RE: [FRnOG] Re: [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS
> Olivier Vailleau a écrit : > haha.. désolé, c'est pas troll-di, mais je plussoie > largement l'avertissement Standard de Stéphane : Je te conseille d'arrêter la masturbation intellectuelle. C'est la liste du FRoNG, et le troll de la liste c'est moi. David Ponzone, vu que tu es l'héritier désigné pour me remplacer comme troll officiel de la liste du FRnOG, quand je prends ma retraite (le plus tot possible, envoyez-moi vos dons en liquide), merci d'esseupliquer au noob comment ça marche. Le troll de la liste du FRnOG, c'est moi. Les conneries, c'est moi qui les écrits. Si vous n'êtes pas d'accord, écrivez à Philippe. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Avis routeur CISCO
>> Michel Py a écrit : >> Par contre, je ferais pas de routage inter-VLAN avec. Le routage >> entre VLANs faut faire çà sur un switch L3, pas sur un routeur. > Sébastien 65 a écrit : > Effectivement Michel... j'avais pensé faire avec du 3750G la partie L3/VLAN, > mais à moment donné je ne vais plus avoir de place dans la baie :p Cà c'est pas une option. Si tu routes le LAN avec un 3945 tu vas être à genoux tout de suite. 3750G très bien, çà coute presque rien de nos jours. Tu as tous les cables qui arrivent au même endroit ? une baie entière ? > Oui je pense aussi m'orienter sur le 3925e ou 3945e, je ne connais pas > exactement le prix en occaz... Ici un 3945 non-e (çà te suffirait probablement) çà se trouve à moins de $400 sur eBay, c'est pour çà que j'en mets deux chaque fois. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Avis routeur CISCO
On Wed, Jun 27, 2018, at 20:48, Pierre Jouet wrote: > Un asr920 ou un ISR4331 avec la licence FL-4330-PERF-K9 (upgrade jusqu'à ASR920 - Pas de NAT, pas d'IPSEC, pas de PPPoE(*), c'est plutot un switch L3 avec du MPLS (modulo licence). Mais apart ca, juste pour router entre des interfaces ethernet, il le fait tres bien. Attention par contre a la CLI, ca peut destabiliser certains avec les ESI et les BDI. (*) ... et attention au PPPoE-client aussi ... c'est gere en soft avec un CPU pas super-super. Perf miable. Lire la doc, c'est explique. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] RE: Avis routeur CISCO
D'accord, tu me confirmes bien que le 2901 est trop juste ! Oui je pense aussi m'orienter sur le 3925e ou 3945e, je ne connais pas exactement le prix en occaz... Effectivement Michel... j'avais pensé faire avec du 3750G la partie L3/VLAN, mais à moment donné je ne vais plus avoir de place dans la baie :p De : Michel Py Envoyé : mercredi 27 juin 2018 21:04:15 À : Sébastien 65; frnog-t...@frnog.org Objet : RE: Avis routeur CISCO > Sébastien 65 a écrit : > Je suis à la recherche d'un routeur CISCO capable de tenir une fibre 200Mb > symétrique avec environ > 500 machines derrière. Pas de VPN à gérer, usage standard d'Internet et du > Cloud . > Pas besoin de port SFP, 3 ou 4 ports Gb RJ45 LAN et 1 ou 2 ports WAN Gb RJ45. > Le routeur doit pouvoir > gérer plus d'une centaine de VLAN et autant de sub-interface. Compatible IPv6 > cela va sans dire :) > Le 2901 est un peu court non ? ll faut peut-être s'orienter plutôt vers du > 3925e ? Le 2901 fait a peine mieux que 100 Mpbs. Prends du 3925e ou du 3945e; quelques centaines d'euros d'occase. Ca prend beaucoup de RU surtout si t'en mets 2 redondants mais c'est blindé. Par contre, je ferais pas de routage inter-VLAN avec. Le routage entre VLANs faut faire çà sur un switch L3, pas sur un routeur. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] RE: Avis routeur CISCO
> Sébastien 65 a écrit : > Je suis à la recherche d'un routeur CISCO capable de tenir une fibre 200Mb > symétrique avec environ > 500 machines derrière. Pas de VPN à gérer, usage standard d'Internet et du > Cloud . > Pas besoin de port SFP, 3 ou 4 ports Gb RJ45 LAN et 1 ou 2 ports WAN Gb RJ45. > Le routeur doit pouvoir > gérer plus d'une centaine de VLAN et autant de sub-interface. Compatible IPv6 > cela va sans dire :) > Le 2901 est un peu court non ? ll faut peut-être s'orienter plutôt vers du > 3925e ? Le 2901 fait a peine mieux que 100 Mpbs. Prends du 3925e ou du 3945e; quelques centaines d'euros d'occase. Ca prend beaucoup de RU surtout si t'en mets 2 redondants mais c'est blindé. Par contre, je ferais pas de routage inter-VLAN avec. Le routage entre VLANs faut faire çà sur un switch L3, pas sur un routeur. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Avis routeur CISCO
Hello, un 3925e refursbished c'est 10k$ sur la price-list, 16k$ sinon. Un asr920 ou un ISR4331 avec la licence FL-4330-PERF-K9 (upgrade jusqu'à 300mbps) te reviendrait vraiment beaucoup moins chez si tu ne veux pas faire de trucs de dingue avec. Pierre 2018-06-27 20:03 GMT+02:00 Sébastien 65 : > Bonsoir, > > Je suis à la recherche d’un routeur CISCO capable de tenir une fibre 200Mb > symétrique avec environ 500 machines derrière. Pas de VPN à gérer, usage > standard d’Internet et du Cloud … > > Pas besoin de port SFP, 3 ou 4 ports Gb RJ45 LAN et 1 ou 2 ports WAN Gb > RJ45. Le routeur doit pouvoir gérer plus d’une centaine de VLAN et autant > de sub-interface. Compatible IPv6 cela va sans dire :) > > Le 2901 est un peu court non ? ll faut peut-être s’orienter plutôt vers du > 3925e ? > > Quelle série de routeur vous me conseilleriez ? > Merci > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Avis routeur CISCO
Bonsoir, Je suis à la recherche d’un routeur CISCO capable de tenir une fibre 200Mb symétrique avec environ 500 machines derrière. Pas de VPN à gérer, usage standard d’Internet et du Cloud … Pas besoin de port SFP, 3 ou 4 ports Gb RJ45 LAN et 1 ou 2 ports WAN Gb RJ45. Le routeur doit pouvoir gérer plus d’une centaine de VLAN et autant de sub-interface. Compatible IPv6 cela va sans dire :) Le 2901 est un peu court non ? ll faut peut-être s’orienter plutôt vers du 3925e ? Quelle série de routeur vous me conseilleriez ? Merci --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Help FranceIX
l2-support@ ou noc@, ils seront sûrement plus réactifs qu'avec une bouteille lancée a la mer Frnog :-) Le 27 juin 2018 18:16:36 GMT+02:00, Fabrice Trousse a écrit : >Bonjour, > >Si un netops FranceIX est dans le coin, je veux bien qu'il me contacte. > >Merci >Fabrice > > >--- >Liste de diffusion du FRnOG >http://www.frnog.org/ -- Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Help FranceIX
Bonjour, Si un netops FranceIX est dans le coin, je veux bien qu'il me contacte. Merci Fabrice --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions firewall NGN
Franchement, si c'est pour faire du signature based, Clam/Clamwin ou l'AV embarqué de Windows font suffisament bien (comprendre mal) le job, pas besoin de passer 2 ans sur le sujet. Après si on veut vraiment sécuriser le truc, vu les attaques bien merdiques qu'on voit maintenant, il faut passer sur des solutions bien plus avancés, avec du sandboxing, etc... A priori la solution qui a le vent en poupe sur le sujet, c'est Sentinel One (gagne les marchés bancaires, institutionnels, etc...) qui s'intègre avec Fortinet justement, ou Palo Alto. Bon c'est vraiment du truc de grand comptes, faut avouer, mais voilà, c'est très avancé comme solution. Le mer. 27 juin 2018 à 14:05, Michael Bazy a écrit : > Vu de ma fenêtre, dès lors qu'on ne fait que du signature-based, c'est > insuffisant pour un AV (et 2 AVs, ça rajoute quand même de la complexité > dans le traitement, notamment sur les possibilités de faux-positifs, > d'exclusions de répertoire pour éviter qu'ils ne se détectent l'un l'autre, > etc). La nouvelle génération d'AVs de poste fait de l'analyse > comportementale pour bloquer les activités processus trop louches (ROP, nop > sleds, etc...). > > Si je m'arrête aux AVs des éditeurs de Firewall, c'est ce que font > Stormshield & Palo, c'est inclus dans le Sandblast Agent de Check Point, et > ça devrait venir à terme dans FortiClient. > Si je ne m'y arrête pas, c'est également ce que font la plupart des > solutions AV modernes, dont Symantec, SentinelOne, et c'est peut-être aussi > comme ça que fonctionnait un des modules de MalwareBytes il y a quelques > années). > > Soit dit en passant, j'avais entendu une rumeur comme quoi c'était parti > d'un travail conjoint en open source entre des universités françaises et > américaines, mais j'ai jamais trouvé de source fiable corroborant ce dire. > > Michael > +33628781171 > > -Message d'origine- > De : frnog-requ...@frnog.org De la part de > Michel Py > Envoyé : mardi 26 juin 2018 23:54 > À : David Ponzone ; > samuel.gaiani-porq...@infiniteconnection.fr > Cc : Xavier Beaudouin ; frnog > Objet : RE: [FRnOG] [TECH] Solutions firewall NGN > > > David Ponzone a écrit : > > Par exemple, un simple Forticlient fait-il le job, même sans Fortigate ? > > Justement, c'est l'exemple de ce qu'il ne faut pas faire. Il faut _et_ le > pare-feu _et_ l'antivirus sur le PC, et préférablement pas du même > constructeur, ce qui augmente les chances d'intercepter le virus. > > > Il serait donc peut-être intéressant d’établir une liste des solutions > AV Endpoint sérieuses ? > > Le seul qui ne m'aie pas trop enquiquiné est Symantec Endpoint. > McAffee j'évite comme la peste. > Kaspersky je peux pas (c'est pas cachère avec mon gouvernement). > > J'étais un fan de Malwarebytes (j'étais un des premiers adopteurs j'ai la > license à vie), mais récemment ils ont complètement pété les plombs. Non > seulement c'est cher pour la solution Entreprise (plus cher que Symantec) > et en plus maintenant çà plante; ça fait plusieurs machines récemment (y > compris une installation fraiche) ou j'ai du l'enlever). > > Michel. > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Solutions firewall NGN
Vu de ma fenêtre, dès lors qu'on ne fait que du signature-based, c'est insuffisant pour un AV (et 2 AVs, ça rajoute quand même de la complexité dans le traitement, notamment sur les possibilités de faux-positifs, d'exclusions de répertoire pour éviter qu'ils ne se détectent l'un l'autre, etc). La nouvelle génération d'AVs de poste fait de l'analyse comportementale pour bloquer les activités processus trop louches (ROP, nop sleds, etc...). Si je m'arrête aux AVs des éditeurs de Firewall, c'est ce que font Stormshield & Palo, c'est inclus dans le Sandblast Agent de Check Point, et ça devrait venir à terme dans FortiClient. Si je ne m'y arrête pas, c'est également ce que font la plupart des solutions AV modernes, dont Symantec, SentinelOne, et c'est peut-être aussi comme ça que fonctionnait un des modules de MalwareBytes il y a quelques années). Soit dit en passant, j'avais entendu une rumeur comme quoi c'était parti d'un travail conjoint en open source entre des universités françaises et américaines, mais j'ai jamais trouvé de source fiable corroborant ce dire. Michael +33628781171 -Message d'origine- De : frnog-requ...@frnog.org De la part de Michel Py Envoyé : mardi 26 juin 2018 23:54 À : David Ponzone ; samuel.gaiani-porq...@infiniteconnection.fr Cc : Xavier Beaudouin ; frnog Objet : RE: [FRnOG] [TECH] Solutions firewall NGN > David Ponzone a écrit : > Par exemple, un simple Forticlient fait-il le job, même sans Fortigate ? Justement, c'est l'exemple de ce qu'il ne faut pas faire. Il faut _et_ le pare-feu _et_ l'antivirus sur le PC, et préférablement pas du même constructeur, ce qui augmente les chances d'intercepter le virus. > Il serait donc peut-être intéressant d’établir une liste des solutions AV > Endpoint sérieuses ? Le seul qui ne m'aie pas trop enquiquiné est Symantec Endpoint. McAffee j'évite comme la peste. Kaspersky je peux pas (c'est pas cachère avec mon gouvernement). J'étais un fan de Malwarebytes (j'étais un des premiers adopteurs j'ai la license à vie), mais récemment ils ont complètement pété les plombs. Non seulement c'est cher pour la solution Entreprise (plus cher que Symantec) et en plus maintenant çà plante; ça fait plusieurs machines récemment (y compris une installation fraiche) ou j'ai du l'enlever). Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] 10G ER et 10G ZR sur le meme lien
Oui tu peux. C'est uniquement une question de budget optique, donc avec l'atténuateur c'est bon. Il se peut que tu n'en aies meme pas besoin. Cordialement, Mathieu HUSSON www.infractive.fr -Message d'origine- De : frnog-requ...@frnog.org De la part de Michel Py Envoyé : vendredi 22 juin 2018 17:33 À : 'Vincent Bernat' Cc : frnog@frnog.org Objet : RE: [FRnOG] [TECH] 10G ER et 10G ZR sur le meme lien >>> Vincent Bernat a écrit : >>> Est-ce que je peux mettre sur un même lien d'environ 20 km une >>> optique 10G-ER à un bout et une optique 10G-ZR avec un atténuateur >>> de 5 dB en réception à l'autre bout ? Il ne me semble pas clair si le >>> codage du signal utilisé est le même pour les deux technos. >> Michel Py a écrit : >> Pourquoi tu veux faire çà ? J'aimerais bien savoir, c'est le genre de >> truc que j'essaierais (avec et sans l'atténuateur), je parie un >> bouchon de Stroh que çà marche, mais pourquoi tu n'achètes pas une >> deuxième optique 10G-ER pour 100 et quelques malheureux € ? > C'est sur du DWDM. Du coup, à la fois le prix et le fait que l'optique est > moins réutilisable. Ah je comprends. Essaies, avec ou sans atténuateur, regarde ce que tu as en niveaux d'entrée et de sortie. Ca devrait marcher avec la bonne valeur d'atténuation. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS
haha.. désolé, c'est pas troll-di, mais je plussoie largement l'avertissement Standard de Stéphane : AUCUNE TECHNIQUE DE SÉCURITÉ N'EST PARFAITE. LES PILES NE SONT PAS INCLUSES. CHAQUE TECHNIQUE DE SÉCURITÉ TRAITE CERTAINS PROBLÈMES SEULEMENT, ET IL FAUT DONC DÉPLOYER PLUSIEURS TECHNIQUES. LES OBJETS DANS LE RÉTROVISEUR SONT PLUS GROS QU'IL N'Y PARAIT. LE PROBLÈME N'EST PAS PUREMENT TECHNIQUE, ÉCRIVEZ À VOTRE DÉPUTÉ. Le 26 juin 2018 à 17:51, Stephane Bortzmeyer a écrit : > On Tue, Jun 26, 2018 at 03:38:58PM +, > Michel Py wrote > a message of 9 lines which said: > > > Ca ne vas pas empêcher les gens de revendre les données des requêtes > > DNS qu'ils reçoivent, après les avoir déchiffrées. Et çà va > > probablement pas empêcher les gens de faire des DNS menteurs à > > travers TLS non plus. > > Avec un raisonnement pareil, on peut arrêter de faire du HTTPS tout de > suite (faire du TLS avec Gmail n'empêche pas Gmail de filer les > données à la NSA). > > Mais, à tout hasard, je répète l'Avertissement Standard: AUCUNE > TECHNIQUE DE SÉCURITÉ N'EST PARFAITE. LES PILES NE SONT PAS > INCLUSES. CHAQUE TECHNIQUE DE SÉCURITÉ TRAITE CERTAINS PROBLÈMES > SEULEMENT, ET IL FAUT DONC DÉPLOYER PLUSIEURS TECHNIQUES. LES OBJETS > DANS LE RÉTROVISEUR SONT PLUS GROS QU'IL N'Y PARAIT. LE PROBLÈME N'EST > PAS PUREMENT TECHNIQUE, ÉCRIVEZ À VOTRE DÉPUTÉ. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Fort trafic UDP IN provenant de transit/GIX
Oui je suis curieux aussi. on diffusait en majorité depuis akamai vu le volume. Je suis intéressé par ce que vous avez observé. Sent from my Mobile Original Message Subject: Re: [FRnOG] [ALERT] Fort trafic UDP IN provenant de transit/GIXFrom: Radu-Adrian Feurdean To: frnog@frnog.orgCC: On Tue, Jun 26, 2018, at 23:09, Sylvain sbu wrote:> Bonjour,> J'ai surtout vu pour la première foi depuis que je bosse, du gros délestage> sur certain opérateur...> Et nominal je suis à 60/40 de traffic IN entre 2 opérateurs (je laisse BGP> faire) en Multihoming et en plein match j'ai eu 3 délestage d'un opérateur> ou je suis passer a 85/15.D'ou l'importance d'avoir de la capa en spare> Ca sent le desanonce d'opérateur ou fournisseur de contenu pour pas saturer> certaine ficelles. :-)> Si qqun a des infos je suis curieux...Le traffic venait d'ou ? Je parle de l'origine, non pas du transitaire.Apart le traffic avec les operateurs nationaux, on a eu bien plus de trafic en provenance d'Akamai (myCanal). Mais ca on s'attendait et on est prepares pour. Mais effectivement Akamai peut faire (surtout lors des "evenements a fort traffic") des delestages intempestives d'un cache a un autre, sans prendre en compte le fait que pour le en-user ca arrive via transit ou peering.---Liste de diffusion du FRnOGhttp://www.frnog.org/
Re: [FRnOG] [ALERT] Fort trafic UDP IN provenant de transit/GIX
On Tue, Jun 26, 2018, at 23:09, Sylvain sbu wrote: > Bonjour, > J'ai surtout vu pour la première foi depuis que je bosse, du gros délestage > sur certain opérateur... > Et nominal je suis à 60/40 de traffic IN entre 2 opérateurs (je laisse BGP > faire) en Multihoming et en plein match j'ai eu 3 délestage d'un opérateur > ou je suis passer a 85/15. D'ou l'importance d'avoir de la capa en spare > Ca sent le desanonce d'opérateur ou fournisseur de contenu pour pas saturer > certaine ficelles. :-) > Si qqun a des infos je suis curieux... Le traffic venait d'ou ? Je parle de l'origine, non pas du transitaire. Apart le traffic avec les operateurs nationaux, on a eu bien plus de trafic en provenance d'Akamai (myCanal). Mais ca on s'attendait et on est prepares pour. Mais effectivement Akamai peut faire (surtout lors des "evenements a fort traffic") des delestages intempestives d'un cache a un autre, sans prendre en compte le fait que pour le en-user ca arrive via transit ou peering. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Fort trafic UDP IN provenant de transit/GIX
On Tue, Jun 26, 2018, at 22:06, r...@futomaki.net wrote: > Zut on est repéré :) faut dire que cela a pas mal bastonné. > Oui :) Mais quand tu te prends un 200% de traffic sortant en plus sur HOPUS, ce n'est pas si drole que ca. Meme si c'est un peu attenue par presque la meme quantite de traffic entrant. --- Liste de diffusion du FRnOG http://www.frnog.org/
