Re: [FRnOG] SORBS, blacklisting

2011-05-21 Par sujet Julien Reveret 
 Hello,

 Donc à votre avis qu'elles sont les BL recommandables ?

Je pense que cette question a une réponse différente selon le jour où tu
la poses. Ma réponse serait plutot de comparer les dnsbl, voici quelques
liens qui pourront être utile :

http://www.intra2net.com/en/support/antispam/
http://www.sdsc.edu/~jeff/spam/cbc.html
enfin l'outil blacklists de robtex.com pour savoir si son domaine où le
domaine d'un client est dans des DNSBL.

 L.

 Bon samedi :)

Bon WE


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [FRnOG] Transit Probléme Orange

2011-02-23 Par sujet Julien Reveret 
 ... en tout cas, on reparlera le jour ou on va devoir payer chacune des
 sources/destinations, comme dans le cas du reseau telephonique.

 Mais je trouverai cela même normal. Pourquoi devrais je payer le même
 prix pour envoyer 1Mbps au find fond de l'Afrique via un cable sous
 marin hors de prix ou dans un ilot paumé du Pacifique et, envoyer 1Mbps
 1 hop derrière l'opérateur à qui j'achète du transit sur lequel le
 destinataire est aussi connecté?


Le problème risquerait d'être le même que pour la téléphonie fixe du 20e
siècle avec les zones d'intérêts économiques. Tu ne payerais pas plus cher
parce que tu passes par un câble qui a couté des millions mais simplement
parce que ton opérateur aurait décidé que la destination que tu veux
joindre a plus de valeur.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: Fwd: 39/8 and 106/8 allocated to APNIC

2011-02-01 Par sujet Julien Reveret 
 Le 01/02/2011 09:21, Stephane Bortzmeyer a écrit :
 On Tue, Feb 01, 2011 at 08:15:54AM +0100,
  Pierre-Yves Maunier fr...@maunier.org wrote
  a message of 88 lines which said:
 Only five unallocated unicast IPv4 /8s remain.
 Et leur distribution aux RIR devrait être annoncée jeudi lors d'une
 conférence de presse pendant NANOG, suivant
 http://www.ripe.net/docs/ripe-436.html.

 Bye bye, v4.
 Question peut-être stupide, mais quid des 240/8 à 255/8 annoncés comme
 réservés pour future use ?
 Ne serait-ce pas le moment de les alloués aux RIR ?


Malheureusement une grande partie des systèmes d'exploitation actuels
refuse d'assigner une telle adresse à une interface réseau, cette classe
n'est donc plus d'une grande utilité.

Faites le test :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: RFC 6092: Recommended Simple Security Capabilities in CPE for Providing Residential IPv6 Internet Service

2011-01-25 Par sujet Julien Reveret 
 On Tue, Jan 25, 2011 at 11:49:01AM +0100,
  Thomas Samson kooll...@gmail.com wrote
  a message of 61 lines which said:

 Un ordinateur est menacé si il est joignable, le numéro de port
 n'indique plus vraiment la 'taille' de la menace, surtout quand le
 but n'est pas de 'rooter' la machine mais de l'ajouter dans un
 botnet.  et en faire un relai de spam, une source de ddos, un proxy
 anonymisant.  Pas besoin de port en écoute inférieur à 1024, pas
 besoin de droits administrateurs.

 Les attaques les plus courantes sur le PC de M. Michu aujourd'hui sont
 en effet par « charge utile » (i.e. par malware dans une page Web),
 pas par connexion IP. C'est d'ailleurs pour cela que le refus de
 certains d'abandonner le NAT « pour des raisons de sécurité » n'est
 pas rationnel (le NAT n'empêche pas ces attaques).

Et pourquoi ces attaques sur les clients web sont-elles devenues les plus
courantes ? Tout simplement parce que joindre directement une machine sur
Internet est devenu de plus en plus difficile avec le NAT. Derrière une IP
publique on peut avoir tout le LAN d'une entreprise, un attaquant n'a donc
pas beaucoup d'autres solutions que de passer par du SE puis une attaque
sur le client web / mail (coucou I love you) / whatever.

Avec IPv6, on augmente la surface d'attaque sur les postes clients, ce
sera le retour des bons vieux scans, des sasser et autres blaster si
personne n'apprend des erreurs passées.

 Néanmoins, en matière de sécurité, ce n'est jamais tout blanc ou tout
 noir. Les programmes qui écoutent sur des ports  1024 sont en général
 particulièrement sensibles et l'idée de Rémi Bouhl de les protéger ne
 me semble pas mauvaise.

Une application avec un remote command execution bug -qu'elle tourne sur
un port  ou  à 1024- est dangereuse. La seule chose qui change c'est la
probabilité de la trouver en faisant un scan sur un bloc d'adresses IP.

Je tiens à redire que pour transformer une machine en zombie, pas besoin
des privilèges admin dans la plupart des cas. Au pire, l'attaquant pas
trop mauvais trouvera un moyen de faire une escalade de privilèges.

 Pour le reste, je ne sais pas quelle solution est préférable pour
 Mme Michu, mais de plus en plus d'applications supporte l'UPnP

 Non-standard, protocole spécifique Microsoft.

Et qui détient 95% du marché des postes clients ? :)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: Afficher la liste de ses « diplômes » dans le .signature (Was: Hijacked the Internet

2010-11-18 Par sujet Julien Reveret 
 On Wed, Nov 17, 2010 at 11:00:38PM +0100,
  Sébastien FOUTREL sfout...@gmail.com wrote
  a message of 47 lines which said:

 A part ça, les derniers BTS info auxquels j'ai fait passer un
 entretien ne m'ont parlé que de classe A,B,C,D et pas de CIDR (sauf
 erreur l'usage des classes a été abandonné en 1996

Et même pas de classes E ? Je connais un prof qui n'a pas bien fait son
boulot ;)
En ce qui concerne ma formation, nos profs nous ont appris les classes
mais aussi le CIDR en nous disant que nous pouvions rencontrer des réseaux
en classes A/B/C dans notre vie professionnelle mais que CIDR était
désormais la règle (je dois même avoir encore des polycopes qui trainent
chez moi).

Nous avons eu aussi un cours sur IPv6 ainsi qu'un BE (bureau d'étude) pour
ceux de la promo qui ont pu choisir ce sujet. La promotion suivante a eu
un cours encore plus poussé sur IPv6 d'après ce qu'ils nous ont dit.


 1993. http://www.bortzmeyer.org/fini-les-classes.html

 Bon, c'est un BTS, un diplôme bas de gamme, quand même. Ça permet de
 les payer moins. On ne peut pas payer les gens des clopinettes et leur
 demander d'avoir les connaissances d'un gourou.

Les connaissances d'un gourou ?
Connaître le nombre d'IP dans un /25, c'est niveau IUT/BTS pour moi.
Savoir répondre à la question pourquoi ce réseau en /25 n'est pas appris
par le peer BGP ?, c'est déjà plus du niveau gourou et je ne le
demanderais pas à quelqu'un sorti de son école/fac/BTS/IUT.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RFC 5963: IPv6 Deployment in Internet Exchange Points

2010-08-31 Par sujet Julien Reveret 

 Est-ce à dire que si l'Internet se transforme en un immense réseau
 Ethernet opérateur, l'intérêt d'IPv6 est fortement réduit ? Ce réseau
 pourrait même ne transporter que des adresses privées IPv4.


Si Internet se transformait en un immense réseau Ethernet, alors je
n'imagine même pas la congestion des liens à cause des broadcasts ARP.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Julien Reveret 

 Nous mettons en place couramment des solution Open Sources basées sur
 Sendmail + DNSRBL + MimeDefang + DCCD + razor + pyzor + SpamAssassin +
 GreyListing + clamav + généralement un anti-virus commercial (par exemple
 Kaspersky).

 Ces solutions permettent effectivement de gérer très très convenablement
 le problème de SPAM. Notamment la seule solution greylisting arrête
 généralement plus de 98% du SPAM et est quasiment incoutournable par les
 Spammeurs. Elle permet de plus de ne soumettre aux moteurs anti-spam et
 anti-virus que les messages restant, ce qui est très grosse économie de
 CPU.


Le greylisting est parfaitement contournable par les spammeurs, ils ont au
moins 2 choix pour cela :
1) Compromettre un serveur sur lequel se trouve un MTA digne de ce nom qui
renverra le message après expiration du délai de greylisting.
2) Mettre à jour les softs sur les zombies de son botnet pour gérer le
greylisting.

Pour information les serveurs des ML Debian sont configurés avec du
greylisting et pourtant les listes sont régulièrement spammées. C'est
juste que ce n'est financièrement pas viable pour la plupart des spammers
de prendre des ressources sur des machines de leur botnet pour gérer la
réexpédition. Voilà pourquoi le greylisting reste encore un moyen efficace
de lutte contre le spam.

Un autre intérêt du greylisting est que même si les spammeurs décident à
grande échelle de le contourner, le temps d'attente entre 2 connexions
peut jouer en la faveur des DNSBL qui auront (peut être) eu le temps de
repérer le zombie en question et donc de permettre un filtrage plus
efficace à l'antispam qui agit derrière.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] La Fédération France Wireless ouvre son premier point d ’échange internet à Paris : le WiFIX

2010-07-02 Par sujet Julien Reveret 


 Paris, le 2 juillet 2010. La Fédération France Wireless ouvre sur Paris
 TeleHouse2 à son premier point d'échange Internet non commercial : le
 WiFIX.

J'aime bien la réflexion de Thomas Mangin sur l'interprétation que
pourrait en faire les anglo-saxons :)


 Fort de sa compétence dans le domaine du WiFi, ce point d'échange a la
 particularité d'être basé sur du WiFi High Speed Mesh (WHSM) délivrant
 actuellement une vitesse de 100mbps.

 Pour accéder au WiFIX, il suffit d'être présent dans le datacentre, de
 disposer
 d'un WiFIX-node disponible auprès de la Fédération France Wireless pour
 l'interconnexion de son réseau à ce point d'échange proposé au tarif
 actuel de
 90€, d'être membre de la FFW.
 Le WiFIX-node est posé physiquement sur la baie créant ainsi un maillage
 de baie
 à baie. Pour le cas de datacentres comportant des étages, un backbone
 interétage
 est mise en place.

Je vais poursuivre sur la remarque d'Arthur Fernandez : avez-vous prévu un
quelconque chiffrement des données ? Si je ne me trompe pas vous proposez
de faire un maillage, ce qui veut dire que potentiellement un membre du
réseau mesh pourra être amené à transporter des paquets qui ne lui sont
pas destinés.
Qu'en est-il de la confidentialité des données ? Si la solution consiste à
avoir une paire de clé de chiffrement par peer, ça risque d'être un sacré
frein à l'adoption de cette solution de peering originale.


 La Fédération France Wireless prévoit non seulement le déploiement dans
 d'autres
 datacentres sur la région parisienne par une interconnexion de même type
 WHSM
 entre datacentres, mais aussi ailleurs en France poursuivant ainsi un de
 ses
 objectifs : la création d'un vaste réseau neutre, un réseau libre pour
 tous.

Bientôt une interconnexion Touix-Lyonix grâce au WiFIX ?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] IPv6 Ripeness, et la France alors ?

2010-06-15 Par sujet Julien Reveret 

 L'initiative de mon mail était surtout au moins d'activier ipv6 sur le
 réseau dans un premier temps afin d'avoir les fondations pour bosser sur
 l'applicatif tranquillement et pas tout faire d'un coup.

Quand je vois des initiatives comme NAT64 et DNS64, je me dis qu'on n'est
pas prêt d'avoir du v6 partout. Je suis tout à fait d'accord avec toi
quand tu dis que les nouveaux arrivant ne devront monter un réseau v6 only
par nécessité, mais pour la partie accès aux ressources en v4 ils ne
pourront pas faire pression sur les anciens.
Ils n'auront pas d'autre solution alors que de se tourner vers des
passerelles NAT64/DNS64.

Les années qui viennent vont être fnu :)


 Si les gens activent ipv6 et commencent à gueuler auprès de leurs
 fournisseurs d'applications/appliance en disant qu'ipv6 ça ne marche pas,
 ils vont commencer à faire des choses.

Il faut que les gros clients fassent pression alors. Et les gros sont ceux
qui ont le plus de boulot pour migrer, donc qui ont le temps de
préparation le plus long et qui finalement migreront en dernier. Oui, j'ai
une vision fataliste de la chose :)

 Le truc c'est que beaucoup de personnes attendent que quelqu'un d'autre le
 fasse, et si tout le monde pense ça, on n'est pas sortit.

+1

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] le FR-IX est ouvert

2010-05-19 Par sujet Julien Reveret 
 Le (On) Tue, May 18, 2010 at 06:38:03PM +0200, Xavier Beaudouin ecrivit
 (wrote):

 J'avoue que ton concept dual-gix (ou x-gix) perso m'intéresses...
 C'est trop con d'avoir a tirer un interlan pour peerer jusqu'a lyon /
 rennes etc

 Mais pourquoi peerer a Lyon ou Rennes alors que l'Internet réside a Paris
 ?

Détrompe toi, il y a des IX régionaux en France. Jusqu'ici personne ne l'a
mentionné alors je le fais remarquer, il y a le Touix !
http://www.touix.net

Il serait peut être temps de comprendre que les provinciaux aussi ont
des infras. Allez, tous avec moi :

Qui ne peer pas !
Qui ne peer pas !
Qui ne peer pas au touix n'est pas Tou-lou-sain !

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] L'inria est leet

2010-04-29 Par sujet Julien Reveret 
Bonjour à tous,

A ceux qui pensent que HADOPI sera un échec à cause de seedfuck et
compagnie, je tiens à signaler la disponibilité d'un manuscrit de
chercheurs de l'INRIA. Ils ont présenté leurs travaux lors du séminaire
Large-Scale Exploits and Emergent Threats (LEET) :

http://hal.inria.fr/docs/00/47/03/24/PDF/bt_privacy_LEET10.pdf

En utilisant plusieurs sources d'information, les chercheurs seraient
arrivés à trouver les content providers, même si ces derniers se cachent
derrière le réseau Tor. On notera que les trackers peuvent être très
bavards quand on sait poser les bonnes questions !

Pour d'autres papiers sur le même sujet, se rendre sur la page :
http://www-sop.inria.fr/members/Arnaud.Legout/Projects/bluebear.html

Qui a dit que la recherche fondamentale n'apportait rien à l'industrie ? :)




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Pb OVH

2010-04-28 Par sujet Julien Reveret 

 Filtrage de l'ICMP sur un réseau d'hébergeur, je suis le seul à trouver
 ça tendancieux ? Ne devraient ils pas plutôt inviter les administrateurs
 à configurer leurs firewalls ?

On ne peut pas faire changer les autres (surtout les clients de nos jours
qui se croient tout permis parce qu'ils payent). Soit OVH fait avec et se
prend des floods ICMP qui induisent une charge de travail supplémentaire,
soit OVH fait sans et shape l'ICMP.

Après si les clients ne sont pas contents, c'est pareil : On ne peut pas
faire changer les autres, on ne peut changer que soi même, donc ils
peuvent changer d'hébergeur plutôt que d'aller pleurer chez je ne sais qui
:)

 Bon courage à tout ceux qui monitorent leurs serveurs chez OVH depuis un
 autre réseau...

Enlever le check_icmp ou le remplacer par un autre check pour obtenir la
latence vers le serveur en question n'a rien d'insurmontable d'un point de
vue technique. Et puis voyons les choses de façon positives : des gens ont
pu s'apercevoir que nagios fonctionnait toujours ;)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Pb OVH

2010-04-28 Par sujet Julien Reveret 
 Le message d'Octave sur la mailing list ovh

 http://pastebin.com/JkDPtzuf

 Je ne comprend pas ce genre de stratégie, je veux bien être le
 candide à qui on a besoin de faire un dessin pour comprendre

Le problème des 2 litres d'eau dans la carafe d'un litre, le filtrage n'y
change rien, il n'y a pas besoin de dessin pour le comprendre :)

 les packets qui sont filtrés, ils seront bien passés par une ligne avant
 d'etre detruit par le routeur. Bon, il economise le reply, mais l'echo,
 Octave le paye quand meme sur sa (?) ligne. Si OVH a au total 10G
 de BP, et qu'il collecte 20G d'echo icmp qui bourre ses 10G, il
 detruira tous les echo, mais au final, il n'améliorera rien du tous sur
 ses lignes.

Je ne sais pas comment OVH réalise ce filtrage mais à leur place je le
ferais le plus près possible de la source. Dans leur cas c'est Internet la
source, donc filtrer en périphérie de réseau serait (toujours selon moi)
une bonne idée pour éviter de congestionner le backbone.

Enfin je crois me souvenir d'un mail d'Octave sur cette même liste qui
disait qu'en Europe de l'Est par exemple, les peerings ne se faisaient que
dans le sens OVH - ISP, toutes les requêtes entrantes passaient par un
lien de transit, donc l'ISP paye aussi pour envoyer les paquets qui
causent le DDoS. Ca fait perdre de l'argent à l'ISP qui héberge les
zombies/script kiddies/whatever et ça le fait réagir plus vite.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Marre des RBLs à la con - uceprotect.net

2010-04-19 Par sujet Julien Reveret 
 On Mon, 2010-04-19 at 14:07 +0200, Laurent CARON wrote:

 Il y'a un bouton pour se dé-lister. Ah oui, mais il faut payer 250€
 pour
 être délisté en express.

 à ce niveau la, c'est plus du fascisme, c'est de l'extorsion !


Parfaitement, Gandi avait eu le problème aussi il y a quelques temps avec
SORBS [1].
Pour celles et ceux qui voudraient connaître l'état actuel des
différentes DNSBL, 2 petites URLs:
http://www.intra2net.com/en/support/antispam/
http://www.sdsc.edu/~jeff/spam/cbc.html


[1]
http://www.lebardegandi.net/post/2010/03/05/Blackliste-par-SORBS-un-jour-dans-la-vie-de-Gandinet

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Nouveau troll : qui doit payer ?

2010-03-23 Par sujet Julien Reveret 

 A ma connaissance (je veux bien qu'on apporte la preuve du contraire)
 les protocoles de l'internet peuvent pratiquement tous supporter un
 hidden channel. Il suffit d'avoir eu à faire face à des tunnels IP
 dans icmp ou dans DNS pour comprendre ce que je veux dire. Il me semble
 risqué de dire que la DPI les mettra tous en évidence.

Lire le très intéressant :

http://actes.sstic.org/SSTIC06/Detection_de_tunnels/SSTIC06-Lehembre_Thivillon-Detection_de_tunnels.pdf

 Et vu à une echelle de temps de l'ordre de l'année, l'Internet  n'est
 pas un systeme informatique, mais un système biologique . Si pour
 l'instant la DPI fonctionne sur les applies existantes, elle devra
 forcement s'adapter aux nouvelles applies que les programmeurs mettront
 au point pour la combattre. Je pense que le cauchemar de la DPI sera
 atteint quand le p2p reposera sur plusieurs protocoles standards, et non
 1 seul comme ssh dans ma proposition.

 En créant un canal caché réparti sur dnssec, http, https (on peut
 allonger la liste comme on veux) et si l'encapsulation respecte les
 propriétés statistiques des protocoles utilisés, je souhaite bonne
 chance aux designers des boards et du soft pour rester dans les clous
 des perfs demandées.

Faire le design d'un covert channel, ce n'est pas facile. Après tout
dépend de ce que tu as besoin de faire passer. Si c'est juste pour faire
passer quelques octets d'informations, tu pourras le faire de manière
discrète sans te faire remarquer par les systèmes de DPI. Si c'est pour
encapsuler ton traffic P2P, il y a déjà moins de chance que ça fonctionne
;-)

A noter que personne n'a parlé d'encapsuler dans un flux VoIP des données,
ca peut paraître bizarre mais c'est tout à fait faisable. Un autre papier
à lire : http://arxiv.org/ftp/arxiv/papers/0805/0805.3538.pdf

 Chaque progrès de la DPI incitera les développeurs  à modifier les
 protocoles traqués pour en augmenter la complexité. Pour l'instant la
 DPI semble efficace à un coût raisonnable, mais pour combien de temps
 encore ?

 En gros mon avis sur la DPI est le meme avis que celui de la NSA sur
 l'HADOPI version US, cela prendra plus de temps qu'avec l'HADOPI mais on
 aboutira au même résultat. Dans l'imagerie militaire, on a affaire au
 combat blindage contre canon et la puissance de la crypto/stegano
 finira par pulvériser tous les blindages que la DPI proposera.

Attention à ce genre de prédictions, personne ne sait de quoi l'avenir
sera fait.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] anti-spam cote botnet

2010-02-18 Par sujet Julien Reveret 
 Le Wed, Feb 17, 2010 at 06:38:58PM +, Thomas Mangin
 [thomas.man...@exa-networks.co.uk] a écrit:
  C'est un peu désolant de voir que la lutte anti-spam semble laisser
  tomber totalement le premier problème, à savoir l'utilisateur qui fait
  partie, malgré lui, d'un botnet.

 J'avais commence a y bosser avec ça:
 http://scavenger.exa.org.uk/

 Beurk...

 Je préfère de loin, en terme de maitrise par l'utilisateur, une solution
 du type :
 - bloquage dés/activable par l'utilisateur du port 25 en sortie
 - scan antispam/virus/... sur les smtp sortants

Le problème c'est que tous les ISP n'ont pas la main sur les box de leurs
utilisateurs. Et bloquer le port 25 sur l'infra, on a vu ce que ça donne
niveau satisfaction des utilisateurs Orange.
Ensuite le scan sur les smtp sortant, je suis pour, mais si l'ISP ne
peut/veut pas filtrer le port 25 en sortie, alors ton antispam ne sert à
rien.
La solution de Thomas est plus élégante dans le sens où seuls les
utilisateurs qui ont leur(s) machine(s) infectée(s) sont concernés.

Comme je l'ai déjà dit dans un précédent mail, chacun prend ce qu'il veut
dans les outils qui sont disponibles.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] reverse DNS chez orange pro

2010-02-17 Par sujet Julien Reveret 
 Nicolas CARTRON a écrit:
 Je ne suis même pas sûr qu'avec un reverse (en admettant
 qu'Orange le fasse, ce qui est loin d'être gagné), tu arrives
 à envoyer du mail, beaucoup d'ISP bloquent tout ce qui ressemble
 de près ou de loin à une ligne DSL !

 Et oui, problème bien connu d'avoir son serveur à la maison.
 Même si techniquement ça ne sert à rien, ca peut être utile d'avoir tout
 pareil:
 - Le rDNS qui ne contient surtout pas DSL ou dynamic.
 - Le rDNS non-générique (pas de
 mon.adr.ip.client.ville.machin.truc.orange.fr)
 - Le rDNS qui résout pareil que le MX.
 - Le HELO qui va avec. Dans Exchange 2003: Exchange - Server -
 tonserveur - protocols - SMTP - default SMTP Virtual server - click
 droit - properties - delivey - advanced - masquerade domain ET FQDN.
 C'est probablement dans le même écran que tu as configuré to smart host.

Je rajouterai que spamhaus a une liste dédiée aux IP qui ne devraient pas
envoyer de mail, pbl.spamhaus.org
Pour les problèmes de reverse DNS, je vous conseille le magnifique plugin
Botnet pour spamassassin : http://people.ucsc.edu/~jrudd/spamassassin/
Très efficace même si j'ai remarqué quelques faux positifs (par exemple la
machine qui s'occupe des mailing lists de l'ossir, ou encore des serveurs
d'envoi de mail qui ont une partie de leur IP dans leur reverse)

J'en profite pour faire un peu de pub pour le soft que je développe et qui
reprend quelques bouts de code de Botnet.pm justement :
http://www.synspam.org

Oui, je sais que ce genre de logiciel casse le comportement normal d'un
dialogue SMTP dans lequel on doit renvoyer un message 550 pour prévenir
l'émetteur du refus, mais bon, c'est à chacun de voir s'il a besoin de ce
genre d'outils.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] reverse DNS chez orange pro

2010-02-17 Par sujet Julien Reveret 
 Bonjour,

Bonjour,

 Il existe déjà un certain nombre de méthodes, intelligentes, qui se
 greffent par dessus le protocole, qui sont rétro-compatibles avec qqn
 qui ne souhaite pas les implémenter et qui permettent déjà de lutter
 efficacement : DKIM (et DK) et SPF (et SenderID). Vous connaissez bcp de

 botnet qui utilisent ces fonctionnalités ? Des méthodes comme tarpit
 sont également des astuces, qui sont rétro-compatibles et qui vont
 effectivement dans le sens de la lutte contre le spam.

Comme on l'a déjà fait remarquer, ce ne sont pas des mécanismes antispam
mais contre l'usurpation d'identité.
Je ne connais pas de botnet qui utilise DKIM ou SPF, par contre il
m'arrive de recevoir des nigerian scams venant de webmails qui eux ont
des en-têtes SPF et/ou DKIM. Alors utiliser ces informations pour
différencier un spam d'un mail légitime, c'est tout sauf une bonne idée.
Leur intérêt est d'aider lorsqu'on remonte le problème à l'abuse.

 Ce qui distingue à mes yeux tarpit et greylisting, alors que les deux
 jouent sur des astuces de protocole, c'est que là où tarpit a une action
 directe qui est de ralentir le spammeur, le greylisting se base
 uniquement sur la supposition que le serveur SMTP du spammeur est une
 bouse, ou que ca lui coute trop cher de gérer des messages d'erreur...
 ce qui constitue pour moi du bricolage.

Le greylisting ne ralentit pas le spammer ?
Le tarpit, tout comme le greylisting ont un but unique: taper là où ça
fait mal. Le spam est un business, toute personne empêchant le business de
se faire coûte de l'argent aux spammers. Il n'y a pas à mes yeux de raison
de préférer l'un à l'autre, chacun a ses défauts et ses qualités.
Un outil libre comme spamd qui fait les deux, c'est une bonne idée, à
chacun de voir si ça lui convient, des résultats (qui commencent à dater)
sont disponibles ici :
http://www.openbsd.org/papers/bsdcan05-spamd/


 A mon sens, il vaut mieux réfléchir à des méthodes intelligentes, se
 greffant au protocole, et étant rétro compatibles, plutôt que de se
 retrouver avec des inepties comme la dernière en date dont je me
 souviens : avoir un return-path identique au From... (comme si ca
 permettait vraiment de distinguer un spam d'un courrier légitime ...)

Yakataka.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!

2010-01-04 Par sujet Julien Reveret 
 Le Sat, Jan 02, 2010 at 01:41:52PM +0100, Radu-Adrian Feurdean
 [...@ftml.net] a écrit:
 Tu n'est pas oblige d'injecter les routes de AS-LOPSSI directement dans
 ton core, pour diffusion dans toute ton reseau. Tu peux mettre en
 bordure un vieux PIII avec quagga, dedie pour l'import des routes
 LOPSSI. Tu fais le toilettage des routes sur cette machine, et tu les
 injecte uniquement dans les parties concernes de ton reseau.

 Tu vas quand même injecter des pleines brouettes de /32 dans des
 routeurs qui n'ont rien demandé :-)
 (moi, actuellement, ça me dérange pas outre mesure, la RAM sur PC ça
 coute rien)

Si j'en crois le mail de Thomas Mangin un peu plus tôt dans le thread, en
Angleterre le système est déjà en place et ça tient la route, il n'y a pas
tant de /32 à charger et on parle encore en Ko... A voir ce que ça donne
en France.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!

2010-01-01 Par sujet Julien Reveret 
 Et puisque l'OCCLTIC se voit rediriger le traffic vers les IPs
 blacklistées (si j'ai bien compris c'est en vue de faire une jolie page
 d'explication ? de recours???) , ils peuvent aussi monter des proxys http
 pour re-filtrer ensuite sur l'URL et éviter de faire disparaître des sites
 sur des hébergements mutualisés.

Oui, je me suis dit la même chose. Le problème que je vois (enfin la
liste) :

- Il va falloir du matos ainsi que des gens pour s'en occuper (thank you
captain obvious), qui va payer ? :)
- Qui va faire le tri dans les logs pour détecter les sites mutualisés
touchés ? Qu'on ne me sorte pas du chapeau une technologie revolutionnaire
qui permet de faire ça, je n'y croirai pas une seule seconde :)
- Chez les FAI, c'est peut être plus simple : une session BGP redondée et
le tour est joué, très peu de travail donc. Mais quand meme, les tables de
routage vont grossir (on ne sait pas encore dans quelles proportions) et
il va falloir que les équipements supportent ou alors qu'il y ait upgrade.
Qui va payer pour ça ? :)
- Pour qu'une IP soit black(list,hol)ée, il faut au préalable qu'un trafic
interdit ait été détecté, non ? Si les méchants pirates/pédophiles/whoever
se mettent à tout chiffrer, comment va faire l'OCLCTIC ?

Et bien sûr je ne parle pas du côté très orwellien de la chose...

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!

2010-01-01 Par sujet Julien Reveret 
 - Qui va faire le tri dans les logs pour détecter les sites mutualisés
 touchés ? Qu'on ne me sorte pas du chapeau une technologie
 revolutionnaire
 qui permet de faire ça, je n'y croirai pas une seule seconde :)

 Une des formules magiques est présenté la:
 http://thomas.mangin.com/data/pdf/LINX67-thomas-mangin-iwf.pdf

 Et je ne pense pas avoir monte quelque chose de révolutionnaire - juste
 mon Lego habituel de logiciel libre et scripting.
 Ca proxy les sites blancs et redirige vers un site web les sites noirs

 http://wiki.squid-cache.org/Features/Redirectors?highlight=%28faqlisted.yes%29

Ca je suis tout a fait d'accord pour dire que ça marche. Seulement dans
tes slides je vois bien le IWF list download, donc il faut un humain
derrière qui trie ou bien on attend tout simplement que les gens se
plaignent qu'un site légitime est non joignable, un humain va faire la
vérification et rajoute le site dans la liste blanche...
Ta technologie ne filtre pas tout automatiquement, c'est ce que je voulais
dire.

 - Chez les FAI, c'est peut être plus simple : une session BGP redondée
 et
 le tour est joué, très peu de travail donc. Mais quand meme, les tables
 de
 routage vont grossir (on ne sait pas encore dans quelles proportions) et
 il va falloir que les équipements supportent ou alors qu'il y ait
 upgrade.
 Qui va payer pour ça ? :)

 Si on considéré que chaque site sera injecte comme /32, et que la taille
 de la liste anglaise de site de ce type de site se compte en centaines
 d'entree - on parle en kilo bytes de mémoire nécessaire pour la table de
 routage et le CFEB ... En gros, pour un routeur EBGP - ca n'est comme si
 rien n'etait la.

Si tu le dis, je veux bien te croire. Ce qui m'inquiète c'est les sites
hébergés sur 10 IP différentes. Pour prendre un exemple, j'ai rejoint un
groupe facebook pour dénoncer l'existence d'un site pedophile,
ciarra-model.com et voilà ce que donne un petit coup d'oeil du côté
résolution DNS : $ host ciarra-model.com
ciarra-model.com has address 38.99.170.144
ciarra-model.com has address 38.99.170.141
ciarra-model.com has address 64.120.147.215
ciarra-model.com has address 64.120.147.217
ciarra-model.com has address 38.99.170.142
ciarra-model.com has address 38.99.170.143
ciarra-model.com has address 64.120.147.216
ciarra-model.com has address 64.120.147.214
ciarra-model.com mail is handled by 10 mail.ciarra-model.com.

Voilà pourquoi j'ai un peu peur que les tables BGP explosent si d'autres
sites utilisant autant d'adresses IP différentes devaient être
blacklistés.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] probleme de routage avec free

2009-11-22 Par sujet Julien Reveret 
On Fri, Nov 20, 2009 at 10:48:51PM +0100, Jerome Benoit wrote:
 
 Prenons le cas de Juniper (une des poupées russes) qui fait un JunOS à
 base de FreeBSD et qui a du améliorer grandement les algos de la FIB,
 RIB du FreeBSD (je suis même pas sur qu'il fasse çà en kernel space).
 Cette boite n'aurait jamais pu voir le jour aussi facilement sans
 FreeBSD, sans l'IETF. Ils font de l'ingénierie pas de la recherche
 (enfin pas bcp de recherche). J'ai déjà exposé ce point de vue ici je
 crois (je vieilli et je radote on dirait ;-)). Juniper a parfaitement
 le droit de faire ce qu'ils font et de tailler des croupières à Cisco
 et pour ce qu'il m'importe, un peu de compétition sur
 l'ingénierie de commutation IP ne fait pas de mal :)
 Bref, Juniper existe que parce que le noyau BSD a été fait et de la
 commutation IP est libre de droit. 

Tu oublies de préciser que Juniper a donné du code pour FreeBSD. Dès que la
propriété intellectuelle le leur a permis, ils ont donné du code pour MIPS 64
bits.
Alors oui, ils ont bien profité, mais ils jouent le jeu. Et comme Thomas l'a
fait remarquer, si FreeBSD n'avait pas existé, ils auraient pris autre chose.

Ah les salauds de capitalistes !
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Des petits malins chez SFR ?

2009-11-19 Par sujet Julien Reveret 
Bonjour à tous,

Je viens de voir ce midi sur pcinpact un article marrant, une nouvelle
offre faite par SFR, la femtocell. Voici l'URL :
http://www.pcinpact.com/actu/news/54193-sfr-femtocell-3g-couverture-home.htm

Je trouve ça très habile de leur part : augmenter la couverture 3G sans
avoir à déployer de nouvelles antennes ni à augmenter la capacité de leur
backbone 3G (le client de la femtocell passe par sa connexion adsl). C'est
le client qui décide d'installer l'antenne relais chez lui et de la
brancher sur sa box.

Je trouve ça relavitement malin de leur part et je me suis posé la
question : pourquoi personne ne l'a fait avant ? Pb législatif ? Le
spectre 3G est à 2.1GHz donc un particulier ne doit pas émettre à cette
fréquence, mais bon, si c'est vraiment une femtocell, il y a peu de
risque...

On verra ce que Free sortira s'ils ont leur licence 3G :)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] probleme de routage avec free

2009-11-10 Par sujet Julien Reveret 
On Tue, Nov 10, 2009 at 01:17:30AM +0100, Romain wrote:
 
 Au risque d'ajouter un peu de bordel sur FRNOG :
 
 Je suis simple abonné free et chercheur en informatique. Je m'intéresse
 à mon petit niveau à la neutralité du réseau. Les positions de Rami Assaf
 sur ce sujet me font froid dans le dos.
 
 D'après ce que je comprends : je n'ai plus accès chez moi à internet mais à
 une sous partie du réseau et pour free c'est parfaitement justifié. Il parait
 que le client est roi alors je demande toujours : svp ne prenez pas de 
 décisions
 pour moi je trouverai des outils sur mon petit ordinateur pour me prémunir du
 fishing ! :)
 

Free te donne un acc�s � Internet. Ils ont blackhol� une IP que tu ne
contacteras (probablement) jamais. Pourquoi ? Comme l'a d�j� dit quelqu'un, pour
pr�server ses abonn�s. Et tu nous dis que tu peux te pr�munir tout seul, ce qui
est vrai, mais tu es comme nous, tu fais parti des 1% de geeks, pas des 99% de
M. et Mme Michu.
Apr�s on peut consid�rer �a comme une violation de la neutralit� mais moi je
trouve �a totalement justifi�. 

Personne n'a �voqu� cet aspect il me semble, mais quand un client se fait
hamme�onner, il contacte peut �tre la hotline de free pour se plaindre ? Ca fait
perdre du temps (donc de l'argent) � Free ? Ils prennent donc des mesures pour
perdre le moins de temps possible. C'est une frappe chirurgicale qui a eu des
dommages collateraux ;)


PS: je me demande si l'auteur du post original se doutait de ce qu'il allait
d�clencher ? :)
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] probleme de routage avec free

2009-11-09 Par sujet Julien Reveret 
 Les cas de cybersquatting, typo et phishing sont maintenant monnaie
courante
 mais tous ces sites sont à la base issus d'un nom de domaine.

 Pourquoi free ne fait un report au registrar du domaine? ou bloquerait
la
 resolution DNS?
 Parce que l'auteur du phishing en enregistrera un autre et recommencera son
 pishing?
 oui certes, mais c'est tout aussi delirant de penser qu'il ne peut pas
se
 faire heberger chez un autre hebergeur.

La différence technique est très simple si on y réfléchit. Si le registrar
bloque le domaine (c'est un gros si), l'auteur du site de phishing s'en
rendra compte de suite ou presque. Il prendra effectivement des mesures
pour déplacer son domaine ailleurs.

Si un FAI dans le monde bloque les requetes de ses abonnés vers l'IP du
site, alors pour le détecter, la personne malveillante doit faire un
traceroute depuis la machine d'un abonné du FAI en question. C'est
beaucoup de travail pour un site de phishing, non ?

De plus dans le second cas, pas besoin de parlementer avec le registrar,
le FAI décide tout seul de l'action à prendre, c'est plus rapide. Et si en
plus il prévient l'hébergeur, alors une action peut être prise par de
dernier pour virer le méchant qui ira se faire hoster par un hébergeur
bullet proof.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Les problèmes de congestion du réseau mobile d'ATT

2009-10-26 Par sujet Julien Reveret 
Bonjour à tous,

Certains d'entre vous lisent probablement slashdot tout comme moi mais
pour les autres, voici une raison avancée pour les problèmes de congestion
dont ATT souffre en ce moment aux USA.
Pour rappel, les abonnés iPhone d'ATT représente 3% du total et leur
traffic est à 40%. Il y a déjà eu un (long) thread sur cette liste, le but
n'est pas de raviver le troll On fournit un service et on a pas la capa
derrière, on est lundi ;)

En plus ça permettra à tout le monde de revoir un peu les bases de TCP et
de revoir les noms d'équipements de réseaux 2G/3G.

Le blog en question :
http://blogs.broughturner.com/2009/10/is-att-wireless-data-congestion-selfinflicted.html

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Transit Ipv6

2009-10-22 Par sujet Julien Reveret 
 Salut tous,

 vous le savez surement hurricane electric fournit aux peers qui
 l'acceptent le Transit Ipv6.

 je pense que cela est dans l'interet général de suivre le mouvement et
 de ré-annoncer le transit à vos peers qui l'accepteraient aussi sur les
 différents Gix où vous êtes présents et qui permettent de le faire.


D'ailleurs une question me vient, je ne suis pas très habitué des règles
sur les différents IX, mais quand il est dit revente de transit
interdite, l'interdiction porte sur du transit ipv4 ? ipv6 ? les deux ?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [FRnOG] Facturation au débit ?

2009-10-20 Par sujet Julien Reveret 
 Spyou a écrit :

 Sauf erreur, on trouve encore des FAI qui vendent de l'accès internet,
et rien que de l'accès internet .. Non ?

 Oui, je suis chez Neuf / SFR avec juste de l'Internet, sans téléphone ni
TV.

 Juste pour éclairer le débat, j'ai une maison à la campagne, à moins
d'une
 heure de Lyon, mais qui n'aura jamais plus de 512/64 kb/s : la seule
offre
 est Wanadoo en ReADSL, parce que la maison est perdue au bout d'un
chemin,
 avec des lignes téléphoniques aériennes, à 1 km du hameau le plus proche et
 7 km du DSLAM de la bourgade voisine. (*)


Tu as choisi ton cadre de vie, si tu veux une connexion ADSL de 20Mbits/s,
tu déménages en ville avec les inconvénients qu'il y a. On ne peut pas
avoir le beurre et l'argent du beurre pour reprendre l'analogie laitière
que tu sembles apprécier.

 Toute l'infra est là et je devrais payer 30 euros par mois pour ce débit
misérable ?

Connais-tu les problématiques d'opérateurs en zone blanche (ou quasi
blanche) ? J'ai bossé pour un opérateur de ce type et je peux te dire que
30 euros/mois pour ce débit misérable, c'est ce qui leur permet de
vivre, pas de s'engraisser.

 Pour le coup c'est moi qui serais alors victime de la péréquation, et
qui
 subventionnerait les abonnés Wanadoo fibrés en centre ville !

 Donc oui à la baisse de prix sur les bouteilles de lait aux 3/4 vides
:-)


Comme le faisait très bien remarquer François Petillon, tu fais l'amalgame
entre un bien et un service. Je suis tout à fait d'accord avec sa remarque
sur le fait qu'un abonné qui coûte cher c'est un abonné qui utilise sa
ligne, pas forcément un abonné qui a débit plus élevé.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] mail-archive.com - oui ou non

2009-09-24 Par sujet Julien Reveret 
 Bonjour
 Un petit debat a demarre sur irc relate a frnog et mail-archive.com ...
 Visiblement la liste a ete rajoutee la bas le 13 fevrier...

 Est-ce une bonne idee de se retrouver sur google  ?


Je me suis abonné cette semaine mais j'ai commencé à suivre la liste il
y a quelques mois grâce à mail-archive.com, d'ailleurs il y a un lien
direct depuis frnog.org alors je serais tenté de dire qu'il s'agit d'une
décision prise par le(s) responsable(s) de frnog.org ?
De plus si je n'avais pas eu les archives, je n'aurais probablement jamais
pu estimer le niveau de la liste avant de décider de m'y abonner, pour moi
c'est une bonne chose.

My 2 cents

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] AS/Structure dont les but sont manifestement douteux

2009-09-22 Par sujet Julien Reveret 
 On Tue, 22 Sep 2009 20:06:37 +0200
 Raphael Bouaziz rap...@noemie.org wrote:
|
| Etre un réseau adoptant une politique de neutralité sur Internet,
| cela signifie n'appliquer aucun filtre ou traitement spécifique en
| fonction de ce qu'on transporte.
 [...]
|  - pensez vous qu'il faille fair quelque chose contre ce type de
 malfaisant ?
|
| Chez un FAI ayant pour but de fournir de l'accès full IP (tiens ce
| terme ne se voit plus dans les publicités depuis bien longtemps) :
 NON.
 [...]

 Je me plaçait dans le cadre effectivement d'un
 FAI/transitaire/intermédiaire
 technique en ayant en tête le cas McColo pour lequel la plupart des
 personnes
 du milieu semblaient applaudir des 2 mains (détrompez moi le cas
 échéant).

Sauf que McColo s'est vu couper sa connectivite par ses transitaires
directs, pas par tout Internet, enfin je crois. Tu n'es pas transitaire du
site suedois dont tu parles ?


 Ca n'a évidement pas trop d'intérêt général de les nullrouter dans
 son
 coin sauf au niveau end-user ou en tant que service facultatif au
 end-user.

 L'idée n'était pas non plus d'avancer la voie d'un internet 'moral' mais
 plutôt de considérer que ce genre de boites (a considérer qu'elle
 fournit ses
 services en connaissance de cause sur ce cas précis ou un cas similaire)
 participe activement au spam a grande échelle et par voie de conséquence
 à un
 impact notamment technique.
 C'est cet impact qui me semble intéressant pas le coté moral de la
 chose: que
 des gens achètent des médocs sur internet, aillent consulter des sites
 révisionnistes ou autres n'est pas mon problème en soit (à moins que
 ça leur
 donne des envie d'aller tripoter des petites filles ou de déclencher la
 Xeme
 guerre mondiale évidement).


Oui enfin pour McColo on connait la suite et le spam a repris depuis. Ce
n'est donc pas une solution. Et comme je l'ai deja fait remarquer, des
hebergeurs bulletproof ca se trouve ...

 Sur le Full IP, c'est has-been, maintenant on a l'internet avec 0range
 (oh
 désespoir).


Encore mieux, on a la 3G !


---
Liste de diffusion du FRnOG
http://www.frnog.org/