En analysant les logs de mon firewall (netfilter/iptables sous Debian
Sarge), je constate qu'un nombre incroyable de scans de ports
proviennent de Proxad. Or, je suis chez eux (en dégroupage partiel),
connecté par une Freebox (avec IP fixe).
Par exemple (nombre de tentatives, IP source ; données d'aujourdh'ui
analysées par fwlogwatch) :
En fait, dans mes derniers logs de la journée, tous les paquets
rejetés (avec au moins cinq tentatives de connexion) proviennent de
Proxad (sauf quelques-uns issus de CHINANET-HB).
Je me vois mal envoyer à l'abuse de Free tant de plaintes (filtrés sur
au moins cinq scans par IP, les logs me donnent pour une même journée
plus d'une centaine de tentatives émanant d'une IP de Proxad) : je
me dis qu'il doit s'agir là d'autre chose, d'un processus normal, de
résidus de connexion ou je ne sais quoi (est-il besoin de préciser
que je suis très loin d'être spécialiste de la question ; je me
contente de faire en sorte que mon PC soit assez protégé).
Vu que les ports de destination (microsoft-ds [445], netbios-ssn [139]
et loc-srv [135] pour l'essentiel) sont cependant de grands
classiques du scan, je trouverai tout aussi étrange que cela fasse
partie d'un fonctionnement normal du réseau de Proxad et/ou de la
Freebox.
Quoi qu'il en soit, le fait que je sois aussi chez Free me laisse
penser que ces nombreux scans issus d'IP venant eux aussi d'une
Freebox ne sont pas des coïncidences.
D'avance merci à qui pourra éclairer ma lanterne afin que je procède,
le cas échéant, à un envoi groupé de plaintes.
« Vous allez être relié à internet, et ce de manière permanente [avec la Freebox]. Assurez-vous d'avoir configuré un firewall : dans le cas contraire, la sécurité de votre ordinateur et de vos données n'est pas assurée. Si vous ne savez ce que c'est, suivez ce lien. », etc
C'est le cas pour la connexion USB : les pilotes intègrent un filtre sommaire mais efficace prenant en charge Blaster et autres saletés.
Merci pour les infos. Le problème reste cependant entier pour quiconque branche la Freebox directement sur eth.
Francois Yves Le Gal a écrit dans
<adk461llt7ob7bd3s2c6dne4vj1hv7di6v@4ax.com> :
« Vous allez être relié à
internet, et ce de manière permanente [avec la Freebox].
Assurez-vous d'avoir configuré un firewall : dans le cas contraire,
la sécurité de votre ordinateur et de vos données n'est pas assurée.
Si vous ne savez ce que c'est, suivez ce lien. », etc
C'est le cas pour la connexion USB : les pilotes intègrent un filtre
sommaire mais efficace prenant en charge Blaster et autres saletés.
Merci pour les infos. Le problème reste cependant entier pour
quiconque branche la Freebox directement sur eth.
« Vous allez être relié à internet, et ce de manière permanente [avec la Freebox]. Assurez-vous d'avoir configuré un firewall : dans le cas contraire, la sécurité de votre ordinateur et de vos données n'est pas assurée. Si vous ne savez ce que c'est, suivez ce lien. », etc
C'est le cas pour la connexion USB : les pilotes intègrent un filtre sommaire mais efficace prenant en charge Blaster et autres saletés.
Merci pour les infos. Le problème reste cependant entier pour quiconque branche la Freebox directement sur eth.
Fabien LE LEZ
On 17 Apr 2005 07:43:24 GMT, Vincent Ramos :
Merci. Cela laisse alors penser qu'il y a énormément de machines infectées...
A priori, je ne vois pas pour quelle raison les machines infectées seraient minoritaires.
Je pense que je vais prendre ma plume et écrire à Free ;
Bon courage...
-- ;-)
On 17 Apr 2005 07:43:24 GMT, Vincent Ramos
<sivanataraja.a_retirer@free.invalid.fr>:
Merci. Cela laisse alors penser qu'il y a énormément de machines
infectées...
A priori, je ne vois pas pour quelle raison les machines infectées
seraient minoritaires.
Je pense que je vais prendre ma plume et écrire à Free ;
Merci. Cela laisse alors penser qu'il y a énormément de machines infectées...
A priori, je ne vois pas pour quelle raison les machines infectées seraient minoritaires.
Je pense que je vais prendre ma plume et écrire à Free ;
Bon courage...
-- ;-)
Patrick Mevzek
Je lis que Blaster passe par le port 135 : cela corrobore les faits.
Je reste tout de même étonné du nombre de personnes infectées par de tels virus : je ne comprends pas qu'un FAI comme Free n'« impose » pas l'utilisation d'un firewall à ses clients.
Plus simple: il suffirait que l'équipement de raccordement au réseau du FAI filtre tous les ports ``inutiles'', du style 135 à 139, 445, etc... Ca diminuerait pas mal la propagation des infections...
D'un autre côté il y a bien des gens qui se font suspendre leur accès pour abus. De ce que j'ai pu lire moi-même, c'était en cas de spam je crois, mais si ca se trouve ca arrive aussi après scans trop nombreux, ou autres comportements... Donc c'est plus sournois: on ne vous impose rien, on ne filtre rien, mais on vous désabonne dès que ca ne va plus.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Je lis que Blaster passe par le port 135 : cela corrobore les faits.
Je reste tout de même étonné du nombre de personnes infectées par de
tels virus : je ne comprends pas qu'un FAI comme Free n'« impose » pas
l'utilisation d'un firewall à ses clients.
Plus simple: il suffirait que l'équipement de raccordement au réseau du
FAI filtre tous les ports ``inutiles'', du style 135 à 139, 445, etc...
Ca diminuerait pas mal la propagation des infections...
D'un autre côté il y a bien des gens qui se font suspendre leur accès
pour abus. De ce que j'ai pu lire moi-même, c'était en cas de spam je
crois, mais si ca se trouve ca arrive aussi après scans trop nombreux, ou
autres comportements...
Donc c'est plus sournois: on ne vous impose rien, on ne filtre rien, mais
on vous désabonne dès que ca ne va plus.
--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Je lis que Blaster passe par le port 135 : cela corrobore les faits.
Je reste tout de même étonné du nombre de personnes infectées par de tels virus : je ne comprends pas qu'un FAI comme Free n'« impose » pas l'utilisation d'un firewall à ses clients.
Plus simple: il suffirait que l'équipement de raccordement au réseau du FAI filtre tous les ports ``inutiles'', du style 135 à 139, 445, etc... Ca diminuerait pas mal la propagation des infections...
D'un autre côté il y a bien des gens qui se font suspendre leur accès pour abus. De ce que j'ai pu lire moi-même, c'était en cas de spam je crois, mais si ca se trouve ca arrive aussi après scans trop nombreux, ou autres comportements... Donc c'est plus sournois: on ne vous impose rien, on ne filtre rien, mais on vous désabonne dès que ca ne va plus.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Eric Masson
Patrick Mevzek writes:
'Lut,
Plus simple: il suffirait que l'équipement de raccordement au réseau du FAI filtre tous les ports ``inutiles'', du style 135 à 139, 445, etc... Ca diminuerait pas mal la propagation des infections...
Ce que l'on demande à un prestataire ip, c'est de fournir un transport, pas de décider d'une politique de sécurité arbitraire.
Qu'est ce qui empêche le fai à partir de ce moment de filtrer tout traffic ne lui convenant pas sans accord préalable de ses clients ?
Éric Masson
-- Le neuneu est à Usenet ce que le staphylocoque doré est au furoncle. Ils bénéficient tous les deux d'un système cognitif de niveau équivalent, malgré un léger avantage intellectuel au staphylocoque. -+- JdC in <http://www.le-gnu.net> : No Fu(tur)oncle -+-
Patrick Mevzek <pm-N200504@nospam.dotandco.com> writes:
'Lut,
Plus simple: il suffirait que l'équipement de raccordement au réseau du
FAI filtre tous les ports ``inutiles'', du style 135 à 139, 445, etc...
Ca diminuerait pas mal la propagation des infections...
Ce que l'on demande à un prestataire ip, c'est de fournir un transport,
pas de décider d'une politique de sécurité arbitraire.
Qu'est ce qui empêche le fai à partir de ce moment de filtrer tout
traffic ne lui convenant pas sans accord préalable de ses clients ?
Éric Masson
--
Le neuneu est à Usenet ce que le staphylocoque doré est au furoncle.
Ils bénéficient tous les deux d'un système cognitif de niveau
équivalent, malgré un léger avantage intellectuel au staphylocoque.
-+- JdC in <http://www.le-gnu.net> : No Fu(tur)oncle -+-
Plus simple: il suffirait que l'équipement de raccordement au réseau du FAI filtre tous les ports ``inutiles'', du style 135 à 139, 445, etc... Ca diminuerait pas mal la propagation des infections...
Ce que l'on demande à un prestataire ip, c'est de fournir un transport, pas de décider d'une politique de sécurité arbitraire.
Qu'est ce qui empêche le fai à partir de ce moment de filtrer tout traffic ne lui convenant pas sans accord préalable de ses clients ?
Éric Masson
-- Le neuneu est à Usenet ce que le staphylocoque doré est au furoncle. Ils bénéficient tous les deux d'un système cognitif de niveau équivalent, malgré un léger avantage intellectuel au staphylocoque. -+- JdC in <http://www.le-gnu.net> : No Fu(tur)oncle -+-
Patrick Mevzek
Plus simple: il suffirait que l'équipement de raccordement au réseau du FAI filtre tous les ports ``inutiles'', du style 135 à 139, 445, etc... Ca diminuerait pas mal la propagation des infections...
Ce que l'on demande à un prestataire ip, c'est de fournir un transport, pas de décider d'une politique de sécurité arbitraire.
Ce que demande la majorité des personnes c'est Internet. IP, ils ne savent pas ce que c'est, et ils s'en tapent.
Par contre si leur prestataire peut faire le strict minimum pour limiter la propagation des nuisibles, ils seront contents. Et le reste d'Internet aussi d'ailleurs.
Qu'est ce qui empêche le fai à partir de ce moment de filtrer tout traffic ne lui convenant pas sans accord préalable de ses clients ?
Qui a dit sans accord préalable ? Cela peut être spécifié dans un contrat, non ?
Et cela n'exclut pas des services différents, avec des contrats différents. Par défaut telles et telles choses sont filtrées, et après y a un contrat full IP pour ceux qui savent ce qu'ils font.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Plus simple: il suffirait que l'équipement de raccordement au réseau du
FAI filtre tous les ports ``inutiles'', du style 135 à 139, 445, etc...
Ca diminuerait pas mal la propagation des infections...
Ce que l'on demande à un prestataire ip, c'est de fournir un transport,
pas de décider d'une politique de sécurité arbitraire.
Ce que demande la majorité des personnes c'est Internet.
IP, ils ne savent pas ce que c'est, et ils s'en tapent.
Par contre si leur prestataire peut faire le strict minimum pour limiter
la propagation des nuisibles, ils seront contents. Et le reste d'Internet
aussi d'ailleurs.
Qu'est ce qui empêche le fai à partir de ce moment de filtrer tout
traffic ne lui convenant pas sans accord préalable de ses clients ?
Qui a dit sans accord préalable ?
Cela peut être spécifié dans un contrat, non ?
Et cela n'exclut pas des services différents, avec des contrats
différents. Par défaut telles et telles choses sont filtrées, et après y
a un contrat full IP pour ceux qui savent ce qu'ils font.
--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Plus simple: il suffirait que l'équipement de raccordement au réseau du FAI filtre tous les ports ``inutiles'', du style 135 à 139, 445, etc... Ca diminuerait pas mal la propagation des infections...
Ce que l'on demande à un prestataire ip, c'est de fournir un transport, pas de décider d'une politique de sécurité arbitraire.
Ce que demande la majorité des personnes c'est Internet. IP, ils ne savent pas ce que c'est, et ils s'en tapent.
Par contre si leur prestataire peut faire le strict minimum pour limiter la propagation des nuisibles, ils seront contents. Et le reste d'Internet aussi d'ailleurs.
Qu'est ce qui empêche le fai à partir de ce moment de filtrer tout traffic ne lui convenant pas sans accord préalable de ses clients ?
Qui a dit sans accord préalable ? Cela peut être spécifié dans un contrat, non ?
Et cela n'exclut pas des services différents, avec des contrats différents. Par défaut telles et telles choses sont filtrées, et après y a un contrat full IP pour ceux qui savent ce qu'ils font.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Fabien LE LEZ
On 18 Apr 2005 15:05:35 GMT, Eric Masson :
Qu'est ce qui empêche le fai à partir de ce moment de filtrer tout traffic ne lui convenant pas sans accord préalable de ses clients ?
Rien. AOL le fait pour le SMTP (et sans doute autre chose). Et manifestement beaucoup de FAI (dont Free) "bidouillent" le port par défaut de Bittorrent (ils ne le bloquent pas franchement, mais le trafic est très très lent, du style 1 % de la capacité de la ligne).
-- ;-)
On 18 Apr 2005 15:05:35 GMT, Eric Masson <emss@free.fr>:
Qu'est ce qui empêche le fai à partir de ce moment de filtrer tout
traffic ne lui convenant pas sans accord préalable de ses clients ?
Rien. AOL le fait pour le SMTP (et sans doute autre chose).
Et manifestement beaucoup de FAI (dont Free) "bidouillent" le port par
défaut de Bittorrent (ils ne le bloquent pas franchement, mais le
trafic est très très lent, du style 1 % de la capacité de la ligne).
Qu'est ce qui empêche le fai à partir de ce moment de filtrer tout traffic ne lui convenant pas sans accord préalable de ses clients ?
Rien. AOL le fait pour le SMTP (et sans doute autre chose). Et manifestement beaucoup de FAI (dont Free) "bidouillent" le port par défaut de Bittorrent (ils ne le bloquent pas franchement, mais le trafic est très très lent, du style 1 % de la capacité de la ligne).
-- ;-)
Fabien LE LEZ
On 18 Apr 2005 16:00:50 GMT, Patrick Mevzek :
Et cela n'exclut pas des services différents, avec des contrats différents. Par défaut telles et telles choses sont filtrées, et après y a un contrat full IP pour ceux qui savent ce qu'ils font.
Deux contrats différents, c'est trop dur à gérer. Free, par exemple, ne veut même plus gérer les deux cas [avec ou sans Freebox] et a envoyé d'office une Freebox à tous ceux qui avaient acheté leur propre modem, juste pour avoir une catégorie de moins à gérer.
-- ;-)
On 18 Apr 2005 16:00:50 GMT, Patrick Mevzek
<pm-N200504@nospam.dotandco.com>:
Et cela n'exclut pas des services différents, avec des contrats
différents. Par défaut telles et telles choses sont filtrées, et après y
a un contrat full IP pour ceux qui savent ce qu'ils font.
Deux contrats différents, c'est trop dur à gérer. Free, par exemple,
ne veut même plus gérer les deux cas [avec ou sans Freebox] et a
envoyé d'office une Freebox à tous ceux qui avaient acheté leur propre
modem, juste pour avoir une catégorie de moins à gérer.
Et cela n'exclut pas des services différents, avec des contrats différents. Par défaut telles et telles choses sont filtrées, et après y a un contrat full IP pour ceux qui savent ce qu'ils font.
Deux contrats différents, c'est trop dur à gérer. Free, par exemple, ne veut même plus gérer les deux cas [avec ou sans Freebox] et a envoyé d'office une Freebox à tous ceux qui avaient acheté leur propre modem, juste pour avoir une catégorie de moins à gérer.
-- ;-)
Eric Masson
Patrick Mevzek writes:
Et cela n'exclut pas des services différents, avec des contrats différents. Par défaut telles et telles choses sont filtrées, et après y a un contrat full IP pour ceux qui savent ce qu'ils font.
Sous cette forme, d'accord.
Mais cela pose le problème de la capacité des isp à intégrer un filtrage applicatif correct et là on trouve de tout... Du meilleur au franchement désastreux.
Éric Masson
-- "RECHERCHONS HOMMES" présentant peau sensible utilisant déodorant sans alcool, pour tester produits cosmétiques, rémunération en fin d'essai. -+- in <http://www.le-gnu.net>-Halte à l'expérimentation neuneutale -+-
Patrick Mevzek <pm-N200504@nospam.dotandco.com> writes:
Et cela n'exclut pas des services différents, avec des contrats
différents. Par défaut telles et telles choses sont filtrées, et après y
a un contrat full IP pour ceux qui savent ce qu'ils font.
Sous cette forme, d'accord.
Mais cela pose le problème de la capacité des isp à intégrer un filtrage
applicatif correct et là on trouve de tout... Du meilleur au franchement
désastreux.
Éric Masson
--
"RECHERCHONS HOMMES" présentant peau sensible utilisant déodorant sans
alcool, pour tester produits cosmétiques, rémunération en fin d'essai.
-+- in <http://www.le-gnu.net>-Halte à l'expérimentation neuneutale -+-
Et cela n'exclut pas des services différents, avec des contrats différents. Par défaut telles et telles choses sont filtrées, et après y a un contrat full IP pour ceux qui savent ce qu'ils font.
Sous cette forme, d'accord.
Mais cela pose le problème de la capacité des isp à intégrer un filtrage applicatif correct et là on trouve de tout... Du meilleur au franchement désastreux.
Éric Masson
-- "RECHERCHONS HOMMES" présentant peau sensible utilisant déodorant sans alcool, pour tester produits cosmétiques, rémunération en fin d'essai. -+- in <http://www.le-gnu.net>-Halte à l'expérimentation neuneutale -+-
