Le 30/06/2013 23:37, Christophe a écrit :
Bonsoir à tous,
Désolé d'upper le thread, mais le sujet m’intéresse bigrement !
Au final, quelle liste croire ? projecthoneypot me semble
particulièrement concise.
Un mix des différentes autres aussi ?
J'ai lu un article de blog qui avait une approche un peu différente :
le principe était de placer un honeypot et de capturer les adresses IP
qui tentent des connexions sur différents ports reconnus (RDP/SSH/SQL
Server, etc) : Windows / linux peu importe, et de faire en sorte de
les transmettre et de les bloquer par le firewall qui héberge la prod .
Qu'en pensez vous ?
Bonjour,
J'ai essayé les listes d'IP de projecthoneypot en comparant les IP qui
tentaient des attaques sur mes serveurs et celles présentes dans
projecthoneypot.
Je te confirme que projecthoneypot est de loin la plus à jour par
rapport aux autres mes la correspondance n'est systematique loin de là.
Pour ma part, je ne m'en sert pas en Prod.
De plus, il me semble que cela rassemble plus les serveurs hackés
(trojan, ...) que des serveurs qui mènent des attaques sur d'autres
serveurs. Même si l'un ne va pas sans l'autre, la liste de
projecthoneypot n'est pas suffisamment fiable.
Je viens de mettre en place un WAF avec Naxsi, les attaques de type XSS
et injections SQL sont bien répérées et bloquées.
Cela me permet via un minuscule bout de conf à ajouter à Fail2ban de me
faire mes propres règles de blackliste. de plus, dans un environnement
mutualisé, il suffit qu'un hébergement se fasse attaqué pour bloquer
l'IP et protéger ainsi tous les autres.
Le point interessant est que tu maitrise tout de bout en bout. Si tu est
sûr de toi, tu blacklistes les IP pendant 8/24/36/48h.... sinon tu
blackistes sur des plus petites durées. en cas de faux positifs ça fait
moins mal :-)
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
