Auteur Sujet: BCP-162: logs, CGNat et cybercriminalité (Lu 8748 fois)

vivien · « **le:** 13 septembre 2019 à 13:21:51 »

Extrait du sujet FRnOG 33 le 13/09/2019

Pour ceux qui ne pourront pas se déplacer, voici ma présentation au FRnOG 33 :

(cliquez sur la miniature ci-dessous - le document est au format PDF)

Edit : la vidéo encodée en AV1

vivien · « **Réponse #1 le:** 13 septembre 2019 à 13:21:58 »

Stilnox · « **Réponse #2 le:** 15 septembre 2019 à 15:16:02 »

Intéressant comme présentation, ça fait un moment que je cherche aussi à logger les ports sources sur mes sites web pour éviter les problèmes liés aux cgnat en v4, mais le problème est que tous mes sites sont derrière Cloudflare, donc un proxy http... vous avez compris où est la couille. Il faudrait qu'il y ai un header HTTP qui forward le port source de chaque client, mais c'est pas le cas chez Cloudflare.
J'ai déjà réclamé plusieurs fois à Cloudflare qu'ils transmettent le port source des requêtes de chaque client mais à chaque fois ils m'ont refusé ma demande (apparemment la requête doit être faite par un membre "d'état"), donc c'est pas encore gagné pour tout logger correctement. :/

Optix · « **Réponse #3 le:** 15 septembre 2019 à 16:27:02 »

Citation de: R. le 15 septembre 2019 à 15:16:02

Intéressant comme présentation, ça fait un moment que je cherche aussi à logger les ports sources sur mes sites web pour éviter les problèmes liés aux cgnat en v4, mais le problème est que tous mes sites sont derrière Cloudflare, donc un proxy http... vous avez compris où est la couille. Il faudrait qu'il y ai un header HTTP qui forward le port source de chaque client, mais c'est pas le cas chez Cloudflare.
J'ai déjà réclamé plusieurs fois à Cloudflare qu'ils transmettent le port source des requêtes de chaque client mais à chaque fois ils m'ont refusé ma demande (apparemment la requête doit être faite par un membre "d'état"), donc c'est pas encore gagné pour tout logger correctement. :/

Bah si Cloudflare peut pas le faire, mais toi si... pourquoi garder Cloudflare, en plus d'être un SPOF ?

Stilnox · « **Réponse #4 le:** 15 septembre 2019 à 16:32:51 »

Citation de: Optix le 15 septembre 2019 à 16:27:02

Bah si Cloudflare peut pas le faire, mais toi si... pourquoi garder Cloudflare, en plus d'être un SPOF ?

J'utilise Cloudflare pour son anti-DDoS volumétrique et ses fonctionnalités de cache, tout simplement, c'est le but de base de Cloudflare à la base. Je préfère payer 0€ pour un anti-DDoS qui fonctionne et un CDN qui fonctionne lui aussi, plutôt que m'emmerder à payer des prestations d'anti-DDoS de la part de l'hébergeur où je suis (car oui se bouffer 50Gbps par un mec acharné et attardé pendant des heures dans une instance Scaleway ça passe rarement bien)

vivien · « **Réponse #5 le:** 15 septembre 2019 à 17:35:38 »

En cas de problème, les forces de l'ordre iront voir Cloudflare et pas toi.

Si Cloudflare garde bien les logs (IP + port source + horodatage + page consultée) un an, ils auront la réponse.

Maintenant les obligations sont plus coté FAI que coté hébergeur...

Europole souhaiterait que les fournisseurs de contenus (comme Cloudflare aient l'obligation de garder les logs, mais il me semble que ce n'est pas le cas aujourd'hui, même si certains sites le font volontiers - je pense a des sites bien connus avec des annonces entre particulier)

Stilnox · « **Réponse #6 le:** 15 septembre 2019 à 17:41:00 »

Et bien ça dépend... car en l'occurrence pour un certain site, c'est bien moi qu'ils viennent voir.
Je gère un forum où je reçois une dizaine de réquisitions judiciaires chaque jour (hors week-end) de la part de l'OCLCTIC pour des contenus illicites postés par des membres. Ils n'ont jamais demandé quoi que ce soit à Cloudflare, ils ont récupéré mon identité en faisant une réquisition de mes données whois associées au nom de domaine. Je dois fournir l'adresse IP des membres associés aux réquisitions sur un hodoratage bien précis, ils m'ont également demandé de conserver les ports sources mais comme j'ai dit, je ne peux pas. C'est gênant.

vivien · « **Réponse #7 le:** 15 septembre 2019 à 18:01:32 »

On pourrait savoir la thématique de ton forum pour avoir une dizaine de réquisitions judiciaires chaque jour ?

Perso, j'ai déjà eu plusieurs fois des personnes qui disaient vouloir porter plainte, mais je n'ai jamais vu la moindre demande.

Ce forum existe portant depuis 2006.

SMF ne garde pas les ports, donc je garde les log Apache pour avoir les ports en cas de besoin.

Stilnox · « **Réponse #8 le:** 15 septembre 2019 à 18:09:00 »

Le forum n'a pas de thématique spécifique, c'est un forum de discussion lambda très actif où la modération est très light (ce qui explique pourquoi il y a autant de réquisitions quotidiennes, on a le droit à de tout et n'importe quoi, allant de la haine sur les origines jusqu'aux menaces de mort et également souvent des menaces de suicide), il n'est pas basé sur SMF mais a été développé from scratch en Node (donc simple d'intégrer un logueur de ports sources), mais on s'égare un peu du sujet.
Reste à noter que Cloudflare fout quand même bien dans la merde, car quand on a une réquisition pour un mec qui a posté via son portable en 4G... bah c'est une IP derrière un CGNAT. Dans ce genre de cas faut espérer que dans l'historique d'IPs du membre on puisse retrouver une autre IP où il a posté depuis son accès fixe (xDSL/fibre). Leur réclamer une implèmentation d'un header qui forward le port source ne mène à rien, ils veulent rien savoir.

vivien · « **Réponse #9 le:** 15 septembre 2019 à 18:16:25 »

Si tu donnes plusieurs IP du membre en question avec l'horodatage, il le retrouveront même avec du CG-NAT, si l'IP est dynamique.

1ér IP : Le FAI te revois 500 clients qui sont sur la même IP derrière le CG-Nat
2ème IP un autre jour : Le FAI te revois aussi 500 clients, mais ils sont tous différents de la 1er demande sauf trois.
3ème IP un autre jour : Le FAI te revois aussi 500 clients mais un seul membre est commun aux 3 IP : On sait donc qui c'est.

xp25 · « **Réponse #10 le:** 15 septembre 2019 à 19:02:26 »

buddy · « **Réponse #11 le:** 15 septembre 2019 à 21:13:47 »

Citation de: R. le 15 septembre 2019 à 18:09:00

Reste à noter que Cloudflare fout quand même bien dans la merde, car quand on a une réquisition pour un mec qui a posté via son portable en 4G... bah c'est une IP derrière un CGNAT. Dans ce genre de cas faut espérer que dans l'historique d'IPs du membre on puisse retrouver une autre IP où il a posté depuis son accès fixe (xDSL/fibre). Leur réclamer une implèmentation d'un header qui forward le port source ne mène à rien, ils veulent rien savoir.

Comme tu l'as dit cloudflare c'est 0$/mois ... Pourquoi développer en plus un truc (qui doit intéresser 1/100 000 webmaster) sur un service "gratuit" qui fonctionne plutôt bien ?
Sans compter que pour Cloudflare c'est peut être pas si simple que çà de faire une modif sur l'infra en place.