Re: [FRsAG] : réputation des IP pour filtrage Web
Le 30/06/2013 23:37, Christophe a écrit : Bonsoir à tous, Désolé d'upper le thread, mais le sujet m’intéresse bigrement ! Au final, quelle liste croire ? projecthoneypot me semble particulièrement concise. Un mix des différentes autres aussi ? J'ai lu un article de blog qui avait une approche un peu différente : le principe était de placer un honeypot et de capturer les adresses IP qui tentent des connexions sur différents ports reconnus (RDP/SSH/SQL Server, etc) : Windows / linux peu importe, et de faire en sorte de les transmettre et de les bloquer par le firewall qui héberge la prod . Qu'en pensez vous ? Bonjour, J'ai essayé les listes d'IP de projecthoneypot en comparant les IP qui tentaient des attaques sur mes serveurs et celles présentes dans projecthoneypot. Je te confirme que projecthoneypot est de loin la plus à jour par rapport aux autres mes la correspondance n'est systematique loin de là. Pour ma part, je ne m'en sert pas en Prod. De plus, il me semble que cela rassemble plus les serveurs hackés (trojan, ...) que des serveurs qui mènent des attaques sur d'autres serveurs. Même si l'un ne va pas sans l'autre, la liste de projecthoneypot n'est pas suffisamment fiable. Je viens de mettre en place un WAF avec Naxsi, les attaques de type XSS et injections SQL sont bien répérées et bloquées. Cela me permet via un minuscule bout de conf à ajouter à Fail2ban de me faire mes propres règles de blackliste. de plus, dans un environnement mutualisé, il suffit qu'un hébergement se fasse attaqué pour bloquer l'IP et protéger ainsi tous les autres. Le point interessant est que tu maitrise tout de bout en bout. Si tu est sûr de toi, tu blacklistes les IP pendant 8/24/36/48h sinon tu blackistes sur des plus petites durées. en cas de faux positifs ça fait moins mal :-) ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] : réputation des IP pour filtrage Web
Bonjour J'ai lu un article de blog qui avait une approche un peu différente : le principe était de placer un honeypot et de capturer les adresses IP qui tentent des connexions sur différents ports reconnus (RDP/SSH/SQL Server, etc) : Windows / linux peu importe, et de faire en sorte de les transmettre et de les bloquer par le firewall qui héberge la prod . Ce que tu dis ressemble à ce que propose portsentry un(e) IDS qui alerte ou bloque selon la configuration les ip cherchant à se connecter à trop de ports à la suite. Si on couple ceci sur un rsylog tu devrais pouvoir mutualiser les différentes remontées sur le firewall d'entrée. Km ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] : réputation des IP pour filtrage Web
Bonsoir à tous, Désolé d'upper le thread, mais le sujet m’intéresse bigrement ! Au final, quelle liste croire ? projecthoneypot me semble particulièrement concise. Un mix des différentes autres aussi ? J'ai lu un article de blog qui avait une approche un peu différente : le principe était de placer un honeypot et de capturer les adresses IP qui tentent des connexions sur différents ports reconnus (RDP/SSH/SQL Server, etc) : Windows / linux peu importe, et de faire en sorte de les transmettre et de les bloquer par le firewall qui héberge la prod . Qu'en pensez vous ? @+ Christophe. JC PAROLA a écrit : Le 13/06/2013 10:21, JC PAROLA a écrit : Pour faire une petite comparaison, je ferais une recherche croiséeentre les ip de https://www.*projecthoneypot*.org et celles de malwaredomainlist.com. dernière infos de Prod, je viens d'intervenir sur un Joomla qui s'est fait malmené, l'adresse IP qui a exploité la faille joomla est présente dans *projecthoneypot*.org uniquement les autres font choux blanc ! ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] : réputation des IP pour filtrage Web
Le 12/06/2013 21:01, Gaetan Duchaussois a écrit : As-tu pensé aux listes fournies pour les IDS? Par exemple les listes d'emerging threats : http://rules.emergingthreats.net/fwrules/ Je viens également de trouver http://www.malwaredomainlist.com/forums/index.php?topic=3270.0 http://www.malwaredomainlist.com La liste des IP et les update sont téléchargeables au format CSV C'est apparemment bien suivi, dans l'update d'hier 10 IP ont été ajoutées. Pour faire une petite comparaison, je ferais une recherche croiséeentre les ip de https://www.*projecthoneypot*.org et celles de malwaredomainlist.com. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] : réputation des IP pour filtrage Web
Le 13/06/2013 10:09, JC PAROLA a écrit : Pour faire une petite comparaison, je ferais une recherche croiséeentre les ip de https://www.*projecthoneypot*.org et celles de malwaredomainlist.com. Je viens de faire une petite (vraiment petite) comparaison entre : *projecthoneypot*.org malwaredomainlist.com http://rules.emergingthreats.net/fwrules/emerging-IPF-ALL.rules Je ne sais pas combien contient de règles *projecthoneypot*.org, mais emergingthreats.net en contient 20 000 et malwaredomainlist.com 86 000. Les dernières IP présentes dans http://rules.emergingthreats.net/fwrules/emerging-IPF-ALL.rules, n'ont pas été trouvées dans *projecthoneypot*.org. en revanche, les IP présente dans http://rules.emergingthreats.net/fwrules/emerging-IPF-ALL.rules concordent avec celle de *projecthoneypot*.org. Il semble donc que *projecthoneypot*.org et malwaredomainlist.com soient en cohérence entre elle. D'autant plus que 86 000 IP blacklistées semble un chiffre plus vraissemblable que 20 000. JC PAROLA ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] : réputation des IP pour filtrage Web
Le 12/06/2013 16:29, Florent CARRÉ a écrit : http://splunk-base.splunk.com/apps/IP+Reputation https://www.projecthoneypot.org/list_of_ips.php J'en profite pour placer une question, je n'ai pas trouvé d'accès API ou autre pour Project Honey Pot, il y a moyen d'interroger ou récupérer une liste quelque part? signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] : réputation des IP pour filtrage Web
Bonsoir, Dans la partie Services, on peut y voir quelques informations : https://www.projecthoneypot.org/services_overview.php Les implémentations existantes : https://www.projecthoneypot.org/httpbl_implementations.php Ensuite pour l'API : * Http:API Specification : https://www.projecthoneypot.org/httpbl_api.php * Message Board http:BL Use/Development : http://www.projecthoneypot.org/board/list.php?f=10 Bonne soirée Florent smime.p7s Description: Signature cryptographique S/MIME ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] : réputation des IP pour filtrage Web
Bonsoir, Honte à moi d'avoir oublier le plus simple ... Pour les personnes qui veulent la liste IP de http://rules.emergingthreats.net/fwrules/ en fichiers textes spécifiques (compromised, rbn et rbn-malvertisers), il faut aller à l'url pour Suricata IDS : http://rules.emergingthreats.net/blockrules/ Bonne soirée Florent smime.p7s Description: Signature cryptographique S/MIME ___ Liste de diffusion du FRsAG http://www.frsag.org/