On 16/01/2014 13:48, Solarus wrote:
Le 2014-01-16 10:42, Jérémy Martin a écrit :
A ceux qui n'ont pas peur de limiter les attaques en SORTIE de leur
réseau, n'oubliez pas d'intégrer un petit shapping sur vos routeurs
pour le port 123 UDP, vous rendrez service à plein de petits réseaux
(80% des AS).
Effectivement, comme pour DNS il faut restreindre l'accès aux
serveurs NTP, soit par AS ou par préfixe, soit par shapping sur le
port 123 si le serveur doit rester public.
En parler au client concerné n'est-il pas la meilleure solution ?
Soit il réagit correctement, soit il ne le fait pas et dans ce cas
assume tout simplement son risque financier et opérationnel.
A moins que ça pose un problème au réseau du fournisseur, mais vu ce
dont on parle ça ne devrait pas arriver. Toutefois dans ce cas extrème
l'action se justifie par la sauvegarde technique de ce réseau et peut
probablement s'appuyer sur les lignes du contrat qui parlent de bonnes
pratiques et de bons usages. Mais je ne vois pas de raison que ça se
fasse sans informer le client.
Quand à l'option de laisser faire parce que trafic = pognon, elle
est tout simplement lamentable et malhonnête, et probablement pas
compatible avec l'obligation de conseil du professionnel vis à vis
de son client (même si il aura du mal à le prouver).
Bonne fin de trolldi
Sylvain
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
