OVH Community, your new community space.

Les scans du reseau


MnEm0nIc
13.09.2008, 17.19
Citazione Originariamente Scritto da OXiDE
Indubbiamente sembra esser stato un ottimo lavoro.
Gia', sono servizi che aumentano la fidelizzazione dei clienti.

Per quanto riguarda lo spam, ed essendo stato ospitato presso SagoNetworks (farm riconosciuta per le centinaia di ip blacklistati per spam) non c'e' altro che dire, come dicevano certi utenti: "bisogna trovare il modo per penalizzare gli spammers ma non chi ha mailing list lunghe piu' di 15.000 contatti di progetti che han altrettanti iscritti".
Lo spam e' una brutta bestia. in azienda abbiamo dei server presso una farm italiana e con tutto che c'e' il sistema di antispam e i filtri per eliminare cio' che e' taggato come tale, arrivano decine di mail al giorno di spam.

Spero che il sistema migliori anche se, fino ad ora, a livello di sicurezza, networking (..tranne ipv6, ma e' irrilevante ai fini del servizio) e prestazioni, i server risultano essere decisamente di ottima qualita' rispetto a centinaia di concorrenti europei e oltre-oceano.
Non posso che condividere in pieno ed anche il pannello di gestione e' ben fatto, sebbene sia migliorabile.

Unica cosa che sarei curioso di conoscere e' se avrete intenzione di implementare un sistema di anti-ddos, onde evitare che, chi usi il server come server irc (che sono molto piu' esposti ad attacchi "lameri" di questo genere da parte di "idioti" che webserver o gameserver) non si veda collassare il server o con il rischio di perdita della banda NON assicurata a 100Mbit.

Ogni informazione e' ben accetta
Purtroppo credo che da questo orecchio ci sentano poco. Eppure con l'infrastruttura di rete che hanno potrebbero pensare ad installare dei firewall per mitigare gli attacchi dDoS: si potrebbero installare dei sistemi che, una volta individuato l'attacco, nullroutano gli IP sorgenti a monte della farm (e gia' questo basterebbe a tagliar via buona parte degli attacchi che si ricevono), oppure dare la possibilita' di installare un servizio di firewall dedicato per server che pero' deve avere almeno 1 gbit se il server ha 100mbit, in modo da poter gestire l'attacco e bloccare gli IP senza che il server arrivi a saturazione della banda.

Ciao

OXiDE
12.09.2008, 08.04
Indubbiamente sembra esser stato un ottimo lavoro.

Per quanto riguarda lo spam, ed essendo stato ospitato presso SagoNetworks (farm riconosciuta per le centinaia di ip blacklistati per spam) non c'e' altro che dire, come dicevano certi utenti: "bisogna trovare il modo per penalizzare gli spammers ma non chi ha mailing list lunghe piu' di 15.000 contatti di progetti che han altrettanti iscritti".

Per quanto riguarda il sistema delle liste RBL, nel caso il server venisse hackato il problema risulterebbe dell'amministratore. In caso non fosse, ringraziando il cielo, RBL crea subito una lista (come gia' detto, nell'arco di poche ore) blacklistata contenente l'ip: addio spammer.

Spero che il sistema migliori anche se, fino ad ora, a livello di sicurezza, networking (..tranne ipv6, ma e' irrilevante ai fini del servizio) e prestazioni, i server risultano essere decisamente di ottima qualita' rispetto a centinaia di concorrenti europei e oltre-oceano.

Unica cosa che sarei curioso di conoscere e' se avrete intenzione di implementare un sistema di anti-ddos, onde evitare che, chi usi il server come server irc (che sono molto piu' esposti ad attacchi "lameri" di questo genere da parte di "idioti" che webserver o gameserver) non si veda collassare il server o con il rischio di perdita della banda NON assicurata a 100Mbit.

Ogni informazione e' ben accetta

torpado
11.09.2008, 13.55
Buongiorno,
Sono 2 mesi, abbiamo rafforzato l'individuazione di scans a partire da noi e verso la nostra rete.

Gli scans che subiamo (che vengono da Internet) sono individuati dopo 5 minuti e bloccati automaticamente per 6 ore. Se ad esempio un PC in Brasile scansiona le porte SSH o WWW, è individuato quindi bloccato. Se ricomincia, è bloccato ancora per 6 ore. Se ricomincia, ancora 6 ore. In 2 mesi, si osserva che:
- individuiamo tra 700 e 1000 scans al giorno (una coppia IP: PORT)
- nella forchetta di 6 ore, ci sono tra 150 e 300 blocchi
- in generale uno scan dura meno di 24 ore
- ci sono circa 40 IP che fanno uno scan delle reti in modo permanente e continuano tutto il tempo. Si tratta di reti non amministrate
- si tratta soprattutto di scans verso le porte 135,139,445,1443 (Windows) ed in una misura inferiore le porte 21,22,23,25,80,110

Gli scans che la nostra rete genera sono individuati in 5 minuti.
Quindi i nostri amministratori di rete intervengono. Si vede una netta diminuzione di scans pericolosi a partire dalla nostra rete. Ad esempio ieri abbiamo individuato soltanto 6 scans ed oggi siamo a 2. In generale, individuiamo circa 10 scans al giorno. La diminuzione di scans è dovuta alla politica molto rigorosa in termini di sicurezza: se individuiamo 2 scans a partire da un server in uno spazio di 30 giorni, il contratto è sospeso. E' il caso di 1 e 3 server al giorno.

Ci resta un grande cantiere: lo spam che esce dalla nostra rete. Si tratta di 2 tipi di spams:
- Di spammers professionisti che utilizzano la nostra infrastruttura per inviare emails in massa. Dopo le nostre statistiche abbiamo circa 15/20 server che fanno tale attività. Si tratta di server molto ben diretti con una gestione d'abuso molto reattiva. È molto difficile provare un spam senza passare ore a raccogliere i reclami, verificare che questi non ricomincino più, dare una possibilità, quindi chiudere il server per problemi molteplici e ripetuti.
- Un server con un difetto di sicurezza hackato da un hacker (ad esempio uno script php male protetto) che permette di generare emails in uscita. In generale, il server è black-listato dagli elenchi RBL in meno di 4 ore.

Nei 2 casi, attaccheremo il problema prossimamente. Si cerca ancora un buono metodo per l'individuazione degli spams, la raccolta delle informazioni, gli allarmi ecc. Ma non c'è una ragione per la quale non si possa trovare un buono metodo che è semplice a spiegare, rispettabile e che soddisfa tutti. In tutti i casi, ne discuteremo quindi faremo le prove prima di mettere a punto buono metodo.

In breve, siamo sulla buona strada ma resta del lavoro.

Amichevolmente
Octave

oles@ovh.net
11.09.2008, 08.30
Bonjour,
Il y a 2 mois, nous avons renforcé la détection de scans à partir de notre
et vers notre réseau.

Les scans que nous subissons (qui viennent de l'Internet) sont détectés au
bout de 5 minutes et bloquées automatiquement pendant 6 heures. Si par exemple
un PC de Brésil scans le port SSH ou WWW, il est détecté puis bloqué. S'il
recommence, il est débloqué encore pendant 6 heures. S'il recommence, encore
6 heures. Sur 2 mois, on remarque que:
- nous détectons entre 700 et 1000 scans par jour (un couple IP:PORT)
- dans la fourchette de 6 heures, il y a entre 150 et 300 blocage
- en générale un scan dure moins de 24 heures
- il y a environ 40 IP qui scannent les réseaux manière permanente
et continuent tout le temps. il s'agit de réseau non administrés
- il s'agit principalement de scans vers le port 135, 139, 445, 1443
(Windows) et dans une moindre mesure le port 21, 22, 23, 25, 80, 110

Les scans que notre réseau génère sont détectés aussi au bout de 5 minutes.
Puis nos administrateurs réseaux interviennent. On voit une nette diminution
de scans dangereux à partir de notre réseau. Par exemple hier nous avons
détecté seulement 6 scans et aujourd'hui nous en sommes qu'à 2. En générale,
nous détectons environ 10 scans par jour. La diminution de scans est dû à la
politique très stricte en terme de sécurité: si nous détectons 2 scans à partir
d'un serveur dans un espace de 30 jours, le contrat est suspendu. C'est le cas
entre 1 et 3 serveurs par jour.

Il nous reste un grand chantier: le spam sortant de notre réseau. Il s'agit
de 2 types de spams:
- De spammeurs professionnels qui utilisent notre infrastructure pour envoyer
des emails en masse. D'après nos statistiques il y a environ 15/20 serveurs
qui ont une telle activité. Il s'agit de serveurs très bien administré avec
une gestion d'abus très réactif. Il est très difficile de prouver un spam
sans passer des heures à collecter les plaintes, vérifier qu'elles ne
recommencent plus, donner une chance, puis fermer le serveur en cas de
problèmes multiples et répétés.
- Un serveur avec une faille de sécurité est hacké par un hackeur (par exemple
un script php mal protégé) qui permet de générer des emails sortant. en
générale, le serveur est blacklisté par les listes RBL en moins de 4 heures.

Dans les 2 cas, nous allons nous attaquer au problème prochainement. On cherche
encore une bonne méthode pour la détection de spams, la collecte des informations,
les alertes etc. Mais il n'y a pas de raison qu'on ne trouve pas la bonne méthode
qui est simple à expliquer, respecter et qui satisfait tout le monde. Dans tous
les cas, nous allons en discuter puis faire les tests avant de mettre au point la
bonne méthode.

En bref, nous sommes sur le bon chemin mais il reste du boulot.

Amicalement
Octave