Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?

[David Ponzone]

Michel,

Je te préviens ici car je peux plus te faire de mail :)

Delivery to the following recipient failed permanently:

mic...@arneill-py.sacramento.ca.us

Technical details of permanent failure: 
Google tried to deliver your message, but it was rejected by the server for the 
recipient domain arneill-py.sacramento.ca.us by arneill-py.sacramento.ca.us. 
[50.1.8.254].

The error that the other server returned was:
550 5.7.1 Recipient not authorized, your IP has been found on a block list

Je crois que t'as blacklisté Gmail.
Bon, ça se défend hein...

David Ponzone



> Le 21 janv. 2016 à 04:42, Michel Py  a 
> écrit :
> 
> Bonjour à tous,
> 
> Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille 
> bash / python en beta-test pour en faire une "vraie" app : les préfixes dans 
> une base de données sqlite3 avec des dates. Et des communautés BGP séparées, 
> par demande populaire.
> 
> La question du jour : quand un { zombie | abruti | mec avec des gros doigts | 
> hacker } essaie un telnet en root sur mon IP, çà rentre dans la moulinette au 
> premier essai. Pour combien de temps ? 24 h ?
> 
> Michel
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?

[Dominique Rousseau]

Le Thu, Jan 21, 2016 at 01:11:00PM +0100, Pierre Colombier 
[pcdw...@pcdwarf.net] a écrit:
> Euh, je trouve que le fail2ban à 3 tentatives en 1 heure, c'est un
> coup à se bloquer soi-même et à avoir des effets indésirables.
> (je fait partie des utilisateurs à gros doigts)
> Mais il y a aussi le problème des 50 usagers derrière un nat. ça
> serait même étonnant qu'il n'y ait pas 3 échecs le matin quand tout
> le monde se log.

C'est pour ca que y'a une liste blanche dans la configuration de
fail2ban :)
( -> ignoreip )


-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
21 rue Frédéric Petit - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?

[David Ponzone]

Entièrement d’accord avec toi. Le fail2ban, c’est surtout pour arrêter d’avoir 
de la merde dans les logs.
Pour les gros doits de l’admin, y a ignoreip :)

> Le 21 janv. 2016 à 13:11, Pierre Colombier  a écrit :
> 
> Euh, je trouve que le fail2ban à 3 tentatives en 1 heure, c'est un coup à se 
> bloquer soi-même et à avoir des effets indésirables.
> (je fait partie des utilisateurs à gros doigts)
> Mais il y a aussi le problème des 50 usagers derrière un nat. ça serait même 
> étonnant qu'il n'y ait pas 3 échecs le matin quand tout le monde se log.
> 
> Mais surtout, je ne saisis pas la pertinence en termes de sécurité :
> 
> Pour commencer, si le mot de passe est bidon, c'est pas le fail2ban qui te 
> protègera, quelque soit le seuil.
> 
> Un utilisateur "normal" ne t'emmerde pas, même si il fait 50 tentatives en 10 
> minutes.
> Mais si tu le bloque une semaine, cet utilisateur va venir t'emmerder pour se 
> faire débloquer.
> Et si cet utilisateur c'est toi, t'es quand même rudement emmerdé.
> 
> L'autre souci avec des ban longs et des seuils bas, c'est que tu va te 
> traîner des tables de ban assez volumineuses alors que l'attaque a cessé très 
> peu de temps après le blocage. Un firewall avec trop de règles, ça pose aussi 
> des problèmes de perf.
> 
> Le bruteforceur va de toute façon faire exploser les compteurs. Ce qui 
> compte, c'est avant tout d'empecher le déni de service.
> Personnellement j'emploie ça
> 
> - 10 echecs en moins d'une minute : Possible DoS : ban 5 minutes. (et en même 
> temps ça fait réfléchir l'utilisateur étourdi)
> - 50 echecs en moins d'une heure : on est a peu près sur de ne pas avoir 
> affaire a un humain et ban pendant 1 heure.
>   Si l'attaquant s'obstine, il sera re banis... à ce rythme là, si le mot de 
> passe n'est pas trop bidon ça peut tenir des siècles...
> - 500 échecs en moins de 24H : On est dans le cas d'un attaquant qui 
> s'obstine ou qui joue avec les seuils de détection => ban 8 jours.
> 
> 
> 
> On 21/01/2016 07:44, David Ponzone wrote:
>> Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h.
>> 
>> David Ponzone
>> 
>> 
>> 
>>> Le 21 janv. 2016 à 04:42, Michel Py  a 
>>> écrit :
>>> 
>>> Bonjour à tous,
>>> 
>>> Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille 
>>> bash / python en beta-test pour en faire une "vraie" app : les préfixes 
>>> dans une base de données sqlite3 avec des dates. Et des communautés BGP 
>>> séparées, par demande populaire.
>>> 
>>> La question du jour : quand un { zombie | abruti | mec avec des gros doigts 
>>> | hacker } essaie un telnet en root sur mon IP, çà rentre dans la 
>>> moulinette au premier essai. Pour combien de temps ? 24 h ?
>>> 
>>> Michel
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?

[Pierre Colombier]

Euh, je trouve que le fail2ban à 3 tentatives en 1 heure, c'est un coup 
à se bloquer soi-même et à avoir des effets indésirables.

(je fait partie des utilisateurs à gros doigts)
Mais il y a aussi le problème des 50 usagers derrière un nat. ça serait 
même étonnant qu'il n'y ait pas 3 échecs le matin quand tout le monde se 
log.


Mais surtout, je ne saisis pas la pertinence en termes de sécurité :

Pour commencer, si le mot de passe est bidon, c'est pas le fail2ban qui 
te protègera, quelque soit le seuil.


Un utilisateur "normal" ne t'emmerde pas, même si il fait 50 tentatives 
en 10 minutes.
Mais si tu le bloque une semaine, cet utilisateur va venir t'emmerder 
pour se faire débloquer.

Et si cet utilisateur c'est toi, t'es quand même rudement emmerdé.

L'autre souci avec des ban longs et des seuils bas, c'est que tu va te 
traîner des tables de ban assez volumineuses alors que l'attaque a cessé 
très peu de temps après le blocage. Un firewall avec trop de règles, ça 
pose aussi des problèmes de perf.


Le bruteforceur va de toute façon faire exploser les compteurs. Ce qui 
compte, c'est avant tout d'empecher le déni de service.

Personnellement j'emploie ça

- 10 echecs en moins d'une minute : Possible DoS : ban 5 minutes. (et en 
même temps ça fait réfléchir l'utilisateur étourdi)
- 50 echecs en moins d'une heure : on est a peu près sur de ne pas avoir 
affaire a un humain et ban pendant 1 heure.
   Si l'attaquant s'obstine, il sera re banis... à ce rythme là, si le 
mot de passe n'est pas trop bidon ça peut tenir des siècles...
- 500 échecs en moins de 24H : On est dans le cas d'un attaquant qui 
s'obstine ou qui joue avec les seuils de détection => ban 8 jours.




On 21/01/2016 07:44, David Ponzone wrote:

Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h.

David Ponzone




Le 21 janv. 2016 à 04:42, Michel Py  a 
écrit :

Bonjour à tous,

Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille bash / python 
en beta-test pour en faire une "vraie" app : les préfixes dans une base de 
données sqlite3 avec des dates. Et des communautés BGP séparées, par demande populaire.

La question du jour : quand un { zombie | abruti | mec avec des gros doigts | 
hacker } essaie un telnet en root sur mon IP, çà rentre dans la moulinette au 
premier essai. Pour combien de temps ? 24 h ?

Michel


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?

[Edouard Chamillard]

pareil, j'utilise des bans exponentiels. premier ban -> drop une heure.
si ça recommence 6h apres la fin de la premiere periode -> une semaine.
si ça recommence dans les six semaines apres la fin de la seconde -> un an.


On 01/21/2016 07:44 AM, David Ponzone wrote:
> Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h.
>
> David Ponzone
>
>
>
>> Le 21 janv. 2016 à 04:42, Michel Py  a 
>> écrit :
>>
>> Bonjour à tous,
>>
>> Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille 
>> bash / python en beta-test pour en faire une "vraie" app : les préfixes dans 
>> une base de données sqlite3 avec des dates. Et des communautés BGP séparées, 
>> par demande populaire.
>>
>> La question du jour : quand un { zombie | abruti | mec avec des gros doigts 
>> | hacker } essaie un telnet en root sur mon IP, çà rentre dans la moulinette 
>> au premier essai. Pour combien de temps ? 24 h ?
>>
>> Michel
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?

[Edouard Chamillard]

: host
arneill-py.sacramento.ca.us[50.1.8.254] said: 550 5.7.1 Recipient not
authorized, your IP has been found on a block list (in reply to RCPT TO
command)

promis c'est pas moi le vilain qui essaie de telnet en root ;)

On 01/21/2016 10:10 AM, Edouard Chamillard wrote:
> pareil, j'utilise des bans exponentiels. premier ban -> drop une heure.
> si ça recommence 6h apres la fin de la premiere periode -> une semaine.
> si ça recommence dans les six semaines apres la fin de la seconde -> un an.
>
>
> On 01/21/2016 07:44 AM, David Ponzone wrote:
>> Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h.
>>
>> David Ponzone
>>
>>
>>
>>> Le 21 janv. 2016 à 04:42, Michel Py  a 
>>> écrit :
>>>
>>> Bonjour à tous,
>>>
>>> Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille 
>>> bash / python en beta-test pour en faire une "vraie" app : les préfixes 
>>> dans une base de données sqlite3 avec des dates. Et des communautés BGP 
>>> séparées, par demande populaire.
>>>
>>> La question du jour : quand un { zombie | abruti | mec avec des gros doigts 
>>> | hacker } essaie un telnet en root sur mon IP, çà rentre dans la 
>>> moulinette au premier essai. Pour combien de temps ? 24 h ?
>>>
>>> Michel
>>>
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?

[Michel Py]

Merci à tous pour les retours,

L'avantage de faire çà avec un feed BGP au lieu de { fail2ban | snort | 
suricata } c'est que c'est facile à redistribuer en temps réel. Pas besoin 
d'attendre que çà se retrouve dans les rules.


> Pierre Colombier a écrit :
> Euh, je trouve que le fail2ban à 3 tentatives en 1 heure, c'est un coup à se 
> bloquer soi-même
> et à avoir des effets indésirables. (je fait partie des utilisateurs à gros 
> doigts)

Sauf que je ne me sers jamais de telnet pour me logger en root.

> Mais il y a aussi le problème des 50 usagers derrière un nat. ça serait même 
> étonnant
> qu'il n'y ait pas 3 échecs le matin quand tout le monde se log.

Pareil : pas sur mon routeur, et pas en root.


> Edouard Chamillard a écrit :
> arneill-py.sacramento.ca.us[50.1.8.254] said: 550 5.7.1 Recipient not 
> authorized,
> your IP has been found on a block list (in reply to RCPT TO command)

Ah, la lute contre le spam, le quotidien de bien des lecteurs, dont on se 
passerait volontiers.

C'est quoi l'IP de laquelle tu venais ?
Je vérifie mon IP tout le temps ici: http://mxtoolbox.com/blacklists.aspx
Je viens de vérifier les trois IP qui étaient dans le header SMTP ( 
217.24.82.4, 87.98.174.144, 213.186.33.56 ) et elles étaient vertes toutes les 
trois.
Pour le spam j'utilise 5 listes (commentaires bienvenus) :

zen.spamhaus.org
dnsbl.sorbs.net
bl.spamcop.net
truncate.gbudb.net
spamsources.fabel.dk

Et en plus de çà Symantec Mail Security for Exchange (liste propriétaire et 
payante)

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?

[David Ponzone]

Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h.

David Ponzone



> Le 21 janv. 2016 à 04:42, Michel Py  a 
> écrit :
> 
> Bonjour à tous,
> 
> Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille 
> bash / python en beta-test pour en faire une "vraie" app : les préfixes dans 
> une base de données sqlite3 avec des dates. Et des communautés BGP séparées, 
> par demande populaire.
> 
> La question du jour : quand un { zombie | abruti | mec avec des gros doigts | 
> hacker } essaie un telnet en root sur mon IP, çà rentre dans la moulinette au 
> premier essai. Pour combien de temps ? 24 h ?
> 
> Michel
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Edouard Chamillard]

en général, quand perceval et karadoc disent n'importe quoi, arthur
prend un peu de son royal temps pour leur expliquer par A+B a quel point
ils ont tort, au lieu de condescer (souffre jean d'ormesson, maintenant
c'est un mot) comme un goret.

Le 07/01/2016 23:42, Raphaël Stehli a écrit :
> Bonsoir la liste,
>
> Je lis ces échanges depuis le début. C'était assez récréatif. On dirait
> par moment Perceval et Karadoc avec du céleri.
>
> Par contre, sur le delirium juridique, je pense qu'il faudrait que vous
> vous arrêtiez là, sauf si vous voulez transformer la liste en équivalent
> de doctissimo, version juridique.
>
> Bonne soirée,
> Raphaël
>
>
>
>
> Le 07/01/2016 19:31, frnog.kap...@antichef.net a écrit :
>> On jeudi 7 janvier 2016 11:26:26 CET Sylvain Vallerot - sylv...@gixe.net 
>> wrote:
>>> On 07/01/2016 10:38, frnog.kap...@antichef.net wrote:
 On mercredi 6 janvier 2016 23:01:22 CET Sylvain Vallerot -
 sylv...@gixe.net

 wrote:
> On 06/01/2016 13:19, David Ponzone wrote:
>>> je vois pas comment l'article 1384 pourrait s'appliquer ici.
> A l'inverse je ne vois pas pourquoi il ne pourrait pas...
> (sans porter de jugement sur la pertinence éthique de le faire ou non)
 Par curiosité explique nous quand, comment et pourquoi il pourrait
 s'appliquer selon toi.
>>> Je ne ferai probablement pas mieux que ça :
>>> https://fr.wikipedia.org/wiki/Responsabilit%C3%A9_du_fait_des_choses_en_droi
>>> t_civil_fran%C3%A7ais
>>>
>>> Notamment : le garde/gardien de la chose (notion centrale), présumé tel sauf
>>> quelques cas prévu (comme le fait de démontrer qu'un tiers s'est emparé de
>>> l'usage), impliqué dans le comportement de la chose (fonctionnement non
>>> sécurisé) donc responsable du dommage causé.
>> Il va falloir m'excuser, mais ça reste très flou pour moi.  Une simple 
>> référence à un passage de l'article wikipédia, que j'avais lu intégralement 
>> avant de poser ma question, ne m'aide pas à y voir plus clair
>>
>> Pourrais tu préciser un peu plus ?
>>
>> Pour commencer, de quel dommage parle t'on qui puisse faire jouer la 
>> responsabilité civile ? Ensuite quelle chose parle t'on ? Le titulaire de la 
>> connexion  a t'il l’usage, la direction et le contrôle de cette chose au 
>> moment des faits incriminés ? 
>>
>>
>>> Intéressant : la notion de culpabilité ne semble même pas évoquée dans cette
>>> page.
>> Je ne suis pas juriste alors je vais probablement dire une énormité, mais la 
>> culpabilité n'est elle pas une notion de droit pénal ?
>>
>>> Mais aussi un élément intéressant ici c'est le cas du défaut intrinsèque à
>>> la chose, je pense à un routeur qui se fait trouer, et où la responsabilité
>>> peut devenir celle du fabricant. Idem peut-être pour le bug exploité. Dans
>>> ces cas les clauses contractuelles et les licences logicielles peuvent
>>> peut-être jouer (je pense aux licences libres qui disent "utiliser à vos
>>> risques et périls").
>>>
>>> Cordialement,
>>> Sylvain
>>>
>>> --
>>> Gixe  - Association 1901  - conseil, hébergement, opérateur pour tous
>>> SIREN 450 404 769-   http://www.gixe.net-cont...@gixe.net
>>> venez nous voir sur IRC geeknode #gixe - tél: 0950315474 - 0686383868
>>>
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [Tech] Le pare-feu du geek barbu

[frnog . kapush]

On jeudi 7 janvier 2016 23:42:04 CET Raphaël Stehli - 
experti...@raphael.stehli.fr wrote:
> Bonsoir la liste,
> 
> Je lis ces échanges depuis le début. C'était assez récréatif. On dirait
> par moment Perceval et Karadoc avec du céleri.
> 
> Par contre, sur le delirium juridique, je pense qu'il faudrait que vous
> vous arrêtiez là, sauf si vous voulez transformer la liste en équivalent
> de doctissimo, version juridique.
> 
> Bonne soirée,
> Raphaël

Bonjour Raphaël,

merci de ton intervention, si tu as les connaissances juridiques n'hésite pas 
à les partager avec nous. Je t'en serais reconnaissant à la fois pour ma 
culture personnelle et ça me sera utile quand je dois répondre aux 
questionnements des abonnés.

Si c'est juste pour ajouter du bruit dans la discussion, comme tu viens de le 
faire je pense que tu peux t'abstenir. Quitte à prendre de ton temps pour 
intervenir, pourquoi ne pas faire en sorte que ça apporte quelque chose ?

Mes quelques maigres connaissances juridiques, je les ai acquises sur le tas 
par la force des choses, et comme je ne suis pas juriste et ne compte pas 
retourner aux études pour le devenir, il ne semble pas idiots d'échanger sur 
le sujet avec d'autres personnes impliquées dans le même domaine professionnel 
pour essayer d'y voir plus clair dans le flou juridique actuel.

Cordialement






---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Raphaël Stehli]

Bonsoir la liste,

Je lis ces échanges depuis le début. C'était assez récréatif. On dirait
par moment Perceval et Karadoc avec du céleri.

Par contre, sur le delirium juridique, je pense qu'il faudrait que vous
vous arrêtiez là, sauf si vous voulez transformer la liste en équivalent
de doctissimo, version juridique.

Bonne soirée,
Raphaël




Le 07/01/2016 19:31, frnog.kap...@antichef.net a écrit :
> On jeudi 7 janvier 2016 11:26:26 CET Sylvain Vallerot - sylv...@gixe.net 
> wrote:
>> On 07/01/2016 10:38, frnog.kap...@antichef.net wrote:
>>> On mercredi 6 janvier 2016 23:01:22 CET Sylvain Vallerot -
>>> sylv...@gixe.net
>>>
>>> wrote:
 On 06/01/2016 13:19, David Ponzone wrote:
>> je vois pas comment l'article 1384 pourrait s'appliquer ici.

 A l'inverse je ne vois pas pourquoi il ne pourrait pas...
 (sans porter de jugement sur la pertinence éthique de le faire ou non)
>>>
>>> Par curiosité explique nous quand, comment et pourquoi il pourrait
>>> s'appliquer selon toi.
>>
>> Je ne ferai probablement pas mieux que ça :
>> https://fr.wikipedia.org/wiki/Responsabilit%C3%A9_du_fait_des_choses_en_droi
>> t_civil_fran%C3%A7ais
>>
>> Notamment : le garde/gardien de la chose (notion centrale), présumé tel sauf
>> quelques cas prévu (comme le fait de démontrer qu'un tiers s'est emparé de
>> l'usage), impliqué dans le comportement de la chose (fonctionnement non
>> sécurisé) donc responsable du dommage causé.
> 
> Il va falloir m'excuser, mais ça reste très flou pour moi.  Une simple 
> référence à un passage de l'article wikipédia, que j'avais lu intégralement 
> avant de poser ma question, ne m'aide pas à y voir plus clair
> 
> Pourrais tu préciser un peu plus ?
> 
> Pour commencer, de quel dommage parle t'on qui puisse faire jouer la 
> responsabilité civile ? Ensuite quelle chose parle t'on ? Le titulaire de la 
> connexion  a t'il l’usage, la direction et le contrôle de cette chose au 
> moment des faits incriminés ? 
> 
> 
>> Intéressant : la notion de culpabilité ne semble même pas évoquée dans cette
>> page.
> 
> Je ne suis pas juriste alors je vais probablement dire une énormité, mais la 
> culpabilité n'est elle pas une notion de droit pénal ?
> 
>> Mais aussi un élément intéressant ici c'est le cas du défaut intrinsèque à
>> la chose, je pense à un routeur qui se fait trouer, et où la responsabilité
>> peut devenir celle du fabricant. Idem peut-être pour le bug exploité. Dans
>> ces cas les clauses contractuelles et les licences logicielles peuvent
>> peut-être jouer (je pense aux licences libres qui disent "utiliser à vos
>> risques et périls").
>>
>> Cordialement,
>> Sylvain
>>
>> --
>> Gixe  - Association 1901  - conseil, hébergement, opérateur pour tous
>> SIREN 450 404 769-   http://www.gixe.net-cont...@gixe.net
>> venez nous voir sur IRC geeknode #gixe - tél: 0950315474 - 0686383868
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


-- 
Raphaël Stehli
Expert judiciaire en informatique,
Chargé d'enseignement à l'Université de Strasbourg,
Lieutenant (RC)(T) - Etat Major des Armées / Réserve Cyberdéfense


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Sylvain Vallerot]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA256



On 07/01/2016 10:38, frnog.kap...@antichef.net wrote:
> On mercredi 6 janvier 2016 23:01:22 CET Sylvain Vallerot - sylv...@gixe.net 
> wrote:
>> On 06/01/2016 13:19, David Ponzone wrote:
 je vois pas comment l'article 1384 pourrait s'appliquer ici.
>>
>> A l'inverse je ne vois pas pourquoi il ne pourrait pas...
>> (sans porter de jugement sur la pertinence éthique de le faire ou non)
> 
> Par curiosité explique nous quand, comment et pourquoi il pourrait 
> s'appliquer 
> selon toi.

Je ne ferai probablement pas mieux que ça : 
https://fr.wikipedia.org/wiki/Responsabilit%C3%A9_du_fait_des_choses_en_droit_civil_fran%C3%A7ais

Notamment : le garde/gardien de la chose (notion centrale), présumé tel sauf
quelques cas prévu (comme le fait de démontrer qu'un tiers s'est emparé de 
l'usage), impliqué dans le comportement de la chose (fonctionnement non 
sécurisé)
donc responsable du dommage causé.

Intéressant : la notion de culpabilité ne semble même pas évoquée dans cette
page.

Mais aussi un élément intéressant ici c'est le cas du défaut intrinsèque à la
chose, je pense à un routeur qui se fait trouer, et où la responsabilité peut
devenir celle du fabricant. Idem peut-être pour le bug exploité. Dans ces cas
les clauses contractuelles et les licences logicielles peuvent peut-être jouer
(je pense aux licences libres qui disent "utiliser à vos risques et périls").

Cordialement,
Sylvain

- -- 
Gixe  - Association 1901  - conseil, hébergement, opérateur pour tous
SIREN 450 404 769-   http://www.gixe.net-cont...@gixe.net
venez nous voir sur IRC geeknode #gixe - tél: 0950315474 - 0686383868
-BEGIN PGP SIGNATURE-
Version: GnuPG v1

iF4EAREIAAYFAlaOPVIACgkQJBGsD8mtnRFaLgD+OA8bv00o7BFuhdwP4YfcEVA5
uJ8tUrNO7A3viFyZBkIA/RRcBq5bZcZEVM3AL+DyNF//9+tyaMSBqlF7PTmLbXPP
=UF4Y
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[frnog . kapush]

On mercredi 6 janvier 2016 23:01:22 CET Sylvain Vallerot - sylv...@gixe.net 
wrote:
> On 06/01/2016 13:19, David Ponzone wrote:
> >> je vois pas comment l'article 1384 pourrait s'appliquer ici.
> 
> A l'inverse je ne vois pas pourquoi il ne pourrait pas...
> (sans porter de jugement sur la pertinence éthique de le faire ou non)

Par curiosité explique nous quand, comment et pourquoi il pourrait s'appliquer 
selon toi.

> Cordialement,
> S. Vallerot
> 
> --
> Gixe  - Association 1901  - conseil, hébergement, opérateur pour tous
> SIREN 450 404 769-   http://www.gixe.net-cont...@gixe.net
> venez nous voir sur IRC geeknode #gixe - tél: 0950315474 - 0686383868
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[frnog . kapush]

On jeudi 7 janvier 2016 11:26:26 CET Sylvain Vallerot - sylv...@gixe.net 
wrote:
> On 07/01/2016 10:38, frnog.kap...@antichef.net wrote:
> > On mercredi 6 janvier 2016 23:01:22 CET Sylvain Vallerot -
> > sylv...@gixe.net
> > 
> > wrote:
> >> On 06/01/2016 13:19, David Ponzone wrote:
>  je vois pas comment l'article 1384 pourrait s'appliquer ici.
> >> 
> >> A l'inverse je ne vois pas pourquoi il ne pourrait pas...
> >> (sans porter de jugement sur la pertinence éthique de le faire ou non)
> > 
> > Par curiosité explique nous quand, comment et pourquoi il pourrait
> > s'appliquer selon toi.
> 
> Je ne ferai probablement pas mieux que ça :
> https://fr.wikipedia.org/wiki/Responsabilit%C3%A9_du_fait_des_choses_en_droi
> t_civil_fran%C3%A7ais
> 
> Notamment : le garde/gardien de la chose (notion centrale), présumé tel sauf
> quelques cas prévu (comme le fait de démontrer qu'un tiers s'est emparé de
> l'usage), impliqué dans le comportement de la chose (fonctionnement non
> sécurisé) donc responsable du dommage causé.

Il va falloir m'excuser, mais ça reste très flou pour moi.  Une simple 
référence à un passage de l'article wikipédia, que j'avais lu intégralement 
avant de poser ma question, ne m'aide pas à y voir plus clair

Pourrais tu préciser un peu plus ?

Pour commencer, de quel dommage parle t'on qui puisse faire jouer la 
responsabilité civile ? Ensuite quelle chose parle t'on ? Le titulaire de la 
connexion  a t'il l’usage, la direction et le contrôle de cette chose au 
moment des faits incriminés ? 


> Intéressant : la notion de culpabilité ne semble même pas évoquée dans cette
> page.

Je ne suis pas juriste alors je vais probablement dire une énormité, mais la 
culpabilité n'est elle pas une notion de droit pénal ?

> Mais aussi un élément intéressant ici c'est le cas du défaut intrinsèque à
> la chose, je pense à un routeur qui se fait trouer, et où la responsabilité
> peut devenir celle du fabricant. Idem peut-être pour le bug exploité. Dans
> ces cas les clauses contractuelles et les licences logicielles peuvent
> peut-être jouer (je pense aux licences libres qui disent "utiliser à vos
> risques et périls").
> 
> Cordialement,
> Sylvain
> 
> --
> Gixe  - Association 1901  - conseil, hébergement, opérateur pour tous
> SIREN 450 404 769-   http://www.gixe.net-cont...@gixe.net
> venez nous voir sur IRC geeknode #gixe - tél: 0950315474 - 0686383868
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Sylvain Vallerot]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA256



On 05/01/2016 01:04, Jérôme Nicolle wrote:
> Mais du coup, même au civil, faire peser la responsabilité d'un usage
> illicite sur une personne qu'on ne sait pas relier certainement au
> fait, c'est déjà une faute de justice.

> C'est l'un des arguments qu'on a tenté de mettre en avant contre
> HADOPI, et qui a été balayé par la mauvaise foi et surtout
> l’incompétence du législateur, 

Je ne suis pas sur qu'il ait été moins compétent que ses détracteurs,
qui (en plus d'avoir échoué à le contrer) n'ont peut-être pas perçu que
le nouveau délit de "défaut de sécurisation de la ligne" n'était pas
incohérent avec système de responsabilité déjà en place.

A lire le premier alinéa de l'art 1384 du code Civil :
« On est responsable non seulement du dommage que l'on cause par son propre 
fait, mais encore de celui qui est causé par le fait des personnes dont on 
doit répondre, ou des choses que l'on a sous sa garde.»

Ce principe est donc ancré dans le droit depuis longtemps (au moins 1971),
sur wikipedia (1) je lis même ceci : «aujourd'hui nous sommes dans un 
système de responsabilité objective dans lequel la preuve de la faute est 
devenue inutile» qui semble vouloir résumer la page sans citer un élément
de source précis.

L'argument qui consiste à crier ici au déni de justice me semble donc voué
à un échec assez prévisible (surtout après coup c'est plus facile ;)

1. 
https://fr.wikipedia.org/wiki/Responsabilit%C3%A9_du_fait_d%27autrui_en_droit_civil_fran%C3%A7ais


- -- 
Gixe  - Association 1901  - conseil, hébergement, opérateur pour tous
SIREN 450 404 769-   http://www.gixe.net-cont...@gixe.net
venez nous voir sur IRC geeknode #gixe - tél: 0950315474 - 0686383868
-BEGIN PGP SIGNATURE-
Version: GnuPG v1

iF4EAREIAAYFAlaM+TkACgkQJBGsD8mtnREPVAD8Ch/EePzXSNmL0UoAKX1ULxCd
1citjiXknbYC1y48d1UBAI5NC0ufD92bfWyK9dX4nEw3jJoCNTaLmel+hJR/PDRl
=0ZHm
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Edouard Chamillard]

Le 06/01/2016 12:23, Sylvain Vallerot a écrit :
>
>
> On 05/01/2016 01:04, Jérôme Nicolle wrote:
> > Mais du coup, même au civil, faire peser la responsabilité d'un usage
> > illicite sur une personne qu'on ne sait pas relier certainement au
> > fait, c'est déjà une faute de justice.
>
> > C'est l'un des arguments qu'on a tenté de mettre en avant contre
> > HADOPI, et qui a été balayé par la mauvaise foi et surtout
> > l’incompétence du législateur,
>
> Je ne suis pas sur qu'il ait été moins compétent que ses détracteurs,
> qui (en plus d'avoir échoué à le contrer) n'ont peut-être pas perçu que
> le nouveau délit de "défaut de sécurisation de la ligne" n'était pas
> incohérent avec système de responsabilité déjà en place.
>
> A lire le premier alinéa de l'art 1384 du code Civil :
> « On est responsable non seulement du dommage que l'on cause par son
> propre
> fait, mais encore de celui qui est causé par le fait des personnes
> dont on
> doit répondre, ou des choses que l'on a sous sa garde.»
>
> Ce principe est donc ancré dans le droit depuis longtemps (au moins 1971),
> sur wikipedia (1) je lis même ceci : «aujourd'hui nous sommes dans un
> système de responsabilité objective dans lequel la preuve de la faute est
> devenue inutile» qui semble vouloir résumer la page sans citer un élément
> de source précis.
>
> L'argument qui consiste à crier ici au déni de justice me semble donc voué
> à un échec assez prévisible (surtout après coup c'est plus facile ;)
>
> 1.
> https://fr.wikipedia.org/wiki/Responsabilit%C3%A9_du_fait_d%27autrui_en_droit_civil_fran%C3%A7ais
>
>

je vois pas comment l'article 1384 pourrait s'appliquer ici. je crois
pas qu'il s'applique a des biens physiques détournés (gerard lambert m'a
piqué ma meule et l'a plantée dans une poubelle, puis un môme, puis un
arbre), mais si quelqu'un sait...

sauf que l'analogie du bien physique ne tient pas, le vilain code
pedonazi qui s’exécute, il s’exécute en parallèle, et a l'insu de
l'utilisateur. ou alors mamie a une vieille machinbox que son petit fils
toto 8 ans a du faire passer en WEP pour jouer a la DS pendant qu'il
était en vacance, et maintenant au café des amis a l'étage en dessous on
a internet parce qu'on sait se servir d'aircrack. etc... etc... dans
tout ces cas, l'application stricte de l'article va entrainer la
condamnation des propriétaire de l'abonnement, *parce que* on fait une
approximation grossière de la façon dont le réseau (et l'ordinateur en
général) fonctionne.

l'argument du takafairegaff a des conséquences profondes sur la façon
dont techniquement le réseau fonctionne a partir du moment ou on
commence a l'appliquer. qui doit faire gaffe ? l'utilisateur final ? son
opérateur ? le transit de l'opérateur ? l’hébergeur a trois lettre qui
loue des vps par paquet de trouze ? le dev php a fort accent
méditerranéen a qui on a fait pondre une install de wordpress et un
design pompé et l'infogérance pour trois roupies par moi ?

si tous ne sont pas responsable, qui l'est ou ne l'est pas et pourquoi ?
ou alors si tous sont responsables de façon conditionnelle, a quelles
conditions ? est ce qu'elles sont applicables ?

quand on commence a dérouler la pelote, on tombe immanquablement sur un
gros paquet de conflits et de débats, techniques, éthiques, juridiques.
et j'ai tendance a penser que c'est moins grave d'avoir quelque types
qui passe entre les mailles du filet que de coucher sur le papier un
fantasme de panoptique complètement impossible, a l’efficacité douteuse,
et qui immanquablement fait des dégâts collatéraux.

tl;dr : le "défaut de sécurisation" c'était déjà a l'époque la porte
ouverte a toute les fenêtres, et ça a fait qu'empirer.

après jdis ça, mais c'est bon pour mon business d'avoir tout un tas de
règles plus ou moins floues et plus ou moins applicable. j’attends avec
impatience la règle qui demande a tout les particulier d'avoir des
installations complète, sécurité en profondeur, SIEM crocoté partout et
analystes formés en gestion d'incident 24/7 dans le salon pour avoir le
droit d'aller poster les photos de l'anniversaire du petit kevin sur
facebook.



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Dominique Rousseau]

Le Wed, Jan 06, 2016 at 09:12:35AM +0100, Alexandre Archambault [a...@free.fr] 
a écrit:
> Le 04/01/2016 18:19, Nicolas Vigier a écrit :
> 
> > Une utilisation courante est d'éviter de donner
> > une grosse partie de l'historique de son navigateur web à son FAI
> 
> Vous vous basez sur des éléments concrets ou c'est encore une légende
> urbaine ?

http://www.mail-archive.com/frnog@frnog.org/msg06675.html
(oui, ça ne parle que de DNS, pas d'analyser tout le trafic)

Il n'y a pas grande spéculation à se dire qu'au delà du DNS menteur pour
les NXDOMAIN il y en ait certains pour logger et chercher des moyens de
monétiser l'historique des requetes DNS effectuées.

(un moyen plus simple que TOR, pour cette partie là, étant d'utiliser
son propre serveur DNS récursif)


-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
21 rue Frédéric Petit - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Xavier Beaudouin]

Hello,

>> Il n'y aura jamais la police qui va demander a EDF "donnez moi la
>> personne qui a consomme X KWh a telle date telle heure"
> 
> Euh, ne jamais écrire jamais. Vous n'avez aucune idée du champs des
> possibles ouvert par la généralisation de Linky & autres babioles de ce
> genre.

Une très bonne idée aussi : "Black-out" par Marc Elsberg.

A lire... et réfléchir un peu.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Edouard Chamillard]

mais c'est bien le problème que de considérer que c'est un défaut des
produits/technos et/ou de formation des users, opérateurs, que sais je
de pas avoir d'imputabilité stricte et de non répudiation. la solution
technique elle est facile conceptuellement, on a déjà les outils pour.
pour moi la racine c'est de vouloir absolument pouvoir se servir d'un
élément informatique (quel qu'il soit d'ailleurs. parce que quand on me
dit qu'on fait de la préservation de logs conforme au droit de la preuve
je rigole doucement. si toute les chaines de préservation sont a l'aune
de ce qu'on juge probant en informatique...) comme ayant une valeur de
preuve plus ferme qu'elle ne l'est.

j'ai aucun problème avec le fait de présenter des logs ou des dumps
netflow devant un tribunal, qu'il soit de commerce ou de grande
instance. je voudrais juste qu'on rappelle aux parties concernées que
ces éléments (comme les témoins occulaires...) sont achte moins fiable
que ce qu'on vend au législateur a priori, ou a la justice a postériori.

pour bloquer des ip dans des parefeux, good enough. pour virer un mec
pour usage inapproprié des ressources de l'entreprise parce qu'il s'est
chopé une saloperie qui fait de la fraude au clic sur des sites ~pas pro
mais tres cuir~ et que les RH aime bien jouer a l'inspecteur clouzeau,
je suis déja plus d'accord.

apres savoir si on se fait mal comprendre ou si on est mal compris et
pourquoi... c'est un autre débat.

Le 06/01/2016 13:19, David Ponzone a écrit :
> C’est un peu ce que j’ai voulu dire tantôt par « la technologie est 
> imparfaite/foireuse » .
> Oui, l’avènement de l’informatique a provoqué une avalanche de produits qui 
> ne sont pas finis (MS entre autres), et pour lesquels il faut souvent en plus 
> payer pour avoir du support.
> Pas finis, et donc pas sécurisés.
> Il est clair que le législateur n’a pas bien compris qu’en informatique, 
> mettre une obligation de résultats sur un particulier qui a l’audace de faire 
> confiance à Microsoft ou Netgear, ça allait être délicat.
> Ceci dit, ça n’a pas gêné Hadopi, et ça risque de ne pas gêner les suivants.
>
>> je vois pas comment l'article 1384 pourrait s'appliquer ici. je crois
>> pas qu'il s'applique a des biens physiques détournés (gerard lambert m'a
>> piqué ma meule et l'a plantée dans une poubelle, puis un môme, puis un
>> arbre), mais si quelqu'un sait...
>>
>> sauf que l'analogie du bien physique ne tient pas, le vilain code
>> pedonazi qui s’exécute, il s’exécute en parallèle, et a l'insu de
>> l'utilisateur. ou alors mamie a une vieille machinbox que son petit fils
>> toto 8 ans a du faire passer en WEP pour jouer a la DS pendant qu'il
>> était en vacance, et maintenant au café des amis a l'étage en dessous on
>> a internet parce qu'on sait se servir d'aircrack. etc... etc... dans
>> tout ces cas, l'application stricte de l'article va entrainer la
>> condamnation des propriétaire de l'abonnement, *parce que* on fait une
>> approximation grossière de la façon dont le réseau (et l'ordinateur en
>> général) fonctionne.
>>
>> l'argument du takafairegaff a des conséquences profondes sur la façon
>> dont techniquement le réseau fonctionne a partir du moment ou on
>> commence a l'appliquer. qui doit faire gaffe ? l'utilisateur final ? son
>> opérateur ? le transit de l'opérateur ? l’hébergeur a trois lettre qui
>> loue des vps par paquet de trouze ? le dev php a fort accent
>> méditerranéen a qui on a fait pondre une install de wordpress et un
>> design pompé et l'infogérance pour trois roupies par moi ?
>>
>> si tous ne sont pas responsable, qui l'est ou ne l'est pas et pourquoi ?
>> ou alors si tous sont responsables de façon conditionnelle, a quelles
>> conditions ? est ce qu'elles sont applicables ?
>>
>> quand on commence a dérouler la pelote, on tombe immanquablement sur un
>> gros paquet de conflits et de débats, techniques, éthiques, juridiques.
>> et j'ai tendance a penser que c'est moins grave d'avoir quelque types
>> qui passe entre les mailles du filet que de coucher sur le papier un
>> fantasme de panoptique complètement impossible, a l’efficacité douteuse,
>> et qui immanquablement fait des dégâts collatéraux.
>>
>> tl;dr : le "défaut de sécurisation" c'était déjà a l'époque la porte
>> ouverte a toute les fenêtres, et ça a fait qu'empirer.
>>
>> après jdis ça, mais c'est bon pour mon business d'avoir tout un tas de
>> règles plus ou moins floues et plus ou moins applicable. j’attends avec
>> impatience la règle qui demande a tout les particulier d'avoir des
>> installations complète, sécurité en profondeur, SIEM crocoté partout et
>> analystes formés en gestion d'incident 24/7 dans le salon pour avoir le
>> droit d'aller poster les photos de l'anniversaire du petit kevin sur
>> facebook.
>>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[David Ponzone]

C’est un peu ce que j’ai voulu dire tantôt par « la technologie est 
imparfaite/foireuse » .
Oui, l’avènement de l’informatique a provoqué une avalanche de produits qui ne 
sont pas finis (MS entre autres), et pour lesquels il faut souvent en plus 
payer pour avoir du support.
Pas finis, et donc pas sécurisés.
Il est clair que le législateur n’a pas bien compris qu’en informatique, mettre 
une obligation de résultats sur un particulier qui a l’audace de faire 
confiance à Microsoft ou Netgear, ça allait être délicat.
Ceci dit, ça n’a pas gêné Hadopi, et ça risque de ne pas gêner les suivants.

> 
> je vois pas comment l'article 1384 pourrait s'appliquer ici. je crois
> pas qu'il s'applique a des biens physiques détournés (gerard lambert m'a
> piqué ma meule et l'a plantée dans une poubelle, puis un môme, puis un
> arbre), mais si quelqu'un sait...
> 
> sauf que l'analogie du bien physique ne tient pas, le vilain code
> pedonazi qui s’exécute, il s’exécute en parallèle, et a l'insu de
> l'utilisateur. ou alors mamie a une vieille machinbox que son petit fils
> toto 8 ans a du faire passer en WEP pour jouer a la DS pendant qu'il
> était en vacance, et maintenant au café des amis a l'étage en dessous on
> a internet parce qu'on sait se servir d'aircrack. etc... etc... dans
> tout ces cas, l'application stricte de l'article va entrainer la
> condamnation des propriétaire de l'abonnement, *parce que* on fait une
> approximation grossière de la façon dont le réseau (et l'ordinateur en
> général) fonctionne.
> 
> l'argument du takafairegaff a des conséquences profondes sur la façon
> dont techniquement le réseau fonctionne a partir du moment ou on
> commence a l'appliquer. qui doit faire gaffe ? l'utilisateur final ? son
> opérateur ? le transit de l'opérateur ? l’hébergeur a trois lettre qui
> loue des vps par paquet de trouze ? le dev php a fort accent
> méditerranéen a qui on a fait pondre une install de wordpress et un
> design pompé et l'infogérance pour trois roupies par moi ?
> 
> si tous ne sont pas responsable, qui l'est ou ne l'est pas et pourquoi ?
> ou alors si tous sont responsables de façon conditionnelle, a quelles
> conditions ? est ce qu'elles sont applicables ?
> 
> quand on commence a dérouler la pelote, on tombe immanquablement sur un
> gros paquet de conflits et de débats, techniques, éthiques, juridiques.
> et j'ai tendance a penser que c'est moins grave d'avoir quelque types
> qui passe entre les mailles du filet que de coucher sur le papier un
> fantasme de panoptique complètement impossible, a l’efficacité douteuse,
> et qui immanquablement fait des dégâts collatéraux.
> 
> tl;dr : le "défaut de sécurisation" c'était déjà a l'époque la porte
> ouverte a toute les fenêtres, et ça a fait qu'empirer.
> 
> après jdis ça, mais c'est bon pour mon business d'avoir tout un tas de
> règles plus ou moins floues et plus ou moins applicable. j’attends avec
> impatience la règle qui demande a tout les particulier d'avoir des
> installations complète, sécurité en profondeur, SIEM crocoté partout et
> analystes formés en gestion d'incident 24/7 dans le salon pour avoir le
> droit d'aller poster les photos de l'anniversaire du petit kevin sur
> facebook.
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[frnog . kapush]

On mercredi 6 janvier 2016 10:47:32 CET Dominique Rousseau - 
d.rouss...@nnx.com wrote:
> Le Wed, Jan 06, 2016 at 09:12:35AM +0100, Alexandre Archambault 
[a...@free.fr] a écrit:
> > Le 04/01/2016 18:19, Nicolas Vigier a écrit :
> > > Une utilisation courante est d'éviter de donner
> > > une grosse partie de l'historique de son navigateur web à son FAI
> > 
> > Vous vous basez sur des éléments concrets ou c'est encore une légende
> > urbaine ?
> 
> http://www.mail-archive.com/frnog@frnog.org/msg06675.html
> (oui, ça ne parle que de DNS, pas d'analyser tout le trafic)
> 
> Il n'y a pas grande spéculation à se dire qu'au delà du DNS menteur pour
> les NXDOMAIN il y en ait certains pour logger et chercher des moyens de
> monétiser l'historique des requetes DNS effectuées.
> 
> (un moyen plus simple que TOR, pour cette partie là, étant d'utiliser
> son propre serveur DNS récursif)

Et les petits tutos qui vont bien pour le faire:

http://korben.info/installer-serveur-dns-unbound.html
http://korben.info/installer-unbound-serveur-dns-sous-linux.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[frnog . kapush]

On mercredi 6 janvier 2016 09:01:49 CET Alexandre Archambault - a...@free.fr 
wrote:
> Le 05/01/2016 00:20, Radu-Adrian Feurdean a écrit :
> > Il n'y aura jamais la police qui va demander a EDF "donnez moi la
> > personne qui a consomme X KWh a telle date telle heure"
> 
> Euh, ne jamais écrire jamais. Vous n'avez aucune idée du champs des
> possibles ouvert par la généralisation de Linky & autres babioles de ce
> genre.

On en revient au point de départ, identifier le matériel ou le titulaire de 
l'abonnement n'est pas trouver l'identité de la personne qui utilisait le 
matériel.





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Alexandre Archambault]

Le 04/01/2016 18:19, Nicolas Vigier a écrit :

> Une utilisation courante est d'éviter de donner
> une grosse partie de l'historique de son navigateur web à son FAI

Vous vous basez sur des éléments concrets ou c'est encore une légende
urbaine ?


-- 
Alec,


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Alexandre Archambault]

Le 05/01/2016 00:20, Radu-Adrian Feurdean a écrit :

> Il n'y aura jamais la police qui va demander a EDF "donnez moi la
> personne qui a consomme X KWh a telle date telle heure"

Euh, ne jamais écrire jamais. Vous n'avez aucune idée du champs des
possibles ouvert par la généralisation de Linky & autres babioles de ce
genre.

-- 
Alec,


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Sylvain Vallerot]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA256



On 06/01/2016 13:19, David Ponzone wrote:
> Il est clair que le législateur n’a pas bien compris qu’en
> informatique, mettre une obligation de résultats sur un particulier
> qui a l’audace de faire confiance à Microsoft ou Netgear, ça allait
> être délicat.

Ou peut-être qu'il s'en fiche, et que dans sa vision finalement,
c'est le particulier/consommateur qui est toujours le commanditaire final
et qui s'il achète des produits bugués, en fin de compte, est responsable 
(et charge à lui de se retourner éventuellement ou de faire valeur le 
défaut du vendeur/prestataire) ? 

Une logique un peu similaire à celle de la TVA : celui qui casque c'est
celui qui est au bout de la chaîne.


>> je vois pas comment l'article 1384 pourrait s'appliquer ici. 

A l'inverse je ne vois pas pourquoi il ne pourrait pas... 
(sans porter de jugement sur la pertinence éthique de le faire ou non)


>> si tous ne sont pas responsable, qui l'est ou ne l'est pas et pourquoi ?
>> ou alors si tous sont responsables de façon conditionnelle, a quelles
>> conditions ? est ce qu'elles sont applicables ?
>>
>> quand on commence a dérouler la pelote, on tombe immanquablement sur un
>> gros paquet de conflits et de débats, techniques, éthiques, juridiques.

Ou bien le juge se la jouera à l'économie : c'est le titulaire de la ligne
qui est responsable, *parce que* il s'est rendu coupable de ne pas sécuriser
sa ligne, basta.

Des gens mieux informés pourront peut-être nous éclairer sur ce mécanisme
(le "parce que") et sa justesse ou non. Et nous donner quelques billes sur
la faculté qu'il reste ensuite au consommateur de se "retourner" contre 
ses fournisseurs.

Mais en matière juridique, il faut être riche et patient pour faire valoir
ses droits (surtout s'ils sont puissants). Beaucoup seront effrayés devant
le risque d'épuisement financier et moral que représenterait l'entreprise
de chercher à faire valoir les responsabiltés des industriels, je pense.

Cordialement,
S. Vallerot

- -- 
Gixe  - Association 1901  - conseil, hébergement, opérateur pour tous
SIREN 450 404 769-   http://www.gixe.net-cont...@gixe.net
venez nous voir sur IRC geeknode #gixe - tél: 0950315474 - 0686383868
-BEGIN PGP SIGNATURE-
Version: GnuPG v1

iF4EAREIAAYFAlaNjrIACgkQJBGsD8mtnREghgD+NoH6UmxY3HsiZyLcxat8Z+mM
Mhj5yNMA7dTUCglWxu0BAJfds25GN50wIyNcWfkbp82ahACNRSnDuzbGvgzjTd0/
=E7j3
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[frnog . kapush]

On lundi 4 janvier 2016 16:53:19 CET David Ponzone - david.ponz...@gmail.com 
wrote:
> il y a un flou artistique pour les hotspot public, ce qui rejoint les
> discussions récentes à ce sujet. Pour l’accès Internet depuis ton ADSL ou
> ton mobile, je pense quand même que le détenteur du contrat d’abonnement
> est la personne qui sera identifiée comme utilisant l’IP publique (avec
> éventuellement les logs du CGN dans certains cas). Après, on retombe sur le
> problème: est-ce qu’un particulier est censé être capable de sécuriser
> complètement son accès WIFI ? *snip*
 
On retombe surtout sur la question du partage et de son interdiction pratique 
par la dissuasion.

Les bases fondamentales de la vie en groupe c'est le partage et coopération.
Placé dans le contexte d'un village où une petite poignée de chanceux ont 
512kbits en ReADSL tandis que la majorité n'a rien et que ça fait 10 ans qu'il 
ne se passe rien malgré les promesses que tout le village aura accès au haut 
débit prochainement, vouloir partager sa connexion à internet avec ses voisins 
serait une solution simple et évidente, mais qui n'est pas appliquée en 
pratique à cause d'une loi française.

> Le législateur, il a besoin de légiférer. Depuis des dizaines d’année, un
> abonnement EDF identifie une personne physique (les piratages sont quand
> même assez rares), de même pour l’eau, et même le téléphone (quand un mec
> vous collait 10kF d’appels internationaux avec des pinces crocos, je pense
> qu’il était difficile d’expliquer à Orange que vous étiez innocents). Il
> n’y a pas de raison qu’un accès Internet soit une zone de non-droit sous
> prétexte que la technique est défaillante.

Oui l'abonnement à l'électricité, à l'eau potable ou au téléphone identifie son 
titulaire, exactement comme l'abonnement à internet et il n'y a pas de 
problème avec ça.
Par contre, à ma connaissance le titulaire de l'abonnement à l'électricité/eau 
ne porte pas la responsabilité devant le tribunal de l'usage qui est fait de 
son courant électrique / eau potable et on sait bien que le numéro de série du 
compteur ne permets pas d'identifier le titulaire de la ligne et encore moins 
de révéler les personnes qui ont utilisé l'électricité ou bu l'eau du robinet.

L'accès internet en France est pourtant assez proche d'une zone de non-droit 
du fait même de la loi française qui impose la collecte et la conservation des 
données personnelles des abonnés internet alors que la directive européenne 
2006/24/CE a été invalidée en avril 2014 en précisant bien que la collecte de 
masse et la conservation généralisée n'était plus possible dans l'Union 
Européenne. De fait la loi française crée une zone où le droit ne s'applique 
pas de la volonté même du législateur.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Xavier Beaudouin]

Hello,

(...)

> C'est typiquement le genre de raisons pour laquelle il faut classifier
> les préfixes de ton feed BGP avec des communautés, et documenter toutes
> ces communautés quelque part. Ce qui est valable pour TON réseau ne
> l'est pas forcément pour celui des gens qui pourraient être tentés
> d'utiliser ton feed.

Je m'incruste dans le thread, comme ça, mais ne serait-il pas mieux qu'une 
communauté de gens sympa et barbus entretiennent le smilblick comme l'AS112 par 
exemple.

Voila... voila... et bonne année toussa.

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Simon Morvan]

On 04/01/2016 11:55, Xavier Beaudouin wrote:
>> > C'est typiquement le genre de raisons pour laquelle il faut classifier
>> > les préfixes de ton feed BGP avec des communautés, et documenter toutes
>> > ces communautés quelque part. Ce qui est valable pour TON réseau ne
>> > l'est pas forcément pour celui des gens qui pourraient être tentés
>> > d'utiliser ton feed.
> Je m'incruste dans le thread, comme ça, mais ne serait-il pas mieux qu'une 
> communauté de gens sympa et barbus entretiennent le smilblick comme l'AS112 
> par exemple.
Je ne sais pas si les gens sympas doivent forcément être barbus (ou
barbues) pour participer, mais il suffit que Michel mette ses différents
parsers et injecteurs sur un github (ou autre) et on verra si les
pull-requests ont de la barbe.

A+


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Clement Cavadore]

On Sun, 2016-01-03 at 22:40 +, Michel Py wrote:
> 
> 
> > Cela empêchera des personnes qui ont besoin de contourner des
> dispositifs de filtrages ou de censure d'accéder au réseau.
> 
> D'accéder à _MON_ réseau, et je ne connais aucune de ces personnes. Je
> ne critique pas Tor, je n'empêche pas les gens de s'en servir, je
> comprends qu'il y a des personnes dont la liberté d'expression est
> limitée qui en ont besoin, mais personne qui a besoin de dissimuler
> son identité n'a besoin d'accéder mon réseau, donc je bloque.

C'est typiquement le genre de raisons pour laquelle il faut classifier
les préfixes de ton feed BGP avec des communautés, et documenter toutes
ces communautés quelque part. Ce qui est valable pour TON réseau ne
l'est pas forcément pour celui des gens qui pourraient être tentés
d'utiliser ton feed.

-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Le pare-feu du geek barbu

[Michel Py]

> Xavier Beaudouin a écrit :
> Je m'incruste dans le thread, comme ça, mais ne serait-il pas mieux qu'une 
> communauté
> de gens sympa et barbus entretiennent le smilblick comme l'AS112 par exemple.

Pour les geekettes, on fait une exception pour la barbe ;-)


> Clement Cavadore a écrit :
> C'est typiquement le genre de raisons pour laquelle il faut classifier les 
> préfixes de ton feed BGP
> avec des communautés, et documenter toutes ces communautés quelque part. Ce 
> qui est valable pour TON
> réseau ne l'est pas forcément pour celui des gens qui pourraient être tentés 
> d'utiliser ton feed.

Complètement d'accord. D'ailleurs j'ai enlevé Tor du feed, en attendant que les 
communautés en fassent partie.
Juste dessous, il y a le script qui construit la blacklist. Y'à qu'à (C)(TM) le 
modifier pour rajouter les communautés.
Au travail.

Michel.


#!/bin/bash
IP_TMP=/tmp/ip.tmp
IP_BLACKLIST=/etc/exabgp/ip-blacklist.conf
IP_BLACKLIST_TMP=/tmp/ip-blacklist.tmp

# "http://www.maxmind.com/en/anonymous_proxies; # MaxMind GeoIP Anonymous 
Proxies
# "https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.1.1.1;  # TOR 
Exit Nodes

BLACKLISTS=(
"http://www.projecthoneypot.org/list_of_ips.php?t=d=1; # Project Honey Pot 
Directory of Dictionary Attacker IPs
"http://danger.rulez.sk/projects/bruteforceblocker/blist.php; # 
BruteForceBlocker IP List
"http://rules.emergingthreats.net/blockrules/compromised-ips.txt;
"http://rules.emergingthreats.net/blockrules/emerging-botcc.excluded;
"http://rules.emergingthreats.net/blockrules/emerging-botcc.portgrouped.rules;
"http://rules.emergingthreats.net/blockrules/emerging-botcc.rules;
"http://rules.emergingthreats.net/blockrules/emerging-ciarmy.rules;
"http://rules.emergingthreats.net/blockrules/emerging-compromised-BLOCK.rules;
"http://rules.emergingthreats.net/blockrules/emerging-compromised.rules;
"http://rules.emergingthreats.net/blockrules/emerging-drop-BLOCK.rules;
"http://rules.emergingthreats.net/blockrules/emerging-drop.rules;
"http://rules.emergingthreats.net/blockrules/emerging-dshield-BLOCK.rules;
"http://rules.emergingthreats.net/blockrules/emerging-dshield.rules;
"http://rules.emergingthreats.net/blockrules/emerging-rbn-BLOCK.rules;
"http://rules.emergingthreats.net/blockrules/emerging-rbn-malvertisers-BLOCK.rules;
"http://rules.emergingthreats.net/blockrules/emerging-rbn-malvertisers.rules;
"http://rules.emergingthreats.net/blockrules/emerging-rbn.rules;
"http://rules.emergingthreats.net/blockrules/emerging-tor-BLOCK.rules;
"http://rules.emergingthreats.net/blockrules/emerging-tor.rules;
"http://rules.emergingthreats.net/blockrules/rbn-ips.txt; # Emerging Threats - 
Russian Business Networks List
"http://www.spamhaus.org/drop/drop.lasso; # Spamhaus Don't Route Or Peer List 
(DROP)
"http://www.spamhaus.org/drop/edrop.lasso; # Spamhaus Don't Route Or Peer List 
(EDROP)
"http://cinsscore.com/list/ci-badguys.txt; # C.I. Army Malicious IP List
"http://www.openbl.org/lists/base_7days.txt;  # OpenBL.org 7 day List
"http://www.autoshun.org/files/shunlist.csv; # Autoshun Shun List
"http://lists.blocklist.de/lists/all.txt; # blocklist.de attackers
"http://hosts-file.net/rss.asp;
"https://www.myip.ms/files/blacklist/csf/latest_blacklist.txt;
"http://malc0de.com/bl/IP_Blacklist.txt;
"https://sslbl.abuse.ch/blacklist/sslipblacklist.csv;
)
for i in "${BLACKLISTS[@]}"
do
curl "$i" > $IP_TMP
grep -Po '(?:\d{1,3}\.){3}\d{1,3}(?:/\d{1,2})?' $IP_TMP >> $IP_BLACKLIST_TMP
done

sort $IP_BLACKLIST_TMP -n | uniq > $IP_BLACKLIST
rm $IP_BLACKLIST_TMP
wc -l $IP_BLACKLIST


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Radu-Adrian Feurdean]

On Mon, Jan 4, 2016, at 16:53, David Ponzone wrote:

> Le législateur, il a besoin de légiférer. 

Il est "drogue" a la creation des lois peu importe s'ils sont outiles ou
pas. C'est ca son "besoin".

> Depuis des dizaines d’année, un
> abonnement EDF identifie une personne physique (les piratages sont quand
> même assez rares), de même pour l’eau, et même le téléphone (quand un mec

La on parle de la relation "personne <-> contrat concernant element
d'infrastructure fixe". 
Il n'y aura jamais la police qui va demander a EDF "donnez moi la
personne qui a consomme X KWh a telle date telle heure". Ou a la
companie qui gere l'eau "identifiez-moi de quel abonne vient cette eau".

> vous collait 10kF d’appels internationaux avec des pinces crocos, je
> pense qu’il était difficile d’expliquer à Orange que vous étiez innocents).

La comparaison est bien abusee.
Tant qu'on y est il me semble qu'il existe aussi une connerie appelee
"Internet+", disponible chez certains FAI sur certaines types d'acces
qui peut finir de facon similaire (voire identique).

> Il n’y a pas de raison qu’un accès Internet soit une zone de non-droit
> sous prétexte que la technique est défaillante.

La technique n'est pas defaillante (contrairement a la legislation).
C'est juste la transposition (foireuse) des methodes d'un autre temps a
la base concues pour d'autres choses.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Edouard Chamillard]

> Michel Py:
>>> Lunar a écrit :
>>> Cela empêchera des personnes qui ont besoin de contourner des
>>> dispositifs de filtrages ou de censure d'accéder au réseau.
>> D'accéder à _MON_ réseau, et je ne connais aucune de ces personnes. Je
>> ne critique pas Tor, je n'empêche pas les gens de s'en servir, je
>> comprends qu'il y a des personnes dont la liberté d'expression est
>> limitée qui en ont besoin, mais personne qui a besoin de dissimuler
>> son identité n'a besoin d'accéder mon réseau, donc je bloque.
> Tor sert à bien d'autres usages que celui de dissimuler son identité.
> C'est pour beaucoup de gens avant tout un outil permettant de contourner
> des restrictions d'accès. Même si ça peut paraître surprenant d'un point
> de vue européen, beaucoup de gens utilisent Tor pour accéder à Facebook.
> Utiliser Tor permet de reprendre le contrôle sur ses informations
> personnelles : on ne les partage que si on le désire, là où auparavant
> elles fuitaient hors de notre contrôle.
>
> Par ailleurs, je trouve un peu problématique d'associer identité et
> adresse IP. Au mieux une adresse IP est une indication géographique.
> Mais il existe de nos jours beacoup trop de points d'accès ouverts ou
> d'adresses IPs partagées par de nombreuses personnes pour qu'on puisse
> continuer à considérer qu'une adresse IP permet d'identifier une
> personne.
>
> Quoiqu'il en soit, si ton réseau ne permet d'accéder qu'à des services
> privées, je peux comprendre le filtre. Ceci dit, il empêchera également
> de faire tourner un relai Tor à l'intérieur : un relai a besoin de
> pouvoir contacter tous les autres relais.
>
et soit dit en passant, une adresse IP c'est pas une identité. qu'elle
soit v4 ou v6. si tu as besoin d'identifier des utilisateurs, y'a des
mécanismes pour ça. sinon le mème raisonnement conduit a bloquer les
hotspots, les opérateur qui font du CGN, etc...

d'un point de vue réseau, y'a aucune différence fonctionnelle entre TOR
et du NAT.



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Lunar]

Michel Py:
> > Lunar a écrit :
> > Cela empêchera des personnes qui ont besoin de contourner des
> > dispositifs de filtrages ou de censure d'accéder au réseau.
>
> D'accéder à _MON_ réseau, et je ne connais aucune de ces personnes. Je
> ne critique pas Tor, je n'empêche pas les gens de s'en servir, je
> comprends qu'il y a des personnes dont la liberté d'expression est
> limitée qui en ont besoin, mais personne qui a besoin de dissimuler
> son identité n'a besoin d'accéder mon réseau, donc je bloque.

Tor sert à bien d'autres usages que celui de dissimuler son identité.
C'est pour beaucoup de gens avant tout un outil permettant de contourner
des restrictions d'accès. Même si ça peut paraître surprenant d'un point
de vue européen, beaucoup de gens utilisent Tor pour accéder à Facebook.
Utiliser Tor permet de reprendre le contrôle sur ses informations
personnelles : on ne les partage que si on le désire, là où auparavant
elles fuitaient hors de notre contrôle.

Par ailleurs, je trouve un peu problématique d'associer identité et
adresse IP. Au mieux une adresse IP est une indication géographique.
Mais il existe de nos jours beacoup trop de points d'accès ouverts ou
d'adresses IPs partagées par de nombreuses personnes pour qu'on puisse
continuer à considérer qu'une adresse IP permet d'identifier une
personne.

Quoiqu'il en soit, si ton réseau ne permet d'accéder qu'à des services
privées, je peux comprendre le filtre. Ceci dit, il empêchera également
de faire tourner un relai Tor à l'intérieur : un relai a besoin de
pouvoir contacter tous les autres relais.

-- 
Lunar 


signature.asc
Description: Digital signature

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Renaud]

Edouard Chamillard a écrit :
>> Par ailleurs, je trouve un peu problématique d'associer identité et
>> > adresse IP. Au mieux une adresse IP est une indication géographique.
>> > Mais il existe de nos jours beacoup trop de points d'accès ouverts ou
>> > d'adresses IPs partagées par de nombreuses personnes pour qu'on puisse
>> > continuer à considérer qu'une adresse IP permet d'identifier une
>> > personne.
>> >
>> > Quoiqu'il en soit, si ton réseau ne permet d'accéder qu'à des services
>> > privées, je peux comprendre le filtre. Ceci dit, il empêchera également
>> > de faire tourner un relai Tor à l'intérieur : un relai a besoin de
>> > pouvoir contacter tous les autres relais.
>> >
> et soit dit en passant, une adresse IP c'est pas une identité. qu'elle
> soit v4 ou v6. si tu as besoin d'identifier des utilisateurs, y'a des
> mécanismes pour ça. sinon le mème raisonnement conduit a bloquer les
> hotspots, les opérateur qui font du CGN, etc...
l'adresse IP est une donnée à caractère personnelle, justement car elle
permet l'identification. Sans moyen "de brouillage" un utilisateur peut
être suivi  dans la plus part des cas sur la seule base de cette IP.

Dans le cas des Hotspot et des CGN il y a une obligation de pouvoir
suivre des connexions IP (principalement IP+PORT/TCP) à l'IP qui est
derrière le NAT qui elle même est reliée à une identité.

Il existe biensur plein de moyen de contourner ceci et TOR en fait
parti. Le but étant avant tout de garder controle sur mes données (et
les meta aussi).

Renaud

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Edouard Chamillard]

non, une adresse IP identifie un périphérique sur le réseau, pas une
personne. c'est pas parce que la distinction est suffisamment peu claire
pour le législateur qu'il nous pond régulièrement ce genre d’aberration
que c'est magiquement vrai.

qui plus est, justement parce que cette relation d'identité n'est que un
concept juridique, elle n'est pas vraie partout, et donc encore moins
utilisable en production.

Le 04/01/2016 16:03, Renaud a écrit :
>
> Edouard Chamillard a écrit :
>>> Par ailleurs, je trouve un peu problématique d'associer identité et
 adresse IP. Au mieux une adresse IP est une indication géographique.
 Mais il existe de nos jours beacoup trop de points d'accès ouverts ou
 d'adresses IPs partagées par de nombreuses personnes pour qu'on puisse
 continuer à considérer qu'une adresse IP permet d'identifier une
 personne.

 Quoiqu'il en soit, si ton réseau ne permet d'accéder qu'à des services
 privées, je peux comprendre le filtre. Ceci dit, il empêchera également
 de faire tourner un relai Tor à l'intérieur : un relai a besoin de
 pouvoir contacter tous les autres relais.

>> et soit dit en passant, une adresse IP c'est pas une identité. qu'elle
>> soit v4 ou v6. si tu as besoin d'identifier des utilisateurs, y'a des
>> mécanismes pour ça. sinon le mème raisonnement conduit a bloquer les
>> hotspots, les opérateur qui font du CGN, etc...
> l'adresse IP est une donnée à caractère personnelle, justement car elle
> permet l'identification. Sans moyen "de brouillage" un utilisateur peut
> être suivi  dans la plus part des cas sur la seule base de cette IP.
>
> Dans le cas des Hotspot et des CGN il y a une obligation de pouvoir
> suivre des connexions IP (principalement IP+PORT/TCP) à l'IP qui est
> derrière le NAT qui elle même est reliée à une identité.
>
> Il existe biensur plein de moyen de contourner ceci et TOR en fait
> parti. Le but étant avant tout de garder controle sur mes données (et
> les meta aussi).
>
> Renaud
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[David Ponzone]

il y a un flou artistique pour les hotspot public, ce qui rejoint les 
discussions récentes à ce sujet.
Pour l’accès Internet depuis ton ADSL ou ton mobile, je pense quand même que le 
détenteur du contrat d’abonnement est la personne qui sera identifiée comme 
utilisant l’IP publique (avec éventuellement les logs du CGN dans certains cas).
Après, on retombe sur le problème: est-ce qu’un particulier est censé être 
capable de sécuriser complètement son accès WIFI ? Evidemment que non, sauf 
avec un moyen très simple: pas de WIFI.
Peut-il se protéger de toute malware/bot/… ? Non, sauf en coupant Internet, 
auquel cas le problème de départ ne se pose plus.

Le législateur, il a besoin de légiférer. Depuis des dizaines d’année, un 
abonnement EDF identifie une personne physique (les piratages sont quand même 
assez rares), de même pour l’eau, et même le téléphone (quand un mec vous 
collait 10kF d’appels internationaux avec des pinces crocos, je pense qu’il 
était difficile d’expliquer à Orange que vous étiez innocents).
Il n’y a pas de raison qu’un accès Internet soit une zone de non-droit sous 
prétexte que la technique est défaillante.

> Le 4 janv. 2016 à 16:35, Alexis VACHETTE  a écrit :
> 
> Merci, ça fait plaisir de lire quelque chose de sensé.
> 
> Cordialement,
> Alexis.
> 
> On 04/01/2016 16:23, Edouard Chamillard wrote:
>> non, une adresse IP identifie un périphérique sur le réseau, pas une
>> personne. c'est pas parce que la distinction est suffisamment peu claire
>> pour le législateur qu'il nous pond régulièrement ce genre d’aberration
>> que c'est magiquement vrai.
>> 
>> qui plus est, justement parce que cette relation d'identité n'est que un
>> concept juridique, elle n'est pas vraie partout, et donc encore moins
>> utilisable en production.
>> 
>> Le 04/01/2016 16:03, Renaud a écrit :
>>> Edouard Chamillard a écrit :
> Par ailleurs, je trouve un peu problématique d'associer identité et
>> adresse IP. Au mieux une adresse IP est une indication géographique.
>> Mais il existe de nos jours beacoup trop de points d'accès ouverts ou
>> d'adresses IPs partagées par de nombreuses personnes pour qu'on puisse
>> continuer à considérer qu'une adresse IP permet d'identifier une
>> personne.
>> 
>> Quoiqu'il en soit, si ton réseau ne permet d'accéder qu'à des services
>> privées, je peux comprendre le filtre. Ceci dit, il empêchera également
>> de faire tourner un relai Tor à l'intérieur : un relai a besoin de
>> pouvoir contacter tous les autres relais.
>> 
 et soit dit en passant, une adresse IP c'est pas une identité. qu'elle
 soit v4 ou v6. si tu as besoin d'identifier des utilisateurs, y'a des
 mécanismes pour ça. sinon le mème raisonnement conduit a bloquer les
 hotspots, les opérateur qui font du CGN, etc...
>>> l'adresse IP est une donnée à caractère personnelle, justement car elle
>>> permet l'identification. Sans moyen "de brouillage" un utilisateur peut
>>> être suivi  dans la plus part des cas sur la seule base de cette IP.
>>> 
>>> Dans le cas des Hotspot et des CGN il y a une obligation de pouvoir
>>> suivre des connexions IP (principalement IP+PORT/TCP) à l'IP qui est
>>> derrière le NAT qui elle même est reliée à une identité.
>>> 
>>> Il existe biensur plein de moyen de contourner ceci et TOR en fait
>>> parti. Le but étant avant tout de garder controle sur mes données (et
>>> les meta aussi).
>>> 
>>> Renaud
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Bensay 1]

Entièrement d'accord,
Par contre je ne peux m'empêcher d'admettre que je le fais sur le port SSH car 
malheureusement beaucoup d'attaque bruteforce SSH passe par TOR.

Benjamin L

> Le 3 janv. 2016 à 22:53, Lunar  a écrit :
> 
> Michel Py:
>>> Clement Cavadore a écrit :
>>> Pourquoi ne pa donner plus de détails ici ? Par exemple, les listes noires 
>>> utilisées,
>> 
>> Voici la liste à ce moment précis, je suis plus qu'à l'écoute des 
>> commentaires à ce sujet, il y a des améliorations à faire.
>> Pour certaines, j'ai demandé et obtenu l'autorisation d'utiliser leur liste. 
>> Pour d'autres, j'ai rien entendu comme retour.
>> Il y a surement des redondances, ce qui ne me dérange pas. Au final je 
>> fabrique une liste unique.
>> 
>> J'ai aussi des listes et des feeds BGP dont j'ai explicitement reçu 
>> l'autorisation d'utiliser mais non pas de redistribuer, ces préfixes sont 
>> taggués en no-export et ne sont ni listés ci-dessous ni redistribués.
>> 
>> "http://www.projecthoneypot.org/list_of_ips.php?t=d=1; # Project Honey 
>> Pot Directory of Dictionary Attacker IPs
>> "http://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.1.1.1;  # TOR 
>> Exit Nodes
> 
> Bloquer tous les nœuds de sortie Tor est du même acabit que de bloquer
> tous les points d'accès Wi-Fi publics (mais personne n'a compilé une
> telle liste à ma connaissance). Cela empêchera des personnes qui ont
> besoin de contourner des dispositifs de filtrages ou de censure
> d'accéder au réseau.
> 
> Si l'enjeux c'est limiter des attaques, mieux vaut utiliser des systèmes
> qui limite le surblocage, non ?
> 
> -- 
> Lunar 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Alexis VACHETTE]

Merci, ça fait plaisir de lire quelque chose de sensé.

Cordialement,
Alexis.

On 04/01/2016 16:23, Edouard Chamillard wrote:

non, une adresse IP identifie un périphérique sur le réseau, pas une
personne. c'est pas parce que la distinction est suffisamment peu claire
pour le législateur qu'il nous pond régulièrement ce genre d’aberration
que c'est magiquement vrai.

qui plus est, justement parce que cette relation d'identité n'est que un
concept juridique, elle n'est pas vraie partout, et donc encore moins
utilisable en production.

Le 04/01/2016 16:03, Renaud a écrit :

Edouard Chamillard a écrit :

Par ailleurs, je trouve un peu problématique d'associer identité et

adresse IP. Au mieux une adresse IP est une indication géographique.
Mais il existe de nos jours beacoup trop de points d'accès ouverts ou
d'adresses IPs partagées par de nombreuses personnes pour qu'on puisse
continuer à considérer qu'une adresse IP permet d'identifier une
personne.

Quoiqu'il en soit, si ton réseau ne permet d'accéder qu'à des services
privées, je peux comprendre le filtre. Ceci dit, il empêchera également
de faire tourner un relai Tor à l'intérieur : un relai a besoin de
pouvoir contacter tous les autres relais.


et soit dit en passant, une adresse IP c'est pas une identité. qu'elle
soit v4 ou v6. si tu as besoin d'identifier des utilisateurs, y'a des
mécanismes pour ça. sinon le mème raisonnement conduit a bloquer les
hotspots, les opérateur qui font du CGN, etc...

l'adresse IP est une donnée à caractère personnelle, justement car elle
permet l'identification. Sans moyen "de brouillage" un utilisateur peut
être suivi  dans la plus part des cas sur la seule base de cette IP.

Dans le cas des Hotspot et des CGN il y a une obligation de pouvoir
suivre des connexions IP (principalement IP+PORT/TCP) à l'IP qui est
derrière le NAT qui elle même est reliée à une identité.

Il existe biensur plein de moyen de contourner ceci et TOR en fait
parti. Le but étant avant tout de garder controle sur mes données (et
les meta aussi).

Renaud

---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Alexis VACHETTE]

David,

Je ne parlais que de l'identification d'une personne physique avec une IP.

Chez toi quand tu as une famille tu te rends compte qu'hormis faire la 
police et encore le blocage des services pour faire des choses pas net 
c'est pas forcément le plus simple.


Je suis au niveau de l'accès ADSL bien entendu.

De plus je n'ai jamais dit qu'Internet était une zone de non droit, bien 
que certains le pensent.


Cordialement,
Alexis.

On 04/01/2016 16:53, David Ponzone wrote:
il y a un flou artistique pour les hotspot public, ce qui rejoint les 
discussions récentes à ce sujet.
Pour l’accès Internet depuis ton ADSL ou ton mobile, je pense quand 
même que le détenteur du contrat d’abonnement est la personne qui sera 
identifiée comme utilisant l’IP publique (avec éventuellement les logs 
du CGN dans certains cas).
Après, on retombe sur le problème: est-ce qu’un particulier est censé 
être capable de sécuriser complètement son accès WIFI ? Evidemment que 
non, sauf avec un moyen très simple: pas de WIFI.
Peut-il se protéger de toute malware/bot/… ? Non, sauf en coupant 
Internet, auquel cas le problème de départ ne se pose plus.


Le législateur, il a besoin de légiférer. Depuis des dizaines d’année, 
un abonnement EDF identifie une personne physique (les piratages sont 
quand même assez rares), de même pour l’eau, et même le téléphone 
(quand un mec vous collait 10kF d’appels internationaux avec des 
pinces crocos, je pense qu’il était difficile d’expliquer à Orange que 
vous étiez innocents).
Il n’y a pas de raison qu’un accès Internet soit une zone de non-droit 
sous prétexte que la technique est défaillante.


Le 4 janv. 2016 à 16:35, Alexis VACHETTE > a écrit :


Merci, ça fait plaisir de lire quelque chose de sensé.

Cordialement,
Alexis.

On 04/01/2016 16:23, Edouard Chamillard wrote:

non, une adresse IP identifie un périphérique sur le réseau, pas une
personne. c'est pas parce que la distinction est suffisamment peu claire
pour le législateur qu'il nous pond régulièrement ce genre d’aberration
que c'est magiquement vrai.

qui plus est, justement parce que cette relation d'identité n'est que un
concept juridique, elle n'est pas vraie partout, et donc encore moins
utilisable en production.

Le 04/01/2016 16:03, Renaud a écrit :

Edouard Chamillard a écrit :

Par ailleurs, je trouve un peu problématique d'associer identité et

adresse IP. Au mieux une adresse IP est une indication géographique.
Mais il existe de nos jours beacoup trop de points d'accès 
ouverts ou
d'adresses IPs partagées par de nombreuses personnes pour qu'on 
puisse

continuer à considérer qu'une adresse IP permet d'identifier une
personne.

Quoiqu'il en soit, si ton réseau ne permet d'accéder qu'à des 
services
privées, je peux comprendre le filtre. Ceci dit, il empêchera 
également

de faire tourner un relai Tor à l'intérieur : un relai a besoin de
pouvoir contacter tous les autres relais.


et soit dit en passant, une adresse IP c'est pas une identité. qu'elle
soit v4 ou v6. si tu as besoin d'identifier des utilisateurs, y'a des
mécanismes pour ça. sinon le mème raisonnement conduit a bloquer les
hotspots, les opérateur qui font du CGN, etc...

l'adresse IP est une donnée à caractère personnelle, justement car elle
permet l'identification. Sans moyen "de brouillage" un utilisateur peut
être suivi  dans la plus part des cas sur la seule base de cette IP.

Dans le cas des Hotspot et des CGN il y a une obligation de pouvoir
suivre des connexions IP (principalement IP+PORT/TCP) à l'IP qui est
derrière le NAT qui elle même est reliée à une identité.

Il existe biensur plein de moyen de contourner ceci et TOR en fait
parti. Le but étant avant tout de garder controle sur mes données (et
les meta aussi).

Renaud

---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Edouard Chamillard]

c'est pas la technique qui est défaillante. une adresse IP ça fait
exactement ce que c'est sensé faire, aka permettre aux lutins dans les
tuyaux de balader des paquets d'un hote A a un hote B.

ce qui est défaillant, c'est la perception de la fiabilité de
l'association entre une adresse IP et une personne. pour les dix patates
de facture FT parce que raoul le phreak a été crocotter une beige box
pour appeler les copains du bar en face a pékin, c'était effectivement
difficile de contester, mais l'abus du service dépendait quand mème de
la présence physique de raoul sur le media (comme pour edf et la
flotte), donc c'etait mécaniquement bien localisable dans le temps et
dans l'espace.

le problème de considérer qu'une adresse IP identifie avec certitude (et
je précise bien le avec certitude) une personne c'est justement que
contrairement a de l'infra classique, on est limités ni dans le temps ni
dans l'espace. mème si t'as pas du tout de wifi parce que le média est
pas contrôlable, et mème si on est dans un monde hypothétique sans
malware, le moindre bout de JS sur un coin de page peut quand mème aller
gauler des photos de vacances sur pedobear.com, sans que l'utilisateur
physiquement assis derrière la machine ai fait quoi que ce soit.

 le status quo actuel de dire "l'abonné est responsable de sa connexion"
est d'ailleurs la seule méthode a peu près simple et  générique qui
donne un semblant de traçabilité. et pour le civil c'est sans aucun
doute suffisant, mème si c'est loin d’être parfait.
mais au pénal on est dans le sérieux, et dans la privation de liberté.
alors je tiens a ce que nous les barbus on continue a tambouriner sur la
tête de tout les gens dans la chaine en disant que mème si vous aviez
une vidéo live d'un bonhomme devant un écran qui fait des choses qui ont
l'air de correspondre a ce que votre belle sonde hadopi/eagle/whatever,
vous êtes dans l'incapacité de prouver *au delà de tout doute
raisonnable* que c'est bien la personne qui est volontairement a
l'origine des lutins incriminés, et personne d'autre. il ne s'agit pas
de faire d'internet "une zone de non-droit". il s'agit d’être clairs et
précis sur les limitations de notre capacités techniques.

Le 04/01/2016 16:53, David Ponzone a écrit :
> il y a un flou artistique pour les hotspot public, ce qui rejoint les 
> discussions récentes à ce sujet.
> Pour l’accès Internet depuis ton ADSL ou ton mobile, je pense quand même que 
> le détenteur du contrat d’abonnement est la personne qui sera identifiée 
> comme utilisant l’IP publique (avec éventuellement les logs du CGN dans 
> certains cas).
> Après, on retombe sur le problème: est-ce qu’un particulier est censé être 
> capable de sécuriser complètement son accès WIFI ? Evidemment que non, sauf 
> avec un moyen très simple: pas de WIFI.
> Peut-il se protéger de toute malware/bot/… ? Non, sauf en coupant Internet, 
> auquel cas le problème de départ ne se pose plus.
>
> Le législateur, il a besoin de légiférer. Depuis des dizaines d’année, un 
> abonnement EDF identifie une personne physique (les piratages sont quand même 
> assez rares), de même pour l’eau, et même le téléphone (quand un mec vous 
> collait 10kF d’appels internationaux avec des pinces crocos, je pense qu’il 
> était difficile d’expliquer à Orange que vous étiez innocents).
> Il n’y a pas de raison qu’un accès Internet soit une zone de non-droit sous 
> prétexte que la technique est défaillante.
>
>> Le 4 janv. 2016 à 16:35, Alexis VACHETTE  a écrit :
>>
>> Merci, ça fait plaisir de lire quelque chose de sensé.
>>
>> Cordialement,
>> Alexis.
>>
>> On 04/01/2016 16:23, Edouard Chamillard wrote:
>>> non, une adresse IP identifie un périphérique sur le réseau, pas une
>>> personne. c'est pas parce que la distinction est suffisamment peu claire
>>> pour le législateur qu'il nous pond régulièrement ce genre d’aberration
>>> que c'est magiquement vrai.
>>>
>>> qui plus est, justement parce que cette relation d'identité n'est que un
>>> concept juridique, elle n'est pas vraie partout, et donc encore moins
>>> utilisable en production.
>>>
>>> Le 04/01/2016 16:03, Renaud a écrit :
 Edouard Chamillard a écrit :
>> Par ailleurs, je trouve un peu problématique d'associer identité et
>>> adresse IP. Au mieux une adresse IP est une indication géographique.
>>> Mais il existe de nos jours beacoup trop de points d'accès ouverts ou
>>> d'adresses IPs partagées par de nombreuses personnes pour qu'on puisse
>>> continuer à considérer qu'une adresse IP permet d'identifier une
>>> personne.
>>>
>>> Quoiqu'il en soit, si ton réseau ne permet d'accéder qu'à des services
>>> privées, je peux comprendre le filtre. Ceci dit, il empêchera également
>>> de faire tourner un relai Tor à l'intérieur : un relai a besoin de
>>> pouvoir contacter tous les autres relais.
>>>
> et soit dit en passant, une adresse IP c'est pas une identité. qu'elle
> soit v4 ou v6. si tu as 

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Lunar]

Michel Py:
> > Clement Cavadore a écrit :
> > Pourquoi ne pa donner plus de détails ici ? Par exemple, les listes noires 
> > utilisées,
> 
> Voici la liste à ce moment précis, je suis plus qu'à l'écoute des 
> commentaires à ce sujet, il y a des améliorations à faire.
> Pour certaines, j'ai demandé et obtenu l'autorisation d'utiliser leur liste. 
> Pour d'autres, j'ai rien entendu comme retour.
> Il y a surement des redondances, ce qui ne me dérange pas. Au final je 
> fabrique une liste unique.
> 
> J'ai aussi des listes et des feeds BGP dont j'ai explicitement reçu 
> l'autorisation d'utiliser mais non pas de redistribuer, ces préfixes sont 
> taggués en no-export et ne sont ni listés ci-dessous ni redistribués.
> 
> "http://www.projecthoneypot.org/list_of_ips.php?t=d=1; # Project Honey 
> Pot Directory of Dictionary Attacker IPs
> "http://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.1.1.1;  # TOR 
> Exit Nodes

Bloquer tous les nœuds de sortie Tor est du même acabit que de bloquer
tous les points d'accès Wi-Fi publics (mais personne n'a compilé une
telle liste à ma connaissance). Cela empêchera des personnes qui ont
besoin de contourner des dispositifs de filtrages ou de censure
d'accéder au réseau.

Si l'enjeux c'est limiter des attaques, mieux vaut utiliser des systèmes
qui limite le surblocage, non ?

-- 
Lunar 


signature.asc
Description: Digital signature

RE: [FRnOG] [TECH] Le pare-feu du geek barbu

[Michel Py]

> Lunar a écrit :
> Bloquer tous les nœuds de sortie Tor est du même acabit que de bloquer tous 
> les points d'accès Wi-Fi publics

Non. Il n'y a personne qui a besoin de Tor pour accéder à mon réseau, et au 
contraire il y en a plein (à commencer par mon propre gouvernement) qui veulent 
s'en servir a des fins illégales.
Sur ma sonde, la très grande majorité des alarmes en provenance d'un nœud de 
sortie Tor est du trafic BitTorrent, faudrait quand même pas essayer de 
m'expliquer qu'utiliser Tor pour télécharger des films de cul piratés c'est 
nécessaire.


> Cela empêchera des personnes qui ont besoin de contourner des dispositifs de 
> filtrages ou de censure d'accéder au réseau.

D'accéder à _MON_ réseau, et je ne connais aucune de ces personnes. Je ne 
critique pas Tor, je n'empêche pas les gens de s'en servir, je comprends qu'il 
y a des personnes dont la liberté d'expression est limitée qui en ont besoin, 
mais personne qui a besoin de dissimuler son identité n'a besoin d'accéder mon 
réseau, donc je bloque.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Clement Cavadore]

Salut Michel,

On Sun, 2016-01-03 at 18:29 +, Michel Py wrote:
> Ceux qui n'ont pas peur peuvent me contacter en privé pour une session eBGP 
> et les détails.

Pourquoi ne pa donner plus de détails ici ?

Par exemple, les listes noires utilisées, eventuellement si tu taggues
avec des communauéts BGP particulières en f() de la liste de laquelle
provient le préfixe, etc... bref, comment tu as construit ton truc,
quoi. Le sujet est intéressant, amha !

Bonne année les Réseauteux (et, soyons fou, les Cravateux) de la liste !
-- 
Clément Cavadore




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Pierre Lagoutte]

Bonsoir Michel.

J'espère que ce n'est pas la solution que tu proposes à Madame Michu 
quand elle sera multi-homee (demain)
Même si sa conf sera télé-exploitée (à quel prix), quelle confiance lui 
accorder ?

C'est totalement effrayant. beurk

Pierre


==
Le 03/01/2016 19:29, Michel Py a écrit :

Bonjour la liste, et bonne année à tous.

Avec un peu de retard, le Père Noël a fini par accoucher le pare feu du geek 
barbu : un feed BGP RBH qui contient environ 36000 préfixes à envoyer dans 
null0.

Quelques scripts écrits avec les pieds en Python et en bash récupèrent toutes 
les 20 minutes une série de liste noires publiques, compilent et moulinent tout 
çà dans ExaBGP qui à son tour envoie les préfixes au routeur. Le blocage est 
donc fait directement sur l'interface externe (en plus de router sur null0 je 
fais aussi du RPF).

Seulement les changements sont envoyés aux pairs eBGP toutes les 20 minutes, 
donc la charge sur le routeur (passé l'établissement initial de la session) est 
faible. Je fais çà sur un c1841 sans problème.

Ceux qui n'ont pas peur peuvent me contacter en privé pour une session eBGP et 
les détails.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Le pare-feu du geek barbu

[Michel Py]

> Clement Cavadore a écrit :
> Pourquoi ne pa donner plus de détails ici ? Par exemple, les listes noires 
> utilisées,

Voici la liste à ce moment précis, je suis plus qu'à l'écoute des commentaires 
à ce sujet, il y a des améliorations à faire.
Pour certaines, j'ai demandé et obtenu l'autorisation d'utiliser leur liste. 
Pour d'autres, j'ai rien entendu comme retour.
Il y a surement des redondances, ce qui ne me dérange pas. Au final je fabrique 
une liste unique.

J'ai aussi des listes et des feeds BGP dont j'ai explicitement reçu 
l'autorisation d'utiliser mais non pas de redistribuer, ces préfixes sont 
taggués en no-export et ne sont ni listés ci-dessous ni redistribués.

"http://www.projecthoneypot.org/list_of_ips.php?t=d=1; # Project Honey Pot 
Directory of Dictionary Attacker IPs
"http://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.1.1.1;  # TOR Exit 
Nodes
"http://danger.rulez.sk/projects/bruteforceblocker/blist.php; # 
BruteForceBlocker IP List
"http://rules.emergingthreats.net/blockrules/compromised-ips.txt;
"http://rules.emergingthreats.net/blockrules/emerging-botcc.excluded;
"http://rules.emergingthreats.net/blockrules/emerging-botcc.portgrouped.rules;
"http://rules.emergingthreats.net/blockrules/emerging-botcc.rules;
"http://rules.emergingthreats.net/blockrules/emerging-ciarmy.rules;
"http://rules.emergingthreats.net/blockrules/emerging-compromised-BLOCK.rules;
"http://rules.emergingthreats.net/blockrules/emerging-compromised.rules;
"http://rules.emergingthreats.net/blockrules/emerging-drop-BLOCK.rules;
"http://rules.emergingthreats.net/blockrules/emerging-drop.rules;
"http://rules.emergingthreats.net/blockrules/emerging-dshield-BLOCK.rules;
"http://rules.emergingthreats.net/blockrules/emerging-dshield.rules;
"http://rules.emergingthreats.net/blockrules/emerging-rbn-BLOCK.rules;
"http://rules.emergingthreats.net/blockrules/emerging-rbn-malvertisers-BLOCK.rules;
"http://rules.emergingthreats.net/blockrules/emerging-rbn-malvertisers.rules;
"http://rules.emergingthreats.net/blockrules/emerging-rbn.rules;
"http://rules.emergingthreats.net/blockrules/emerging-tor-BLOCK.rules;
"http://rules.emergingthreats.net/blockrules/emerging-tor.rules;
"http://rules.emergingthreats.net/blockrules/rbn-ips.txt; # Emerging Threats - 
Russian Business Networks List
"http://www.spamhaus.org/drop/drop.lasso; # Spamhaus Don't Route Or Peer List 
(DROP)
"http://www.spamhaus.org/drop/edrop.lasso; # Spamhaus Don't Route Or Peer List 
(EDROP)
"http://cinsscore.com/list/ci-badguys.txt; # C.I. Army Malicious IP List
"http://www.openbl.org/lists/base_7days.txt;  # OpenBL.org 7 day List
"http://www.autoshun.org/files/shunlist.csv; # Autoshun Shun List
"http://lists.blocklist.de/lists/all.txt; # blocklist.de attackers
"http://hosts-file.net/rss.asp;
"https://www.myip.ms/files/blacklist/csf/latest_blacklist.txt;
"http://malc0de.com/bl/IP_Blacklist.txt;
"https://sslbl.abuse.ch/blacklist/sslipblacklist.csv;

Listes que je n'utilise plus : les listes de wizcrafts.net. Ces listes bloquent 
des centaines de millions d'IP (il y a même un /8 dedans) et ne produisent 
aucun résultat. J'avais par exemple essayé de bloquer la Chine entière, et çà 
ne bloquait que très peu d'attaques provenant de Chine.


> bref, comment tu as construit ton truc, quoi

J'ai pompé des bouts de code à droite et à gauche, çà s'appelle de la recherche 
:-D
Il y a ExaBGP, quelques lignes de Python tellement nulles que j'ai peur de 
poster le source, et un bout de bash.

> eventuellement si tu taggues avec des communauéts BGP particulières en f() de 
> la liste de laquelle provient le préfixe,

Non; je devrais dire pas encore, c'est dans mon élevage de yàkà; ça va 
considérablement compliquer le code. Aujourd'hui je taggue tout avec 65532:666 
;-)
C'est ce que font les fournisseurs de feed BGP payants. Je vois bien l'intérêt 
: s'il y avait une liste en particulier qui bloque trop de choses, il suffirait 
de ne pas faire le match community dans la route-map in. Ceci dit, pour 
l'instant je suis plutôt à l'écoute de quelles sont les bonnes listes à 
utiliser ou pas.


Réponses à des questions en privé :
> Quelles types de routes y sont listées ?
/10: 1
/12: 2
/14: 10
/15: 13
/16: 178
/17: 25
/18: 53
/19: 74
/20: 91
/21: 54
/22: 110
/23: 46
/24: 306
/32: 35776
Prefixes : 36,739. Total IP count : 25,309,632.

Ca change tout le temps, naturellement.


> Est-ce que tu penses que ça peut typiquement être un moyen de lutter contre 
> les attaques DDoS, par exemple ?

Si tu as un arrangement avec ton FAI pour qu'il accepte ta liste et bloque en 
amont, oui. Techniquement possible, politiquement difficile.


---
Liste de diffusion du FRnOG
http://www.frnog.org/