oles@ovh.net
11-09-2008, 09:30:02
Bonjour,
Il y a 2 mois, nous avons renforcé la détection de scans à partir de notre
et vers notre réseau.
Les scans que nous subissons (qui viennent de l'Internet) sont détectés au
bout de 5 minutes et bloquées automatiquement pendant 6 heures. Si par exemple
un PC de Brésil scans le port SSH ou WWW, il est détecté puis bloqué. S'il
recommence, il est débloqué encore pendant 6 heures. S'il recommence, encore
6 heures. Sur 2 mois, on remarque que:
- nous détectons entre 700 et 1000 scans par jour (un couple IP:PORT)
- dans la fourchette de 6 heures, il y a entre 150 et 300 blocage
- en générale un scan dure moins de 24 heures
- il y a environ 40 IP qui scannent les réseaux manière permanente
et continuent tout le temps. il s'agit de réseau non administrés
- il s'agit principalement de scans vers le port 135, 139, 445, 1443
(Windows) et dans une moindre mesure le port 21, 22, 23, 25, 80, 110
Les scans que notre réseau génère sont détectés aussi au bout de 5 minutes.
Puis nos administrateurs réseaux interviennent. On voit une nette diminution
de scans dangereux à partir de notre réseau. Par exemple hier nous avons
détecté seulement 6 scans et aujourd'hui nous en sommes qu'à 2. En générale,
nous détectons environ 10 scans par jour. La diminution de scans est dû à la
politique très stricte en terme de sécurité: si nous détectons 2 scans à partir
d'un serveur dans un espace de 30 jours, le contrat est suspendu. C'est le cas
entre 1 et 3 serveurs par jour.
Il nous reste un grand chantier: le spam sortant de notre réseau. Il s'agit
de 2 types de spams:
- De spammeurs professionnels qui utilisent notre infrastructure pour envoyer
des emails en masse. D'après nos statistiques il y a environ 15/20 serveurs
qui ont une telle activité. Il s'agit de serveurs très bien administré avec
une gestion d'abus très réactif. Il est très difficile de prouver un spam
sans passer des heures à collecter les plaintes, vérifier qu'elles ne
recommencent plus, donner une chance, puis fermer le serveur en cas de
problèmes multiples et répétés.
- Un serveur avec une faille de sécurité est hacké par un hackeur (par exemple
un script php mal protégé) qui permet de générer des emails sortant. en
générale, le serveur est blacklisté par les listes RBL en moins de 4 heures.
Dans les 2 cas, nous allons nous attaquer au problème prochainement. On cherche
encore une bonne méthode pour la détection de spams, la collecte des informations,
les alertes etc. Mais il n'y a pas de raison qu'on ne trouve pas la bonne méthode
qui est simple à expliquer, respecter et qui satisfait tout le monde. Dans tous
les cas, nous allons en discuter puis faire les tests avant de mettre au point la
bonne méthode.
En bref, nous sommes sur le bon chemin mais il reste du boulot.
Amicalement
Octave
Il y a 2 mois, nous avons renforcé la détection de scans à partir de notre
et vers notre réseau.
Les scans que nous subissons (qui viennent de l'Internet) sont détectés au
bout de 5 minutes et bloquées automatiquement pendant 6 heures. Si par exemple
un PC de Brésil scans le port SSH ou WWW, il est détecté puis bloqué. S'il
recommence, il est débloqué encore pendant 6 heures. S'il recommence, encore
6 heures. Sur 2 mois, on remarque que:
- nous détectons entre 700 et 1000 scans par jour (un couple IP:PORT)
- dans la fourchette de 6 heures, il y a entre 150 et 300 blocage
- en générale un scan dure moins de 24 heures
- il y a environ 40 IP qui scannent les réseaux manière permanente
et continuent tout le temps. il s'agit de réseau non administrés
- il s'agit principalement de scans vers le port 135, 139, 445, 1443
(Windows) et dans une moindre mesure le port 21, 22, 23, 25, 80, 110
Les scans que notre réseau génère sont détectés aussi au bout de 5 minutes.
Puis nos administrateurs réseaux interviennent. On voit une nette diminution
de scans dangereux à partir de notre réseau. Par exemple hier nous avons
détecté seulement 6 scans et aujourd'hui nous en sommes qu'à 2. En générale,
nous détectons environ 10 scans par jour. La diminution de scans est dû à la
politique très stricte en terme de sécurité: si nous détectons 2 scans à partir
d'un serveur dans un espace de 30 jours, le contrat est suspendu. C'est le cas
entre 1 et 3 serveurs par jour.
Il nous reste un grand chantier: le spam sortant de notre réseau. Il s'agit
de 2 types de spams:
- De spammeurs professionnels qui utilisent notre infrastructure pour envoyer
des emails en masse. D'après nos statistiques il y a environ 15/20 serveurs
qui ont une telle activité. Il s'agit de serveurs très bien administré avec
une gestion d'abus très réactif. Il est très difficile de prouver un spam
sans passer des heures à collecter les plaintes, vérifier qu'elles ne
recommencent plus, donner une chance, puis fermer le serveur en cas de
problèmes multiples et répétés.
- Un serveur avec une faille de sécurité est hacké par un hackeur (par exemple
un script php mal protégé) qui permet de générer des emails sortant. en
générale, le serveur est blacklisté par les listes RBL en moins de 4 heures.
Dans les 2 cas, nous allons nous attaquer au problème prochainement. On cherche
encore une bonne méthode pour la détection de spams, la collecte des informations,
les alertes etc. Mais il n'y a pas de raison qu'on ne trouve pas la bonne méthode
qui est simple à expliquer, respecter et qui satisfait tout le monde. Dans tous
les cas, nous allons en discuter puis faire les tests avant de mettre au point la
bonne méthode.
En bref, nous sommes sur le bon chemin mais il reste du boulot.
Amicalement
Octave