Re: [FRnOG] [MISC] Message ANSSI
R2... et on installe PulseAudio/X/... par défaut sur une distrib serveur Cordialement, Jean-Yves Le 15 janvier 2015 15:01, Stephane Martin stephane.mar...@vesperal.eu a écrit : Les milliers de sites défacés depuis lundi semblent indiquer que ce qui tombe sous le sens… n’est pas évident pour tout le monde. R3 en particulier. (Qui a mis à jour son Drupal ?) Ou R10… X-Powered-By on le voit trop souvent, avec la version exacte de PHP. R19… Le terme d’entropie est sans doute mal employé. 128bits comme *taille* du cookie de session ça semble cohérent. R20 est formulé bizarrement. L’idée générale c’est probablement que les credentials et le cookie de session passent sur un canal chiffré, et non pas en clair. Cordialement, Stéphane Le 15 janv. 2015 à 14:11, Florent Daigniere florent.daigni...@trustmatta.com a écrit : On Thu, 2015-01-15 at 13:38 +0100, Swali 13 wrote: Bonjour, L'ANSSI vous parle http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/securite-des-applications-web/recommandations-pour-la-securisation-des-sites-web.html --- La question c'est de savoir si ça vaut la peine de les écouter :) Certaines des recommandations tombent sous le sens.. d'autre sont complètement farfelues Exemples : R19 Les identifiants de session doivent être aléatoires et d’une entropie d’au moins 128 bits. - 128bits pour une attaque en ligne... c'est beaucoup et complètement arbitraire R20 Il faut recourir à chaque fois que c’est possible au protocole HTTPS dès lors que l’on associe une session à des privilèges particuliers. - ce n'est pas réducteur du tout comme approche. C'est bien connu, l'authentification ça ne sert que dans un sens ;) R24 Pour les actions sensibles, mettre en place des mécanismes permettant de s’assurer de la légitimité de la requête. - on parle de click-jacking, ... mais pas d'anti-CSRF --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
La faille dont il parle, c'est probablement un truc vague du genre : OpenSSH sur un OS avec SMP est troué de toute façon ou Le seul BSD qui permet de faire de la sécu c'est OpenBSD. Donc si vous croyez Theo de Raadt sur parole, vous pouvez changer tous vos Juniper contre des OpenBSD avec OpenBGPD, c'est fait pour. Blague à part, l'argument d'autorité n'existe pas en science. Donc que ce soit de Raadt, Torvalds ou Gates qui dise x est troué, ça ne change rien. Jean-Yves Le 11 avril 2014 15:48, technicien hahd technic...@hahd.fr a écrit : On Friday 11 April 2014 15:19:37 you wrote: Le Fri, 11 Apr 2014 15:00:59 +0200, technicien hahd technic...@hahd.fr a écrit : On Friday 11 April 2014 09:17:15 Stephane Bortzmeyer wrote: On Thu, Apr 10, 2014 at 01:09:46PM +0200, Bertrand Yvain p...@ielo.net wrote a message of 12 lines which said: Même chez Juniper ? https://www.mail-archive.com/tech%40openbsd.org/msg17420.html Gross troll par un gros trolleur connu. On est vendredi, on l'excusera. Est-ce que tu pourrais nous donner un plus de détails concernant pourquoi on ne doit pas accorder d'importance à cette remarque du fondateur d'openSSH sur la présence d'une faille openSSH dans FreeBSD et dérivés comme juniper ? Généralement Theo de Raadt sait de quoi il parle concernant openSSH et la sécurité. Il a tout de même un long passé de gros troll. Et dans le cas présent : - Si effectivement, faille il y a, et qu'il ne la divulgue pas aux concernés parce que c'est des gros vilains et que nananère, c'est un gros con. - Si il n'y a pas de faille, et que c'est juste du FUD... euh même conclusion. Il sait peut etre de quoi il parle mais cette attitude, c'est juste n'importe quoi. Soit il mets en danger la sécurité informatique des utilisateurs d'un OS concurrent pour des raisons purement personnelles, soit il fait du FUD. En même temps, il s'est fait virer de NetBSD, a fait perdre des financements à OpenBSD et OpenSSH, justement parce qu'il sait pas se comporter civilement. (je suis d'accord avec les raisons qui l'ont poussé à désapprouver l'occupation US en Irak. Simplement pas avec le fait qu'il l'ait fait au détriment de projets qui n'impliquent pas que lui). Ça fait plus de 10 ans que troll est plus souvent utilisé pour dire quelqu'un qui dit ou fait quelque chose que je n'aime pas.[1] Il suffirait de dire que quelqu'un est un troll pour invalider son propos ? Personnellement je m'en fous complètement que Théo de Raadt soit un con et qu'il ait un passé de troll, ce qui m'intéresse c'est de savoir si mes équipements juniper viennent avec une faille openSSH et sa gravité. [1] extrait de http://xahlee.info/UnixResource_dir/writ/troll_ignorance.html « The word trolling has somewhat specific meaning in the beginning. According to the Jargon File, it originally means the act of message posting that ensures fire, knowingly or not. Today, the word troll is both verb and noun, and is applied loosely to any outsider. If you don't like someone's manner, he is a troll. If you don't like a gadfly, he is a troll. If you don't like a philosopher, he is a troll. If you don't like a inquirer, he is a troll. If you don't like a humorist, he is a troll. If you don't like a teacher, he is a troll. If you don't like witches, they are, well, witches and must be witch- hunted. Thusly, from weirdo to witch, from teacher to philosopher, from gadfly to firebrand, from loner to gay, they are all trolls online at your call. Quick spun the guild of killfilers and troll-criers. Anyone who has contrariwise things to say or the manner of saying it is a troll.» --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] IGC/A et google
Bonsoir, NetASQ a cette fonctionnalité, et de plus est un produit bien Français. Purement techniquement parlant, cette technique peut être pratique pour garder l'aspect SSL des communications, tout en soumettant à l'analyse antivirus/IDS les flux entrants, chose courante avec les appliances type NetASQ justement. Comme déjà dit, le danger vient plutôt de le faire avec une AC certifiée et publique (par transitivité). Normalement on fait ça avec une AC interne et les certificats spécifiques sont déployés sur les postes. Après cela remet encore une fois sur le tapis la question de la liste à rallonge des autorités de confiance qui peuvent donner des certificats pour n'importe quoi, qui ne veut plus dire grand chose. Dans ce cas précis, une fonctionnalité de type restriction à *.gouv.fr sur l'IGC de l'administration aurait été pertinente. Un nettoyage des magasins de certificats des navigateurs est la seule solution à court terme, ça ou alors les éditeurs de navigateurs se mettent à implémenter les protocoles déjà proposés pour réduire la voilure niveau portes d'entrée dans le système des IGC (moins problable) Cordialement, Jean-Yves Faye Le 8 décembre 2013 20:08, Fabien Delmotte fdelmot...@mac.com a écrit : Bonsoir, Pareil pour A10 networks et le SSL intercept .. Cela me parait plus un problème de configuration qu’autre chose. Je ne connais pas les lois pour la France (il doit y en avoir beaucoup sur le sujet avec le comment faire et son contraire), mais cela fonctionne sans problème Technique dans les autres pays. J’ai personnellement installé plusieurs configuration en dehors de la France sans problèmes techniques. Cordialement Fabien Le 8 déc. 2013 à 19:48, Surya ARBY arbysu...@yahoo.fr a écrit : C'est pourtant le principe de fonctionnement des firewalls palo alto qui font du MITM SSL avec des certificats signés par la PKI interne. Le 08/12/2013 19:26, Kavé Salamatian a écrit : 2-l’employeur n’a pas a inspecter le trafic SSL qui va de son réseau vers une destination en dehors de son réseau. Il peut décider de bloquer ce traffic, mais le décrypter avec un certificat « fake » c’est du piratage caractérisé et je suis sur qu’une ribambelle de lois de s’appliquent (pas le temps de les chercher). --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Offre de sysadmin linux en alternance ou CDI débutant sur Paris
Le 8 mars 2013 17:27, Pierre Chapuis catw...@archlinux.us a écrit : Je dis handicap parce que ça ne sert strictement à rien. Le seul intérêt dans le système prépa c'est d'avoir un classement suite au concours. Et encore. Les écoles n'aiment pas que ce genre de résultats sorte au grand jour mais elles font des études en interne sur leurs promos, et il se trouve que la mention obtenue au bac est un aussi bon voir meilleur prédicteur de la réussite en école que le rang au concours. Autrement dit, on est très fiers de notre système de sélection des élites, mais il ne marche absolument pas en pratique et il fait perdre deux ans à tous ceux qui y passent. Les deux ans perdus ne sont pas ceux de prépa, mais ceux de lycée à préparer un bac Scienti^W Général où tout le monde va parce que c'est à la mode, et qui devrait plutôt apprendre à la place ce qu'on apprend en prépa pour ceux qui ont un score suffisant en matières scientifiques et veulent vraiment être scientifiques, puis d'avoir des écoles d'ingé en 5 ans qui apprennent le métier. Mais la France considère que tout le monde doit avoir le BAC et donc en conséquence le programme du BAC doit être accessible à tout le monde au lieu de valider une base solide dans la filière envisagée. Ce qui me rappelle il y a de cela quelques temps la réflexion d'une camarade de classe sur le cours de spé math en terminale : Ah mais faut du pif en fait pour la spé maths, suffit pas d'appliquer les formules ? en retard, mais puisqu'on est vendredi on peut s'amuser un peu -- Pierre Chapuis --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Comparatif Firewall avec gestion centralisée
Le 7 février 2011 22:16, Thierry Del-Monte tdelmo...@integra.fr a écrit : Bonjour, Je suis à la recherche d'avis et retours d'expériences sur des firewalls avec une gestion centralisée (en plus des fonctionnalités habituelles : OSPF, IPS, VLAN, IPV6, 10GbE, haute dispo, etc etc). Connaissant bien Cisco et Juniper, je me disais que d'autres seraient peut-être envisageable, comme par exemple : - Stone Soft - Paloalto - Vyatta - Netasq NetASQ est plus une appliance de sécurité (Firewall/IDPS/etc) qu'un routeur. La version 9.0 qui va venir courant de l'année a une interface web d'admin à la place d'une appli lourde Windows, et fait son boulot du coté de la sécu et du filtrage, mais pas d'OSPF, ni d'IPV6 avant la version 9.1. Pour le même type d'appliance que NetASQ, regarder Arkoon. Jean-Yves --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Il a Free, mais il a pas encore tout bien compris... (IPv6)
Le 26 octobre 2010 09:59, Xavier Beaudouin k...@oav.net a écrit : Bonjour, Je ressors un vieux thread d'il y a longtemps, mais c'est toujours intéressant de savoir les pb de déploiement IPv6 in the real life. Le problème de subnetter le subnet /64 donné par la FreeBox... Bref, on a une freebox avec un /32 ipv4 en dhcp - monowall - DMZ et LAN cas assez classic du mec qui essayes de protéger un poil son réseau domestique et limiter les effets de bords (type virus, en utilisant HAVP, proxy transparent etc...). Avec l'IPv6 on n'as pas encore vraiment de NAT (et j'aimerais personnellement qu'on ne retrouve pas cette saloperie, mais ceci n'est pas un appel a trolls) Alors quand on a un /64 sur la sortie de la freebox, comment on fait pour avoir sur les 2 lan spécifiques ... de l'IPv6 ? : - On laisse tomber (ce que fut mon cas pendant plus de 2 ans) - On bidouille (ce qui est mon cas now). J'ai eu besoin de bidouiller car je commence a faire des services IPv6 natif (merci relayd pour un vrai LB libre en passant), mais il faut aussi que je les utilisent pour détecter des emmerdes ... Et c'est là qu'il y a pb... J'ai free mais bon l'IPv6 c'est mort. J'ai cherché sur le clicodrome s'il y a avais possiblité de router un ou 2 subnet /64 sur une ipv6 interne - rien. Donc je pris l'option plan B le 6to4... Bon c'est très loin d'être super performant... mais ça marche... Alors une idée du plan je colles un option sur le pannel de free, car je mettrais pas mal de réseaux en production avec ce genre de choses moi ? Merci Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/ Avec un seul /64 routé localement par la Freebox, il y a deux solutions qui ont été proposée pour résoudre ce problème (sur du linux, mais le principe est généralisable) - Bridge routing qui consiste à bridger l'ipv6 et à router l'ipv4 avec une box maison entre la freebox et le réseau local mais on est pas vraiment dans le cas d'utilisation : http://ip6.fr/free-broute/ - Arp Proxy à la sauce v6 (NDP : Neighbour Discovery Protocol) http://en.gentoo-wiki.com/wiki/IPV6_And_Freebox http://linux-attitude.fr/post/proxy-ndp-ipv6 Solution ayant ma préfèrence car plus proche du vrai routage. Un peu contraignante (comme tout ce qui est sécurité d'ailleurs). Après il parait qu'il est prévu un jour la possibilité d'utiliser des /64 supplémentaires sur la Freebox pour la faire propre. Jean-Yves Faye --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Il a Free, mais il a pas encore tout bien compris... (IPv6)
Le 26 octobre 2010 10:25, Rémy Sanchez remy.sanc...@hyperthese.net a écrit : On Tue, 26 Oct 2010 10:15:23 +0200, Jean-Yves Faye jy0...@gmail.com wrote: - Arp Proxy à la sauce v6 (NDP : Neighbour Discovery Protocol) http://en.gentoo-wiki.com/wiki/IPV6_And_Freebox http://linux-attitude.fr/post/proxy-ndp-ipv6 Solution ayant ma préfèrence car plus proche du vrai routage. Un peu contraignante (comme tout ce qui est sécurité d'ailleurs). C'est vraiment pète b* comme solution... Sachant que c'est à moitié implémenté dans iproute, c'est à peine utilisable (pas moyen de lister les IP qu'on écoute ?). Sans oublier justement la contrainte de devoir donner la liste des IP qu'on écoute. D'ailleurs, est-ce une interprétation foireuse de la RFC de ma part, ou est-ce qu'on est sensé ne pas avoir à spécifier les IP à relayer ? Sachant qu'un des objectifs énoncé est de ne pas avoir de configuration explicite à faire... -- Rémy Sanchez L'implémentation du NDP proxy laisse à désirer. A l'époque elle était assez récente sur Linux. Elle aurait été refusée sous FreeBSD (trop sale). La situation a pu évoluer (il y a 3-4 ans ?) Une solution d'implémentation serait de faire par réseau entier et non par hôte (pouvoir répondre à toutes les adresses de son /112 sur l'interface avec la freebox en une seule commande) Jean-Yves Faye --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Appliance NTP
Le 22 mai 2010 21:25, Youssef Ghorbal youssef.ghor...@gmail.com a écrit : Bonjour la liste, Est ce que vous connaissez/utilisez des appliances NTP Stratum 1 qui peuvent fonctionner a l'interieur d'une salle machine en beton :) Un equipement qui peut se synchroniser avec des sources autre que GPS (Longues ondes... etc) et une bonne horloge atomique pour prendre le relais en cas de perte momentanee du signal. On utilise des appliances Meinberg. Le modèle à synchro GPS et horloge au rubidium tourne dans les 5000€ pour garder une synchro à la seconde sur quelques années. Les modèles à oscillateur à quartz tournent plutot vers les 2000€ pour garder une précision à la seconde sur quelques mois. Il y a le choix du FC77 ou de l'IRIGB aussi Il y a le choix ici : http://www.meinberg.de/english/products/index.htm Jean-Yves --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] probleme de routage avec free
Le 10 novembre 2009 11:15, Pascal Rullier pas...@rullier.net a écrit : Sylvain Vallerot a écrit : Ils (les FAI) savent très bien envoyer une lettre d'information par courriel à leurs abonnés. Pourquoi ne pas y glisser un mot sur le phishing ou autres pièges sur le net à éviter. Oui à la pédagogie des utilisateurs du net. L'éducation des end user n'a jamais marché, c'est une utopie vieille de 15 ans :) Ca veut pas dire qu'il ne faut pas le faire, mais c'est certainement pas une solution. Jean-Yves --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [Hadopi] Interview de JMP :-)
Le 6 avril 2009 10:19, Julien Banchet j...@jaxx.org a écrit : Salut, et bon retour de weekend, Je ne connaissais pas http://www.jaimelesautistes.fr/ ... au nom de domaine douteux mais bon, ça génère tout de même un rictus. On tombe sur encore un autre gus parmis les millions des 5 qui sont dans un garage... (il s'en passe des choses dans un garage en même temps, on y démarre des startups parfois) http://www.jaimelesautistes.fr/2009/04/jean-michel-planche-analyse-la-problematique-du-numerique/ Merci Jean-Michel, et je te rejoins sur la crainte du filtrage centralisé, les fausses raisons avancés me font craindre un contrôle des pensées en devenir.. qui au final ne fonctionnerait même pas. JB, parano, mais pas tant que ça ./. -- Le concept de la box hadopi neutre au niveau de l'OS évoqué à la fin de la vidéo est sympa, mais : 1) comment ça va reconnaitre que je dl du pagny et pas du creative commons via P2P 2) si on arrive à reconnaitre les fichiers protégés, comment ça gère le SSL ? SSL implique pirate ? on filtre le SSL ! 3) Ah ben on va filtrer le P2P en fait, comment je fait pour les mises à jours des jeux vidéos qui se font via torrent de nos jours ( cas un peu plus crédible que dl des isos Debian via P2P) Parallèlement : - qui va dire ce qui doit passer : Hadopi ou le consommateur qui sera administrateur de sa boite ? - Si c'est le consommateur qui décide ce qui passe, la boite va envoyer l'utilisation que je fait de ma connexion à l'hadopi (via les FAI et de façon certifiée) pour savoir ce qui est passé ? Sinon ça protège pas de l'hadopi évidemment si tu fait ce que tu veux. - J'ai des doutes sur la fiabilité de la chose, vu que des gens sympa vont trouver le moyen d'aller piquer la clé des certificats crypto dans la boite et envoyer des fausses données au FAI. Pareil que les DVD co quoi - Donc ça sera une boite fermée du pont de vu de l'utilisateur avec des mises à jours signées par le certificat de l'Hadopi (ou de l'éditeur de la boite, ça revient au même) qui appliquera du filtrage - Ah ben en fait on va faire une liste blanche ( seul moyen efficace de filtrage, et encore, si c'est bien fait ) et la boite applique la liste blanche Au vu de tout ça, la boite controlée par l'utilisateur qui mets les règles qu'il veut, par défaut restrictif au pire, mais qui log tout (vive la vie privée) me parait le meilleur compromis (avec une clé crypto par boite) avec transmission des logs signés par la boite sur requete de l'hadopi seulement (je vais pas aller donner tout mon traffic en temps réél aux FAI non plus) N'empeche ça sera toujours une boite noire ... Par contre ça le fera pas niveau stockage des données de connexion sur 6 mois, donc finalement on risque de se retrouver avec envoi des logs au serveur central de stockage de l'Hadopi Et bien sur, ça va couter un max, pour le consommateur Jean-Yves Faye --- Liste de diffusion du FRnOG http://www.frnog.org/