<div dir="ltr">Mooie terugblik  <span style="color:rgb(136,136,136)">Jurrian,</span><div><span style="color:rgb(136,136,136)"><br></span></div><div><span style="color:rgb(136,136,136)">Dit zou inderdaad een van de speerpunten van de DHPA en co moeten zijn. </span></div><div><span style="color:rgb(136,136,136)">Wellicht dat er aandacht aan besteed kan worden door dit stuk te publiiceren onder de mediapartners en via LinkedIN.</span></div><div><span style="color:rgb(136,136,136)"><br></span></div><div><span style="color:rgb(136,136,136)"><br></span></div><div><span style="color:rgb(136,136,136)">Marco </span></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr">Op vr 21 dec. 2018 om 11:31 schreef Jurrian van Iersel <<a href="mailto:jurrian@vaniersel.net">jurrian@vaniersel.net</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Beste NLNOG-leden,<br>
<br>
Met het einde van het jaar in zicht is het weer de periode van <br>
jaaroverzichten en cijfertjes. Dit keer wou ik ook graag een duit in het <br>
zakje doen. De meesten van jullie zullen weten dat ik hobby-project heb <br>
waarbij ik abuse-informatie verzamel en meldt bij de betreffende ISP (zo <br>
niet, kijk de presentatie op NLNOG-dag 2017 even terug: <br>
<a href="https://youtu.be/Mt-KfNQG1oQ" rel="noreferrer" target="_blank">https://youtu.be/Mt-KfNQG1oQ</a>). Hoewel de statistici het dataset vast te <br>
klein en onbetrouwbaar vinden, wil ik hier toch een klein overzicht over <br>
2018 voor Nederland maken.<br>
<br>
In onderstaande overzichten wordt naar incidenten gekeken waar het <br>
ip-adres op dat moment geregistreerd stond in Nederland; voor het ASN <br>
wordt de gene gebruikt die de IP-range op dat moment adverteerde. Ik <br>
noem bewust geen namen of ASN, zodat niemand zich persoonlijk <br>
aangesproken hoeft te voelen.<br>
Als we naar het aantal incidenten per ASN kijken, zal het niemand <br>
verbazen dat de eerste plaats vergeven wordt aan een bulletproof hoster. <br>
Ook op de zesde plaats treffen we zo’n partij aan. Opvallend genoeg <br>
bestaat de rest van de top 10 alleen uit hostingproviders (shared <br>
hosting, VPS en colocatie). De eerste accessprovider treffen we pas op <br>
de elfde plaats.<br>
<br>
Hieruit zouden we voorzichtig de conclusie kunnen trekken dat besmette <br>
PC’s bij argeloze thuisgebruikers niet meer het grootste gevaar zijn, <br>
maar dat slecht beveiligde servers (zowel virtueel als fysiek) een <br>
grotere bedreiging op vormen.<br>
Als we naar het type incidenten over het totaal (hosting + access) <br>
kijken, dan springen er 4 types bovenuit: opeenvolgend zijn dat <br>
SSH-login pogingen, SMTP-authenticatie pogingen, pogingen SIP te <br>
misbruiken en portscans. Met name TCP-poorten 7000 en 6666 zijn populair <br>
bij de portscans.<br>
<br>
Kijken we alleen naar de hosting-aanbieders uit de top 10 <br>
(bulletproof-partijen uitgesloten), dan is de volgorde SSH-login <br>
pogingen, pogingen SIP te misbruiken, Portscans en SMTP-authenticatie <br>
pogingen.<br>
Overigens moet bij het SIP-verkeer opgemerkt worden dat het UDP-verkeer <br>
is, waarbij het source-address eenvoudig te spoofen is. Anderzijds <br>
levert SIP-communicatie niet veel verkeer op, waardoor het niet <br>
interessant is voor een DDoS en is het misbruiken voor telefonie-fraude <br>
waarschijnlijker omdat dit veel lucratiever is.<br>
<br>
Concluderend zouden we kunnen stellen dat het goed gaat met de <br>
beveiliging door thuisgebruikers, waar adequaat handelen door de <br>
accessproviders een belangrijk onderdeel is. Voor de hosters is een <br>
belerend vingertje meer op de plaats; misbruik en gecompromitteerde <br>
servers zouden makkelijk gedetecteerd kunnen worden met de juiste <br>
beveiligingstools. Misschien moet de branche hier in 2019 eens <br>
(gezamenlijk) nadenken over een handelswijze bij incidenten. Waar <br>
accessproviders vaak vrij snel overgaan tot blokkades tot de problemen <br>
zijn opgelost, krijgen hostingklanten vaak 24 tot 48 uur de tijd op het <br>
probleem op te lossen voor er geblokkeerd wordt, terwijl in deze periode <br>
het abuse doorgaat. Ook in het kader van de GDPR / AVG lijkt het mij <br>
verstandiger sneller tot blokkade over te gaan als derden controle <br>
hebben over systemen met gegevens.<br>
<br>
Ik wens iedereen fijne feestdagen en een goed, gezond abuse-vrij 2019!<br>
<br>
Jurrian van Iersel<br>
_______________________________________________<br>
NLNOG mailing list<br>
<a href="mailto:NLNOG@nlnog.net" target="_blank">NLNOG@nlnog.net</a><br>
<a href="http://mailman.nlnog.net/listinfo/nlnog" rel="noreferrer" target="_blank">http://mailman.nlnog.net/listinfo/nlnog</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr">With enthusiastic greetings,<div><br></div><div>Marco van den Akker</div><div>VP of nearly everything</div><div><br></div><div>TiNC Works!</div><div><br></div></div></div>