscore — Score de réputation CI Security Basée sur le score de réputation CI Security, elle écarte les "mauvais voisins" du web ayant un historique d'attaques répétées. Volume approximatif : 5 000 à 15 000 adresses IP. # bruteforceblock — Attaques par force brute Spécialisée dans l'identification des serveurs lançant des attaques par dictionnaire ou force brute, c'est-à-dire des milliers de tentatives de mots de passe par minute. Volume approximatif : 1 500 à 3 000 adresses IP. # debl — Compilation Fail2ban mondiale Compilation d'adresses IP bannies par des instances Fail2ban à travers le monde. Très efficace contre les robots opportunistes. Volume approximatif : 10 000 à 30 000 adresses IP. # turris — Données de pièges à pirates (honeypots) Données collectées par les routeurs Turris Sentinel, qui fonctionnent comme des pièges à pirates. Très efficace car elle reflète les attaques réelles observées sur des routeurs du monde entier. Volume approximatif : 5 000 à 8 000 adresses IP. # myip — Blocage en temps réel Analyse les menaces en temps réel pour offrir une barrière immédiate contre les nouveaux attaquants détectés sur le réseau. Volume approximatif : 5 000 à 10 000 adresses IP. # greensnow — Surveillance des ports sensibles Une liste "vivante" qui surveille en permanence les serveurs tentant de se connecter à des ports sensibles de manière suspecte. Très réactive face aux nouvelles menaces. Volume approximatif : 1 000 à 3 000 adresses IP. Listes de logiciels malveillants et botnets # binarydefense — Serveurs de commande de logiciels malveillants Fournie par Binary Defense, elle contient des adresses IP de serveurs de commande et de contrôle (C2) de malwares connus. Protection proactive contre l'exfiltration de données. Volume approximatif : 1 500 à 4 000 adresses IP. # feodo — Botnets bancaires (Emotet, Dridex) Cible spécifiquement les réseaux de robots bancaires, les plus dangereux car ils visent directement vos accès aux banques en ligne. Cruciale pour protéger vos accès aux banques françaises. Volume approximatif : 500 à 800 adresses IP. # etcompromised — Serveurs légitimes infectés Liste d'Emerging Threats répertoriant les serveurs légitimes infectés par des logiciels malveillants. Évite que vos machines ne communiquent avec des sites compromis à leur insu. Volume approximatif : 1 000 à 2 000 adresses IP. # ipthreat — Infrastructures de botnets Se concentre sur les infrastructures utilisées par les pirates pour piloter des réseaux de robots (botnets) à distance. Volume approximatif : 5 000 à 12 000 adresses IP. # urlhaus — Hébergeurs de fichiers malveillants Identifie les adresses IP hébergeant des exécutables malveillants (virus, ransomwares, chevaux de Troie). Indispensable dans toute configuration de sécurité réseau. Volume approximatif : 5 000 à 8 000 adresses IP. Listes de compilations multi-sources # firehol1, firehol2, firehol3, firehol4 — Compilations progressives Niveaux de filtrage progressifs compilés par le projet FireHOL. La firehol3 est le meilleur compromis entre sécurité et confort d'utilisation. Les niveaux 1 et 2 sont plus agressifs et peuvent occasionner des blocages de sites légitimes. Volume approximatif : de 15 000 (niveau 3) à plus de 500 000 adresses IP (niveau 1). # ipsum — Triple confirmation Une liste agrégée qui n'inclut que les adresses IP apparaissant dans au moins trois sources de menaces différentes. Très peu de faux positifs, si une adresse figure ici, elle est dangereuse. Volume approximatif : 15 000 à 25 000 adresses IP. # ipblackhole — Consolidation multi-sources Regroupe des adresses IP identifiées comme dangereuses par plusieurs sources de confiance indépendantes. Un filet de sécurité supplémentaire. Volume approximatif : 2 000 à 4 000 adresses IP. # threatview — Vision large des menaces Fournit une vision étendue des menaces : logiciels malveillants, phishing et serveurs de commande. Très complémentaire aux listes FireHOL. Volume approximatif : 50 000 à 100 000 adresses IP. # drop — Compilation Spamhaus "Don't Route Or Peer" Liste de Spamhaus regroupant des réseaux entiers contrôlés par des cybercriminels. Blocage très sûr avec très peu de faux positifs, c'est l'une des listes les plus fiables au monde. Volume approximatif : 800 à 1 200 réseaux. # dshield — Top 20 SANS Internet Storm Center Les sous-réseaux les plus suspects détectés par le centre d'analyse SANS. Une défense historique et robuste, maintenue depuis plus de vingt ans. Volume approximatif : 20 à 50 réseaux critiques. Listes de blocage géographique et réseau # country — Blocage géographique par pays Le pilier de la stratégie Cerbère : permet de bloquer des zones géographiques entières pour réduire radicalement la surface d'attaque. Volume approximatif : plusieurs millions d'adresses IP (selon les pays sélectionnés). # bogon — Adresses IP "fantômes" Bloque les adresses IP qui ne devraient pas exister sur l'Internet public (non allouées par les organismes officiels). Empêche l'usurpation d'identité réseau (spoofing). Volume approximatif : environ 3 500 préfixes réseau. Listes de spam et messagerie # backscatterer — Serveurs de messagerie mal configurés Bloque les serveurs de messagerie mal configurés qui envoient des notifications de non-distribution (NDR) à des victimes de spam. Utile si vous gérez un serveur mail. Volume approximatif : 50 000 à 100 000 adresses IP. # uceprotect1, uceprotect2, uceprotect3 — Protection anti-spam à trois niveaux Niveaux de protection progressifs contre le spam. Le niveau 1 bloque les adresses IP individuelles identifiées comme sources de spam. Le niveau 2 bloque les sous-réseaux. Le niveau 3 bloque des fournisseurs entiers. Volume approximatif : très variable, jusqu'à plusieurs millions d'adresses au niveau 3. Listes de blocage sortant et anonymisation # hagezi — Blocage sortant (télémétrie, publicités, phishing) Excellente liste de sortie pour empêcher vos appareils de contacter des serveurs de télémétrie (collecte de données), de publicités intrusives ou de phishing. Volume approximatif : 20 000 à 50 000 adresses IP. # proxy / vpn / vpndc — Services d'anonymisation Bloque les accès via des proxies, des VPN anonymes ou des datacenters utilisés pour masquer l'origine réelle d'une connexion. Utile pour empêcher des attaquants de dissimuler leur identité. Volume approximatif : 100 000 à 300 000 adresses IP. # tor — Nœuds de sortie du réseau Tor Bloque les nœuds de sortie du réseau d'anonymisation Tor. Empêche les utilisateurs anonymes d'accéder à votre réseau. Volume approximatif : 1 500 à 2 500 adresses IP. # dns / doh — Serveurs DNS et DoH publics Empêche vos appareils de contourner le filtrage DNS d'AdGuard Home en utilisant des serveurs DNS tiers ou chiffrés. Force le passage de tout le trafic DNS par le filtrage local du Système Cerbère. Volume approximatif : 500 à 1 000 serveurs connus. Listes de scans et exploitations # ipexdbl — Scans de ports et exploitation de vulnérabilités Liste dynamique se concentrant sur les attaques de type scan de ports et tentatives d'exploitation de vulnérabilités web. Volume approximatif : 5 000 à 10 000 adresses IP. Article rédigé par 3WCONSEILS — Système Cerbère — Cybersécurité pour les entreprises locales. Les volumes indiqués sont approximatifs et évoluent quotidiennement en fonction des mises à jour des sources.
banIP – Le bouclier du Système Cerbère banIP , Le bouclier du Système Cerbère contre les adresses IP dangereuses Votre réseau est ouvert à 4 milliards d'adresses. banIP décide lesquelles ont le droit d'entrer. Chaque seconde, votre connexion internet reçoit des tentatives de contact provenant d'adresses IP du monde entier. La plupart sont inoffensives. D'autres appartiennent à des machines contrôlées par des cybercriminels, des robots qui scannent les réseaux à la recherche de failles, ou des serveurs infectés par des logiciels malveillants. Le module «banIP», intégré au cœur du Système Cerbère, est un système de filtrage avancé qui bloque automatiquement ces adresses dangereuses avant même qu'elles n'atteignent vos ordinateurs. Il fonctionne en permanence, se met à jour tout seul, et peut être entièrement configuré par l'utilisateur final grâce à une interface graphique simple accessible depuis un navigateur web. Que fait banIP concrètement ? Pour le dire simplement : banIP prend des listes d'adresses IP connues comme dangereuses et les bloque automatiquement au niveau du réseau. Aucune de ces adresses ne peut communiquer avec vos machines, ni en entrée (quelqu'un qui tente de vous atteindre), ni en sortie (un logiciel malveillant sur votre réseau qui tenterait de "téléphoner" à son serveur de commande). Ce blocage s'effectue à trois niveaux distincts En entrée vers votre routeur : Il bloque les tentatives d'accès direct à votre équipement réseau, par exemple, un pirate qui tente de se connecter à distance. En entrée vers vos appareils : Il bloque les connexions venant d'internet qui ciblent vos ordinateurs, imprimantes, caméras ou tout appareil connecté à votre réseau local. En sortie depuis vos appareils : Il empêche vos machines de contacter des serveurs dangereux, ce qui est essentiel si un logiciel malveillant a réussi à s'installer et tente de communiquer avec son "centre de commande". Le blocage géographique : la première ligne de défense Le Système Cerbère utilise banIP pour bloquer des pays entiers. Sur les 4 milliards d'adresses IP existantes dans le monde, seules environ 315 millions sont autorisées à communiquer avec votre réseau. Les 90 % restants, qui n'ont aucune raison légitime de contacter votre entreprise, sont bloqués à la porte. Ce n'est pas de la paranoïa. Les statistiques montrent que la grande majorité des attaques informatiques contre les entreprises françaises proviennent de zones géographiques très identifiées. En bloquant ces zones, on élimine d'emblée l'immense majorité des tentatives d'intrusion, sans aucun impact sur votre activité quotidienne. Le blocage par 30 listes noires spécialisées : un filet de sécurité à mailles très serrées Au-delà du blocage géographique, banIP s'appuie sur une trentaine de listes noires maintenues par des organisations reconnues en cybersécurité, universités, centres de recherche, entreprises spécialisées, communautés d'experts. Ces listes sont mises à jour automatiquement, gratuitement et en continu. Chaque liste a une spécialité Certaines identifient les serveurs qui lancent des attaques par force brute (des milliers de tentatives de mots de passe par minute). D'autres repèrent les machines infectées par des logiciels malveillants (botnets) qui servent de relais aux cybercriminels. D'autres encore ciblent spécifiquement les réseaux utilisés pour le phishing bancaire (faux sites de banques). Certaines bloquent les adresses IP qui ne devraient tout simplement pas exister sur internet (adresses "bogon", utilisées pour de l'usurpation d'identité réseau). Le détail complet des 30 listes utilisées par le Système Cerbère est disponible en bas de cette page. La protection contre les attaques par saturation (DoS) banIP ne se contente pas de filtrer les adresses IP. Il protège également votre réseau contre les attaques par saturation, dites "déni de service", qui visent à noyer votre connexion sous un flot de requêtes inutiles jusqu'à la rendre inutilisable. Trois types d'attaques sont détectés et bloqués automatiquement : Attaques SYN Flood : des milliers de demandes de connexion simultanées qui visent à épuiser les ressources de votre routeur. banIP détecte ce comportement anormal et bloque les paquets excédentaires au-delà d'un seuil configurable. Attaques UDP Flood : même principe, mais avec un autre protocole de communication. Particulièrement utilisé pour saturer les connexions des petites structures. Attaques ICMP Flood : envoi massif de "pings" pour ralentir ou bloquer votre réseau. banIP les détecte et les stoppe. Pour chaque type d'attaque, un seuil de tolérance est défini. En dessous, le trafic passe normalement. Au-dessus, les paquets suspects sont automatiquement rejetés. La surveillance en temps réel des tentatives de connexion Comme les logiciels professionnels fail2ban ou CrowdSec, banIP surveille en permanence les journaux d'activité de votre réseau. Si une adresse IP tente de se connecter avec un mauvais mot de passe, que ce soit sur l'interface d'administration de votre routeur, via une connexion SSH, ou sur tout autre service protégé, elle est automatiquement ajoutée à la liste noire locale. Cette fonctionnalité est personnalisable : vous pouvez définir au bout de combien de tentatives échouées une adresse est bloquée, et pendant combien de temps elle le reste. Les services surveillés par défaut Les tentatives de connexion SSH (accès à distance sécurisé) Les tentatives de connexion à l'interface d'administration LuCI Les tentatives de connexion au serveur web (nginx) Les tentatives de connexion au système téléphonique (Asterisk, pour les entreprises utilisant la VoIP) Vous pouvez ajouter d'autres services à surveiller en définissant simplement les termes à rechercher dans les journaux. Une liste blanche et une liste noire personnalisables banIP gère deux listes locales que vous pouvez modifier à tout moment : La liste blanche (allowlist) : les adresses IP, les plages d'adresses ou les noms de domaine qui ne doivent jamais être bloqués, quoi qu'il arrive. Par exemple, l'adresse de votre fournisseur de logiciel métier, ou celle de votre expert-comptable. La liste noire locale (blocklist) : les adresses que vous souhaitez bloquer vous-même, en plus de celles déjà présentes dans les listes noires automatiques. Utile si vous constatez des comportements suspects venant d'une adresse précise. Ces listes acceptent des adresses IP individuelles, des plages d'adresses complètes (en notation CIDR), des adresses MAC (l'identifiant unique de chaque appareil réseau), et même des noms de domaine, banIP se charge de retrouver les adresses IP correspondantes. Le mode "liste blanche uniquement" : la sécurité maximale Pour les environnements les plus sensibles, banIP propose un mode radical : au lieu de bloquer les adresses dangereuses, il bloque tout ce qui n'est pas explicitement autorisé. Seules les adresses IP présentes dans votre liste blanche peuvent communiquer avec votre réseau. Ce mode est particulièrement adapté aux postes de travail qui n'ont besoin d'accéder qu'à un nombre limité de services en ligne, par exemple, uniquement la messagerie, le logiciel de comptabilité et le site de la banque. La protection BCP38 contre l'usurpation d'adresses banIP implémente la norme BCP38, une recommandation internationale de sécurité réseau. Son principe : rejeter tout paquet dont l'adresse source n'est pas cohérente avec l'interface par laquelle il arrive. En termes simples, si une connexion prétend venir d'un réseau local alors qu'elle arrive depuis internet, elle est immédiatement bloquée. Cette technique empêche une forme d'attaque appelée "spoofing", où un attaquant se fait passer pour une adresse de confiance. BANIP se pilote depuis une interface graphique L'ensemble de ces fonctionnalités est accessible depuis l'interface graphique LuCI, que vous ouvrez simplement dans votre navigateur web en tapant l'adresse de votre routeur Cerbère. L'interface est organisée en onglets clairs Paramètres généraux : activer/désactiver le service, configurer la détection automatique du réseau, choisir le mode de blocage (silencieux ou avec notification). Sélection des listes : cocher ou décocher les listes noires que vous souhaitez activer. Vous pouvez aussi choisir les pays à bloquer dans le filtre géographique. Paramètres des listes : pour chaque liste, vous pouvez décider si elle bloque le trafic entrant, sortant, ou les deux. Vous pouvez aussi limiter le blocage à certains protocoles ou ports. Paramètres du journal : configurer la surveillance des tentatives de connexion échouées, ajuster les seuils de détection, ajouter des services à surveiller. Rapports : consulter les statistiques de blocage en temps réel, combien de paquets bloqués, par quelle liste, depuis quelles adresses. Un bouton "Actualiser" affiche les données les plus récentes. Recherche : saisir n'importe quelle adresse IP pour savoir instantanément si elle est bloquée et par quelle liste. Éditeur de listes personnalisées : modifier vos listes blanches et noires locales, ou même créer de nouvelles sources de blocage personnalisées. Carte géographique : une carte interactive qui montre en vert la localisation de votre connexion et en rouge celle des attaquants détectés. Les fonctionnalités avancées banIP offre également des fonctionnalités destinées aux utilisateurs plus expérimentés ou aux configurations réseau complexes : Blocage par numéro ASN : permet de bloquer non pas un pays entier, mais un fournisseur d'accès ou un hébergeur spécifique identifié par son numéro de système autonome. Blocage par registre régional (RIR) : possibilité de bloquer l'ensemble des pays rattachés à un registre internet régional, par exemple, tous les pays de la zone APNIC (Asie-Pacifique). Liaison MAC/IP : possibilité d'associer une adresse physique d'appareil (MAC) à une adresse IP spécifique, pour renforcer la sécurité de vos attributions réseau. Blocage de DNS et DoH tiers : empêche vos appareils de contourner le filtrage DNS d'AdGuard Home en utilisant des serveurs DNS publics ou des serveurs DNS chiffrés (DoH). Cette fonctionnalité est essentielle pour garantir que tout le trafic DNS passe bien par le filtrage du Système Cerbère. Gestion des VLAN : possibilité d'autoriser ou de bloquer le trafic entre différents réseaux virtuels au sein de votre entreprise. Notifications par e-mail : réception d'un rapport automatique par e-mail à chaque mise à jour des listes ou en cas d'événement de sécurité. Interface de journalisation à distance : les autres équipements de votre réseau peuvent envoyer des événements de sécurité à banIP pour un blocage centralisé. Sauvegarde et restauration automatiques : toutes les listes sont sauvegardées automatiquement. En cas de problème de téléchargement lors d'une mise à jour, les dernières versions valides sont restaurées instantanément. Dédoublonnage : les adresses IP présentes dans plusieurs listes ne sont comptées qu'une seule fois, ce qui optimise les performances et la mémoire. En résumé banIP est le composant de défense active du Système Cerbère. Il combine le blocage géographique, le filtrage par listes noires spécialisées, la détection d'attaques par saturation, la surveillance en temps réel des tentatives d'intrusion et la protection contre l'usurpation d'adresses, le tout piloté depuis une interface graphique accessible à un non-spécialiste. C'est l'équivalent d'un vigile professionnel posté à l'entrée de votre réseau, 24 heures sur 24, qui vérifie l'identité de chaque visiteur et refuse l'accès à tous ceux qui figurent sur une liste noire, ou qui n'ont tout simplement rien à faire là. Annexe — Les 30 listes noires du Système Cerbère Voici le détail des listes de blocage activées dans le Système Cerbère. Chacune est spécialisée dans un type de menace et maintenue à jour automatiquement par des organismes reconnus en cybersécurité. Listes de réputation et d'attaques actives # becyber — Attaquants identifiés par la communauté BeCyber Liste de réputation ciblant les attaquants actifs identifiés par la communauté BeCyber. Indispensable pour bloquer les tentatives d'intrusion furtives. Volume approximatif : 1 000 à 5 000 adresses IP. # cinsscore — Score de réputation CI Security Basée sur le score de réputation CI Security, elle écarte les "mauvais voisins" du web ayant un historique d'attaques répétées. Volume approximatif : 5 000 à 15 000 adresses IP. # bruteforceblock — Attaques par force brute Spécialisée dans l'identification des serveurs lançant des attaques par dictionnaire ou force brute, c'est-à-dire des milliers de tentatives de mots de passe par minute. Volume approximatif : 1 500 à 3 000 adresses IP. # debl — Compilation Fail2ban mondiale Compilation d'adresses IP bannies par des instances Fail2ban à travers le monde. Très efficace contre les robots opportunistes. Volume approximatif : 10 000 à 30 000 adresses IP. # turris — Données de pièges à pirates (honeypots) Données collectées par les routeurs Turris Sentinel, qui fonctionnent comme des pièges à pirates. Très efficace car elle reflète les attaques réelles observées sur des routeurs du monde entier. Volume approximatif : 5 000 à 8 000 adresses IP. # myip — Blocage en temps réel Analyse les menaces en temps réel pour offrir une barrière immédiate contre les nouveaux attaquants détectés sur le réseau. Volume approximatif : 5 000 à 10 000 adresses IP. # greensnow — Surveillance des ports sensibles Une liste "vivante" qui surveille en permanence les serveurs tentant de se connecter à des ports sensibles de manière suspecte. Très réactive face aux nouvelles menaces. Volume approximatif : 1 000 à 3 000 adresses IP. Listes de logiciels malveillants et botnets # binarydefense — Serveurs de commande de logiciels malveillants Fournie par Binary Defense, elle contient des adresses IP de serveurs de commande et de contrôle (C2) de malwares connus. Protection proactive contre l'exfiltration de données. Volume approximatif : 1 500 à 4 000 adresses IP. # feodo — Botnets bancaires (Emotet, Dridex) Cible spécifiquement les réseaux de robots bancaires, les plus dangereux car ils visent directement vos accès aux banques en ligne. Cruciale pour protéger vos accès aux banques françaises. Volume approximatif : 500 à 800 adresses IP. # etcompromised — Serveurs légitimes infectés Liste d'Emerging Threats répertoriant les serveurs légitimes infectés par des logiciels malveillants. Évite que vos machines ne communiquent avec des sites compromis à leur insu. Volume approximatif : 1 000 à 2 000 adresses IP. # ipthreat — Infrastructures de botnets Se concentre sur les infrastructures utilisées par les pirates pour piloter des réseaux de robots (botnets) à distance. Volume approximatif : 5 000 à 12 000 adresses IP. # urlhaus — Hébergeurs de fichiers malveillants Identifie les adresses IP hébergeant des exécutables malveillants (virus, ransomwares, chevaux de Troie). Indispensable dans toute configuration de sécurité réseau. Volume approximatif : 5 000 à 8 000 adresses IP. Listes de compilations multi-sources # firehol1, firehol2, firehol3, firehol4 — Compilations progressives Niveaux de filtrage progressifs compilés par le projet FireHOL. La firehol3 est le meilleur compromis entre sécurité et confort d'utilisation. Les niveaux 1 et 2 sont plus agressifs et peuvent occasionner des blocages de sites légitimes. Volume approximatif : de 15 000 (niveau 3) à plus de 500 000 adresses IP (niveau 1). # ipsum — Triple confirmation Une liste agrégée qui n'inclut que les adresses IP apparaissant dans au moins trois sources de menaces différentes. Très peu de faux positifs, si une adresse figure ici, elle est dangereuse. Volume approximatif : 15 000 à 25 000 adresses IP. # ipblackhole — Consolidation multi-sources Regroupe des adresses IP identifiées comme dangereuses par plusieurs sources de confiance indépendantes. Un filet de sécurité supplémentaire. Volume approximatif : 2 000 à 4 000 adresses IP. # threatview — Vision large des menaces Fournit une vision étendue des menaces : logiciels malveillants, phishing et serveurs de commande. Très complémentaire aux listes FireHOL. Volume approximatif : 50 000 à 100 000 adresses IP. # drop — Compilation Spamhaus "Don't Route Or Peer" Liste de Spamhaus regroupant des réseaux entiers contrôlés par des cybercriminels. Blocage très sûr avec très peu de faux positifs, c'est l'une des listes les plus fiables au monde. Volume approximatif : 800 à 1 200 réseaux. # dshield — Top 20 SANS Internet Storm Center Les sous-réseaux les plus suspects détectés par le centre d'analyse SANS. Une défense historique et robuste, maintenue depuis plus de vingt ans. Volume approximatif : 20 à 50 réseaux critiques. Listes de blocage géographique et réseau # country — Blocage géographique par pays Le pilier de la stratégie Cerbère : permet de bloquer des zones géographiques entières pour réduire radicalement la surface d'attaque. Volume approximatif : plusieurs millions d'adresses IP (selon les pays sélectionnés). # bogon — Adresses IP "fantômes" Bloque les adresses IP qui ne devraient pas exister sur l'Internet public (non allouées par les organismes officiels). Empêche l'usurpation d'identité réseau (spoofing). Volume approximatif : environ 3 500 préfixes réseau. Listes de spam et messagerie # backscatterer — Serveurs de messagerie mal configurés Bloque les serveurs de messagerie mal configurés qui envoient des notifications de non-distribution (NDR) à des victimes de spam. Utile si vous gérez un serveur mail. Volume approximatif : 50 000 à 100 000 adresses IP. # uceprotect1, uceprotect2, uceprotect3 — Protection anti-spam à trois niveaux Niveaux de protection progressifs contre le spam. Le niveau 1 bloque les adresses IP individuelles identifiées comme sources de spam. Le niveau 2 bloque les sous-réseaux. Le niveau 3 bloque des fournisseurs entiers. Volume approximatif : très variable, jusqu'à plusieurs millions d'adresses au niveau 3. Listes de blocage sortant et anonymisation # hagezi — Blocage sortant (télémétrie, publicités, phishing) Excellente liste de sortie pour empêcher vos appareils de contacter des serveurs de télémétrie (collecte de données), de publicités intrusives ou de phishing. Volume approximatif : 20 000 à 50 000 adresses IP. # proxy / vpn / vpndc — Services d'anonymisation Bloque les accès via des proxies, des VPN anonymes ou des datacenters utilisés pour masquer l'origine réelle d'une connexion. Utile pour empêcher des attaquants de dissimuler leur identité. Volume approximatif : 100 000 à 300 000 adresses IP. # tor — Nœuds de sortie du réseau Tor Bloque les nœuds de sortie du réseau d'anonymisation Tor. Empêche les utilisateurs anonymes d'accéder à votre réseau. Volume approximatif : 1 500 à 2 500 adresses IP. # dns / doh — Serveurs DNS et DoH publics Empêche vos appareils de contourner le filtrage DNS d'AdGuard Home en utilisant des serveurs DNS tiers ou chiffrés. Force le passage de tout le trafic DNS par le filtrage local du Système Cerbère. Volume approximatif : 500 à 1 000 serveurs connus. Listes de scans et exploitations # ipexdbl — Scans de ports et exploitation de vulnérabilités Liste dynamique se concentrant sur les attaques de type scan de ports et tentatives d'exploitation de vulnérabilités web. Volume approximatif : 5 000 à 10 000 adresses IP. Article rédigé par 3WCONSEILS — Système Cerbère — Cybersécurité pour les entreprises locales. Les volumes indiqués sont approximatifs et évoluent quotidiennement en fonction des mises à jour des sources.
banIP – Le bouclier du Système Cerbère banIP , Le bouclier du Système Cerbère contre les adresses IP dangereuses Votre réseau est ouvert à 4 milliards d'adresses. banIP décide lesquelles ont le droit d'entrer. Chaque seconde, votre connexion internet reçoit des tentatives de contact provenant d'adresses IP du monde entier. La plupart sont inoffensives. D'autres appartiennent à des machines contrôlées par des cybercriminels, des robots qui scannent les réseaux à la recherche de failles, ou des serveurs infectés par des logiciels malveillants. Le module «banIP», intégré au cœur du Système Cerbère, est un système de filtrage avancé qui bloque automatiquement ces adresses dangereuses avant même qu'elles n'atteignent vos ordinateurs. Il fonctionne en permanence, se met à jour tout seul, et peut être entièrement configuré par l'utilisateur final grâce à une interface graphique simple accessible depuis un navigateur web. Que fait banIP concrètement ? Pour le dire simplement : banIP prend des listes d'adresses IP connues comme dangereuses et les bloque automatiquement au niveau du réseau. Aucune de ces adresses ne peut communiquer avec vos machines, ni en entrée (quelqu'un qui tente de vous atteindre), ni en sortie (un logiciel malveillant sur votre réseau qui tenterait de "téléphoner" à son serveur de commande). Ce blocage s'effectue à trois niveaux distincts En entrée vers votre routeur : Il bloque les tentatives d'accès direct à votre équipement réseau, par exemple, un pirate qui tente de se connecter à distance. En entrée vers vos appareils : Il bloque les connexions venant d'internet qui ciblent vos ordinateurs, imprimantes, caméras ou tout appareil connecté à votre réseau local. En sortie depuis vos appareils : Il empêche vos machines de contacter des serveurs dangereux, ce qui est essentiel si un logiciel malveillant a réussi à s'installer et tente de communiquer avec son "centre de commande". Le blocage géographique : la première ligne de défense Le Système Cerbère utilise banIP pour bloquer des pays entiers. Sur les 4 milliards d'adresses IP existantes dans le monde, seules environ 315 millions sont autorisées à communiquer avec votre réseau. Les 90 % restants, qui n'ont aucune raison légitime de contacter votre entreprise, sont bloqués à la porte. Ce n'est pas de la paranoïa. Les statistiques montrent que la grande majorité des attaques informatiques contre les entreprises françaises proviennent de zones géographiques très identifiées. En bloquant ces zones, on élimine d'emblée l'immense majorité des tentatives d'intrusion, sans aucun impact sur votre activité quotidienne. Le blocage par 30 listes noires spécialisées : un filet de sécurité à mailles très serrées Au-delà du blocage géographique, banIP s'appuie sur une trentaine de listes noires maintenues par des organisations reconnues en cybersécurité, universités, centres de recherche, entreprises spécialisées, communautés d'experts. Ces listes sont mises à jour automatiquement, gratuitement et en continu. Chaque liste a une spécialité Certaines identifient les serveurs qui lancent des attaques par force brute (des milliers de tentatives de mots de passe par minute). D'autres repèrent les machines infectées par des logiciels malveillants (botnets) qui servent de relais aux cybercriminels. D'autres encore ciblent spécifiquement les réseaux utilisés pour le phishing bancaire (faux sites de banques). Certaines bloquent les adresses IP qui ne devraient tout simplement pas exister sur internet (adresses "bogon", utilisées pour de l'usurpation d'identité réseau). Le détail complet des 30 listes utilisées par le Système Cerbère est disponible en bas de cette page. La protection contre les attaques par saturation (DoS) banIP ne se contente pas de filtrer les adresses IP. Il protège également votre réseau contre les attaques par saturation, dites "déni de service", qui visent à noyer votre connexion sous un flot de requêtes inutiles jusqu'à la rendre inutilisable. Trois types d'attaques sont détectés et bloqués automatiquement : Attaques SYN Flood : des milliers de demandes de connexion simultanées qui visent à épuiser les ressources de votre routeur. banIP détecte ce comportement anormal et bloque les paquets excédentaires au-delà d'un seuil configurable. Attaques UDP Flood : même principe, mais avec un autre protocole de communication. Particulièrement utilisé pour saturer les connexions des petites structures. Attaques ICMP Flood : envoi massif de "pings" pour ralentir ou bloquer votre réseau. banIP les détecte et les stoppe. Pour chaque type d'attaque, un seuil de tolérance est défini. En dessous, le trafic passe normalement. Au-dessus, les paquets suspects sont automatiquement rejetés. La surveillance en temps réel des tentatives de connexion Comme les logiciels professionnels fail2ban ou CrowdSec, banIP surveille en permanence les journaux d'activité de votre réseau. Si une adresse IP tente de se connecter avec un mauvais mot de passe, que ce soit sur l'interface d'administration de votre routeur, via une connexion SSH, ou sur tout autre service protégé, elle est automatiquement ajoutée à la liste noire locale. Cette fonctionnalité est personnalisable : vous pouvez définir au bout de combien de tentatives échouées une adresse est bloquée, et pendant combien de temps elle le reste. Les services surveillés par défaut Les tentatives de connexion SSH (accès à distance sécurisé) Les tentatives de connexion à l'interface d'administration LuCI Les tentatives de connexion au serveur web (nginx) Les tentatives de connexion au système téléphonique (Asterisk, pour les entreprises utilisant la VoIP) Vous pouvez ajouter d'autres services à surveiller en définissant simplement les termes à rechercher dans les journaux. Une liste blanche et une liste noire personnalisables banIP gère deux listes locales que vous pouvez modifier à tout moment : La liste blanche (allowlist) : les adresses IP, les plages d'adresses ou les noms de domaine qui ne doivent jamais être bloqués, quoi qu'il arrive. Par exemple, l'adresse de votre fournisseur de logiciel métier, ou celle de votre expert-comptable. La liste noire locale (blocklist) : les adresses que vous souhaitez bloquer vous-même, en plus de celles déjà présentes dans les listes noires automatiques. Utile si vous constatez des comportements suspects venant d'une adresse précise. Ces listes acceptent des adresses IP individuelles, des plages d'adresses complètes (en notation CIDR), des adresses MAC (l'identifiant unique de chaque appareil réseau), et même des noms de domaine, banIP se charge de retrouver les adresses IP correspondantes. Le mode "liste blanche uniquement" : la sécurité maximale Pour les environnements les plus sensibles, banIP propose un mode radical : au lieu de bloquer les adresses dangereuses, il bloque tout ce qui n'est pas explicitement autorisé. Seules les adresses IP présentes dans votre liste blanche peuvent communiquer avec votre réseau. Ce mode est particulièrement adapté aux postes de travail qui n'ont besoin d'accéder qu'à un nombre limité de services en ligne, par exemple, uniquement la messagerie, le logiciel de comptabilité et le site de la banque. La protection BCP38 contre l'usurpation d'adresses banIP implémente la norme BCP38, une recommandation internationale de sécurité réseau. Son principe : rejeter tout paquet dont l'adresse source n'est pas cohérente avec l'interface par laquelle il arrive. En termes simples, si une connexion prétend venir d'un réseau local alors qu'elle arrive depuis internet, elle est immédiatement bloquée. Cette technique empêche une forme d'attaque appelée "spoofing", où un attaquant se fait passer pour une adresse de confiance. BANIP se pilote depuis une interface graphique L'ensemble de ces fonctionnalités est accessible depuis l'interface graphique LuCI, que vous ouvrez simplement dans votre navigateur web en tapant l'adresse de votre routeur Cerbère. L'interface est organisée en onglets clairs Paramètres généraux : activer/désactiver le service, configurer la détection automatique du réseau, choisir le mode de blocage (silencieux ou avec notification). Sélection des listes : cocher ou décocher les listes noires que vous souhaitez activer. Vous pouvez aussi choisir les pays à bloquer dans le filtre géographique. Paramètres des listes : pour chaque liste, vous pouvez décider si elle bloque le trafic entrant, sortant, ou les deux. Vous pouvez aussi limiter le blocage à certains protocoles ou ports. Paramètres du journal : configurer la surveillance des tentatives de connexion échouées, ajuster les seuils de détection, ajouter des services à surveiller. Rapports : consulter les statistiques de blocage en temps réel, combien de paquets bloqués, par quelle liste, depuis quelles adresses. Un bouton "Actualiser" affiche les données les plus récentes. Recherche : saisir n'importe quelle adresse IP pour savoir instantanément si elle est bloquée et par quelle liste. Éditeur de listes personnalisées : modifier vos listes blanches et noires locales, ou même créer de nouvelles sources de blocage personnalisées. Carte géographique : une carte interactive qui montre en vert la localisation de votre connexion et en rouge celle des attaquants détectés. Les fonctionnalités avancées banIP offre également des fonctionnalités destinées aux utilisateurs plus expérimentés ou aux configurations réseau complexes : Blocage par numéro ASN : permet de bloquer non pas un pays entier, mais un fournisseur d'accès ou un hébergeur spécifique identifié par son numéro de système autonome. Blocage par registre régional (RIR) : possibilité de bloquer l'ensemble des pays rattachés à un registre internet régional, par exemple, tous les pays de la zone APNIC (Asie-Pacifique). Liaison MAC/IP : possibilité d'associer une adresse physique d'appareil (MAC) à une adresse IP spécifique, pour renforcer la sécurité de vos attributions réseau. Blocage de DNS et DoH tiers : empêche vos appareils de contourner le filtrage DNS d'AdGuard Home en utilisant des serveurs DNS publics ou des serveurs DNS chiffrés (DoH). Cette fonctionnalité est essentielle pour garantir que tout le trafic DNS passe bien par le filtrage du Système Cerbère. Gestion des VLAN : possibilité d'autoriser ou de bloquer le trafic entre différents réseaux virtuels au sein de votre entreprise. Notifications par e-mail : réception d'un rapport automatique par e-mail à chaque mise à jour des listes ou en cas d'événement de sécurité. Interface de journalisation à distance : les autres équipements de votre réseau peuvent envoyer des événements de sécurité à banIP pour un blocage centralisé. Sauvegarde et restauration automatiques : toutes les listes sont sauvegardées automatiquement. En cas de problème de téléchargement lors d'une mise à jour, les dernières versions valides sont restaurées instantanément. Dédoublonnage : les adresses IP présentes dans plusieurs listes ne sont comptées qu'une seule fois, ce qui optimise les performances et la mémoire. En résumé banIP est le composant de défense active du Système Cerbère. Il combine le blocage géographique, le filtrage par listes noires spécialisées, la détection d'attaques par saturation, la surveillance en temps réel des tentatives d'intrusion et la protection contre l'usurpation d'adresses, le tout piloté depuis une interface graphique accessible à un non-spécialiste. C'est l'équivalent d'un vigile professionnel posté à l'entrée de votre réseau, 24 heures sur 24, qui vérifie l'identité de chaque visiteur et refuse l'accès à tous ceux qui figurent sur une liste noire, ou qui n'ont tout simplement rien à faire là. Annexe — Les 30 listes noires du Système Cerbère Voici le détail des listes de blocage activées dans le Système Cerbère. Chacune est spécialisée dans un type de menace et maintenue à jour automatiquement par des organismes reconnus en cybersécurité. Listes de réputation et d'attaques actives # becyber — Attaquants identifiés par la communauté BeCyber Liste de réputation ciblant les attaquants actifs identifiés par la communauté BeCyber. Indispensable pour bloquer les tentatives d'intrusion furtives. Volume approximatif : 1 000 à 5 000 adresses IP. # cinsscore — Score de réputation CI Security Basée sur le score de réputation CI Security, elle écarte les "mauvais voisins" du web ayant un historique d'attaques répétées. Volume approximatif : 5 000 à 15 000 adresses IP. # bruteforceblock — Attaques par force brute Spécialisée dans l'identification des serveurs lançant des attaques par dictionnaire ou force brute, c'est-à-dire des milliers de tentatives de mots de passe par minute. Volume approximatif : 1 500 à 3 000 adresses IP. # debl — Compilation Fail2ban mondiale Compilation d'adresses IP bannies par des instances Fail2ban à travers le monde. Très efficace contre les robots opportunistes. Volume approximatif : 10 000 à 30 000 adresses IP. # turris — Données de pièges à pirates (honeypots) Données collectées par les routeurs Turris Sentinel, qui fonctionnent comme des pièges à pirates. Très efficace car elle reflète les attaques réelles observées sur des routeurs du monde entier. Volume approximatif : 5 000 à 8 000 adresses IP. # myip — Blocage en temps réel Analyse les menaces en temps réel pour offrir une barrière immédiate contre les nouveaux attaquants détectés sur le réseau. Volume approximatif : 5 000 à 10 000 adresses IP. # greensnow — Surveillance des ports sensibles Une liste "vivante" qui surveille en permanence les serveurs tentant de se connecter à des ports sensibles de manière suspecte. Très réactive face aux nouvelles menaces. Volume approximatif : 1 000 à 3 000 adresses IP. Listes de logiciels malveillants et botnets # binarydefense — Serveurs de commande de logiciels malveillants Fournie par Binary Defense, elle contient des adresses IP de serveurs de commande et de contrôle (C2) de malwares connus. Protection proactive contre l'exfiltration de données. Volume approximatif : 1 500 à 4 000 adresses IP. # feodo — Botnets bancaires (Emotet, Dridex) Cible spécifiquement les réseaux de robots bancaires, les plus dangereux car ils visent directement vos accès aux banques en ligne. Cruciale pour protéger vos accès aux banques françaises. Volume approximatif : 500 à 800 adresses IP. # etcompromised — Serveurs légitimes infectés Liste d'Emerging Threats répertoriant les serveurs légitimes infectés par des logiciels malveillants. Évite que vos machines ne communiquent avec des sites compromis à leur insu. Volume approximatif : 1 000 à 2 000 adresses IP. # ipthreat — Infrastructures de botnets Se concentre sur les infrastructures utilisées par les pirates pour piloter des réseaux de robots (botnets) à distance. Volume approximatif : 5 000 à 12 000 adresses IP. # urlhaus — Hébergeurs de fichiers malveillants Identifie les adresses IP hébergeant des exécutables malveillants (virus, ransomwares, chevaux de Troie). Indispensable dans toute configuration de sécurité réseau. Volume approximatif : 5 000 à 8 000 adresses IP. Listes de compilations multi-sources # firehol1, firehol2, firehol3, firehol4 — Compilations progressives Niveaux de filtrage progressifs compilés par le projet FireHOL. La firehol3 est le meilleur compromis entre sécurité et confort d'utilisation. Les niveaux 1 et 2 sont plus agressifs et peuvent occasionner des blocages de sites légitimes. Volume approximatif : de 15 000 (niveau 3) à plus de 500 000 adresses IP (niveau 1). # ipsum — Triple confirmation Une liste agrégée qui n'inclut que les adresses IP apparaissant dans au moins trois sources de menaces différentes. Très peu de faux positifs, si une adresse figure ici, elle est dangereuse. Volume approximatif : 15 000 à 25 000 adresses IP. # ipblackhole — Consolidation multi-sources Regroupe des adresses IP identifiées comme dangereuses par plusieurs sources de confiance indépendantes. Un filet de sécurité supplémentaire. Volume approximatif : 2 000 à 4 000 adresses IP. # threatview — Vision large des menaces Fournit une vision étendue des menaces : logiciels malveillants, phishing et serveurs de commande. Très complémentaire aux listes FireHOL. Volume approximatif : 50 000 à 100 000 adresses IP. # drop — Compilation Spamhaus "Don't Route Or Peer" Liste de Spamhaus regroupant des réseaux entiers contrôlés par des cybercriminels. Blocage très sûr avec très peu de faux positifs, c'est l'une des listes les plus fiables au monde. Volume approximatif : 800 à 1 200 réseaux. # dshield — Top 20 SANS Internet Storm Center Les sous-réseaux les plus suspects détectés par le centre d'analyse SANS. Une défense historique et robuste, maintenue depuis plus de vingt ans. Volume approximatif : 20 à 50 réseaux critiques. Listes de blocage géographique et réseau # country — Blocage géographique par pays Le pilier de la stratégie Cerbère : permet de bloquer des zones géographiques entières pour réduire radicalement la surface d'attaque. Volume approximatif : plusieurs millions d'adresses IP (selon les pays sélectionnés). # bogon — Adresses IP "fantômes" Bloque les adresses IP qui ne devraient pas exister sur l'Internet public (non allouées par les organismes officiels). Empêche l'usurpation d'identité réseau (spoofing). Volume approximatif : environ 3 500 préfixes réseau. Listes de spam et messagerie # backscatterer — Serveurs de messagerie mal configurés Bloque les serveurs de messagerie mal configurés qui envoient des notifications de non-distribution (NDR) à des victimes de spam. Utile si vous gérez un serveur mail. Volume approximatif : 50 000 à 100 000 adresses IP. # uceprotect1, uceprotect2, uceprotect3 — Protection anti-spam à trois niveaux Niveaux de protection progressifs contre le spam. Le niveau 1 bloque les adresses IP individuelles identifiées comme sources de spam. Le niveau 2 bloque les sous-réseaux. Le niveau 3 bloque des fournisseurs entiers. Volume approximatif : très variable, jusqu'à plusieurs millions d'adresses au niveau 3. Listes de blocage sortant et anonymisation # hagezi — Blocage sortant (télémétrie, publicités, phishing) Excellente liste de sortie pour empêcher vos appareils de contacter des serveurs de télémétrie (collecte de données), de publicités intrusives ou de phishing. Volume approximatif : 20 000 à 50 000 adresses IP. # proxy / vpn / vpndc — Services d'anonymisation Bloque les accès via des proxies, des VPN anonymes ou des datacenters utilisés pour masquer l'origine réelle d'une connexion. Utile pour empêcher des attaquants de dissimuler leur identité. Volume approximatif : 100 000 à 300 000 adresses IP. # tor — Nœuds de sortie du réseau Tor Bloque les nœuds de sortie du réseau d'anonymisation Tor. Empêche les utilisateurs anonymes d'accéder à votre réseau. Volume approximatif : 1 500 à 2 500 adresses IP. # dns / doh — Serveurs DNS et DoH publics Empêche vos appareils de contourner le filtrage DNS d'AdGuard Home en utilisant des serveurs DNS tiers ou chiffrés. Force le passage de tout le trafic DNS par le filtrage local du Système Cerbère. Volume approximatif : 500 à 1 000 serveurs connus. Listes de scans et exploitations # ipexdbl — Scans de ports et exploitation de vulnérabilités Liste dynamique se concentrant sur les attaques de type scan de ports et tentatives d'exploitation de vulnérabilités web. Volume approximatif : 5 000 à 10 000 adresses IP. Article rédigé par 3WCONSEILS — Système Cerbère — Cybersécurité pour les entreprises locales. Les volumes indiqués sont approximatifs et évoluent quotidiennement en fonction des mises à jour des sources.
banIP – Le bouclier du Système Cerbère banIP , Le bouclier du Système Cerbère contre les adresses IP dangereuses Votre réseau est ouvert à 4 milliards d'adresses. banIP décide lesquelles ont le droit d'entrer. Chaque seconde, votre connexion internet reçoit des tentatives de contact provenant d'adresses IP du monde entier. La plupart sont inoffensives. D'autres appartiennent à des machines contrôlées par des cybercriminels, des robots qui scannent les réseaux à la recherche de failles, ou des serveurs infectés par des logiciels malveillants. Le module «banIP», intégré au cœur du Système Cerbère, est un système de filtrage avancé qui bloque automatiquement ces adresses dangereuses avant même qu'elles n'atteignent vos ordinateurs. Il fonctionne en permanence, se met à jour tout seul, et peut être entièrement configuré par l'utilisateur final grâce à une interface graphique simple accessible depuis un navigateur web. Que fait banIP concrètement ? Pour le dire simplement : banIP prend des listes d'adresses IP connues comme dangereuses et les bloque automatiquement au niveau du réseau. Aucune de ces adresses ne peut communiquer avec vos machines, ni en entrée (quelqu'un qui tente de vous atteindre), ni en sortie (un logiciel malveillant sur votre réseau qui tenterait de "téléphoner" à son serveur de commande). Ce blocage s'effectue à trois niveaux distincts En entrée vers votre routeur : Il bloque les tentatives d'accès direct à votre équipement réseau, par exemple, un pirate qui tente de se connecter à distance. En entrée vers vos appareils : Il bloque les connexions venant d'internet qui ciblent vos ordinateurs, imprimantes, caméras ou tout appareil connecté à votre réseau local. En sortie depuis vos appareils : Il empêche vos machines de contacter des serveurs dangereux, ce qui est essentiel si un logiciel malveillant a réussi à s'installer et tente de communiquer avec son "centre de commande". Le blocage géographique : la première ligne de défense Le Système Cerbère utilise banIP pour bloquer des pays entiers. Sur les 4 milliards d'adresses IP existantes dans le monde, seules environ 315 millions sont autorisées à communiquer avec votre réseau. Les 90 % restants, qui n'ont aucune raison légitime de contacter votre entreprise, sont bloqués à la porte. Ce n'est pas de la paranoïa. Les statistiques montrent que la grande majorité des attaques informatiques contre les entreprises françaises proviennent de zones géographiques très identifiées. En bloquant ces zones, on élimine d'emblée l'immense majorité des tentatives d'intrusion, sans aucun impact sur votre activité quotidienne. Le blocage par 30 listes noires spécialisées : un filet de sécurité à mailles très serrées Au-delà du blocage géographique, banIP s'appuie sur une trentaine de listes noires maintenues par des organisations reconnues en cybersécurité, universités, centres de recherche, entreprises spécialisées, communautés d'experts. Ces listes sont mises à jour automatiquement, gratuitement et en continu. Chaque liste a une spécialité Certaines identifient les serveurs qui lancent des attaques par force brute (des milliers de tentatives de mots de passe par minute). D'autres repèrent les machines infectées par des logiciels malveillants (botnets) qui servent de relais aux cybercriminels. D'autres encore ciblent spécifiquement les réseaux utilisés pour le phishing bancaire (faux sites de banques). Certaines bloquent les adresses IP qui ne devraient tout simplement pas exister sur internet (adresses "bogon", utilisées pour de l'usurpation d'identité réseau). Le détail complet des 30 listes utilisées par le Système Cerbère est disponible en bas de cette page. La protection contre les attaques par saturation (DoS) banIP ne se contente pas de filtrer les adresses IP. Il protège également votre réseau contre les attaques par saturation, dites "déni de service", qui visent à noyer votre connexion sous un flot de requêtes inutiles jusqu'à la rendre inutilisable. Trois types d'attaques sont détectés et bloqués automatiquement : Attaques SYN Flood : des milliers de demandes de connexion simultanées qui visent à épuiser les ressources de votre routeur. banIP détecte ce comportement anormal et bloque les paquets excédentaires au-delà d'un seuil configurable. Attaques UDP Flood : même principe, mais avec un autre protocole de communication. Particulièrement utilisé pour saturer les connexions des petites structures. Attaques ICMP Flood : envoi massif de "pings" pour ralentir ou bloquer votre réseau. banIP les détecte et les stoppe. Pour chaque type d'attaque, un seuil de tolérance est défini. En dessous, le trafic passe normalement. Au-dessus, les paquets suspects sont automatiquement rejetés. La surveillance en temps réel des tentatives de connexion Comme les logiciels professionnels fail2ban ou CrowdSec, banIP surveille en permanence les journaux d'activité de votre réseau. Si une adresse IP tente de se connecter avec un mauvais mot de passe, que ce soit sur l'interface d'administration de votre routeur, via une connexion SSH, ou sur tout autre service protégé, elle est automatiquement ajoutée à la liste noire locale. Cette fonctionnalité est personnalisable : vous pouvez définir au bout de combien de tentatives échouées une adresse est bloquée, et pendant combien de temps elle le reste. Les services surveillés par défaut Les tentatives de connexion SSH (accès à distance sécurisé) Les tentatives de connexion à l'interface d'administration LuCI Les tentatives de connexion au serveur web (nginx) Les tentatives de connexion au système téléphonique (Asterisk, pour les entreprises utilisant la VoIP) Vous pouvez ajouter d'autres services à surveiller en définissant simplement les termes à rechercher dans les journaux. Une liste blanche et une liste noire personnalisables banIP gère deux listes locales que vous pouvez modifier à tout moment : La liste blanche (allowlist) : les adresses IP, les plages d'adresses ou les noms de domaine qui ne doivent jamais être bloqués, quoi qu'il arrive. Par exemple, l'adresse de votre fournisseur de logiciel métier, ou celle de votre expert-comptable. La liste noire locale (blocklist) : les adresses que vous souhaitez bloquer vous-même, en plus de celles déjà présentes dans les listes noires automatiques. Utile si vous constatez des comportements suspects venant d'une adresse précise. Ces listes acceptent des adresses IP individuelles, des plages d'adresses complètes (en notation CIDR), des adresses MAC (l'identifiant unique de chaque appareil réseau), et même des noms de domaine, banIP se charge de retrouver les adresses IP correspondantes. Le mode "liste blanche uniquement" : la sécurité maximale Pour les environnements les plus sensibles, banIP propose un mode radical : au lieu de bloquer les adresses dangereuses, il bloque tout ce qui n'est pas explicitement autorisé. Seules les adresses IP présentes dans votre liste blanche peuvent communiquer avec votre réseau. Ce mode est particulièrement adapté aux postes de travail qui n'ont besoin d'accéder qu'à un nombre limité de services en ligne, par exemple, uniquement la messagerie, le logiciel de comptabilité et le site de la banque. La protection BCP38 contre l'usurpation d'adresses banIP implémente la norme BCP38, une recommandation internationale de sécurité réseau. Son principe : rejeter tout paquet dont l'adresse source n'est pas cohérente avec l'interface par laquelle il arrive. En termes simples, si une connexion prétend venir d'un réseau local alors qu'elle arrive depuis internet, elle est immédiatement bloquée. Cette technique empêche une forme d'attaque appelée "spoofing", où un attaquant se fait passer pour une adresse de confiance. BANIP se pilote depuis une interface graphique L'ensemble de ces fonctionnalités est accessible depuis l'interface graphique LuCI, que vous ouvrez simplement dans votre navigateur web en tapant l'adresse de votre routeur Cerbère. L'interface est organisée en onglets clairs Paramètres généraux : activer/désactiver le service, configurer la détection automatique du réseau, choisir le mode de blocage (silencieux ou avec notification). Sélection des listes : cocher ou décocher les listes noires que vous souhaitez activer. Vous pouvez aussi choisir les pays à bloquer dans le filtre géographique. Paramètres des listes : pour chaque liste, vous pouvez décider si elle bloque le trafic entrant, sortant, ou les deux. Vous pouvez aussi limiter le blocage à certains protocoles ou ports. Paramètres du journal : configurer la surveillance des tentatives de connexion échouées, ajuster les seuils de détection, ajouter des services à surveiller. Rapports : consulter les statistiques de blocage en temps réel, combien de paquets bloqués, par quelle liste, depuis quelles adresses. Un bouton "Actualiser" affiche les données les plus récentes. Recherche : saisir n'importe quelle adresse IP pour savoir instantanément si elle est bloquée et par quelle liste. Éditeur de listes personnalisées : modifier vos listes blanches et noires locales, ou même créer de nouvelles sources de blocage personnalisées. Carte géographique : une carte interactive qui montre en vert la localisation de votre connexion et en rouge celle des attaquants détectés. Les fonctionnalités avancées banIP offre également des fonctionnalités destinées aux utilisateurs plus expérimentés ou aux configurations réseau complexes : Blocage par numéro ASN : permet de bloquer non pas un pays entier, mais un fournisseur d'accès ou un hébergeur spécifique identifié par son numéro de système autonome. Blocage par registre régional (RIR) : possibilité de bloquer l'ensemble des pays rattachés à un registre internet régional, par exemple, tous les pays de la zone APNIC (Asie-Pacifique). Liaison MAC/IP : possibilité d'associer une adresse physique d'appareil (MAC) à une adresse IP spécifique, pour renforcer la sécurité de vos attributions réseau. Blocage de DNS et DoH tiers : empêche vos appareils de contourner le filtrage DNS d'AdGuard Home en utilisant des serveurs DNS publics ou des serveurs DNS chiffrés (DoH). Cette fonctionnalité est essentielle pour garantir que tout le trafic DNS passe bien par le filtrage du Système Cerbère. Gestion des VLAN : possibilité d'autoriser ou de bloquer le trafic entre différents réseaux virtuels au sein de votre entreprise. Notifications par e-mail : réception d'un rapport automatique par e-mail à chaque mise à jour des listes ou en cas d'événement de sécurité. Interface de journalisation à distance : les autres équipements de votre réseau peuvent envoyer des événements de sécurité à banIP pour un blocage centralisé. Sauvegarde et restauration automatiques : toutes les listes sont sauvegardées automatiquement. En cas de problème de téléchargement lors d'une mise à jour, les dernières versions valides sont restaurées instantanément. Dédoublonnage : les adresses IP présentes dans plusieurs listes ne sont comptées qu'une seule fois, ce qui optimise les performances et la mémoire. En résumé banIP est le composant de défense active du Système Cerbère. Il combine le blocage géographique, le filtrage par listes noires spécialisées, la détection d'attaques par saturation, la surveillance en temps réel des tentatives d'intrusion et la protection contre l'usurpation d'adresses, le tout piloté depuis une interface graphique accessible à un non-spécialiste. C'est l'équivalent d'un vigile professionnel posté à l'entrée de votre réseau, 24 heures sur 24, qui vérifie l'identité de chaque visiteur et refuse l'accès à tous ceux qui figurent sur une liste noire, ou qui n'ont tout simplement rien à faire là. Annexe — Les 30 listes noires du Système Cerbère Voici le détail des listes de blocage activées dans le Système Cerbère. Chacune est spécialisée dans un type de menace et maintenue à jour automatiquement par des organismes reconnus en cybersécurité. Listes de réputation et d'attaques actives # becyber — Attaquants identifiés par la communauté BeCyber Liste de réputation ciblant les attaquants actifs identifiés par la communauté BeCyber. Indispensable pour bloquer les tentatives d'intrusion furtives. Volume approximatif : 1 000 à 5 000 adresses IP. # cinsscore — Score de réputation CI Security Basée sur le score de réputation CI Security, elle écarte les "mauvais voisins" du web ayant un historique d'attaques répétées. Volume approximatif : 5 000 à 15 000 adresses IP. # bruteforceblock — Attaques par force brute Spécialisée dans l'identification des serveurs lançant des attaques par dictionnaire ou force brute, c'est-à-dire des milliers de tentatives de mots de passe par minute. Volume approximatif : 1 500 à 3 000 adresses IP. # debl — Compilation Fail2ban mondiale Compilation d'adresses IP bannies par des instances Fail2ban à travers le monde. Très efficace contre les robots opportunistes. Volume approximatif : 10 000 à 30 000 adresses IP. # turris — Données de pièges à pirates (honeypots) Données collectées par les routeurs Turris Sentinel, qui fonctionnent comme des pièges à pirates. Très efficace car elle reflète les attaques réelles observées sur des routeurs du monde entier. Volume approximatif : 5 000 à 8 000 adresses IP. # myip — Blocage en temps réel Analyse les menaces en temps réel pour offrir une barrière immédiate contre les nouveaux attaquants détectés sur le réseau. Volume approximatif : 5 000 à 10 000 adresses IP. # greensnow — Surveillance des ports sensibles Une liste "vivante" qui surveille en permanence les serveurs tentant de se connecter à des ports sensibles de manière suspecte. Très réactive face aux nouvelles menaces. Volume approximatif : 1 000 à 3 000 adresses IP. Listes de logiciels malveillants et botnets # binarydefense — Serveurs de commande de logiciels malveillants Fournie par Binary Defense, elle contient des adresses IP de serveurs de commande et de contrôle (C2) de malwares connus. Protection proactive contre l'exfiltration de données. Volume approximatif : 1 500 à 4 000 adresses IP. # feodo — Botnets bancaires (Emotet, Dridex) Cible spécifiquement les réseaux de robots bancaires, les plus dangereux car ils visent directement vos accès aux banques en ligne. Cruciale pour protéger vos accès aux banques françaises. Volume approximatif : 500 à 800 adresses IP. # etcompromised — Serveurs légitimes infectés Liste d'Emerging Threats répertoriant les serveurs légitimes infectés par des logiciels malveillants. Évite que vos machines ne communiquent avec des sites compromis à leur insu. Volume approximatif : 1 000 à 2 000 adresses IP. # ipthreat — Infrastructures de botnets Se concentre sur les infrastructures utilisées par les pirates pour piloter des réseaux de robots (botnets) à distance. Volume approximatif : 5 000 à 12 000 adresses IP. # urlhaus — Hébergeurs de fichiers malveillants Identifie les adresses IP hébergeant des exécutables malveillants (virus, ransomwares, chevaux de Troie). Indispensable dans toute configuration de sécurité réseau. Volume approximatif : 5 000 à 8 000 adresses IP. Listes de compilations multi-sources # firehol1, firehol2, firehol3, firehol4 — Compilations progressives Niveaux de filtrage progressifs compilés par le projet FireHOL. La firehol3 est le meilleur compromis entre sécurité et confort d'utilisation. Les niveaux 1 et 2 sont plus agressifs et peuvent occasionner des blocages de sites légitimes. Volume approximatif : de 15 000 (niveau 3) à plus de 500 000 adresses IP (niveau 1). # ipsum — Triple confirmation Une liste agrégée qui n'inclut que les adresses IP apparaissant dans au moins trois sources de menaces différentes. Très peu de faux positifs, si une adresse figure ici, elle est dangereuse. Volume approximatif : 15 000 à 25 000 adresses IP. # ipblackhole — Consolidation multi-sources Regroupe des adresses IP identifiées comme dangereuses par plusieurs sources de confiance indépendantes. Un filet de sécurité supplémentaire. Volume approximatif : 2 000 à 4 000 adresses IP. # threatview — Vision large des menaces Fournit une vision étendue des menaces : logiciels malveillants, phishing et serveurs de commande. Très complémentaire aux listes FireHOL. Volume approximatif : 50 000 à 100 000 adresses IP. # drop — Compilation Spamhaus "Don't Route Or Peer" Liste de Spamhaus regroupant des réseaux entiers contrôlés par des cybercriminels. Blocage très sûr avec très peu de faux positifs, c'est l'une des listes les plus fiables au monde. Volume approximatif : 800 à 1 200 réseaux. # dshield — Top 20 SANS Internet Storm Center Les sous-réseaux les plus suspects détectés par le centre d'analyse SANS. Une défense historique et robuste, maintenue depuis plus de vingt ans. Volume approximatif : 20 à 50 réseaux critiques. Listes de blocage géographique et réseau # country — Blocage géographique par pays Le pilier de la stratégie Cerbère : permet de bloquer des zones géographiques entières pour réduire radicalement la surface d'attaque. Volume approximatif : plusieurs millions d'adresses IP (selon les pays sélectionnés). # bogon — Adresses IP "fantômes" Bloque les adresses IP qui ne devraient pas exister sur l'Internet public (non allouées par les organismes officiels). Empêche l'usurpation d'identité réseau (spoofing). Volume approximatif : environ 3 500 préfixes réseau. Listes de spam et messagerie # backscatterer — Serveurs de messagerie mal configurés Bloque les serveurs de messagerie mal configurés qui envoient des notifications de non-distribution (NDR) à des victimes de spam. Utile si vous gérez un serveur mail. Volume approximatif : 50 000 à 100 000 adresses IP. # uceprotect1, uceprotect2, uceprotect3 — Protection anti-spam à trois niveaux Niveaux de protection progressifs contre le spam. Le niveau 1 bloque les adresses IP individuelles identifiées comme sources de spam. Le niveau 2 bloque les sous-réseaux. Le niveau 3 bloque des fournisseurs entiers. Volume approximatif : très variable, jusqu'à plusieurs millions d'adresses au niveau 3. Listes de blocage sortant et anonymisation # hagezi — Blocage sortant (télémétrie, publicités, phishing) Excellente liste de sortie pour empêcher vos appareils de contacter des serveurs de télémétrie (collecte de données), de publicités intrusives ou de phishing. Volume approximatif : 20 000 à 50 000 adresses IP. # proxy / vpn / vpndc — Services d'anonymisation Bloque les accès via des proxies, des VPN anonymes ou des datacenters utilisés pour masquer l'origine réelle d'une connexion. Utile pour empêcher des attaquants de dissimuler leur identité. Volume approximatif : 100 000 à 300 000 adresses IP. # tor — Nœuds de sortie du réseau Tor Bloque les nœuds de sortie du réseau d'anonymisation Tor. Empêche les utilisateurs anonymes d'accéder à votre réseau. Volume approximatif : 1 500 à 2 500 adresses IP. # dns / doh — Serveurs DNS et DoH publics Empêche vos appareils de contourner le filtrage DNS d'AdGuard Home en utilisant des serveurs DNS tiers ou chiffrés. Force le passage de tout le trafic DNS par le filtrage local du Système Cerbère. Volume approximatif : 500 à 1 000 serveurs connus. Listes de scans et exploitations # ipexdbl — Scans de ports et exploitation de vulnérabilités Liste dynamique se concentrant sur les attaques de type scan de ports et tentatives d'exploitation de vulnérabilités web. Volume approximatif : 5 000 à 10 000 adresses IP. Article rédigé par 3WCONSEILS — Système Cerbère — Cybersécurité pour les entreprises locales. Les volumes indiqués sont approximatifs et évoluent quotidiennement en fonction des mises à jour des sources.
banIP – Le bouclier du Système Cerbère banIP , Le bouclier du Système Cerbère contre les adresses IP dangereuses Votre réseau est ouvert à 4 milliards d'adresses. banIP décide lesquelles ont le droit d'entrer. Chaque seconde, votre connexion internet reçoit des tentatives de contact provenant d'adresses IP du monde entier. La plupart sont inoffensives. D'autres appartiennent à des machines contrôlées par des cybercriminels, des robots qui scannent les réseaux à la recherche de failles, ou des serveurs infectés par des logiciels malveillants. Le module «banIP», intégré au cœur du Système Cerbère, est un système de filtrage avancé qui bloque automatiquement ces adresses dangereuses avant même qu'elles n'atteignent vos ordinateurs. Il fonctionne en permanence, se met à jour tout seul, et peut être entièrement configuré par l'utilisateur final grâce à une interface graphique simple accessible depuis un navigateur web. Que fait banIP concrètement ? Pour le dire simplement : banIP prend des listes d'adresses IP connues comme dangereuses et les bloque automatiquement au niveau du réseau. Aucune de ces adresses ne peut communiquer avec vos machines, ni en entrée (quelqu'un qui tente de vous atteindre), ni en sortie (un logiciel malveillant sur votre réseau qui tenterait de "téléphoner" à son serveur de commande). Ce blocage s'effectue à trois niveaux distincts En entrée vers votre routeur : Il bloque les tentatives d'accès direct à votre équipement réseau, par exemple, un pirate qui tente de se connecter à distance. En entrée vers vos appareils : Il bloque les connexions venant d'internet qui ciblent vos ordinateurs, imprimantes, caméras ou tout appareil connecté à votre réseau local. En sortie depuis vos appareils : Il empêche vos machines de contacter des serveurs dangereux, ce qui est essentiel si un logiciel malveillant a réussi à s'installer et tente de communiquer avec son "centre de commande". Le blocage géographique : la première ligne de défense Le Système Cerbère utilise banIP pour bloquer des pays entiers. Sur les 4 milliards d'adresses IP existantes dans le monde, seules environ 315 millions sont autorisées à communiquer avec votre réseau. Les 90 % restants, qui n'ont aucune raison légitime de contacter votre entreprise, sont bloqués à la porte. Ce n'est pas de la paranoïa. Les statistiques montrent que la grande majorité des attaques informatiques contre les entreprises françaises proviennent de zones géographiques très identifiées. En bloquant ces zones, on élimine d'emblée l'immense majorité des tentatives d'intrusion, sans aucun impact sur votre activité quotidienne. Le blocage par 30 listes noires spécialisées : un filet de sécurité à mailles très serrées Au-delà du blocage géographique, banIP s'appuie sur une trentaine de listes noires maintenues par des organisations reconnues en cybersécurité, universités, centres de recherche, entreprises spécialisées, communautés d'experts. Ces listes sont mises à jour automatiquement, gratuitement et en continu. Chaque liste a une spécialité Certaines identifient les serveurs qui lancent des attaques par force brute (des milliers de tentatives de mots de passe par minute). D'autres repèrent les machines infectées par des logiciels malveillants (botnets) qui servent de relais aux cybercriminels. D'autres encore ciblent spécifiquement les réseaux utilisés pour le phishing bancaire (faux sites de banques). Certaines bloquent les adresses IP qui ne devraient tout simplement pas exister sur internet (adresses "bogon", utilisées pour de l'usurpation d'identité réseau). Le détail complet des 30 listes utilisées par le Système Cerbère est disponible en bas de cette page. La protection contre les attaques par saturation (DoS) banIP ne se contente pas de filtrer les adresses IP. Il protège également votre réseau contre les attaques par saturation, dites "déni de service", qui visent à noyer votre connexion sous un flot de requêtes inutiles jusqu'à la rendre inutilisable. Trois types d'attaques sont détectés et bloqués automatiquement : Attaques SYN Flood : des milliers de demandes de connexion simultanées qui visent à épuiser les ressources de votre routeur. banIP détecte ce comportement anormal et bloque les paquets excédentaires au-delà d'un seuil configurable. Attaques UDP Flood : même principe, mais avec un autre protocole de communication. Particulièrement utilisé pour saturer les connexions des petites structures. Attaques ICMP Flood : envoi massif de "pings" pour ralentir ou bloquer votre réseau. banIP les détecte et les stoppe. Pour chaque type d'attaque, un seuil de tolérance est défini. En dessous, le trafic passe normalement. Au-dessus, les paquets suspects sont automatiquement rejetés. La surveillance en temps réel des tentatives de connexion Comme les logiciels professionnels fail2ban ou CrowdSec, banIP surveille en permanence les journaux d'activité de votre réseau. Si une adresse IP tente de se connecter avec un mauvais mot de passe, que ce soit sur l'interface d'administration de votre routeur, via une connexion SSH, ou sur tout autre service protégé, elle est automatiquement ajoutée à la liste noire locale. Cette fonctionnalité est personnalisable : vous pouvez définir au bout de combien de tentatives échouées une adresse est bloquée, et pendant combien de temps elle le reste. Les services surveillés par défaut Les tentatives de connexion SSH (accès à distance sécurisé) Les tentatives de connexion à l'interface d'administration LuCI Les tentatives de connexion au serveur web (nginx) Les tentatives de connexion au système téléphonique (Asterisk, pour les entreprises utilisant la VoIP) Vous pouvez ajouter d'autres services à surveiller en définissant simplement les termes à rechercher dans les journaux. Une liste blanche et une liste noire personnalisables banIP gère deux listes locales que vous pouvez modifier à tout moment : La liste blanche (allowlist) : les adresses IP, les plages d'adresses ou les noms de domaine qui ne doivent jamais être bloqués, quoi qu'il arrive. Par exemple, l'adresse de votre fournisseur de logiciel métier, ou celle de votre expert-comptable. La liste noire locale (blocklist) : les adresses que vous souhaitez bloquer vous-même, en plus de celles déjà présentes dans les listes noires automatiques. Utile si vous constatez des comportements suspects venant d'une adresse précise. Ces listes acceptent des adresses IP individuelles, des plages d'adresses complètes (en notation CIDR), des adresses MAC (l'identifiant unique de chaque appareil réseau), et même des noms de domaine, banIP se charge de retrouver les adresses IP correspondantes. Le mode "liste blanche uniquement" : la sécurité maximale Pour les environnements les plus sensibles, banIP propose un mode radical : au lieu de bloquer les adresses dangereuses, il bloque tout ce qui n'est pas explicitement autorisé. Seules les adresses IP présentes dans votre liste blanche peuvent communiquer avec votre réseau. Ce mode est particulièrement adapté aux postes de travail qui n'ont besoin d'accéder qu'à un nombre limité de services en ligne, par exemple, uniquement la messagerie, le logiciel de comptabilité et le site de la banque. La protection BCP38 contre l'usurpation d'adresses banIP implémente la norme BCP38, une recommandation internationale de sécurité réseau. Son principe : rejeter tout paquet dont l'adresse source n'est pas cohérente avec l'interface par laquelle il arrive. En termes simples, si une connexion prétend venir d'un réseau local alors qu'elle arrive depuis internet, elle est immédiatement bloquée. Cette technique empêche une forme d'attaque appelée "spoofing", où un attaquant se fait passer pour une adresse de confiance. BANIP se pilote depuis une interface graphique L'ensemble de ces fonctionnalités est accessible depuis l'interface graphique LuCI, que vous ouvrez simplement dans votre navigateur web en tapant l'adresse de votre routeur Cerbère. L'interface est organisée en onglets clairs Paramètres généraux : activer/désactiver le service, configurer la détection automatique du réseau, choisir le mode de blocage (silencieux ou avec notification). Sélection des listes : cocher ou décocher les listes noires que vous souhaitez activer. Vous pouvez aussi choisir les pays à bloquer dans le filtre géographique. Paramètres des listes : pour chaque liste, vous pouvez décider si elle bloque le trafic entrant, sortant, ou les deux. Vous pouvez aussi limiter le blocage à certains protocoles ou ports. Paramètres du journal : configurer la surveillance des tentatives de connexion échouées, ajuster les seuils de détection, ajouter des services à surveiller. Rapports : consulter les statistiques de blocage en temps réel, combien de paquets bloqués, par quelle liste, depuis quelles adresses. Un bouton "Actualiser" affiche les données les plus récentes. Recherche : saisir n'importe quelle adresse IP pour savoir instantanément si elle est bloquée et par quelle liste. Éditeur de listes personnalisées : modifier vos listes blanches et noires locales, ou même créer de nouvelles sources de blocage personnalisées. Carte géographique : une carte interactive qui montre en vert la localisation de votre connexion et en rouge celle des attaquants détectés. Les fonctionnalités avancées banIP offre également des fonctionnalités destinées aux utilisateurs plus expérimentés ou aux configurations réseau complexes : Blocage par numéro ASN : permet de bloquer non pas un pays entier, mais un fournisseur d'accès ou un hébergeur spécifique identifié par son numéro de système autonome. Blocage par registre régional (RIR) : possibilité de bloquer l'ensemble des pays rattachés à un registre internet régional, par exemple, tous les pays de la zone APNIC (Asie-Pacifique). Liaison MAC/IP : possibilité d'associer une adresse physique d'appareil (MAC) à une adresse IP spécifique, pour renforcer la sécurité de vos attributions réseau. Blocage de DNS et DoH tiers : empêche vos appareils de contourner le filtrage DNS d'AdGuard Home en utilisant des serveurs DNS publics ou des serveurs DNS chiffrés (DoH). Cette fonctionnalité est essentielle pour garantir que tout le trafic DNS passe bien par le filtrage du Système Cerbère. Gestion des VLAN : possibilité d'autoriser ou de bloquer le trafic entre différents réseaux virtuels au sein de votre entreprise. Notifications par e-mail : réception d'un rapport automatique par e-mail à chaque mise à jour des listes ou en cas d'événement de sécurité. Interface de journalisation à distance : les autres équipements de votre réseau peuvent envoyer des événements de sécurité à banIP pour un blocage centralisé. Sauvegarde et restauration automatiques : toutes les listes sont sauvegardées automatiquement. En cas de problème de téléchargement lors d'une mise à jour, les dernières versions valides sont restaurées instantanément. Dédoublonnage : les adresses IP présentes dans plusieurs listes ne sont comptées qu'une seule fois, ce qui optimise les performances et la mémoire. En résumé banIP est le composant de défense active du Système Cerbère. Il combine le blocage géographique, le filtrage par listes noires spécialisées, la détection d'attaques par saturation, la surveillance en temps réel des tentatives d'intrusion et la protection contre l'usurpation d'adresses, le tout piloté depuis une interface graphique accessible à un non-spécialiste. C'est l'équivalent d'un vigile professionnel posté à l'entrée de votre réseau, 24 heures sur 24, qui vérifie l'identité de chaque visiteur et refuse l'accès à tous ceux qui figurent sur une liste noire, ou qui n'ont tout simplement rien à faire là. Annexe — Les 30 listes noires du Système Cerbère Voici le détail des listes de blocage activées dans le Système Cerbère. Chacune est spécialisée dans un type de menace et maintenue à jour automatiquement par des organismes reconnus en cybersécurité. Listes de réputation et d'attaques actives # becyber — Attaquants identifiés par la communauté BeCyber Liste de réputation ciblant les attaquants actifs identifiés par la communauté BeCyber. Indispensable pour bloquer les tentatives d'intrusion furtives. Volume approximatif : 1 000 à 5 000 adresses IP. # cinsscore — Score de réputation CI Security Basée sur le score de réputation CI Security, elle écarte les "mauvais voisins" du web ayant un historique d'attaques répétées. Volume approximatif : 5 000 à 15 000 adresses IP. # bruteforceblock — Attaques par force brute Spécialisée dans l'identification des serveurs lançant des attaques par dictionnaire ou force brute, c'est-à-dire des milliers de tentatives de mots de passe par minute. Volume approximatif : 1 500 à 3 000 adresses IP. # debl — Compilation Fail2ban mondiale Compilation d'adresses IP bannies par des instances Fail2ban à travers le monde. Très efficace contre les robots opportunistes. Volume approximatif : 10 000 à 30 000 adresses IP. # turris — Données de pièges à pirates (honeypots) Données collectées par les routeurs Turris Sentinel, qui fonctionnent comme des pièges à pirates. Très efficace car elle reflète les attaques réelles observées sur des routeurs du monde entier. Volume approximatif : 5 000 à 8 000 adresses IP. # myip — Blocage en temps réel Analyse les menaces en temps réel pour offrir une barrière immédiate contre les nouveaux attaquants détectés sur le réseau. Volume approximatif : 5 000 à 10 000 adresses IP. # greensnow — Surveillance des ports sensibles Une liste "vivante" qui surveille en permanence les serveurs tentant de se connecter à des ports sensibles de manière suspecte. Très réactive face aux nouvelles menaces. Volume approximatif : 1 000 à 3 000 adresses IP. Listes de logiciels malveillants et botnets # binarydefense — Serveurs de commande de logiciels malveillants Fournie par Binary Defense, elle contient des adresses IP de serveurs de commande et de contrôle (C2) de malwares connus. Protection proactive contre l'exfiltration de données. Volume approximatif : 1 500 à 4 000 adresses IP. # feodo — Botnets bancaires (Emotet, Dridex) Cible spécifiquement les réseaux de robots bancaires, les plus dangereux car ils visent directement vos accès aux banques en ligne. Cruciale pour protéger vos accès aux banques françaises. Volume approximatif : 500 à 800 adresses IP. # etcompromised — Serveurs légitimes infectés Liste d'Emerging Threats répertoriant les serveurs légitimes infectés par des logiciels malveillants. Évite que vos machines ne communiquent avec des sites compromis à leur insu. Volume approximatif : 1 000 à 2 000 adresses IP. # ipthreat — Infrastructures de botnets Se concentre sur les infrastructures utilisées par les pirates pour piloter des réseaux de robots (botnets) à distance. Volume approximatif : 5 000 à 12 000 adresses IP. # urlhaus — Hébergeurs de fichiers malveillants Identifie les adresses IP hébergeant des exécutables malveillants (virus, ransomwares, chevaux de Troie). Indispensable dans toute configuration de sécurité réseau. Volume approximatif : 5 000 à 8 000 adresses IP. Listes de compilations multi-sources # firehol1, firehol2, firehol3, firehol4 — Compilations progressives Niveaux de filtrage progressifs compilés par le projet FireHOL. La firehol3 est le meilleur compromis entre sécurité et confort d'utilisation. Les niveaux 1 et 2 sont plus agressifs et peuvent occasionner des blocages de sites légitimes. Volume approximatif : de 15 000 (niveau 3) à plus de 500 000 adresses IP (niveau 1). # ipsum — Triple confirmation Une liste agrégée qui n'inclut que les adresses IP apparaissant dans au moins trois sources de menaces différentes. Très peu de faux positifs, si une adresse figure ici, elle est dangereuse. Volume approximatif : 15 000 à 25 000 adresses IP. # ipblackhole — Consolidation multi-sources Regroupe des adresses IP identifiées comme dangereuses par plusieurs sources de confiance indépendantes. Un filet de sécurité supplémentaire. Volume approximatif : 2 000 à 4 000 adresses IP. # threatview — Vision large des menaces Fournit une vision étendue des menaces : logiciels malveillants, phishing et serveurs de commande. Très complémentaire aux listes FireHOL. Volume approximatif : 50 000 à 100 000 adresses IP. # drop — Compilation Spamhaus "Don't Route Or Peer" Liste de Spamhaus regroupant des réseaux entiers contrôlés par des cybercriminels. Blocage très sûr avec très peu de faux positifs, c'est l'une des listes les plus fiables au monde. Volume approximatif : 800 à 1 200 réseaux. # dshield — Top 20 SANS Internet Storm Center Les sous-réseaux les plus suspects détectés par le centre d'analyse SANS. Une défense historique et robuste, maintenue depuis plus de vingt ans. Volume approximatif : 20 à 50 réseaux critiques. Listes de blocage géographique et réseau # country — Blocage géographique par pays Le pilier de la stratégie Cerbère : permet de bloquer des zones géographiques entières pour réduire radicalement la surface d'attaque. Volume approximatif : plusieurs millions d'adresses IP (selon les pays sélectionnés). # bogon — Adresses IP "fantômes" Bloque les adresses IP qui ne devraient pas exister sur l'Internet public (non allouées par les organismes officiels). Empêche l'usurpation d'identité réseau (spoofing). Volume approximatif : environ 3 500 préfixes réseau. Listes de spam et messagerie # backscatterer — Serveurs de messagerie mal configurés Bloque les serveurs de messagerie mal configurés qui envoient des notifications de non-distribution (NDR) à des victimes de spam. Utile si vous gérez un serveur mail. Volume approximatif : 50 000 à 100 000 adresses IP. # uceprotect1, uceprotect2, uceprotect3 — Protection anti-spam à trois niveaux Niveaux de protection progressifs contre le spam. Le niveau 1 bloque les adresses IP individuelles identifiées comme sources de spam. Le niveau 2 bloque les sous-réseaux. Le niveau 3 bloque des fournisseurs entiers. Volume approximatif : très variable, jusqu'à plusieurs millions d'adresses au niveau 3. Listes de blocage sortant et anonymisation # hagezi — Blocage sortant (télémétrie, publicités, phishing) Excellente liste de sortie pour empêcher vos appareils de contacter des serveurs de télémétrie (collecte de données), de publicités intrusives ou de phishing. Volume approximatif : 20 000 à 50 000 adresses IP. # proxy / vpn / vpndc — Services d'anonymisation Bloque les accès via des proxies, des VPN anonymes ou des datacenters utilisés pour masquer l'origine réelle d'une connexion. Utile pour empêcher des attaquants de dissimuler leur identité. Volume approximatif : 100 000 à 300 000 adresses IP. # tor — Nœuds de sortie du réseau Tor Bloque les nœuds de sortie du réseau d'anonymisation Tor. Empêche les utilisateurs anonymes d'accéder à votre réseau. Volume approximatif : 1 500 à 2 500 adresses IP. # dns / doh — Serveurs DNS et DoH publics Empêche vos appareils de contourner le filtrage DNS d'AdGuard Home en utilisant des serveurs DNS tiers ou chiffrés. Force le passage de tout le trafic DNS par le filtrage local du Système Cerbère. Volume approximatif : 500 à 1 000 serveurs connus. Listes de scans et exploitations # ipexdbl — Scans de ports et exploitation de vulnérabilités Liste dynamique se concentrant sur les attaques de type scan de ports et tentatives d'exploitation de vulnérabilités web. Volume approximatif : 5 000 à 10 000 adresses IP. Article rédigé par 3WCONSEILS — Système Cerbère — Cybersécurité pour les entreprises locales. Les volumes indiqués sont approximatifs et évoluent quotidiennement en fonction des mises à jour des sources.
banIP – Le bouclier du Système Cerbère banIP , Le bouclier du Système Cerbère contre les adresses IP dangereuses Votre réseau est ouvert à 4 milliards d'adresses. banIP décide lesquelles ont le droit d'entrer. Chaque seconde, votre connexion internet reçoit des tentatives de contact provenant d'adresses IP du monde entier. La plupart sont inoffensives. D'autres appartiennent à des machines contrôlées par des cybercriminels, des robots qui scannent les réseaux à la recherche de failles, ou des serveurs infectés par des logiciels malveillants. Le module «banIP», intégré au cœur du Système Cerbère, est un système de filtrage avancé qui bloque automatiquement ces adresses dangereuses avant même qu'elles n'atteignent vos ordinateurs. Il fonctionne en permanence, se met à jour tout seul, et peut être entièrement configuré par l'utilisateur final grâce à une interface graphique simple accessible depuis un navigateur web. Que fait banIP concrètement ? Pour le dire simplement : banIP prend des listes d'adresses IP connues comme dangereuses et les bloque automatiquement au niveau du réseau. Aucune de ces adresses ne peut communiquer avec vos machines, ni en entrée (quelqu'un qui tente de vous atteindre), ni en sortie (un logiciel malveillant sur votre réseau qui tenterait de "téléphoner" à son serveur de commande). Ce blocage s'effectue à trois niveaux distincts En entrée vers votre routeur : Il bloque les tentatives d'accès direct à votre équipement réseau, par exemple, un pirate qui tente de se connecter à distance. En entrée vers vos appareils : Il bloque les connexions venant d'internet qui ciblent vos ordinateurs, imprimantes, caméras ou tout appareil connecté à votre réseau local. En sortie depuis vos appareils : Il empêche vos machines de contacter des serveurs dangereux, ce qui est essentiel si un logiciel malveillant a réussi à s'installer et tente de communiquer avec son "centre de commande". Le blocage géographique : la première ligne de défense Le Système Cerbère utilise banIP pour bloquer des pays entiers. Sur les 4 milliards d'adresses IP existantes dans le monde, seules environ 315 millions sont autorisées à communiquer avec votre réseau. Les 90 % restants, qui n'ont aucune raison légitime de contacter votre entreprise, sont bloqués à la porte. Ce n'est pas de la paranoïa. Les statistiques montrent que la grande majorité des attaques informatiques contre les entreprises françaises proviennent de zones géographiques très identifiées. En bloquant ces zones, on élimine d'emblée l'immense majorité des tentatives d'intrusion, sans aucun impact sur votre activité quotidienne. Le blocage par 30 listes noires spécialisées : un filet de sécurité à mailles très serrées Au-delà du blocage géographique, banIP s'appuie sur une trentaine de listes noires maintenues par des organisations reconnues en cybersécurité, universités, centres de recherche, entreprises spécialisées, communautés d'experts. Ces listes sont mises à jour automatiquement, gratuitement et en continu. Chaque liste a une spécialité Certaines identifient les serveurs qui lancent des attaques par force brute (des milliers de tentatives de mots de passe par minute). D'autres repèrent les machines infectées par des logiciels malveillants (botnets) qui servent de relais aux cybercriminels. D'autres encore ciblent spécifiquement les réseaux utilisés pour le phishing bancaire (faux sites de banques). Certaines bloquent les adresses IP qui ne devraient tout simplement pas exister sur internet (adresses "bogon", utilisées pour de l'usurpation d'identité réseau). Le détail complet des 30 listes utilisées par le Système Cerbère est disponible en bas de cette page. La protection contre les attaques par saturation (DoS) banIP ne se contente pas de filtrer les adresses IP. Il protège également votre réseau contre les attaques par saturation, dites "déni de service", qui visent à noyer votre connexion sous un flot de requêtes inutiles jusqu'à la rendre inutilisable. Trois types d'attaques sont détectés et bloqués automatiquement : Attaques SYN Flood : des milliers de demandes de connexion simultanées qui visent à épuiser les ressources de votre routeur. banIP détecte ce comportement anormal et bloque les paquets excédentaires au-delà d'un seuil configurable. Attaques UDP Flood : même principe, mais avec un autre protocole de communication. Particulièrement utilisé pour saturer les connexions des petites structures. Attaques ICMP Flood : envoi massif de "pings" pour ralentir ou bloquer votre réseau. banIP les détecte et les stoppe. Pour chaque type d'attaque, un seuil de tolérance est défini. En dessous, le trafic passe normalement. Au-dessus, les paquets suspects sont automatiquement rejetés. La surveillance en temps réel des tentatives de connexion Comme les logiciels professionnels fail2ban ou CrowdSec, banIP surveille en permanence les journaux d'activité de votre réseau. Si une adresse IP tente de se connecter avec un mauvais mot de passe, que ce soit sur l'interface d'administration de votre routeur, via une connexion SSH, ou sur tout autre service protégé, elle est automatiquement ajoutée à la liste noire locale. Cette fonctionnalité est personnalisable : vous pouvez définir au bout de combien de tentatives échouées une adresse est bloquée, et pendant combien de temps elle le reste. Les services surveillés par défaut Les tentatives de connexion SSH (accès à distance sécurisé) Les tentatives de connexion à l'interface d'administration LuCI Les tentatives de connexion au serveur web (nginx) Les tentatives de connexion au système téléphonique (Asterisk, pour les entreprises utilisant la VoIP) Vous pouvez ajouter d'autres services à surveiller en définissant simplement les termes à rechercher dans les journaux. Une liste blanche et une liste noire personnalisables banIP gère deux listes locales que vous pouvez modifier à tout moment : La liste blanche (allowlist) : les adresses IP, les plages d'adresses ou les noms de domaine qui ne doivent jamais être bloqués, quoi qu'il arrive. Par exemple, l'adresse de votre fournisseur de logiciel métier, ou celle de votre expert-comptable. La liste noire locale (blocklist) : les adresses que vous souhaitez bloquer vous-même, en plus de celles déjà présentes dans les listes noires automatiques. Utile si vous constatez des comportements suspects venant d'une adresse précise. Ces listes acceptent des adresses IP individuelles, des plages d'adresses complètes (en notation CIDR), des adresses MAC (l'identifiant unique de chaque appareil réseau), et même des noms de domaine, banIP se charge de retrouver les adresses IP correspondantes. Le mode "liste blanche uniquement" : la sécurité maximale Pour les environnements les plus sensibles, banIP propose un mode radical : au lieu de bloquer les adresses dangereuses, il bloque tout ce qui n'est pas explicitement autorisé. Seules les adresses IP présentes dans votre liste blanche peuvent communiquer avec votre réseau. Ce mode est particulièrement adapté aux postes de travail qui n'ont besoin d'accéder qu'à un nombre limité de services en ligne, par exemple, uniquement la messagerie, le logiciel de comptabilité et le site de la banque. La protection BCP38 contre l'usurpation d'adresses banIP implémente la norme BCP38, une recommandation internationale de sécurité réseau. Son principe : rejeter tout paquet dont l'adresse source n'est pas cohérente avec l'interface par laquelle il arrive. En termes simples, si une connexion prétend venir d'un réseau local alors qu'elle arrive depuis internet, elle est immédiatement bloquée. Cette technique empêche une forme d'attaque appelée "spoofing", où un attaquant se fait passer pour une adresse de confiance. BANIP se pilote depuis une interface graphique L'ensemble de ces fonctionnalités est accessible depuis l'interface graphique LuCI, que vous ouvrez simplement dans votre navigateur web en tapant l'adresse de votre routeur Cerbère. L'interface est organisée en onglets clairs Paramètres généraux : activer/désactiver le service, configurer la détection automatique du réseau, choisir le mode de blocage (silencieux ou avec notification). Sélection des listes : cocher ou décocher les listes noires que vous souhaitez activer. Vous pouvez aussi choisir les pays à bloquer dans le filtre géographique. Paramètres des listes : pour chaque liste, vous pouvez décider si elle bloque le trafic entrant, sortant, ou les deux. Vous pouvez aussi limiter le blocage à certains protocoles ou ports. Paramètres du journal : configurer la surveillance des tentatives de connexion échouées, ajuster les seuils de détection, ajouter des services à surveiller. Rapports : consulter les statistiques de blocage en temps réel, combien de paquets bloqués, par quelle liste, depuis quelles adresses. Un bouton "Actualiser" affiche les données les plus récentes. Recherche : saisir n'importe quelle adresse IP pour savoir instantanément si elle est bloquée et par quelle liste. Éditeur de listes personnalisées : modifier vos listes blanches et noires locales, ou même créer de nouvelles sources de blocage personnalisées. Carte géographique : une carte interactive qui montre en vert la localisation de votre connexion et en rouge celle des attaquants détectés. Les fonctionnalités avancées banIP offre également des fonctionnalités destinées aux utilisateurs plus expérimentés ou aux configurations réseau complexes : Blocage par numéro ASN : permet de bloquer non pas un pays entier, mais un fournisseur d'accès ou un hébergeur spécifique identifié par son numéro de système autonome. Blocage par registre régional (RIR) : possibilité de bloquer l'ensemble des pays rattachés à un registre internet régional, par exemple, tous les pays de la zone APNIC (Asie-Pacifique). Liaison MAC/IP : possibilité d'associer une adresse physique d'appareil (MAC) à une adresse IP spécifique, pour renforcer la sécurité de vos attributions réseau. Blocage de DNS et DoH tiers : empêche vos appareils de contourner le filtrage DNS d'AdGuard Home en utilisant des serveurs DNS publics ou des serveurs DNS chiffrés (DoH). Cette fonctionnalité est essentielle pour garantir que tout le trafic DNS passe bien par le filtrage du Système Cerbère. Gestion des VLAN : possibilité d'autoriser ou de bloquer le trafic entre différents réseaux virtuels au sein de votre entreprise. Notifications par e-mail : réception d'un rapport automatique par e-mail à chaque mise à jour des listes ou en cas d'événement de sécurité. Interface de journalisation à distance : les autres équipements de votre réseau peuvent envoyer des événements de sécurité à banIP pour un blocage centralisé. Sauvegarde et restauration automatiques : toutes les listes sont sauvegardées automatiquement. En cas de problème de téléchargement lors d'une mise à jour, les dernières versions valides sont restaurées instantanément. Dédoublonnage : les adresses IP présentes dans plusieurs listes ne sont comptées qu'une seule fois, ce qui optimise les performances et la mémoire. En résumé banIP est le composant de défense active du Système Cerbère. Il combine le blocage géographique, le filtrage par listes noires spécialisées, la détection d'attaques par saturation, la surveillance en temps réel des tentatives d'intrusion et la protection contre l'usurpation d'adresses, le tout piloté depuis une interface graphique accessible à un non-spécialiste. C'est l'équivalent d'un vigile professionnel posté à l'entrée de votre réseau, 24 heures sur 24, qui vérifie l'identité de chaque visiteur et refuse l'accès à tous ceux qui figurent sur une liste noire, ou qui n'ont tout simplement rien à faire là. Annexe — Les 30 listes noires du Système Cerbère Voici le détail des listes de blocage activées dans le Système Cerbère. Chacune est spécialisée dans un type de menace et maintenue à jour automatiquement par des organismes reconnus en cybersécurité. Listes de réputation et d'attaques actives # becyber — Attaquants identifiés par la communauté BeCyber Liste de réputation ciblant les attaquants actifs identifiés par la communauté BeCyber. Indispensable pour bloquer les tentatives d'intrusion furtives. Volume approximatif : 1 000 à 5 000 adresses IP. # cinsscore — Score de réputation CI Security Basée sur le score de réputation CI Security, elle écarte les "mauvais voisins" du web ayant un historique d'attaques répétées. Volume approximatif : 5 000 à 15 000 adresses IP. # bruteforceblock — Attaques par force brute Spécialisée dans l'identification des serveurs lançant des attaques par dictionnaire ou force brute, c'est-à-dire des milliers de tentatives de mots de passe par minute. Volume approximatif : 1 500 à 3 000 adresses IP. # debl — Compilation Fail2ban mondiale Compilation d'adresses IP bannies par des instances Fail2ban à travers le monde. Très efficace contre les robots opportunistes. Volume approximatif : 10 000 à 30 000 adresses IP. # turris — Données de pièges à pirates (honeypots) Données collectées par les routeurs Turris Sentinel, qui fonctionnent comme des pièges à pirates. Très efficace car elle reflète les attaques réelles observées sur des routeurs du monde entier. Volume approximatif : 5 000 à 8 000 adresses IP. # myip — Blocage en temps réel Analyse les menaces en temps réel pour offrir une barrière immédiate contre les nouveaux attaquants détectés sur le réseau. Volume approximatif : 5 000 à 10 000 adresses IP. # greensnow — Surveillance des ports sensibles Une liste "vivante" qui surveille en permanence les serveurs tentant de se connecter à des ports sensibles de manière suspecte. Très réactive face aux nouvelles menaces. Volume approximatif : 1 000 à 3 000 adresses IP. Listes de logiciels malveillants et botnets # binarydefense — Serveurs de commande de logiciels malveillants Fournie par Binary Defense, elle contient des adresses IP de serveurs de commande et de contrôle (C2) de malwares connus. Protection proactive contre l'exfiltration de données. Volume approximatif : 1 500 à 4 000 adresses IP. # feodo — Botnets bancaires (Emotet, Dridex) Cible spécifiquement les réseaux de robots bancaires, les plus dangereux car ils visent directement vos accès aux banques en ligne. Cruciale pour protéger vos accès aux banques françaises. Volume approximatif : 500 à 800 adresses IP. # etcompromised — Serveurs légitimes infectés Liste d'Emerging Threats répertoriant les serveurs légitimes infectés par des logiciels malveillants. Évite que vos machines ne communiquent avec des sites compromis à leur insu. Volume approximatif : 1 000 à 2 000 adresses IP. # ipthreat — Infrastructures de botnets Se concentre sur les infrastructures utilisées par les pirates pour piloter des réseaux de robots (botnets) à distance. Volume approximatif : 5 000 à 12 000 adresses IP. # urlhaus — Hébergeurs de fichiers malveillants Identifie les adresses IP hébergeant des exécutables malveillants (virus, ransomwares, chevaux de Troie). Indispensable dans toute configuration de sécurité réseau. Volume approximatif : 5 000 à 8 000 adresses IP. Listes de compilations multi-sources # firehol1, firehol2, firehol3, firehol4 — Compilations progressives Niveaux de filtrage progressifs compilés par le projet FireHOL. La firehol3 est le meilleur compromis entre sécurité et confort d'utilisation. Les niveaux 1 et 2 sont plus agressifs et peuvent occasionner des blocages de sites légitimes. Volume approximatif : de 15 000 (niveau 3) à plus de 500 000 adresses IP (niveau 1). # ipsum — Triple confirmation Une liste agrégée qui n'inclut que les adresses IP apparaissant dans au moins trois sources de menaces différentes. Très peu de faux positifs, si une adresse figure ici, elle est dangereuse. Volume approximatif : 15 000 à 25 000 adresses IP. # ipblackhole — Consolidation multi-sources Regroupe des adresses IP identifiées comme dangereuses par plusieurs sources de confiance indépendantes. Un filet de sécurité supplémentaire. Volume approximatif : 2 000 à 4 000 adresses IP. # threatview — Vision large des menaces Fournit une vision étendue des menaces : logiciels malveillants, phishing et serveurs de commande. Très complémentaire aux listes FireHOL. Volume approximatif : 50 000 à 100 000 adresses IP. # drop — Compilation Spamhaus "Don't Route Or Peer" Liste de Spamhaus regroupant des réseaux entiers contrôlés par des cybercriminels. Blocage très sûr avec très peu de faux positifs, c'est l'une des listes les plus fiables au monde. Volume approximatif : 800 à 1 200 réseaux. # dshield — Top 20 SANS Internet Storm Center Les sous-réseaux les plus suspects détectés par le centre d'analyse SANS. Une défense historique et robuste, maintenue depuis plus de vingt ans. Volume approximatif : 20 à 50 réseaux critiques. Listes de blocage géographique et réseau # country — Blocage géographique par pays Le pilier de la stratégie Cerbère : permet de bloquer des zones géographiques entières pour réduire radicalement la surface d'attaque. Volume approximatif : plusieurs millions d'adresses IP (selon les pays sélectionnés). # bogon — Adresses IP "fantômes" Bloque les adresses IP qui ne devraient pas exister sur l'Internet public (non allouées par les organismes officiels). Empêche l'usurpation d'identité réseau (spoofing). Volume approximatif : environ 3 500 préfixes réseau. Listes de spam et messagerie # backscatterer — Serveurs de messagerie mal configurés Bloque les serveurs de messagerie mal configurés qui envoient des notifications de non-distribution (NDR) à des victimes de spam. Utile si vous gérez un serveur mail. Volume approximatif : 50 000 à 100 000 adresses IP. # uceprotect1, uceprotect2, uceprotect3 — Protection anti-spam à trois niveaux Niveaux de protection progressifs contre le spam. Le niveau 1 bloque les adresses IP individuelles identifiées comme sources de spam. Le niveau 2 bloque les sous-réseaux. Le niveau 3 bloque des fournisseurs entiers. Volume approximatif : très variable, jusqu'à plusieurs millions d'adresses au niveau 3. Listes de blocage sortant et anonymisation # hagezi — Blocage sortant (télémétrie, publicités, phishing) Excellente liste de sortie pour empêcher vos appareils de contacter des serveurs de télémétrie (collecte de données), de publicités intrusives ou de phishing. Volume approximatif : 20 000 à 50 000 adresses IP. # proxy / vpn / vpndc — Services d'anonymisation Bloque les accès via des proxies, des VPN anonymes ou des datacenters utilisés pour masquer l'origine réelle d'une connexion. Utile pour empêcher des attaquants de dissimuler leur identité. Volume approximatif : 100 000 à 300 000 adresses IP. # tor — Nœuds de sortie du réseau Tor Bloque les nœuds de sortie du réseau d'anonymisation Tor. Empêche les utilisateurs anonymes d'accéder à votre réseau. Volume approximatif : 1 500 à 2 500 adresses IP. # dns / doh — Serveurs DNS et DoH publics Empêche vos appareils de contourner le filtrage DNS d'AdGuard Home en utilisant des serveurs DNS tiers ou chiffrés. Force le passage de tout le trafic DNS par le filtrage local du Système Cerbère. Volume approximatif : 500 à 1 000 serveurs connus. Listes de scans et exploitations # ipexdbl — Scans de ports et exploitation de vulnérabilités Liste dynamique se concentrant sur les attaques de type scan de ports et tentatives d'exploitation de vulnérabilités web. Volume approximatif : 5 000 à 10 000 adresses IP. Article rédigé par 3WCONSEILS — Système Cerbère — Cybersécurité pour les entreprises locales. Les volumes indiqués sont approximatifs et évoluent quotidiennement en fonction des mises à jour des sources.
banIP – Le bouclier du Système Cerbère banIP , Le bouclier du Système Cerbère contre les adresses IP dangereuses Votre réseau est ouvert à 4 milliards d'adresses. banIP décide lesquelles ont le droit d'entrer. Chaque seconde, votre connexion internet reçoit des tentatives de contact provenant d'adresses IP du monde entier. La plupart sont inoffensives. D'autres appartiennent à des machines contrôlées par des cybercriminels, des robots qui scannent les réseaux à la recherche de failles, ou des serveurs infectés par des logiciels malveillants. Le module «banIP», intégré au cœur du Système Cerbère, est un système de filtrage avancé qui bloque automatiquement ces adresses dangereuses avant même qu'elles n'atteignent vos ordinateurs. Il fonctionne en permanence, se met à jour tout seul, et peut être entièrement configuré par l'utilisateur final grâce à une interface graphique simple accessible depuis un navigateur web. Que fait banIP concrètement ? Pour le dire simplement : banIP prend des listes d'adresses IP connues comme dangereuses et les bloque automatiquement au niveau du réseau. Aucune de ces adresses ne peut communiquer avec vos machines, ni en entrée (quelqu'un qui tente de vous atteindre), ni en sortie (un logiciel malveillant sur votre réseau qui tenterait de "téléphoner" à son serveur de commande). Ce blocage s'effectue à trois niveaux distincts En entrée vers votre routeur : Il bloque les tentatives d'accès direct à votre équipement réseau, par exemple, un pirate qui tente de se connecter à distance. En entrée vers vos appareils : Il bloque les connexions venant d'internet qui ciblent vos ordinateurs, imprimantes, caméras ou tout appareil connecté à votre réseau local. En sortie depuis vos appareils : Il empêche vos machines de contacter des serveurs dangereux, ce qui est essentiel si un logiciel malveillant a réussi à s'installer et tente de communiquer avec son "centre de commande". Le blocage géographique : la première ligne de défense Le Système Cerbère utilise banIP pour bloquer des pays entiers. Sur les 4 milliards d'adresses IP existantes dans le monde, seules environ 315 millions sont autorisées à communiquer avec votre réseau. Les 90 % restants, qui n'ont aucune raison légitime de contacter votre entreprise, sont bloqués à la porte. Ce n'est pas de la paranoïa. Les statistiques montrent que la grande majorité des attaques informatiques contre les entreprises françaises proviennent de zones géographiques très identifiées. En bloquant ces zones, on élimine d'emblée l'immense majorité des tentatives d'intrusion, sans aucun impact sur votre activité quotidienne. Le blocage par 30 listes noires spécialisées : un filet de sécurité à mailles très serrées Au-delà du blocage géographique, banIP s'appuie sur une trentaine de listes noires maintenues par des organisations reconnues en cybersécurité, universités, centres de recherche, entreprises spécialisées, communautés d'experts. Ces listes sont mises à jour automatiquement, gratuitement et en continu. Chaque liste a une spécialité Certaines identifient les serveurs qui lancent des attaques par force brute (des milliers de tentatives de mots de passe par minute). D'autres repèrent les machines infectées par des logiciels malveillants (botnets) qui servent de relais aux cybercriminels. D'autres encore ciblent spécifiquement les réseaux utilisés pour le phishing bancaire (faux sites de banques). Certaines bloquent les adresses IP qui ne devraient tout simplement pas exister sur internet (adresses "bogon", utilisées pour de l'usurpation d'identité réseau). Le détail complet des 30 listes utilisées par le Système Cerbère est disponible en bas de cette page. La protection contre les attaques par saturation (DoS) banIP ne se contente pas de filtrer les adresses IP. Il protège également votre réseau contre les attaques par saturation, dites "déni de service", qui visent à noyer votre connexion sous un flot de requêtes inutiles jusqu'à la rendre inutilisable. Trois types d'attaques sont détectés et bloqués automatiquement : Attaques SYN Flood : des milliers de demandes de connexion simultanées qui visent à épuiser les ressources de votre routeur. banIP détecte ce comportement anormal et bloque les paquets excédentaires au-delà d'un seuil configurable. Attaques UDP Flood : même principe, mais avec un autre protocole de communication. Particulièrement utilisé pour saturer les connexions des petites structures. Attaques ICMP Flood : envoi massif de "pings" pour ralentir ou bloquer votre réseau. banIP les détecte et les stoppe. Pour chaque type d'attaque, un seuil de tolérance est défini. En dessous, le trafic passe normalement. Au-dessus, les paquets suspects sont automatiquement rejetés. La surveillance en temps réel des tentatives de connexion Comme les logiciels professionnels fail2ban ou CrowdSec, banIP surveille en permanence les journaux d'activité de votre réseau. Si une adresse IP tente de se connecter avec un mauvais mot de passe, que ce soit sur l'interface d'administration de votre routeur, via une connexion SSH, ou sur tout autre service protégé, elle est automatiquement ajoutée à la liste noire locale. Cette fonctionnalité est personnalisable : vous pouvez définir au bout de combien de tentatives échouées une adresse est bloquée, et pendant combien de temps elle le reste. Les services surveillés par défaut Les tentatives de connexion SSH (accès à distance sécurisé) Les tentatives de connexion à l'interface d'administration LuCI Les tentatives de connexion au serveur web (nginx) Les tentatives de connexion au système téléphonique (Asterisk, pour les entreprises utilisant la VoIP) Vous pouvez ajouter d'autres services à surveiller en définissant simplement les termes à rechercher dans les journaux. Une liste blanche et une liste noire personnalisables banIP gère deux listes locales que vous pouvez modifier à tout moment : La liste blanche (allowlist) : les adresses IP, les plages d'adresses ou les noms de domaine qui ne doivent jamais être bloqués, quoi qu'il arrive. Par exemple, l'adresse de votre fournisseur de logiciel métier, ou celle de votre expert-comptable. La liste noire locale (blocklist) : les adresses que vous souhaitez bloquer vous-même, en plus de celles déjà présentes dans les listes noires automatiques. Utile si vous constatez des comportements suspects venant d'une adresse précise. Ces listes acceptent des adresses IP individuelles, des plages d'adresses complètes (en notation CIDR), des adresses MAC (l'identifiant unique de chaque appareil réseau), et même des noms de domaine, banIP se charge de retrouver les adresses IP correspondantes. Le mode "liste blanche uniquement" : la sécurité maximale Pour les environnements les plus sensibles, banIP propose un mode radical : au lieu de bloquer les adresses dangereuses, il bloque tout ce qui n'est pas explicitement autorisé. Seules les adresses IP présentes dans votre liste blanche peuvent communiquer avec votre réseau. Ce mode est particulièrement adapté aux postes de travail qui n'ont besoin d'accéder qu'à un nombre limité de services en ligne, par exemple, uniquement la messagerie, le logiciel de comptabilité et le site de la banque. La protection BCP38 contre l'usurpation d'adresses banIP implémente la norme BCP38, une recommandation internationale de sécurité réseau. Son principe : rejeter tout paquet dont l'adresse source n'est pas cohérente avec l'interface par laquelle il arrive. En termes simples, si une connexion prétend venir d'un réseau local alors qu'elle arrive depuis internet, elle est immédiatement bloquée. Cette technique empêche une forme d'attaque appelée "spoofing", où un attaquant se fait passer pour une adresse de confiance. BANIP se pilote depuis une interface graphique L'ensemble de ces fonctionnalités est accessible depuis l'interface graphique LuCI, que vous ouvrez simplement dans votre navigateur web en tapant l'adresse de votre routeur Cerbère. L'interface est organisée en onglets clairs Paramètres généraux : activer/désactiver le service, configurer la détection automatique du réseau, choisir le mode de blocage (silencieux ou avec notification). Sélection des listes : cocher ou décocher les listes noires que vous souhaitez activer. Vous pouvez aussi choisir les pays à bloquer dans le filtre géographique. Paramètres des listes : pour chaque liste, vous pouvez décider si elle bloque le trafic entrant, sortant, ou les deux. Vous pouvez aussi limiter le blocage à certains protocoles ou ports. Paramètres du journal : configurer la surveillance des tentatives de connexion échouées, ajuster les seuils de détection, ajouter des services à surveiller. Rapports : consulter les statistiques de blocage en temps réel, combien de paquets bloqués, par quelle liste, depuis quelles adresses. Un bouton "Actualiser" affiche les données les plus récentes. Recherche : saisir n'importe quelle adresse IP pour savoir instantanément si elle est bloquée et par quelle liste. Éditeur de listes personnalisées : modifier vos listes blanches et noires locales, ou même créer de nouvelles sources de blocage personnalisées. Carte géographique : une carte interactive qui montre en vert la localisation de votre connexion et en rouge celle des attaquants détectés. Les fonctionnalités avancées banIP offre également des fonctionnalités destinées aux utilisateurs plus expérimentés ou aux configurations réseau complexes : Blocage par numéro ASN : permet de bloquer non pas un pays entier, mais un fournisseur d'accès ou un hébergeur spécifique identifié par son numéro de système autonome. Blocage par registre régional (RIR) : possibilité de bloquer l'ensemble des pays rattachés à un registre internet régional, par exemple, tous les pays de la zone APNIC (Asie-Pacifique). Liaison MAC/IP : possibilité d'associer une adresse physique d'appareil (MAC) à une adresse IP spécifique, pour renforcer la sécurité de vos attributions réseau. Blocage de DNS et DoH tiers : empêche vos appareils de contourner le filtrage DNS d'AdGuard Home en utilisant des serveurs DNS publics ou des serveurs DNS chiffrés (DoH). Cette fonctionnalité est essentielle pour garantir que tout le trafic DNS passe bien par le filtrage du Système Cerbère. Gestion des VLAN : possibilité d'autoriser ou de bloquer le trafic entre différents réseaux virtuels au sein de votre entreprise. Notifications par e-mail : réception d'un rapport automatique par e-mail à chaque mise à jour des listes ou en cas d'événement de sécurité. Interface de journalisation à distance : les autres équipements de votre réseau peuvent envoyer des événements de sécurité à banIP pour un blocage centralisé. Sauvegarde et restauration automatiques : toutes les listes sont sauvegardées automatiquement. En cas de problème de téléchargement lors d'une mise à jour, les dernières versions valides sont restaurées instantanément. Dédoublonnage : les adresses IP présentes dans plusieurs listes ne sont comptées qu'une seule fois, ce qui optimise les performances et la mémoire. En résumé banIP est le composant de défense active du Système Cerbère. Il combine le blocage géographique, le filtrage par listes noires spécialisées, la détection d'attaques par saturation, la surveillance en temps réel des tentatives d'intrusion et la protection contre l'usurpation d'adresses, le tout piloté depuis une interface graphique accessible à un non-spécialiste. C'est l'équivalent d'un vigile professionnel posté à l'entrée de votre réseau, 24 heures sur 24, qui vérifie l'identité de chaque visiteur et refuse l'accès à tous ceux qui figurent sur une liste noire, ou qui n'ont tout simplement rien à faire là. Annexe — Les 30 listes noires du Système Cerbère Voici le détail des listes de blocage activées dans le Système Cerbère. Chacune est spécialisée dans un type de menace et maintenue à jour automatiquement par des organismes reconnus en cybersécurité. Listes de réputation et d'attaques actives # becyber — Attaquants identifiés par la communauté BeCyber Liste de réputation ciblant les attaquants actifs identifiés par la communauté BeCyber. Indispensable pour bloquer les tentatives d'intrusion furtives. Volume approximatif : 1 000 à 5 000 adresses IP. # cinsscore — Score de réputation CI Security Basée sur le score de réputation CI Security, elle écarte les "mauvais voisins" du web ayant un historique d'attaques répétées. Volume approximatif : 5 000 à 15 000 adresses IP. # bruteforceblock — Attaques par force brute Spécialisée dans l'identification des serveurs lançant des attaques par dictionnaire ou force brute, c'est-à-dire des milliers de tentatives de mots de passe par minute. Volume approximatif : 1 500 à 3 000 adresses IP. # debl — Compilation Fail2ban mondiale Compilation d'adresses IP bannies par des instances Fail2ban à travers le monde. Très efficace contre les robots opportunistes. Volume approximatif : 10 000 à 30 000 adresses IP. # turris — Données de pièges à pirates (honeypots) Données collectées par les routeurs Turris Sentinel, qui fonctionnent comme des pièges à pirates. Très efficace car elle reflète les attaques réelles observées sur des routeurs du monde entier. Volume approximatif : 5 000 à 8 000 adresses IP. # myip — Blocage en temps réel Analyse les menaces en temps réel pour offrir une barrière immédiate contre les nouveaux attaquants détectés sur le réseau. Volume approximatif : 5 000 à 10 000 adresses IP. # greensnow — Surveillance des ports sensibles Une liste "vivante" qui surveille en permanence les serveurs tentant de se connecter à des ports sensibles de manière suspecte. Très réactive face aux nouvelles menaces. Volume approximatif : 1 000 à 3 000 adresses IP. Listes de logiciels malveillants et botnets # binarydefense — Serveurs de commande de logiciels malveillants Fournie par Binary Defense, elle contient des adresses IP de serveurs de commande et de contrôle (C2) de malwares connus. Protection proactive contre l'exfiltration de données. Volume approximatif : 1 500 à 4 000 adresses IP. # feodo — Botnets bancaires (Emotet, Dridex) Cible spécifiquement les réseaux de robots bancaires, les plus dangereux car ils visent directement vos accès aux banques en ligne. Cruciale pour protéger vos accès aux banques françaises. Volume approximatif : 500 à 800 adresses IP. # etcompromised — Serveurs légitimes infectés Liste d'Emerging Threats répertoriant les serveurs légitimes infectés par des logiciels malveillants. Évite que vos machines ne communiquent avec des sites compromis à leur insu. Volume approximatif : 1 000 à 2 000 adresses IP. # ipthreat — Infrastructures de botnets Se concentre sur les infrastructures utilisées par les pirates pour piloter des réseaux de robots (botnets) à distance. Volume approximatif : 5 000 à 12 000 adresses IP. # urlhaus — Hébergeurs de fichiers malveillants Identifie les adresses IP hébergeant des exécutables malveillants (virus, ransomwares, chevaux de Troie). Indispensable dans toute configuration de sécurité réseau. Volume approximatif : 5 000 à 8 000 adresses IP. Listes de compilations multi-sources # firehol1, firehol2, firehol3, firehol4 — Compilations progressives Niveaux de filtrage progressifs compilés par le projet FireHOL. La firehol3 est le meilleur compromis entre sécurité et confort d'utilisation. Les niveaux 1 et 2 sont plus agressifs et peuvent occasionner des blocages de sites légitimes. Volume approximatif : de 15 000 (niveau 3) à plus de 500 000 adresses IP (niveau 1). # ipsum — Triple confirmation Une liste agrégée qui n'inclut que les adresses IP apparaissant dans au moins trois sources de menaces différentes. Très peu de faux positifs, si une adresse figure ici, elle est dangereuse. Volume approximatif : 15 000 à 25 000 adresses IP. # ipblackhole — Consolidation multi-sources Regroupe des adresses IP identifiées comme dangereuses par plusieurs sources de confiance indépendantes. Un filet de sécurité supplémentaire. Volume approximatif : 2 000 à 4 000 adresses IP. # threatview — Vision large des menaces Fournit une vision étendue des menaces : logiciels malveillants, phishing et serveurs de commande. Très complémentaire aux listes FireHOL. Volume approximatif : 50 000 à 100 000 adresses IP. # drop — Compilation Spamhaus "Don't Route Or Peer" Liste de Spamhaus regroupant des réseaux entiers contrôlés par des cybercriminels. Blocage très sûr avec très peu de faux positifs, c'est l'une des listes les plus fiables au monde. Volume approximatif : 800 à 1 200 réseaux. # dshield — Top 20 SANS Internet Storm Center Les sous-réseaux les plus suspects détectés par le centre d'analyse SANS. Une défense historique et robuste, maintenue depuis plus de vingt ans. Volume approximatif : 20 à 50 réseaux critiques. Listes de blocage géographique et réseau # country — Blocage géographique par pays Le pilier de la stratégie Cerbère : permet de bloquer des zones géographiques entières pour réduire radicalement la surface d'attaque. Volume approximatif : plusieurs millions d'adresses IP (selon les pays sélectionnés). # bogon — Adresses IP "fantômes" Bloque les adresses IP qui ne devraient pas exister sur l'Internet public (non allouées par les organismes officiels). Empêche l'usurpation d'identité réseau (spoofing). Volume approximatif : environ 3 500 préfixes réseau. Listes de spam et messagerie # backscatterer — Serveurs de messagerie mal configurés Bloque les serveurs de messagerie mal configurés qui envoient des notifications de non-distribution (NDR) à des victimes de spam. Utile si vous gérez un serveur mail. Volume approximatif : 50 000 à 100 000 adresses IP. # uceprotect1, uceprotect2, uceprotect3 — Protection anti-spam à trois niveaux Niveaux de protection progressifs contre le spam. Le niveau 1 bloque les adresses IP individuelles identifiées comme sources de spam. Le niveau 2 bloque les sous-réseaux. Le niveau 3 bloque des fournisseurs entiers. Volume approximatif : très variable, jusqu'à plusieurs millions d'adresses au niveau 3. Listes de blocage sortant et anonymisation # hagezi — Blocage sortant (télémétrie, publicités, phishing) Excellente liste de sortie pour empêcher vos appareils de contacter des serveurs de télémétrie (collecte de données), de publicités intrusives ou de phishing. Volume approximatif : 20 000 à 50 000 adresses IP. # proxy / vpn / vpndc — Services d'anonymisation Bloque les accès via des proxies, des VPN anonymes ou des datacenters utilisés pour masquer l'origine réelle d'une connexion. Utile pour empêcher des attaquants de dissimuler leur identité. Volume approximatif : 100 000 à 300 000 adresses IP. # tor — Nœuds de sortie du réseau Tor Bloque les nœuds de sortie du réseau d'anonymisation Tor. Empêche les utilisateurs anonymes d'accéder à votre réseau. Volume approximatif : 1 500 à 2 500 adresses IP. # dns / doh — Serveurs DNS et DoH publics Empêche vos appareils de contourner le filtrage DNS d'AdGuard Home en utilisant des serveurs DNS tiers ou chiffrés. Force le passage de tout le trafic DNS par le filtrage local du Système Cerbère. Volume approximatif : 500 à 1 000 serveurs connus. Listes de scans et exploitations # ipexdbl — Scans de ports et exploitation de vulnérabilités Liste dynamique se concentrant sur les attaques de type scan de ports et tentatives d'exploitation de vulnérabilités web. Volume approximatif : 5 000 à 10 000 adresses IP. Article rédigé par 3WCONSEILS — Système Cerbère — Cybersécurité pour les entreprises locales. Les volumes indiqués sont approximatifs et évoluent quotidiennement en fonction des mises à jour des sources.
Le module «banIP», intégré au cœur du Système Cerbère, est un système de filtrage avancé qui bloque automatiquement ces adresses dangereuses avant même qu'elles n'atteignent vos ordinateurs. Il fonctionne en permanence, se met à jour tout seul, et peut être entièrement configuré par l'utilisateur final grâce à une interface graphique simple accessible depuis un navigateur web.
Le module «banIP», intégré au cœur du Système Cerbère, est un système de filtrage avancé qui bloque automatiquement ces adresses dangereuses avant même qu'elles n'atteignent vos ordinateurs. Il fonctionne en permanence, se met à jour tout seul, et peut être entièrement configuré par l'utilisateur final grâce à une interface graphique simple accessible depuis un navigateur web.
Le module «banIP», intégré au cœur du Système Cerbère, est un système de filtrage avancé qui bloque automatiquement ces adresses dangereuses avant même qu'elles n'atteignent vos ordinateurs. Il fonctionne en permanence, se met à jour tout seul, et peut être entièrement configuré par l'utilisateur final grâce à une interface graphique simple accessible depuis un navigateur web.
Le module «banIP», intégré au cœur du Système Cerbère, est un système de filtrage avancé qui bloque automatiquement ces adresses dangereuses avant même qu'elles n'atteignent vos ordinateurs. Il fonctionne en permanence, se met à jour tout seul, et peut être entièrement configuré par l'utilisateur final grâce à une interface graphique simple accessible depuis un navigateur web.

banIP , Le bouclier du Système Cerbère contre les adresses IP dangereuses

Votre réseau est ouvert à 4 milliards d’adresses. banIP décide lesquelles ont le droit d’entrer. Chaque seconde, votre connexion internet reçoit des tentatives de contact provenant d’adresses IP du monde entier. La plupart sont inoffensives. D’autres appartiennent à des machines contrôlées par des cybercriminels, des robots qui scannent les réseaux à la recherche de failles, ou des serveurs infectés par des logiciels malveillants. Le module «banIP», intégré au cœur du Système Cerbère, est un système de filtrage avancé qui bloque automatiquement ces adresses dangereuses avant même qu’elles n’atteignent vos ordinateurs. Il fonctionne en permanence, se met à jour tout seul, et peut être entièrement configuré par l’utilisateur final grâce à une interface graphique simple accessible depuis un navigateur web.

Que fait banIP concrètement ?

Pour le dire simplement : banIP prend des listes d’adresses IP connues comme dangereuses et les bloque automatiquement au niveau du réseau. Aucune de ces adresses ne peut communiquer avec vos machines, ni en entrée (quelqu’un qui tente de vous atteindre), ni en sortie (un logiciel malveillant sur votre réseau qui tenterait de « téléphoner » à son serveur de commande).

Ce blocage s’effectue à trois niveaux distincts

En entrée vers votre routeur : Il bloque les tentatives d’accès direct à votre équipement réseau, par exemple, un pirate qui tente de se connecter à distance. En entrée vers vos appareils : Il bloque les connexions venant d’internet qui ciblent vos ordinateurs, imprimantes, caméras ou tout appareil connecté à votre réseau local. En sortie depuis vos appareils : Il empêche vos machines de contacter des serveurs dangereux, ce qui est essentiel si un logiciel malveillant a réussi à s’installer et tente de communiquer avec son « centre de commande ».

Le blocage géographique : la première ligne de défense

Le Système Cerbère utilise banIP pour bloquer des pays entiers. Sur les 4 milliards d’adresses IP existantes dans le monde, seules environ 315 millions sont autorisées à communiquer avec votre réseau. Les 90 % restants, qui n’ont aucune raison légitime de contacter votre entreprise, sont bloqués à la porte. Ce n’est pas de la paranoïa. Les statistiques montrent que la grande majorité des attaques informatiques contre les entreprises françaises proviennent de zones géographiques très identifiées. En bloquant ces zones, on élimine d’emblée l’immense majorité des tentatives d’intrusion, sans aucun impact sur votre activité quotidienne.

Le blocage par 30 listes noires spécialisées : un filet de sécurité à mailles très serrées

Au-delà du blocage géographique, banIP s’appuie sur une trentaine de listes noires maintenues par des organisations reconnues en cybersécurité, universités, centres de recherche, entreprises spécialisées, communautés d’experts. Ces listes sont mises à jour automatiquement, gratuitement et en continu.

Chaque liste a une spécialité

Certaines identifient les serveurs qui lancent des attaques par force brute (des milliers de tentatives de mots de passe par minute). D’autres repèrent les machines infectées par des logiciels malveillants (botnets) qui servent de relais aux cybercriminels. D’autres encore ciblent spécifiquement les réseaux utilisés pour le phishing bancaire (faux sites de banques). Certaines bloquent les adresses IP qui ne devraient tout simplement pas exister sur internet (adresses « bogon », utilisées pour de l’usurpation d’identité réseau). Le détail complet des 30 listes utilisées par le Système Cerbère est disponible en bas de cette page.

La protection contre les attaques par saturation (DoS)

banIP ne se contente pas de filtrer les adresses IP. Il protège également votre réseau contre les attaques par saturation, dites « déni de service », qui visent à noyer votre connexion sous un flot de requêtes inutiles jusqu’à la rendre inutilisable. Trois types d’attaques sont détectés et bloqués automatiquement : Attaques SYN Flood : des milliers de demandes de connexion simultanées qui visent à épuiser les ressources de votre routeur. banIP détecte ce comportement anormal et bloque les paquets excédentaires au-delà d’un seuil configurable. Attaques UDP Flood : même principe, mais avec un autre protocole de communication. Particulièrement utilisé pour saturer les connexions des petites structures. Attaques ICMP Flood : envoi massif de « pings » pour ralentir ou bloquer votre réseau. banIP les détecte et les stoppe. Pour chaque type d’attaque, un seuil de tolérance est défini. En dessous, le trafic passe normalement. Au-dessus, les paquets suspects sont automatiquement rejetés.

La surveillance en temps réel des tentatives de connexion

Comme les logiciels professionnels fail2ban ou CrowdSec, banIP surveille en permanence les journaux d’activité de votre réseau. Si une adresse IP tente de se connecter avec un mauvais mot de passe, que ce soit sur l’interface d’administration de votre routeur, via une connexion SSH, ou sur tout autre service protégé, elle est automatiquement ajoutée à la liste noire locale. Cette fonctionnalité est personnalisable : vous pouvez définir au bout de combien de tentatives échouées une adresse est bloquée, et pendant combien de temps elle le reste.

Les services surveillés par défaut

Les tentatives de connexion SSH (accès à distance sécurisé) Les tentatives de connexion à l’interface d’administration LuCI Les tentatives de connexion au serveur web (nginx) Les tentatives de connexion au système téléphonique (Asterisk, pour les entreprises utilisant la VoIP) Vous pouvez ajouter d’autres services à surveiller en définissant simplement les termes à rechercher dans les journaux.

Une liste blanche et une liste noire personnalisables

banIP gère deux listes locales que vous pouvez modifier à tout moment : La liste blanche (allowlist) : les adresses IP, les plages d’adresses ou les noms de domaine qui ne doivent jamais être bloqués, quoi qu’il arrive. Par exemple, l’adresse de votre fournisseur de logiciel métier, ou celle de votre expert-comptable. La liste noire locale (blocklist) : les adresses que vous souhaitez bloquer vous-même, en plus de celles déjà présentes dans les listes noires automatiques. Utile si vous constatez des comportements suspects venant d’une adresse précise. Ces listes acceptent des adresses IP individuelles, des plages d’adresses complètes (en notation CIDR), des adresses MAC (l’identifiant unique de chaque appareil réseau), et même des noms de domaine, banIP se charge de retrouver les adresses IP correspondantes.

Le mode « liste blanche uniquement » : la sécurité maximale

Pour les environnements les plus sensibles, banIP propose un mode radical : au lieu de bloquer les adresses dangereuses, il bloque tout ce qui n’est pas explicitement autorisé. Seules les adresses IP présentes dans votre liste blanche peuvent communiquer avec votre réseau. Ce mode est particulièrement adapté aux postes de travail qui n’ont besoin d’accéder qu’à un nombre limité de services en ligne, par exemple, uniquement la messagerie, le logiciel de comptabilité et le site de la banque.

La protection BCP38 contre l’usurpation d’adresses

banIP implémente la norme BCP38, une recommandation internationale de sécurité réseau. Son principe : rejeter tout paquet dont l’adresse source n’est pas cohérente avec l’interface par laquelle il arrive. En termes simples, si une connexion prétend venir d’un réseau local alors qu’elle arrive depuis internet, elle est immédiatement bloquée. Cette technique empêche une forme d’attaque appelée « spoofing », où un attaquant se fait passer pour une adresse de confiance.

BANIP se pilote depuis une interface graphique

L’ensemble de ces fonctionnalités est accessible depuis l’interface graphique LuCI, que vous ouvrez simplement dans votre navigateur web en tapant l’adresse de votre routeur Cerbère.

L’interface est organisée en onglets clairs

Paramètres généraux : activer/désactiver le service, configurer la détection automatique du réseau, choisir le mode de blocage (silencieux ou avec notification). Sélection des listes : cocher ou décocher les listes noires que vous souhaitez activer. Vous pouvez aussi choisir les pays à bloquer dans le filtre géographique. Paramètres des listes : pour chaque liste, vous pouvez décider si elle bloque le trafic entrant, sortant, ou les deux. Vous pouvez aussi limiter le blocage à certains protocoles ou ports. Paramètres du journal : configurer la surveillance des tentatives de connexion échouées, ajuster les seuils de détection, ajouter des services à surveiller. Rapports : consulter les statistiques de blocage en temps réel, combien de paquets bloqués, par quelle liste, depuis quelles adresses. Un bouton « Actualiser » affiche les données les plus récentes. Recherche : saisir n’importe quelle adresse IP pour savoir instantanément si elle est bloquée et par quelle liste. Éditeur de listes personnalisées : modifier vos listes blanches et noires locales, ou même créer de nouvelles sources de blocage personnalisées. Carte géographique : une carte interactive qui montre en vert la localisation de votre connexion et en rouge celle des attaquants détectés.

Les fonctionnalités avancées

banIP offre également des fonctionnalités destinées aux utilisateurs plus expérimentés ou aux configurations réseau complexes : Blocage par numéro ASN : permet de bloquer non pas un pays entier, mais un fournisseur d’accès ou un hébergeur spécifique identifié par son numéro de système autonome. Blocage par registre régional (RIR) : possibilité de bloquer l’ensemble des pays rattachés à un registre internet régional, par exemple, tous les pays de la zone APNIC (Asie-Pacifique). Liaison MAC/IP : possibilité d’associer une adresse physique d’appareil (MAC) à une adresse IP spécifique, pour renforcer la sécurité de vos attributions réseau. Blocage de DNS et DoH tiers : empêche vos appareils de contourner le filtrage DNS d’AdGuard Home en utilisant des serveurs DNS publics ou des serveurs DNS chiffrés (DoH). Cette fonctionnalité est essentielle pour garantir que tout le trafic DNS passe bien par le filtrage du Système Cerbère. Gestion des VLAN : possibilité d’autoriser ou de bloquer le trafic entre différents réseaux virtuels au sein de votre entreprise. Notifications par e-mail : réception d’un rapport automatique par e-mail à chaque mise à jour des listes ou en cas d’événement de sécurité. Interface de journalisation à distance : les autres équipements de votre réseau peuvent envoyer des événements de sécurité à banIP pour un blocage centralisé. Sauvegarde et restauration automatiques : toutes les listes sont sauvegardées automatiquement. En cas de problème de téléchargement lors d’une mise à jour, les dernières versions valides sont restaurées instantanément. Dédoublonnage : les adresses IP présentes dans plusieurs listes ne sont comptées qu’une seule fois, ce qui optimise les performances et la mémoire.

En résumé

banIP est le composant de défense active du Système Cerbère. Il combine le blocage géographique, le filtrage par listes noires spécialisées, la détection d’attaques par saturation, la surveillance en temps réel des tentatives d’intrusion et la protection contre l’usurpation d’adresses, le tout piloté depuis une interface graphique accessible à un non-spécialiste. C’est l’équivalent d’un vigile professionnel posté à l’entrée de votre réseau, 24 heures sur 24, qui vérifie l’identité de chaque visiteur et refuse l’accès à tous ceux qui figurent sur une liste noire, ou qui n’ont tout simplement rien à faire là.

Annexe — Les 30 listes noires du Système Cerbère

Voici le détail des listes de blocage activées dans le Système Cerbère. Chacune est spécialisée dans un type de menace et maintenue à jour automatiquement par des organismes reconnus en cybersécurité.

Listes de réputation et d’attaques actives

# becyber — Attaquants identifiés par la communauté BeCyber

Liste de réputation ciblant les attaquants actifs identifiés par la communauté BeCyber. Indispensable pour bloquer les tentatives d’intrusion furtives. Volume approximatif : 1 000 à 5 000 adresses IP.

# cinsscore — Score de réputation CI Security

Basée sur le score de réputation CI Security, elle écarte les « mauvais voisins » du web ayant un historique d’attaques répétées. Volume approximatif : 5 000 à 15 000 adresses IP.

# bruteforceblock — Attaques par force brute

Spécialisée dans l’identification des serveurs lançant des attaques par dictionnaire ou force brute, c’est-à-dire des milliers de tentatives de mots de passe par minute. Volume approximatif : 1 500 à 3 000 adresses IP.

# debl — Compilation Fail2ban mondiale

Compilation d’adresses IP bannies par des instances Fail2ban à travers le monde. Très efficace contre les robots opportunistes. Volume approximatif : 10 000 à 30 000 adresses IP.

# turris — Données de pièges à pirates (honeypots)

Données collectées par les routeurs Turris Sentinel, qui fonctionnent comme des pièges à pirates. Très efficace car elle reflète les attaques réelles observées sur des routeurs du monde entier. Volume approximatif : 5 000 à 8 000 adresses IP.

# myip — Blocage en temps réel

Analyse les menaces en temps réel pour offrir une barrière immédiate contre les nouveaux attaquants détectés sur le réseau. Volume approximatif : 5 000 à 10 000 adresses IP.

# greensnow — Surveillance des ports sensibles

Une liste « vivante » qui surveille en permanence les serveurs tentant de se connecter à des ports sensibles de manière suspecte. Très réactive face aux nouvelles menaces. Volume approximatif : 1 000 à 3 000 adresses IP.

Listes de logiciels malveillants et botnets

# binarydefense — Serveurs de commande de logiciels malveillants

Fournie par Binary Defense, elle contient des adresses IP de serveurs de commande et de contrôle (C2) de malwares connus. Protection proactive contre l’exfiltration de données. Volume approximatif : 1 500 à 4 000 adresses IP.

# feodo — Botnets bancaires (Emotet, Dridex)

Cible spécifiquement les réseaux de robots bancaires, les plus dangereux car ils visent directement vos accès aux banques en ligne. Cruciale pour protéger vos accès aux banques françaises. Volume approximatif : 500 à 800 adresses IP.

# etcompromised — Serveurs légitimes infectés

Liste d’Emerging Threats répertoriant les serveurs légitimes infectés par des logiciels malveillants. Évite que vos machines ne communiquent avec des sites compromis à leur insu. Volume approximatif : 1 000 à 2 000 adresses IP.

# ipthreat — Infrastructures de botnets

Se concentre sur les infrastructures utilisées par les pirates pour piloter des réseaux de robots (botnets) à distance. Volume approximatif : 5 000 à 12 000 adresses IP.

# urlhaus — Hébergeurs de fichiers malveillants

Identifie les adresses IP hébergeant des exécutables malveillants (virus, ransomwares, chevaux de Troie). Indispensable dans toute configuration de sécurité réseau. Volume approximatif : 5 000 à 8 000 adresses IP.

Listes de compilations multi-sources

# firehol1, firehol2, firehol3, firehol4 — Compilations progressives

Niveaux de filtrage progressifs compilés par le projet FireHOL. La firehol3 est le meilleur compromis entre sécurité et confort d’utilisation. Les niveaux 1 et 2 sont plus agressifs et peuvent occasionner des blocages de sites légitimes. Volume approximatif : de 15 000 (niveau 3) à plus de 500 000 adresses IP (niveau 1).

# ipsum — Triple confirmation

Une liste agrégée qui n’inclut que les adresses IP apparaissant dans au moins trois sources de menaces différentes. Très peu de faux positifs, si une adresse figure ici, elle est dangereuse. Volume approximatif : 15 000 à 25 000 adresses IP.

# ipblackhole — Consolidation multi-sources

Regroupe des adresses IP identifiées comme dangereuses par plusieurs sources de confiance indépendantes. Un filet de sécurité supplémentaire. Volume approximatif : 2 000 à 4 000 adresses IP.

# threatview — Vision large des menaces

Fournit une vision étendue des menaces : logiciels malveillants, phishing et serveurs de commande. Très complémentaire aux listes FireHOL. Volume approximatif : 50 000 à 100 000 adresses IP.

# drop — Compilation Spamhaus « Don’t Route Or Peer »

Liste de Spamhaus regroupant des réseaux entiers contrôlés par des cybercriminels. Blocage très sûr avec très peu de faux positifs, c’est l’une des listes les plus fiables au monde. Volume approximatif : 800 à 1 200 réseaux.

# dshield — Top 20 SANS Internet Storm Center

Les sous-réseaux les plus suspects détectés par le centre d’analyse SANS. Une défense historique et robuste, maintenue depuis plus de vingt ans. Volume approximatif : 20 à 50 réseaux critiques.

Listes de blocage géographique et réseau

# country — Blocage géographique par pays

Le pilier de la stratégie Cerbère : permet de bloquer des zones géographiques entières pour réduire radicalement la surface d’attaque. Volume approximatif : plusieurs millions d’adresses IP (selon les pays sélectionnés).

# bogon — Adresses IP « fantômes »

Bloque les adresses IP qui ne devraient pas exister sur l’Internet public (non allouées par les organismes officiels). Empêche l’usurpation d’identité réseau (spoofing). Volume approximatif : environ 3 500 préfixes réseau.

Listes de spam et messagerie

# backscatterer — Serveurs de messagerie mal configurés

Bloque les serveurs de messagerie mal configurés qui envoient des notifications de non-distribution (NDR) à des victimes de spam. Utile si vous gérez un serveur mail. Volume approximatif : 50 000 à 100 000 adresses IP.

# uceprotect1, uceprotect2, uceprotect3 — Protection anti-spam à trois niveaux

Niveaux de protection progressifs contre le spam. Le niveau 1 bloque les adresses IP individuelles identifiées comme sources de spam. Le niveau 2 bloque les sous-réseaux. Le niveau 3 bloque des fournisseurs entiers. Volume approximatif : très variable, jusqu’à plusieurs millions d’adresses au niveau 3.

Listes de blocage sortant et anonymisation

# hagezi — Blocage sortant (télémétrie, publicités, phishing)

Excellente liste de sortie pour empêcher vos appareils de contacter des serveurs de télémétrie (collecte de données), de publicités intrusives ou de phishing. Volume approximatif : 20 000 à 50 000 adresses IP.

# proxy / vpn / vpndc — Services d’anonymisation

Bloque les accès via des proxies, des VPN anonymes ou des datacenters utilisés pour masquer l’origine réelle d’une connexion. Utile pour empêcher des attaquants de dissimuler leur identité. Volume approximatif : 100 000 à 300 000 adresses IP.

# tor — Nœuds de sortie du réseau Tor

Bloque les nœuds de sortie du réseau d’anonymisation Tor. Empêche les utilisateurs anonymes d’accéder à votre réseau. Volume approximatif : 1 500 à 2 500 adresses IP.

# dns / doh — Serveurs DNS et DoH publics

Empêche vos appareils de contourner le filtrage DNS d’AdGuard Home en utilisant des serveurs DNS tiers ou chiffrés. Force le passage de tout le trafic DNS par le filtrage local du Système Cerbère. Volume approximatif : 500 à 1 000 serveurs connus.

Listes de scans et exploitations

# ipexdbl — Scans de ports et exploitation de vulnérabilités

Liste dynamique se concentrant sur les attaques de type scan de ports et tentatives d’exploitation de vulnérabilités web. Volume approximatif : 5 000 à 10 000 adresses IP.
Article rédigé par 3WCONSEILS — Système Cerbère — Cybersécurité pour les entreprises locales. Les volumes indiqués sont approximatifs et évoluent quotidiennement en fonction des mises à jour des sources.

Je souhaite m'abonner à la newsletter de 3wconseils

Je pourrais me désabonner a tout moment via la newsletter