> Le 23 mai 2020 à 22:28, Pavel Polyakov <pbdfrno...@urdn.com.ua> a écrit : > > On Sat, 23 May 2020 21:49:00 +0200 > David Ponzone <david.ponz...@gmail.com> wrote: > >> Quand c’est répété, durable pendant au moins plusieurs heures, vers >> plusieurs IP chez moi, j’appelle pas ça du scan. > > Oui sauf que tu ne donnes pas les détails correctement. Si tu reçois > une attaque qui pérturbe ton réseau c'est tout à fait légitime que tu > te plaignes mais ce n'est pas le ressenti en lisant ton premier message. >
J’ai simplement demandé si d’autres voyaient des scans de la même IP. Et Michaël Couren a répondu par l’affirmative. >> Ceci dit, je suis un peu effaré de constater que la tendance c’est: >> -si t’es FAI (GP ou Pro), tu as des clients identifiés >> (non-anonymes), et tu es limite responsable de leur sécurité, donc >> s’ils ouvrent un port RDP parce qu’ils sont ignares, faut que je leur >> vende un Fortinet avec du SSL pour qu’ils sécurisent leurs accès de >> l’extérieur > > Nous avons des utilisateurs de Microsoft qui utilisent le RDP en écoute > sur le port standard et sur l'Internet sans filtrage, pas de problèmes. Tu dis donc le contraire de tout le monde ici qui confirme que laisser un port RDP ouvert, c’est pas une super idée. Dois-je croire ton expertise ou la leur ? > Si ton client fait ça avec Windows NT 4.0 alors désolé, mais j'ai du > mal à avoir de la compassion. > > Ensuite, que le client soit un particulier ou un pro, anonyme ou non, > je ne vois aucune différence à faire. Le contraire m’aurait étonné. > Si tu dois vendre Fortinet à ton client, ça veut dire que tu ne sais > pas faire le truc toi-même et ça, c'est pas bon pour toi. > Non c’est normal, c’est pas mon métier de gérer son IT. Je lui vends l’accès moi. Il a généralement déjà un prestataire. Dans le cas présent, il s’est fait cryptolocké récemment et le vecteur d’attaque reste inconnu, donc on est vigilants le temps que les accès SSL soient déployés en collaboration avec le prestataire. Déjà, en ajoutant un DENY SRC IP <> FR, ça a viré quasiment tous les scans. Y aurait-il étrangement plus de scans venant d’hébergeurs très flexibles niveau ouverture de compte et paiement, à l’étranger ? --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
