Re: [FRnOG] SORBS, blacklisting
Hello, Donc à votre avis qu'elles sont les BL recommandables ? Je pense que cette question a une réponse différente selon le jour où tu la poses. Ma réponse serait plutot de comparer les dnsbl, voici quelques liens qui pourront être utile : http://www.intra2net.com/en/support/antispam/ http://www.sdsc.edu/~jeff/spam/cbc.html enfin l'outil blacklists de robtex.com pour savoir si son domaine où le domaine d'un client est dans des DNSBL. L. Bon samedi :) Bon WE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Transit Probléme Orange
... en tout cas, on reparlera le jour ou on va devoir payer chacune des sources/destinations, comme dans le cas du reseau telephonique. Mais je trouverai cela même normal. Pourquoi devrais je payer le même prix pour envoyer 1Mbps au find fond de l'Afrique via un cable sous marin hors de prix ou dans un ilot paumé du Pacifique et, envoyer 1Mbps 1 hop derrière l'opérateur à qui j'achète du transit sur lequel le destinataire est aussi connecté? Le problème risquerait d'être le même que pour la téléphonie fixe du 20e siècle avec les zones d'intérêts économiques. Tu ne payerais pas plus cher parce que tu passes par un câble qui a couté des millions mais simplement parce que ton opérateur aurait décidé que la destination que tu veux joindre a plus de valeur. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Fwd: 39/8 and 106/8 allocated to APNIC
Le 01/02/2011 09:21, Stephane Bortzmeyer a écrit : On Tue, Feb 01, 2011 at 08:15:54AM +0100, Pierre-Yves Maunier fr...@maunier.org wrote a message of 88 lines which said: Only five unallocated unicast IPv4 /8s remain. Et leur distribution aux RIR devrait être annoncée jeudi lors d'une conférence de presse pendant NANOG, suivant http://www.ripe.net/docs/ripe-436.html. Bye bye, v4. Question peut-être stupide, mais quid des 240/8 à 255/8 annoncés comme réservés pour future use ? Ne serait-ce pas le moment de les alloués aux RIR ? Malheureusement une grande partie des systèmes d'exploitation actuels refuse d'assigner une telle adresse à une interface réseau, cette classe n'est donc plus d'une grande utilité. Faites le test :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: RFC 6092: Recommended Simple Security Capabilities in CPE for Providing Residential IPv6 Internet Service
On Tue, Jan 25, 2011 at 11:49:01AM +0100, Thomas Samson kooll...@gmail.com wrote a message of 61 lines which said: Un ordinateur est menacé si il est joignable, le numéro de port n'indique plus vraiment la 'taille' de la menace, surtout quand le but n'est pas de 'rooter' la machine mais de l'ajouter dans un botnet. et en faire un relai de spam, une source de ddos, un proxy anonymisant. Pas besoin de port en écoute inférieur à 1024, pas besoin de droits administrateurs. Les attaques les plus courantes sur le PC de M. Michu aujourd'hui sont en effet par « charge utile » (i.e. par malware dans une page Web), pas par connexion IP. C'est d'ailleurs pour cela que le refus de certains d'abandonner le NAT « pour des raisons de sécurité » n'est pas rationnel (le NAT n'empêche pas ces attaques). Et pourquoi ces attaques sur les clients web sont-elles devenues les plus courantes ? Tout simplement parce que joindre directement une machine sur Internet est devenu de plus en plus difficile avec le NAT. Derrière une IP publique on peut avoir tout le LAN d'une entreprise, un attaquant n'a donc pas beaucoup d'autres solutions que de passer par du SE puis une attaque sur le client web / mail (coucou I love you) / whatever. Avec IPv6, on augmente la surface d'attaque sur les postes clients, ce sera le retour des bons vieux scans, des sasser et autres blaster si personne n'apprend des erreurs passées. Néanmoins, en matière de sécurité, ce n'est jamais tout blanc ou tout noir. Les programmes qui écoutent sur des ports 1024 sont en général particulièrement sensibles et l'idée de Rémi Bouhl de les protéger ne me semble pas mauvaise. Une application avec un remote command execution bug -qu'elle tourne sur un port ou à 1024- est dangereuse. La seule chose qui change c'est la probabilité de la trouver en faisant un scan sur un bloc d'adresses IP. Je tiens à redire que pour transformer une machine en zombie, pas besoin des privilèges admin dans la plupart des cas. Au pire, l'attaquant pas trop mauvais trouvera un moyen de faire une escalade de privilèges. Pour le reste, je ne sais pas quelle solution est préférable pour Mme Michu, mais de plus en plus d'applications supporte l'UPnP Non-standard, protocole spécifique Microsoft. Et qui détient 95% du marché des postes clients ? :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Afficher la liste de ses « diplômes » dans le .signature (Was: Hijacked the Internet
On Wed, Nov 17, 2010 at 11:00:38PM +0100, Sébastien FOUTREL sfout...@gmail.com wrote a message of 47 lines which said: A part ça, les derniers BTS info auxquels j'ai fait passer un entretien ne m'ont parlé que de classe A,B,C,D et pas de CIDR (sauf erreur l'usage des classes a été abandonné en 1996 Et même pas de classes E ? Je connais un prof qui n'a pas bien fait son boulot ;) En ce qui concerne ma formation, nos profs nous ont appris les classes mais aussi le CIDR en nous disant que nous pouvions rencontrer des réseaux en classes A/B/C dans notre vie professionnelle mais que CIDR était désormais la règle (je dois même avoir encore des polycopes qui trainent chez moi). Nous avons eu aussi un cours sur IPv6 ainsi qu'un BE (bureau d'étude) pour ceux de la promo qui ont pu choisir ce sujet. La promotion suivante a eu un cours encore plus poussé sur IPv6 d'après ce qu'ils nous ont dit. 1993. http://www.bortzmeyer.org/fini-les-classes.html Bon, c'est un BTS, un diplôme bas de gamme, quand même. Ça permet de les payer moins. On ne peut pas payer les gens des clopinettes et leur demander d'avoir les connaissances d'un gourou. Les connaissances d'un gourou ? Connaître le nombre d'IP dans un /25, c'est niveau IUT/BTS pour moi. Savoir répondre à la question pourquoi ce réseau en /25 n'est pas appris par le peer BGP ?, c'est déjà plus du niveau gourou et je ne le demanderais pas à quelqu'un sorti de son école/fac/BTS/IUT. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 5963: IPv6 Deployment in Internet Exchange Points
Est-ce à dire que si l'Internet se transforme en un immense réseau Ethernet opérateur, l'intérêt d'IPv6 est fortement réduit ? Ce réseau pourrait même ne transporter que des adresses privées IPv4. Si Internet se transformait en un immense réseau Ethernet, alors je n'imagine même pas la congestion des liens à cause des broadcasts ARP. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Nous mettons en place couramment des solution Open Sources basées sur Sendmail + DNSRBL + MimeDefang + DCCD + razor + pyzor + SpamAssassin + GreyListing + clamav + généralement un anti-virus commercial (par exemple Kaspersky). Ces solutions permettent effectivement de gérer très très convenablement le problème de SPAM. Notamment la seule solution greylisting arrête généralement plus de 98% du SPAM et est quasiment incoutournable par les Spammeurs. Elle permet de plus de ne soumettre aux moteurs anti-spam et anti-virus que les messages restant, ce qui est très grosse économie de CPU. Le greylisting est parfaitement contournable par les spammeurs, ils ont au moins 2 choix pour cela : 1) Compromettre un serveur sur lequel se trouve un MTA digne de ce nom qui renverra le message après expiration du délai de greylisting. 2) Mettre à jour les softs sur les zombies de son botnet pour gérer le greylisting. Pour information les serveurs des ML Debian sont configurés avec du greylisting et pourtant les listes sont régulièrement spammées. C'est juste que ce n'est financièrement pas viable pour la plupart des spammers de prendre des ressources sur des machines de leur botnet pour gérer la réexpédition. Voilà pourquoi le greylisting reste encore un moyen efficace de lutte contre le spam. Un autre intérêt du greylisting est que même si les spammeurs décident à grande échelle de le contourner, le temps d'attente entre 2 connexions peut jouer en la faveur des DNSBL qui auront (peut être) eu le temps de repérer le zombie en question et donc de permettre un filtrage plus efficace à l'antispam qui agit derrière. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] La Fédération France Wireless ouvre son premier point d échange internet à Paris : le WiFIX
Paris, le 2 juillet 2010. La Fédération France Wireless ouvre sur Paris TeleHouse2 à son premier point d'échange Internet non commercial : le WiFIX. J'aime bien la réflexion de Thomas Mangin sur l'interprétation que pourrait en faire les anglo-saxons :) Fort de sa compétence dans le domaine du WiFi, ce point d'échange a la particularité d'être basé sur du WiFi High Speed Mesh (WHSM) délivrant actuellement une vitesse de 100mbps. Pour accéder au WiFIX, il suffit d'être présent dans le datacentre, de disposer d'un WiFIX-node disponible auprès de la Fédération France Wireless pour l'interconnexion de son réseau à ce point d'échange proposé au tarif actuel de 90, d'être membre de la FFW. Le WiFIX-node est posé physiquement sur la baie créant ainsi un maillage de baie à baie. Pour le cas de datacentres comportant des étages, un backbone interétage est mise en place. Je vais poursuivre sur la remarque d'Arthur Fernandez : avez-vous prévu un quelconque chiffrement des données ? Si je ne me trompe pas vous proposez de faire un maillage, ce qui veut dire que potentiellement un membre du réseau mesh pourra être amené à transporter des paquets qui ne lui sont pas destinés. Qu'en est-il de la confidentialité des données ? Si la solution consiste à avoir une paire de clé de chiffrement par peer, ça risque d'être un sacré frein à l'adoption de cette solution de peering originale. La Fédération France Wireless prévoit non seulement le déploiement dans d'autres datacentres sur la région parisienne par une interconnexion de même type WHSM entre datacentres, mais aussi ailleurs en France poursuivant ainsi un de ses objectifs : la création d'un vaste réseau neutre, un réseau libre pour tous. Bientôt une interconnexion Touix-Lyonix grâce au WiFIX ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] IPv6 Ripeness, et la France alors ?
L'initiative de mon mail était surtout au moins d'activier ipv6 sur le réseau dans un premier temps afin d'avoir les fondations pour bosser sur l'applicatif tranquillement et pas tout faire d'un coup. Quand je vois des initiatives comme NAT64 et DNS64, je me dis qu'on n'est pas prêt d'avoir du v6 partout. Je suis tout à fait d'accord avec toi quand tu dis que les nouveaux arrivant ne devront monter un réseau v6 only par nécessité, mais pour la partie accès aux ressources en v4 ils ne pourront pas faire pression sur les anciens. Ils n'auront pas d'autre solution alors que de se tourner vers des passerelles NAT64/DNS64. Les années qui viennent vont être fnu :) Si les gens activent ipv6 et commencent à gueuler auprès de leurs fournisseurs d'applications/appliance en disant qu'ipv6 ça ne marche pas, ils vont commencer à faire des choses. Il faut que les gros clients fassent pression alors. Et les gros sont ceux qui ont le plus de boulot pour migrer, donc qui ont le temps de préparation le plus long et qui finalement migreront en dernier. Oui, j'ai une vision fataliste de la chose :) Le truc c'est que beaucoup de personnes attendent que quelqu'un d'autre le fasse, et si tout le monde pense ça, on n'est pas sortit. +1 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] le FR-IX est ouvert
Le (On) Tue, May 18, 2010 at 06:38:03PM +0200, Xavier Beaudouin ecrivit (wrote): J'avoue que ton concept dual-gix (ou x-gix) perso m'intéresses... C'est trop con d'avoir a tirer un interlan pour peerer jusqu'a lyon / rennes etc Mais pourquoi peerer a Lyon ou Rennes alors que l'Internet réside a Paris ? Détrompe toi, il y a des IX régionaux en France. Jusqu'ici personne ne l'a mentionné alors je le fais remarquer, il y a le Touix ! http://www.touix.net Il serait peut être temps de comprendre que les provinciaux aussi ont des infras. Allez, tous avec moi : Qui ne peer pas ! Qui ne peer pas ! Qui ne peer pas au touix n'est pas Tou-lou-sain ! --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] L'inria est leet
Bonjour à tous, A ceux qui pensent que HADOPI sera un échec à cause de seedfuck et compagnie, je tiens à signaler la disponibilité d'un manuscrit de chercheurs de l'INRIA. Ils ont présenté leurs travaux lors du séminaire Large-Scale Exploits and Emergent Threats (LEET) : http://hal.inria.fr/docs/00/47/03/24/PDF/bt_privacy_LEET10.pdf En utilisant plusieurs sources d'information, les chercheurs seraient arrivés à trouver les content providers, même si ces derniers se cachent derrière le réseau Tor. On notera que les trackers peuvent être très bavards quand on sait poser les bonnes questions ! Pour d'autres papiers sur le même sujet, se rendre sur la page : http://www-sop.inria.fr/members/Arnaud.Legout/Projects/bluebear.html Qui a dit que la recherche fondamentale n'apportait rien à l'industrie ? :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb OVH
Filtrage de l'ICMP sur un réseau d'hébergeur, je suis le seul à trouver ça tendancieux ? Ne devraient ils pas plutôt inviter les administrateurs à configurer leurs firewalls ? On ne peut pas faire changer les autres (surtout les clients de nos jours qui se croient tout permis parce qu'ils payent). Soit OVH fait avec et se prend des floods ICMP qui induisent une charge de travail supplémentaire, soit OVH fait sans et shape l'ICMP. Après si les clients ne sont pas contents, c'est pareil : On ne peut pas faire changer les autres, on ne peut changer que soi même, donc ils peuvent changer d'hébergeur plutôt que d'aller pleurer chez je ne sais qui :) Bon courage à tout ceux qui monitorent leurs serveurs chez OVH depuis un autre réseau... Enlever le check_icmp ou le remplacer par un autre check pour obtenir la latence vers le serveur en question n'a rien d'insurmontable d'un point de vue technique. Et puis voyons les choses de façon positives : des gens ont pu s'apercevoir que nagios fonctionnait toujours ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Pb OVH
Le message d'Octave sur la mailing list ovh http://pastebin.com/JkDPtzuf Je ne comprend pas ce genre de stratégie, je veux bien être le candide à qui on a besoin de faire un dessin pour comprendre Le problème des 2 litres d'eau dans la carafe d'un litre, le filtrage n'y change rien, il n'y a pas besoin de dessin pour le comprendre :) les packets qui sont filtrés, ils seront bien passés par une ligne avant d'etre detruit par le routeur. Bon, il economise le reply, mais l'echo, Octave le paye quand meme sur sa (?) ligne. Si OVH a au total 10G de BP, et qu'il collecte 20G d'echo icmp qui bourre ses 10G, il detruira tous les echo, mais au final, il n'améliorera rien du tous sur ses lignes. Je ne sais pas comment OVH réalise ce filtrage mais à leur place je le ferais le plus près possible de la source. Dans leur cas c'est Internet la source, donc filtrer en périphérie de réseau serait (toujours selon moi) une bonne idée pour éviter de congestionner le backbone. Enfin je crois me souvenir d'un mail d'Octave sur cette même liste qui disait qu'en Europe de l'Est par exemple, les peerings ne se faisaient que dans le sens OVH - ISP, toutes les requêtes entrantes passaient par un lien de transit, donc l'ISP paye aussi pour envoyer les paquets qui causent le DDoS. Ca fait perdre de l'argent à l'ISP qui héberge les zombies/script kiddies/whatever et ça le fait réagir plus vite. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Marre des RBLs à la con - uceprotect.net
On Mon, 2010-04-19 at 14:07 +0200, Laurent CARON wrote: Il y'a un bouton pour se dé-lister. Ah oui, mais il faut payer 250⬠pour être délisté en express. à ce niveau la, c'est plus du fascisme, c'est de l'extorsion ! Parfaitement, Gandi avait eu le problème aussi il y a quelques temps avec SORBS [1]. Pour celles et ceux qui voudraient connaître l'état actuel des différentes DNSBL, 2 petites URLs: http://www.intra2net.com/en/support/antispam/ http://www.sdsc.edu/~jeff/spam/cbc.html [1] http://www.lebardegandi.net/post/2010/03/05/Blackliste-par-SORBS-un-jour-dans-la-vie-de-Gandinet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Nouveau troll : qui doit payer ?
A ma connaissance (je veux bien qu'on apporte la preuve du contraire) les protocoles de l'internet peuvent pratiquement tous supporter un hidden channel. Il suffit d'avoir eu à faire face à des tunnels IP dans icmp ou dans DNS pour comprendre ce que je veux dire. Il me semble risqué de dire que la DPI les mettra tous en évidence. Lire le très intéressant : http://actes.sstic.org/SSTIC06/Detection_de_tunnels/SSTIC06-Lehembre_Thivillon-Detection_de_tunnels.pdf Et vu à une echelle de temps de l'ordre de l'année, l'Internet n'est pas un systeme informatique, mais un système biologique . Si pour l'instant la DPI fonctionne sur les applies existantes, elle devra forcement s'adapter aux nouvelles applies que les programmeurs mettront au point pour la combattre. Je pense que le cauchemar de la DPI sera atteint quand le p2p reposera sur plusieurs protocoles standards, et non 1 seul comme ssh dans ma proposition. En créant un canal caché réparti sur dnssec, http, https (on peut allonger la liste comme on veux) et si l'encapsulation respecte les propriétés statistiques des protocoles utilisés, je souhaite bonne chance aux designers des boards et du soft pour rester dans les clous des perfs demandées. Faire le design d'un covert channel, ce n'est pas facile. Après tout dépend de ce que tu as besoin de faire passer. Si c'est juste pour faire passer quelques octets d'informations, tu pourras le faire de manière discrète sans te faire remarquer par les systèmes de DPI. Si c'est pour encapsuler ton traffic P2P, il y a déjà moins de chance que ça fonctionne ;-) A noter que personne n'a parlé d'encapsuler dans un flux VoIP des données, ca peut paraître bizarre mais c'est tout à fait faisable. Un autre papier à lire : http://arxiv.org/ftp/arxiv/papers/0805/0805.3538.pdf Chaque progrès de la DPI incitera les développeurs à modifier les protocoles traqués pour en augmenter la complexité. Pour l'instant la DPI semble efficace à un coût raisonnable, mais pour combien de temps encore ? En gros mon avis sur la DPI est le meme avis que celui de la NSA sur l'HADOPI version US, cela prendra plus de temps qu'avec l'HADOPI mais on aboutira au même résultat. Dans l'imagerie militaire, on a affaire au combat blindage contre canon et la puissance de la crypto/stegano finira par pulvériser tous les blindages que la DPI proposera. Attention à ce genre de prédictions, personne ne sait de quoi l'avenir sera fait. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] anti-spam cote botnet
Le Wed, Feb 17, 2010 at 06:38:58PM +, Thomas Mangin [thomas.man...@exa-networks.co.uk] a écrit: C'est un peu désolant de voir que la lutte anti-spam semble laisser tomber totalement le premier problème, à savoir l'utilisateur qui fait partie, malgré lui, d'un botnet. J'avais commence a y bosser avec ça: http://scavenger.exa.org.uk/ Beurk... Je préfère de loin, en terme de maitrise par l'utilisateur, une solution du type : - bloquage dés/activable par l'utilisateur du port 25 en sortie - scan antispam/virus/... sur les smtp sortants Le problème c'est que tous les ISP n'ont pas la main sur les box de leurs utilisateurs. Et bloquer le port 25 sur l'infra, on a vu ce que ça donne niveau satisfaction des utilisateurs Orange. Ensuite le scan sur les smtp sortant, je suis pour, mais si l'ISP ne peut/veut pas filtrer le port 25 en sortie, alors ton antispam ne sert à rien. La solution de Thomas est plus élégante dans le sens où seuls les utilisateurs qui ont leur(s) machine(s) infectée(s) sont concernés. Comme je l'ai déjà dit dans un précédent mail, chacun prend ce qu'il veut dans les outils qui sont disponibles. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] reverse DNS chez orange pro
Nicolas CARTRON a écrit: Je ne suis même pas sûr qu'avec un reverse (en admettant qu'Orange le fasse, ce qui est loin d'être gagné), tu arrives à envoyer du mail, beaucoup d'ISP bloquent tout ce qui ressemble de près ou de loin à une ligne DSL ! Et oui, problème bien connu d'avoir son serveur à la maison. Même si techniquement ça ne sert à rien, ca peut être utile d'avoir tout pareil: - Le rDNS qui ne contient surtout pas DSL ou dynamic. - Le rDNS non-générique (pas de mon.adr.ip.client.ville.machin.truc.orange.fr) - Le rDNS qui résout pareil que le MX. - Le HELO qui va avec. Dans Exchange 2003: Exchange - Server - tonserveur - protocols - SMTP - default SMTP Virtual server - click droit - properties - delivey - advanced - masquerade domain ET FQDN. C'est probablement dans le même écran que tu as configuré to smart host. Je rajouterai que spamhaus a une liste dédiée aux IP qui ne devraient pas envoyer de mail, pbl.spamhaus.org Pour les problèmes de reverse DNS, je vous conseille le magnifique plugin Botnet pour spamassassin : http://people.ucsc.edu/~jrudd/spamassassin/ Très efficace même si j'ai remarqué quelques faux positifs (par exemple la machine qui s'occupe des mailing lists de l'ossir, ou encore des serveurs d'envoi de mail qui ont une partie de leur IP dans leur reverse) J'en profite pour faire un peu de pub pour le soft que je développe et qui reprend quelques bouts de code de Botnet.pm justement : http://www.synspam.org Oui, je sais que ce genre de logiciel casse le comportement normal d'un dialogue SMTP dans lequel on doit renvoyer un message 550 pour prévenir l'émetteur du refus, mais bon, c'est à chacun de voir s'il a besoin de ce genre d'outils. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] reverse DNS chez orange pro
Bonjour, Bonjour, Il existe déjà un certain nombre de méthodes, intelligentes, qui se greffent par dessus le protocole, qui sont rétro-compatibles avec qqn qui ne souhaite pas les implémenter et qui permettent déjà de lutter efficacement : DKIM (et DK) et SPF (et SenderID). Vous connaissez bcp de botnet qui utilisent ces fonctionnalités ? Des méthodes comme tarpit sont également des astuces, qui sont rétro-compatibles et qui vont effectivement dans le sens de la lutte contre le spam. Comme on l'a déjà fait remarquer, ce ne sont pas des mécanismes antispam mais contre l'usurpation d'identité. Je ne connais pas de botnet qui utilise DKIM ou SPF, par contre il m'arrive de recevoir des nigerian scams venant de webmails qui eux ont des en-têtes SPF et/ou DKIM. Alors utiliser ces informations pour différencier un spam d'un mail légitime, c'est tout sauf une bonne idée. Leur intérêt est d'aider lorsqu'on remonte le problème à l'abuse. Ce qui distingue à mes yeux tarpit et greylisting, alors que les deux jouent sur des astuces de protocole, c'est que là où tarpit a une action directe qui est de ralentir le spammeur, le greylisting se base uniquement sur la supposition que le serveur SMTP du spammeur est une bouse, ou que ca lui coute trop cher de gérer des messages d'erreur... ce qui constitue pour moi du bricolage. Le greylisting ne ralentit pas le spammer ? Le tarpit, tout comme le greylisting ont un but unique: taper là où ça fait mal. Le spam est un business, toute personne empêchant le business de se faire coûte de l'argent aux spammers. Il n'y a pas à mes yeux de raison de préférer l'un à l'autre, chacun a ses défauts et ses qualités. Un outil libre comme spamd qui fait les deux, c'est une bonne idée, à chacun de voir si ça lui convient, des résultats (qui commencent à dater) sont disponibles ici : http://www.openbsd.org/papers/bsdcan05-spamd/ A mon sens, il vaut mieux réfléchir à des méthodes intelligentes, se greffant au protocole, et étant rétro compatibles, plutôt que de se retrouver avec des inepties comme la dernière en date dont je me souviens : avoir un return-path identique au From... (comme si ca permettait vraiment de distinguer un spam d'un courrier légitime ...) Yakataka. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Le Sat, Jan 02, 2010 at 01:41:52PM +0100, Radu-Adrian Feurdean [...@ftml.net] a écrit: Tu n'est pas oblige d'injecter les routes de AS-LOPSSI directement dans ton core, pour diffusion dans toute ton reseau. Tu peux mettre en bordure un vieux PIII avec quagga, dedie pour l'import des routes LOPSSI. Tu fais le toilettage des routes sur cette machine, et tu les injecte uniquement dans les parties concernes de ton reseau. Tu vas quand même injecter des pleines brouettes de /32 dans des routeurs qui n'ont rien demandé :-) (moi, actuellement, ça me dérange pas outre mesure, la RAM sur PC ça coute rien) Si j'en crois le mail de Thomas Mangin un peu plus tôt dans le thread, en Angleterre le système est déjà en place et ça tient la route, il n'y a pas tant de /32 à charger et on parle encore en Ko... A voir ce que ça donne en France. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Et puisque l'OCCLTIC se voit rediriger le traffic vers les IPs blacklistées (si j'ai bien compris c'est en vue de faire une jolie page d'explication ? de recours???) , ils peuvent aussi monter des proxys http pour re-filtrer ensuite sur l'URL et éviter de faire disparaître des sites sur des hébergements mutualisés. Oui, je me suis dit la même chose. Le problème que je vois (enfin la liste) : - Il va falloir du matos ainsi que des gens pour s'en occuper (thank you captain obvious), qui va payer ? :) - Qui va faire le tri dans les logs pour détecter les sites mutualisés touchés ? Qu'on ne me sorte pas du chapeau une technologie revolutionnaire qui permet de faire ça, je n'y croirai pas une seule seconde :) - Chez les FAI, c'est peut être plus simple : une session BGP redondée et le tour est joué, très peu de travail donc. Mais quand meme, les tables de routage vont grossir (on ne sait pas encore dans quelles proportions) et il va falloir que les équipements supportent ou alors qu'il y ait upgrade. Qui va payer pour ça ? :) - Pour qu'une IP soit black(list,hol)ée, il faut au préalable qu'un trafic interdit ait été détecté, non ? Si les méchants pirates/pédophiles/whoever se mettent à tout chiffrer, comment va faire l'OCLCTIC ? Et bien sûr je ne parle pas du côté très orwellien de la chose... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
- Qui va faire le tri dans les logs pour détecter les sites mutualisés touchés ? Qu'on ne me sorte pas du chapeau une technologie revolutionnaire qui permet de faire ça, je n'y croirai pas une seule seconde :) Une des formules magiques est présenté la: http://thomas.mangin.com/data/pdf/LINX67-thomas-mangin-iwf.pdf Et je ne pense pas avoir monte quelque chose de révolutionnaire - juste mon Lego habituel de logiciel libre et scripting. Ca proxy les sites blancs et redirige vers un site web les sites noirs http://wiki.squid-cache.org/Features/Redirectors?highlight=%28faqlisted.yes%29 Ca je suis tout a fait d'accord pour dire que ça marche. Seulement dans tes slides je vois bien le IWF list download, donc il faut un humain derrière qui trie ou bien on attend tout simplement que les gens se plaignent qu'un site légitime est non joignable, un humain va faire la vérification et rajoute le site dans la liste blanche... Ta technologie ne filtre pas tout automatiquement, c'est ce que je voulais dire. - Chez les FAI, c'est peut être plus simple : une session BGP redondée et le tour est joué, très peu de travail donc. Mais quand meme, les tables de routage vont grossir (on ne sait pas encore dans quelles proportions) et il va falloir que les équipements supportent ou alors qu'il y ait upgrade. Qui va payer pour ça ? :) Si on considéré que chaque site sera injecte comme /32, et que la taille de la liste anglaise de site de ce type de site se compte en centaines d'entree - on parle en kilo bytes de mémoire nécessaire pour la table de routage et le CFEB ... En gros, pour un routeur EBGP - ca n'est comme si rien n'etait la. Si tu le dis, je veux bien te croire. Ce qui m'inquiète c'est les sites hébergés sur 10 IP différentes. Pour prendre un exemple, j'ai rejoint un groupe facebook pour dénoncer l'existence d'un site pedophile, ciarra-model.com et voilà ce que donne un petit coup d'oeil du côté résolution DNS : $ host ciarra-model.com ciarra-model.com has address 38.99.170.144 ciarra-model.com has address 38.99.170.141 ciarra-model.com has address 64.120.147.215 ciarra-model.com has address 64.120.147.217 ciarra-model.com has address 38.99.170.142 ciarra-model.com has address 38.99.170.143 ciarra-model.com has address 64.120.147.216 ciarra-model.com has address 64.120.147.214 ciarra-model.com mail is handled by 10 mail.ciarra-model.com. Voilà pourquoi j'ai un peu peur que les tables BGP explosent si d'autres sites utilisant autant d'adresses IP différentes devaient être blacklistés. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] probleme de routage avec free
On Fri, Nov 20, 2009 at 10:48:51PM +0100, Jerome Benoit wrote: Prenons le cas de Juniper (une des poupées russes) qui fait un JunOS à base de FreeBSD et qui a du améliorer grandement les algos de la FIB, RIB du FreeBSD (je suis même pas sur qu'il fasse çà en kernel space). Cette boite n'aurait jamais pu voir le jour aussi facilement sans FreeBSD, sans l'IETF. Ils font de l'ingénierie pas de la recherche (enfin pas bcp de recherche). J'ai déjà exposé ce point de vue ici je crois (je vieilli et je radote on dirait ;-)). Juniper a parfaitement le droit de faire ce qu'ils font et de tailler des croupières à Cisco et pour ce qu'il m'importe, un peu de compétition sur l'ingénierie de commutation IP ne fait pas de mal :) Bref, Juniper existe que parce que le noyau BSD a été fait et de la commutation IP est libre de droit. Tu oublies de préciser que Juniper a donné du code pour FreeBSD. Dès que la propriété intellectuelle le leur a permis, ils ont donné du code pour MIPS 64 bits. Alors oui, ils ont bien profité, mais ils jouent le jeu. Et comme Thomas l'a fait remarquer, si FreeBSD n'avait pas existé, ils auraient pris autre chose. Ah les salauds de capitalistes ! --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Des petits malins chez SFR ?
Bonjour à tous, Je viens de voir ce midi sur pcinpact un article marrant, une nouvelle offre faite par SFR, la femtocell. Voici l'URL : http://www.pcinpact.com/actu/news/54193-sfr-femtocell-3g-couverture-home.htm Je trouve ça très habile de leur part : augmenter la couverture 3G sans avoir à déployer de nouvelles antennes ni à augmenter la capacité de leur backbone 3G (le client de la femtocell passe par sa connexion adsl). C'est le client qui décide d'installer l'antenne relais chez lui et de la brancher sur sa box. Je trouve ça relavitement malin de leur part et je me suis posé la question : pourquoi personne ne l'a fait avant ? Pb législatif ? Le spectre 3G est à 2.1GHz donc un particulier ne doit pas émettre à cette fréquence, mais bon, si c'est vraiment une femtocell, il y a peu de risque... On verra ce que Free sortira s'ils ont leur licence 3G :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] probleme de routage avec free
On Tue, Nov 10, 2009 at 01:17:30AM +0100, Romain wrote: Au risque d'ajouter un peu de bordel sur FRNOG : Je suis simple abonné free et chercheur en informatique. Je m'intéresse à mon petit niveau à la neutralité du réseau. Les positions de Rami Assaf sur ce sujet me font froid dans le dos. D'après ce que je comprends : je n'ai plus accès chez moi à internet mais à une sous partie du réseau et pour free c'est parfaitement justifié. Il parait que le client est roi alors je demande toujours : svp ne prenez pas de décisions pour moi je trouverai des outils sur mon petit ordinateur pour me prémunir du fishing ! :) Free te donne un acc�s � Internet. Ils ont blackhol� une IP que tu ne contacteras (probablement) jamais. Pourquoi ? Comme l'a d�j� dit quelqu'un, pour pr�server ses abonn�s. Et tu nous dis que tu peux te pr�munir tout seul, ce qui est vrai, mais tu es comme nous, tu fais parti des 1% de geeks, pas des 99% de M. et Mme Michu. Apr�s on peut consid�rer �a comme une violation de la neutralit� mais moi je trouve �a totalement justifi�. Personne n'a �voqu� cet aspect il me semble, mais quand un client se fait hamme�onner, il contacte peut �tre la hotline de free pour se plaindre ? Ca fait perdre du temps (donc de l'argent) � Free ? Ils prennent donc des mesures pour perdre le moins de temps possible. C'est une frappe chirurgicale qui a eu des dommages collateraux ;) PS: je me demande si l'auteur du post original se doutait de ce qu'il allait d�clencher ? :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] probleme de routage avec free
Les cas de cybersquatting, typo et phishing sont maintenant monnaie courante mais tous ces sites sont à la base issus d'un nom de domaine. Pourquoi free ne fait un report au registrar du domaine? ou bloquerait la resolution DNS? Parce que l'auteur du phishing en enregistrera un autre et recommencera son pishing? oui certes, mais c'est tout aussi delirant de penser qu'il ne peut pas se faire heberger chez un autre hebergeur. La différence technique est très simple si on y réfléchit. Si le registrar bloque le domaine (c'est un gros si), l'auteur du site de phishing s'en rendra compte de suite ou presque. Il prendra effectivement des mesures pour déplacer son domaine ailleurs. Si un FAI dans le monde bloque les requetes de ses abonnés vers l'IP du site, alors pour le détecter, la personne malveillante doit faire un traceroute depuis la machine d'un abonné du FAI en question. C'est beaucoup de travail pour un site de phishing, non ? De plus dans le second cas, pas besoin de parlementer avec le registrar, le FAI décide tout seul de l'action à prendre, c'est plus rapide. Et si en plus il prévient l'hébergeur, alors une action peut être prise par de dernier pour virer le méchant qui ira se faire hoster par un hébergeur bullet proof. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Les problèmes de congestion du réseau mobile d'ATT
Bonjour à tous, Certains d'entre vous lisent probablement slashdot tout comme moi mais pour les autres, voici une raison avancée pour les problèmes de congestion dont ATT souffre en ce moment aux USA. Pour rappel, les abonnés iPhone d'ATT représente 3% du total et leur traffic est à 40%. Il y a déjà eu un (long) thread sur cette liste, le but n'est pas de raviver le troll On fournit un service et on a pas la capa derrière, on est lundi ;) En plus ça permettra à tout le monde de revoir un peu les bases de TCP et de revoir les noms d'équipements de réseaux 2G/3G. Le blog en question : http://blogs.broughturner.com/2009/10/is-att-wireless-data-congestion-selfinflicted.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Transit Ipv6
Salut tous, vous le savez surement hurricane electric fournit aux peers qui l'acceptent le Transit Ipv6. je pense que cela est dans l'interet général de suivre le mouvement et de ré-annoncer le transit à vos peers qui l'accepteraient aussi sur les différents Gix où vous êtes présents et qui permettent de le faire. D'ailleurs une question me vient, je ne suis pas très habitué des règles sur les différents IX, mais quand il est dit revente de transit interdite, l'interdiction porte sur du transit ipv4 ? ipv6 ? les deux ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Facturation au débit ?
Spyou a écrit : Sauf erreur, on trouve encore des FAI qui vendent de l'accès internet, et rien que de l'accès internet .. Non ? Oui, je suis chez Neuf / SFR avec juste de l'Internet, sans téléphone ni TV. Juste pour éclairer le débat, j'ai une maison à la campagne, à moins d'une heure de Lyon, mais qui n'aura jamais plus de 512/64 kb/s : la seule offre est Wanadoo en ReADSL, parce que la maison est perdue au bout d'un chemin, avec des lignes téléphoniques aériennes, à 1 km du hameau le plus proche et 7 km du DSLAM de la bourgade voisine. (*) Tu as choisi ton cadre de vie, si tu veux une connexion ADSL de 20Mbits/s, tu déménages en ville avec les inconvénients qu'il y a. On ne peut pas avoir le beurre et l'argent du beurre pour reprendre l'analogie laitière que tu sembles apprécier. Toute l'infra est là et je devrais payer 30 euros par mois pour ce débit misérable ? Connais-tu les problématiques d'opérateurs en zone blanche (ou quasi blanche) ? J'ai bossé pour un opérateur de ce type et je peux te dire que 30 euros/mois pour ce débit misérable, c'est ce qui leur permet de vivre, pas de s'engraisser. Pour le coup c'est moi qui serais alors victime de la péréquation, et qui subventionnerait les abonnés Wanadoo fibrés en centre ville ! Donc oui à la baisse de prix sur les bouteilles de lait aux 3/4 vides :-) Comme le faisait très bien remarquer François Petillon, tu fais l'amalgame entre un bien et un service. Je suis tout à fait d'accord avec sa remarque sur le fait qu'un abonné qui coûte cher c'est un abonné qui utilise sa ligne, pas forcément un abonné qui a débit plus élevé. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] mail-archive.com - oui ou non
Bonjour Un petit debat a demarre sur irc relate a frnog et mail-archive.com ... Visiblement la liste a ete rajoutee la bas le 13 fevrier... Est-ce une bonne idee de se retrouver sur google ? Je me suis abonné cette semaine mais j'ai commencé à suivre la liste il y a quelques mois grâce à mail-archive.com, d'ailleurs il y a un lien direct depuis frnog.org alors je serais tenté de dire qu'il s'agit d'une décision prise par le(s) responsable(s) de frnog.org ? De plus si je n'avais pas eu les archives, je n'aurais probablement jamais pu estimer le niveau de la liste avant de décider de m'y abonner, pour moi c'est une bonne chose. My 2 cents --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] AS/Structure dont les but sont manifestement douteux
On Tue, 22 Sep 2009 20:06:37 +0200 Raphael Bouaziz rap...@noemie.org wrote: | | Etre un réseau adoptant une politique de neutralité sur Internet, | cela signifie n'appliquer aucun filtre ou traitement spécifique en | fonction de ce qu'on transporte. [...] | - pensez vous qu'il faille fair quelque chose contre ce type de malfaisant ? | | Chez un FAI ayant pour but de fournir de l'accès full IP (tiens ce | terme ne se voit plus dans les publicités depuis bien longtemps) : NON. [...] Je me plaçait dans le cadre effectivement d'un FAI/transitaire/intermédiaire technique en ayant en tête le cas McColo pour lequel la plupart des personnes du milieu semblaient applaudir des 2 mains (détrompez moi le cas échéant). Sauf que McColo s'est vu couper sa connectivite par ses transitaires directs, pas par tout Internet, enfin je crois. Tu n'es pas transitaire du site suedois dont tu parles ? Ca n'a évidement pas trop d'intérêt général de les nullrouter dans son coin sauf au niveau end-user ou en tant que service facultatif au end-user. L'idée n'était pas non plus d'avancer la voie d'un internet 'moral' mais plutôt de considérer que ce genre de boites (a considérer qu'elle fournit ses services en connaissance de cause sur ce cas précis ou un cas similaire) participe activement au spam a grande échelle et par voie de conséquence à un impact notamment technique. C'est cet impact qui me semble intéressant pas le coté moral de la chose: que des gens achètent des médocs sur internet, aillent consulter des sites révisionnistes ou autres n'est pas mon problème en soit (à moins que ça leur donne des envie d'aller tripoter des petites filles ou de déclencher la Xeme guerre mondiale évidement). Oui enfin pour McColo on connait la suite et le spam a repris depuis. Ce n'est donc pas une solution. Et comme je l'ai deja fait remarquer, des hebergeurs bulletproof ca se trouve ... Sur le Full IP, c'est has-been, maintenant on a l'internet avec 0range (oh désespoir). Encore mieux, on a la 3G ! --- Liste de diffusion du FRnOG http://www.frnog.org/