[gull] Abus réseaux

[Marc SCHAEFER]

Bonjour,

Votre machine est souvent attaquée?

Vous recevez un résumé logcheck mais il est plein d'attaques
automatiques, ce qui fait que vous ne voyez plus les éléments
importants? (les attaques ciblées)

Les attaques automatiques sont un risque pour votre système car vos
utilisateurs n'ont pas toujours d'excellents mots de passe?  (même si
vous vérifiez de temps en temps, ou que vous utilisez un web service de
confiance qui vérifie que le hash du mdp n'est pas connu avant de
l'accepter).

Depuis que je fusionne plusieurs blocklist (voir
https://attacks.alphanet.ch/), j'ai moins de souci de ce genre, sans
trop de problèmes avec les utilisateurs.

Ces blocklist viennent par exemple de plusieurs honeypots (SSH, Postfix
SASL, Courier IMAP, HTTP/HTTPS) que je gère.  Ainsi que d'un système qui
pour chaque adresse IP nouvellement vue par mon firewall principal
vérifie sur plusieurs blocklists dynamiques d'Internet.  Avoir un /24
perpétuellement scanné aide ...

Je fournis un script qui télécharge ma blocklist et met à jour une liste
ipset sur votre machine (ipset est vraiment plus efficace qu'iptables
pour plus de 10'000 entrées --- ma liste fait un peu moins de 200k
entrées actuellement -- la config iptables se résume à 2 lignes).

Si vous êtes intéressés à tester ce système, gratuit et sans garantie de
blocklist statique, contactez-moi en privé (et pas sur la liste) et je
vous fournirai un script testé avec Debian oldstable et stable.

N'hésitez pas à partager vos expériences de blocage ou de honeypots
sur la liste: vos techniques, vos blocklists statiques ou dynamiques, etc.