RE: [FRnOG] [TECH] Attaque SIP et SIPS

[Michel Py]

> Duchet Rémy a écrit :
> Dans tous les cas, un grand merci à Michel qui n'a pas hésité.

C'est moi qui te remercie, c'est les gens comme toi qui font le feed.


> Evidement il est encore tôt pour juger de l'efficacité,

Qu'est-ce que çà donne les stats uRPF après quelques jours ?
(J'ai complètement corrompu Rémy : il a mis uRPF aussi :P )

> mais il est maintenant possible d'envisager d'agrandir cette "communauté" 
> d'IP malveillante.

Dans un autre style (blocage de l'IP de destination), il y a aussi UTRS :
https://team-cymru.com/community-services/utrs/

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Attaque SIP et SIPS

[Michel Py]

> David Ponzone a écrit :
> Rémy, Je reçois le feed de Michel, j’ai un moyen de reconnaitre les IP
> qui viennent de chez toi ? Un AS privé particulier ? Une community ?

Oui, en plus de 65532:666 les préfixes de Rémy ont aussi 65129:666
Dans les 8000 aujourd'hui, en plus des miens.

Pour l'instant j'annonce mes préfixes à Rémy avec no-export, mais s'il y a 
quelqu'un qui s'appaire avec lui et qui veut mon feed au passage, aucun 
problème pour changer la route-map.

Michel.


> Le 5 mai 2020 à 16:21, Duchet Rémy  a écrit :
> Nous avons donc mis en place, avec Michel, l'échange des IP via BGP, il y a 
> maintenant plusieurs jours.
> Tout ce passe très bien,  aucun dégât. Michel nous annonce ses  routes RTBH, 
> et nous avons la même chose dans l'autre sens.
> Evidement il est encore tôt pour juger de l'efficacité, mais il est 
> maintenant possible d'envisager d'agrandir cette "communauté" d'IP 
> malveillante.  
> S'il y a des volontaires pour tenter "l'expérience", il est possible 
> d'ajouter 1 session BGP (ou 2 pour la redondance) sur nos équipements (ou 
> simplement d'en discuter en OFF).
> Dans tous les cas, un grand merci à Michel qui n'a pas hésité.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Attaque SIP et SIPS

[David Ponzone]

Rémy,

Je reçois le feed de Michel, j’ai un moyen de reconnaitre les IP qui viennent 
de chez toi ?
Un AS privé particulier ? Une community ?

> Le 5 mai 2020 à 16:21, Duchet Rémy  a écrit :
> 
> Salut la liste,
> 
> Nous avons donc mis en place, avec Michel, l'échange des IP via BGP, il y a 
> maintenant plusieurs jours.
> Tout ce passe très bien,  aucun dégât. Michel nous annonce ses  routes RTBH, 
> et nous avons la même chose dans l'autre sens.
> Evidement il est encore tôt pour juger de l'efficacité, mais il est 
> maintenant possible d'envisager d'agrandir cette "communauté" d'IP 
> malveillante.  
> S'il y a des volontaires pour tenter "l'expérience", il est possible 
> d'ajouter 1 session BGP (ou 2 pour la redondance) sur nos équipements (ou 
> simplement d'en discuter en OFF).
> Dans tous les cas, un grand merci à Michel qui n'a pas hésité.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Attaque SIP et SIPS

[Duchet Rémy]

Salut la liste,

Nous avons donc mis en place, avec Michel, l'échange des IP via BGP, il y a 
maintenant plusieurs jours.
Tout ce passe très bien,  aucun dégât. Michel nous annonce ses  routes RTBH, et 
nous avons la même chose dans l'autre sens.
Evidement il est encore tôt pour juger de l'efficacité, mais il est maintenant 
possible d'envisager d'agrandir cette "communauté" d'IP malveillante.  
S'il y a des volontaires pour tenter "l'expérience", il est possible d'ajouter 
1 session BGP (ou 2 pour la redondance) sur nos équipements (ou simplement d'en 
discuter en OFF).
Dans tous les cas, un grand merci à Michel qui n'a pas hésité.

Rémy 

-Original Message-
From: Duchet Rémy 
Sent: jeudi, 16 avril 2020 10:14
To: 'Michel Py' ; frnog@frnog.org
Subject: RE: [FRnOG] [TECH] Attaque SIP et SIPS

Pas de soucis pour redistribuer les IP. Ce ne sont que des /32 (IPv4) /128 
(IPv6). Environ 54 000 IP se sont fait "flashé" sur les derniers 15 jours. Seul 
9 500 IPv4 et 650 IPv6 (environ) sont vraiment bannis à un instant T.
Pour la communauté, je peux mettre ce que tu souhaites, pas de soucis.
Je te réponds en OFF pour la suite. 
Pour les autres,  si ça intérésse, pas de soucis pour monter une session BGP 
sur nos RS.  
J'ajoute qu'on surveille autant des Honeypot que des "vrais" services en prod. 
Pas seulement du http/https, mais aussi du SIP/SMTP/Pop3/Imap4/Rdp/SMB/VNC etc.
On a un seuil de sensibilité différent en fonction des services et on tracke 
les tentatives sur des longues périodes. 
Bref, on a un outil fait "in-housse" pas mal flexible qui s'adapte à tous les 
services.

Rémy
-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Michel Py
Sent: mercredi, 15 avril 2020 20:00
To: Duchet Rémy ; frnog@frnog.org
Subject: RE: [FRnOG] [TECH] Attaque SIP et SIPS

> Rémy Duchet a écrit :
> Comme nous avons des sondes sur plein de services différents, la 
> "liste" évolue sans arrêt. Du coup, je ne me vois pas faire un fichier (je 
> l'aurais fait avec Git) et des milliers de commits par jour.
> Donc, je veux bien les annoncer via BGP, ça me semble plus simple et 
> utilisable comme cela.

C'est la manière propre de faire çà. Je te contacte en privé pour les détails 
BGP. Est-ce que tu m'autorises à redistribuer tes préfixes ?


>> Daniel a écrit :
>> Le fichier n'a pas besoin d'être à jour à la minute prêt d'autant que 
>> l'on va retrouver en grande partie les mêmes adresses. Une mise à jour 
>> hebdomadaire voire bi-mensuelle me parait suffisante.

Je ne suis pas d'accord, la vitesse de réaction est primordiale. Si j'ai le 
feed BGP de Rémy, une seconde après que le bachibouzouk l'attaque c'est dans 
mon trou noir aussi, donc viendu le l'attends déjà.

> Rémy Duchet :
> En fait, si. Je suis convaincu que plus de 60%  des attaques ne viennent 
> jamais des même IP.
> Cette IP qui attaque maintenant, ne l'est plus dans 1h (voir avant, 
> dès qu'elle a été détecté / bannis). Dans notre automatisation, nous 
> avons justement prévu le cas des attaques d'IP dynamique, pour ne pas 
> pénaliser la personne qui va hériter d'une IP qui a été bannis.

Je plussoie. J'ai vu dans bien des cas que le PC contaminé par un merdiciel va 
être rebooté, et la machinbox aussi, parce que Claude Michu se rend compte que 
quelque chose ne tourne pas rond. Des fois, l'adresse de la machinbox change, 
et c'est pas glop pour celui qui en hérite si c'est banni pour l'éternité.

Ton système, c'est 100 fois mieux que les sources en fichier texte dont je me 
sers. 

> Je pense qu'il faudrait faire quelque chose de plus centralisé, avec 
> de la redondance, et la capacité d'accueillir du monde.

Cà m'avais traversé l'esprit aussi.

> J'avais déjà vu ce que tu avais fait, et ça me semble déjà énorme 
> comme job. Qu'est-ce que tu as envisagé comme amélioration future, hormis des 
> listes supplémentaires ?

Il y a 2 améliorations que je voulais faire avant de piquer le code de Jeremy, 
c'est :

1. Une communauté spécifique par liste, en plus de 65532:666. Ca permettrait à 
ceux qui prennent le feed de mettre un deny dans leur route-map pour ignorer 
les listes dont ils ne veulent pas.

2. Un fetch intelligent : au lieu faire un wget toutes les x minutes, lire 
uniquement l'en-tête du fichier et ne faire que wget que si il a changer. Cà 
permettrait d'augmenter la fréquence et d'économiser de la bande passante.

Michel.
 

---
Liste de diffusion du FRnOG
http://www.frnog.org/


smime.p7s
Description: S/MIME cryptographic signature

RE: [FRnOG] [TECH] Attaque SIP et SIPS

[Duchet Rémy]

Pas de soucis pour redistribuer les IP. Ce ne sont que des /32 (IPv4) /128 
(IPv6). Environ 54 000 IP se sont fait "flashé" sur les derniers 15 jours. Seul 
9 500 IPv4 et 650 IPv6 (environ) sont vraiment bannis à un instant T.
Pour la communauté, je peux mettre ce que tu souhaites, pas de soucis.
Je te réponds en OFF pour la suite.
Pour les autres,  si ça intérésse, pas de soucis pour monter une session BGP 
sur nos RS.
J'ajoute qu'on surveille autant des Honeypot que des "vrais" services en prod.
Pas seulement du http/https, mais aussi du SIP/SMTP/Pop3/Imap4/Rdp/SMB/VNC etc.
On a un seuil de sensibilité différent en fonction des services et on tracke 
les tentatives sur des longues périodes.
Bref, on a un outil fait "in-housse" pas mal flexible qui s'adapte à tous les 
services.

Rémy
-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Michel Py
Sent: mercredi, 15 avril 2020 20:00
To: Duchet Rémy ; frnog@frnog.org
Subject: RE: [FRnOG] [TECH] Attaque SIP et SIPS

> Rémy Duchet a écrit :
> Comme nous avons des sondes sur plein de services différents, la
> "liste" évolue sans arrêt. Du coup, je ne me vois pas faire un fichier (je 
> l'aurais fait avec Git) et des milliers de commits par jour.
> Donc, je veux bien les annoncer via BGP, ça me semble plus simple et 
> utilisable comme cela.

C'est la manière propre de faire çà. Je te contacte en privé pour les détails 
BGP. Est-ce que tu m'autorises à redistribuer tes préfixes ?


>> Daniel a écrit :
>> Le fichier n'a pas besoin d'être à jour à la minute prêt d'autant que
>> l'on va retrouver en grande partie les mêmes adresses. Une mise à jour 
>> hebdomadaire voire bi-mensuelle me parait suffisante.

Je ne suis pas d'accord, la vitesse de réaction est primordiale. Si j'ai le 
feed BGP de Rémy, une seconde après que le bachibouzouk l'attaque c'est dans 
mon trou noir aussi, donc viendu le l'attends déjà.

> Rémy Duchet :
> En fait, si. Je suis convaincu que plus de 60%  des attaques ne viennent 
> jamais des même IP.
> Cette IP qui attaque maintenant, ne l'est plus dans 1h (voir avant,
> dès qu'elle a été détecté / bannis). Dans notre automatisation, nous
> avons justement prévu le cas des attaques d'IP dynamique, pour ne pas 
> pénaliser la personne qui va hériter d'une IP qui a été bannis.

Je plussoie. J'ai vu dans bien des cas que le PC contaminé par un merdiciel va 
être rebooté, et la machinbox aussi, parce que Claude Michu se rend compte que 
quelque chose ne tourne pas rond. Des fois, l'adresse de la machinbox change, 
et c'est pas glop pour celui qui en hérite si c'est banni pour l'éternité.

Ton système, c'est 100 fois mieux que les sources en fichier texte dont je me 
sers.

> Je pense qu'il faudrait faire quelque chose de plus centralisé, avec
> de la redondance, et la capacité d'accueillir du monde.

Cà m'avais traversé l'esprit aussi.

> J'avais déjà vu ce que tu avais fait, et ça me semble déjà énorme
> comme job. Qu'est-ce que tu as envisagé comme amélioration future, hormis des 
> listes supplémentaires ?

Il y a 2 améliorations que je voulais faire avant de piquer le code de Jeremy, 
c'est :

1. Une communauté spécifique par liste, en plus de 65532:666. Ca permettrait à 
ceux qui prennent le feed de mettre un deny dans leur route-map pour ignorer 
les listes dont ils ne veulent pas.

2. Un fetch intelligent : au lieu faire un wget toutes les x minutes, lire 
uniquement l'en-tête du fichier et ne faire que wget que si il a changer. Cà 
permettrait d'augmenter la fréquence et d'économiser de la bande passante.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Attaque SIP et SIPS

[Jean Cérien]

>
> Juste en passant... un sbc (ou un firewall) qui filtre les paquets avec
> quelques user agent bien pourris (genre "friendly-scanner", "User-Agent: Z
> 3.14", etc...), toujours les même, et 99% des robots restent dehors.
> Fail2ban ensuite n'a plus qu'à filtrer les rares script kiddies qui
> changent les UA.
>

Cdlt
J.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Attaque SIP et SIPS

[Michel Py]

> Rémy Duchet a écrit :
> Comme nous avons des sondes sur plein de services différents, la "liste" 
> évolue sans arrêt. Du coup,
> je ne me vois pas faire un fichier (je l'aurais fait avec Git) et des 
> milliers de commits par jour.
> Donc, je veux bien les annoncer via BGP, ça me semble plus simple et 
> utilisable comme cela.

C'est la manière propre de faire çà. Je te contacte en privé pour les détails 
BGP. Est-ce que tu m'autorises à redistribuer tes préfixes ?


>> Daniel a écrit :
>> Le fichier n'a pas besoin d'être à jour à la minute prêt d'autant que l'on 
>> va retrouver en grande
>> partie les mêmes adresses. Une mise à jour hebdomadaire voire bi-mensuelle 
>> me parait suffisante.

Je ne suis pas d'accord, la vitesse de réaction est primordiale. Si j'ai le 
feed BGP de Rémy, une seconde après que le bachibouzouk l'attaque c'est dans 
mon trou noir aussi, donc viendu le l'attends déjà.

> Rémy Duchet :
> En fait, si. Je suis convaincu que plus de 60%  des attaques ne viennent 
> jamais des même IP.
> Cette IP qui attaque maintenant, ne l'est plus dans 1h (voir avant, dès 
> qu'elle a été détecté
> / bannis). Dans notre automatisation, nous avons justement prévu le cas des 
> attaques d'IP
> dynamique, pour ne pas pénaliser la personne qui va hériter d'une IP qui a 
> été bannis.

Je plussoie. J'ai vu dans bien des cas que le PC contaminé par un merdiciel va 
être rebooté, et la machinbox aussi, parce que Claude Michu se rend compte que 
quelque chose ne tourne pas rond. Des fois, l'adresse de la machinbox change, 
et c'est pas glop pour celui qui en hérite si c'est banni pour l'éternité.

Ton système, c'est 100 fois mieux que les sources en fichier texte dont je me 
sers. 

> Je pense qu'il faudrait faire quelque chose de plus centralisé,
> avec de la redondance, et la capacité d'accueillir du monde.

Cà m'avais traversé l'esprit aussi.

> J'avais déjà vu ce que tu avais fait, et ça me semble déjà énorme comme job. 
> Qu'est-ce
> que tu as envisagé comme amélioration future, hormis des listes 
> supplémentaires ?

Il y a 2 améliorations que je voulais faire avant de piquer le code de Jeremy, 
c'est :

1. Une communauté spécifique par liste, en plus de 65532:666. Ca permettrait à 
ceux qui prennent le feed de mettre un deny dans leur route-map pour ignorer 
les listes dont ils ne veulent pas.

2. Un fetch intelligent : au lieu faire un wget toutes les x minutes, lire 
uniquement l'en-tête du fichier et ne faire que wget que si il a changer. Cà 
permettrait d'augmenter la fréquence et d'économiser de la bande passante.

Michel.
 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Attaque SIP et SIPS

[Duchet Rémy]

En fait, si. Je suis convaincu que plus de 60%  des attaques ne viennent jamais 
des même IP. 
Cette IP qui attaque maintenant, ne l'est plus dans 1h (voir avant, dès qu'elle 
a été détecté / bannis).
Dans notre automatisation, nous avons justement prévu le cas des attaques d'IP 
dynamique, pour ne pas pénaliser la personne qui va hériter d'une IP qui a été 
bannis.

Rémy 

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Daniel via 
frnog
Sent: mercredi, 15 avril 2020 09:01
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] Attaque SIP et SIPS

Le fichier n'a pas besoin d'être à jour à la minute prêt d'autant que l'on va 
retrouver en grande partie les mêmes adresses. Une mise à jour hebdomadaire 
voire bi-mensuelle me parait suffisante.

Le 15/04/2020 à 08:52, Duchet Rémy a écrit :
> Pour l'instant, je ne partage rien, car la liste évolue plusieurs fois par 
> minute.
> Je ne conserve pas les IP, sauf ceux qui ont une tendance à "insister".
> Comme nous avons des sondes sur plein de services différents, la "liste" 
> évolue sans arrêt.
> Du coup, je ne me vois pas faire un fichier (je l'aurais fait avec Git) et 
> des milliers de commits par jour.
> Donc, je veux bien les annoncer via BGP, ça me semble plus simple et 
> utilisable comme cela.
>
> Rémy
>
> -Original Message-
> From: frnog-requ...@frnog.org  On Behalf Of 
> Daniel via frnog
> Sent: lundi, 13 avril 2020 12:37
> To: frnog@frnog.org
> Subject: Re: [FRnOG] [TECH] Attaque SIP et SIPS
>
> Voici le mien
>
> https://tdrive.tootai.net/s/agWxa4wXXTGR4Py
>
> Le 12/04/2020 à 22:10, Richard Klein a écrit :
>> Voici mon fichier depuis un synology qui est une simple liste d'IPs 
>> (ban
>> permanent):
>> https://drive.google.com/file/d/1FYgmjMX0BxCOD0Ri5YEW-qDRRfUKNTlo/vie
>> w ?usp=sharing Il faudrait ajouter une colonne avec la date du 
>> dernier BAN et après un "timeout" de 7 jours suppression de la liste 
>> .
>> Une troisieme colonne pour le nombre de signalement sur 7 jours .
>> Libre a chacun de définir si il y a eu un seul signalement de prendre 
>> en compte cette IP par rapport a une IP qui a 200 signalements .
>> Une bonne mutualisation permet d'etre réactif et pro actif plutot que 
>> d'attendre son tour pour se faire scanner /attaquer ...
>>
>> Richard
>>
>>
>> Le dim. 12 avr. 2020 à 21:58, Hugues Voiturier 
>>  a écrit :
>>
>>>> Tu veux t'appairer ? en ce moment j'en ai environ 38,000.
>>> J’imagine qu’avec une telle quantité, tu n’as aucun délai de 
>>> suppression de ta liste.
>>>
>>> C’est assez dommageable pour nous autres opérateurs, par exemple, 
>>> j’ai régulièrement des clients qui se font trouer leur 
>>> VM/Firewall/Routeur, et j’aimerais bien éviter un bannissement à vie 
>>> d’une IP pour un “abuse” qui dure rarement plus d’une semaine.
>>> Alors, certes, il y’a peu de chances que mes clients parlent aux 
>>> tiens, néanmoins, si tout le monde commence à se partager ses 
>>> blacklists, ça risque de devenir un vrai problème.
>>>
>>>
>>>
>>> Hugues
>>> AS57199 - AS50628
>>>
>>>> On 12 Apr 2020, at 21:52, Michel Py 
>>>> 
>>> wrote:
>>>> Je passe cà dans [TECH]
>>>>
>>>>> Duchet Rémy
>>>>> On a 9500 ip en ipv4 et 650 en ipv6. Toutes bannies, et annoncé en 
>>>>> bgp
>>>> Tu veux t'appairer ? en ce moment j'en ai environ 38,000.
>>>>
>>>>
>>>>> Richard Klein a écrit :
>>>>> J’avoue qu’avoir les fail2ban de tout le monde qui alimentent un 
>>>>> exabgp qui nous feed les IP à null-router, ça serait sympa.
>>>> Cà fait longtemps que j'ai fait le mien, çà serait encore mieux si
>>> j'avais plus de sources.
>>>> Michel.
>>>>
>>>>
>>>> ---
>>>> Liste de diffusion du FRnOG
>>>> http://www.frnog.org/
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> --
> Daniel Huhardeaux
> +33.368460...@tootai.net  sip:8...@sip.tootai.net
> +41.445532...@swiss-itech.chtootaiNET
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Attaque SIP et SIPS

[Daniel via frnog]

Le fichier n'a pas besoin d'être à jour à la minute prêt d'autant que 
l'on va retrouver en grande partie les mêmes adresses. Une mise à jour 
hebdomadaire voire bi-mensuelle me parait suffisante.


Le 15/04/2020 à 08:52, Duchet Rémy a écrit :

Pour l'instant, je ne partage rien, car la liste évolue plusieurs fois par 
minute.
Je ne conserve pas les IP, sauf ceux qui ont une tendance à "insister".
Comme nous avons des sondes sur plein de services différents, la "liste" évolue 
sans arrêt.
Du coup, je ne me vois pas faire un fichier (je l'aurais fait avec Git) et des 
milliers de commits par jour.
Donc, je veux bien les annoncer via BGP, ça me semble plus simple et utilisable 
comme cela.

Rémy

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Daniel via 
frnog
Sent: lundi, 13 avril 2020 12:37
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] Attaque SIP et SIPS

Voici le mien

https://tdrive.tootai.net/s/agWxa4wXXTGR4Py

Le 12/04/2020 à 22:10, Richard Klein a écrit :

Voici mon fichier depuis un synology qui est une simple liste d'IPs
(ban
permanent):
https://drive.google.com/file/d/1FYgmjMX0BxCOD0Ri5YEW-qDRRfUKNTlo/view
?usp=sharing Il faudrait ajouter une colonne avec la date du dernier
BAN et après un "timeout" de 7 jours suppression de la liste .
Une troisieme colonne pour le nombre de signalement sur 7 jours .
Libre a chacun de définir si il y a eu un seul signalement de prendre
en compte cette IP par rapport a une IP qui a 200 signalements .
Une bonne mutualisation permet d'etre réactif et pro actif plutot que
d'attendre son tour pour se faire scanner /attaquer ...

Richard


Le dim. 12 avr. 2020 à 21:58, Hugues Voiturier
 a écrit :


Tu veux t'appairer ? en ce moment j'en ai environ 38,000.

J’imagine qu’avec une telle quantité, tu n’as aucun délai de
suppression de ta liste.

C’est assez dommageable pour nous autres opérateurs, par exemple,
j’ai régulièrement des clients qui se font trouer leur
VM/Firewall/Routeur, et j’aimerais bien éviter un bannissement à vie
d’une IP pour un “abuse” qui dure rarement plus d’une semaine.
Alors, certes, il y’a peu de chances que mes clients parlent aux
tiens, néanmoins, si tout le monde commence à se partager ses
blacklists, ça risque de devenir un vrai problème.



Hugues
AS57199 - AS50628


On 12 Apr 2020, at 21:52, Michel Py


wrote:

Je passe cà dans [TECH]


Duchet Rémy
On a 9500 ip en ipv4 et 650 en ipv6. Toutes bannies, et annoncé en
bgp

Tu veux t'appairer ? en ce moment j'en ai environ 38,000.



Richard Klein a écrit :
J’avoue qu’avoir les fail2ban de tout le monde qui alimentent un
exabgp qui nous feed les IP à null-router, ça serait sympa.

Cà fait longtemps que j'ai fait le mien, çà serait encore mieux si

j'avais plus de sources.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Attaque SIP et SIPS

[Duchet Rémy]

Pour l'instant, je ne partage rien, car la liste évolue plusieurs fois par 
minute.
Je ne conserve pas les IP, sauf ceux qui ont une tendance à "insister".
Comme nous avons des sondes sur plein de services différents, la "liste" évolue 
sans arrêt.
Du coup, je ne me vois pas faire un fichier (je l'aurais fait avec Git) et des 
milliers de commits par jour.
Donc, je veux bien les annoncer via BGP, ça me semble plus simple et utilisable 
comme cela.

Rémy

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Daniel via 
frnog
Sent: lundi, 13 avril 2020 12:37
To: frnog@frnog.org
Subject: Re: [FRnOG] [TECH] Attaque SIP et SIPS

Voici le mien

https://tdrive.tootai.net/s/agWxa4wXXTGR4Py

Le 12/04/2020 à 22:10, Richard Klein a écrit :
> Voici mon fichier depuis un synology qui est une simple liste d'IPs
> (ban
> permanent):
> https://drive.google.com/file/d/1FYgmjMX0BxCOD0Ri5YEW-qDRRfUKNTlo/view
> ?usp=sharing Il faudrait ajouter une colonne avec la date du dernier
> BAN et après un "timeout" de 7 jours suppression de la liste .
> Une troisieme colonne pour le nombre de signalement sur 7 jours .
> Libre a chacun de définir si il y a eu un seul signalement de prendre
> en compte cette IP par rapport a une IP qui a 200 signalements .
> Une bonne mutualisation permet d'etre réactif et pro actif plutot que
> d'attendre son tour pour se faire scanner /attaquer ...
>
> Richard
>
>
> Le dim. 12 avr. 2020 à 21:58, Hugues Voiturier
>  a écrit :
>
>>> Tu veux t'appairer ? en ce moment j'en ai environ 38,000.
>> J’imagine qu’avec une telle quantité, tu n’as aucun délai de
>> suppression de ta liste.
>>
>> C’est assez dommageable pour nous autres opérateurs, par exemple,
>> j’ai régulièrement des clients qui se font trouer leur
>> VM/Firewall/Routeur, et j’aimerais bien éviter un bannissement à vie
>> d’une IP pour un “abuse” qui dure rarement plus d’une semaine.
>> Alors, certes, il y’a peu de chances que mes clients parlent aux
>> tiens, néanmoins, si tout le monde commence à se partager ses
>> blacklists, ça risque de devenir un vrai problème.
>>
>>
>>
>> Hugues
>> AS57199 - AS50628
>>
>>> On 12 Apr 2020, at 21:52, Michel Py
>>> 
>> wrote:
>>> Je passe cà dans [TECH]
>>>
>>>> Duchet Rémy
>>>> On a 9500 ip en ipv4 et 650 en ipv6. Toutes bannies, et annoncé en
>>>> bgp
>>> Tu veux t'appairer ? en ce moment j'en ai environ 38,000.
>>>
>>>
>>>> Richard Klein a écrit :
>>>> J’avoue qu’avoir les fail2ban de tout le monde qui alimentent un
>>>> exabgp qui nous feed les IP à null-router, ça serait sympa.
>>> Cà fait longtemps que j'ai fait le mien, çà serait encore mieux si
>> j'avais plus de sources.
>>> Michel.
>>>
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Attaque SIP et SIPS

[Duchet Rémy]

Perso,  on fait du ban graduellement. Et de façon automatique.
Parce que chez nous 1 mot de passe faux ca a des conséquences sur n'importe 
quel service.



 Message d'origine 
De : Hugues Voiturier 
Date : 12/04/2020 21:59 (GMT+01:00)
À : Michel Py 
Cc : FRench Network Operators Group 
Objet : Re: [FRnOG] [TECH] Attaque SIP et SIPS

> Tu veux t'appairer ? en ce moment j'en ai environ 38,000.
J’imagine qu’avec une telle quantité, tu n’as aucun délai de suppression de ta 
liste.

C’est assez dommageable pour nous autres opérateurs, par exemple, j’ai 
régulièrement des clients qui se font trouer leur VM/Firewall/Routeur, et 
j’aimerais bien éviter un bannissement à vie d’une IP pour un “abuse” qui dure 
rarement plus d’une semaine.
Alors, certes, il y’a peu de chances que mes clients parlent aux tiens, 
néanmoins, si tout le monde commence à se partager ses blacklists, ça risque de 
devenir un vrai problème.



Hugues
AS57199 - AS50628

> On 12 Apr 2020, at 21:52, Michel Py  
> wrote:
>
> Je passe cà dans [TECH]
>
>> Duchet Rémy
>> On a 9500 ip en ipv4 et 650 en ipv6. Toutes bannies, et annoncé en bgp
>
> Tu veux t'appairer ? en ce moment j'en ai environ 38,000.
>
>
>> Richard Klein a écrit :
>> J’avoue qu’avoir les fail2ban de tout le monde qui alimentent un
>> exabgp qui nous feed les IP à null-router, ça serait sympa.
>
> Cà fait longtemps que j'ai fait le mien, çà serait encore mieux si j'avais 
> plus de sources.
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Attaque SIP et SIPS

[Michel Py]

> Richard Klein a écrit :
> En effectuant quelques recherches autour des syno je suis tombé la dessus : 
> https://www.nas-forum.com/forum/topic/63580-tuto-automatiser-blacklist-depuis-internet/

Pratiquement la même chose que je fais. Avec ton syno, tu peux faire la même 
chose que ce que je fais avec le code du CBBC. La seule différence, c'est que 
le liste que j'en fais, je l'injecte dans iBGP avec ExaBGP, et que je la 
redistribue avec eBGP.

> Il tape sur blocklist.de. Des avis sur cette liste ?

C'est une de celles que j'utilise.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Attaque SIP et SIPS

[Daniel via frnog]

Le 12/04/2020 à 22:45, Michel Py a écrit :

[...]

Richard Klein a écrit :
Il faudrait ajouter une colonne avec la date du dernier BAN et après un 
"timeout" de 7
jours suppression de la liste. Une troisieme colonne pour le nombre de 
signalement sur 7 jours.

Si tu ne fais pas çà, je n'injecterai pas ta liste dans mon feed. Peut-être (et 
probablement) que je la lirais, mais je ne la redistribuerai pas.
Une solution serait lors de l'intégration de donner 7j de dernier BAN. 
Il serait simple de retrouver le nombre de signalement sur 7 j.


--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Attaque SIP et SIPS

[Richard Klein]

En effectuant quelques recherches autour des syno je suis tombé la dessus :
https://www.nas-forum.com/forum/topic/63580-tuto-automatiser-blacklist-depuis-internet/
Il tape sur blocklist.de . Des avis
sur cette liste ?

Je test son script lorsque j'aurais 5mn

Richard


Le dim. 12 avr. 2020 à 22:47, Michel Py 
a écrit :

> > Hugues Voiturier a écrit :
> > C’est assez dommageable pour nous autres opérateurs, par exemple, j’ai
> régulièrement
> > des clients qui se font trouer leur VM/Firewall/Routeur, et j’aimerais
> bien éviter un
> > bannissement à vie d’une IP pour un “abuse” qui dure rarement plus d’une
> semaine.
>
> Je suis complètement avec toi sur ce coté, c'est pourquoi je ne recommande
> pas qu'un FAI prenne mon feed sans savoir exactement ce qu'il fait. Il y en
> a qui le font, ceci dit.
>
> Donc :
>
> > Richard Klein a écrit :
> > Il faudrait ajouter une colonne avec la date du dernier BAN et après un
> "timeout" de 7
> > jours suppression de la liste. Une troisieme colonne pour le nombre de
> signalement sur 7 jours.
>
> Si tu ne fais pas çà, je n'injecterai pas ta liste dans mon feed.
> Peut-être (et probablement) que je la lirais, mais je ne la redistribuerai
> pas.
>
> > Libre a chacun de définir si il y a eu un seul signalement de prendre
> > en compte cette IP par rapport a une IP qui a 200 signalements.
>
> En théorie je serais d'accord, mais en pratique çà va devenir une usine à
> gaz à gérer.
>
> > Alors, certes, il y’a peu de chances que mes clients parlent aux tiens,
> néanmoins, si tout
> > le monde commence à se partager ses blacklists, ça risque de devenir un
> vrai problème.
>
> C'est bien pour çà qu'il faudrait fixer des règles à ce qu'on peut faire
> ou pas, et clairement le bannissement à vie ce n'est pas une option,
> surtout si çà vient de fail2ban.
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Attaque SIP et SIPS

[Michel Py]

> Hugues Voiturier a écrit :
> C’est assez dommageable pour nous autres opérateurs, par exemple, j’ai 
> régulièrement
> des clients qui se font trouer leur VM/Firewall/Routeur, et j’aimerais bien 
> éviter un
> bannissement à vie d’une IP pour un “abuse” qui dure rarement plus d’une 
> semaine.

Je suis complètement avec toi sur ce coté, c'est pourquoi je ne recommande pas 
qu'un FAI prenne mon feed sans savoir exactement ce qu'il fait. Il y en a qui 
le font, ceci dit.

Donc :

> Richard Klein a écrit :
> Il faudrait ajouter une colonne avec la date du dernier BAN et après un 
> "timeout" de 7
> jours suppression de la liste. Une troisieme colonne pour le nombre de 
> signalement sur 7 jours.

Si tu ne fais pas çà, je n'injecterai pas ta liste dans mon feed. Peut-être (et 
probablement) que je la lirais, mais je ne la redistribuerai pas.

> Libre a chacun de définir si il y a eu un seul signalement de prendre
> en compte cette IP par rapport a une IP qui a 200 signalements.

En théorie je serais d'accord, mais en pratique çà va devenir une usine à gaz à 
gérer.

> Alors, certes, il y’a peu de chances que mes clients parlent aux tiens, 
> néanmoins, si tout
> le monde commence à se partager ses blacklists, ça risque de devenir un vrai 
> problème.

C'est bien pour çà qu'il faudrait fixer des règles à ce qu'on peut faire ou 
pas, et clairement le bannissement à vie ce n'est pas une option, surtout si çà 
vient de fail2ban.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Attaque SIP et SIPS

[Michel Py]

> Richard Klein a écrit :
> Tu as un format de fichier normalisé

Le format est plus ou moins batard. Tant que çà contient
x.y.z.t/s en ASCII avec une fin de ligne c'est bon. Si il n'y a pas le /s çà 
considère que c'est un /32.
Regardes les exemples dans le lien plus bas. Le lien que tu as posté il y a 
quelques instants çà marcherait.

> et un FTP où nous pouvons t'envoyer nos sources?

Je préfère prendre le fichier de mon coté, donc si tu mets ton fichier texte 
quelque part et que je peux faire un wget à intervalles réguliers, c'est ok.
En ce moment, je fais un wget toutes les 20 minutes.

> Tu partages ta liste d'IPs?

En BGP, c'était le but du jeu.
http://arneill-py.sacramento.ca.us/cbbc/


>> Michel Py
>> Tu veux t'appairer ? en ce moment j'en ai environ 38,000.

> Hugues Voiturier a écrit :
> J’imagine qu’avec une telle quantité, tu n’as aucun délai de suppression de 
> ta liste.

Ce n'est pas moi qui décide; ma liste est une consolidation d'autres listes, 
donc quand ma source expire elle expire dans mon feed.
Faut avoir confiance, il y a des listes qui étaient des paratonnerres à emmerde 
que je ne lis plus.

Et faut être prêt à whitelister, aussi. Ma liste est brutale, mais les blocages 
non désirés sont rares. J'ai un FAI assez gros qui s'en sert.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Attaque SIP et SIPS

[Richard Klein]

Voici mon fichier depuis un synology qui est une simple liste d'IPs (ban
permanent):
https://drive.google.com/file/d/1FYgmjMX0BxCOD0Ri5YEW-qDRRfUKNTlo/view?usp=sharing
Il faudrait ajouter une colonne avec la date du dernier BAN et après un
"timeout" de 7 jours suppression de la liste .
Une troisieme colonne pour le nombre de signalement sur 7 jours . Libre a
chacun de définir si il y a eu un seul signalement de prendre en compte
cette IP par rapport a une IP qui a 200 signalements .
Une bonne mutualisation permet d'etre réactif et pro actif plutot que
d'attendre son tour pour se faire scanner /attaquer ...

Richard


Le dim. 12 avr. 2020 à 21:58, Hugues Voiturier 
a écrit :

> > Tu veux t'appairer ? en ce moment j'en ai environ 38,000.
> J’imagine qu’avec une telle quantité, tu n’as aucun délai de suppression
> de ta liste.
>
> C’est assez dommageable pour nous autres opérateurs, par exemple, j’ai
> régulièrement des clients qui se font trouer leur VM/Firewall/Routeur, et
> j’aimerais bien éviter un bannissement à vie d’une IP pour un “abuse” qui
> dure rarement plus d’une semaine.
> Alors, certes, il y’a peu de chances que mes clients parlent aux tiens,
> néanmoins, si tout le monde commence à se partager ses blacklists, ça
> risque de devenir un vrai problème.
>
>
>
> Hugues
> AS57199 - AS50628
>
> > On 12 Apr 2020, at 21:52, Michel Py 
> wrote:
> >
> > Je passe cà dans [TECH]
> >
> >> Duchet Rémy
> >> On a 9500 ip en ipv4 et 650 en ipv6. Toutes bannies, et annoncé en bgp
> >
> > Tu veux t'appairer ? en ce moment j'en ai environ 38,000.
> >
> >
> >> Richard Klein a écrit :
> >> J’avoue qu’avoir les fail2ban de tout le monde qui alimentent un
> >> exabgp qui nous feed les IP à null-router, ça serait sympa.
> >
> > Cà fait longtemps que j'ai fait le mien, çà serait encore mieux si
> j'avais plus de sources.
> >
> > Michel.
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Attaque SIP et SIPS

[Hugues Voiturier]

> Tu veux t'appairer ? en ce moment j'en ai environ 38,000.
J’imagine qu’avec une telle quantité, tu n’as aucun délai de suppression de ta 
liste.

C’est assez dommageable pour nous autres opérateurs, par exemple, j’ai 
régulièrement des clients qui se font trouer leur VM/Firewall/Routeur, et 
j’aimerais bien éviter un bannissement à vie d’une IP pour un “abuse” qui dure 
rarement plus d’une semaine.
Alors, certes, il y’a peu de chances que mes clients parlent aux tiens, 
néanmoins, si tout le monde commence à se partager ses blacklists, ça risque de 
devenir un vrai problème.



Hugues
AS57199 - AS50628

> On 12 Apr 2020, at 21:52, Michel Py  
> wrote:
> 
> Je passe cà dans [TECH]
> 
>> Duchet Rémy
>> On a 9500 ip en ipv4 et 650 en ipv6. Toutes bannies, et annoncé en bgp
> 
> Tu veux t'appairer ? en ce moment j'en ai environ 38,000.
> 
> 
>> Richard Klein a écrit :
>> J’avoue qu’avoir les fail2ban de tout le monde qui alimentent un
>> exabgp qui nous feed les IP à null-router, ça serait sympa.
> 
> Cà fait longtemps que j'ai fait le mien, çà serait encore mieux si j'avais 
> plus de sources.
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Attaque SIP et SIPS

[Richard Klein]

Tu as un format de fichier normalisé et un FTP où nous pouvons t'envoyer
nos sources?
Tu partages ta liste d'IPs?

Richard

Le dim. 12 avr. 2020 à 21:52, Michel Py 
a écrit :

> Je passe cà dans [TECH]
>
> > Duchet Rémy
> > On a 9500 ip en ipv4 et 650 en ipv6. Toutes bannies, et annoncé en bgp
>
> Tu veux t'appairer ? en ce moment j'en ai environ 38,000.
>
>
> > Richard Klein a écrit :
> > J’avoue qu’avoir les fail2ban de tout le monde qui alimentent un
> > exabgp qui nous feed les IP à null-router, ça serait sympa.
>
> Cà fait longtemps que j'ai fait le mien, çà serait encore mieux si j'avais
> plus de sources.
>
> Michel.
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Attaque SIP et SIPS

[Michel Py]

Je passe cà dans [TECH]

> Duchet Rémy
> On a 9500 ip en ipv4 et 650 en ipv6. Toutes bannies, et annoncé en bgp

Tu veux t'appairer ? en ce moment j'en ai environ 38,000.


> Richard Klein a écrit :
> J’avoue qu’avoir les fail2ban de tout le monde qui alimentent un
> exabgp qui nous feed les IP à null-router, ça serait sympa.

Cà fait longtemps que j'ai fait le mien, çà serait encore mieux si j'avais plus 
de sources.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/