Bonjour,

Depuis 2-3 jours, nous avons mis en production un système de détection des scans que notre réseau reçoit. Il s'agit souvent des pc hackés sur le net qui servent à parcourir le net dans l'espoir de trouver des failles de sécurité sur le réseau puis de les exploiter.

Nous avons mis en place plusieurs sondes invisibles sur tous les sous réseaux chez Ovh. En tout, on a environ 150 sondes qui écoutent. Ces sondes là n'existent pas "net"-ment parlant et donc tout ce que les sondes entendent est par définition un scan ou une tentatives de hack.

L'écoute se fait sur plusieurs ports: ftp, SSH, telnet, smtp WEB, SSL, Plesk, webmin et la mise en place du blocage se fait en moins de 5 secondes après la détection.

En 3 jours, nous avons bloqué 244 scans.

Cet outil est un plus pour la sécurité de notre réseau. Il faut quand même rester sur terre: si un admin met en place un compte "test" avec le mot de passe "test", il ne faudra pas plus de quelques jours pour qu'un hackeur trouve ce genre de faille ... humaine (et ça arrive plusieurs fois par semaine).

Amicalement
Octave