Re: [FRnOG] [MISC] Liste de CIDR
On Thu, Mar 28, 2013, at 21:55, Tony Chambon wrote: > Bonsoir, > j'espère écrire sur la bonne liste. je cherche a savoir s'il y a d'autres > sites qui maintienne des listes > de plages d'adresse IP > il y a des sites que vous conseiller pour avoir ce > genre de résultats. > https://www.countryipblocks.net/country_selection.php Je commence par un constat simple : la liste semble etre basee par le fichier des allocations (cote RIPE au moins), qui lui est basee sur la localisation du siege social de l'ISP qui demabde le "super-bloc" (allocation) a son RIR. E.g. Une entreprise neerlandaise qui vends de l'hebergement en NL, FR, DE, UK et qui a recu un (au pif) /16 de la part de RIPE, aura dans cette liste un seul bloc, identifie "NL". Sans oublier ceux ayant choisi "EU" (Europe). > j'avais pour habitude de faire un drop de tout sauf la france. Epic fail (voir http://fr.wikipedia.org/wiki/Ligne_Maginot ) > ma question est simple peut on faire confiance aux listes CIDR ? Par pays : NON (definitvement non, surtout en Europe) Par region geographique (RIR) : plus ou moins - la Russie (St. Peretsburg a Vladivostok - compris) c'est tout dans la zone Europe - les DOM-COM (la France, hein), c'est reparti entre Amerique-Latine (LACNIC) et Asie (APNIC) - une entreprise trans-continentale (entre Europe et US ca peut etre du tres petit) aura tres souvent ses IPs attribues dans sa region d'origine > ça me dérange pas du tout mais faut un iptables dérrière obligé au > risque de ce faire attaquer a gogo en ssh. Bien-venu sur Internet :) D'ailleurs ce n'est pas "se faire attaquer" (quelqu'un qui tape precisement sur toi), mais eventuellement "se faire scanner" (on tape sur tout le monde sans distinction, l'attaque suit seulement si tu passes pour un pigeon au premier tour). Plus generalement, on appelle ca "business as usual". --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Liste de CIDR
Mon expérience sur les listes de ce type, qui sont assez massivement basées sur GeoIP : - les pays sont plutôt bon pour les FAI grand public (adsl, cable etc...), avec même une précision sur les villes, et quelques erreurs assez sporadiques - tout est relativement faux pour les plages d'IP d'hébergeurs, entreprises, et le reste, ils mettent souvent le lieu du siège social (objet organisation) et ne suivent pas toujours les bases des RIR, ni le nouveau champ geoloc de la base du RIPE. Donc si le but est d'utiliser ce genre de liste pour blacklister des accès internet de pays à problème, c'est plutôt efficace. Si c'est pour l'utiliser en whitelist de avec un deny général, c'est du suicide, trop d'erreurs, ou alors il faudra gérer massivement à la main des faux positifs. Cédric Le 28 mars 2013 21:55, Tony Chambon a écrit : > Bonsoir, > > j'espère écrire sur la bonne liste. > je cherche a savoir s'il y a d'autres sites qui maintienne des listes de > plages d'adresse IP > il y a des sites que vous conseiller pour avoir ce genre de résultats. > > https://www.countryipblocks.net/country_selection.php > > j'avais pour habitude de faire un drop de tout sauf la france. > je me vois mal demander aux utilisateurs leur adresse IP sans arrêt j'ai du > ouvrir pour l'allemagne et facebook. > > je me suis retrouvé avec un utilisateur en contact sur facebook mais le site > répondait pas a cause du chemin. > /var/log/apache2/access.log:69.171.224.113 - - [26/Mar/2013:22:06:07 +0100] > "GET /oc5/ HTTP/1.1" 206 1494 "-" "facebookexternalhit/1.1 > (+http://www.facebook.com/externalhit_uatext.php)" > /var/log/apache2/access.log:69.171.224.112 - - [26/Mar/2013:22:06:09 +0100] > "GET /oc5/core/img/logo.png HTTP/1.1" 206 6202 "-" "facebookexternalhit/1.1 > (+http://www.facebook.com/externalhit_uatext.php)" > /var/log/apache2/access.log:69.171.224.117 - - [26/Mar/2013:22:06:10 +0100] > "GET /oc5/core/img/logo.png HTTP/1.1" 206 6202 "-" "facebookexternalhit/1.1 > (+http://www.facebook.com/externalhit_uatext.php)" > > donc, j'ai ouvert le 80 sur le web, et bingo en moins de 24h. > 1 tentative d'accès non autoriser depuis Taîwan. > j'ai un fail2ban qui fait bien sont boulot mais j'aime pas trop ça que l'on > fouille comme ça. > > je peux aussi faire des liste pour des drop. > /usr/sbin/ipset -N taiwan nethash > sh /home/celres/iptables/taiwan.sh > /sbin/iptables -A INPUT -m set --match-set taiwan src -j DROP > > contenu de taiwan.sh > #!/bin/bash > ipset --add taiwan 1.34.0.0/15 > ipset --add taiwan 1.160.0.0/12 > ipset --add taiwan 1.200.0.0/16 > ipset --add taiwan 27.51.0.0/16 > (3573 lignes) > > ma question est simple peut on faire confiance aux listes CIDR ? > http://pastebin.com/bN3yKJse > du coup j'ai interdit taiwan et la chine. > > je n'ai pas accès aux différents switch sur le réseau. > l'adresse IP est directement visible du net (NAT, PAT, autre acronyme je > sais pas) > ça me dérange pas du tout mais faut un iptables dérrière obligé au risque de > ce faire attaquer a gogo en ssh. > si vous avez un retour d'expérience et/ou autres solutions. > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Liste de CIDR
Bonjour, Je ne comprends pas ta problématique. Si tu ne veux pas que les gens accèdent, mets de l'authentification et un fail2ban. Sinon, hé bien tu es sur internet, c'est mondial :) Tu auras toujours du faux positif et du faux négatif dans ce type de listes, sans parler des VPN, des rebonds par des serveurs divers et variés... Cdt, Aurélien. Envoyé depuis mon fax satellitaire On 28 mars 2013, at 21:55, "Tony Chambon" wrote: > Bonsoir, > > j'espère écrire sur la bonne liste. > je cherche a savoir s'il y a d'autres sites qui maintienne des listes de > plages d'adresse IP > il y a des sites que vous conseiller pour avoir ce genre de résultats. > > https://www.countryipblocks.net/country_selection.php > > j'avais pour habitude de faire un drop de tout sauf la france. > je me vois mal demander aux utilisateurs leur adresse IP sans arrêt j'ai du > ouvrir pour l'allemagne et facebook. > > je me suis retrouvé avec un utilisateur en contact sur facebook mais le site > répondait pas a cause du chemin. > /var/log/apache2/access.log:69.171.224.113 - - [26/Mar/2013:22:06:07 +0100] > "GET /oc5/ HTTP/1.1" 206 1494 "-" "facebookexternalhit/1.1 > (+http://www.facebook.com/externalhit_uatext.php)" > /var/log/apache2/access.log:69.171.224.112 - - [26/Mar/2013:22:06:09 +0100] > "GET /oc5/core/img/logo.png HTTP/1.1" 206 6202 "-" "facebookexternalhit/1.1 > (+http://www.facebook.com/externalhit_uatext.php)" > /var/log/apache2/access.log:69.171.224.117 - - [26/Mar/2013:22:06:10 +0100] > "GET /oc5/core/img/logo.png HTTP/1.1" 206 6202 "-" "facebookexternalhit/1.1 > (+http://www.facebook.com/externalhit_uatext.php)" > > donc, j'ai ouvert le 80 sur le web, et bingo en moins de 24h. > 1 tentative d'accès non autoriser depuis Taîwan. > j'ai un fail2ban qui fait bien sont boulot mais j'aime pas trop ça que l'on > fouille comme ça. > > je peux aussi faire des liste pour des drop. > /usr/sbin/ipset -N taiwan nethash > sh /home/celres/iptables/taiwan.sh > /sbin/iptables -A INPUT -m set --match-set taiwan src -j DROP > > contenu de taiwan.sh > #!/bin/bash > ipset --add taiwan 1.34.0.0/15 > ipset --add taiwan 1.160.0.0/12 > ipset --add taiwan 1.200.0.0/16 > ipset --add taiwan 27.51.0.0/16 > (3573 lignes) > > ma question est simple peut on faire confiance aux listes CIDR ? > http://pastebin.com/bN3yKJse > du coup j'ai interdit taiwan et la chine. > > je n'ai pas accès aux différents switch sur le réseau. > l'adresse IP est directement visible du net (NAT, PAT, autre acronyme je sais > pas) > ça me dérange pas du tout mais faut un iptables dérrière obligé au risque de > ce faire attaquer a gogo en ssh. > si vous avez un retour d'expérience et/ou autres solutions. > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Liste de CIDR
Bonsoir, j'espère écrire sur la bonne liste. je cherche a savoir s'il y a d'autres sites qui maintienne des listes de plages d'adresse IP il y a des sites que vous conseiller pour avoir ce genre de résultats. https://www.countryipblocks.net/country_selection.php j'avais pour habitude de faire un drop de tout sauf la france. je me vois mal demander aux utilisateurs leur adresse IP sans arrêt j'ai du ouvrir pour l'allemagne et facebook. je me suis retrouvé avec un utilisateur en contact sur facebook mais le site répondait pas a cause du chemin. /var/log/apache2/access.log:69.171.224.113 - - [26/Mar/2013:22:06:07 +0100] "GET /oc5/ HTTP/1.1" 206 1494 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)" /var/log/apache2/access.log:69.171.224.112 - - [26/Mar/2013:22:06:09 +0100] "GET /oc5/core/img/logo.png HTTP/1.1" 206 6202 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)" /var/log/apache2/access.log:69.171.224.117 - - [26/Mar/2013:22:06:10 +0100] "GET /oc5/core/img/logo.png HTTP/1.1" 206 6202 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)" donc, j'ai ouvert le 80 sur le web, et bingo en moins de 24h. 1 tentative d'accès non autoriser depuis Taîwan. j'ai un fail2ban qui fait bien sont boulot mais j'aime pas trop ça que l'on fouille comme ça. je peux aussi faire des liste pour des drop. /usr/sbin/ipset -N taiwan nethash sh /home/celres/iptables/taiwan.sh /sbin/iptables -A INPUT -m set --match-set taiwan src -j DROP contenu de taiwan.sh #!/bin/bash ipset --add taiwan 1.34.0.0/15 ipset --add taiwan 1.160.0.0/12 ipset --add taiwan 1.200.0.0/16 ipset --add taiwan 27.51.0.0/16 (3573 lignes) ma question est simple peut on faire confiance aux listes CIDR ? http://pastebin.com/bN3yKJse du coup j'ai interdit taiwan et la chine. je n'ai pas accès aux différents switch sur le réseau. l'adresse IP est directement visible du net (NAT, PAT, autre acronyme je sais pas) ça me dérange pas du tout mais faut un iptables dérrière obligé au risque de ce faire attaquer a gogo en ssh. si vous avez un retour d'expérience et/ou autres solutions.
