Re: [FRnOG] [TECH] NAT, Free et ports bas
Le 09/06/2020 à 22:17, Philippe Bourcier a écrit : Bonsoir, Bonjour, Dans mes années de conseil en sécu j'ai jamais vu une règle pareil côté Internet... ca me parait totalement inutile car ca n'enlève qu'une partie des scans... hors arrêter les scans on s'en fout vu que ce qui compte c'est que les services soient safe et/ou filtrés par IP source... mais diminuer le volume de scan ne me semble présenter aucun intérêt. Je reste persuadé que 30% de trucs qui peuvent être dégagés par un filtrage "simple" évite que ces 30% ne "consomment" des filtrages complexes, suivant le principe du raffinage. Il est vrai que nous sommes un cas particulier : une université se doit d'accepter quasiment la terre entière comme "client". Nous avons des étudiants burkinabés, chinois, russes, irakiens, afghans, norvégiens, etc. Donc le filtrage par IP source ne nous est pas forcément "accessible". Au final, cependant, je crois que le choix s'impose, on ne dégagera plus les ports inférieurs à 1024. Nous verrons quel impact cela aura sur notre infra de protection. Merci en tout cas pour vos avis à tous. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] NAT, Free et ports bas
Bonjour à tous, Première question de ma part. Je suis responsable sys et réseau dans une université avec 2 étudiants. La période actuelle nous permet de découvrir des problèmes "plutôt rares", mais gênants, le dernier en date étant la transformation NAT A+P de Free (les exemples qui nous sont remontés sont systématiquement liés à Free pour l'instant). Notre Firewall est conçu pour bloquer toutes les communications "non standard", telles que des ports bas vers d'autres ports pas. Mais le NAT A+P de Free ne semble pas du tout prendre en compte ce principe, ce qui fait que nous bloquons un nombre "important" de requêtes légitimes. A la dernière analyse, ce comportement (connexion d'un port bas vers le port 80 par exemple) était à 96% du à des scanners de vulnérabilités (on ne va pas dire pirates.), mais les 4% restants sont des étudiants et personnels chez Free. (Je résume). Docteur(s), suis-je psycho-rigide ? Sommes-nous le seul cas ? Dois-je : - prier le dieu Free afin que dans sa clémence il corrige ce comportement - me dire "ranapéter, je continue de bloquer" - me dire "Ils sont trop grands, je suis trop petit, j'accepte" - multiplier par 4 la taille de mes règles iptables afin de désactiver les ports bas quand il s'agit de free et ainsi rendre honneur au plat préféré de mes femmes : les spaghettis - faire honneur à mon pays du rugby, avec un magnifique bottage en touche en disant aux utilisateurs "takademanderuneipfisc" - "42" Merci d'avance de vos réponses. --- Liste de diffusion du FRnOG http://www.frnog.org/