Liste noire Dshield.org

De wikilivois
Révision datée du 28 mai 2012 à 20:31 par Christophe (discussion | contributions) (1 version)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à la navigationAller à la recherche


Comme l'indique son site Dshield.org recense les logs de firewall sur Internet et génère des statistiques / listes à partir de ces logs.

« DShield.org is an attempt to collect data about cracker activity from all over the internet. This data will be cataloged and summarized. It can be used to discover trends in activity and prepare better firewall rules. »

Filtrer la liste noire dshield.org

Dshield génère une liste noire d'attaquants à l'adresse: http://www.dshield.org/block_list_info.php.

Le script perl http://www.dshield.org/get_block.pl récupère cette liste. Il génère la chaîne « blocklist ».

Il est nécessaire de mettre à jour ce script avec la bonne « signature »: 'DShield Blocklist \(Used to Sign DShield Blocklist\) <blocklist\@dshield.org>';

Pour logger les paquets stoppés par cette règle remplacer DROP par logblock: my $blocktarget='logblock';

Pour effacer les fichiers téléchargés, rajouter les 2 lignes suivantes à la fin du script:

unlink "$tmpdir/$filenum";
unlink "$tmpdir/$filenum.asc";


Importer la clé publique à utiliser pour vérifier la signature de la liste:

#wget http://www.dshield.org/dshield_public_key.txt
#gpg --import dshield_public_key.txt


#cp get_block.pl /opt/script/
#chmod u+x  /opt/script/get_block.pl


Ajouter les lignes suivantes au script de firewalling:

BLOCKLIST="/opt/script/get_block.pl" #variable à définir en début de script
## Blocklist de dshield.org http://www.dshield.org/block_list_info.php
$IPTABLES -N blocklist
$IPTABLES -F blocklist
$IPTABLES -F logblock
$IPTABLES -N logblock
$IPTABLES -A logblock -j LOG --log-level $LOG_LEVEL --log-prefix "BLOCKLIST "
$IPTABLES -A logblock -j DROP

A la fin du script, lorsque l'accès http est autorisé: $BLOCKLIST

Activer l'utilisation de ces chaînes:

$IPTABLES -A check -j blocklist

$IPTABLES -A INPUT -j check
$IPTABLES -A OUTPUT -j check
$IPTABLES -A FORWARD -j check


Ainsi, les chaines « blocklist » et « logblock » vont être définies à chaque démarrage du firewall. Les adresses provenant de la liste de Dshield.org seront bloquées.

Pour mettre à jour la liste tous les jours, utiliser la crontab: <licode file=/etc/crontab> 2 5 * * * root /opt/script/get_block.pl </licode>

Envoyer des logs vers dshield.org

  • Créer un compte sur dshield.org
  • Télécharger Dshieldpy
DShield.py is a Python script that can parse Linux ipchains and iptables firewall logs as well as Snort syslog alerts into the DShield format and mail them (to DShield.org)

Autres listes noires

Spamhaus

http://www.spamhaus.org/drop/drop.lasso

The Spamhaus Don't Route Or Peer List

DROP (Don't Route Or Peer) is an advisory "drop all traffic" list, consisting of stolen 'zombie' netblocks and netblocks controlled entirely by professional spammers. DROP is a tiny sub-set of the SBL designed for use by firewalls and routing equipment.

DROP is currently available as a simple text list, but will also be available shortly as BGP with routes of listed IPs announced via an AS# allowing networks to then null those routes as being IPs that they do not wish to route traffic for.

The DROP list will NEVER include any IP space "owned" by any legitimate network and reassigned - even if reassigned to the "spammers from hell". It will ONLY include IP space totally controlled by spammers or 100% spam hosting operations. These are "direct allocations" from ARIN, RIPE, APNIC, LACNIC, and others to known spammers, and the troubling run of "hijacked zombie" IP blocks that have been snatched away from their original owners (which in most cases are long dead corporations) and are now controlled by spammers or netblock thieves who resell the space to spammers.