Re: [FRnOG] [tech] l'ICANN veut mettre fin a WHOIS
Le 2013-06-26 07:27, Raphaël Jacquot a écrit : l'article est la http://www.computerworld.com.au/article/465895/icann_working_group_seeks_kill_whois/ Le titre est sensationnaliste. WHOIS ne mourra pas, du moins pas dès le début. Il sera gardé opérationnel en parallèle. le formulaire pour donner votre avis ici: http://www.icann.org/en/groups/other/gtld-directory-services/share-24jun13-en.htm imho, ca fait partie des trucs pour lesquels If it ain't broke, don't fix it Justement, WHOIS est broken. Fixons-le. (Conservateurs, les opérateurs réseau? Non! Ils sont progressistes et ouverts au changement.) Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Cisco pour transit ?
L'ASR1001 est il de meme puissance qu'un Cisco 7201 mais en version routage hardware ? l'asr est beaucoup beaucoup plus puissant en terme de CPU, et fait le routage en hard, mais $$$ J'apprecie aussi beaucoup la plateforme Cisco 6500, mais je croyais que la Sup720-3BXL n'etait pas trop prevu pour la full table (j'en ai en stock en plus ..) me serais je trompé ? vaudrait il mieux mettre une Sup720-3BXL qu'un Cisco 7201 ? Ca me semble plus approprié, en cas d'attaque ddos ou gros pic de trafic la sup720 fera le routage en hardware, le cisco 7201 tombera. De nos jours, mettre un routeur soft en border, je trouve cela très joueur. Pour finir, cela me fait reflechir car j'ai trois transitaires full table IPv4/IPv6 qui sont tous raccordés a des cisco 7201 ;=) deux routeurs, un a deux transitaires, l'autre a un transitaire et quelques peering. Les remplacer par de la Sup720-3BXL apporterait plus de sécurité performance d’après vous ? La sup720-3BXL supporterait deux a trois transitaires full table + le renvoi vers les deux routes server ? Ca passe mais le cpu de la sup720 (un vieux R7000 à 600 MHz) commencera à souffrir sérieusement si tu as un point d'échange avec pas mal de sessions bgp qui flap. Le problème c'est pas le forwarding, c'est l'IGP, si le cpu passe son temps à calculer du bgp, et que le l'IGP a besoin aussi de cpu, tout peut tomber et la c'est la boucle infernale. Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 2013-06-26 10:31, Stephane Bortzmeyer a écrit : Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html http://www.amazon.fr/Holon-Philippe-Colonna/dp/2020087960 a+ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Bonjour Stéphane, Affinons plusieurs scénarii: 1- L'état (ou la boite) surveilleur a accès à l'infrastructure du réseau. Dans ce cas la solution la plus simple n'est pas de demander au routeur de récupérer les paquets mais de mettre un splitter (optique) et de récupérer le flot sur une sonde de capture. Ainsi ni vu, ni connu. C'est ce qui est fait dans la plupart des systèmes de surveillance (genre échelon), donc pas besoin de mettre de la charge sur le routeur. 2- L'état surveilleur n'a pas accès à l'infrastructure. Je repête qu'on est dans le coeur de réseau. Dans ce cas tu peux toujours récupérer une partie du trafic et le renvoyer à une adresse de collecte. Ce trafic recopié et renvoyé, noyé dans le trafic normal, et puisque tu ne capture pas la totalité du trafic mais seulement une partie (définie par un masque d'adresse ou une règle genre ACL), tu ne vois pas une augmentation notable. Si l'augmentation est notable tu peux même être un peu vicieux et ne pas le montrer sur le SNMP ou le netflow. Etant donné que dans un routeur de coeur personne ne regarde en détail son traffic (jusqu'à vérifier la validité de tous les flots car il y'en a généralement une dizaine de mille en parallèle) , ça passe. J'ai des infos que ce que je décris à été fait et est fait dans certains cas. La plupart par l'ajout par l'opérateur dans sa table de routage sur demande des autorités. Il est très facile d'imaginer que cela puisse être fait à l'insu de l'opérateur par backdoor (en court-circuitant les règles BGP) 3- IPFIX (évolution de Netflow) permet de faire de la capture de paquet et le renvoi de ce paquet. La aussi sur une partie du trafic. Le surveilleur récupère ensuite les données ou sur une adresse de collecte particulière. Ou en hackant le serveur de collecte de l'opérateur (tournant fréquemment sur CACTI ou autre sur des serveurs linux). Donc c'est possible et pire c'est fait. Maintenant il n'y a aucune raison de soupçonner Huawei de le faire plus que CISCO ou Juniper … J'en parlerai la semaine prochaine juste après Bockel : http://econflicts.blogspot.fr/2013/06/conference-chine-strategies-et.html A+ Kavé Salamatian Le 26 juin 2013 à 10:31, Stephane Bortzmeyer bortzme...@nic.fr a écrit : Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 2013-06-26 10:31, Stephane Bortzmeyer a écrit : Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html - l'avis technique complémentaire est que l'information traverse de nombreux routeurs, la requête qui filtrerait le contenu à espioner serait une requête qui prendrait des morceaux de l'information et les reconstituraient ailleurs. - mais le plus simple est de mettre une sonde qui dupliquerait l'onde électromagnétique des tuyaux optiques des liens trans-continentaux sous-marin, plus l' espionnage via les satellite des ondes radios. la crypto a un poids si il y a encore des mathématiciens capables de casser les codes qui seraient concernés par les droits des citoyens et qui ne seraient pas salarié de l'administration américaine. la probabilité est faible d'être dans les meilleures conditions. Un fait intéressant, le gouvernement.fr, Tests IP sur www.gouvernement.fr. = 4.23.61.126 [US] , LEVEL 3. Propriétaire du réseau = LVLT-ORG-4-8 Réseau = 4.0.0.0 - 4.255.255.255 donc juridiquement sous l'autorité américaine et du patriotact. donc pas la peine le backdoor, il suffit de demander. On se rappellera de la visite du réseau de l'état pendant la guerre en lybie par les Américains ? sous l'autorité du démocrate Obama... ? je dois être trop parano :) les américains sont nos alliés ! (A oui ! alliés veut pas dire ami...) a+ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Hello, Le 6/26/13 11:25 AM, Frédéric a écrit : Un fait intéressant, le gouvernement.fr, Tests IP sur www.gouvernement.fr. = 4.23.61.126 [US] , LEVEL 3. Propriétaire du réseau = LVLT-ORG-4-8 Réseau = 4.0.0.0 - 4.255.255.255 donc juridiquement sous l'autorité américaine et du patriotact. donc pas la peine le backdoor, il suffit de demander. Si je ne dis pas de bêtise, tu es en train de sous-entendre qu'avoir un CDN pour mirrorer des pages webs publiques d'un site de l'état est lié à un problème de sécurité des données des infras derrière ? On ne mélangerait pas un peu tout là ? A+, Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] [ANNONCE] Netmagis 2.2.0 est disponible
Bonjour, Nous sommes fiers de vous annoncer la sortie de la version 2.2.0 de Netmagis : http://netmagis.org Cette version majeure inclut, parmi d'autres nouveautés, le support des vues DNS, une meilleure latence de génération des zones DNS et une nouvelle fonctionnalité de recherche. Le schéma de la base de données (tables et colonnes) a été traduit en anglais de manière que le maximum de personnes puissent contribuer au code. Un nouveau test a été implémenté pour vérifier la cohérence entre le code de Netmagis et le schéma de la base, de manière à éviter les accidents de mise à jour. Pour plus d'information, vous pouvez vous référer aux notes de version : http://netmagis.org/relnotes.html Merci à tous les contributeurs, et spécialement à Schplurtz qui nous ont aidé à corriger les derniers bugs ;-) Pierre David, Jean Benoit Sébastien Boggia -- Netmagis est une application complète, destinée à l'administrateur d'un réseau, pour : - gérer des adresses IPv4 et IPv6 ; - générer les données pour votre serveur DNS et disposer de fichiers de zone pour BIND toujours à jour et cohérents ; - décentraliser la gestion du DNS vers des correspondants réseau, des gestionnaires de parc ou toute personne non spécialisée dans la gestion d'un serveur DNS ; - spécifier des groupes de correspondants, et des droits d'accès très fins sur les adresses (jusqu'à l'adresse IPv4 ou IPv6 près), les domaines, etc. ; - supporter des configurations avancées telles que le support des vues DNS ; - gérer des allocations DHCP statiques ou dynamiques, avec des profils pour paramétrer le démarrage de vos équipements ; - utiliser votre annuaire LDAP existant pour gérer les comptes des utilisateurs, ou alors gérer les comptes avec la base de données de Netmagis ; - gérer un grand nombre de réseaux, de correspondants, de domaines, de profils DHCP, etc. - visualiser, grâce à des plans générés automatiquement la topologie de votre réseau (commutation et routage) - fournir l'accès ces plans aux correspondants réseau - affecter des VLANs aux interfaces de vos équipements via une simple interface Web (pour les équipements de marque Cisco, HP, Juniper) - décentraliser l'affectation des VLANs vers des correspondants réseau, des gestionnnaires de parc, ou toute personne non spécialisée dans la gestion des équipements - voir les courbes de trafic que vous aurez spécifiées sur vos équipements - localisez les machines par adresse IP, adresse MAC ou port d'équipement réseau Netmagis s'appuie sur une base de données décrivant vos réseaux, les droits que vous confiez à tel ou tel groupe de correspondants réseau, les profils DHCP que vous pouvez affecter à tel ou tel groupe de machines. À ce titre, Netmagis constitue un véritable système d'information réseau. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
- Mail original - De: Frédéric frede...@placenet.org À: frnog@frnog.org Envoyé: Mercredi 26 Juin 2013 11:25:47 Objet: Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ? Le 2013-06-26 10:31, Stephane Bortzmeyer a écrit : Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html - l'avis technique complémentaire est que l'information traverse de nombreux routeurs, la requête qui filtrerait le contenu à espioner serait une requête qui prendrait des morceaux de l'information et les reconstituraient ailleurs. - mais le plus simple est de mettre une sonde qui dupliquerait l'onde électromagnétique des tuyaux optiques des liens trans-continentaux sous-marin, plus l' espionnage via les satellite des ondes radios. ou alors dans le monde réel : http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/lawful/intercept/65LIch1.html tu peut filtrer sur ip/port/proto (dixit la doc/mib) tu combine ca avec un google qui t'identifie l'ip d'un mec a partir des cookie et des paquet udp qui qui passe a travers les acl pour arriver au cpu depuis une ip particulierement bien hard codé et roule ma poule --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 2013-06-26 11:35, Frederic Dhieux a écrit : Hello, Le 6/26/13 11:25 AM, Frédéric a écrit : Un fait intéressant, le gouvernement.fr, Tests IP sur www.gouvernement.fr. = 4.23.61.126 [US] , LEVEL 3. Propriétaire du réseau = LVLT-ORG-4-8 Réseau = 4.0.0.0 - 4.255.255.255 donc juridiquement sous l'autorité américaine et du patriotact. donc pas la peine le backdoor, il suffit de demander. Si je ne dis pas de bêtise, tu es en train de sous-entendre qu'avoir un CDN pour mirrorer des pages webs publiques d'un site de l'état est lié à un problème de sécurité des données des infras derrière ? On ne mélangerait pas un peu tout là ? je dis que les Ips américaine sont sous autorité des états unis et que les logs des ips qui consultent, quoi et quand sont donc juridiquement accessibles. a+ A+, Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On Wed, Jun 26, 2013, at 11:25, Frédéric wrote: - mais le plus simple est de mettre une sonde qui dupliquerait l'onde électromagnétique des tuyaux optiques des liens trans-continentaux sous-marin, plus l' espionnage via les satellite des ondes radios. Tu connais le principe de fonctionnement de la fibre optique ? Tu as une idee de ce qu'il faut pour reccuperer en orbite un signal lance depuis le fond de l'ocean (ou enterre a plus d'un metre dans le trottoir) ? Un fait intéressant, le gouvernement.fr, Tests IP sur www.gouvernement.fr. = 4.23.61.126 [US] , LEVEL 3. Il me semble que ca a ete deja discute ici, et que ca a ete explique pourquoi ce n'est pas un probleme. Mot-cle : CDN --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
un exemple de pure fiction : toute ressemblance avec un fait ou une personne ayant existé serait purement fortuite... j'identifie les ips qui se connectent à l'admin du site web. j'identifie donc les personnes habitlités à communiquer ET ne pas communiquer les informations du gouvernement. donc une personne en relation et au fait de l'action gouvernementale la suite serait simple... :) a+ Le 2013-06-26 11:35, Frederic Dhieux a écrit : Hello, Le 6/26/13 11:25 AM, Frédéric a écrit : Un fait intéressant, le gouvernement.fr, Tests IP sur www.gouvernement.fr. = 4.23.61.126 [US] , LEVEL 3. Propriétaire du réseau = LVLT-ORG-4-8 Réseau = 4.0.0.0 - 4.255.255.255 donc juridiquement sous l'autorité américaine et du patriotact. donc pas la peine le backdoor, il suffit de demander. Si je ne dis pas de bêtise, tu es en train de sous-entendre qu'avoir un CDN pour mirrorer des pages webs publiques d'un site de l'état est lié à un problème de sécurité des données des infras derrière ? On ne mélangerait pas un peu tout là ? A+, Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 26 juin 2013 à 11:55, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Jun 26, 2013, at 11:25, Frédéric wrote: - mais le plus simple est de mettre une sonde qui dupliquerait l'onde électromagnétique des tuyaux optiques des liens trans-continentaux sous-marin, plus l' espionnage via les satellite des ondes radios. Tu connais le principe de fonctionnement de la fibre optique ? Tu as une idee de ce qu'il faut pour reccuperer en orbite un signal lance depuis le fond de l'ocean (ou enterre a plus d'un metre dans le trottoir) ? Tu connais c'est qu' est un splitter optique :-) C'est ce dont il parle dans la première partie de sa phrase. Dans la seconde il parle d'onde radio. Qui peuvent très bien être surveillé par satellite ! Un fait intéressant, le gouvernement.fr, Tests IP sur www.gouvernement.fr. = 4.23.61.126 [US] , LEVEL 3. Il me semble que ca a ete deja discute ici, et que ca a ete explique pourquoi ce n'est pas un probleme. Mot-cle : CDN --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On Wed, Jun 26, 2013, at 11:47, Frédéric GANDER wrote: ou alors dans le monde réel : http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/lawful/intercept/65LIch1.html tu peut filtrer sur ip/port/proto (dixit la doc/mib) Je cite: The LEA delivers a request for a wiretap to the target's service provider, who is responsible for intercepting data communication to and from the individual. Donc oui, un routeur peut espioner du traffic, mai a condition qui les gens qui l'operent se fatiguent a bien le configurer pour la tache. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 2013-06-26 11:55, Radu-Adrian Feurdean a écrit : On Wed, Jun 26, 2013, at 11:25, Frédéric wrote: - mais le plus simple est de mettre une sonde qui dupliquerait l'onde électromagnétique des tuyaux optiques des liens trans-continentaux sous-marin, plus l' espionnage via les satellite des ondes radios. Tu connais le principe de fonctionnement de la fibre optique ? Tu as une idee de ce qu'il faut pour reccuperer en orbite un signal lance depuis le fond de l'ocean (ou enterre a plus d'un metre dans le trottoir) ? j'avais lu, l'existance d'un équipement capable de dupliquer le signal en étant positionné à coté de la fibre optique je vais recherche la source et tu y vas au fond de l'ocean en grande profondeur ? je crois qu'il y a que les militaires capables de cela... Un fait intéressant, le gouvernement.fr, Tests IP sur www.gouvernement.fr. = 4.23.61.126 [US] , LEVEL 3. Il me semble que ca a ete deja discute ici, et que ca a ete explique pourquoi ce n'est pas un probleme. Mot-cle : CDN je vois pas ce que change le CDN dans l' empêchement de l'espionnage ? a+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 26/06/2013 10:31, Stephane Bortzmeyer a écrit : Des avis techniques sur cette analyse ? Plusieurs points : - On a aucune idée de ce qu'il y a exactement dans les ASIC. On sait par contre qu'ils savent à minima matcher des patterns sur les entêtes. Pourquoi pas sur le contenu ? Une analyse basée sur la consommation du chip et la taille du die suffit à écarter l'hypothèse, mais on ne peut pas exclure que certains modèles export en soient capables. - La duplication des contenus sur un routeur d'un réseau non accessible physiquement est trop improbable pour en faire une hypothèse viable. Rasoir d'Occam, tout ça... - Les écoutes sur les landing points des câbles sont un fait avéré. Au cas ou vous ayez déjà visité un de ces landing points, même avec des privilèges d'accès élevés, vous noterez qu'il y a toujours au moins une salle à laquelle vous n'aurez jamais accès. Seuls les gens d'Alcatel et Bull (et leurs homologues) l'ont. Dans d'autres cas, pour les transmissions terrestres, notez que certains tracés longue distance passent juste pile poil au milieu de bases militaires plus ou moins désaffectées, ou de stations de renseignement connues. C'est le cas du Paris-Hendaye dans les Yvelines, par exemple. Aucun intérêt à forker le contenu depuis des réseaux tiers donc, surtout que... - L'intérêt des backdoors sur des routeurs de coeur de réseau est justement de ne s'en servir que de control-plane. Il suffit de s'arranger pour que le flux ciblé passe par un câble équipé pour récupérer le contenu. Ou bien d'autre choses d'ailleurs (pilosov-kapella, anyone ?) @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On 26 Jun 2013, at 11:18, Jérôme Nicolle jer...@ceriz.fr wrote: Une analyse basée sur la consommation du chip et la taille du die suffit à écarter l'hypothèse, mais on ne peut pas exclure que certains modèles export en soient capables. http://www.cl.cam.ac.uk/~sps32/ches2012-backdoor.pdf Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de c??ur de réseau peut-il espionner le trafic ?
je te file le sujet suivant: le pays qui possede une boite d'anti-virus peut preparer une base de signature speciale pour une IP victime (genre une entreprise ou un gouvernement) puis avec les mises à jour automatique rendre tous les pc vulnerables à une attaque. puis envoyer les emails avec les virus puis installer les backdoors et sortir les infos strategiques. après les routeurs, l'anti virus, tu peux parler du SaaS: utiliser un CRM d'une boite americaine c'est de la pure folie pour de grand groupes européen qui sont en concurence avec les boites americaines. pareil pour les emails. par exemple nous on oblige nos avocats exterieurs d'être sur nos plateformes d'emails. il y a tellement de maniere de recuperer les infos strategiques qu'il faudra des années à un pays comme la France pour mettre en place les solutions en face. bref, on peut déjà dire que c'est trop tard. les bons exemples à citer: airbus. de reunions sans telephones ni pc. juste des feuilles A4. parano ? même pas .. c'est juste la réalité. On Wed, Jun 26, 2013 at 10:31:31AM +0200, Stephane Bortzmeyer wrote: Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Bonjour FNnOG, On Wed, Jun 26, 2013 at 12:03:28PM +0200, Frédéric wrote: (Où ça parle de dupliquer le trafic d'une fibre optique...) et tu y vas au fond de l'ocean en grande profondeur ? je crois qu'il y a que les militaires capables de cela... Pour info, l'US Navy n'a pas construit le sous-marin USS Jimmy Carter et sa chambre spéciale de plongée pour rien : https://fr.wikipedia.org/wiki/USS_Jimmy_Carter_%28SSN-23%29 PS : sont moqueurs dans l'US Navy, appeler un sous-marin spécial Spy du nom du président démocrate le moins va-t'en guerre du XXème siècle ;) Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On Wed, Jun 26, 2013, at 12:02, Kavé Salamatian wrote: - mais le plus simple est de mettre une sonde qui dupliquerait l'onde électromagnétique des tuyaux optiques des liens trans-continentaux sous-marin, plus l' espionnage via les satellite des ondes radios. Tu connais le principe de fonctionnement de la fibre optique ? Tu as une idee de ce qu'il faut pour reccuperer en orbite un signal lance depuis le fond de l'ocean (ou enterre a plus d'un metre dans le trottoir) ? Tu connais c'est qu' est un splitter optique :-) C'est ce dont il parle dans la première partie de sa phrase. Dans la seconde il parle d'onde radio. Qui peuvent très bien être surveillé par satellite ! Il n'y a que moi qui pense qu'il y a plus simple pour intercepter ce qui passe sur un lien trans-atlantique ? Quand aux autres cables sous-marins, c'est soit le meme chose, soit pas possible sans laisser des traces, en fonction de qui veut faire l'ecoute (les US taper sur un des SMW par exemple, ca doit etre de la belle acrobatie politique). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de c??ur de réseau peut-il espionner le trafic ?
Bonjour, Le 26/06/2013 12:40, o...@ovh.net a écrit : par exemple nous on oblige nos avocats exterieurs d'être sur nos plateformes d'emails. Il faut juste s'habituer aux *** PROBABLY SPAM ***, après ça va tout seul. Cordialement, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 26 juin 2013 à 13:35, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Jun 26, 2013, at 12:02, Kavé Salamatian wrote: - mais le plus simple est de mettre une sonde qui dupliquerait l'onde électromagnétique des tuyaux optiques des liens trans-continentaux sous-marin, plus l' espionnage via les satellite des ondes radios. Tu connais le principe de fonctionnement de la fibre optique ? Tu as une idee de ce qu'il faut pour reccuperer en orbite un signal lance depuis le fond de l'ocean (ou enterre a plus d'un metre dans le trottoir) ? Tu connais c'est qu' est un splitter optique :-) C'est ce dont il parle dans la première partie de sa phrase. Dans la seconde il parle d'onde radio. Qui peuvent très bien être surveillé par satellite ! Il n'y a que moi qui pense qu'il y a plus simple pour intercepter ce qui passe sur un lien trans-atlantique ? Y'a rien de plus simple. 1- tu met un splitter au point de arrimage. 2- tu envois un sous marins mettre un splitter sur le cable? Quand aux autres cables sous-marins, c'est soit le meme chose, soit pas possible sans laisser des traces, en fonction de qui veut faire l'ecoute (les US taper sur un des SMW par exemple, ca doit etre de la belle acrobatie politique). Non aucune acrobatie politique. J'ai vu des splitters sur le point de connexion de Fujairah du SEA-ME-WE 4. Il y'en a surement aux autres points de connexion (Arabie Saoudite, Egypte, Thailand, etc…. Kv --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) PaloAlto le fait super bien (le meilleure à mon avis en l7/IDS/IPS/Antivirus). Mais faut sortir les Sesterces... Et se blinder coté CNIL car les rapport sont touffu. Mais la gestion des droits et prévu pour. Le 26/06/2013 14:16, Youssef Ghorbal a écrit : Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Bonjour à tous, Nouveau dans la liste de diffusion, je profite de l'occasion, ne sachant pas vraiment si elle est justifiée, mais qu'en est-il de Netasq, surtout pour ce genre de besoins ? J'ai travaillé avec pas mal d'équipements de netasq mais pas à sur cette taille de besoins, et pour le coup j'aurais bien aimé avoir vos retours. En tout cas, j'apprécie beaucoup les retours détaillés, j'essaierai d'en faire de même si l'occasion se présente. Bonne journée à vous, 2013/6/26 Youssef Ghorbal youssef.ghor...@gmail.com Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
C'est comme ça que tu avais fais la dernière fois pour filtrer le p2p chez Free ? -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Frédéric GANDER Envoyé : mercredi 26 juin 2013 11:47 À : frede...@placenet.org Cc : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ? - Mail original - De: Frédéric frede...@placenet.org À: frnog@frnog.org Envoyé: Mercredi 26 Juin 2013 11:25:47 Objet: Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ? Le 2013-06-26 10:31, Stephane Bortzmeyer a écrit : Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html - l'avis technique complémentaire est que l'information traverse de nombreux routeurs, la requête qui filtrerait le contenu à espioner serait une requête qui prendrait des morceaux de l'information et les reconstituraient ailleurs. - mais le plus simple est de mettre une sonde qui dupliquerait l'onde électromagnétique des tuyaux optiques des liens trans-continentaux sous-marin, plus l' espionnage via les satellite des ondes radios. ou alors dans le monde réel : http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/lawful/intercept/65LIch1.html tu peut filtrer sur ip/port/proto (dixit la doc/mib) tu combine ca avec un google qui t'identifie l'ip d'un mec a partir des cookie et des paquet udp qui qui passe a travers les acl pour arriver au cpu depuis une ip particulierement bien hard codé et roule ma poule --- Liste de diffusion du FRnOG http://www.frnog.org/ - Aucun virus trouvé dans ce message. Analyse effectuée par AVG - www.avg.fr Version: 2013.0.3345 / Base de données virale: 3199/6439 - Date: 25/06/2013 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
De ce que j'ai entendu PaloAlto meilleur analyse L7 mais très cher pour les volumes importants. Pour ma part je suis fan de stonesoft :) Adrien Le 26 juin 2013 14:22, Sylvain Busson bus...@nic.fr a écrit : Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) PaloAlto le fait super bien (le meilleure à mon avis en l7/IDS/IPS/Antivirus). Mais faut sortir les Sesterces... Et se blinder coté CNIL car les rapport sont touffu. Mais la gestion des droits et prévu pour. Le 26/06/2013 14:16, Youssef Ghorbal a écrit : Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On Wed, Jun 26, 2013, at 14:02, Kavé Salamatian wrote: Non aucune acrobatie politique. J'ai vu des splitters sur le point de connexion de Fujairah du SEA-ME-WE 4. Il y'en a surement aux autres points de connexion (Arabie Saoudite, Egypte, Thailand, etc…. Et a Fujairah ils peuvent intercepter le traffic entre Europe et Hong-Kong ? Quand a l'interceptions sans impunite aux extremites, J'aimerais bien savoir comment les services secret US arrivent a utiliser le splitter a Penmarch ou a Hong-Kong J'accepte bien que c'est techniquement possible dans certains cas (valide par la justice, ou des interets communs de celui qui veut ecouter et de celui qui a la jurisdiction sur la landing-station), mais que ca peut etre fait en secret, j'ai quand-meme des fortes doutes. Il faut aussi se poser la question si ce n'est pas plus simle d'ecouter beaucoup plus pres d'une des destinations, sans se compliquer a intercepter les comms sur la partie long-distance. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Sur une batterie de tests de plusieurs éditeurs il y a quelques jours, Fortinet s'en est le mieux sorti notamment sur la détection AV (quasi 100%) et IDS/IPS. PaloAlto et Stonesoft suivaient derrière. En L3/L4, j'ai pas retenu les perfs mais tout le monde s'en sortait bien à gamme égale. Les ingés CheckPoint avaient apparemment utilisé une nouvelle version du firmware et le firewall est devenu une vraie passoire... Le 26 juin 2013 14:58, Adrien Pestel pestoui...@gmail.com a écrit : De ce que j'ai entendu PaloAlto meilleur analyse L7 mais très cher pour les volumes importants. Pour ma part je suis fan de stonesoft :) Adrien Le 26 juin 2013 14:22, Sylvain Busson bus...@nic.fr a écrit : Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) PaloAlto le fait super bien (le meilleure à mon avis en l7/IDS/IPS/Antivirus). Mais faut sortir les Sesterces... Et se blinder coté CNIL car les rapport sont touffu. Mais la gestion des droits et prévu pour. Le 26/06/2013 14:16, Youssef Ghorbal a écrit : Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Bon a savoir. Fortinet a effectivement très bonne réputation. Merci pour ces infos c'est toujours intéressant Adrien Le 26 juin 2013 15:15, Romain GUICHARD guichard.romai...@gmail.com a écrit : Sur une batterie de tests de plusieurs éditeurs il y a quelques jours, Fortinet s'en est le mieux sorti notamment sur la détection AV (quasi 100%) et IDS/IPS. PaloAlto et Stonesoft suivaient derrière. En L3/L4, j'ai pas retenu les perfs mais tout le monde s'en sortait bien à gamme égale. Les ingés CheckPoint avaient apparemment utilisé une nouvelle version du firmware et le firewall est devenu une vraie passoire... Le 26 juin 2013 14:58, Adrien Pestel pestoui...@gmail.com a écrit : De ce que j'ai entendu PaloAlto meilleur analyse L7 mais très cher pour les volumes importants. Pour ma part je suis fan de stonesoft :) Adrien Le 26 juin 2013 14:22, Sylvain Busson bus...@nic.fr a écrit : Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) PaloAlto le fait super bien (le meilleure à mon avis en l7/IDS/IPS/Antivirus). Mais faut sortir les Sesterces... Et se blinder coté CNIL car les rapport sont touffu. Mais la gestion des droits et prévu pour. Le 26/06/2013 14:16, Youssef Ghorbal a écrit : Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
http://en.wikipedia.org/wiki/Operation_Ivy_Bells pas de la fibre a l’époque, mais les techniques sont les mêmes, voir ci dessus le Jimmy Carter 2013/6/26 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net On Wed, Jun 26, 2013, at 14:02, Kavé Salamatian wrote: Non aucune acrobatie politique. J'ai vu des splitters sur le point de connexion de Fujairah du SEA-ME-WE 4. Il y'en a surement aux autres points de connexion (Arabie Saoudite, Egypte, Thailand, etc…. Et a Fujairah ils peuvent intercepter le traffic entre Europe et Hong-Kong ? Quand a l'interceptions sans impunite aux extremites, J'aimerais bien savoir comment les services secret US arrivent a utiliser le splitter a Penmarch ou a Hong-Kong J'accepte bien que c'est techniquement possible dans certains cas (valide par la justice, ou des interets communs de celui qui veut ecouter et de celui qui a la jurisdiction sur la landing-station), mais que ca peut etre fait en secret, j'ai quand-meme des fortes doutes. Il faut aussi se poser la question si ce n'est pas plus simle d'ecouter beaucoup plus pres d'une des destinations, sans se compliquer a intercepter les comms sur la partie long-distance. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Cisco pour transit ?
Le 26 juin 2013 05:59, Olivier CALVANO o.calv...@gmail.com a écrit : Merci pour vos reponses, je fais donc un petit résumé et repondre. * Full Table: Oui le routeur doit etre connecté a deux routes serveurs, il reçoit de chacun d'eux la full table, ensuite il doit bien la renvoyer aux autres AS. Des route serveurs ou des route reflectors ? * Juniper/Brocade: J'ai un réseau full cisco et j'avoue ne pas etre motivé a changer meme si on me dit que c'est plutôt proche en terme de config/cli. pour le coup Juniper et Cisco c'est pas vraiment pareil. * Budget: je voulais mettre environ 6000 Euro ;=) T'emmerde pas, prend un Brocade CER, j'ai pas d'idée précise du budget mais on doit pas en être trop loin à mon avis. La cli ironware (brocade) c'est de l'ios like, c'est vraiment similaire pour le coup. -- Pierre-Yves Maunier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Je n'ai pas testé mais ce qui remonte souvent c'est que lorsqu’on empile l’utilisation des fonctionnalités IDS/IPS/L7 le Fortinet lâche rapidement prise. Si quelqu'un a de l'info la dessus? SBU Le 26/06/2013 15:15, Romain GUICHARD a écrit : Sur une batterie de tests de plusieurs éditeurs il y a quelques jours, Fortinet s'en est le mieux sorti notamment sur la détection AV (quasi 100%) et IDS/IPS. PaloAlto et Stonesoft suivaient derrière. En L3/L4, j'ai pas retenu les perfs mais tout le monde s'en sortait bien à gamme égale. Les ingés CheckPoint avaient apparemment utilisé une nouvelle version du firmware et le firewall est devenu une vraie passoire... Le 26 juin 2013 14:58, Adrien Pestel pestoui...@gmail.com mailto:pestoui...@gmail.com a écrit : De ce que j'ai entendu PaloAlto meilleur analyse L7 mais très cher pour les volumes importants. Pour ma part je suis fan de stonesoft :) Adrien Le 26 juin 2013 14:22, Sylvain Busson bus...@nic.fr mailto:bus...@nic.fr a écrit : Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) PaloAlto le fait super bien (le meilleure à mon avis en l7/IDS/IPS/Antivirus). Mais faut sortir les Sesterces... Et se blinder coté CNIL car les rapport sont touffu. Mais la gestion des droits et prévu pour. Le 26/06/2013 14:16, Youssef Ghorbal a écrit : Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On Wed, Jun 26, 2013, at 15:30, Michel Moriniaux wrote: http://en.wikipedia.org/wiki/Operation_Ivy_Bells pas de la fibre a l’époque, mais les techniques sont les mêmes, voir ci dessus le Jimmy Carter EM versus fibre, il y a une sacree difference. Pareil, ecouter un cable tout entier (plusieurs 100 de Gbps) pour sortir des morceaux bien choisis. hmmm il y a des meilleures approches. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de c?ur de réseau peut-il espionner le trafic ?
Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : Quand a l'interceptions sans impunite aux extremites, J'aimerais bien savoir comment les services secret US arrivent a utiliser le splitter a Penmarch ou a Hong-Kong Il arrive que 3 câbles à Penmarch, le gros des liaisons transatlantiques arrive en GB où se trouve également une station echelon, donc pays ami. Pour la France, c'est Marseille qui touche le jackpot en terme de landing station. http://www.submarinecablemap.com/ Il doit suffire d'écouter en 1 seul point du câble pour capter tout le trafic, donc depuis un pays ami dans le meilleur des cas, sinon poser une jarretière à proximité d'un pays ami. Fred --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Pour le 10G sur Netasq oublie Pour info Youssef, tu peux regarder du côté des VDOM pour avoir une sorte de virtu sur le boitier hardware que tu achètes, ca permettra de séparer les deux (VDOM L3/L4 only + VDOM L7) en fonction de ton archi. Pas encore testé la feature, mais c'est intéressant à mon avis sur du hardware au dessus de la gamme SMB. Quand à la remarque sur le fait que les boitiers s'effondrent sur analyse L7, je pense que tous les constructeurs sont dans ce cas, à la différence que les ASICs Fortinet en SP semble bien puissant (encore une fois jamais testé, mais les features annoncées semblent sympa, y compris sur l'antivirus flow-based) --- --- Fabien VINCENT Twitter : @beufanet Le 26/06/2013 14:47, Naskaputt a écrit : Bonjour à tous, Nouveau dans la liste de diffusion, je profite de l'occasion, ne sachant pas vraiment si elle est justifiée, mais qu'en est-il de Netasq, surtout pour ce genre de besoins ? J'ai travaillé avec pas mal d'équipements de netasq mais pas à sur cette taille de besoins, et pour le coup j'aurais bien aimé avoir vos retours. En tout cas, j'apprécie beaucoup les retours détaillés, j'essaierai d'en faire de même si l'occasion se présente. Bonne journée à vous, 2013/6/26 Youssef Ghorbal youssef.ghor...@gmail.com Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On Wed, Jun 26, 2013 at 10:31:31AM +0200, Stephane Bortzmeyer bortzme...@nic.fr wrote a message of 8 lines which said: Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html Plein d'excellentes remarques, donc je viens de mettre à jour, merci à tous. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On Wed, Jun 26, 2013 at 11:09:24AM +0200, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote a message of 124 lines which said: Affinons plusieurs scénarii: Non, je me focalisais sur un scénario, celui du rapport Bockel, où l'attaquant fournit le routeur mais c'est tout. 1- L'état (ou la boite) surveilleur a accès à l'infrastructure du réseau. Dans ce cas la solution la plus simple n'est pas de demander au routeur de récupérer les paquets mais de mettre un splitter (optique) Peu importe les détails technqiues : si l'attaquant contrôle le réseau, pas besoin d'être polytechnicien pour se rendre compte qu'il peut espionner facilement. J'ai des infos que ce que je décris à été fait et est fait dans certains cas. En sécurité, ceux qui savent ne parlent pas, ceux qui parlent ne savent pas. Donc, « j'ai des informations mais je ne peux pas vous les dire », ça ne sert pas à grand'chose, à part à frimer (je connais des secrets, cela vous ferait peur si vous saviez). Donc c'est possible et pire c'est fait. Maintenant il n'y a aucune raison de soupçonner Huawei de le faire plus que CISCO ou Juniper … Et Alcatel ! Le pays d'Amesys n'est pas en retard. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On Wed, Jun 26, 2013 at 11:25:47AM +0200, Frédéric frede...@placenet.org wrote a message of 52 lines which said: - mais le plus simple est de mettre une sonde qui dupliquerait l'onde électromagnétique des tuyaux optiques des liens trans-continentaux sous-marin, plus l' espionnage via les satellite des ondes radios. Sans doute mais ce n'était pas du tout l'objet de mon article, consacré à une question technique plus précise « est-ce qu'un attaquant qui contrôle le routeur peut espionner tout le trafic ? » --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On Wed, Jun 26, 2013 at 12:18:39PM +0200, Jérôme Nicolle jer...@ceriz.fr wrote a message of 46 lines which said: - On a aucune idée de ce qu'il y a exactement dans les ASIC. On sait par contre qu'ils savent à minima matcher des patterns sur les entêtes. Pourquoi pas sur le contenu ? Il n'y a pas une limite de taille à ce que l'ASIC reçoit du paquet ? Genre 64 ou 128 octets, suffisant pour son travail normal mais pas pour de la recherche sur le contenu ? (Pas facile de gérer des données de taille variable dans un ASIC.) - La duplication des contenus sur un routeur d'un réseau non accessible physiquement est trop improbable pour en faire une hypothèse viable. Rasoir d'Occam, tout ça... Une question opérationnelle au passage : si un routeur prend l'initiative d'envoyer des paquets à une adresse IP quelconque, quel est le pourcentage de réseaux qui le laisseront faire ? Car le routeur peut être bloqué par un pare-feu, ou peut même avoir des adresses IP privées. Donc, même si le routeur *veut* envoyer des données, quelle est la probabilité, sur un réseau d'opérateur typique, qu'il le *puisse* ? --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Un routeur de c??ur de réseau peut-il espionner le trafic ?
On Wed, Jun 26, 2013 at 12:40:31PM +0200, o...@ovh.net o...@ovh.net wrote a message of 39 lines which said: il y a tellement de maniere de recuperer les infos strategiques Oui, mais je n'essayais pas de faire une analyse complète de tous les problèmes de sécurité sur l'Internet. Je me focalisais sur *un* problème précis. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 2013-06-26 16:23, Stephane Bortzmeyer a écrit : On Wed, Jun 26, 2013 at 11:25:47AM +0200, Frédéric frede...@placenet.org wrote a message of 52 lines which said: - mais le plus simple est de mettre une sonde qui dupliquerait l'onde électromagnétique des tuyaux optiques des liens trans-continentaux sous-marin, plus l' espionnage via les satellite des ondes radios. Sans doute mais ce n'était pas du tout l'objet de mon article, consacré à une question technique plus précise « est-ce qu'un attaquant qui contrôle le routeur peut espionner tout le trafic ? » tout le trafic, cela se verra rapidement, mais plusieurs routeurs (la même marque et la meme série serait un plus :) et avec un ciblage précis. a+ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Une question opérationnelle au passage : si un routeur prend l'initiative d'envoyer des paquets à une adresse IP quelconque, quel est le pourcentage de réseaux qui le laisseront faire ? Car le routeur peut être bloqué par un pare-feu, ou peut même avoir des adresses IP privées. Donc, même si le routeur *veut* envoyer des données, quelle est la probabilité, sur un réseau d'opérateur typique, qu'il le *puisse* ? utiliser à l'insu un routeur, implique un minium d'examiner son routage... a+ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Stephane Bortzmeyer a écrit: Il n'y a pas une limite de taille à ce que l'ASIC reçoit du paquet ? Genre 64 ou 128 octets, suffisant pour son travail normal mais pas pour de la recherche sur le contenu ? (Pas facile de gérer des données de taille variable dans un ASIC.) Question de gros sous comme d'habitude. Ne pas sous-estimer combien un gouvernement peut dépenser pour espionner: bien avant le Jimmy Carter, le Glomar Explorer. http://en.wikipedia.org/wiki/GSF_Explorer http://www.gwu.edu/~nsarchiv/nukevault/ebb305/ $350M en 1974, $1658M aujourd'hui. Si Oncle Sam arrive dans le bureau de Mr Cisco avec un chèque d'un milliard et demi, ça se pourrait que la taille de l'ASIC augmente comme par miracle; à ce prix-là t'as même droit à un vrai bullshit de première classe pour justifier. Une question opérationnelle au passage : si un routeur prend l'initiative d'envoyer des paquets à une adresse IP quelconque, quel est le pourcentage de réseaux qui le laisseront faire ? Car le routeur peut être bloqué par un pare-feu, ou peut même avoir des adresses IP privées. Donc, même si le routeur *veut* envoyer des données, quelle est la probabilité, sur un réseau d'opérateur typique, qu'il le *puisse* ? Je ne vois pas ou est le problème. S'il est vrai que les adresses du routeur lui-même risquent d'être bloquées, rien n'empêche le routeur de générer un paquet avec une IP qui circulerait librement. Scénario facile: il suffit d'avoir 2 PC qui communiquent et dont le trafic transite par hasard dans le routeur cœur de réseau en question, le dit routeur connaissant l'adresse de l'un des deux PC ou une signature quelconque à l'intérieur du paquet et interceptant le trafic pour y prendre ses instructions ou le modifier et y injecter ses trouvailles (faut pas oublier de refaire les checksums). C'est exactement comme une attaque MITM, sauf que le destinataire se doute bien que le trafic qu'il reçoit n'est pas forcément le même que ce qui a été envoyé (qui ne contenait possiblement que du bruit blanc). Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Le 26/06/2013 15:36, Sylvain Busson a écrit : Je n'ai pas testé mais ce qui remonte souvent c'est que lorsqu’on empile l’utilisation des fonctionnalités IDS/IPS/L7 le Fortinet lâche rapidement prise. Si quelqu'un a de l'info la dessus? ca dépend du modèle. en effet, sur l'entrée de gamme, pas d'ASIC, puis vient l'ASIC network, puis l'ASIC content, puis les deux. donc selon le besoin, il faut bien dimensionner l'appliance. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [JOBS] SdV recherche un admin réseau junior à Strasbourg (CDI)
SdV Plurimedia, hébergeur basé à Strasbourg recherche pour renforcer ses équipes un administrateur réseau et télécoms junior. Sous la responsabilité du directeur technique, vous participerez à la gestion et à l'évolution de notre réseau IPv4/v6 (AS8839). La personne recherchée devra posséder une connaissance significative des points suivants: - Architecture des réseaux (LAN,WAN,backbone IP) - Routage IPv4 et IPv6 (OSPF,BGP4) - MPLS - Sécurité et redondance des réseaux - Cisco IOS - Linux Idéalement jeune diplômé Bac+5 universitaire ou école d'ingénieur, nous étudierons aussi tout CV pouvant justifier d'un Bac+2 et d'une expérience significative dans les télécoms. Si vous vous reconnaissez dans ce descriptif, que vous êtes rigoureux et avez envie de travailler dans une entreprise à taille humaine n'hésitez pas à nous envoyer votre CV à sa...@sdv.fr Salim Gasmi -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Cisco pour transit ?
Le 26/06/2013 15:31, Pierre-Yves Maunier a écrit : T'emmerde pas, prend un Brocade CER +1 : correspond au budget, pas dépaysant au niveau CLI, parfait pour la fonction. CER2024-RT FTW. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [tech] l'ICANN veut mettre fin a WHOIS
Le 26/06/2013 10:32, Simon Perreault a écrit : Justement, WHOIS est broken. Ah ? Moi je troue que ça arche plutôt bien. Un peu lent, mais rien de plus à en demander. Qu'est ce que tu lui reproche ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [tech] l'ICANN veut mettre fin a WHOIS
Sachant ce qu'on sait de PRISM, est-il raisonnable de centraliser (et vraisemblablement sur des serveurs aux USA) toutes les infos de l'annuaire mondial des noms de domaines ? Je ne le pense pas : bit.ly/newWHOIS - http://www.zdnet.fr/actualites/vers-une-refonte-en-profondeur-du-systeme-whois-avec-quels-risques-39791833.htm -- Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cisco pour transit ?
Bonjour Olivier, bonjour la liste, Et un Cisco de la gamme 2900 ? Le 2921, par exemple, 3300 euros prix liste. Tu lui ajoutes une extension de 1 Go de mémoire et tu as de quoi y mettre pas mal de full tables. C'est de l'ISR G2, c'est moderne. Avec ça, on a déjà routé dans les 350 Mbps avec 2 transitaires, un iBGP et un lien vers les routes serveurs de l'Equinix-IX. Il restait encore tout plein de mémoire disponible et la CPU était peu sollicitée. Mes 2 centimes... Le 25 juin 2013 à 17:35, Olivier CALVANO a écrit : Sous mon as, je vais devoir annoncer trois autres as Je dois mettre un routeur pour les interconnecter et je me posais la question quoi mettre. Il y a une 10ene de préfixe et cela représente un flux internet de 100mbits -- Sébastien Namèche Société Netensia --- Liste de diffusion du FRnOG http://www.frnog.org/
