[FRnOG] [TECH] Attaques par amplification NTP
Bonjour à tous, Un petit message à ceux qui gèrent des réseaux :) Nous voyons arriver depuis quelques semaines de plus en plus d'attaques par amplification sur protocole NTP. C'est la petite nouveauté de la rentrée quoi. Bon, en fait, ça fait des années que ça existe (depuis l'invention de l'attaque par amplification et spoofing d'ip source), mais il semble que les petits malins qui commercialisent ce type d'attaque l'ont intégré à leur catalogue désormais. Il faut adapter un peu nos filtres pour prendre en compte ce type de protocole (ceux qui bossent sur l'UDP de base n'ont rien à changer), notamment pour ceux qui configurent leurs ACL et leurs outils de surveillance de manière assez fine. A ceux qui n'ont pas peur de limiter les attaques en SORTIE de leur réseau, n'oubliez pas d'intégrer un petit shapping sur vos routeurs pour le port 123 UDP, vous rendrez service à plein de petits réseaux (80% des AS). Merci tout plein, Bisous, -- Jérémy __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Attaques par amplification NTP
On Thu, Jan 16, 2014 at 10:42:27AM +0100, Jérémy Martin li...@freeheberg.com wrote a message of 35 lines which said: A ceux qui n'ont pas peur de limiter les attaques en SORTIE de leur réseau, n'oubliez pas d'intégrer un petit shapping sur vos routeurs pour le port 123 UDP, vous rendrez service à plein de petits réseaux (80% des AS). Euh, ça ne serait pas plus malin de fermer les réflecteurs NTP utilisés pour l'amplification ? Allez sur http://www.openntpproject.org/, indiquez vos préfixes et regardez le travail à faire. Par exemple le filer 185.13.37.23 (même si son rapport d'ampli est faible) :-) % ntpdc -n -c monlist 185.13.37.23 | wc 15 1291200 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Attaques par amplification NTP
Le 2014-01-16 10:42, Jérémy Martin a écrit : A ceux qui n'ont pas peur de limiter les attaques en SORTIE de leur réseau, n'oubliez pas d'intégrer un petit shapping sur vos routeurs pour le port 123 UDP, vous rendrez service à plein de petits réseaux (80% des AS). Effectivement, comme pour DNS il faut restreindre l'accès aux serveurs NTP, soit par AS ou par préfixe, soit par shapping sur le port 123 si le serveur doit rester public. Same old song. Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Cohabitation FO et BT/MT
Bonjour, J'ai question vraiment bête mais à laquelle je ne connais pas la réponse... Existe-t-il une norme, interdisant de faire cohabiter dans un meme fourreau, un cable FO dielectrique et un cable d'alimentation 220V? Sachant qu'en milieu rural, on nous impose encore et toujours de faire des tranchées de 120x80 avec 4 gros fourreaux et filet avertisseur à 160 euro le ML (pas grave c'est de l'argent public...) pour créer des NRA-MED de 30-80 lignes en refusant l'enfouissement direct parceque c'est pas bien, je m’attend a tout... Je ne suis pas dans la Doctrine Darodesque qui veut que l'on augmentent le niveau de normes dans les déploiement FO mais autant savoir quoi répondre le jour ou l'on nous emmerdera avec ca. Merci, Seb. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Cohabitation FO et BT/MT
160 euros le ml en millieu rural ?!! là je crois que tu dois changer de boite de TP ! Sinon une norme datant de 2/3 ans permet un écartement de 5 cm au lieu de 20 entre le réseau telecom fibre et un câble électrique BT ou MT. Sinon le mieux, brule ce NRA MED servant à rénover le réseau d'un operateur privé et courant aussi chère que du ftth.. Bruno -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Sebastien Lesimple Envoyé : jeudi 16 janvier 2014 20:07 À : frnog-m...@frnog.org Objet : [FRnOG] [MISC] Cohabitation FO et BT/MT Bonjour, J'ai question vraiment bête mais à laquelle je ne connais pas la réponse... Existe-t-il une norme, interdisant de faire cohabiter dans un meme fourreau, un cable FO dielectrique et un cable d'alimentation 220V? Sachant qu'en milieu rural, on nous impose encore et toujours de faire des tranchées de 120x80 avec 4 gros fourreaux et filet avertisseur à 160 euro le ML (pas grave c'est de l'argent public...) pour créer des NRA-MED de 30-80 lignes en refusant l'enfouissement direct parceque c'est pas bien, je mattend a tout... Je ne suis pas dans la Doctrine Darodesque qui veut que l'on augmentent le niveau de normes dans les déploiement FO mais autant savoir quoi répondre le jour ou l'on nous emmerdera avec ca. Merci, Seb. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Cohabitation FO et BT/MT
Le 16/01/2014 22:32, Bruno CAVROS / SKIWEBCENTER a écrit : 160 euros le ml en millieu rural ?!! là je crois que tu dois changer de boite de TP ! Bon j'avoue j'exagère un peu, autant de GC pour un si petit besoin, sans meme prévoir l'après Cu, ça me fout en rogne! Sinon une norme datant de 2/3 ans permet un écartement de 5 cm au lieu de 20 entre le réseau telecom fibre et un câble électrique BT ou MT. Je vais aller me documenter sur la question, ca va nous faire gagner du temps. Merci! Sinon le mieux, brule ce NRA MED servant à rénover le réseau d'un operateur privé et courant aussi chère que du ftth.. On est bien d'accord mais c'est un CG qui veut parce-qu’un ministre leur a dit que c'est ce qu'il fallait faire. Du coup, y'en a une bonne centaine à créer sur 5ans, autant de ressources en moins pour du déploiement FTTx. Bruno -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Sebastien Lesimple Envoyé : jeudi 16 janvier 2014 20:07 À : frnog-m...@frnog.org Objet : [FRnOG] [MISC] Cohabitation FO et BT/MT Bonjour, J'ai question vraiment bête mais à laquelle je ne connais pas la réponse... Existe-t-il une norme, interdisant de faire cohabiter dans un meme fourreau, un cable FO dielectrique et un cable d'alimentation 220V? Sachant qu'en milieu rural, on nous impose encore et toujours de faire des tranchées de 120x80 avec 4 gros fourreaux et filet avertisseur à 160 euro le ML (pas grave c'est de l'argent public...) pour créer des NRA-MED de 30-80 lignes en refusant l'enfouissement direct parceque c'est pas bien, je m’attend a tout... Je ne suis pas dans la Doctrine Darodesque qui veut que l'on augmentent le niveau de normes dans les déploiement FO mais autant savoir quoi répondre le jour ou l'on nous emmerdera avec ca. Merci, Seb. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
