Je regarde depuis quelques temps la possibilité d’ajouter en plus des protections habituelles, des listes d’IPs maintenu par différentes personnes, sociétés…
En exemple j’ai trouvé rapidement celles-ci qui sont accessibles gratuitement:
Mais il en existe un certain nombres.
Malgré tout je suis toujours en train d’hésiter, d’un coté ça à l’avantage de prendre en compte et d’être proactif sur certaines IPs, de l’autre il faut évidemment faire confiance à ceux qui font ces listes mais aussi être sûr que le périmètre prit en compte corresponde bien au besoin.
Est-ce de votre coté vous en utilisez ?
Quels sont vos avis et retours ?
Un jour il faudrait s’échanger les blacklist avec un poids variable (eg si le détenteur de la blacklist externe est un pote → facteur de 0,5, le détenteur de la blacklist externe est un mec lambda sur le net 0,1)
Pour s’échanger les blacklist, il faudrait un format normalisé.
Je peux partager mes scripts rundeck, le contenu de ma bdd et le format de ma bdd si du monde est partant.
J’ai des listes d’AS (principalement des datacenter) posants trop de problème (que je peux partager si besoin) que je ban systématiquement. Je white list ensuite certaines IP de services qui pourraient y être hébergés.
Hello,
Pour ma part, je préfère ne pas utiliser de listes externes, et produire la mienne.
C’est surtout idéologique : je n’ai pas envie de déléguer le pouvoir de refuser une connexion à une entité externe, ni de bloquer sans même le savoir les utilisateurices de VPN et Tor, outils que j’utilise moi-même.
Après je vois bien l’intérêt d’utiliser ces listes, je ne dis pas qu’elles servent à rien ! Je préfère juste m’en passer.
reaction, que je développe et utilise à la place de fail2ban ou crowdsec, permettra bientôt (je viens d’obtenir une subvention de NLnet pour ça) de fonctionner en cluster, pour distribuer les bans sur toute son infrastructure.
Je prévois aussi de permettre de bannir un AS quand X IPs de cet AS ont été bannies, mais je ne sais pas encore comment implémenter ça correctement.
Avec reaction, j’ai des règles assez énervées pour bannir les bots malveillants, avec un blocage des IPs :
Merci pour vos différents partages et retours intéressants.
Effectivement ma difficulté à décider d’utiliser au final des listes ou non et de savoir ce qui est bloqué et pourquoi, comme à chaque fois, donc les questions sur les VPN, TOR et autres…
Le partage de liste entre petit hébergeur type CHATONS peut être intéressant mais également la liste abuseipdb qui à l’air effectivement construite de manière fiable.
Belle évolution prévu pour reaction, j’avais suivi le tout début, je vois que tu as continué à le développer et félicitation pour la subvention, je vais continuer de suivre…
Salut
Au pic nous utilisons https://www.abuseipdb.com/
Nous contribuons aussi, en ce sens que lorsqu’une adresse est identifiée par fail2ban nous leur envoyons.
Nous bloquons environ 20000 adresses IP, la liste change tous les jours
Emmanuel