Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
Le 09/02/2021 à 03:43, Michel Py a écrit : Sauf que dans la réalité c'est pire, il y a tellement de types de NATv6 différents qu'on y perd la tête. IPv6, ça laisse ton IOT v6 à poil quand Free "oublie" le pare-feu, et (sans NAT) ça ne fait rien pour le PI du pauvre. Michel. Bah pour ceux qui veulent absolument du NAT on dit qu'on fait un NAT qui laisse adresse et port inchangés. Ça s'appelle un firewall stateful et ça marche très bien --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
>> Michel Py a écrit : >> Denis, si tu veux te débarrasser de NAT il faut que tu proposes un système >> qui apporte ses avantages >> sans en avoir ses inconvénients. La sécurité même si elle n'est que basique, >> et surtout le fait que >> NAT c'est le PI du pauvre. A part le marché résidentiel, dès que tu >> commences à taper dans la TPE ou >> la PME, renuméroter c'est un emmerdement de taille; NAT ça te laisse garder >> ton réseau interne si tu >> veux changer de FAI au lieu d'en être l'otage si tu utilises ses adresses. >> Et aussi ça te donne la >> possibilité (imparfaite, mais existante) d'avoir 2 FAI pour la redondance. >> Quand tu es trop petit >> pour avoir un AS et des PI, c'est bien pratique. > Oliver varenne a écrit : > Une solution acceptée de tous, c'est quelque chose qui peut être mis en place > rapidement, > n'enlève pas des avantages des ancienne solutions, et peut être comprise > rapidement Et que l'on cherche toujours. > Au lieu de dire "on va faire disparaitre NAT" Faire disparaitre NAT, en soi, c'est une idée louable. S'il y avait une solution valable, tout le monde l'aurait adoptée. > dire "on va améliorer NAT avec IPV6" aurait sans doute été mieux je pense. Sauf que dans la réalité c'est pire, il y a tellement de types de NATv6 différents qu'on y perd la tête. IPv6, ça laisse ton IOT v6 à poil quand Free "oublie" le pare-feu, et (sans NAT) ça ne fait rien pour le PI du pauvre. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
[MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
> Denis, si tu veux te débarrasser de NAT il faut que tu proposes un > système qui apporte ses avantages sans en avoir ses inconvénients. La > sécurité même si elle n'est que basique, et surtout le fait que NAT c'est le > PI du pauvre. A part le marché résidentiel, dès que tu commences à taper > dans la TPE ou la PME, renuméroter c'est un emmerdement de taille; NAT > ça te laisse garder ton réseau interne si tu veux changer de FAI au lieu > d'en être l'otage si tu utilises ses adresses. Et aussi ça te donne la > possibilité (imparfaite, mais existante) d'avoir 2 FAI pour la redondance. > Quand tu es trop petit pour avoir un AS et des PI, c'est bien pratique. > Voila. Une solution acceptée de tous, c'est quelque chose qui peut être mis en place rapidement, n'enlève pas des avantages des ancienne solutions, et peut être comprise rapidement Au lieu de dire "on va faire disparaitre NAT", dire "on va améliorer NAT avec IPV6" aurait sans doute été mieux je pense. Apres, c'est mon avis de non expert. Je suis qu'un développeur apres tout Cordialement, Olivier Varenne Co-gérant, Commercial & Développeur T +33 (0)4 27 04 40 00 | ipconnect.fr Suivez-nous ! --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
>> Jonathan Roule a écrit : >> Les FAI GP ne pouvant pas compter sur le NAT et ne souhaitant pas que leur >> client soit à poil >> sur le net auraient peut-être tenter plus des choses niveau sécurité. Je >> suis peut-être >> candide en penssant ça, je l'avoue mais ton raisonnement me paraît un brin >> simplificateur. > Denis Fondras a écrit : > Genre Free qui a activé IPv6 par défaut sur ses boxes mais a "oublié" > d'activer le pare-feu... Oh ça c'est récent mais hélas pas nouveau. C'est une des raisons qui a fait le succès de NAT : en oubliant l'hérésie uPNP, même un branque ne pouvait pas enlever la "diode". Et la sécurité que ça apportait, même si imparfaite, était considérable (noter le temps passé). Avant Windows XP SP2, donc avant Windows firewall, il était impossible d'installer Windows sur un PC avec une IP publique sans se récolter un virus. Par le simple fait d'avoir la bécane à poil sur L'Internet avant d'avoir fini d'installer l'anti-virus et les rustines on était déjà vérolé. Et en plus, il y avait pas mal de FAI qui essayaient d'empêcher les gens de mettre un routeur ou pare-feu : il y avait un bridage sur l'adresse MAC qui se connectait au modem, c'est pour ça que sur les Linksys et autres de cette époque il y avait une config qui permettait d'imiter la MAC de ton PC. La partie sécurité de NAT, c'est un mal nécessaire. Hier, parce que la sécurité de Windoze c'était de la merde, aujourd'hui parce que la sécurité des machins IOT avec du code écrit avec les pieds ce n'est pas mieux. > Ca me coûte de donner raison à Michel Py sur ce point. Whoa il va pleuvoir ! > Heureusement, il me reste assez de mauvaise foi pour affirmer que > c'est à cause de NAT si on en arrive à ce genre de bavure :o :P Denis, si tu veux te débarrasser de NAT il faut que tu proposes un système qui apporte ses avantages sans en avoir ses inconvénients. La sécurité même si elle n'est que basique, et surtout le fait que NAT c'est le PI du pauvre. A part le marché résidentiel, dès que tu commences à taper dans la TPE ou la PME, renuméroter c'est un emmerdement de taille; NAT ça te laisse garder ton réseau interne si tu veux changer de FAI au lieu d'en être l'otage si tu utilises ses adresses. Et aussi ça te donne la possibilité (imparfaite, mais existante) d'avoir 2 FAI pour la redondance. Quand tu es trop petit pour avoir un AS et des PI, c'est bien pratique. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Rapport Spoofer pour FRnOG pour janvier 2021
Dans le cadre d'un projet de mesure du spoofing IP et de la validation d'adresse source (https://spoofer.caida.org), CAIDA produit des rapports mensuels automatisés des AS qui annoncent des préfixes BGP depuis lesquels nous recevons des paquets spoofés. Suite au feedback de la communauté sécurité, nous avons décidé d'envoyer ces rapports aux mailing lists des communautés réseau afin de s'assurer que les AS en question obtiennent l'information. Ce rapport résume les tests réalisés en fra. Améliorations en janvier 2021 : aucune Problèmes de validation d'adresse source détectés en janvier 2021: ASNNom Date débutDate fin 57199 MilkyWan 2020-12-16 2021-01-27 8228 CEGETEL 2020-12-16 2021-01-27 212299 DevBen_Network2021-01-09 2021-01-24 Pour plus d'information sur les tests réalisés, vous pouvez visiter l'adresse suivante : https://spoofer.caida.org/recent_tests.php?country_include=fra_block=1 Merci d'envoyer vos commentaires ou suggestions à spoofer-i...@caida.org --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
Le Sun, Feb 07, 2021 at 09:06:56AM +0100, Jonathan Roule via frnog a écrit : > Les FAI GP ne pouvant pas compter sur le NAT et ne souhaitant pas que leur > client soit à poil sur le net auraient peut-être tenter plus des choses > niveau sécurité. Je suis peut-être candide en penssant ça, je l'avoue mais > ton raisonnement me paraît un brin simplificateur. > Genre Free qui a activé IPv6 par défaut sur ses boxes mais a "oublié" d'activer le pare-feu... Ca me coûte de donner raison à Michel Py sur ce point. Heureusement, il me reste assez de mauvaise foi pour affirmer que c'est à cause de NAT si on en arrive à ce genre de bavure :o --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Gestion changement CMDB chiffrée
Bonjour, Avez vous des outils OpenSource (libre ou avec souscription) de gestion d'impact sur changement type CMDB, qui soit sécurisée avec un chiffrement des données ? Merci d'avance Hugo / ::1 \ Hugo SIMANCAS Directeur Technique Associé https://www.data-expertise.com [https://www.data-expertise.com/] Support technique : 09 78 23 20 29 Standard : 05 34 26 02 46 | Ligne directe : 05 34 26 50 57 Mobile : 06 95 44 29 64 !Utilisez notre plateforme visio libre & gratuite : https://conf.data-expertise.com/ [https://conf.data-expertise.com/] !Pad collaboratif libre & gratuit sécurisé https://pad.data-expertise.com/ [https://pad.data-expertise.com/] Les informations contenues dans ce courrier électronique sont confidentielles et protégées par le secret professionnel. En tout état de cause, elles ne sont destinées qu'à la personne ou entreprise dont le nom est mentionné ci-dessus. Veuillez aviser l'expéditeur de toute difficulté ou de toute erreur dans la transmission de ce document. Si vous n'êtes pas le destinataire du présent courrier, vous n'êtes pas autorisé, sous peine de poursuites à en prendre des copies, le divulguer ou le diffuser. La présence de cette note prouve également que ce message électronique a été vérifié par un logiciel anti-virus. --- Liste de diffusion du FRnOG http://www.frnog.org/