Dans la série « amusons-nous à faire une liste des coquins », j’ai pris un peu
de temps il y a quelques jours pour monter une VM sur laquelle j’ai mis toutes
mes IP libres qui font partie de subnets configurés sur des interfaces
broadcast.
Déjà, ça réduit beaucoup le bruit sur le LAN (à cause
Alors ipdeny a un "léger" soucis, c'est basé sur le pays du LIR. Or, certains
"FAI"
comme Colt sont basés... en UK.
Résultat, si tu as un client derrière une fibre Colt, et que tu n'autorises que
le FR
de ipdeny, il ne passera pas ton firewall.
Merci Arnaud pour l'explication...
En tout
Le Sat, Jan 27, 2024 at 08:48:17AM +0100, Stéphane Rivière a écrit:
> > https://www.ipdeny.com/ipblocks/
> J'ai presque le double de blocks avec ip2location (~7800), ça fait un gros
> delta...
> Qui croire... Enfin si les gros fixes et mobiles y sont...
Alors ipdeny a un "léger" soucis, c'est
io,
> On 26 Jan 2024, at 11:24, Daniel Caillibaud wrote:
>
> J'ai aussi viré fail2ban y'a pas mal d'années, en imposant les clé ssh
> partout (et en virant
> tous les password des users), mais y'a des services basés sur une auth en
> login/pass pour
> lesquels ça reste utile (imap par ex).
Le 26/01/2024 à 23:12, Arnaud Launay a écrit :
En un peu moins compliqué à mettre en oeuvre (créer un compte... M'enfin...), et
potentiellement en un peu moins précis, tu as ipdeny qui se crée sur les bases
des
RIR (que tu pourrais aussi exploiter directement):
Merci Arnaud, j'ai aperçu
Le Thu, Jan 25, 2024 at 05:17:03PM +0100, Stéphane Rivière a écrit:
> À la recherche de la base de données perdue en accès libre (merci maxmind)
> ip2location.com
En un peu moins compliqué à mettre en oeuvre (créer un compte... M'enfin...), et
potentiellement en un peu moins précis, tu as ipdeny
Merci pour cette réponse détaillée !
Pour le point 1, cela concerne le contraire de ce que tu évoques : bloquer un
truc qui ne veux pas de mal sur un serveur mais qui n'a rien à faire sur un
autre serveur, un faux positif en fait.
Je suis allé voir (rapidement) sur leur site avant d'écrire
C'est open-source, c'est Français et c'est des gens qui ont toujours bossé dans
la cybersécurité, donc pour lever tout doute par rapport à un bout de code,
etc, ne pas hésiter à les contacter. 路♂️
Je confirme que Crowdsec tombe en marche, un babouin s'en sortirait.
L'UX web est chouette et
Le 26/01/2024 à 16:11, ml-fr...@srv.mx a écrit :
Quand tu parles de "FAI", j'imagine que tu penses à Free, Bouygues
Orange et SFR ? Sympa pour ceux qui sont chez d'autres opérateurs ou
pour les salariés des structures qui ont leurs propres LIR.
Non, t'imagines mal. L'application posée sur cette
Quand tu parles de "FAI", j'imagine que tu penses à Free, Bouygues
Orange et SFR ? Sympa pour ceux qui sont chez d'autres opérateurs ou
pour les salariés des structures qui ont leurs propres LIR.
D'ailleurs, pour les blocages géographiques, on a le même genre de
problème : comment ca se passe
Bonjour,
On en avait parlé sur linuxfr :
https://linuxfr.org/news/reaction-remplacant-de-fail2ban
Le ven. 26 janv. 2024 à 14:03, Philippe Bourcier a
écrit :
> Re,
>
> Je vais faire un peu le SAV Crowdsec (je précise que je n'ai pas de billes
> dans cette société).
> Mais c'est un projet
Re,
Je vais faire un peu le SAV Crowdsec (je précise que je n'ai pas de billes dans
cette société).
Mais c'est un projet Français fait par des gens que je connais et apprécie et
qui ont pensé à beaucoup des points évoqués ci-dessous.
D'ailleurs, ils ont fait une prez lors d'une réunion FRnOG,
Le 25/01/24 à 21:36, Stéphane Rivière a écrit :
> S'il faut mettre des fail2ban pour se protéger de chatouilles en mode
> force brute, c'est qu'il reste des accès à mots de passe.
J'ai aussi viré fail2ban y'a pas mal d'années, en imposant les clé ssh partout
(et en virant
tous les password des
Le 26/01/2024 à 09:33, Laurent Barme a écrit :
Le 26/01/2024 à 08:57, Stéphane Rivière a écrit :
>Ce test illustre bien la facilité avec laquelle ce dispositif peut
être contourné, merci !
Sauf si tu bans les IP des VPN connus pour officier en France...
Ah, et où trouves-tu la liste des
Oh on peut pas avoir une bonne idée en mélangeant:
whois -i origin AS3215 | grep ‘^route:’
et
sh ip bcp reg _3215$
?
> Le 26 janv. 2024 à 10:00, Laurent Barme <5...@barme.fr> a écrit :
>
>
> Tout à fait d'accord ; je rêverais d'avoir les plages d'adresse IP des FAI !
> Alors oui, j'ai gglé la
Update : https://api.iplocation.net/ a l'air vraiment intéressant, merci !
Le 26/01/2024 à 10:00, Laurent Barme a écrit :
Le 26/01/2024 à 09:47, Stéphane Rivière a écrit :
>Ah, et où trouves-tu la liste des VPN connus pour officier en France ?
En tapant dans le gougle quelques caractères
Le 26/01/2024 à 09:47, Stéphane Rivière a écrit :
>Ah, et où trouves-tu la liste des VPN connus pour officier en France ?
En tapant dans le gougle quelques caractères genre well known vpn ip. en
rajoutant in france peut aider mais y'a d'autres moyens de filtrer, justement
avec les bases de
>Ah, et où trouves-tu la liste des VPN connus pour officier en France ?
En tapant dans le gougle quelques caractères genre well known vpn ip. en
rajoutant in france peut aider mais y'a d'autres moyens de filtrer,
justement avec les bases de ip2location dans cette thread.
Et qu'est-ce qui
En tout cas, si on en doutait, ta contribution à la discussion le confirme :-)
Le 26/01/2024 à 08:40, David Ponzone a écrit :
Ah on sent que c’est vendredi :)
Le 26 janv. 2024 à 08:03, Laurent Barme <5...@barme.fr> a écrit :
Le 25/01/2024 à 09:08, Stéphane Rivière a écrit :
…
Merci pour
Le 26/01/2024 à 08:57, Stéphane Rivière a écrit :
>Ce test illustre bien la facilité avec laquelle ce dispositif peut être
contourné, merci !
Sauf si tu bans les IP des VPN connus pour officier en France...
Ah, et où trouves-tu la liste des VPN connus pour officier en France ?
Et
>Ce test illustre bien la facilité avec laquelle ce dispositif peut
être contourné, merci !
Sauf si tu bans les IP des VPN connus pour officier en France...
Ça protège du kikoo-hackinou et des bots moyens.
Ça ne protégera jamais d'une institution (et ce n'est pas le but).
--
Stéphane Rivière
Ah on sent que c’est vendredi :)
> Le 26 janv. 2024 à 08:03, Laurent Barme <5...@barme.fr> a écrit :
>
>
> Le 25/01/2024 à 09:08, Stéphane Rivière a écrit :
> …
>> Merci pour crowdsec, jamais utilisé mais on emploie ce principe dans
>> d'autres écosystèmes et le retour est bon :)
>>
> J'ai
Le 25/01/2024 à 09:08, Stéphane Rivière a écrit :
…
Merci pour crowdsec, jamais utilisé mais on emploie ce principe dans d'autres
écosystèmes et le retour est bon :)
J'ai trois objections à propos d'une protection participative telle que
crowdsec :
1. les règles de détection d'une attaque
Le 25/01/2024 à 17:17, Stéphane Rivière a écrit :
…
Test ON/OFF avec divers VPN internationaux OK
Ce test illustre bien la facilité avec laquelle ce dispositif peut être
contourné, merci !
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Le 24/01/2024 à 20:31, Philippe Bourcier a écrit :
…
Je trouve que le réflexe sanitaire du moment (quand tu peux) c'est un geofilter
+ CrowdSec.
Comme ca même le national p0wné ne passe pas...
Ce conseille est similaire au dogme des mises à jour : il est simple à
comprendre, facile à
C'est quoi l'avantage de Crowdsec par rapport à un bon vieux Fail2ban ?
Ce qui m'a séduit dans l'approche de Crowdsec est une technique que l'on
apprécie dans d'autres écosystèmes : l'échange communautaire d'ip
malveillantes. C'est de l'entraide intelligente.
Identifier et bloquer les
Je pense que ça permet aussi de protéger en une seule fois tous tes services
quand une IP en scanne un (mais pas forcément dans la version gratuite).
Et ça c’est un scénario probable.
> Le 25 janv. 2024 à 19:13, Guy Larrieu via frnog a écrit :
>
> Le 2024-01-25 18:03, Stéphane Rivière a écrit
Le 2024-01-25 18:03, Stéphane Rivière a écrit :
...
C'est quoi l'avantage de Crowdsec par rapport à un bon vieux Fail2ban ?
Identifier et bloquer les adresses IP dangereuses, même si elles ne
t'ont pas encore attaquées.
On pourrait se demander si c'est intéressant d'anticiper une attaque :
Le 25/01/2024 à 17:23, Daniel via frnog a écrit :
Sauf que l'api CrowdSec ne fonctionne pas en ipv6 => apt purge
Ben repasse en ipv4 ! Avant l'heure c'est pas l'heure.
Pour nous, le sketch de 30 ans ipv5, d'ipv 5.5 et d'ipv6 ne sert
toujours à rien. Pourquoi migrer toute notre infra en dual
Sauf que l'api CrowdSec ne fonctionne pas en ipv6 => apt purge
Le 25/01/2024 à 17:17, Stéphane Rivière a écrit :
Bonjour Philippe,
Je trouve que le réflexe sanitaire du moment (quand tu peux) c'est
un geofilter + CrowdSec.
J'ai donc suivi tes conseils, cette instance étant susceptible d'être
Bonjour Philippe,
Je trouve que le réflexe sanitaire du moment (quand tu peux) c'est un geofilter
+ CrowdSec.
J'ai donc suivi tes conseils, cette instance étant susceptible d'être
particulièrement exposée.
Et rassemblé mes notes, si ça peut servir à quelqu'un...
GEOFENCING
==
À
un bête fail2ban pour commencer…
Nous n'utilisons plus fail2ban depuis un paquet d'années. Passwords
désactivés partout. Bastion blindé. Minimum d'instances exposées. J'aime
assez l'idée qu'ils perdent des ressources à grattouiller en vain...
--
Stéphane Rivière
Ile d'Oléron - France
io,
> On 25 Jan 2024, at 09:08, Stéphane Rivière wrote:
>
>
>> Je trouve que le réflexe sanitaire du moment (quand tu peux) c'est un
>> geofilter + CrowdSec.
>> Comme ca même le national p0wné ne passe pas...
> Merci pour crowdsec, jamais utilisé mais on emploie ce principe dans d'autres
>
Je trouve que le réflexe sanitaire du moment (quand tu peux) c'est un geofilter
+ CrowdSec.
Comme ca même le national p0wné ne passe pas...
Merci pour crowdsec, jamais utilisé mais on emploie ce principe dans
d'autres écosystèmes et le retour est bon :)
--
Stéphane Rivière
Ile d'Oléron -
Le 24/01/2024 à 20:57, David Ponzone a écrit :
Faut juste bloquer OVH et Scaleway en plus :)
et digitalocean, aws, azure et le cloude du gougle ? En fait, arracher
la fibre et là plus de problème :)
quand on observe tous les petits et très spécialisés providers de l'est
qui mangent du
Faut juste bloquer OVH et Scaleway en plus :)
> Le 24 janv. 2024 à 20:31, Philippe Bourcier a écrit :
>
> Re,
>
>>> Ok tu peux pas mettre un geofilter sur le port 22 et on en parle plus ? :)
>>
>> Bien vu !
>
> Je trouve que le réflexe sanitaire du moment (quand tu peux) c'est un
>
Re,
>> Ok tu peux pas mettre un geofilter sur le port 22 et on en parle plus ? :)
>
> Bien vu !
Je trouve que le réflexe sanitaire du moment (quand tu peux) c'est un geofilter
+ CrowdSec.
Comme ca même le national p0wné ne passe pas...
Cordialement,
--
Philippe Bourcier
Nope, pas tout a fait d'accord. Ca veut dire que ton install est pas
vulnerable. Ca veut pas dire qu'elle ne logge plus rien si des scripts
essaient de la chatouiller avec un vieux CVE.
Oui, tu as raison. Erreur de raisonnement de mon coté... Merci :)
--
Stéphane Rivière
Ile d'Oléron -
Le 24/01/2024 à 18:06, David Ponzone a écrit :
Ok tu peux pas mettre un geofilter sur le port 22 et on en parle plus ? :)
Bien vu !
Compte tenu que l'exploitation de cette instance est strictement
nationale (4G multi-ops ou FAI FR coté machines et IP FR coté web),
c'est ce que je vais
Hello,
On Wed, 24 Jan 2024 17:58:36 +0100
Stéphane Rivière wrote:
> 8.4 > 7.7, ça ne devrait pas être ça. Merci en tout cas pour cette idée :)
Nope, pas tout a fait d'accord. Ca veut dire que ton install est pas
vulnerable. Ca veut pas dire qu'elle ne logge plus rien si des scripts
essaient de
Ok tu peux pas mettre un geofilter sur le port 22 et on en parle plus ? :)
> Le 24 janv. 2024 à 17:58, Stéphane Rivière a écrit :
>
> Bonsoir Paul,
>> Ca serait pas plutot CVE-2018-15473 ? (tentative d'enumeration des users)
>
> En tout cas ce n'était pas l'autre CVE car je viens d'en avoir un
Bonsoir Paul,
Ca serait pas plutot CVE-2018-15473 ? (tentative d'enumeration des users)
En tout cas ce n'était pas l'autre CVE car je viens d'en avoir un nouveau...
Ce CVE (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15473)
dit OpenSSH through 7.7 is prone to a user enumeration
Hello,
Ca serait pas plutot CVE-2018-15473 ? (tentative d'enumeration des users)
Paul
On Wed, 24 Jan 2024 17:10:57 +0100
Stéphane Rivière wrote:
> Le 24/01/2024 à 16:39, Thierry Chich a écrit :
> > C'est peut-être pour exploiter ça ?
> >
Le 24/01/2024 à 16:39, Thierry Chich a écrit :
C'est peut-être pour exploiter ça ?
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31124
Intéressant.
Du serpent en mousse autour d'openssh. Pour parser les fichiers de clés.
J'ai du mal à saisir pourquoi openssh a besoin de ça au lieu de
C'est peut-être pour exploiter ça ?
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31124
Thierry
-Message d'origine-
De : frnog-requ...@frnog.org De la part de Stéphane
Rivière
Envoyé : mercredi 24 janvier 2024 16:04
À : frnog-tech
Objet : [FRnOG] [TECH] Filtrage ou
tshark -w ssh.pcap -i ens18 -f ‘port 22’
jusqu’à ce que ça arrive à nouveau, et regarde de qui ça venait.
> Le 24 janv. 2024 à 16:03, Stéphane Rivière a écrit :
>
> Bonjour à toutes et tous,
>
> 2024 Jan 24 15:09:56 hostname *fatal: userauth_pubkey: parse request failed:
> incomplete message
Bonjour à toutes et tous,
2024 Jan 24 15:09:56 hostname *fatal: userauth_pubkey: parse request
failed: incomplete message [preauth]*
Mes logs sont (vaguement, c'est pas l'invasion non plus) pollués par ce
message cryptique qui n'inspire guère Google.
J'ai (vaguement) cru comprendre que
47 matches
Mail list logo
