Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[David Ponzone]

Oui je me suis mal exprimé.
Je ne parlais pas de responsabilité contractuelle, mais plutôt de surveillance 
du réseau.

> Le 26 mai 2020 à 09:23, Radu-Adrian Feurdean  
> a écrit :
> 
> On Sat, May 23, 2020, at 21:49, David Ponzone wrote:
> 
>> -si t’es FAI (GP ou Pro), tu as des clients identifiés (non-anonymes), 
>> et tu es limite responsable de leur sécurité, donc s’ils ouvrent un 
> 
> Non. Si le contrat ne le prevoit pas, non. Surtout pas en GP.
> 
> Il ne faut pas essayer de transposer les pratiques des (petits) operateurs 
> B2B au GP. Ca ne marche pas, l'approche "gestion de la securite" en tete.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[Radu-Adrian Feurdean]

On Sat, May 23, 2020, at 21:49, David Ponzone wrote:

> -si t’es FAI (GP ou Pro), tu as des clients identifiés (non-anonymes), 
> et tu es limite responsable de leur sécurité, donc s’ils ouvrent un 

Non. Si le contrat ne le prevoit pas, non. Surtout pas en GP.

Il ne faut pas essayer de transposer les pratiques des (petits) operateurs B2B 
au GP. Ca ne marche pas, l'approche "gestion de la securite" en tete.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[Pavel Polyakov]

On Sat, 23 May 2020 21:49:00 +0200
David Ponzone  wrote:

> Quand c’est répété, durable pendant au moins plusieurs heures, vers
> plusieurs IP chez moi, j’appelle pas ça du scan.

Oui sauf que tu ne donnes pas les détails correctement. Si tu reçois
une attaque qui pérturbe ton réseau c'est tout à fait légitime que tu
te plaignes mais ce n'est pas le ressenti en lisant ton premier message.

> Ceci dit, je suis un peu effaré de constater que la tendance c’est:
> -si t’es FAI (GP ou Pro), tu as des clients identifiés
> (non-anonymes), et tu es limite responsable de leur sécurité, donc
> s’ils ouvrent un port RDP parce qu’ils sont ignares, faut que je leur
> vende un Fortinet avec du SSL pour qu’ils sécurisent leurs accès de
> l’extérieur

Nous avons des utilisateurs de Microsoft qui utilisent le RDP en écoute
sur le port standard et sur l'Internet sans filtrage, pas de problèmes.

Si ton client fait ça avec Windows NT 4.0 alors désolé, mais j'ai du
mal à avoir de la compassion.

Ensuite, que le client soit un particulier ou un pro, anonyme ou non,
je ne vois aucune différence à faire.

Si tu dois vendre Fortinet à ton client, ça veut dire que tu ne sais
pas faire le truc toi-même et ça, c'est pas bon pour toi.

PP


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[David Ponzone]

> Le 23 mai 2020 à 13:49, Vincent Bernat  a écrit :
> 
> 
> Aucune mesure de sécurité ne peut reposer sur le fait qu'un port ouvert
> n'est pas une donnée publique. À partir de là, rapporter le moindre scan
> de port ne conduit qu'à rendre insensible les services d'abuse et à
> passer à côté des problèmes plus sérieux.

On va vite fait de se faire mettre dans une case ces temps-ci….

J’ai pas pour habitude de rapporter le moindre scan.
Quand c’est répété, durable pendant au moins plusieurs heures, vers plusieurs 
IP chez moi, j’appelle pas ça du scan.

Ceci dit, je suis un peu effaré de constater que la tendance c’est:
-si t’es FAI (GP ou Pro), tu as des clients identifiés (non-anonymes), et tu es 
limite responsable de leur sécurité, donc s’ils ouvrent un port RDP parce 
qu’ils sont ignares, faut que je leur vende un Fortinet avec du SSL pour qu’ils 
sécurisent leurs accès de l’extérieur
-si t’es hébergeur, tu peux héberger n’importe qui, sans forcément contrôler 
son identité, en prenant du Bitcoin comme moyen de paiement, et t’as pas à 
vérifier ce que le serveur émet comme saloperies, c’est pas ton problème



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[Pavel Polyakov]

On Sat, 23 May 2020 13:49:49 +0200
Vincent Bernat  wrote:

> Shodan répertorie l'intégralité des ports ouverts sur IPv4. Il recense
> 4,5 millions de ports RDP ouverts, notamment via les clouds providers
> fournissant des Windows. Si j'y entre mon IP (dynamique Orange), il y
> découvre mon serveur web ainsi que mon SSH sur un port non standard.
> Il a scanné ma machine hier.

Oui et il y a d'autres organisations qui font la même chose. On en a
quelques-unes et en plus il me semble que généralement ils ont comme
politique de ne pas rescanner ceux qui se plaignent.

> Aucune mesure de sécurité ne peut reposer sur le fait qu'un port
> ouvert n'est pas une donnée publique. À partir de là, rapporter le
> moindre scan de port ne conduit qu'à rendre insensible les services
> d'abuse et à passer à côté des problèmes plus sérieux.

Oui, heuresement qu'il n'est pas difficile de différencier les messages
intéressants de ceux qui ne servent à rien.

PP


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[Vincent Bernat]

 ❦ 23 mai 2020 09:54 +00, Duchet Rémy:

> J'ai quand même l'impression que ce fil est en train de disserter sur
> la longueur de la jupe de la dame, en oubliant qu'il y a une (ou des)
> victimes.

IMO, les analogies avec la vie réelle sont rarement pertinentes : je
peux en trouver une qui dit exactement l'inverse. Si je décide de ne pas
mettre de porte à ma maison car je trouve ça laid, est-ce que la police
va se déplacer pour chaque personne qui vient visiter pendant mon
absence ?

> Aujourd'hui on parle de scan RDP, mais c'est la même chose pour
> n'importe quel service. Croire que le service XX sera épargné parce
> qu'il est protégé par la solution YY, et que du coup, on s'en tape du
> scan, c'est se mettre des œillères.

Shodan répertorie l'intégralité des ports ouverts sur IPv4. Il recense
4,5 millions de ports RDP ouverts, notamment via les clouds providers
fournissant des Windows. Si j'y entre mon IP (dynamique Orange), il y
découvre mon serveur web ainsi que mon SSH sur un port non standard. Il
a scanné ma machine hier.

Aucune mesure de sécurité ne peut reposer sur le fait qu'un port ouvert
n'est pas une donnée publique. À partir de là, rapporter le moindre scan
de port ne conduit qu'à rendre insensible les services d'abuse et à
passer à côté des problèmes plus sérieux.
-- 
Use uniform input formats.
- The Elements of Programming Style (Kernighan & Plauger)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[Duchet Rémy]

J'ai quand même l'impression que ce fil est en train de disserter sur la 
longueur de la jupe de la dame, en oubliant qu'il y a une (ou des) victimes.
Aujourd'hui on parle de scan RDP, mais c'est la même chose pour n'importe quel 
service. 
Croire que le service XX sera épargné parce qu'il est protégé par la solution 
YY, et que du coup, on s'en tape du scan, c'est se mettre des œillères. 


Rémy 
-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of 
Radu-Adrian Feurdean
Sent: samedi, 23 mai 2020 10:57
To: frnog@frnog.org
Subject: Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

On Fri, May 22, 2020, at 19:48, David Ponzone wrote:
> Votre politique de (non-)gestion de vos clients vous regardent, je 
> n’ai aucun problème avec ça (sauf qu’à force, la Terre entière aura un 
> DENY sur *.ua), et moi de même, je gère les clients et les clients de 
> mes clients comme je l’entends, c’est-à-dire que j’ai un devoir de 
> conseil, mais aucun droit de leur faire la leçon.

La gestion "molle" des "abus" c'est un peu la regle a partir d'une certaine 
taille, pour plusieurs raisons:
 - ceux qui envoient un email a abuse@ a chaque paquet arrivant chez eux qu'ils 
n'aiment pas
 - pourcentage tres faible de client "problematiques" x grand nombre de clients 
= nombre non-negligeable de clients problematiques
 - la gestion des abus "un par un" ca prend beaucoup de temps et ca NE RAPPORTE 
RIEN ($$$)

On ajoute le fait que d'office l'internet n'est pas une "environnement 
sterile", malgre le desir de certains.

Ca fait pas si longtemps, j'entendais des "petits" operateurs aux US (ca se 
passait sur NANOG) se plaindre d'un certain "petit hebergeur francais, qui 
d'apres eux ca fait que heberger des mecreants. Ca a cote d'OVH, qui avait un 
peu la meme reputation, modulo qu'ils savaient que ce n'est pas exactement 
"petit". Cet hebergeur, appele "Online" il fallait le banir eniterement, ainsi 
que son transitaire chelou, "PoneyTelecom".

Evidemment, vu de ce cote de l'atlantique, les choses ne sont pas du tout 
pareil. Online == PoneyTelecom == Scaleway (mais avec un peu d'effort ca se 
voit aussi depuis les US), ce ne colle absolutement pas dans la categorie 
"petit". Par ici je doute qu'il y en a qui osent les filtrer completement, meme 
si de temps en on a tous des portscans venant de leurs reseaux.

Des problemes de "scan RDP" ? Assure-toi que ca reste que du scan. Si ca 
devient du DoS, oui ca peut justifier de monter le ton, par contre si ca finit 
par une intrusion, c'est que tu (ou ton client) n'as pas bien fait ton boulot.

> Si je suis votre raisonnement, si j’ai un terrain entouré par une 
> barrière de 30cm et qu’un mec laisse ses chiens sauter la barrière 
> pour y déféquer, c’est de ma faute.

Si tu as un terrain, s'il y a des chiens qui se promenent a cote, oui, c'est ta 
faute. Si c'est juste pour un ou 2 cas isoles, ton point de vue ca peut se 
defendre, mais ca reste toujours une mauvaise idee. Apres, entre mini-barriere 
de 30cm et le mur en beton de 3m, il y a plein d'options intermediaires, plus 
ou moins efficaces, plus ou moins moches.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


smime.p7s
Description: S/MIME cryptographic signature

Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[Radu-Adrian Feurdean]

On Fri, May 22, 2020, at 19:48, David Ponzone wrote:
> Votre politique de (non-)gestion de vos clients vous regardent, je n’ai 
> aucun problème avec ça (sauf qu’à force, la Terre entière aura un DENY 
> sur *.ua), et moi de même, je gère les clients et les clients de mes 
> clients comme je l’entends, c’est-à-dire que j’ai un devoir de conseil, 
> mais aucun droit de leur faire la leçon.

La gestion "molle" des "abus" c'est un peu la regle a partir d'une certaine 
taille, pour plusieurs raisons:
 - ceux qui envoient un email a abuse@ a chaque paquet arrivant chez eux qu'ils 
n'aiment pas
 - pourcentage tres faible de client "problematiques" x grand nombre de clients 
= nombre non-negligeable de clients problematiques
 - la gestion des abus "un par un" ca prend beaucoup de temps et ca NE RAPPORTE 
RIEN ($$$)

On ajoute le fait que d'office l'internet n'est pas une "environnement 
sterile", malgre le desir de certains.

Ca fait pas si longtemps, j'entendais des "petits" operateurs aux US (ca se 
passait sur NANOG) se plaindre d'un certain "petit hebergeur francais, qui 
d'apres eux ca fait que heberger des mecreants. Ca a cote d'OVH, qui avait un 
peu la meme reputation, modulo qu'ils savaient que ce n'est pas exactement 
"petit". Cet hebergeur, appele "Online" il fallait le banir eniterement, ainsi 
que son transitaire chelou, "PoneyTelecom".

Evidemment, vu de ce cote de l'atlantique, les choses ne sont pas du tout 
pareil. Online == PoneyTelecom == Scaleway (mais avec un peu d'effort ca se 
voit aussi depuis les US), ce ne colle absolutement pas dans la categorie 
"petit". Par ici je doute qu'il y en a qui osent les filtrer completement, meme 
si de temps en on a tous des portscans venant de leurs reseaux.

Des problemes de "scan RDP" ? Assure-toi que ca reste que du scan. Si ca 
devient du DoS, oui ca peut justifier de monter le ton, par contre si ca finit 
par une intrusion, c'est que tu (ou ton client) n'as pas bien fait ton boulot.

> Si je suis votre raisonnement, si j’ai un terrain entouré par une 
> barrière de 30cm et qu’un mec laisse ses chiens sauter la barrière pour 
> y déféquer, c’est de ma faute.

Si tu as un terrain, s'il y a des chiens qui se promenent a cote, oui, c'est ta 
faute. Si c'est juste pour un ou 2 cas isoles, ton point de vue ca peut se 
defendre, mais ca reste toujours une mauvaise idee. Apres, entre mini-barriere 
de 30cm et le mur en beton de 3m, il y a plein d'options intermediaires, plus 
ou moins efficaces, plus ou moins moches.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[Pavel Polyakov]

On Fri, 22 May 2020 19:48:42 +0200
David Ponzone  wrote:

> Votre politique de (non-)gestion de vos clients vous regardent, je
> n’ai aucun problème avec ça (sauf qu’à force, la Terre entière aura
> un DENY sur *.ua)

Non, il y a des FAIs en France et dans bien d'autres pays avec la même
politique. Quant à nous, nous gérons les plaintes à condition qu'elles
soient sérieuses. Si par exemple, votre réseau venait à subir une
attaque qui portrait atteinte au fonctionnement correcte de votre
réseau, comme un déni de service, vous pouvez être certain que nous
interviendrions très rapidement. Il se trouve qu'il n'y a pas ce genre
d'activités sur notre réseau.

> et moi de même, je gère les clients et les clients de mes clients
> comme je l’entends, c’est-à-dire que j’ai un devoir de conseil, mais
> aucun droit de leur faire la leçon.

Tout à fait. Vous avez tout à fait le droit de filtrer tout l'espace
Internet Ukrainien et moi j'ai tout à fait le droit d'informer vos
clients que c'est inutile et qu'il y a des façons de faire plus propres.

> Si je suis votre raisonnement, si j’ai un terrain entouré par une
> barrière de 30cm et qu’un mec laisse ses chiens sauter la barrière
> pour y déféquer, c’est de ma faute. Intéressant conception.

Ce n'est pas comme ça que fonctionne l'Internet. En prenant votre
exemple il faudrait expliquer que vous rendez votre terrain accessible
depuis mon propre terrain et que vous me permettez d'y transporter des
paquets. Alors, quand on fait ce genre de choses, on peut chouiner
qu'il y a des gamins qui sont entrés parce que le code de la barrière
était 12345, sinon on peut mettre une vraie barrière avec un vrai code
et ne plus s'en faire.

Je ne cautionne pas les activités de script-kiddies. J'encourage les
gamins à faire des choses plus intélligentes mais dans ce cas il s'agit
d'un phénomène absolument trivial et qui ne nécessite aucune action
particulière.

Bien sûr, ça serait génial de pouvoir laisser de la merde en ligne sans
que personne ne s'y approche, mais je pense que c'est utopique et je ne
vois pas comment réaliser un tel projet sans passer par la tyrannie.

> Quant à ArubaCloud, ils n’ont pas répondu, évidemment.

Alors tout va bien.

PP


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[David Ponzone]

Je ne vous connais pas Monsieur, mais je ne vais pas vous faire l’affront de 
penser que vous n’aviez pas compris ce que je voulais dire par « repère 
d’activités douteuses ».

Votre politique de (non-)gestion de vos clients vous regardent, je n’ai aucun 
problème avec ça (sauf qu’à force, la Terre entière aura un DENY sur *.ua), et 
moi de même, je gère les clients et les clients de mes clients comme je 
l’entends, c’est-à-dire que j’ai un devoir de conseil, mais aucun droit de leur 
faire la leçon.

Si je suis votre raisonnement, si j’ai un terrain entouré par une barrière de 
30cm et qu’un mec laisse ses chiens sauter la barrière pour y déféquer, c’est 
de ma faute.
Intéressant conception.

Quant à ArubaCloud, ils n’ont pas répondu, évidemment.


> Le 22 mai 2020 à 19:34, Pavel Polyakov  a écrit :
> 
> On Tue, 19 May 2020 14:48:54 +0200
> David Ponzone  wrote:
> 
>> Sérieusement, les mecs me gonflent.
>> Si ArubaCloud France est un repère d’activités douteuses (y a pas mal
>> d’IP de chez eux, par rapport au « peu » d’IP qu’ils annoncent, qui
>> sont listées pour activités douteuses), tant pis pour eux. Et si
>> abuse@aruba ne répond pas, ça me confirmera que bloquer le préfixe
>> n’est pas une mauvaise idée.
> 
> Chez nous il y a beaucoup d'utilisateurs qui font tourner des relais
> Tor. Évidemment il y a des tas de script-kiddies qui utilisent Tor pour
> scanner l'Internet et du coup on reçoit des emails à abuse@ de
> pleurnicheurs qui chouinent parce qu'il y a eu un scan de SSH/RDP et
> autres.
> 
> Dans ces cas là on répond, quand on du temps à perdre, qu'on ne voit pas
> où est le problème sachant que ça ne pérturbe en rien leur service et
> que si ils se font compromettre de cette manière le problème se situe
> chez eux et pas chez nous.
> 
> Il faut aussi souvent leur expliquer que si cette activité n'était pas
> aussi fructueuse à cause de la merde disponible en ligne, il y en
> aurait sûrement moins.
> 
> On leur dit par la même occasion que si ils utilisaient de l'IPv6 et
> qu'ils l'utilisaient correctement, ils n'auraient probablement pas ce
> phénomène.
> 
> Parfois un pleurnicheur s'obstine. Dans ce cas on lui dit qu'on peut
> contacter son client pour lui proposer de s'occuper de sa sécurité à sa
> place et que ça ne nécessitera aucune utilisation de blacklists,
> antivirus ou autres conneries.
> 
> Je ne connais pas ArubaCloud, mais juger que c'est un repère
> d'activités douteuses en se basant là-dessus, je doute plus de celui
> qui se plaint.
> 
> PP
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[Pavel Polyakov]

On Tue, 19 May 2020 14:48:54 +0200
David Ponzone  wrote:

> Sérieusement, les mecs me gonflent.
> Si ArubaCloud France est un repère d’activités douteuses (y a pas mal
> d’IP de chez eux, par rapport au « peu » d’IP qu’ils annoncent, qui
> sont listées pour activités douteuses), tant pis pour eux. Et si
> abuse@aruba ne répond pas, ça me confirmera que bloquer le préfixe
> n’est pas une mauvaise idée.

Chez nous il y a beaucoup d'utilisateurs qui font tourner des relais
Tor. Évidemment il y a des tas de script-kiddies qui utilisent Tor pour
scanner l'Internet et du coup on reçoit des emails à abuse@ de
pleurnicheurs qui chouinent parce qu'il y a eu un scan de SSH/RDP et
autres.

Dans ces cas là on répond, quand on du temps à perdre, qu'on ne voit pas
où est le problème sachant que ça ne pérturbe en rien leur service et
que si ils se font compromettre de cette manière le problème se situe
chez eux et pas chez nous.

Il faut aussi souvent leur expliquer que si cette activité n'était pas
aussi fructueuse à cause de la merde disponible en ligne, il y en
aurait sûrement moins.

On leur dit par la même occasion que si ils utilisaient de l'IPv6 et
qu'ils l'utilisaient correctement, ils n'auraient probablement pas ce
phénomène.

Parfois un pleurnicheur s'obstine. Dans ce cas on lui dit qu'on peut
contacter son client pour lui proposer de s'occuper de sa sécurité à sa
place et que ça ne nécessitera aucune utilisation de blacklists,
antivirus ou autres conneries.

Je ne connais pas ArubaCloud, mais juger que c'est un repère
d'activités douteuses en se basant là-dessus, je doute plus de celui
qui se plaint.

PP


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[Wallace]

Analyse des logs ou du netflow si tu as la capacité, ça permet
d'analyser tout ton réseau peu importe quel équipementier ou logiciel
envoi les logs.

Le 19/05/2020 à 18:19, Ronan Fontenay a écrit :
> Bonsoir,
>
> Si je peux me permettre, comment détectez-vous ce genre de choses ? Chez
> moi, peu de services ouverts, et le peu qui le sont sont filtrés par plage
> IP. Les logs du FW sont effectivement pleins de demandes illégitimes. Vous
> monitorez ça comment ?
>
> Merci,
>
> Ronan
>
> On Tue, May 19, 2020 at 4:11 PM David Ponzone 
> wrote:
>
>> C’est vrai mais les solutions OTP sur un firewall sont très simples à
>> déployer.
>>
>> On peut mettre un OTP facilement sur un compte RDP ?
>>
>>
>>> Le 19 mai 2020 à 16:05, pisrateurb...@free.fr a écrit :
>>>
>>> Pourquoi jouer plus avec le feu qu'avec n'importe quelles solutions
>> chiffrées login + password y compris un VPN ?
>>> - Mail original -----
>>> De: err...@free.fr
>>> À: frnog@frnog.org
>>> Envoyé: Mardi 19 Mai 2020 14:05:18
>>> Objet: Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132
>>>
>>> ...
>>>>>>> Bonjour,
>>>>>>>
>>>>>>> Je remarque pas mal de scan RDP venant de 94.177.238.132 vers pas
>> mal d’IP chez nous (qui ont un service RDP accessible).
>>> ...
>>>
>>> avoir RDP exposé sur Internet, ce n'est pas un peu jouer avec le feu?
>>> ça ne serait pas possible de le faire écouter seulement depuis les
>> interfaces ou ip d'un vpn?
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[Hugo SIMANCAS]

Bien au nombre de requêtes par seconde par IP et sur certains drop de ton 
firewall (la plupart des firewalls ont des alarmes dans ce sens).

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Ronan 
Fontenay
Envoyé : mardi 19 mai 2020 18:20
À : frnog-requ...@frnog.org; David Ponzone 
Cc : frnog@frnog.org
Objet : Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

Bonsoir,

Si je peux me permettre, comment détectez-vous ce genre de choses ? Chez moi, 
peu de services ouverts, et le peu qui le sont sont filtrés par plage IP. Les 
logs du FW sont effectivement pleins de demandes illégitimes. Vous monitorez ça 
comment ?

Merci,

Ronan

On Tue, May 19, 2020 at 4:11 PM David Ponzone 
wrote:

> C’est vrai mais les solutions OTP sur un firewall sont très simples à 
> déployer.
>
> On peut mettre un OTP facilement sur un compte RDP ?
>
>
> > Le 19 mai 2020 à 16:05, pisrateurb...@free.fr a écrit :
> >
> > Pourquoi jouer plus avec le feu qu'avec n'importe quelles solutions
> chiffrées login + password y compris un VPN ?
> >
> > - Mail original -
> > De: err...@free.fr
> > À: frnog@frnog.org
> > Envoyé: Mardi 19 Mai 2020 14:05:18
> > Objet: Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132
> >
> > ...
> >>>>> Bonjour,
> >>>>>
> >>>>> Je remarque pas mal de scan RDP venant de 94.177.238.132 vers 
> >>>>> pas
> mal d’IP chez nous (qui ont un service RDP accessible).
> > ...
> >
> > avoir RDP exposé sur Internet, ce n'est pas un peu jouer avec le feu?
> > ça ne serait pas possible de le faire écouter seulement depuis les
> interfaces ou ip d'un vpn?
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > https://antiphishing.vadesecure.com/1/aHVnby5zaW1hbmNhc0BkYXRhLWV4cG
> > VydGlzZS5jb218VlJDNDc0NjUz/www.frnog.org/
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > https://antiphishing.vadesecure.com/1/aHVnby5zaW1hbmNhc0BkYXRhLWV4cG
> > VydGlzZS5jb218VlJDNDc0NjUz/www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> https://antiphishing.vadesecure.com/1/aHVnby5zaW1hbmNhc0BkYXRhLWV4cGVy
> dGlzZS5jb218VlJDNDc0NjUz/www.frnog.org/
>

---
Liste de diffusion du FRnOG
https://antiphishing.vadesecure.com/1/aHVnby5zaW1hbmNhc0BkYXRhLWV4cGVydGlzZS5jb218VlJDNDc0NjUz/www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[Ronan Fontenay]

Bonsoir,

Si je peux me permettre, comment détectez-vous ce genre de choses ? Chez
moi, peu de services ouverts, et le peu qui le sont sont filtrés par plage
IP. Les logs du FW sont effectivement pleins de demandes illégitimes. Vous
monitorez ça comment ?

Merci,

Ronan

On Tue, May 19, 2020 at 4:11 PM David Ponzone 
wrote:

> C’est vrai mais les solutions OTP sur un firewall sont très simples à
> déployer.
>
> On peut mettre un OTP facilement sur un compte RDP ?
>
>
> > Le 19 mai 2020 à 16:05, pisrateurb...@free.fr a écrit :
> >
> > Pourquoi jouer plus avec le feu qu'avec n'importe quelles solutions
> chiffrées login + password y compris un VPN ?
> >
> > - Mail original -
> > De: err...@free.fr
> > À: frnog@frnog.org
> > Envoyé: Mardi 19 Mai 2020 14:05:18
> > Objet: Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132
> >
> > ...
> >>>>> Bonjour,
> >>>>>
> >>>>> Je remarque pas mal de scan RDP venant de 94.177.238.132 vers pas
> mal d’IP chez nous (qui ont un service RDP accessible).
> > ...
> >
> > avoir RDP exposé sur Internet, ce n'est pas un peu jouer avec le feu?
> > ça ne serait pas possible de le faire écouter seulement depuis les
> interfaces ou ip d'un vpn?
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[David Ponzone]

C’est vrai mais les solutions OTP sur un firewall sont très simples à déployer.

On peut mettre un OTP facilement sur un compte RDP ?


> Le 19 mai 2020 à 16:05, pisrateurb...@free.fr a écrit :
> 
> Pourquoi jouer plus avec le feu qu'avec n'importe quelles solutions chiffrées 
> login + password y compris un VPN ?
> 
> - Mail original -
> De: err...@free.fr
> À: frnog@frnog.org
> Envoyé: Mardi 19 Mai 2020 14:05:18
> Objet: Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132
> 
> ...
>>>>> Bonjour,
>>>>> 
>>>>> Je remarque pas mal de scan RDP venant de 94.177.238.132 vers pas mal 
>>>>> d’IP chez nous (qui ont un service RDP accessible).
> ...
> 
> avoir RDP exposé sur Internet, ce n'est pas un peu jouer avec le feu?
> ça ne serait pas possible de le faire écouter seulement depuis les interfaces 
> ou ip d'un vpn?
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[pisrateurboun]

Pourquoi jouer plus avec le feu qu'avec n'importe quelles solutions chiffrées 
login + password y compris un VPN ?

- Mail original -
De: err...@free.fr
À: frnog@frnog.org
Envoyé: Mardi 19 Mai 2020 14:05:18
Objet: Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

...
>>>> Bonjour,
>>>>
>>>> Je remarque pas mal de scan RDP venant de 94.177.238.132 vers pas mal d’IP 
>>>> chez nous (qui ont un service RDP accessible).
...

avoir RDP exposé sur Internet, ce n'est pas un peu jouer avec le feu?
ça ne serait pas possible de le faire écouter seulement depuis les interfaces 
ou ip d'un vpn?


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[Sébastien COUREAU]

Oups ^^


Regarde juste un pauv' tcpdump udp sur le port 111 et tu vas voir que
les "bots" de DDoS de memcached sont toujours opérant même si tu n'es
en LISTEN que sur la loopback ;)


lire "port 11211" ^^

--
Lifo.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[David Ponzone]

> Le 19 mai 2020 à 13:44, Wallace  a écrit :
> 
> Tout le prefix pour une IP qui pose problème et sans doute pas
> intentionnellement (piratage), c'est pas un peu trop?


Sérieusement, les mecs me gonflent.
Si ArubaCloud France est un repère d’activités douteuses (y a pas mal d’IP de 
chez eux, par rapport au « peu » d’IP qu’ils annoncent, qui sont listées pour 
activités douteuses), tant pis pour eux.
Et si abuse@aruba ne répond pas, ça me confirmera que bloquer le préfixe n’est 
pas une mauvaise idée.


> Le 19 mai 2020 à 14:05, err...@free.fr a écrit :

> 
> avoir RDP exposé sur Internet, ce n'est pas un peu jouer avec le feu?
> ça ne serait pas possible de le faire écouter seulement depuis les interfaces 
> ou ip d'un vpn?

En tant qu’opérateur, j’ai pas de leçons à donner à nos clients. Encore moins 
aux prestataires info de nos clients, qui sont les vrais boulets dans 
l’histoire, et qui sont absolument convaincus d’être hautement compétents, et 
puis en plus, y a pas de failles dans les OS MS, c’est bien connu.
Mais tu prêches un convaincu :)
Faut attendre qu’ils se fassent cryptolocker, et puis après, la discussion 
devient plus facile.


> Le 19 mai 2020 à 14:20, Sébastien COUREAU  a écrit :
> 
> Hi !
> Je partage, mais ce n'est pas parce que tu es scanné que tu es en écoute sur 
> ces mêmes ports ;)
> 
> Regarde juste un pauv' tcpdump udp sur le port 111 et tu vas voir que les 
> "bots" de DDoS de memcached sont toujours opérant même si tu n'es en LISTEN 
> que sur la loopback ;)

Dans le cas présent, ils ont trouvé des ports RDP ouverts, et ils tentent du 
bruteforce dessus, mais pas violent, donc je sais pas trop ce qu’ils espèrent 
(un compte avec 12345678 comme mot de passe ?).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[Sébastien COUREAU]

Hi !
Je partage, mais ce n'est pas parce que tu es scanné que tu es en écoute 
sur ces mêmes ports ;)


Regarde juste un pauv' tcpdump udp sur le port 111 et tu vas voir que 
les "bots" de DDoS de memcached sont toujours opérant même si tu n'es en 
LISTEN que sur la loopback ;)


My 2cents

Le 2020-05-19 14:05, err...@free.fr a écrit :

...

Bonjour,

Je remarque pas mal de scan RDP venant de 94.177.238.132 vers pas 
mal d’IP chez nous (qui ont un service RDP accessible).

...

avoir RDP exposé sur Internet, ce n'est pas un peu jouer avec le feu?
ça ne serait pas possible de le faire écouter seulement depuis les
interfaces ou ip d'un vpn?


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[err404]

...
 Bonjour,

 Je remarque pas mal de scan RDP venant de 94.177.238.132 vers pas mal d’IP 
 chez nous (qui ont un service RDP accessible).
...

avoir RDP exposé sur Internet, ce n'est pas un peu jouer avec le feu?
ça ne serait pas possible de le faire écouter seulement depuis les interfaces 
ou ip d'un vpn?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[Wallace]

Tout le prefix pour une IP qui pose problème et sans doute pas
intentionnellement (piratage), c'est pas un peu trop?

Un système de blacklist automatique d'ip au niveau routeurs basé sur les
honeypots sur le réseau c'est une bonne réponse aussi.

Le 19/05/2020 à 11:55, David Ponzone a écrit :
> Ok merci, je contacte ab...@staff.aruba.it  (pas 
> de contact abuse pour l’AS français).
> Si ça répond pas, je filtre tout le préfixe.
>
>> Le 19 mai 2020 à 10:47, Michaël Couren  a écrit :
>>
>>
>>
>> - Le 19 Mai 20, à 9:50, David Ponzone david.ponz...@gmail.com a écrit :
>>
>>> Bonjour,
>>>
>>> Je remarque pas mal de scan RDP venant de 94.177.238.132 vers pas mal d’IP 
>>> chez
>>> nous (qui ont un service RDP accessible).
>>> Si d’autres personnes constatent ceci, j’aurais la certitude que ce n’est 
>>> pas
>>> légitime (étant donnée la réputation d’autres IP dans le même subnet
>>> ArubaCloud, j’ai pas beaucoup de doutes…..).
>>> Et si quelqu’un d’ArubaCloud est sur la liste, je l’invite à réagir.
>>>
>>> David
>> Bonjour, idem chez nous, scan discret sur tcp 3389
>>
>> -- 
>> Cordialement / Best regards, Michaël Couren,
>> ABES, Montpellier, France.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[David Ponzone]

Ok merci, je contacte ab...@staff.aruba.it  (pas 
de contact abuse pour l’AS français).
Si ça répond pas, je filtre tout le préfixe.

> Le 19 mai 2020 à 10:47, Michaël Couren  a écrit :
> 
> 
> 
> - Le 19 Mai 20, à 9:50, David Ponzone david.ponz...@gmail.com a écrit :
> 
>> Bonjour,
>> 
>> Je remarque pas mal de scan RDP venant de 94.177.238.132 vers pas mal d’IP 
>> chez
>> nous (qui ont un service RDP accessible).
>> Si d’autres personnes constatent ceci, j’aurais la certitude que ce n’est pas
>> légitime (étant donnée la réputation d’autres IP dans le même subnet
>> ArubaCloud, j’ai pas beaucoup de doutes…..).
>> Et si quelqu’un d’ArubaCloud est sur la liste, je l’invite à réagir.
>> 
>> David
> 
> Bonjour, idem chez nous, scan discret sur tcp 3389
> 
> -- 
> Cordialement / Best regards, Michaël Couren,
> ABES, Montpellier, France.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Scan RDP venant de 94.177.238.132

[Michaël Couren]

- Le 19 Mai 20, à 9:50, David Ponzone david.ponz...@gmail.com a écrit :

> Bonjour,
> 
> Je remarque pas mal de scan RDP venant de 94.177.238.132 vers pas mal d’IP 
> chez
> nous (qui ont un service RDP accessible).
> Si d’autres personnes constatent ceci, j’aurais la certitude que ce n’est pas
> légitime (étant donnée la réputation d’autres IP dans le même subnet
> ArubaCloud, j’ai pas beaucoup de doutes…..).
> Et si quelqu’un d’ArubaCloud est sur la liste, je l’invite à réagir.
> 
> David

Bonjour, idem chez nous, scan discret sur tcp 3389

-- 
Cordialement / Best regards, Michaël Couren,
ABES, Montpellier, France.


---
Liste de diffusion du FRnOG
http://www.frnog.org/