On Wed, 25 Nov 2009 10:01:10 +0100 (CET), "Julien Reveret" <[email protected]> said:
> Un petit paragraphe sur la partie "destination" : > Donc tu n'as pas pris toutes les précautions cette fois ci. J'ai eu > l'occasion de faire des pentests et la règle c'est de faire un whois sur > les IP qu'on te demande d'auditer pour savoir si elles appartiennent bien > au client. Si ce n'est pas le cas, contacter le propriétaire pour > s'assurer qu'il n'y aura pas de problème juridique en lui faisant signer > une décharge à lui aussi. Il ne faut pas s'imaginer que les choses sont toutes roses chez les hebergeurs. Je prend par exemple un de nos anciens hebergeurs, grande societe avec points de presence et datacenters partout en Europe, blabla. Dans un des cas, il prennent une montee soudaine en charge (+200%) comme un attaque. Autre cas : la de-activation des "alarmes" avait pris environ 18 mois et 3 tickets. Une alarme, c'est un service down, avec notification du cplient par e-mail et par telephone. Un peu genant quand on est en train de deplacer plein de serveices "monitores" dans un autre DC. Autre exemple, ailleurs: domaine zzzzzz.xx qui a plusieurs nameservers definis. On avait recu sur l'addresse d'abuse une plainte concernant des IP de chez nous (les IP de nos NS) qui attaquent un de ces NS pour zzzzzz.xx avec des paquets UDP dst port 53 .......... Pareil pour un autre domain, avec un MX, qui est "attaque" avec quelques SYN sur le port 25 (c'etait il y a 12 ans, pas dans ma boite actuelle !!!!!). Cans ces deux derniers cas, c'etait par des gens qui "prennent la securite au serieux", en bloquand le UDP port 53 sur un nameserver ou le TCP port 25 sur un serveur mail........ Donc les "precautions", ce n'est jamais assez. Meme si juridiquement tu est 100% couvert, ca n'emepche pas les mauvaises surprises a cause d'une mauvaise circulation de l'information, voir meme de l'incompetence des certains..... -- Radu-Adrian Feurdean raf (a) ftml ! net --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
