Re: [FRnOG] [TECH] Firewall Multi Tenant
Je suis « content » de voir qu’on est arrivés aux mêmes conclusions. Pendant un temps, je me suis dit que j’avais raté un truc. Oui c’est du viol, mais qui sera justifié par le constructeur parce que ça t’évite de gérer 100 firewall. Donc pour le DAF, c’est toujours moins cher qu’acheter et gérer 100 boitiers HW, et la complexité qui va avec. Julien, j’ai oublié une solution OpenSource qui existe mais qui ne me convient pas parce que c’est un firewall pur seulement: Mikrotik http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding Le 24 sept. 2014 à 23:15, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote: D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas. -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base, premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences coutent presque 3 fois plus que le boitier. Financierement c'est du viol. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] L'Adtrap du geek barbu
Emmanuel Thierry a écrit : Juste une précision : Il est où ton routeur ? Chez toi ou dans un DC ? A la maison. Je ne comprends pas trop ton schéma. (si c'est chez toi, inutile de dire que je ne comprend pas l'utilité de filtrer par BGP vu que le goulot d'étranglement est en amont) Précisément : la bonne manière de filtrer c'est précisément en amont, chez ton FAI (ou le sien). Tout le monde te le dira, quand tu te prends une attaque dans la gueule tu ne peux rien faire tout seul, if faut collaborer avec ton FAI et la seule chose qu'il comprend c'est BGP. La meilleure manière de distribuer une liste d'adresses IP qui te font chier, c'est BGP. Bon en plus, petit routeur deviendra grand. Le réseau à la maison c'est sympa pour alpha tester les bidouilles, abominations et autres monstruosités avant de les béta tester en lab et de les mettre en prod. Avec du vrai matos, l'utilité de filtrer par BGP est la suivante : RPF dépend de CEF. Sur un vrai routeur tu as CEF ou dCEF en hard. Ma connaissance limitée de Cisco internal (quelqu'un qui connait vraiment cette partie, des détails croustillants?) me dit ceci: la merde arrive, lookup dans la TCAM; si match, discard direct dans la linecard. Adios amigo, et pour pas payer d'împots il faut naître à Monaco. Même si tu te prends une DDOS PPS dans la gueule, ton routeur ne s'effondre pas tant que le PPS ne mets pas la TCAM à genoux. J'ai tort ? quelqu'un qui traduit çà en Juniper ? Fabien Schwebel a écrit : internet box opérateur en bridge, brainless routeur portant l'IP publique et faisant le NAT IPS routeur Wi-Fi --- devices Presque la même chose que moi, sauf que je ne veux pas de la box opérateur. Il y en a pas une pour rattraper l'autre, c'est de la merde en plastique avec du code écrit avec les pieds, SNMP de daube, pas de MIB, etc etc. C'est pour çà que je mets du Cisco, c'est pas bon marché mais au moins on peut regarder ce qui se passe sur le cuivre ou la fibre. Pour l'instant je filtre un lien ADSL 18Mbps avec un petit ordi portable i5 sans brider aucunement la ligne. Avec ta config, qu'est-ce que le pifomètre aiguisé dit si tu utilisais un processeur Atom ? Zotac Z-Box ID92 Est-ce qu'elle est en bridge aussi? le même sous-réseau IP des 2 cotés ? L'adresse IP de passerelle c'est celle du routeur ? Suricata sur distrib SELKS Ca c'est la partie que je connais vraiment pas. Leçon Suricata pour les nuls, stp. Je veux un truc dont j'ai pas besoin de m'occuper, qu'est ce que Suricata va me donner de plus que snort, et quels sont les avantages de la distro SELKS par rapport à installer Suricata à la main ? Je ne comprends pas trop vos histoires de BGP et son utilité, là où Netfilter fait du bon boulot :) Cà c'est la différence fondamentale entre ceux qui sont tombés dans un ordi quand ils étaient petits et ceux qui sont tombés dans un routeur quand ils étaient petits. Toi t'est tombé dans un ordi, moi dans un routeur. BGP, c'est facile à distribuer à tes petits camarades. BGP, c'est une base de données distribuée. Toi, tu consolides les listes de merdasse dans ton IPS. Moi, je les consolide dans mon routeur, et je partage avec les potes. Dans ton réseau, la merdasse connue ou pas traverse ta box opérateur, ton routeur, ton NAT, ressort de ton routeur, et rentre dans ton IPS ou finalement tu la dégage. Dans mon réseau, la merdasse connue est dégagée à l'interface extérieure. La détection et le filtrage ne sont pas (forcément) liées. Michel. ___ ___ +-/ Ze claoud \--+ +--/ Ze rézo local \+ !! ! ! ! +-++---++---+ ! ! +---++---+ ! ! ! FAI !! x !! y ! ! !Cafetière -+ +- Serveur +---+ Switch Garage + ! ! +--+--++-+-++-+-+ ! ! ! S !! +---+ ! !! !! ___ ! W +- PCs +---+ ! !++ +++--/ Cisco \+! I !!+-- DVR ! ! ! ! Tu100Tu200 !! T ++! ! ! ! ! NAT + Log ! +-+ ! C ! +---+--+ ! ! +--+ +---+ ATM0/0/0.35 Reflx ACL F0/0 +---+ Adtrap +--+ H +-+ Wifi +--- NeoTV ! ! ! Team Cymru ! ! ! +-+ ! ! +-+-+--+Netflix ! ! ! FullBogon #1 +---+ ! eBGP eBGP eBGP iBGP !
Re: [FRnOG] [TECH] Firewall Multi Tenant
Bonjour, Coté OpenSource, tu peut toujours faire ce genre de chose avec un OpenBSD et des RDOMAIN avec du PF pour le filtrage, ou un linux avec des TABLES + iptable, capacité jusqu'à 254 RDOMAIN ou TABLES en terme de trafic les 100Mbps aucun souci. Par contre va falloir mettre un peu les mains dans le cambouis. Ev version proprio tu à du Juniper SRX ou voir même du Firefly (une VM pour N tenant) qui répond facilement au besoin, par contre au niveau tarif c'est pas les moins cher. @++ Le 25/09/2014 08:03, David Ponzone a écrit : Je suis « content » de voir qu’on est arrivés aux mêmes conclusions. Pendant un temps, je me suis dit que j’avais raté un truc. Oui c’est du viol, mais qui sera justifié par le constructeur parce que ça t’évite de gérer 100 firewall. Donc pour le DAF, c’est toujours moins cher qu’acheter et gérer 100 boitiers HW, et la complexité qui va avec. Julien, j’ai oublié une solution OpenSource qui existe mais qui ne me convient pas parce que c’est un firewall pur seulement: Mikrotik http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding Le 24 sept. 2014 à 23:15, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote: D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas. -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base, premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences coutent presque 3 fois plus que le boitier. Financierement c'est du viol. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Yoann THOMAS Directeur Associé Direction Technique IP Phone : +33 1 76 71 05 00 Mobile : +33 6 50 87 04 69 Fax2Mail : +33 1 76 71 05 07 Support Technique : +33 1 76 71 05 00 OpenIP http://www.openip.fr www.openip.fr http://www.openip.fr extranet.openip.fr http://extranet.openip.fr Les informations contenues dans ce message sont confidentielles et peuvent constituer des informations privilégiées. Si vous n'êtes pas le destinataire de ce message, il vous est interdit de le copier, de le faire suivre, de le divulguer ou d'en utiliser tout ou partie. Si vous avez reçu ce message par erreur, merci de le supprimer de votre système, ainsi que toutes ses copies, et d'en avertir immédiatement l'expéditeur par message de retour. Il est impossible de garantir que les communications par messagerie électronique arrivent en temps utile, sont sécurisées ou dénuées de toute erreur ou virus. En conséquence, l'expéditeur n'accepte aucune responsabilité du fait des erreurs ou omissions qui pourraient en résulter. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
Le 25/09/2014 08:03, David Ponzone a écrit : Je suis « content » de voir qu’on est arrivés aux mêmes conclusions. Pendant un temps, je me suis dit que j’avais raté un truc. Oui c’est du viol, mais qui sera justifié par le constructeur parce que ça t’évite de gérer 100 firewall. Donc pour le DAF, c’est toujours moins cher qu’acheter et gérer 100 boitiers HW, et la complexité qui va avec. Julien, j’ai oublié une solution OpenSource qui existe mais qui ne me convient pas parce que c’est un firewall pur seulement: Mikrotik David, j'en suis pas convaincu. MikrotikOS me servait de couteau suisse dans ma vie passée. MPLS/BGP/VLANPPPoE pour C2E/Tunnelisation en tous genres, tout ca tout ca... Ca fonctionne, c'est pas cher (encore moins en MikrotikOS), ca fait ce qu'on lui demande. Y'a des expert Mikrotik sur la liste, on peux avoir vos avis? Seb. http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding Le 24 sept. 2014 à 23:15, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote: D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas. -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base, premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences coutent presque 3 fois plus que le boitier. Financierement c'est du viol. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Firewall Multi Tenant
Oui effectivement je veux bien des avis. Le Home Made ne me parait pas forcément réalisable (faut faire du dev pour interfacer le tout et on manque d'homme pour ca). Je ne sais pas si Juniper propose de la loc je vais me renseigner. Oui chez nous c'est un point important, je vais avoir du mal a faire investir 10-20k€ dans des FW, on préfère payer par tenantau besoin. du MSP quoi... Julien De : Sebastien Lesimple slesim...@laposte.net Envoyé : jeudi 25 septembre 2014 08:21 À : David Ponzone; Radu-Adrian Feurdean Cc : Julien OHAYON; frnog@frnog.org Objet : Re: [FRnOG] [TECH] Firewall Multi Tenant Le 25/09/2014 08:03, David Ponzone a écrit : Je suis « content » de voir qu’on est arrivés aux mêmes conclusions. Pendant un temps, je me suis dit que j’avais raté un truc. Oui c’est du viol, mais qui sera justifié par le constructeur parce que ça t’évite de gérer 100 firewall. Donc pour le DAF, c’est toujours moins cher qu’acheter et gérer 100 boitiers HW, et la complexité qui va avec. Julien, j’ai oublié une solution OpenSource qui existe mais qui ne me convient pas parce que c’est un firewall pur seulement: Mikrotik David, j'en suis pas convaincu. MikrotikOS me servait de couteau suisse dans ma vie passée. MPLS/BGP/VLANPPPoE pour C2E/Tunnelisation en tous genres, tout ca tout ca... Ca fonctionne, c'est pas cher (encore moins en MikrotikOS), ca fait ce qu'on lui demande. Y'a des expert Mikrotik sur la liste, on peux avoir vos avis? Seb. http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding Le 24 sept. 2014 à 23:15, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote: D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas. -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base, premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences coutent presque 3 fois plus que le boitier. Financierement c'est du viol. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
Le 25 sept. 2014 à 08:21, Sebastien Lesimple slesim...@laposte.net a écrit : Le 25/09/2014 08:03, David Ponzone a écrit : Julien, j’ai oublié une solution OpenSource qui existe mais qui ne me convient pas parce que c’est un firewall pur seulement: Mikrotik David, j'en suis pas convaincu. MikrotikOS me servait de couteau suisse dans ma vie passée. MPLS/BGP/VLANPPPoE pour C2E/Tunnelisation en tous genres, tout ca tout ca... Ca fonctionne, c'est pas cher (encore moins en MikrotikOS), ca fait ce qu'on lui demande. Je rectifie parce que je me suis mal exprimé: ce n’est qu’un firewall, et pas un UTM. Côté réseau, c’est clair, ça en fait un paquet. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
En pRix liste un srx virtuel firefly perimeter est a 2800$ ( pour 2 coeurs )en perpetuel. A noter que c' est sensiblement identique aux prix de la concurrence .., Il y a aussi un modèle msp ( souscription annuelle , 60% du prix en perpetuel ) Cela inclut l'outil de provisionning On peut en discuter en MP - Message d'origine - De : Julien OHAYON [mailto:j.oha...@xoxo.fr] Envoyé : Thursday, September 25, 2014 08:25 AM W. Europe Standard Time À : Sebastien Lesimple slesim...@laposte.net; David Ponzone david.ponz...@gmail.com; Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net Cc : frnog@frnog.org frnog@frnog.org Objet : RE: [FRnOG] [TECH] Firewall Multi Tenant Oui effectivement je veux bien des avis. Le Home Made ne me parait pas forcément réalisable (faut faire du dev pour interfacer le tout et on manque d'homme pour ca). Je ne sais pas si Juniper propose de la loc je vais me renseigner. Oui chez nous c'est un point important, je vais avoir du mal a faire investir 10-20k€ dans des FW, on préfère payer par tenantau besoin. du MSP quoi... Julien De : Sebastien Lesimple slesim...@laposte.net Envoyé : jeudi 25 septembre 2014 08:21 À : David Ponzone; Radu-Adrian Feurdean Cc : Julien OHAYON; frnog@frnog.org Objet : Re: [FRnOG] [TECH] Firewall Multi Tenant Le 25/09/2014 08:03, David Ponzone a écrit : Je suis « content » de voir qu’on est arrivés aux mêmes conclusions. Pendant un temps, je me suis dit que j’avais raté un truc. Oui c’est du viol, mais qui sera justifié par le constructeur parce que ça t’évite de gérer 100 firewall. Donc pour le DAF, c’est toujours moins cher qu’acheter et gérer 100 boitiers HW, et la complexité qui va avec. Julien, j’ai oublié une solution OpenSource qui existe mais qui ne me convient pas parce que c’est un firewall pur seulement: Mikrotik David, j'en suis pas convaincu. MikrotikOS me servait de couteau suisse dans ma vie passée. MPLS/BGP/VLANPPPoE pour C2E/Tunnelisation en tous genres, tout ca tout ca... Ca fonctionne, c'est pas cher (encore moins en MikrotikOS), ca fait ce qu'on lui demande. Y'a des expert Mikrotik sur la liste, on peux avoir vos avis? Seb. http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding Le 24 sept. 2014 à 23:15, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote: D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas. -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base, premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences coutent presque 3 fois plus que le boitier. Financierement c'est du viol. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
Chaque instance (vdom) dans Fortinet est autonome, mais consomme de la RAM. Surtout avec du filtrage UTM. Donc plus qu'une question de licence, il faudra un modèle avec RAM / cpu / ASIC Le 1000C en appliance physique, ou sinon ça existe en VM Vmware. Le 24 sept. 2014 à 23:15, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote: D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas. -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base, premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences coutent presque 3 fois plus que le boitier. Financierement c'est du viol. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Le 24/09/2014 08:05, Raphael Maunier a écrit : En pratique, l’utilisation d’IPv6 reste très anecdotique en entreprise, je dirais meme quasi nul ! Disons que l'utilisation assumée reste très anecdotique. Le fait est que tous les systèmes récents ont une pile IPv6 active par défaut donc qu'il y a surement du trafic v6 sur la plupart des réseaux locaux... Par exemple, sauf erreur de ma part, tout OS Windows récent parlera à son contrôleur de domaine en v6 quitte à utiliser une encapsulation 6to4.. Bref que les entreprises en veuillent ou non, IPv6 est déjà dans les murs, il reste à le traiter convenablement.. Jérôme smime.p7s Description: Signature cryptographique S/MIME
Re: [FRnOG] [TECH] Firewall Multi Tenant
On Thu, Sep 25, 2014, at 09:13, Guillaume Tournat wrote: Donc plus qu'une question de licence, il faudra un modèle avec RAM / cpu / ASIC Le 1000C en appliance physique, ou sinon ça existe en VM Vmware. Cote VM, il me semble que c'est la VM 4 ou 8 cores qui accepte 100 VDOMS. Pas negligeable cote prix, et il faut rajouter le prix de la licence extra VDOM. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
On Thu, Sep 25, 2014, at 08:03, David Ponzone wrote: Oui c’est du viol, mais qui sera justifié par le constructeur parce que ça t’évite de gérer 100 firewall. Donc pour le DAF, c’est toujours moins cher qu’acheter et gérer 100 boitiers HW, et la complexité qui va avec. 11 boitiers x 9 VDOMs chaque. Le calcul devient plus complique. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
Le 25/09/2014 08:59, Bouzemarene, Farid (ATS) a écrit : En pRix liste un srx virtuel firefly perimeter est a 2800$ ( pour 2 coeurs )en perpetuel. A noter que c' est sensiblement identique aux prix de la concurrence .., Il y a aussi un modèle msp ( souscription annuelle , 60% du prix en perpetuel ) Cela inclut l'outil de provisionning On peut en discuter en MP La vrai discussion sur le sujet c'est est ce que tu veux t'orienter sur - un modèle hardware partitionnée (vdom chez forti, vsys chez Juniper SRX mais ca va être abandonné). Donc la seule solution raisonnable semble fortigate. - un modèle par vm (vshield, firefly, pfsense, whatever) - un modèle mixte (?) Pour le besoin de bande passante dont tu fait objet j'aurais vraiment tendance à le faire par vm. Un hyperviseur, un template de vm que tu décline à l'infini et voila. (ma préférence irait sur du pfsense). Cdt, -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Bonjour, Je vous invite à me slaper bien fort si la suite de ce message est un gros amont de bullshit. Il est vrai qu'ipV6 gagnerais à se développer sur le nainternet, manque de bloc, anycast et toutitquenti. Neamoins, il faut bien avouer qu'a l'échelle du réseau back-office d'une entreprise la façon de résonner en IPv6 est différente d'IPv4. J'ai personellement l'impression que de laisser visible les IP des machines du réseau d'entreprise peut être considérer comme une faille, et que le nat est une protection. De plus, dans un usage type debug il est plus simple de manipuler une adresse du type 10.0.x.x qu'un truc du genre 2001:db8:xx::yy:zz:... Après, il est vrai que niveau front-office, je pense que de proposer les services externe en IPv6 peut se faire relativement simplement. Cordialement Alexis Lameire Le 25 septembre 2014 10:06, Jérôme BERTHIER jerome.berth...@inria.fr a écrit : Le 24/09/2014 08:05, Raphael Maunier a écrit : En pratique, l’utilisation d’IPv6 reste très anecdotique en entreprise, je dirais meme quasi nul ! Disons que l'utilisation assumée reste très anecdotique. Le fait est que tous les systèmes récents ont une pile IPv6 active par défaut donc qu'il y a surement du trafic v6 sur la plupart des réseaux locaux... Par exemple, sauf erreur de ma part, tout OS Windows récent parlera à son contrôleur de domaine en v6 quitte à utiliser une encapsulation 6to4.. Bref que les entreprises en veuillent ou non, IPv6 est déjà dans les murs, il reste à le traiter convenablement.. Jérôme --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'Adtrap du geek barbu
On Thu, Sep 25, 2014, at 08:11, Michel Py wrote: lookup dans la TCAM; Tu as du 7600 ou 6500 chez toi ? Parce-que les 800/1800/1900/2800/2900 - niet TCAM. Lea serie 3000 ca devient deja encombrant et bruiant et toujours pas de TCAM. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] [Securité] ShellShock, c'est aussi pour vous
Ah, ça ne concerne pas que les heureux gestionnaires de serveurs Apache avec CGI. ShellShock permet aussi de pirater vos F5 BIG-IP : https://twitter.com/securifybv/status/515035044294172673/photo/1 Je me demande quel est le /bin/sh des Juniper :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Le 25/09/2014 10:22, Alexis Lameire a écrit : Neamoins, il faut bien avouer qu'a l'échelle du réseau back-office d'une entreprise la façon de résonner en IPv6 est différente d'IPv4. J'ai personellement l'impression que de laisser visible les IP des machines du réseau d'entreprise peut être considérer comme une faille, et que le nat est une protection. De plus, dans un usage type debug il est plus simple de manipuler une adresse du type 10.0.x.x qu'un truc du genre 2001:db8:xx::yy:zz:... C'est un des arguments courant du non passage à ipv6 sur des réseaux dit privés. La réponse est simple : tu firewall ou tu ne route pas. Tu peux même faire comme dans les grosses boites du CAC, aucun sortie sur Internet pour le back office, passage obligatoire par des proxys. Rien ne t'oblige à exposer l'ensemble de ton range v6 sur Internet. Pour la notation : on s'y fait très vite, surtout si tu as bien penser ton plan d'adressage. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
[MISC] Re: [FRnOG] [TECH] Firewall Multi Tenant
Au temps pour moi, je confonds en effet avec un autre produit dont je retrouve pas le nom. La version de démo (Lvl1) de Mikrotik ne fait pas grand chose, à part de la démo. Mais en prenant du hw pour pas se rendre les choses compliquées, on a une belle bête pour pas très cher: https://linitx.com/product/mikrotik-routerboard-cloud-core-router-36-core-cpu-16gb-ram-ccr103612g4sem/13884 Je ne trouve pas d’info concernant une limitation en nombre de VRFs, donc j’ai tendance à penser qu’il n’y a pas de limite logicielle. Le 25 sept. 2014 à 09:06, Dominique Rousseau d.rouss...@nnx.com a écrit : Le Thu, Sep 25, 2014 at 08:03:12AM +0200, David Ponzone [david.ponz...@gmail.com] a écrit: Julien, j?ai oublié une solution OpenSource qui existe mais qui ne me convient pas parce que c?est un firewall pur seulement: Mikrotik Ah bon (open source) ? http://wiki.mikrotik.com/wiki/Manual:License -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Bonjour, Le 25 sept. 2014 à 10:22, Alexis Lameire a écrit : Neamoins, il faut bien avouer qu'a l'échelle du réseau back-office d'une entreprise la façon de résonner en IPv6 est différente d'IPv4. J'ai personellement l'impression que de laisser visible les IP des machines du réseau d'entreprise peut être considérer comme une faille, et que le nat est une protection. 1/ Ça ne me dérange pas de laisser visible mon IPv6 temporaire générée toutes les n minutes. Qui est au passage la seule adresse que j'utilise pour me connecter en IPv6 de mes ordinateurs à mes comptes mails, services web, etc (au passage, je n'ai rien configuré, c'est par défaut sous Mac OS X, Ubuntu et d'autres distributions Linux, Windows) 2/ Ça ne me dérange pas non plus de laisser un attaquant itérer sur l'espace de 2^64 adresses IPv6 de mon subnet IPv6 (pour l'instant il y a des heuristiques pour faciliter le parcours en se basant sur le fait que la génération utilise les adresses MAC mais c'est bientôt fini du fait des travaux à l'IETF). A titre de comparaison, l'ordre de grandeur pour le parcours de l'Internet IPv4 (~2^32 adresses) sur une connexion fibre 10G est de 45 minutes : [http://events.ccc.de/congress/2013/Fahrplan/events/5533.html] . Je vous laisse inférer le temps nécessaire pour un parcours de 2^64 adresses. 3/ Enfin ma box est accessible via une adresse PREFIX::1 mais rien n'oblige à utiliser une adresse aussi simple pour adresser un routeur, et même rien n'oblige à adresser un routeur, lequel peut très bien s'accommoder de n'avoir que des adresses link-local sur ses interfaces (bon, ça pose problème si on veut l'administrer) Dans tout ça, où est le besoin de masquer le réseau interne ? Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [Securité] ShellShock, c'est aussi pour vous
Le 25/09/2014 10:41, Stephane Bortzmeyer a écrit : Ah, ça ne concerne pas que les heureux gestionnaires de serveurs Apache avec CGI. ShellShock permet aussi de pirater vos F5 BIG-IP : https://twitter.com/securifybv/status/515035044294172673/photo/1 Je me demande quel est le /bin/sh des Juniper :-) tcsh, il me semble, comme FreeBSD --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Alexis Lameire, le Thu 25 Sep 2014 10:22:06 +0200, a écrit : Neamoins, il faut bien avouer qu'a l'échelle du réseau back-office d'une entreprise la façon de résonner en IPv6 est différente d'IPv4. Non. Vraiment. J'ai personellement l'impression que de laisser visible les IP des machines du réseau d'entreprise peut être considérer comme une faille, et que le nat est une protection. C'est n'est pas lié à IPv6. Si tu veux vraiment faire comme en IPv4, tu peux te faire du NAT en IPv6 aussi. Mais quelle protection du NAT apporte-t-il par rapport à un firewall ? (dont j'ose supposer que tu en as déjà un) De plus, dans un usage type debug il est plus simple de manipuler une adresse du type 10.0.x.x qu'un truc du genre 2001:db8:xx::yy:zz:... Avec tous les risques que ça comporte quand il s'agira de fusionner avec une autre boîte. Si tu le veux vraiment, tu peux t'ajouter des IPs fc00:: qui sont tout aussi faciles à taper. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Samuel Thibault, le Thu 25 Sep 2014 12:41:32 +0200, a écrit : De plus, dans un usage type debug il est plus simple de manipuler une adresse du type 10.0.x.x qu'un truc du genre 2001:db8:xx::yy:zz:... Avec tous les risques que ça comporte quand il s'agira de fusionner avec une autre boîte. Si tu le veux vraiment, tu peux t'ajouter des IPs fc00:: qui sont tout aussi faciles à taper. (avec le même problème quand il s'agira de fusionner avec une autre boîte, si tu ne le prends pas unique comme recommandé). Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [Securité] ShellShock, c'est aussi pour vous
On Thu, Sep 25, 2014 at 11:46:01AM +0200, Guillaume Tournat wrote: https://twitter.com/securifybv/status/515035044294172673/photo/1 Je me demande quel est le /bin/sh des Juniper :-) tcsh, il me semble, comme FreeBSD Non. J'ignore ce qu'il en est de juniper, mais sous FreeBSD, /bin/csh est un tcsh , pas /bin/sh qui est un shell bourne classique (pas bash). Le shell par défaut de root étant /bin/csh sous FreeBSD, c'est peut-être la cause de cette confusion. http://www.freebsd.org/cgi/man.cgi?query=sh#end -- Laurent Frigault --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Bonjour, Je m'excuse de ne pas avoir été clair, je ne fais juste que signaler des éléments qui sont des frein, je ne suis pas forcément d'accord avec tout les éléments, en particulier le NAT, dans la plupart des boites sérieuses c'est proxy only + firewall, donc le NAT voilà. Après l'espace d'adressage étendue, c'est sur que sa facilite les merge de boite voilà voilà Cordialement Alexis Lameire Le 25 septembre 2014 12:47, Samuel Thibault samuel.thiba...@ens-lyon.org a écrit : Samuel Thibault, le Thu 25 Sep 2014 12:41:32 +0200, a écrit : De plus, dans un usage type debug il est plus simple de manipuler une adresse du type 10.0.x.x qu'un truc du genre 2001:db8:xx::yy:zz:... Avec tous les risques que ça comporte quand il s'agira de fusionner avec une autre boîte. Si tu le veux vraiment, tu peux t'ajouter des IPs fc00:: qui sont tout aussi faciles à taper. (avec le même problème quand il s'agira de fusionner avec une autre boîte, si tu ne le prends pas unique comme recommandé). Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Je reviens à la question initiale Il parait qu'il y a des cas de figure ou l'on peut légitimement réserver un bloc sans le router, hors des blocs réservés En IPv4 la question parait raisonnable, mais il suffit de raisonner en IPv6 pour se rappeler que toutes les RFC citées sont des verrues destinées à contourner la limite imposée par un encodage en 32bit et une gestion calamiteuses des affectations de bloc par l'IANA au début des années 80-90 (un /8 au service des pensions UK, WTF !) Autrement dit, il est tout à fait logique d'utiliser des scopes en adressage public (le nommage est abusif, car qui dit public dit tout le monde le voit donc annoncé. Je préfère parler de bloc sans overlap, c'est plus clair à mon sens) pour des usages privés. Exemple type : interco SIP entre opérateurs. T'as pas forcément envie de mettre ça dans la DFZ, pour autant si tu le fais en RFC1918, t'es mort y aura toujours un opérateur pour utiliser ton bloc ailleurs. RFC3330 ? Oui bon, mais là encore tout opérateur digne de ce nom a adressé son lab dans ce bloc, comme ça c'est routable sur son backbone, mais surtout pas annoncé dans la DFZ RFC je sais pas quoi = tu trouveras toujours un mec qui l'utilise, légitimement pour des besoins internes, vu que c'est pas overlapable par définition, donc utilisable en interne sans demander l'affectation du bloc. Prends le 37.49.232.0/21 (Lan FranceIX) : il est forcément routé dans la DFZ. Imagine un IX pour autre chose que du flux Internet (voip est un bon exemple car des intercos existent en SS7, mais un projet d'IX pour de la VOIP, pour remplacer tout ça, sera un vrai sujet à l'avenir), tu n'as pas forcément envie que depuis la DFZ tu puisses joindre les intercos VoiP opérateurs. On raisonne avec un seul layer d'IX, de transit ou de peering (Internet) hors c'est tout à fait logique d'imaginer des layers dédiés à des usages différents (ex : un IX d'annonce de routes multicast pour de la TVIP directement depuis les chaines TV, sur des groupes multicast public, un IX Voice, etc...). Le 25 septembre 2014 13:46, Alexis Lameire alexis.lame...@gmail.com a écrit : Bonjour, Je m'excuse de ne pas avoir été clair, je ne fais juste que signaler des éléments qui sont des frein, je ne suis pas forcément d'accord avec tout les éléments, en particulier le NAT, dans la plupart des boites sérieuses c'est proxy only + firewall, donc le NAT voilà. Après l'espace d'adressage étendue, c'est sur que sa facilite les merge de boite voilà voilà Cordialement Alexis Lameire Le 25 septembre 2014 12:47, Samuel Thibault samuel.thiba...@ens-lyon.org a écrit : Samuel Thibault, le Thu 25 Sep 2014 12:41:32 +0200, a écrit : De plus, dans un usage type debug il est plus simple de manipuler une adresse du type 10.0.x.x qu'un truc du genre 2001:db8:xx::yy:zz:... Avec tous les risques que ça comporte quand il s'agira de fusionner avec une autre boîte. Si tu le veux vraiment, tu peux t'ajouter des IPs fc00:: qui sont tout aussi faciles à taper. (avec le même problème quand il s'agira de fusionner avec une autre boîte, si tu ne le prends pas unique comme recommandé). Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Bonjour, Le 25 sept. 2014 à 14:12, Guillaume Barrot a écrit : Autrement dit, il est tout à fait logique d'utiliser des scopes en adressage public (le nommage est abusif, car qui dit public dit tout le monde le voit donc annoncé. Je préfère parler de bloc sans overlap, c'est plus clair à mon sens) pour des usages privés. Je pense que la bonne dénomination est routables sur Internet, à la différence des RFC1918 qui sont non routables sur Internet [/grammar_nazi] Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
25 septembre 2014 09:14 Guillaume Tournat guilla...@ironie.org a écrit: Chaque instance (vdom) dans Fortinet est autonome, mais consomme de la RAM. Surtout avec du filtrage UTM. Et surtout consomme aussi du CPU. Le problème des VDOMs en soit, c'est que tu ne peux pas limiter l'usage CPU et RAM à un VDOM (seulement nombres de sessions et éventuellement BP). Donc un seul VDOM peut vautrer les 8 ou 9 autres (suivant si on compte le root ou pas) par un simple pic de charge sur une plateforme. Ca peut paraitre logique d'un point de vue logiciel / hw, mais en revanche, c'est compliqué à expliquer aux 8/9 autres clients que sa plateforme est lente à cause d'un pic de charge de la plateforme du voisin. Bref, les VDOMs ca fonctionne bien, mais ca apporte son lot de problèmes aussi ! Donc plus qu'une question de licence, il faudra un modèle avec RAM / cpu / ASIC Le 1000C en appliance physique, ou sinon ça existe en VM Vmware. Le 24 sept. 2014 à 23:15, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote: D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas. -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base, premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences coutent presque 3 fois plus que le boitier. Financierement c'est du viol. ___ Liste de diffusion du FRnOG http://www.frnog.org/ ___ Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [JOBS] Recherche de contrat en alternance Responsable Administration Réseaux Entreprise
Bonjour, Postulant pour une formation en alternance de Responsable en Administration des Réseaux d'Entreprise* au CESI de Mont Saint-Aignan (ROUEN), je suis en recherche d'un contrat de professionnalisation qui me permettrait d'accéder à cette formation. Bien qu'étant autodidacte et n'ayant aucune expérience professionnelle en informatique, j'ai après tests et évaluations plus précise de mes connaissances avec le directeur de formation reçu un avis favorable à l'intégration de cette formation normalement réservée aux Bac Info +2. Vous pouvez me contacter à cette adresse ou à yan...@olanguena.com pour plus de précisions (CV) et plus ample discussion. Bien cordialement, OLANGUENA Yann. *http://www.cesi-entreprises.fr/_uploads/actualites/RARE.pdf --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
On Thu, Sep 25, 2014, at 14:25, Emmanuel Thierry wrote: Autrement dit, il est tout à fait logique d'utiliser des scopes en adressage public (le nommage est abusif, car qui dit public dit tout le monde le voit donc annoncé. Je préfère parler de bloc sans overlap, c'est plus clair à mon sens) pour des usages privés. Je pense que la bonne dénomination est routables sur Internet, à la différence des RFC1918 qui sont non routables sur Internet Non, la definition correcte est globalement uniques, contrairement aux RFC1918, qui ne sont PAS globalement uniques, et qu'il convient de ne pas annoncer sur Internet (mais ils sont bien routables sur Internet, et annonces de temps en temps a cause de gens qui ont oublie de faire ce qu'il faut. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
Dans l’esprit Mikrotik, il y a aussi Halon: https://www.halon.se qui fait du rdomain (Routing Domain) dans son OS. Le 25 sept. 2014 à 08:25, Julien OHAYON j.oha...@xoxo.fr a écrit : Oui effectivement je veux bien des avis. Le Home Made ne me parait pas forcément réalisable (faut faire du dev pour interfacer le tout et on manque d'homme pour ca). Je ne sais pas si Juniper propose de la loc je vais me renseigner. Oui chez nous c'est un point important, je vais avoir du mal a faire investir 10-20k€ dans des FW, on préfère payer par tenantau besoin. du MSP quoi... Julien De : Sebastien Lesimple slesim...@laposte.net Envoyé : jeudi 25 septembre 2014 08:21 À : David Ponzone; Radu-Adrian Feurdean Cc : Julien OHAYON; frnog@frnog.org Objet : Re: [FRnOG] [TECH] Firewall Multi Tenant Le 25/09/2014 08:03, David Ponzone a écrit : Je suis « content » de voir qu’on est arrivés aux mêmes conclusions. Pendant un temps, je me suis dit que j’avais raté un truc. Oui c’est du viol, mais qui sera justifié par le constructeur parce que ça t’évite de gérer 100 firewall. Donc pour le DAF, c’est toujours moins cher qu’acheter et gérer 100 boitiers HW, et la complexité qui va avec. Julien, j’ai oublié une solution OpenSource qui existe mais qui ne me convient pas parce que c’est un firewall pur seulement: Mikrotik David, j'en suis pas convaincu. MikrotikOS me servait de couteau suisse dans ma vie passée. MPLS/BGP/VLANPPPoE pour C2E/Tunnelisation en tous genres, tout ca tout ca... Ca fonctionne, c'est pas cher (encore moins en MikrotikOS), ca fait ce qu'on lui demande. Y'a des expert Mikrotik sur la liste, on peux avoir vos avis? Seb. http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding Le 24 sept. 2014 à 23:15, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote: D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas. -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base, premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences coutent presque 3 fois plus que le boitier. Financierement c'est du viol. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
Le 25/09/2014 14:47, Fabien V. a écrit : 25 septembre 2014 09:14 Guillaume Tournat guilla...@ironie.org a écrit: Chaque instance (vdom) dans Fortinet est autonome, mais consomme de la RAM. Surtout avec du filtrage UTM. Et surtout consomme aussi du CPU. Le problème des VDOMs en soit, c'est que tu ne peux pas limiter l'usage CPU et RAM à un VDOM (seulement nombres de sessions et éventuellement BP). Donc un seul VDOM peut vautrer les 8 ou 9 autres (suivant si on compte le root ou pas) par un simple pic de charge sur une plateforme. Ca peut paraitre logique d'un point de vue logiciel / hw, mais en revanche, c'est compliqué à expliquer aux 8/9 autres clients que sa plateforme est lente à cause d'un pic de charge de la plateforme du voisin. Dans FortiOS 5.2, la nouvelle version majeure, il est possible de visualiser la consommation de chaque vdom. Il est prévu dans la roadmap de pouvoir contingenter mieux. Ceci étant, dans le cadre d'une mise en cluster HA de deux appliances, en mode actif/actif, le traitement UTM est réparti sur les 2 boitiers. Enfin, au dela de 80/90% d'utilisation des ressources, il existe un mode conservative, ou le firewall va bypasser certains traitements UTM pour éviter de gaufrer le firewall (les ACL ne sont pas impactées). Il revient en mode normal dès que les ressources sont dispos. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] [Securité] ShellShock, c'est aussi pour vous
On Thu, Sep 25, 2014 at 12:58:47PM +0200, Laurent Frigault lfriga...@agneau.org wrote a message of 16 lines which said: J'ignore ce qu'il en est de juniper, Juniper vient de communiquer à ce sujet : http://kb.juniper.net/InfoCenter/index?page=contentid=JSA10648 --- Liste de diffusion du FRnOG http://www.frnog.org/