Je suis assez étonné de lire que des serveurs avec le port standard RDP ouvert sur le net n'ont pas de problème. Tout ceux que je connais qui le font, sont brute forcé en permanence. (Brute force permis par la découverte du service, grâce à un scan).
N'ayant jamais signalé un seul scan, je ne dois probablement pas surcharger les Abuses. J'attends, a minima, les traces de brutes force. Et encore, peu de chance que le signalement soit pris en considération. Du coup, dans 99% des cas je m'abstiens. Donc, je me posais la question, jusqu'à quel moment doit-on laisser faire ? Rémy -----Original Message----- From: frnog-requ...@frnog.org <frnog-requ...@frnog.org> On Behalf Of Pavel Polyakov Sent: dimanche, 24 mai 2020 01:48 To: frnog@frnog.org Subject: Re: [FRnOG] [MISC] Scan RDP venant de 94.177.238.132 On Sat, 23 May 2020 22:49:11 +0200 David Ponzone <david.ponz...@gmail.com> wrote: > Tu dis donc le contraire de tout le monde ici qui confirme que laisser > un port RDP ouvert, c’est pas une super idée. Dois-je croire ton > expertise ou la leur ? Je n'ai pas dit que c'était une bonne idée. J'ai dit qu'il y en a qui le font, et que ça ne pose pas de problèmes. Maintenant si tu me demandes si je ferais ça pour un client, la réponse est non, vpn. J'ai une machine Windows pour faire joujou, elle à un vrai accès à l'Internet aussi bien en IPv6 qu'en IPv4, il n'y a pas de pseudo « antivirus », même pas celui qui est intégré à l'OS, j'ai juste laissé le pare-feu qui bloque les connexions entrantes et ça se passe très bien. > Non c’est normal, c’est pas mon métier de gérer son IT. Je lui vends > l’accès moi. Il a généralement déjà un prestataire. Mais alors ce n'est pas ton problème si il se fait péter. > Dans le cas présent, il s’est fait cryptolocké récemment et le vecteur > d’attaque reste inconnu, Pebcak dans 99% des cas. L'utilisateur exécute n'importe quoi sur sa machine, le plus efficace c'est l'éducation. Il y a quelques mois nous avons eu un appel d'un dirigeant d'entreprise en France catastrophé parce qu'il y avait un ransomware sur son réseau d'entreprise. Alors sur place bien sûr on lui a demandé si il savait comment c'est arrivé, si à tout hasard, bien sûr, il n'avait pas reçu un email avec un fichier pour Microsoft Office un peu étrange... Il pensait que ça s'était répandu sur le réseau parce que d'autres machines avaient des fichiers chiffrés.. En fait ils faisaient du partage SMB en donnant la permission aux invités de tout lire et écrire, donc le ransomware à juste tout chiffré depuis la machine du boss. Il était vraiment perplexe, il répétait qu'il ne comprennait pas comment ça avait pu se produire alors qu'il paie le pare-feu et les antivirus. Donc on lui à dit d'arrêter de payer ces merdes et d'embaucher quelqu'un qui sait ce qu'il fait et qu'à la fin ça lui coûtera moins cher. Et voilà, tout se passe très bien maintenant. Plus de pare-feu Fortigate je sais pas quoi, plus d'antivirus bidons et moins de produits Microsoft, c'est bien aussi. > donc on est vigilants le temps que les accès SSL soient déployés en > collaboration avec le prestataire. Mais c'est quoi le rapport ? Il me semble que RDP utilise TLS par défaut et je ne sais même pas si il est possible de le désactiver.. > Déjà, en ajoutant un DENY SRC IP <> FR, ça a viré quasiment tous les > scans. C'est un peu normal qu'en n'autorisant l'accès qu'à une infime partie de l'Internet il y en ait moins. PP --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
smime.p7s
Description: S/MIME cryptographic signature
