[FRnOG] Monitoring-fr
Bonjour, Pour votre information : http://www.monitoring-fr.org Communauté Francophone du Monitoring Cordialement, Guillaume FORTAINE Tel : +33(0)631092519 _ Hotmail: Trusted email with Microsoft’s powerful SPAM protection. https://signup.live.com/signup.aspx?id=60969--- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Comment vous protégez vous ?
Bonjour, Le problème se situant entre la chaise et le clavier, c'est peut-être là qu'il faut chercher la solution, non? Le 22/06/10, Jérémy Martinli...@freeheberg.com a écrit : Bonjour à tous, Comme la volonté du FRnOG est de (je cite) : Améliorer la qualité d'internet et autres services IP en France, je viens vers vous pour avoir votre ressentit et discuter autour d'un sujet sur lequel on débat en interne depuis quelques jours. On a pour vocation de rester très petit comme hébergeur (ça contraste un peu sur ce marché :) ), donc pour le coup, cette liste est la bienvenue. Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP (hébergement mutualisés) qui se font hack via une connexion tout à fait normale (password ok, pas de brute force). Après analyse auprès de quelques clients qu'on a pu contacter, il apparait que la cause est toujours la même : un magnifique trojan (on a vu un peu tout ce qui traine sur le net) qui logue le clavier, et qui renvoi le password FTP de notre client vers le pirate. Alors, vu qu'on réfléchit à refaire notre infra depuis quelques semaines, me vient une question qui peut paraitre bête. Comment se protéger de connexion non autorisés de ce type en FTP ? On a bien pensé à un filtrage d'ip, mais quid des IP dynamique ? De plus, un proxy sur le poste infecté remet le problème à jour. On a pensé aussi à géolocaliser les IP se connectant avant de lancer la session de login. Mais vu le nombre de requêtes, ça peut poser problème, d'autant que le client est bridé à une connexion franco-française dans ce type de situation. Et vous, rencontrez vous la même problématique ? Avez vous trouvé des solutions ? -- Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Comment vous protégez vous ?
Salut ! C'est pas tres IP tout ca, j'imagine que tu va te faire flamer. Tu pourrais mettre en place un systeme de whitelisting temporaire des IPs: par defaut personne ne peut se connecter au port FTP, et un passage sur l'interface web de gestion du compte valide l'IP client pendant 1h/12h/24h. Probablement pas applicable pour ta clientiele/business model, mais bon, regarde quand meme Yubikey, qui est un genre d'alternative aux tokens RSA. http://www.yubico.com/products/yubikey/ Stefan 2010/6/22 Jérémy Martin li...@freeheberg.com Bonjour à tous, Comme la volonté du FRnOG est de (je cite) : Améliorer la qualité d'internet et autres services IP en France, je viens vers vous pour avoir votre ressentit et discuter autour d'un sujet sur lequel on débat en interne depuis quelques jours. On a pour vocation de rester très petit comme hébergeur (ça contraste un peu sur ce marché :) ), donc pour le coup, cette liste est la bienvenue. Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP (hébergement mutualisés) qui se font hack via une connexion tout à fait normale (password ok, pas de brute force). Après analyse auprès de quelques clients qu'on a pu contacter, il apparait que la cause est toujours la même : un magnifique trojan (on a vu un peu tout ce qui traine sur le net) qui logue le clavier, et qui renvoi le password FTP de notre client vers le pirate. Alors, vu qu'on réfléchit à refaire notre infra depuis quelques semaines, me vient une question qui peut paraitre bête. Comment se protéger de connexion non autorisés de ce type en FTP ? On a bien pensé à un filtrage d'ip, mais quid des IP dynamique ? De plus, un proxy sur le poste infecté remet le problème à jour. On a pensé aussi à géolocaliser les IP se connectant avant de lancer la session de login. Mais vu le nombre de requêtes, ça peut poser problème, d'autant que le client est bridé à une connexion franco-française dans ce type de situation. Et vous, rencontrez vous la même problématique ? Avez vous trouvé des solutions ? -- Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go
Re: [FRnOG] Comment vous protégez vous ?
Oui, en effet. On as déjà rajouté pas mal de mails automatiques à la connexion, un peu comme le fait OVH pour faire de la prévention et rappeler aux clients de checker ou sont stockés leurs password et/ou comment ils se connectent. Mais les faits sont là, on a plusieurs milliers de clients aujourd'hui, dont 90 % de particuliers, et pour vous donner une image, j'ai encore bloqué 23 comptes ce matin car le gentils pirate s'amuse à faire du phishing ou du spam dessus. Je pense que la géolocalisation de l'ip serait une bonne solution, hormis les proxy qu'il pourrait y avoir en France bien entendu, mais de ce que j'ai vu, la majorité des IP sont étrangères. La question étant de savoir si ça existe pour ce type d'usage... Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Le 22/06/2010 12:32, Rémi Bouhl a écrit : Bonjour, Le problème se situant entre la chaise et le clavier, c'est peut-être là qu'il faut chercher la solution, non? Le 22/06/10, Jérémy Martinli...@freeheberg.com a écrit : Bonjour à tous, Comme la volonté du FRnOG est de (je cite) : Améliorer la qualité d'internet et autres services IP en France, je viens vers vous pour avoir votre ressentit et discuter autour d'un sujet sur lequel on débat en interne depuis quelques jours. On a pour vocation de rester très petit comme hébergeur (ça contraste un peu sur ce marché :) ), donc pour le coup, cette liste est la bienvenue. Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP (hébergement mutualisés) qui se font hack via une connexion tout à fait normale (password ok, pas de brute force). Après analyse auprès de quelques clients qu'on a pu contacter, il apparait que la cause est toujours la même : un magnifique trojan (on a vu un peu tout ce qui traine sur le net) qui logue le clavier, et qui renvoi le password FTP de notre client vers le pirate. Alors, vu qu'on réfléchit à refaire notre infra depuis quelques semaines, me vient une question qui peut paraitre bête. Comment se protéger de connexion non autorisés de ce type en FTP ? On a bien pensé à un filtrage d'ip, mais quid des IP dynamique ? De plus, un proxy sur le poste infecté remet le problème à jour. On a pensé aussi à géolocaliser les IP se connectant avant de lancer la session de login. Mais vu le nombre de requêtes, ça peut poser problème, d'autant que le client est bridé à une connexion franco-française dans ce type de situation. Et vous, rencontrez vous la même problématique ? Avez vous trouvé des solutions ? -- Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go
Re: [FRnOG] Comment vous protégez vous ?
Le 22/06/2010 12:41, Jérémy Martin a écrit : Oui, en effet. On as déjà rajouté pas mal de mails automatiques à la connexion, un peu comme le fait OVH pour faire de la prévention et rappeler aux clients de checker ou sont stockés leurs password et/ou comment ils se connectent. Mais les faits sont là, on a plusieurs milliers de clients aujourd'hui, dont 90 % de particuliers, et pour vous donner une image, j'ai encore bloqué 23 comptes ce matin car le gentils pirate s'amuse à faire du phishing ou du spam dessus. Je pense que la géolocalisation de l'ip serait une bonne solution, hormis les proxy qu'il pourrait y avoir en France bien entendu, mais de ce que j'ai vu, la majorité des IP sont étrangères. La question étant de savoir si ça existe pour ce type d'usage... Typiquement, ce genre de vol de mot de passe se fait par un troyen ou un sniffeur qui récupère le pass en clair lors de la connexion FTP. C'est au final, et pour diverses raisons, assez rare que ça soit un keylogger. Passe ton serveur FTP en FTPS / TLS whatever, tu n'auras probablement plus ce genre de problème. Si tu chiffrais déjà, alors tu as une population d'utilisateurs dangereuse... @+ Gilou --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Comment vous protégez vous ?
Le 22/06/10, Gilles PIETRIcontact+fr...@gilouweb.com a écrit : Typiquement, ce genre de vol de mot de passe se fait par un troyen ou un sniffeur qui récupère le pass en clair lors de la connexion FTP. C'est au final, et pour diverses raisons, assez rare que ça soit un keylogger. Il y a aussi les stealers qui vont récupérer les mots de passe enregistrés dans les clients FTP les plus courants. Je doute que les pirates infectent les sites à la main, est-ce qu'il n'est pas possible de repérer (via les logs du FTP) un profil type de connexion pirate, reconnaissable à une suite de commandes toujours identiques, à un rythme d'envoi de celles-ci, etc..? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Comment vous protégez vous ?
Salut, Le 22 juin 10 à 12:15, Jérémy Martin a écrit : [couic] Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP (hébergement mutualisés) qui se font hack via une connexion tout à fait normale (password ok, pas de brute force). Après analyse auprès de quelques clients qu'on a pu contacter, il apparait que la cause est toujours la même : un magnifique trojan (on a vu un peu tout ce qui traine sur le net) qui logue le clavier, et qui renvoi le password FTP de notre client vers le pirate. Alors, vu qu'on réfléchit à refaire notre infra depuis quelques semaines, me vient une question qui peut paraitre bête. Comment se protéger de connexion non autorisés de ce type en FTP ? [recouic] Et vous, rencontrez vous la même problématique ? Avez vous trouvé des solutions ? Comme indiqué plus haut, c'est plus un problème de sécurité au sein même des clients qu'autre chose. Malgré tout, quelques pistes : - rendre le FTP uniquement utilisable en read-only - rendre l'accès sécurité SFTP (et autres protocoles en tant soit peu sécurisés) - laisser passer les exceptions FTP read-write après moult explications qui font comprendre que l'accès d'un poste utilisateur, c'est pas tip top. Par contre un process sur une machine de prod supervisée, je peux comprendre que conserver le FTP ça a du sens (et surtout un coup d'upgrader à du SFTP et consors). Ca ne stoppera pas l'hémorragie chez certains mais bon, ça fait effectivement des bons devoir de l'hébergeur. ++ Antoine--- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Comment vous protégez vous ?
Lu, En ce qui concerne les clients SFTP, tu peux aussi avoir recours à une clé (rsa,dsa,) pour l'authentification, que tu peux doubler par un mot de passe. Mehdi Le 22 juin 2010 13:48, Antoine Drochon anto...@drochon.net a écrit : Salut, Le 22 juin 10 à 12:15, Jérémy Martin a écrit : [couic] Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP (hébergement mutualisés) qui se font hack via une connexion tout à fait normale (password ok, pas de brute force). Après analyse auprès de quelques clients qu'on a pu contacter, il apparait que la cause est toujours la même : un magnifique trojan (on a vu un peu tout ce qui traine sur le net) qui logue le clavier, et qui renvoi le password FTP de notre client vers le pirate. Alors, vu qu'on réfléchit à refaire notre infra depuis quelques semaines, me vient une question qui peut paraitre bête. Comment se protéger de connexion non autorisés de ce type en FTP ? [recouic] Et vous, rencontrez vous la même problématique ? Avez vous trouvé des solutions ? Comme indiqué plus haut, c'est plus un problème de sécurité au sein même des clients qu'autre chose. Malgré tout, quelques pistes : - rendre le FTP uniquement utilisable en read-only - rendre l'accès sécurité SFTP (et autres protocoles en tant soit peu sécurisés) - laisser passer les exceptions FTP read-write après moult explications qui font comprendre que l'accès d'un poste utilisateur, c'est pas tip top. Par contre un process sur une machine de prod supervisée, je peux comprendre que conserver le FTP ça a du sens (et surtout un coup d'upgrader à du SFTP et consors). Ca ne stoppera pas l'hémorragie chez certains mais bon, ça fait effectivement des bons devoir de l'hébergeur. ++ Antoine--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Com ment vous protégez vous ?
On Tue, Jun 22, 2010 at 01:52:52PM +0200, Mehdi Badreddine wrote: Lu, En ce qui concerne les clients SFTP, tu peux aussi avoir recours à une clé (rsa,dsa,) pour l'authentification, que tu peux doubler par un mot de passe. ... les mots de passe qui changent tous les 2 jours et avec le minimum 22 caracteres ... une bonne idée d'un barbu qui a trop regardé l'écran noir sans passer à vim en couleur ... ;) alors puisque c'est vendredi, j'ai droit aussi: IDéNUM. tu vas à la banque pour recuperer ton token (clé USB) et tu l'utilises pour faire allez ... declarer tes impots, aller sur le site de ta banque, tiens paypal, clic sur la pub de google, du P2P ... troll baby troll ... --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: Re: [FRnOG] Re: [FRnOG] Comment vous protégez v ous ?
Le , o...@ovh.net a écrit : ... les mots de passe qui changent tous les 2 jours et avec le minimum 22 caracteres ... une bonne idée d'un barbu qui a trop regardé l'écran noir sans passer à vim en couleur ... ;) alors puisque c'est vendredi, j'ai droit aussi: IDéNUM. tu vas à la banque pour recuperer ton token (clé USB) et tu l'utilises pour faire allez ... declarer tes impots, aller sur le site de ta banque, tiens paypal, clic sur la pub de google, du P2P ... troll baby troll ... Puisqu'on part sur ce sujet ! Les solutions de type SmartCard RSA sont pourtant rudement efficaces en théorie pour résoudre ces problèmes, il ya un standard PKCS#11 pour, mais les fabriquants préfèrent implémenter le standard idoine microsoft. Il ya aussi les puces TPM qui jouent le role de smartcard intégrées à la machine. On a des exemples d'authentification basées sur des One Time Password déployé sur le grand public (avec les jeux Blizzard) mais c'est loin d'être aussi fiable. Il ya une forte demande pour un standard d'authentification sécurisée, que ce soit sur des sites web ou des applications spécifiques, mais les solutions grand public peinent à sortir, entre le support du PKCS#11 qui reste à implémenter sur beaucoup d'applications, et la difficulté de gérer une IGC avec des certificats X509. Jean-Yves
[FRnOG] Datacenter au Luxembourg
Bonjour, Je cherche de l'espace en datacenter au Luxembourg, environ 10 racks ou 40kVA au total. Après quelques recherches sur google je suis tombé sur datacenter.eu, et sur bce.lu, qu'en pensez-vous ? il y en a d'autres ? au niveau connectivité (transit ip bgp et wave vers paris/ams) c'est bien desservi ? Cordialement Cédric Tabary
Re: [FRnOG] Datacenter au Luxembourg
Bonjour, Viens chez moi ! Arcan Networks Luxembourg ! Je suis un opérateur Luxembourgeois et j' opère plusieurs datacenter Tier IV aux Luxembourg (fillial Neo Telecom si tu connais) Je suis présent Vendredi, si tu veux on en parle ! à bientôt (désolé pour la pub, mais pour une fois que l'on parle de chez moi sur la liste !) ARCAN Networks Luxembourg Julien Doussot Std : +352 26.53.12.24.51 | Fax : +352 26.53.12.24.36 Phone: + 352 661.155.623 | Phone: + 33 6 84.74.13.77 95, Grand Rue | L-3313 BERGEM | Luxembourg E-mail : jdous...@groupe-arcan.com | www.arcan-networks.com *Please consider the impact on the environment before printing this e-mail* * * 2010/6/22 Cédric Tabary fr...@grumly.eu.org Bonjour, Je cherche de l'espace en datacenter au Luxembourg, environ 10 racks ou 40kVA au total. Après quelques recherches sur google je suis tombé sur datacenter.eu, et sur bce.lu, qu'en pensez-vous ? il y en a d'autres ? au niveau connectivité (transit ip bgp et wave vers paris/ams) c'est bien desservi ? Cordialement Cédric Tabary
[FRnOG] Nouveaux métiers propre à l'héberge ment
Bonjour, Venant de voir passer un message relatif à la recherche de place dans un datacenter, nous pouvons prévoir que de nouveaux métiers ne manqueront pas d'émerger avec l'inévitable croissance de l'hébergement. Comme celui de négociateur intermédiaire de ressources d'hébergement : un client souhaite acheter une puissance de calcul ou une bande passante au meilleur prix, pour 15 jours, un fournisseur souhaite une surface pour installer ses propres baies, un intégrateur souhaite mettre à disposition des applications à l'occasion d'un événement... En voyez-vous d'autres ? technique ou affaires. Cordialement, Michel Hostettler --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Comment vous protégez vous ?
Le 22/06/2010 12:15, Jérémy Martin a écrit : Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP (hébergement mutualisés) qui se font hack via une connexion tout à fait normale (password ok, pas de brute force). Après analyse auprès de quelques clients qu'on a pu contacter, il apparait que la cause est toujours la même : un magnifique trojan (on a vu un peu tout ce qui traine sur le net) qui logue le clavier, et qui renvoi le password FTP de notre client vers le pirate. Alors, vu qu'on réfléchit à refaire notre infra depuis quelques semaines, me vient une question qui peut paraitre bête. Comment se protéger de connexion non autorisés de ce type en FTP ? Pour notre part, on a constaté que la totalité de ces tentatives venait de pays exotiques ou nous n'avons pas de client. C'est un peu casse noix mais nous avons pris le parti de firewaller le FTP et d'ouvrir par AS (en récupérant les préfixes concernés avec un peval) Pour ceux que ca interesse, voila la liste d'AS que nous avons retenu et alimenté au fil du temps avec les remarques clients : AS174 AS286 AS702 AS1273 AS1836 AS1849 AS2119 AS2134 AS2200 AS2482 AS2486 AS2529 AS2856 AS3209 AS3215 AS3259 AS3269 AS3292 AS3320 AS3324 AS3344 AS3352 AS3955 AS4589 AS5378 AS5410 AS5432 AS5501 AS5511 AS5533 AS5560 AS5669 AS6461 AS6678 AS6713 AS6774 AS6805 AS6838 AS6848 AS8196 AS8218 AS8220 AS8228 AS8228 AS8272 AS8304 AS8311 AS8399 AS8426 AS8452 AS8527 AS8565 AS8677 AS8687 AS8784 AS8839 AS8864 AS8922 AS8928 AS8972 AS9003 AS9013 AS9029 AS9036 AS9057 AS9078 AS9153 AS9595 AS10806 AS12322 AS12392 AS12566 AS12626 AS12628 AS12641 AS12670 AS12670 AS12826 AS12844 AS12876 AS13035 AS13037 AS13128 AS13193 AS13237 AS13270 AS13273 AS15399 AS15404 AS15436 AS15522 AS15557 AS15569 AS15570 AS15600 AS15657 AS15830 AS16211 AS16276 AS20529 AS20563 AS20704 AS20760 AS21000 AS21449 AS21458 AS21498 AS21502 AS23889 AS24292 AS24632 AS24640 AS24653 AS24776 AS24798 AS24961 AS25049 AS25261 AS25273 AS25493 AS25562 AS28694 AS28877 AS29075 AS29152 AS29204 AS29322 AS29372 AS29608 AS30741 AS30781 AS30972 AS31103 AS31167 AS31178 AS31197 AS31216 AS31221 AS31414 AS31449 AS33779 AS34002 AS34006 AS34177 AS34308 AS34391 AS34453 AS34536 AS34861 AS34997 AS35189 AS35217 AS35244 AS35283 AS35393 AS35632 AS35655 AS35701 AS35716 AS35822 AS35830 AS36408 AS37054 AS38943 AS39196 AS39720 AS39771 AS39894 AS40999 AS41020 AS41514 AS41523 AS41526 AS41690 AS41886 AS42761 AS43150 AS43254 AS43424 AS44494 AS44944 AS47400 AS47427 AS47518 AS47612 AS48789 AS49430 AS47732 plus quelques classes IP qui n'ont pas l'objet route: qui va bien pour les lier a un AS : 196.192.40.0/24 81.200.176.0/20 193.248.0.0/14 193.252.0.0/15 194.2.0.0/16 194.51.0.0/18 194.3.0.0/16 194.206.0.0/16 194.51.128.0/17 194.51.64.0/18 194.250.0.0/16 195.6.0.0/16 195.25.0.0/16 195.101.0.0/16 62.160.0.0/16 212.234.0.0/16 62.161.0.0/16 213.56.0.0/16 217.108.0.0/15 217.128.0.0/16 217.167.0.0/16 80.8.0.0/13 81.48.0.0/13 81.80.0.0/16 81.248.0.0/13 82.120.0.0/13 83.112.0.0/14 83.192.0.0/12 86.192.0.0/10 90.0.0.0/9 92.128.0.0/10 195.20.198.0/23 92.61.163.0/24 83.112.0.0/16 173.161.144.145/32 41.190.237.0/24 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Comment vous protégez vous ?
j'adore la liste d'AS venant de pays *exotique*, on est déjà vendredi? Le 22/06/2010 19:58, Spyou a écrit : Le 22/06/2010 12:15, Jérémy Martin a écrit : Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP (hébergement mutualisés) qui se font hack via une connexion tout à fait normale (password ok, pas de brute force). Après analyse auprès de quelques clients qu'on a pu contacter, il apparait que la cause est toujours la même : un magnifique trojan (on a vu un peu tout ce qui traine sur le net) qui logue le clavier, et qui renvoi le password FTP de notre client vers le pirate. Alors, vu qu'on réfléchit à refaire notre infra depuis quelques semaines, me vient une question qui peut paraitre bête. Comment se protéger de connexion non autorisés de ce type en FTP ? Pour notre part, on a constaté que la totalité de ces tentatives venait de pays exotiques ou nous n'avons pas de client. C'est un peu casse noix mais nous avons pris le parti de firewaller le FTP et d'ouvrir par AS (en récupérant les préfixes concernés avec un peval) Pour ceux que ca interesse, voila la liste d'AS que nous avons retenu et alimenté au fil du temps avec les remarques clients : AS174 AS286 AS702 AS1273 AS1836 AS1849 AS2119 AS2134 AS2200 AS2482 AS2486 AS2529 AS2856 AS3209 AS3215 AS3259 AS3269 AS3292 AS3320 AS3324 AS3344 AS3352 AS3955 AS4589 AS5378 AS5410 AS5432 AS5501 AS5511 AS5533 AS5560 AS5669 AS6461 AS6678 AS6713 AS6774 AS6805 AS6838 AS6848 AS8196 AS8218 AS8220 AS8228 AS8228 AS8272 AS8304 AS8311 AS8399 AS8426 AS8452 AS8527 AS8565 AS8677 AS8687 AS8784 AS8839 AS8864 AS8922 AS8928 AS8972 AS9003 AS9013 AS9029 AS9036 AS9057 AS9078 AS9153 AS9595 AS10806 AS12322 AS12392 AS12566 AS12626 AS12628 AS12641 AS12670 AS12670 AS12826 AS12844 AS12876 AS13035 AS13037 AS13128 AS13193 AS13237 AS13270 AS13273 AS15399 AS15404 AS15436 AS15522 AS15557 AS15569 AS15570 AS15600 AS15657 AS15830 AS16211 AS16276 AS20529 AS20563 AS20704 AS20760 AS21000 AS21449 AS21458 AS21498 AS21502 AS23889 AS24292 AS24632 AS24640 AS24653 AS24776 AS24798 AS24961 AS25049 AS25261 AS25273 AS25493 AS25562 AS28694 AS28877 AS29075 AS29152 AS29204 AS29322 AS29372 AS29608 AS30741 AS30781 AS30972 AS31103 AS31167 AS31178 AS31197 AS31216 AS31221 AS31414 AS31449 AS33779 AS34002 AS34006 AS34177 AS34308 AS34391 AS34453 AS34536 AS34861 AS34997 AS35189 AS35217 AS35244 AS35283 AS35393 AS35632 AS35655 AS35701 AS35716 AS35822 AS35830 AS36408 AS37054 AS38943 AS39196 AS39720 AS39771 AS39894 AS40999 AS41020 AS41514 AS41523 AS41526 AS41690 AS41886 AS42761 AS43150 AS43254 AS43424 AS44494 AS44944 AS47400 AS47427 AS47518 AS47612 AS48789 AS49430 AS47732 plus quelques classes IP qui n'ont pas l'objet route: qui va bien pour les lier a un AS : 196.192.40.0/24 81.200.176.0/20 193.248.0.0/14 193.252.0.0/15 194.2.0.0/16 194.51.0.0/18 194.3.0.0/16 194.206.0.0/16 194.51.128.0/17 194.51.64.0/18 194.250.0.0/16 195.6.0.0/16 195.25.0.0/16 195.101.0.0/16 62.160.0.0/16 212.234.0.0/16 62.161.0.0/16 213.56.0.0/16 217.108.0.0/15 217.128.0.0/16 217.167.0.0/16 80.8.0.0/13 81.48.0.0/13 81.80.0.0/16 81.248.0.0/13 82.120.0.0/13 83.112.0.0/14 83.192.0.0/12 86.192.0.0/10 90.0.0.0/9 92.128.0.0/10 195.20.198.0/23 92.61.163.0/24 83.112.0.0/16 173.161.144.145/32 41.190.237.0/24 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Comment vous protégez vous ?
Le mardi 22 juin 2010 à 21:20 +0200, DELOBEL Gary a écrit : j'adore la liste d'AS venant de pays *exotique*, on est déjà vendredi? C'est la whitelist :O Et puis vendredi, comme on sera en live, il faut préparer un peu l'ambiance ;) -- Jérôme Nicolle signature.asc Description: Ceci est une partie de message numériquement signée
[FRnOG] Re: [FRnOG] Comment vous protégez vous ?
vous utilisez dnsbl ? Le 22 juin 2010 23:06, Jérôme Nicolle jer...@ceriz.fr a écrit : Le mardi 22 juin 2010 à 21:20 +0200, DELOBEL Gary a écrit : j'adore la liste d'AS venant de pays *exotique*, on est déjà vendredi? C'est la whitelist :O Et puis vendredi, comme on sera en live, il faut préparer un peu l'ambiance ;) -- Jérôme Nicolle
[FRnOG] Re: [FRnOG] Re: [FRnOG] Comment vous protégez vous ?
Bonsoir, je trouve qu'un des problèmes majeurs et très difficile à résoudre reste la sécurité du poste de travail utilisateur. On peut facilement imaginer un poste infecté qui sert de proxy/passerelle pour accéder au services. Dans ce domaine il y a encore plus de solutions, souvent peu fonctionnelles, mais il est difficile d'interdire la sauvegarde automatique des mots de passe, et tout ce genre de choses... Je sais pas pourquoi mais je sens le troll arrivé...
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comment vous pro tégez vous ?
Bonsoir, Il existe certaines solutions qui empêchent l'utilisateur de sauver ses mots de passe, installer des softs (même à son insu), en tout cas garder le contrôle à distance au moyen de sondes.Par exemple, Landesk et son agent remplit très bien cette fonction, ok, il est presque comme un 'ver' car il peut espionner l'utilisateur, mais ça évite bien des désagréments quand même, la base des virus est mise à jour automatiquement et il est possible d'effacer les mots de passe sauvegardés (au moyen d'un script au boot ou à l'extinction du poste). C'est un peu coûteux, mais sur une grande échelle ( 100 postes à gérer) et avec une bonne pédagogie utilisateur, ça passe. Le plus dur à mon avis est d'expliquer à l'utilisateur pourquoi il n'a pas totalement la main sur sa machine :-) Je pense pas avoir trollé, ou bien à l'insu de mon plein gré... Le 22 juin 2010 23:32, Thomas Lopez thomas.lopez.m...@gmail.com a écrit : Bonsoir, je trouve qu'un des problèmes majeurs et très difficile à résoudre reste la sécurité du poste de travail utilisateur. On peut facilement imaginer un poste infecté qui sert de proxy/passerelle pour accéder au services. Dans ce domaine il y a encore plus de solutions, souvent peu fonctionnelles, mais il est difficile d'interdire la sauvegarde automatique des mots de passe, et tout ce genre de choses... Je sais pas pourquoi mais je sens le troll arrivé...
Re: [FRnOG] Comment vous protégez vous ?
Merci à tous pour vos retours. Il y a en effet un certain nombre de solutions existantes, certaines sont un peu délicates, d'autres sont très simples à première vue. Je pense qu'on va partir sur une solution telle que celle ci : 1) Les sessions FTP sont bloqués par défaut 2) Quand un client veut ouvrir une session FTP, il doit aller demander que celle ci soit autorisée dans son espace client (d'ou il ne peut se connecter qu'avec une IP = au pays déclaré sur le dossier client). 3) La session dure un certain temps et est automatiquement rebloqué à l'issue. Avec deux trois scripts qui check les comptes à débloquer ou à bloquer qui passent toutes les minutes sur une liste texte, ça pourrait le faire. Je devrait pouvoir me rendre à la réunion de Vendredi, c'est avec plaisir que je pourrais donc en discuter de vive voix parmi vous :) Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Le 22/06/2010 12:41, Jérémy Martin a écrit : Oui, en effet. On as déjà rajouté pas mal de mails automatiques à la connexion, un peu comme le fait OVH pour faire de la prévention et rappeler aux clients de checker ou sont stockés leurs password et/ou comment ils se connectent. Mais les faits sont là, on a plusieurs milliers de clients aujourd'hui, dont 90 % de particuliers, et pour vous donner une image, j'ai encore bloqué 23 comptes ce matin car le gentils pirate s'amuse à faire du phishing ou du spam dessus. Je pense que la géolocalisation de l'ip serait une bonne solution, hormis les proxy qu'il pourrait y avoir en France bien entendu, mais de ce que j'ai vu, la majorité des IP sont étrangères. La question étant de savoir si ça existe pour ce type d'usage... Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Le 22/06/2010 12:32, Rémi Bouhl a écrit : Bonjour, Le problème se situant entre la chaise et le clavier, c'est peut-être là qu'il faut chercher la solution, non? Le 22/06/10, Jérémy Martinli...@freeheberg.com a écrit : Bonjour à tous, Comme la volonté du FRnOG est de (je cite) : Améliorer la qualité d'internet et autres services IP en France, je viens vers vous pour avoir votre ressentit et discuter autour d'un sujet sur lequel on débat en interne depuis quelques jours. On a pour vocation de rester très petit comme hébergeur (ça contraste un peu sur ce marché :) ), donc pour le coup, cette liste est la bienvenue. Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP (hébergement mutualisés) qui se font hack via une connexion tout à fait normale (password ok, pas de brute force). Après analyse auprès de quelques clients qu'on a pu contacter, il apparait que la cause est toujours la même : un magnifique trojan (on a vu un peu tout ce qui traine sur le net) qui logue le clavier, et qui renvoi le password FTP de notre client vers le pirate. Alors, vu qu'on réfléchit à refaire notre infra depuis quelques semaines, me vient une question qui peut paraitre bête. Comment se protéger de connexion non autorisés de ce type en FTP ? On a bien pensé à un filtrage d'ip, mais quid des IP dynamique ? De plus, un proxy sur le poste infecté remet le problème à jour. On a pensé aussi à géolocaliser les IP se connectant avant de lancer la session de login. Mais vu le nombre de requêtes, ça peut poser problème, d'autant que le client est bridé à une connexion franco-française dans ce type de situation. Et vous, rencontrez vous la même problématique ? Avez vous trouvé des solutions ? -- Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comment vous pro tégez vous ?
Bravo! En effet, on aurait pu trollé sur la pédagogie ou un os qui aurait des bugs ou les anti-virus souvent inutiles ou inefficace... Mais on ne le ferat pas ce soir ( bientôt vendredi!). Toutefois plus sérieusement, on ne contrôle pas toujours voir rarement tout le poste utilisateur... Quelques part la solution passe par l'obligation d'utiliser un logiciel packager avec les accès avec une authentification PKCS, plus quelques mécanismes de vérification de l'activité sur le serveur... Le 22 juin 2010 23:52, Mehdi Badreddine mehdi.badredd...@gmail.com a écrit : Bonsoir, Il existe certaines solutions qui empêchent l'utilisateur de sauver ses mots de passe, installer des softs (même à son insu), en tout cas garder le contrôle à distance au moyen de sondes.Par exemple, Landesk et son agent remplit très bien cette fonction, ok, il est presque comme un 'ver' car il peut espionner l'utilisateur, mais ça évite bien des désagréments quand même, la base des virus est mise à jour automatiquement et il est possible d'effacer les mots de passe sauvegardés (au moyen d'un script au boot ou à l'extinction du poste). C'est un peu coûteux, mais sur une grande échelle ( 100 postes à gérer) et avec une bonne pédagogie utilisateur, ça passe. Le plus dur à mon avis est d'expliquer à l'utilisateur pourquoi il n'a pas totalement la main sur sa machine :-) Je pense pas avoir trollé, ou bien à l'insu de mon plein gré... Le 22 juin 2010 23:32, Thomas Lopez thomas.lopez.m...@gmail.com a écrit : Bonsoir, je trouve qu'un des problèmes majeurs et très difficile à résoudre reste la sécurité du poste de travail utilisateur. On peut facilement imaginer un poste infecté qui sert de proxy/passerelle pour accéder au services. Dans ce domaine il y a encore plus de solutions, souvent peu fonctionnelles, mais il est difficile d'interdire la sauvegarde automatique des mots de passe, et tout ce genre de choses... Je sais pas pourquoi mais je sens le troll arrivé...
