Le 30/06/2013 23:37, Christophe a écrit :
Bonsoir à tous,
Désolé d'upper le thread, mais le sujet m’intéresse bigrement !
Au final, quelle liste croire ? projecthoneypot me semble particulièrement concise.
Un mix des différentes autres aussi ?
J'ai lu un article de blog qui avait une approche un peu différente : le principe était de placer un honeypot et de capturer les adresses IP qui tentent des connexions sur différents ports reconnus (RDP/SSH/SQL Server, etc) : Windows / linux peu importe, et de faire en sorte de les transmettre et de les bloquer par le firewall qui héberge la prod .
Qu'en pensez vous ?
Bonjour,
J'ai essayé les listes d'IP de projecthoneypot en comparant les IP qui tentaient des attaques sur mes serveurs et celles présentes dans projecthoneypot.
Je te confirme que projecthoneypot est de loin la plus à jour par rapport aux autres mes la correspondance n'est systematique loin de là.
Pour ma part, je ne m'en sert pas en Prod.
De plus, il me semble que cela rassemble plus les serveurs hackés (trojan, ...) que des serveurs qui mènent des attaques sur d'autres serveurs. Même si l'un ne va pas sans l'autre, la liste de projecthoneypot n'est pas suffisamment fiable.
Je viens de mettre en place un WAF avec Naxsi, les attaques de type XSS et injections SQL sont bien répérées et bloquées.
Cela me permet via un minuscule bout de conf à ajouter à Fail2ban de me faire mes propres règles de blackliste. de plus, dans un environnement mutualisé, il suffit qu'un hébergement se fasse attaqué pour bloquer l'IP et protéger ainsi tous les autres.
Le point interessant est que tu maitrise tout de bout en bout. Si tu est sûr de toi, tu blacklistes les IP pendant 8/24/36/48h.... sinon tu blackistes sur des plus petites durées. en cas de faux positifs ça fait moins mal :-)