Pour plus d'informations n° indigo (0,118 €/min) 08 203 203 63
À propos
Index des annonces
Les scans du réseau
Bonjour,
Il y a 2 mois, nous avons renforcé la détection des scans à partir de notre et vers notre réseau.
Les scans que nous subissons (qui viennent d'Internet) sont détectés au bout de 5 minutes et bloqués automatiquement pendant 6 heures. Si par exemple un PC du Brésil scans le port SSH ou WWW, il est détecté puis bloqué. S'il recommence, il est bloqué encore pendant 6 heures. S'il recommence, encore 6 heures. Sur 2 mois, on remarque que:
Les scans que notre réseau génère sont détectés aussi au bout de 5 minutes. Puis nos administrateurs réseaux interviennent. On voit une nette diminution des scans dangereux à partir de notre réseau. Par exemple hier nous avons détecté seulement 6 scans et aujourd'hui nous en sommes qu'à 2. En générale, nous détectons environ 10 scans par jour. La diminution des scans est dû à la politique très stricte en terme de sécurité: si nous détectons 2 scans à partir d'un serveur dans un espace de 30 jours, le contrat est suspendu. C'est le cas pour 1 à 3 serveurs par jour.
Il nous reste un grand chantier: le spam sortant de notre réseau. Il s'agit de 2 types de spams:
Dans les 2 cas, nous allons nous attaquer au problème prochainement. On cherche encore une bonne méthode pour la détection de spams, la collecte des informations, les alertes etc. Mais il n'y a pas de raison qu'on ne trouve pas la bonne méthode qui est simple à expliquer, respecter et qui satisfait tout le monde. Dans tous les cas, nous allons en discuter puis faire les tests avant de mettre au point la bonne méthode.
En bref, nous sommes sur le bon chemin mais il reste du boulot.
Amicalement
Octave
Il y a 2 mois, nous avons renforcé la détection des scans à partir de notre et vers notre réseau.
Les scans que nous subissons (qui viennent d'Internet) sont détectés au bout de 5 minutes et bloqués automatiquement pendant 6 heures. Si par exemple un PC du Brésil scans le port SSH ou WWW, il est détecté puis bloqué. S'il recommence, il est bloqué encore pendant 6 heures. S'il recommence, encore 6 heures. Sur 2 mois, on remarque que:
- nous détectons entre 700 et 1000 scans par jour (un couple IP:PORT)
- dans la fourchette de 6 heures, il y a entre 150 et 300 blocage
- en générale un scan dure moins de 24 heures
- il y a environ 40 IP qui scannent les réseaux manière permanente et continuent tout le temps. il s'agit de réseau non administrés
- il s'agit principalement de scans vers le port 135, 139, 445, 1443 (Windows) et dans une moindre mesure le port 21, 22, 23, 25, 80, 110
Les scans que notre réseau génère sont détectés aussi au bout de 5 minutes. Puis nos administrateurs réseaux interviennent. On voit une nette diminution des scans dangereux à partir de notre réseau. Par exemple hier nous avons détecté seulement 6 scans et aujourd'hui nous en sommes qu'à 2. En générale, nous détectons environ 10 scans par jour. La diminution des scans est dû à la politique très stricte en terme de sécurité: si nous détectons 2 scans à partir d'un serveur dans un espace de 30 jours, le contrat est suspendu. C'est le cas pour 1 à 3 serveurs par jour.
Il nous reste un grand chantier: le spam sortant de notre réseau. Il s'agit de 2 types de spams:
- Des spammeurs professionnels qui utilisent notre infrastructure pour envoyer des emails en masse. D'après nos statistiques il y a environ 15/20 serveurs qui ont une telle activité. Il s'agit de serveurs très bien administré avec une gestion d'abus très réactif. Il est très difficile de prouver un spam sans passer des heures à collecter les plaintes, vérifier qu'elles ne recommencent plus, donner une chance, puis fermer le serveur en cas de problèmes multiples et répétés.
- Un serveur avec une faille de sécurité est hacké par un hackeur (par exemple un script php mal protégé) qui permet de générer des emails sortant. en générale, le serveur est blacklisté par les listes RBL en moins de 4 heures.
Dans les 2 cas, nous allons nous attaquer au problème prochainement. On cherche encore une bonne méthode pour la détection de spams, la collecte des informations, les alertes etc. Mais il n'y a pas de raison qu'on ne trouve pas la bonne méthode qui est simple à expliquer, respecter et qui satisfait tout le monde. Dans tous les cas, nous allons en discuter puis faire les tests avant de mettre au point la bonne méthode.
En bref, nous sommes sur le bon chemin mais il reste du boulot.
Amicalement
Octave