Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

[Edouard Chamillard]

On 07/30/2017 09:07 PM, Michel Py wrote:

>> megagolgoth a écrit :
>> Je plussoie pfsense, j'en ai deux à chaque bout d'un vpn et ca juste marche 
>> depuis des mois
>> (APU pcengines et Thinkpad R60). A part les MàJ, je fais pas grand chose en 
>> "maintenance".
> Je me suis laissé dire que pfSense quand ont commence à rajouter des modules 
> (premier sur la liste : SNORT ou Suricata) c'était pas toujours facile. Le 
> truc que j'ai bien aimé avec Untangle c'est l'aspect "UTM pour les nuls". 
> J'avais jamais regardé, j'ai téléchargé l'ISO et en 10 minutes voila pouf çà 
> marche.
>
>
>> Julien TDN a écrit :
>> Je vois que certain propose OPNsense, je l'ai testé il y as quelque mois, 
>> c'est bien un fork de pfSense
>> reste a lui trouver une utilité ! (Perso il m'apporte rien de plus que 
>> pfSense + un peu de boulot)
> J'ai jamais tellement aimé quand ce genre de chose se met à forker dans tous 
> les sens :-(
>
> Merci à tous pour vos retours !
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

pfsense c'est une super réponse a jépabudget, mais les gens on tendance
a le coller sur des brouettes cosmiques (genre ma vieille ALIX avec un
proco AMD alimenté par trois hamsters et vaguement assez de ram pour
afficher l'interface web) et a activer toute les options super
gourmandes en ressources du genre suricata/bro (avec une conf bien obese
a base de reconstruction de sessions, d'audit ssl et tout le toutim). et
apres, ben ça mouline.

honnetement, vu le prix des "petits" boitiers UTM genre PA-200 en
refurb, ça deviens vite pas rentable de bricoler une solution maison.
apres jconfirme. alixboard + pfsense + 10mn de setup, j'ai du pf, un
vpn, et le "multihoming" qui fonctionne depuis genre 5 ans, sans jamais
avoir a faire autre chose que lire les mails me disant que le machin
s'est mis a jour.
bon par contre trouver une board fanless qui fait du 1GbE sur plusieurs
interfaces qu'a une paire de SFP+ pour du twinax et companie , c'est
tout de suite vachement plus compliqué. caveat emptor et tout et tout.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [JOBS] Ingénieurs et Consultants Réseaux (Avant-vente et Déploiement/Prestation)

[Edouard Chamillard]

recruter en province c'est aussi difficile que trouver du taff en
province. a mon avis on a du louper un truc quelque part...


On 06/02/2017 12:42 PM, Augis Stephane wrote:
> Bonjour,
>
> En tut cas la France n'est pas totalement sinistrée car sur
> Montpellier je n'arrive toujours pas à trouver un ingé...
>
> Cordialement, Best regards
>
> Stéphane Augis – CEO
>
>
>
> Le 02/06/2017 à 12:34, Julien Schafer a écrit :
>> Pas de doute on est vendredi :D
>>
>> -Message d'origine-
>> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la
>> part de David Ponzone
>> Envoyé : vendredi 2 juin 2017 12:31
>> À : Joël DEREFINKO 
>> Cc : Colin J. Brigato ; frnog@frnog.org; Olivier
>> Vailleau 
>> Objet : Re: [MISC] Re: [FRnOG] [JOBS] Ingénieurs et Consultants
>> Réseaux (Avant-vente et Déploiement/Prestation)
>>
>> La France est une zone sinistrée pour l’IT…
>>
>>
>>> Le 2 juin 2017 à 12:15, Joël DEREFINKO  a
>>> écrit :
>>>
>>> Pour étayer mon propos :
>>> Recherche au hasard de "administrateur" à Strasbourg  + 40 km de
>>> rayon...
>>> => 2 annonces!
>>> https://www.monster.fr/emploi/recherche/?q=administrateur=67000=fr=swoop_HeroSearch_FR=40
>>>
>>>
>>> (et c'est pour de la BDD)
>>>
>>> Finalement, peut-être que c'est moi qui me trompe, et l'Alsace est
>>> bien une zone sinistrée pour l'IT.
>>>
>>> Joël
>>>
>>> -Message d'origine-
>>> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la
>>> part de Joël DEREFINKO
>>> Envoyé : vendredi 2 juin 2017 12:12
>>> À : Colin J. Brigato ; frnog@frnog.org; Olivier
>>> Vailleau 
>>> Objet : RE: [MISC] Re: [FRnOG] [JOBS] Ingénieurs et Consultants
>>> Réseaux (Avant-vente et Déploiement/Prestation)
>>>
>>> Alors oui, c’est un cas particulier qui étaye le propos du « en
>>> province c’est pas 3000 € », tout comme il y en a certainement qui
>>> pourrait dire « oui, 3000€ en province c’est possible ».
>>> Je n’en fais pas une généralité, je parle simplement d’un cas qui
>>> m’est proche.
>>>
>>> Je comprends ton point de vue et je suis le premier choqué par les
>>> montants que je t’annonce.
>>> Malheureusement, je ne les ai pas exagérés.
>>>
>>> Son poste aujourd’hui est un poste de gestionnaire de parc parce
>>> qu’il n’a réussi à qu’à trouver ça, après 5 ans de technicien
>>> itinérant pour des sous-traitant des grands opérateurs (câblage dans
>>> les DSLAM, installation de box ADSL, déploiement de PC, etc…), il a
>>> terminé sur les rotules à force de passer 6h par jour en bagnole (à
>>> un moment il couvrait le triangle Metz/Nancy/Strasbourg + un peu le
>>> sud de l’Alsace).
>>> Niveau qualification, il sort d’un DUT GTR (comme moi d’ailleurs).
>>>
>>> Pourtant c’est pas faute de chercher ailleurs, mais il galère
>>> vraiment. Son profil y est certainement pour quelque chose, d’autant
>>> que plus le temps passe, plus il « s’éloigne » des canons du métier
>>> (DevOps, virtu etc, la liste peut être longue).
>>>
>>> Il suffit de regarder les sites d’offres d’emploi, faire une
>>> recherche sur Alsace/IT/SysAd ou technicien Sys/Res, la liste
>>> d’offre est dramatiquement courte.
>>> Les dernières fois que j’ai regardé par curiosité les postes de
>>> responsable info/manager, soit il n’y en avait pas, soit on
>>> cherchait un mec avec 10+ années d’expérience pour le payer 45 k€
>>> bruts.
>>>
>>> Donc c’est un cas particulier, mais j’ai bien peur qu’il ne soit pas
>>> isolé.
>>>
>>> Joël
>>>
>>> De : Colin J. Brigato [mailto:co...@brigato.fr]
>>> Envoyé : vendredi 2 juin 2017 11:25
>>> À : Joël DEREFINKO ; frnog@frnog.org;
>>> Olivier Vailleau 
>>> Objet : RE: [MISC] Re: [FRnOG] [JOBS] Ingénieurs et Consultants
>>> Réseaux (Avant-vente et Déploiement/Prestation)
>>>
>>> Sans vouloir trop appuyer sur le “cas parfait correspondant au
>>> besoin” qui pope pile la, comme ca, avec des chiffres sur de sur
>>> (bin oui c’est la famille)…
>>> Comment se peut-il toucher 1300e net par mois ?
>>> meme 1600e.
>>>
>>> 10 ans d’experience. Il prend un temps plein au hasard en CDI, le
>>> premier qu’il arrive a avoir (et bien que concentrées a paris,
>>> encore une fois, rien n’empeche le télétravail, surtout si l’on a 10
>>> années d’exp a faire valoir, on doit savoir le faire valoir.).
>>> Gageons qu’il tombe sur une Syntec.
>>> Bon ben de base rien que par les grilles des minimas prévus par la
>>> Syntec il gagne déja plus que ce que tu annonce !  Meme cette grille
>>> ineptique (j’rapelle que le bas de l’ETAM contient un minima
>>> _inférieur au smic) avoisine rapidement 1800, et 2264 en haut d’etam.
>>> Si même cette grille trollesque envoi plus fort que ce que ton frere
>>> gagne apres 10 années d’exp, vu, en effet la différence à ce stade
>>> prodigieuse entre la province et la capitale, a moins d’avoir de
>>> sérieuses raison, autant déménager 

Re: [FRnOG] [TECH] Split DNS

[Edouard Chamillard]

l'enregistrement particulier il est pour les internes ou externes ?
parce qu'effectivement avec bind, le split horizon, ça se fait avec des
views. je comprend l'envie de pas dupliquer les zones, mais je t'assure
avec un peu de python © c'est tout a fait gérable.

quand a dnsdist, je peux que le recommander chaudement (comme toute la
suite powerdns, pour avoir souffert des années sous le joug d'airain de
bind, passer a powerdns c’était comme la caresse légère d'une brise
printanière et provençale charriant les arômes de la lavande en fleur,
tout ça) mais c'est pas son job de mentir au client. enfin si des fois,
quand le client est méchant.


On 06/01/2017 10:28 PM, Matthieu Racine wrote:
> Bonjour Roger,
>
> Peut-être vais-je dire une bêtise, mais lors du dernier FR_NOG, nous
> avons eu une présentation fort sympathique de DNSDist. Je sais ce
> n'est pas son but  que de délivrer des vues DNS, mais vu la panoplie
> d'outils qu'il intègre, on doit pouvoir faire quelque chose du genre
> pour un enregistrement particulier non ? (je n'ai pas creusé, je lance
> ça comme ça).
> C'est l'occasion de tester et éventuellement d'ajouter une couche qui
> peut te servir à autre chose dans ton infra DNS :)
>
> http://dnsdist.org/README/
>
> Matthieu
>
> Le 31/05/2017 à 21:27, Roger YERBANGA a écrit :
>> Bonjour à tous,
>> Sur une infra de DNS (bind9) hébergeant quelques centaines de
>> domaines, j'ai un enregistrement particulier qui doit donner 2
>> réponses différentes en fonction de l'IP source de la requête.
>> Oui, ca se fait avec des views.En ce moment, je n'ai pas de vue sur
>> les serveurs en question, et je ne souhaite pas dupliquer mes zones
>> dans 2 vues différentes à cause d'un seul record dans une seule
>> zone.Quelqu'un a-t-il une piste à me proposer ?
>> Merci d'avance.
>>   ! roger
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [JOBS] Online.net - Admin réseau

[Edouard Chamillard]

On 05/22/2017 05:29 PM, Frederic Robert wrote:

> On Mon, May 22, 2017 at 04:29:01PM +0200, Arnaud wrote:
>> Hello !
>>
>> ONLINE SAS recrute un barbu [H/F/P] réseau qui n’a pas peur de bosser sur du 
>> vrai trafic, pour rejoindre l’équipe de Mickael (AS12876)
> Bonjour,
>
> Et les demoiselles qui n'ont pas la barbe? :) 
>
ce qui compte, c'est la barbe de l'intérieur. toi aussi jeune PFY encore
encostardé rasé de frais, et toi aussi damoiselle a la peau lisse, tu
peux etre un/une barbu(e). don't let your dreams be dreams ! vous etes
les longues-barbes de demain !


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Connectivité France (Montpellier - Fibre Covage) / Chine (Shangaï)

[Edouard Chamillard]

On 02/24/2017 06:38 PM, Raphael Jacquot wrote:

>
>
> Le 24/02/2017 à 17:03, Stéphane Karges a écrit :
>> hello,
>>
>> oui ca serai la premiere question a poser as tu tenté de monter un
>> VPN depuis la chine ?
>>
> il risque d'avoir des problemes avec le gouvernement chinois qui n'a
> pas l'air de goûter a l'usage de VPN par les gens normaux
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

le VPN depuis la chine, c'est faisable, mais assez compliqué. non
seulement le GFW fait du DPI, mais s'il suspecte un serveur de
contournement (pas seulement vpn, mais aussi proxy etc...) il va tenter
activement de prober le port pour confirmer.

(je vous recommande chaudement le talk de winter au CCC)

https://www.youtube.com/watch?v=zcC5K7QTdvM
https://nymity.ch/active-probing/32c3-slides.pdf

donc si vous voulez monter un tuyau entre les deux, il va falloir etre
un peu furet dans l'approche, obscurcir le canal, et esperer que vous
attiriez pas trop l'attention du grand frere.

le plus simple c'est surement de passer du openvpn dans obfsproxy,
maintenant si vous avez besoin d'un tunnel *fiable* je saurais pas
garantir la durée de vie du bousin.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Re: La Poste et les services secrets français

[Edouard Chamillard]

au temps pour moi j'ai oublié de changer le tag.


On 02/09/2017 08:49 AM, Philippe Bourcier wrote:
>
> Bonjour,
>
> Effectivement, tu as raison.
>
> Donc pour re-tagger :
>  - on change le To:
>  - on supprime tous les tags dans le Subject
>
> Merci.
>
>>> je recalle ça en misc parce que c'est bientot trolldi et que sinon The
>>> Powers That Be vont raler avec raison.
>> Je dis peut-être une bêtise mais il me semble que le tagging des
>> sujets, c'est principalement par le marqueur [XXX] dans le sujet.
>>
>> Les alias -alert, -misc, -tech, ... ne servant qu'à ajouter le tag
>> s'il n'est pas présent.
>>
>> Du coup, pour retagguer un sujet, il ne suffit pas de l'envoyer à la
>> bonne adresse, il faut aussi retirer l'ancien tag du sujet.
>
> Cordialement,



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [ALERT] Re: [FRnOG] [MISC] Re: La Poste et les services secrets français

[Edouard Chamillard]

On 02/09/2017 01:04 AM, Erik LE VACON wrote:

> Bonsoir à tous,
> Où comment une information complètement bidon, postée sur le FrNOG,
> liste (normalement :) ) à la crédibilité qui n'est plus à démontrer,
> permet à ce trolleur d'appuyer une autre campagne de trolling (sous
> une autre identité) sur un ou n autre(s) forums, tout en citant le
> FrNOG comme source "fiable".
> Simple, mais efficace sur des forums d'ados en mal de frissons et de
> reconnaissance, qui n'iront pas fouiller dans cet arbre à forks de
> réponses toutes plus trollesques les unes que les autres et se
> cantonneront à l'in(tox)fo de base 
> Et nous, on est tombés dans le panneau en répondant. Il est numéro
> trois sur google avec les bons keywords.
>
> Il nous a déjà fait le coup (fanthomas) avec son super projet google
> 4.0 il y a un an. Le résultat avait été assez similaire à celui ci (je
> vous laisse fouiller l'historique).
>
> Décidément on se fait vieux.
>
> Je regrette vraiment les trolls tournant autour des super proxies
> Chinois, et autres "godwin magnets" saupoudrés de (re)MeD(es) au plan
> THD Francais à base de boucle locale cuivre rafistolée à l'étain.
>
> My two . (ca faisait longtemps...)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

surtout qu'en terme de technos a doubles usage qui n'en n'ont qu'un seul
et de crayons anti pédophiles on a franchement bien assez dans
l'assiette comme ça. c'est quoi le sales pitch cette fois ? PGPoste le
service qui protege les recettes de mamie par la poste ? une autre super
recette de crypto maison incassable par les super-ordinateurs
quantico-pouet-pouet de la NSA des chinois, mais qu'on peut pas vous en
dire plus faut nous faire confiance t'inquiete pour les soignants ?

je recalle ça en misc parce que c'est bientot trolldi et que sinon The
Powers That Be vont raler avec raison.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[MISC] Re: [FRnOG] [BIZ] Forfait LTE

[Edouard Chamillard]

aucun risque qu'ils touchent, seule leur paupieres fermées les proteges
des terribles rayonnement situés entre 400 et 790 THz


On 01/25/2017 04:36 PM, David Ponzone wrote:
> Arrête, ils sont capables d’aller péter les lampadaires publics au 
> lance-pierre…
>
>> Le 25 janv. 2017 à 16:20, Radu-Adrian Feurdean 
>>  a écrit :
>>
>> Faut peut-etre leur parler des ondes entre 400 et 790 THz. Tres
>> nuisibles pour n'importe quelle forme de vie
>>
>> Oups, on est pas encore vendredi.
>>
>> On Tue, Jan 24, 2017, at 13:47, Olivier Varenne wrote:
>>> Les habitants n'ont pas eu besoin d'association pour se mobiliser
>>> Ils ont juste eux à écouter les membres de l'opposition actuellement à la
>>> mairie qui se sont fait un plaisir de dire à tout le monde qu'on allait
>>> tous mourir d'un cancer.
>>>
>>> Ils sont venus m'en parler, j'ai eu droit à un tissu de connerie.
>>> Mais du coup j'ai quand même droit à des autocollants "NON A L'ANTENNE
>>> 4G" sur ma poubelle. J'ai acheté ma maison c'était livré avec :)
>>>
>>> A leur décharge ceci dit : l'antenne est collée (moins de 100 m) à des
>>> maisons. Je pense effectivement que les maisons qui sont en frontal de
>>> l'antenne doivent recevoir un taux d'onde assez important. Moi je suis
>>> loin de l'antenne (700m) et en contre bas, donc ça n'a rien changé pour
>>> la réception GSM. 
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] RE: - Problème FranceIX ?

[Edouard Chamillard]

On 01/13/2017 05:00 PM, Joël DEREFINKO wrote:

> Merci à tous pour vos retours.
> Vu la quantité de bière en jeu, je vais songer sérieusement à une 
> reconversion dans la micro-brasserie...
>
> Bon week-end à tous !
> Joël
>
> -Message d'origine-
> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
> Frederic Hermann
> Envoyé : vendredi 13 janvier 2017 16:25
> À : frnog-m...@frnog.org
> Objet : Re: [FRnOG] [MISC] - Problème FranceIX ?
>
>
>
>> Et 10 bières à ceux qui vous ont lu jusque là ?
> +1
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

poser des questions a frnog le vendredi c'est risqué, faut avoir des
bonnes relations avec france boissons pour que ça coute pas trop cher de
l'heure de consulting.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [FrnOG][TECH] Problèmes de Geolocalisation IP

[Edouard Chamillard]

On 01/12/2017 01:37 PM, Xavier Beaudouin wrote:

> Hello,
>
> Le problèmes de Geoloc IP à la con c'est que c'est une DB mise à jour (je ne 
> sais pas comment) depuis les information provenant des RADB (RIPE, ARIN, 
> etc...), avec des infos pas forcément à jour et quand on est proprio de ces 
> IP y a aucun moyen de leur faire comprendre qu'ils sont à coté de la plaque.
>
> Par exemple, j'ai un /24 qui avant étais localisé en .be qui est donc 
> actuellement .fr. Sauf que depuis plus d'un an ces bdd sont à coté de la 
> plaque. Bref, les gens qui utilisent des geo ip plutôt que de faire des 
> choses normales (depuis quand IP a des frontières, coucou netflix, canal+ et 
> ses "amis"), et nous foutre la paix on nous mets de bâtons dans les roues. 
> (Ceci est bien évidement un ).
>
> Après payer pour ces gens... Bah... ok si on a de l'argent à jeter par la 
> fenêtre My 0,02€
>
> /Xavier
> PS: et tiens... bonne année 2017.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

les problemes de géolocalisation sont malheureusement plus large que les
droits de diffusion. tout les serveurs de la planete sont sous une
juridiction ou une autre, et les clients veulent savoir si ils peuvent
avoir une réponse légale au nmieme $attaque_a_la_mode du mois, et on
peut pas se contenter de répondre "ben, les bases des RIRs sont jamais a
jour, et comme les IPv4 se revendent a tour de bras, et que les bases
GeoIP coutent un bras/ou sont pas précise du tout, on sait pas v0v"
donc on a besoin de savoir (avec plus ou moins de confiance) d'ou viens
quoi. apres, comme d'habitude c'est un équilibre entre besoins et
moyens. c'est évident qu'un OIV va ni avoir les memes besoins
d'identification ou les memes moyens de réaction que Bricolage SARL.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [JOBS] Orange recrute un admin réseau

[Edouard Chamillard]

On 01/11/2017 10:52 PM, Damien Fleuriot wrote:

> 2017-01-11 22:29 GMT+01:00 Alarig Le Lay :
>> On Wed Jan 11 20:59:04 2017, Damien Fleuriot wrote:
>>> Le salaire est, mécaniquement, fonction de tout un tas de paramètres
>>> et notamment les compétences, l'expérience et la maturité du candidat.
>>> Par maturité j'entends l'aptitude à s'intégrer rapidement dans un
>>> nouvel environnement, la facilité à communiquer, la diction...
>> Matin,
>>
>> Qu’est-ce que la diction a à foutre là-dedans ?
>>
> Si tu préfères avoir des gens incompréhensibles dans ta boîte libre à
> toi hein :)
>
> Encore une fois, chacun voit midi à sa porte.
>
> En ce qui me concerne ça fait partie -entre autres- des points bonus.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
parce que le mercredi c'est déja trolldi:

c'est pas interdit la discrimination a l'embauche contre, voir ci
dessous annexe 1, figure A:

les chtits, et les chgrands
les mosellans, messins je vous aimes. les votres aussi d'ailleurs
les normands, qui le sont vachement moins du coté du vexin.
les bretons, surtout les léonards, parce que les trégorois sont
parfaitement compréhensibles, eux.
les picards, qui part periode de grand froid trouvent que les vannes
comme les oies volent bas.
les savoyards, dont la tome ne sera jamais nucléaire.
les jurassiens, qui s'en foutent pas mal de toute façon, ils ont un parc.

jcontinuerais bien avec l'ardeche et la creuse pour remonter l'allier,
mais ça serait un peu facile.

allez, kermarec de bolbec, kenavo ar brezhoneg.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Sondage : Changer sa solution de mail

[Edouard Chamillard]

pour 80 utilisateurs, y'a littéralement aucune chance que tu puisse
faire moins cher qu'un service tiers. donc la question deviens "quel
service m'offre ce que les utilisateurs réclament, a quel prix, et a
quel point je peux migrer facilement."

si c'est juste de l'email, tu feras pas mieux que fastmail. si tu veux
du groupware, faudra regarder du coté kerio et al.


Edouard


On 11/18/2016 01:30 AM, Jeremy Gourmel wrote:
> Bonjour,
> On ma dit du bien de kerio connect, qui apparement dispose d'outils pour 
> migrer d'exchange vers kerio. 
> http://www.kerio.com/products/kerio-connect/features Payant mais sans doute 
> moins cher que du crosoft 
> Jeremy
>
> Sent from my mobile
>
>
>
>
> On Thu, Nov 17, 2016 at 11:12 PM +0100, "Guillaume LAPOUGE" 
>  wrote:
>
>
>
>
>
>
>
>
>
>
> Bonjour,
>
> Je gère actuellement une solution exchange 2010 vieillissante pour 80 
> utlisateurs.
>
> Ayant un peu de mal à migrer ma gestion mail dans le cloud (ofice 365 
> etc) et voulant garder une gestion des mails souple et bien intégrée à 
> mon environnement windaube ad je me tourne vers vous.
>
> Utilisez vous une solution mail permettant de faire à minima de l'active 
> sync et du webmail différente d'exchange et qui reste abordable (comparé 
> + exchange + win srv + cals) ? Une intégration a outlook est franchement 
> pas obligatoire.
>
> Je pensais à postfix + horde mais je pense que l'interface "oldie" de ce 
> dernier ne plaira pas aux utilisateurs.
>
> Des idées ?
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
>
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [JOBS] Offre de stage sécurité informatique

[Edouard Chamillard]

c'est loin trolldi...


On 10/11/2016 08:14 AM, Fabrice wrote:
> Bonjour, 
>
> Vous voulez un stagiaire pour cette mission vraiment ?
>
> Fabrice
>
>> Le 11 oct. 2016 à 07:53, Guillaume LAPOUGE  a 
>> écrit :
>>
>> La Société :
>>
>> Le Groupe FIGA, 45 années d’existence, est spécialisé dans la production de 
>> solutions et de supports de communication.
>>
>> Les savoir-faire et l’expertise de notre équipe informatique, positionnent 
>> le groupe comme leader depuis 15 ans dans la conception, la réalisation, 
>> l’évolution et la maintenance de ses propres solutions cloud de Digital 
>> Asset Management et Marketing Ressource Management pour grands comptes et 
>> institutionnels.
>>
>> Le Poste :
>>
>> Dans le cadre de la refonte de la politique de sécurité  du groupe le 
>> service infrastructure informatique recherche un Stagiaire (H/F)  en 
>> Sécurité pour une durée de 2 ou 3 mois.
>>
>> Sous la responsabilité du responsable informatique  vous êtes chargé de la 
>> mise en place d’un système de détection d’intrusion informatique et 
>> d’analyse des flux réseaux. Ce déploiement sera accompagné d’une période de 
>> vérification du bon fonctionnement du système déployé.
>>
>> De formation Bac+2 minimum vous avez acquis de fortes connaissances en 
>> réseaux / systèmes et sécurité des systèmes d’information et avez un goût 
>> prononcé pour le monde de l’open source.
>>
>> Compétences Requises :
>>
>> •Réseaux
>>
>> •Systèmes Linux  Centos / Debian
>>
>> •Systèmes LAMP
>>
>> •Pen Testing
>>
>> Vos missions :
>>
>> -Rechercher une solution IDS et d’analyse des flux réseaux.
>>
>> -Déployer cette solution.
>>
>> -S’assurer du bon fonctionnement de la solution par l’utilisation de tests 
>> d’intrusion.
>>
>> Le poste est à pourvoir ASAP sur Cesson-Sévigné (35).
>>
>>
>> Envoyer CV + LM à recrutem...@figa.fr
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Re: [FRnOG] [MISC] Grosse mise à jour Win10 ce matin ?

[Edouard Chamillard]

c'est pas encore trolldi. patience, patience.

On 10/04/2016 11:11 PM, Radu-Adrian Feurdean wrote:
> On Tue, Oct 4, 2016, at 16:02, Fabien NAVEL wrote:
>> - Trafic Shaping sur routeur ou firewall par IP destination (en utilisant
>> les réseaux IPv4 Microsoft et ceux des CDN Akamaï et LimeLight, mais
>> certains CDN exotiques ne sont pas filtrés)
> Raconte-nous un peu comment tu fais du shaping sur un CDN. J'hesite
> entre le popcorn et une bougie a l'eglise :)
> Plus generalement, combien de temps tu passes a gerer les blcs
> d'adresses de CDN. Surtout quand le CDN peut changer :)
>
>> Nous aimerions essayer le trafic shaping sur des équipements de routage
>> d'infrastructure en configurant de la QoS sur les IP utilisées pour la
>> méthode 1. Certains ont-ils déjà expérimentés quelque chose d'approchant
> Wow ! QoS sur backbone popcorn !
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] 860 000 équipements Cisco exposés à des outils liés à la NSA

[Edouard Chamillard]

c'est des outils d'equation group, supposé (fortement) liés a la NSA,
qui ont été mis aux encheres par un autre groupe ("shadow brokers").
pour prouver la valeur du stash, shadow brokers a laché dans la nature
quelques exploits, dont EXTRABACON, une execution de code dans les ASA
(https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp)

il y'a un repo amélioré qui a porté EXTRABACON sur d'autres versions.
https://github.com/RiskSense-Ops/CVE-2016-6366

Edouard

On 09/23/2016 02:12 PM, LE PROVOST Guillaume wrote:
> Salut la liste,
>
> Un peu de lecture, c'est vendredi !
>
> http://www.lemondeinformatique.fr/actualites/lire-860-000-equipements-cisco-exposes-a-des-outils-lies-a-la-nsa-66006.html?utm_source=mail_medium=email_campaign=Newsletter
>
> Quelqu'un à des infos un peu plus précises ?
>
> Bon WE.
>
> Guillaume.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Avis sur accès Internet par Satellite

[Edouard Chamillard]

On 09/19/2016 02:30 PM, Kevin Lemonnier wrote:

>> Qui aurait un retour d’expérience sur les offres actuelles et la qualité du
>> lien et de l’opérateur par satellite ?
>>
> J'espère que tu ne comptes pas faire du ssh ou quelque forme de contrôle à 
> distance
> de chez toi, avec des ping pareil c'est à devenir fou :)
>

mosh allege un peu les souffrances du ssh par dessus les 700ms et 25% de
loss de ce genre de tuyaux.

un peu.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [vendredi] « qu'un policier en faction surveille efficacement le 137 boulevard Voltaire ? »

[Edouard Chamillard]

ben voyons. ils veulent pas qu'on mette directement des HESCO devant TH2
et des checkpoints sur voltaire non plus ?


On 09/16/2016 04:32 PM, Stephane Bortzmeyer wrote:
> « On peut d’ailleurs se poser la question de la vulnérabilité de ce
> bâtiment [Telehouse 2], dans la mesure où même si un panneau interdit
> le stationnement juste devant l’immeuble, il semble que rien n’empêche
> vraiment un camion de se garer à 5 mètre [sic] de sa façade, comme le
> montre cette photo disponible sur Google Maps [...] »
>
> Pas le meilleur article de Pierre Col, je trouve :
>
> http://www.zdnet.fr/actualites/ou-sont-les-datacenters-francais-les-mieux-connectes-39841926.htm
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPAM

[Edouard Chamillard]

pour les gens qui ont plein de sous, y'a ericson adaptive inventory. 
(anciennement granite. jamais entendu un mec l'appeller adaptive machin)


mais alors, plein de sous hein.

On 06/30/2016 02:26 PM, Jean-Baptiste COUPIAC wrote:

Pour rebondir sur ce topic,

Quel est pour vous le meilleur outil DCIM / le plus abouti (qu'il soit
open-source ou non ...) ?

Merci,

__

[image: NFrance Conseil] 

*Jean-Baptiste COUPIAC*
Tél. : +33 5 34 45 55 00 <%20+33534455500>
4 rue Kennedy 31000 Toulouse - France | www.nfrance.com


Le 30 juin 2016 à 14:19, Florian Cauzard  a
écrit :


Hello,

Nous on utilise PHPIPAM. Ca fait le boulot, simple a upgrade. Tu peux y
renseigner tes VLAN, IPv4, IPv6. Si tu choisis la mauvaise IP il te le dit
donc tu ne peux pas faire n'importe quoi. Analyse du RIPE pour recuperer
tes sugnets automatiquement. Peut se coupler avec un annuaire.

Celle de digital Ocean est top car mélanger IPAM et Racktables (en gros)
plus une gestion des secrets mais pas ne peut pas se coupler (sauf si je me
trompe) a un annuaire.

2016-06-27 19:08 GMT+02:00 Foucault de Bonneval :


Bonsoir,

Je viens de voir passer Netbox (IPAM+DCIM), un projet sous Apache de
Digital Ocean.

https://github.com/digitalocean/netbox



++
F/

2016-06-21 10:55 GMT+02:00 Pierre-Yves Dubreucq :


Bien le bonjour,

Je vais juste intervenir sur Ralph 3 pour donner un peu plus

d'information.

Le lien qui présente Ralph en Français concerne Ralph 2 (c'est moi qui
l'ai écrit) néanmoins, ils sont en train de porter toutes les
fonctionnalités majeures de Ralph 2.

D'ailleurs Ralph 3 n'est pas encore sorti en stable pour cette raison,

il

reste quelques fonctionnalités à porter à 100%.

Voici un état d'avancement de la Roadmap du 19 mai dernier :

https://github.com/allegro/ralph/wiki/Ralph-3.x-roadmap

Dans sa globalité, c'est assez stable et le projet semble de bonne
qualité. Niveau activité, il est vraiment très actif et est supporté

par

une entreprise.

Je pense franchement que Ralph 3 deviendra une référence dans la

gestion

de datacenter / cmdb

Bonne journée à tous



Le 20/06/2016 à 15:11, Phil Regnauld a écrit :


Julien Schafer (j.schafer) writes:


Bonjour

Je voudrais savoir si certains ont un avis éclairé sur les solutions
disponibles sur le marché (sachant qu'il y a du GPL, du payant etc)


  J'ai fini par compiler une liste des différents outils, avec des
  commentaires perso (en anglais), y compris des outils plus

complets

 de gestion d'inventaire/configuration/data center.

 J'ai pas tout regardé, mais je retiens:

  - GestioIP
  - Ralph 3
  - phpIPAM
  - opennetadmin
  - nocproject (usine à ga^H^Hplutonium)
  - NetDot (que je connais bien)

# IPAM and CMDB software

## IPAM

* HaCi http://haci.larsux.de/ - 2015-03

  - IPAM only, v4/v6, multiple POPs, uses templates, space
visualization

* GestioIP  http://haci.larsux.de/ - 2016-02

  - IPAM w/ VLAN management, subnet disco. via SNMP, space
visualization
  - BIND zone file generator fwd/ptr
  - Integration OCS Inventory NG

* TeemIP - http://www.combodo.com/teemip-194 (2015-03), part of iTop

or

alone

  - request management w/portal systen for requestors
  - DNS
  - extensible

* Subnetsmgt http://sourceforge.net/projects/subnetsmngr/ - 2013-05

  - IPAM
  - PowerDNS integration

* phpIPAM - http://phpipam.net - 2016-02

  VLAN, VRF, visualization, RIPE, host scanning, etc...
  IP request form

* netmagis - http://netmagis.org - 2015-09

  Split DNS support
  DHCP/DNS integration
  VLAN maanagement
  Generate traffic graphs

## Inventory management / CMDB (possibly including IPAM)

* iTop https://wiki.openitop.org/doku.php - 2014 (w/updates 2016)

  - Modular CMDB
  - Modules like TeemIP

* Netdot - https://osl.uoregon.edu/redmine/projects/netdot - 2015-01

  - great for campus networks
  - no overlapping IP/VLAN support - yet!
  - no VRF support
  - great integration to third party tools
  - actively maintained

* Racktables - http://racktables.org/ - 2016-02 - active

  - Rack/DC specific (objects / IP / vlan / asset tags)
  - no built-in DNS integration

* glpi - http://www.glpi-project.org - 2016-04 - active

  - Full fledged asset/inventory management
  - Modular, including Puppet integration
  - ITILish

* OCS inventory-ng

  - Inventory / deployment
  - Integrates with GLPI
  - Lots of typos on website...
  - Download requires filling out a form, but it's on github

* Ralph 3 - http://allegro.tech/ralph/ - 2016 - active

  - rack/asset mgmt
  - rack visualization
  - review


http://blog.admin-linux.org/pilotage/ralph-systeme-de-gestion-d-actifs-pour-datacenter-cmdb-dcim

* OpenDCIM - http://www.opendcim.org/ -

  - DC physical inventory
  - multi site support
  - 

RE : [FRnOG] [MISC] #Brexit et conséquences

[edouard chamillard]

Paris est suffisament proche, qu'on verra surement des turnes arriver, et les 
boites fintech déja située a la defense vont surement rapatrier une partie de 
leur activité. Mais je m'attend a plus de mouvement vers francfort. Dans tout 
les cas on peut commencer a sortir les toupies de fibre, va y'avoir du 
mouvement ;)


Envoyé de mon Galaxy S5 4G+ Orange

 Message d'origine 
De : Jérôme Nicolle  
Date : 24/06/2016  12:19  (GMT+01:00) 
À : Liste FRnoG  
Objet : [FRnOG] [MISC] #Brexit et conséquences 

Plop,

Contre toute attente [1], les résultats du référendum au Royaume-Uni
sont en faveurs du Brexit.

OSEF ? Pas tant que ça. Pour deux raisons :

- Le carré magique

Ça n'a du échapper à personne, mais les plus grosses place de marché
européennes en terme de réseau sont Francfort, Amsterdam, Londres et
Paris (bon dernier des quatre [2], on se demande pourquoi).

Les infrastructures historiques ne bougeront pas. LINX n'a pas l'air
plus inquiet que ça, quoi que ce n'est peut-être qu'une posture. On en
saura plus au prochain Euro-IX[3] en novembre.

Par contre, il y a des infras là ou il y a du business pour les
rentabiliser. Et là…

- Les migrants

Avec la sortie de la Grande Bretagne de l'Union Européenne, un bon
nombre d'acteurs (de l'Internet ou d'autres industries) vont devoir
s'établir sur le continent pour continuer à opérer sur le marché européen.

La tendance est observable depuis quelques mois dans certaines activités
gravitant autour du FRnOG, et devrait s'accentuer.

Où peuvent se délocaliser nos amis financiers et startups anglaises ?
Paris ? C'est moins cher que Londres, mais un peu loin même en train.
Amsterdam ? Pour le coup c'est cher et loin. Bruxelles ? Un peu
provocant vu les bons sentiments de la majorité anglaise à son égard. Et
Lille ?

La région Hauts-de-France à une grande expérience de la gestion de
l'immigration [4] et se montre très accueillante envers les anglais [5].
Il y a du foncier (lire : des champs), du jus (Gravelnes), du staff
(OVH a bien tout présélectionné, voir sur GitHub[6]), des réseaux, des
bureaux au dessus de la gare qui met Londres à 80 minutes…



Tout ça pour dire : Business as Usual, 'faut en profiter, et autant se
placer du bon coté [7].




[1]
http://www.boursorama.com/actualites/brexit-pourquoi-une-telle-conviction-du-maintien-sur-les-marches-et-chez-les-bookmakers-3f1e75f7bd26cad2f7bd611540e1c114

[2] https://en.wikipedia.org/wiki/List_of_Internet_exchange_points_by_size

[3] https://www.euro-ix.net/news-and-events/euro-ix-forum/

[4]
http://www.franceinfo.fr/emission/l-interview-politique/2015-2016/migrants-calais-pour-xavier-bertrand-il-faut-mettre-hors-d-etat-de-nuire-les-no-borders

[5]
http://www.lejdd.fr/Politique/Migrants-Xavier-Bertrand-aux-Anglais-Il-ne-faut-pas-abuser-de-notre-patience-744896

[6] https://github.com/search?utf8=%E2%9C%93=ovh

[7] https://vimeo.com/4810412

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Opération bières contre serveurs v3

[Edouard Chamillard]

je suis sur que seblu prend aussi la boukha si tu en ramene ;)

On 06/21/2016 10:41 PM, Sabri MJAHED wrote:
> Bonjour je suis future étudiant en BTS je voudrait savoir si je
> pourrait venir prendre un ou deux switch pour mon lycée et pour me
> former.
> Petit bémol c'est que je ne suis pas très alcool (nom de famille tous
> sa tous sa)
>
> Salutation ;)



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] Opération bières contre serveurs v3

[Edouard Chamillard]

On 06/21/2016 04:39 PM, Damien Nicolas wrote:
> On Tue, Jun 21, 2016 at 03:13:36PM +0200, David Ponzone wrote:
>> C'est des bières pour ça aussi ?
> Heu, tranquille le sexisme ?
>

ouais c'est vrai ça, on peut pas avoir un beau mec pour des bieres aussi
? c'est toujours les memes qui s'amusent ici.

le mardi, c'est déja trolldi ;)



signature.asc
Description: OpenPGP digital signature

RE : RE: [FRnOG] [TECH] Analyser de traffic (mise en forme)

[edouard chamillard]

Jvais etre tres con et tres basique. C'est quoi ce que vous cherchez. Parce que 
des solutions on en a des kilos pour cent francs, mais faudrais ptet y mettre 
des problemes specifiques en face. Sinon jvais encore vendre du solarwinds ;)


Envoyé de mon Galaxy S5 4G+ Orange

 Message d'origine 
De : Benjamin  
Date : 11/06/2016  22:58  (GMT+00:00) 
À : 'Sylvain sbu' , frnog-t...@frnog.org 
Objet : RE: [FRnOG] [TECH] Analyser de traffic (mise en forme) 

Bonjour La liste !

+ 1 pour NTopNG
+ 1 pour ELK ( ou en ce qui me concerne EK, je n'utilise pas Logstash )

NTopNG est top pour la capture de paquet, la génération/suivi des flux et le 
DPI, et en plus il possède une option pour exporter les flux terminés dans 
Elastic. 
Derrière un Kibana pour générer les petits camemberts ect et tadaaa !!! tu as 
ce qu'il faut ! Et le chef est content !

Des plugins Kibana peuvent être intéressants : 
https://github.com/elastic/kibana/wiki/Known-Plugins

Petit bémol, je ne sais pas si c'est ma config, mais mon NTopNG n'est pas super 
stable, j'ai pas mal de Segfault ... si ça parle à qqun ?

Bonne soirée.
Benjamin.


-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Sylvain sbu
Envoyé : mardi 7 juin 2016 12:48
À : frnog-t...@frnog.org
Objet : [FRnOG] [TECH] Analyser de traffic (mise en forme)

Bonjour,
Le sujet a peut être déjà été abordé, mais je recherche un analyser de traffic 
pour chefs Qui générerait (facilement) one shoot ou journalierement des beau 
graphs pour chefs (camemberts, barre graphes etc..) avec le trafic par app 
(http, mail etc...) en fonction d'une capture de trafic ou de syslog adéquate.
Si qqun à des soft a proposer
cdt
SBU

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] new stuff

[Edouard Chamillard]

les spammers achetent des listes concatenées provenant de source
diverses. certaines sont triées pour essayer de garantir un certain
niveau de qualité (validation du format, peut etre meme SMTP VERIFY).
d'autres non (et elles sont moins cheres)

je suis pas sur que le spammer lui meme connaisse l'origine réelle des
addresses. ça peut etre des machines compromises (via un malware
desktop, une injection SQL sur un site web, whatever), des crawler sur
le web, etc... etc...



On 06/10/2016 09:34 PM, Jacques Belin wrote:
> Le vendredi 10 juin 2016 20:08:58,
> David Ponzone  a écrit:
>
>> https://www.mail-archive.com/frnog%40frnog.org/msg36725.html 
>> 
>>
>> Y en a des dizaines….centaines comme ça dans l’archive, et c’est pas
>> toujours compliqué de deviner le bon email.
>> Les spammers font des choses bien plus compliquées.
> Sauf que le message que tu cites ne nous apprend rien : les adresses
> sont des abonnées de la liste, on le sait, et je l'ai dit dans mon
> premier message.
>
> Ce n'est pas en se basant sur les adresses des abonnés qu'on apprendra
> quelque chose, mais sur les adresses de ceux qui n'y sont pas..
>
> Par exemple, dans un de ces spams "Fw: new messages", dont plusieurs
> sont soit-disant envoyés par le même abonné en octobre 2015, il y en a
> un qui contient l'adresse "af...@afnog.org" dans les destinataiers (j'ai
> mis ici une adresse qui n'appartient pas à un humain pour des raisons
> évidentes). Or, cette adresse n'est jamais apparue sur frnog (en tous
> cas depuis 2010, date depuis laquelle j'ai conservé la totalité des
> archives de cette liste). Cette adresse n'a donc pu être récupéré que
> sur le compte d'une personne piratée. Les abonnés de frnog qui avaient
> cette addrese sur leur compte avant octobre 2015 devraient donc se poser
> des questions.
> Sauf si, comme je l'ai dit avant, il y a quelque part la concaténation
> de base d'adresses de plusieurs personnes piratées, bref c'est pas si
> simple que ça.
> (ceci dit, que plusieurs personnes en liaison avec une liste *nog, douc
> soit-disant informaticiens et probablement gestionnaires
> d'infrastructure réseau puissent se faire pirater leur compte mail, ca
> fait un peu peur quand même...).
>
>
> Note : je viens de jeter un coup d'oeil sur tous les spams 
> "Fw: new messages" de ce type, recu sur différentes listes depuis
> octobre 2015. En plus de la méthode générale d'adresse multiples dans
> le champ to, il y a un autre indice concret qui montre que la source (et
> donc la méthode de récupération des adresses) est unique : 
> ils on TOUS en commun l'entête "X-Mailer: Microsoft Outlook 15.0"...
> Bien sûr, aucun soit-disant émetteur de ces messages n'utilise ce mailer
> usuellement.
>
>
> A+ Jacques.




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] new stuff

[Edouard Chamillard]

merci SPF winkwinknudgenudge

On 06/10/2016 09:22 AM, David Ponzone wrote:
> Received : from lvps87-230-94-117.dedicated.hosteurope.de (unknown 
> [IPv6:2a01:488:66:1000:57e6:5e75:0:1]) by cabale.usenet-fr.net (Postfix) with 
> ESMTP id 40CB598A504A for ; Fri, 10 Jun 2016 03:16:41 
> +0200 (CEST)
> Received : from fhrjn.net (unknown [24.96.59.159]) by 
> lvps87-230-94-117.dedicated.hosteurope.de (Postfix) with ESMTPSA id 
> 8454D851C9 for ; Fri, 10 Jun 2016 00:50:54 +0200 (CEST)
>
> Je dirais plutôt un simple spoofing de son adresse mail, car un serveur dédié 
> en Allemagne comme intermédiaire et une IP aux USA comme source du mail, ça 
> semble improbable.
>
>
>> Le 10 juin 2016 à 09:13, Philippe Bourcier  a écrit :
>>
>>
>> Bonjour,
>>
>> ... quand un collègue se fait pirater sa boîte mail pro ou infecter par un 
>> trojan.
>>
>> #facepalm #bad_marketing
>>
>>
>>> Hello,
>>>
>>> Just look at that new stuff, I was surprised so much, you have to
>>> take a look here
>>>
>>> Best Wishes, oliv***@pulseheberg.com
>> J'ai toujours mis en place du filtrage sortant sur mes serveurs SMTP (virus, 
>> spam, etc.) et je crois que c'est une bonne pratique.
>>
>>
>> Cordialement,
>> -- 
>> Philippe Bourcier
>> web : http://sysctl.org/
>> blog : https://www.linkedin.com/today/author/philippebourcier
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

RE : Re: [FRnOG] [BIZ] Datacenters en Côtes d'Armor

[edouard chamillard]

on ne peut qu'applaudir les initiative de reconversion des activités en crise.
Sinon un DC dans le 22, a part lannion, j'ai du mal a imaginer ou. sinon il 
doit bien y avoir encore une ou deux "longere de charme, menus travaux a 
prévoir, vente en l'état" un peu a l'écart de la cote, du coté de loudéac.


Envoyé de mon Galaxy S5 4G+ Orange

 Message d'origine 
De : "Paul Rolland (ポール・ロラン)"  
Date : 06/06/2016  10:52  (GMT+00:00) 
À : frnog@frnog.org 
Objet : Re: [FRnOG] [BIZ] Datacenters en Côtes d'Armor 

Bonjour,

On Mon, 6 Jun 2016 10:42:46 +0200
Cédric Houzé  wrote:

> L'Article date du 1ier Avril 2016, soit c'est tout neuf, soit il y a
> vraiment de gros poissons au Cap ;)

"...Les archives numériques, elles, seront dédupliquées sur des SSD de la
marque Breizh Storage, une start-up implantée à Matignon,..."
 
De cette taille-la, c'est plus du poisson !!!

Paul

-- 
Paul Rolland    E-Mail : rol(at)witbe.net
CTO - Witbe.net SA  Tel. +33 (0)1 47 67 77 77
Les Collines de l'Arche Fax. +33 (0)1 47 67 77 99
F-92057 Paris La Defense    RIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un
navigateur "Some people dream of success... while others wake up and work
hard at it" 

"I worry about my child and the Internet all the time, even though she's
too young to have logged on yet. Here's what I worry about. I worry that 10
or 15 years from now, she will come to me and say 'Daddy, where were you
when they took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Trool IPv6, quoique...

[Edouard Chamillard]

enseigner IPv6 en premiere année ça me parait ambitieux. en formation
j'ai régulierement (aka: a chaque session) des gens qui divisent encore
en classe A/B/C/D, et on a été en CIDR depuis plus longtemps que la
plupart d'entre nous n'ont été dans le metier...


On 05/27/2016 10:08 PM, Radu-Adrian Feurdean wrote:
> On Fri, May 27, 2016, at 16:36, Pascal PETIT wrote:
>> ipv6 destiné à nos étudiants de master système et réseau.
> C'est mieux que rien, mais nettement moins bien que commencer
> l'enseignement des le permier annee
> ... avec l'IPv4 laisse pour la master, histoire qu'il soit reserve
> uniquement a ceux qui veulent devenir des experts en deterrement des
> cadavres.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] Trool IPv6, quoique...

[Edouard Chamillard]

trolldi alert, trolldi alert.

On 05/27/2016 02:29 PM, sebastien.lesim...@iguanetel.fr wrote:
> Bon pour une fois c'est pas moi qui le dit, c'est le RIPE ;)
>
> https://pbs.twimg.com/media/CjdKg-HWgAAJlDZ.jpg
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Evolution du nombre d'adresse IP utilisées sur Internet.

[Edouard Chamillard]

carna l'a fait en 2012. avec le nombre de plateforme internet of
shit^Wthing a base de linux 2.6.32+busybox propriétarisé qui a explosé
ces dernieres années, un type avec un petit peu de temps et d'envie peut
le refaire encore plus facilement. mais bon ça serait illégal et pas bien.


On 05/11/2016 03:56 PM, David Ponzone wrote:
> Oui, il faudrait clarifier si on parle d’IPv4 allouées/assignées, ou 
> réellement utilisées.
> Il y a une grosse différence entre les 2.
>
> Pour les allocations, les bases des RIR ont toutes les infos.
> Pour l’utilisation effective, je ne sais pas si quelqu’un fait des stats 
> extrapolées de ce type mais c’est pas simple.
> Faudrait demander aux hackers qui « scannent » toutes les IP de la planète à 
> la recherche de trous, ils doivent avoir une bonne idée.
>
>
>> Le 11 mai 2016 à 15:50, Nicolas Parpandet  a écrit :
>>
>>
>> Il y a une belle courbe sur le site du Ripe concernant le nb d'ipv4 encore 
>> dispo dans la zone europe !
>>
>> Nicolas
>>
>> - Mail original -
>>> De: fraf...@free.fr
>>> À: "frnog-tech (frnog-t...@frnog.org)" 
>>> Envoyé: Mercredi 11 Mai 2016 15:42:45
>>> Objet: [FRnOG] [TECH] Evolution du nombre d'adresse IP utilisées sur 
>>> Internet.
>>> Bonjour,
>>>
>>> Je suis à la recherche de chiffre sur le nombre d'adresse IPv[46] ou
>>> d'équipement connecté à Internet ainsi que l'évolution de ce chiffre dans
>>> temps. Je n'ai pas besoin de quelques chose de super précis ni de 
>>> déterministe
>>> tellement on doit pouvoir discuter sur les méthodes, hypothèse de travail, 
>>> ...
>>>
>>> Savez-vous ou je pourrait trouver des chiffres sur ce sujet ?
>>>
>>> Merci,
>>> Fabrice RAFART.
>>>
>>> Ps : Pour vous lire régulièrement, je sais que cela peut déclencher de grand
>>> débat :) Ce n'est pas mon but. C'est pour cela que je précise bien que je
>>> cherche plus une estimation/tendance que des chiffres précis au /32 prés.
>>>
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [BIZ] Besoin Switch 48V

[Edouard Chamillard]

un truc dans ce genre ? https://www.arista.com/en/products/7010-series

j'ai des 7010 en prod et j'ai que du bien a en dire.

On 05/09/2016 07:10 PM, Gwenael Adine wrote:
> Bonjour,
>
> Je recherche un switch 48v avec 4 ports SFP et 12 ports Giga mini. Il est 
> voué à être placé en cœur de réseau donc il faudrait un switch qui dépote un 
> peu.
>
> Cordialement,
> Gwenael ADINE
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [misc] Reportage : ces ingénieurs gardiens de la qualité du réseau Orange

[Edouard Chamillard]

avec certaines personnes qui font semblant de ne pas lire frnog pour
qu'on croit qu'elles travaillent, on avait plein plein d'alias vicelards
pour mettre un peu d'aléatoire dans la journée des gens qui verrouillent
pas leurs sessions. et s'ils laissent un terminal en root, la c'est
direct iptables -A OUTPUT -m statistic --mode random --probability 0.1
-j DROP && iptables -A INPUT -m statistic --mode random --probability
0.1 -j DROP. et mettre le niveau d'init par défaut a 6, histoire que
quand inévitablement ils rebootent de rage, le fun ne s'arrete jamais !

On 04/25/2016 07:54 AM, Alexis Lameire wrote:
> Hello
>
> Moi qui croyais naïvement que c'était le cas partout.
>
> Je trouve pourtant que c'est un moyen plutôt ludique de faire un peu gaffe
> niveau sécurité.
>
> Pour une fois que c'est facile pourquoi  s en priver
>
> Alexis
> Le 24 avr. 2016 12:43 PM, "Christophe LUCAS"  a
> écrit :
>
> Bonjour,
>
> Je ne sais pas si c'est de vigueur chez Orange, mais chez certains ca
> vaudrait un super petit-dej (croissants, ...) le lendemain.
> Désolé, trolldi est déjà loin en ce dimanche.
>
> Cdt,
> Christophe
>
> - Mail original -
> De: "Raphael Jacquot" 
> À: frnog@frnog.org
> Envoyé: Dimanche 24 Avril 2016 12:09:34
> Objet: Re: [FRnOG] [misc] Reportage : ces ingénieurs gardiens de la qualité
> du réseau Orange
>
> Le 23/04/16 11:45, Benjamin Boudoir a écrit :
>> Le vendredi 22 avril 2016, 11:13:05 Barthélémy DELUY a écrit :
>>> Bah normal, on nous fait évacuer pour les photos ou quand il y a des
>>> visites ^^
>> Et on vous demande aussi de laisser vos sessions déverrouillées ? :)
>>
> les écrans ne peuvent pas etre verouillés... d'ailleurs l'économiseur
> d'écran est désactivé ;)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aménagement salle informatique (clim/anti incendie)

[Edouard Chamillard]

pour les besoins ponctuels, si tu n'as pas de contraintes strictes
réseau L2, le ~nuage~ c'est bien. IaaS ou PaaS, en fonction. en fait,
meme juste une tour dell un peu costaud (genre hexa core et 32Gb de ram)
ça te permettrais de monter un devstack sans avoir besoin d'investir
dans un lab complet.

On  04/22/2016 08:26 PM, Sébastien 65 wrote:
> Bonsoir à tous,
>
> Effectivement je suis en province et je n'ai pas la chance d'avoir plein de 
> Datacenter aux alentours comme la plupart d'entre vous :)
>
> Donc l'idée de réaménager une pièce avec un minimum de sécurisation à du 
> sens. Le chiffrage des postes "clim/incendie/onduleur" donnera un Go ou un No 
> Go du projet par rapport à ce que j'ai aujourd'hui. 
>
> Je ne souhaite pas remplacer mon existant dans le Datacenter. 
> A l'heure actuelle je n'envisage pas de service critique, mais par exemple 
> recopier des données de X serveur(s) du Datacenter dans la salle 
> informatique, tester un environnement complet depuis la salle informatique, 
> etc... cela m'évitera de louer X nouvelle(s) baie(s) qui des fois sont pour 
> des besoins ponctuels.
>
> Bon week-end 
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [misc] Reportage : ces ingénieurs gardiens de la qualité du réseau Orange

[Edouard Chamillard]

nah, dorcel tv est monitoré de trop pret par le NOC pour que l'abonné se
rende compte d'un incident.

On 04/22/2016 04:03 PM, David Ponzone wrote:
> J’avais bien compris que c’était pour vérifier s’il y avait un incident, en 
> se mettant dans la peau de l’abonné.
> Et d’ailleurs, ça doit être marrant au NOC quand le problème est sur Dorcel 
> XXX.
>
>> Le 22 avr. 2016 à 14:53, Radu-Adrian Feurdean 
>>  a écrit :
>>
>> Malgre le fait que c'est vendredi, oui.
>>
>> On Fri, Apr 22, 2016, at 14:46, David Ponzone wrote:
>>> T’es sérieux ? :)
>>>
>>>
 Le 22 avr. 2016 à 14:45, Radu-Adrian Feurdean 
  a écrit :

 On Fri, Apr 22, 2016, at 14:12, David Ponzone wrote:
> Les mecs regardent la télé pendant le boulot :)
 C'est pour verifier que la TV est bien transporte sur le reseau.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ifupdown et DHCPv6

[Edouard Chamillard]

ifupdown dépend directement de dhclient. il se contente de lire les
options du fichier de conf et de générer la ligne de commande qui va
bien. rajouter l'option duid dans inet6.dfn pour la méthode auto,
modifier la ligne de commande générée et reconstruire le paquet devrait
suffire pour pouvoir spécifier interface eth0 inet6 dhcp
  duid tonduid



On 04/22/2016 03:25 PM, Pierre Colombier wrote:
> il semble que ifupdown ne dépende pas d'un client dhcpv6.
> cependant il y a une méthode de config inet6 qui s'apelle dhcp et qui
> en gros consiste a accepter les RA et générer une adresse EIA64 avec
> le bon préfixe et la bonne route.
> Tout ça est un peu "confusant" si je puis me permettre.
> Je trouve qu'il y a quand même un sacré flou au niveau des périmètres
> d'action des protocole RA et dhcpv6.
>
>
>
>
> On 22/04/2016 14:14, Edouard Chamillard wrote:
>> nope, y'a aucune réference a duid dans inet6.dfn
>> (https://anonscm.debian.org/git/collab-maint/ifupdown.git/tree/inet6.defn)
>>
>>
>> apres c'est pas tres compliqué comme patch. ça ferait une bonne premiere
>> PR pour un jeune mais ambitieux futur @debian.org ;)
>>
>>
>> On 04/22/2016 02:02 PM, Pierre Colombier wrote:
>>> merci de vos réponses mais ce sont des liens que j'avais déjà consulté.
>>>
>>> le problème est que je veux forcer un DUID spécifique et que ça ne
>>> semble pas être un cas prévu par ifupdown.
>>>
>>> On 22/04/2016 13:46, Samuel Thibault wrote:
>>>> Pierre Colombier, on Fri 22 Apr 2016 13:37:46 +0200, wrote:
>>>>> je voudrais savoir si il existe une façon de configurer SIMPLEMENT
>>>>> un client
>>>>> DHCPv6 avec ifupdown sous debian dans /etc/network/interface/
>>>>>
>>>>> un truc du genre :
>>>>>
>>>>> iface eth0 inet6 dhcpv6
>>>>>  duid 00-01-23-45-67-89-AB-CD-EF-00-12-34-56-78-9A
>>>>>
>>>>>
>>>>> google n'a pas vraiment été mon amis sur ce coup là. :(
>>>> man interfaces indique que ça serait plutôt
>>>>
>>>> iface eth0 inet6 dhcp
>>>>
>>>> mais apparemment choisir le duid n'est pas supporté. Un rapport de bug
>>>> serait sans doute bienvenu pour indiquer que ça serait utile.
>>>>
>>>> Samuel
>>>>
>>>>
>>>> ---
>>>> Liste de diffusion du FRnOG
>>>> http://www.frnog.org/
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ifupdown et DHCPv6

[Edouard Chamillard]

nope, y'a aucune réference a duid dans inet6.dfn
(https://anonscm.debian.org/git/collab-maint/ifupdown.git/tree/inet6.defn)

apres c'est pas tres compliqué comme patch. ça ferait une bonne premiere
PR pour un jeune mais ambitieux futur @debian.org ;)


On 04/22/2016 02:02 PM, Pierre Colombier wrote:
> merci de vos réponses mais ce sont des liens que j'avais déjà consulté.
>
> le problème est que je veux forcer un DUID spécifique et que ça ne
> semble pas être un cas prévu par ifupdown.
>
> On 22/04/2016 13:46, Samuel Thibault wrote:
>> Pierre Colombier, on Fri 22 Apr 2016 13:37:46 +0200, wrote:
>>> je voudrais savoir si il existe une façon de configurer SIMPLEMENT
>>> un client
>>> DHCPv6 avec ifupdown sous debian dans /etc/network/interface/
>>>
>>> un truc du genre :
>>>
>>> iface eth0 inet6 dhcpv6
>>> duid 00-01-23-45-67-89-AB-CD-EF-00-12-34-56-78-9A
>>>
>>>
>>> google n'a pas vraiment été mon amis sur ce coup là. :(
>> man interfaces indique que ça serait plutôt
>>
>> iface eth0 inet6 dhcp
>>
>> mais apparemment choisir le duid n'est pas supporté. Un rapport de bug
>> serait sans doute bienvenu pour indiquer que ça serait utile.
>>
>> Samuel
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] ifupdown et DHCPv6

[Edouard Chamillard]

c'est le cas, dans dhclient6.conf.

---

interface "eth0" {
send dhcp6.client-id ton:duid;
request;
}

---

mais c'est vrai que pouvoir faire

interface toto

duid tata

ça serait bien

On 04/22/2016 01:54 PM, Cley Faye wrote:
> Le 22 avril 2016 à 13:46, Samuel Thibault  a
> écrit :
>
>> mais apparemment choisir le duid n'est pas supporté. Un rapport de bug
>> serait sans doute bienvenu pour indiquer que ça serait utile.
>>
> ​Je vais peut-être dire une bêtise, mais la dernière fois que je me suis
> posé la question, le duid pouvait se coller dans /etc/dhcp/dhclient.conf​.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Aménagement salle informatique (clim/anti incendie)

[Edouard Chamillard]

meme avis. faire les choses bien ça coute une blinde et dans 20m² tu
profiteras jamais des économies d'échelle d'un datacenter. une cage chez
des gens dont c'est le metier, pour ces surfaces ça sera moins cher, ça
offre l'acces potentiellement a un POP/iX, et si jamais tout brule/tout
est inondé/les extraterrestres envahissent on a un contrat bien clair.

j'en profite pour rajouter deux lignes sur l'aspect sécurité des
données, vu que c'est plus ma partie. avec les années j'ai vu un paquets
de clients qui avaient sur le site un placard a balais multiclassé
datacenter. c'est systématiquement ou presque une catastrophe.

sécurité des biens, incendie inondation i tutti quanti.

incendie: les locaux commerciaux retravaillés c'est en général
1: une salle en matériaux légers, placo etc... donc pas d'inergen. pas
de murs retardants, pas de porte retardante.
2: si les locaux sont un petit peu anciens niveau IT, voir pas du tout
IT : des sprinklers.

inondations:
1: en général les m² disponible dans des locaux commerciaux c'est les
locaux dont personne ne veut parce que trop petits, mal situés etc...
c'est très souvent des m² rez de chaussée, semi enterrés voir enterrés.
ce qui est immédiatement un problème si on est en zone inondable/proche
d'une zone inondable, pas en zone inondable mais les collègues viennent
de bétonner 4Ha de zone humide pour faire une belle ZA et 5 ans apres
quand il pleut dru ça monte.

séismes :
1: on a pas trop le probleme en france
(http://www.planseisme.fr/IMG/jpg/zonage_sismique_france_1501_300dpi.jpg) mais
ouais, avoir un datacenter en zone de risque sismique ça se prévoit.

sécurité electrique/réseau/redondance :

c'est pas facile sans sortir un cheque avec plein de zéros de convaincre
EDF et/ou un transitaire de creuser une tranchée en plus pour amener du
jus et du réseau par un autre chemin histoire que quand roger mettra
inévitablement un coup de tractopelle dans les tuyaux tout ne s'éffondre
pas.

niveau tableau electrique dans 20m² on loge une douzaine de racks sans
trop tasser. si on compte 6KVA par rack (pas trop dense donc) on arrive
quand meme a 72KVA a envoyer dans la salle. c'est pas encore areva, mais
ça fait déja un paquet de toasters. avec tout les problemes qui vont
avec. idem niveau refroidissement. 72KVA meme avec des systemes
efficaces ça fait un paquet de chaleur a évacuer dans des locaux pas
prévus pour ça a la base.

malveillance :

le placard multiclassé, c'est en général pas facile a controler. les
locaux commerciaux sont pas prévus pour faciliter les controles de flux,
en dehors de certains sites dits sensibles. au dela de l'évident et
classique "on s'est fait cambrioler ce week end, ils ont volés les PC et
les serveurs" (les backups étaient sur les serveurs) vous vous exposez
aussi aux acteurs internes malicieux (roger s'est offert sa prime en
nature et en partant), vous perdez en capacité d'audit (qui était la,
quand et pourquoi) et si vous avez de la vidéo surveillance, vous
retombez sur le meme probleme ("on s'est fait cambrioler, les caméras
ont tout filmé mais ils ont aussi piqué le serveur avec les vidéos")

bon bref jsuis en train d'écrire un roman. tout ça pour dire, jsuis sur
qu'il y'a sur la liste un paquet de gens qui peuvent vous trouver une
douzaine de racks de quelques KVA proche d'un POP pour pas (trop) cher.

Le 21/04/2016 18:15, Pierre DOLIDON a écrit :
> Bonjour.
>
> Il me semble que le sujet a déjà été débattu maintes et maintes fois
> sur la ML.
>
> La vraie question qu'il faut se poser serait plutôt, pourquoi ne pas
> louer une salle ou une cage de colo chez quelqu'un dont le business
> est de fabriquer et de louer des salles informatiques.
>
> Un DC nécessite tellement de complexité en terme de double arrivée
> élec/clim/réseau/onduleurs, faut une astreinte, un mec qui peut te
> dépanner en 1H tes clims, tes groupes électrogènes, tes onduleurs et
> tout le tintouin...
>
> Ce qui avait été retenu, c'est que pour des surfaces aussi petites,
> autant pas se faire chier à monter son truc soi-même, et que selon les
> besoins de disponibilité attendus, c'était carrément moins cher
> d'aller louer quelques baies en DC avec le package tout compris
>
> Pierre.
>
> Le 21/04/2016 17:55, Sébastien 65 a écrit :
>> Bonjour Frnog,
>>
>>
>> J'ai un local technique d'environ 20m2 dans lequel j'étudie la
>> possibilité/faisabilité pour faire une petite salle informatique et y
>> loger quelques baies 19'' de 36U maximum.
>>
>>
>> Je viens ici afin de recueillir vos avis et témoignages pour avoir
>> une meilleure visibilité du projet de réaménagement.
>>
>>
>> J'envisage de faire remettre à neuf toute l'arrivée électrique (en
>> mono) jusqu'au local technique, et,  prévoir un onduleur qui offre la
>> possibilité de connecter des batteries additionnelles...
>>
>>
>> Le local n'est pas dans une configuration de type carré, mais
>> rectangulaire. J'envisage de positionner les baies les unes contre
>> les autres au milieu de la pièce pour respecter un 

Re: [FRnOG] [TECH] BGP Quagga - Choix Hardware

[Edouard Chamillard]

Le 21/04/2016 18:01, Laurent CARON a écrit :
> On 21/04/2016 17:58, Michel Py wrote:
>>> Joe Yabuki a écrit :
>>> Apres avoir décidé de déployer Quagga sur mon réseau BGP (sauf si
>>> vous me conseillez autre chose)
>>
>> Ne faisant que du Cisco je suis neutre sur ce sujet, mais j'entends
>> plein de monde dire que BIRD c'est plus stable que Quagga.
>> NIC : Intel
>>
>>> Fabien Delmotte a écrit :
>>> Plusieurs clients m’ont remonté que les ports 10G des serveurs
>>> arrivent en 10G BaseT. Cela est-il un épiphénomène ou cela se
>>> généralise-t-il ?
>>
>> Hélas j'ai bien peur que çà devienne courant. Pas cher.
>
> Chez Dell (chez d'autres certainement aussi) tu peux choisir le type
> de ports integrés sur les machines un peu haut de gamme (cuivre, SFP,
> cuivre + SFP, ...). Intel, broadcomm, ...
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

chez dell, meme dans les boites a pizza tu peux avoir du SFP+ sur les
cartes supplémentaires. par contre pour les interfaces embarquées, IDRAC
comprise, c'est RJ45 seulement. idem chez les autres fabriquants AFAIK.

je les comprends, RJ45 c'est le choix conservateur sur la connectique.
mais d'un autre coté ça veut dire qu'on continue a devoir avoir un
switch dédié pour le management avec du RJ45, pour remonter apres a la
distribution.

la config "idéale" actuellement ça serait surement deux top of rack en
MLAG+twinax pour le réseau de prod, histoire de profiter d'une vraie
redondance actif/actif, plus un top of rack RJ45 pour les interfaces de
managements diverses et variées (APC, UPS, IDRAC/ILOM/whatever, NIC de
management). on remonte le tout au centre de la rangée via de la
multimode, et on renvoie la ou ça doit aller a partir de la.

mais bon ça fait vite grimper les prix, et jsuis pas du tout sur que le
DAF apprécie :)



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Ports 10 Gbps

[Edouard Chamillard]

parce que le monsieur a raison. rejoignez le culte du twinax.

Le 21/04/2016 17:07, Emmanuel DECAEN a écrit :
> Bonjour Edouard,
>
> Je te remercie de ta réponse très détaillée.
>
> Je pense que l'on va passer au tout Twinax dans les baies :-)
> Nous réserverons la fibre monomode aux interconnexions de baies.
>
> Je pense qu'envoyer ta réponse sur FRNOG va intéresser du monde.
>
> Merci encore.
> -- 
> *Emmanuel DECAEN*
> E-Mail: e...@xsalto.com
>
> www.xsalto.com
> Tél: 04 92 36 60 06
> Support: 04 92 36 60 07
> Fax: 04 92 36 19 75
>
>
> Le 21/04/2016 16:33, Edouard Chamillard a écrit :
>> Le 21/04/2016 13:36, Emmanuel DECAEN a écrit :
>>> Bonjour,
>>>
>>> Le 21/04/2016 12:55, Edouard Chamillard a écrit :
>>>> pour les nics j'ai tendance a fonctionner sur le mode "fibre jusqu'au
>>>> rack, twinax a l'interieur" pour le nouveau matériel. 
>>>
>>> Je me permets de rebondir sur cette réponse.
>>>
>>> Aujourd'hui, la connexion 10G/40G entre baies se fait
>>> essentiellement en fibre, en particulier pour des raisons de
>>> distance à couvrir.
>>>
>>> Par contre au niveau d'une même baie, la connexion 10G entre les
>>> ports des switchs et les cartes des serveurs sont  en Twinax ou en
>>> Fibre.
>>> Avec le brassage fréquent dans chaque baie, j'ai l'impression
>>> (peut-être à tort) que la fibre risque de casser plus facilement que
>>> du Twinax.
>>>
>>> Avez-vous un retour d'expérience sur le choix Twinax vs Fibre pour
>>> de la connexion de serveurs en 10G sur les switchs de la baie ?
>>>
>>> Merci.
>>> -- 
>>> *Emmanuel DECAEN*
>>> E-Mail: e...@xsalto.com
>>>
>>> www.xsalto.com
>>> Tél: 04 92 36 60 06
>>> Support: 04 92 36 60 07
>>> Fax: 04 92 36 19 75
>> j'ai jamais eu de problème avec des fibres cassées sur du matériel
>> qui ne date pas de mathusalem. mais d'un autre coté on est aussi
>> gentils qu'on peut sur les rayons de courbure (probablement beaucoup
>> trop. genre 200mm minimum pour de l'OM2). le twinax c'est comme le
>> 10Base5. ça ne meurt pas, même dans les gros doigts. courbure max de
>> genre 35mm (qu'on arrondis a 50/60mm au pifometre). le 5 mètres
>> courant c'est suffisant pour avoir des racks propres, et les
>> standards plus longs qui arrivent permettent de commencer a envisager
>> de desservir une rangée en twinax avec une distribution située au milieu.
>>
>> le twinax en terminaison pour moi c'est que des avantages par rapport
>> au CAT6.
>>
>> primo la conso est presque peanuts (0.1W) par rapport aux ~6W du
>> 10GBaseT. a 104 ports par racks si on compte que de la boite a pizza
>> redondée, la différence est déja de ~600W par rack ! des qu'on a un
>> peu de densité de ports ça fait une méchante différence sur la
>> facture de jus (sans compter que dissipation toussa, c'est autant de
>> joules qui sont pas crachées dans l'allée froide, et ça fait aussi
>> une différence sur la factu de clim)
>>
>> secundo le prix au port. vous avez vu le prix des adaptateurs twinax
>> 5m ? c'est a la limite du consommable.
>>
>> tertio la latence. ça c'est un peu mon obsession perso parce qu'on se
>> repose énormément sur ceph pour le stockage, et vu que les appels
>> sont bloquants, on sent bien la différence dans les VM.
>>
>> quatro la maintenance. de mon experience, ce qui crame le plus dans
>> une NIC, c'est le transceiver. les cartes réseaux qui décident de
>> prendre des vacances, en général ça veut dire arrêter la bécane, la
>> changer, redémarrer, recabler, blah blah blah. ton SFP+ vers SFP+,
>> y'en a un qui décide la gréve illimitée, tu le débranche, t'en fout
>> un autre, et si ton infra/appli est bien redondée comme il faut
>> l'utilisateur s'en rendra jamais compte. 
>
> -- 



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] BGP Quagga - Choix Hardware

[Edouard Chamillard]

pour le choix du software, je suis obligé de faire mon fanboy et de
signaler que bird (http://bird.network.cz/) uber alles.

pour le hardware, je prefere du xeon a du i7, pour la taille du cache,
l'IOA/T sur le matos supporté, etc...

pour la ram 16Gb ça me parait largement suffisant. m'enfin vu le prix de
la ram maintenant, tu peux bien coller 32Gb ECC, ça fera pas trop de
difference sur le prix, et eventuellement ça ouvre des options du genre
fastnetmon/exabgp, etc...

HDD c'est NVMe or bust. les volumes de données traitées sont faibles, et
le gain de latence/iops plus qu'appréciable. (hors logs, qui de toute
façon seront forwardés sur un syslog centralisé n'est ce pas ;) d'autant
plus si tu commence a rajouter des fonctionnalités qui mettent des
choses en cache sur le disque.
de toute façon NVMe c'est-l'avenir©

pour les nics j'ai tendance a fonctionner sur le mode "fibre jusqu'au
rack, twinax a l'interieur" pour le nouveau matériel. avec 500Mb de
traffic total tu es plutôt libre au niveau du choix des cartes elles
mêmes (les cartes intel sont bien supportées sous linux/freebsd/openbsd)


Le 21/04/2016 12:25, Joe Yabuki a écrit :
> Bonjour à tous,
>
> Apres avoir décidé de déployer Quagga sur mon réseau BGP (sauf si vous me
> conseillez autre chose), j'essaie de savoir quel Hardware pourrait convenir.
>
> Le contexte est le suivant :
>   - Deux Serveurs Quagga  en iBGP
>   - eBGP pour recevoir une Full Table INET
>   - Le trafic IN/OUT est de 500Mb
>
> Les caractéristiques de mes deux seront les suivants :
>   - CPU: Core i7 900
>   - RAM: 16 Go
>   - HDD: SSD 200GB
>   - NIC: SFP ? Quel carte me faudrait-il, j'imagine que le critère le plus
> important sera le buffer ?
>
> Je suis preneur de tout conseil et/ou retour d’expérience,
>
> Merci !
>
> Joe
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Proxy cache https (vraiment) transparent ?

[Edouard Chamillard]

sur frnog c'est tout les jours trolldi.

Le 13/04/2016 15:07, Sébastien FOUTREL a écrit :
> C'est pas trolldi mais je ne peux pas m'en empecher :
> https://youtu.be/uprjmoSMJ-o
>
>
> Le 13 avril 2016 à 14:03, Kavé Salamatian <kave.salamat...@univ-savoie.fr>
> a écrit :
>
>>> Le 13 avr. 2016 à 13:15, Solarus Lumenor <sola...@ultrawaves.fr> a
>> écrit :
>>>
>>>
>>> Le 2016-04-13 12:01, Edouard Chamillard a écrit :
>>>
>>>> le sujet c'etait les proxy transparents. CONNECT était hors course au
>>>> premier mail.
>>> Une discussion ça dérive tu sais ? On parlait sécurité des réseaux
>>> business en général.
>> Fais gaffes, il existerait des ayatollah inquisiteurs qui peuvent te faire
>> passer à la question,  et te faire mettre à la vindicte publique, sur tous
>> les média en simultanée parce que tu as dérogé à la règle !!! :-) … C’est
>> risqué :-)
>>
>>> Et puis la transparence c'est très subjectif.
>>> Parler de transparence en voulant insérer des signatures X.509 forgées,
>>> c'est un contre-sens, c'est plutôt l'opacité totale pour l'utilisateur.
>>> Bref, CONNECT ça fonctionne.
>>>
>>> Solarus
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

[Edouard Chamillard]

Le 13/04/2016 12:53, Solarus Lumenor a écrit :
>  
>
> Le 2016-04-13 10:56, Edouard Chamillard a écrit : 
>
>> donc la plupart des boites serieuses ont un proxy en MITM, capable de
>> lire un en tete SNI ou un champ Server: (et pas un FQDN, a part si ton
>> proxy fait aussi la résolution dns (ce que certains font)).
>> effectivement ça méritait de parler de deux types d'équipement.
> Pourquoi faire si compliqué ?
>
> La RFC 2817 (qui date de 2000) prévoit que seul le CONNECT doit passer
> en HTTP/1.1. Là le proxy peut accepter ou refuser la connexion en
> fonction du domaine demandé dans le CONNECT.
> En cas d'acceptation le client peut demander un upgrade (passage en
> HTTPS) et établir un tunnel TLS directement avec le serveur distant,
> tunnel qui n'est pas intercepté et qui permet de conserver
> authentification X.509 légitime. 
>
> https://tools.ietf.org/rfc/rfc2817 
>
le sujet c'etait les proxy transparents. CONNECT était hors course au
premier mail.



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

[Edouard Chamillard]

Le 13/04/2016 09:25, Solarus Lumenor a écrit :
>  
>
> Le 2016-04-12 17:07, Edouard Chamillard a écrit : 
>
>> sérieux compromettent carrément la session complète sur tout internet au
>> lieu de la compromettre en interne sur un seul équipement, et pire,
>> rendent impossible la connexion aux sites qui utilisent HSTS ? ce genre
>> de gens sérieux ? on est déja trolldi ?
> Va falloir m'expliquer comment compromettre une «session complète sur
> tout internet» avec simplement un proxy d'entreprise, parce que ça à
> l'air intéressant comme faille.

on interdit une connexion sur le port 443 tout en autorisant une
connexion sur le port 80 quelque part sur le trajet entre le client et
le reste des tuyaux du monde ? effectivement c'est passionant...
> Oui, la plupart des boites sérieuses ont un proxy avec un filtrage sur
> les FQDN. 
>
> -Demande de connexion HTTPS au site d'une banque : OK
> -Demande de connexion HTTPS à Facebook : KO
donc la plupart des boites serieuses ont un proxy en MITM, capable de
lire un en tete SNI ou un champ Server: (et pas un FQDN, a part si ton
proxy fait aussi la résolution dns (ce que certains font)).
effectivement ça méritait de parler de deux types d'équipement.
>  
>
> Si tu a le droit d'accéder au site, tu y accède, si le site n'a pas
> d'intérêt professionnel ou présente un danger (webmail, fishing etc) ben
> tu reçois un joli code HTTP 403 t'interdisant d'y accéder. 
> C'est aussi simple que ça et ça permet de protéger le réseau
> d'entreprise sans mettre en œuvre de solutions qui ELLES seraient
> dangereuses pour la confiance que peuvent avoir les utilisateurs envers
> le modèle X.509/TLS au niveau global.
donc. dans une session https. tu peux injecter un 403. ok. ou alors
encore mieux. le client se connecte en http sur ton proxy (et le reste
du réseau qui est manifestement ~de confiance~ voit le contenu en clair)
et le proxy fait le handshake.

non parce que y'a littéralement aucun moyen de faire ce que tu viens de
dire faire sans etre en MITM, et vu que tu es en MITM...

aucun commentaire sur l'argument bloquer/lire le flux. c'est une pure
question de PSSI qui doit etre prise par des gens mieux payés que moi.
>  
>
> Au delà de l'aspect technique, je considère à titre personnel et éthique
> que toute volonté d'interception (contrairement au blocage) n'a pour but
> que d'espionner les salariés et les utilisateurs de manière
> disproportionnée.
> Et j'attends encore la preuve du contraire. 
>
> Solarus 
>  
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

[Edouard Chamillard]

Le 12/04/2016 17:51, Solarus Lumenor a écrit :
>  
>
> Le 2016-04-12 11:52, Edouard Chamillard a écrit : 
>
>> "on doit jamais MITM une session ssl (web ou non)" c'est un beau
>> principe mais ça va être dur a vendre aux entreprises.
> Le HTTPS il ne faut pas l'intercepter mais on peut le bloquer à l'aide
> d'un proxy ou d'un firewall, c'est ce que font déjà les gens sérieux.
> Mais comme tout le monde est déjà équipé des ces deux équipements c'est
> moins intéressant pour le chiffre d'affaire des vendeurs de solutions de
> sécurité. 
>
> Solarus 
>
>  
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
les gens sérieux bloquent complètement l'https ? donc au lieu de
compromettre la confidentialité de la connexion au cas ou, les gens
sérieux compromettent carrément la session complète sur tout internet au
lieu de la compromettre en interne sur un seul équipement, et pire,
rendent impossible la connexion aux sites qui utilisent HSTS ? ce genre
de gens sérieux ? on est déja trolldi ?



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] Re: [TECH] Proxy cache https (vraiment) transparent ?

[Edouard Chamillard]

Le 12/04/2016 12:38, Jonathan Leroy a écrit :
> Le 12 avril 2016 à 12:17, Stephane Bortzmeyer  a écrit :
>> Avec ces critères, si une telle solution existait, ce serait une
>> énorme faille de sécurité dans TLS, et il faudrait la publier dans une
>> conf' fameuse (avec nom qui déchire et logo, bien sûr, comme toutes
>> les failles de sécurité).
> J'abonde avec cette petite infographie, qui explique quand intercepter
> ou pas le trafic HTTPS :
> https://twitter.com/__apf__/status/719577428058890240
>
"on doit jamais MITM une session ssl (web ou non)" c'est un beau
principe mais ça va être dur a vendre aux entreprises. que les ISPs
aient pas a toucher aux paquets qu'on les paye a transbahuter c'est une
chose, mais si j'essaye de dire aux clients "oui mais non, ça c'est dans
du ssl, donc même si c'est un c zeus sur un site compromis on peut pas
le savoir et/ou pas y toucher", ça va mal passer.

le matos de la boite c'est le matos de la boite, et en dehors de
quelques communications protégées (contactez votre juriste le plus
proche pour une réponse faisant autorité) personne ne peut s'attendre a
la confidentialité des échanges avec des serveurs distants.

apres vu le prix du DPI au pps, j'ai tendance a encourager a ne
l'utiliser qu'en dernier ressort et/ou sur des périmètres sensibles.
dans l'immense majorité des cas, les métadonnées sont largement
suffisante pour prendre une décision.



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Proxy cache https (vraiment) transparent ?

[Edouard Chamillard]

il n'y pas de solution "transparente" sans terminaison ssl et donc
installation de ton CA sur les endpoints. si installer un CA n'est pas
une contrindication absolue, un simple squid fera l'affaire, et tout
l’éventail des solutions proprio en appliance est a nouveau une possibilité.

mais personne ne mettra en cache du contenu situé dans un tunnel ssl
sans l'ouvrir (le contraire serait plutôt inquiétant)

Edouard

Le 12/04/2016 12:10, Artur a écrit :
> Bonjour à tous,
>
> Pour optimiser la bande passante et les temps de latence je me demandais
> s'il existe de nos jours une solution permettant de mettre en oeuvre un
> proxy cache https transparent pour les utilisateurs.
> On est dans une configuration où un utilisateur se connecte en wi-fi
> avec son mobile sur un réseau connecté à internet et consulte un site en
> particulier.
> Comme tous les utilisateurs consultent le même site https au même moment
> il est inutile de charger les objets statiques n fois inutilement d'où
> l'idée de mettre en place une solution transparente pour eux. Donc, il
> n'est pas question d'avoir des messages d'avertissement dans le
> navigateur ou autres configurations manuelles (installation des clés
> ssl, etc).
>
> A votre connaissance, une telle solution existe-t-elle aujourd'hui ?
>
> PS: En fouillant sur internet j'ai vu aussi la possibilité de mettre en
> oeuvre WPAD DNS, mais le support universel (et par défaut) de cette
> spécification dans les navigateurs mobiles ne semble pas du tout certain.
>




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Logiciel d'analyse de chargement de page web

[Edouard Chamillard]

les appels a javascripts sont synchrones, et bloquent le rendering de
tout le DOM en dessous du tag en cours d'interprétation. du coup si la
ressource répond lentement/ne répond pas du tout/pese des kilotonnes
etc..., le rendu de la page restera coincé. (les devs frontend étant
perdu sur frnog sont priés de ne pas interjecter "OUAIS MAIS NON ON PEUT
FAIRE DE L'ASYNC". c'est clairement pas le cas ici.)

c'est entre chose pour ça qu'on préfere coller tout les
gentils-scripts-qui-veulent-tout-savoir-et-rien-payer en fin de page. si
jamais le client est sur un tuyal avec une latence/bp pourri, le navigo
peut commencer a rendre le contenu le temps que google stasilytics soit
pret a tout noter dans son petit calepin.

si tu n'as ni le controle de la page, ni le controle du script, mais que
tu as le controle des bécanes qui les servent, regarde toujours si y'a
pas un soucis coté ip ou au dessus coté serveur web. c'est probablement
juste du code moisi, mais si c'est pas ça, que l'affichage rapide est
critique et sans controle sur l'applicatif, les options reviennent a
"mettre en coupure un proxy optimisant probablement propriétaire et
cher/remonter les manches, sortir la burette d'huile de coude et faire
un truc a base de libre"

On 04/01/2016 07:35 PM, Michel Py wrote:
>> cam.la...@azerttyu.net a écrit :
>> En projet libre installable soit même il y a : http://yellowlab.tools/
> Merci, sympa.
>
>> Loïc Bernable a écrit :
>> Pour le cas particulier du troubleshooting javascript relativement simple, 
>> chrome / chromium est assez intéressant.
> Merci pour le retour. Le truc qui me chiffonne, c'est pourquoi une grande 
> partie et / ou toute la page était ralentie (pendant 30 secondes) par ce 
> script. Comme je l'écrivais plus tôt, nous n'avons aucune maitrise du script 
> ni de la page en question; çà avait une odeur d'usine à gaz bien sympa (du 
> genre pub / analytics bien indiscret). 
>
> Michel.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] réseau OVH en carafe ?

[Edouard Chamillard]

TCAM ça veut dire ternary content addressable memory.

les 'gros' routeurs l'utilisent pour faire la majorité des opérations
sur les routes parce qu'elle est bien meilleure pour ça que la combo
RAM+cache cpu classique. mais évidemment sa taille est limitée, et quand
y'a plus de place dedans, le routeur se retrouve a devoir choisir quoi
mettre dedans.

Le 12/02/2016 10:59, Alexis VACHETTE a écrit :
> David,
>
> Le full-feed j'ai l'impression mais attention je ne suis pas un expert
> BGP.
>
> Le TCAM exception d'OVH dans le task n'indique pas justement ce soucis ?
>
> J'avais cru voir que c'était une espace de stockage software sur le
> nainternet.
>
> Pour Francfort, je pense qu'il n'y a même pas de débat.
>
> Cordialement,
> **
> On 12/02/2016 10:48, David Ponzone wrote:
>> Oui.
>> Plus précisément, sur un point de peering comme le DECIX, tu échanges
>> tes routes avec celles de ton peer.
>> Tes routes, c’est tes IP, et éventuellement celles de tes clients qui
>> t’achètent du transit. Dans le jargon, on dit "les AS derrière toi".
>> Ton peer fait de même.
>> C’est un principe de réciprocité qui justifie la gratuité du peering,
>> dans la plupart des cas. Quand les 2 peers sont disproportionnés, il
>> est fréquent que le gros refuse le peering au petit, car le petit a
>> plus à y gagner que le gros.
>> Il va alors souvent lui faire un devis si son métier est de vendre du
>> transit (Orange, HE, etc…), soit lui dire de revenir plus tard quand
>> il aura plus de trafic (Facebook, Microsoft, Akamai, …).
>> La seule fois où tu annonces tout internet à un peer, c’est donc
>> justement si tu lui vends du transit.
>> Tu imagines bien que tu n’a pas envie qu’un autre gus passe par toi
>> et tes transits, qui te coûtent de l’argent, gratuitement.
>>
>> Dans le cas précis de l’AS 31500, il annonce en temps normal environ
>> 117 routes sur un point de peering.
>> Et donc il s’est mis à annoncer peut-être tout Internet, donc 570 000
>> routes, à OVH.
>> 2 problèmes possibles:
>> -le routeur d’OVH là-bas n’était pas capable de gérer un full-feed
>> (inquiétant…)
>> et/ou
>> -si pour une raison X ou Y dans l’algo de sélection du best-path (un
>> peu long à décrire ici, mais généralement, on met des poids forts sur
>> les routes venant des peering pour les privilégier puisque pas
>> chères), les routeurs d’OVH partout en France se sont mis
>> à envoyer une grosse partie du trafic vers le DECIX, peut-être que
>> les liaisons vers Francfort n’étaient pas dimensionnées pour
>> supporter ça (c’est même quasi sûr).
>>
>>
>>> Le 12 févr. 2016 à 10:19, Alexis VACHETTE  a
>>> écrit :
>>>
>>> Bonjour,
>>>
>>> Disons qu'en BGP il faut faire attention à ce que tu annonces.
>>>
>>> Si tu annonces des routes que tu ne dois pas annoncer, forcément tu
>>> as un risque que ça génère des choses incohérentes pour d'autres
>>> personnes.
>>>
>>> Cordialement,
>>> *Alexis VACHETTE | Network and System Engineer
>>> * Sisteer France: 43 rue Pierre Valette, 92240 Malakoff – France
>>> Direct line: +33 1 70 95 51 19 | Fax: +33 1 70 95 50 90
>>> www.sisteer.com 
>>> On 12/02/2016 10:11, gael_aj...@yahoo.fr wrote:
 Bonjour à tous,

 Je reviens un petit peu sur les déboires d'OVH hier pour en
 comprendre. Pour cela j'avoue compter sur vos lumières :)

 Pour moi, le BGP c'est encore un peu nouveau, et j'aimerai mieux
 saisir ce qu'il s'est passé.

 J'ai pu lire ceci :

 This leak has impacted some of our routers (6k) which could pass in
 TCAM exception.
 -> Je comprend que la mémoire TCAM était pleine et donc ça à vite
 posé un problème. Suis-je dans le vrai ?


 J'ai également lu ceci :
 L'origine du problème vient d'un point de peering DECIX à Francfort
 où l'un des réseaux AS31500 nous a annoncé via le BGP "tout
 Internet". Conséquence, 75% de notre trafic a été aspiré par ce
 réseau, à travers Francfort.
 -> Sur ce point, j'ai un peu plus de mal. Le principe même d'un
 routeur BGP n'est il pas d'annoncé l'ensemble des meilleurs routes
 qu'il connaient ? Charge, au routeur qui les reçoit de choisir ses
 best routes si il a plusieurs point de peering  Il y a
 forcement un point que je n'ai pas saisi.

 Pourriez vous éclairer ma lanterne ?

 Merci d'avance à celui qui prendra quelque minutes pour m'aider à
 comprendre.

 Cordialement

 G. A.

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [ALERT] réseau OVH en carafe ?

[Edouard Chamillard]

on donne les mots de passe enable aux stagiaires maintenant ? mais ou va
le monde ma bonne dame je vous le demande.

Le 11/02/2016 18:07, David Ponzone a écrit :
> Un stagiaire fou ?
>> Le 11 févr. 2016 à 18:05, Pierre-Yves Maunier  a 
>> écrit :
>>
>>
>> Le 11 février 2016 à 17:20, David Ponzone > > a écrit :
>> Et là, y a un paquet d’admin BGP de France qui regarde vite vite s’ils ont 
>> une session avec 31500 :)
>>
>>
>> Ce qui m'étonne le plus c'est qu'apparemment il n'y avait pas de max-prefix 
>> limit sur ce peer, justement pour se protéger d'un mec qui leak une full 
>> table sur un IX, encore plus sur un routeur qui peut pas l'encaisser en fib.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [JOBS] [ FRnOG] [JOB] Recherche organisme de formation professionnelle tech réseau

[Edouard Chamillard]

l'afpa est tres arrangeante. 35 ans et un CAP ça fait pas mal
d’expérience professionnelle dans sa besace. le niveau équivalent peut
s'obtenir via une VAE. a voir avec le centre de VAE le plus proche.

Le 26/01/2016 14:10, Solairion a écrit :
> Je crois que le CAP n'est pas autorisé en prérequis...
>
> L'admission
>
> Prérequis
>
> Baccalauréat des filières scientifiques, technologiques ou niveau
> équivalent.
>
> Connaissances en anglais et en informatique.
>
> Le 26 janvier 2016 à 13:32, Edouard Chamillard
> <edouard.chamill...@ablogix.fr <mailto:edouard.chamill...@ablogix.fr>>
> a écrit :
>
> 
> https://www.afpa.fr/formation-qualifiante/technicien-superieur-en-reseaux-informatiques-et-telecommunications
>
> 9 mois, diplôme de niveau 3 a la sortie.
>
> Le 26/01/2016 13:21, Marc SALVI a écrit :
> > Bonjour à tous,
> >
> >
> >
> > Un de nos techniciens recherche une formation de technicien
> Système et
> > Réseau. Il a actuellement 35 ans  et un niveau d’étude CAP.
> >
> > Il recherche une formation diplômante d’1 an.
> >
> > Nous sommes preneurs de toutes références concernant des centres de
> > formations correspondant à ce besoin.
> >
> > Merci !
> >
> >
> >
> > Marc
> >
> >
> >
> >
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
>



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [JOBS] [ FRnOG] [JOB] Recherche organisme de formation professionnelle tech réseau

[Edouard Chamillard]

https://www.afpa.fr/formation-qualifiante/technicien-superieur-en-reseaux-informatiques-et-telecommunications

9 mois, diplôme de niveau 3 a la sortie.

Le 26/01/2016 13:21, Marc SALVI a écrit :
> Bonjour à tous,
>
>  
>
> Un de nos techniciens recherche une formation de technicien Système et
> Réseau. Il a actuellement 35 ans  et un niveau d’étude CAP.
>
> Il recherche une formation diplômante d’1 an.
>
> Nous sommes preneurs de toutes références concernant des centres de
> formations correspondant à ce besoin.
>
> Merci !
>
>  
>
> Marc
>
>  
>
>  
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?

[Edouard Chamillard]

pareil, j'utilise des bans exponentiels. premier ban -> drop une heure.
si ça recommence 6h apres la fin de la premiere periode -> une semaine.
si ça recommence dans les six semaines apres la fin de la seconde -> un an.


On 01/21/2016 07:44 AM, David Ponzone wrote:
> Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h.
>
> David Ponzone
>
>
>
>> Le 21 janv. 2016 à 04:42, Michel Py  a 
>> écrit :
>>
>> Bonjour à tous,
>>
>> Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille 
>> bash / python en beta-test pour en faire une "vraie" app : les préfixes dans 
>> une base de données sqlite3 avec des dates. Et des communautés BGP séparées, 
>> par demande populaire.
>>
>> La question du jour : quand un { zombie | abruti | mec avec des gros doigts 
>> | hacker } essaie un telnet en root sur mon IP, çà rentre dans la moulinette 
>> au premier essai. Pour combien de temps ? 24 h ?
>>
>> Michel
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?

[Edouard Chamillard]

<mic...@arneill-py.sacramento.ca.us>: host
arneill-py.sacramento.ca.us[50.1.8.254] said: 550 5.7.1 Recipient not
authorized, your IP has been found on a block list (in reply to RCPT TO
command)

promis c'est pas moi le vilain qui essaie de telnet en root ;)

On 01/21/2016 10:10 AM, Edouard Chamillard wrote:
> pareil, j'utilise des bans exponentiels. premier ban -> drop une heure.
> si ça recommence 6h apres la fin de la premiere periode -> une semaine.
> si ça recommence dans les six semaines apres la fin de la seconde -> un an.
>
>
> On 01/21/2016 07:44 AM, David Ponzone wrote:
>> Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h.
>>
>> David Ponzone
>>
>>
>>
>>> Le 21 janv. 2016 à 04:42, Michel Py <mic...@arneill-py.sacramento.ca.us> a 
>>> écrit :
>>>
>>> Bonjour à tous,
>>>
>>> Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille 
>>> bash / python en beta-test pour en faire une "vraie" app : les préfixes 
>>> dans une base de données sqlite3 avec des dates. Et des communautés BGP 
>>> séparées, par demande populaire.
>>>
>>> La question du jour : quand un { zombie | abruti | mec avec des gros doigts 
>>> | hacker } essaie un telnet en root sur mon IP, çà rentre dans la 
>>> moulinette au premier essai. Pour combien de temps ? 24 h ?
>>>
>>> Michel
>>>
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [Misc] la responsabilité de l'utilisateur

[Edouard Chamillard]

il est impossible de déterminer a priori le niveau de classification
d'un objet. c'est pour ça qu'on a des systèmes MLS/MCS. si le serveur
renvoie 200 OK a une demande, celle ci est légitime d'un point de vue
technique point final. le serveur fait aucune différence entre googlebot
et bluetouff le vilain pirate de l'espace. l'analogie de la porte
ouverte est complètement a coté de ses pompes, parce qu'elle suppose un
caractère complètement passif au serveur. si vous voulez absolument une
analogie capillotractée ça serait plutôt :

raoul "ok roger,  si quelqu'un te demande ce fichier, tu peux lui donner"
roger "d'accord"
googlebot "beep-boop roger, donne moi les fichiers"
roger "d'accord"
bluetouff "salut roger, ça va la famille tout ça ? donne moi les fichiers"
roger "d'accord"
raoul "mais fallait pas lui donner sans vérifier qu'il avait le droit de
les prendre !"

une demande de lecture, que ça soit a un serveur web ou au noyau de
votre OS ça passe par une mécanique de contrôle d’accès active, qui elle
seule et en fonction de sa configuration peut déterminer qui a accès a
quoi. l'utilisateur ne peut pas déterminer la politique de contrôle
d’accès au delà de son implémentation.

Le 15/01/2016 14:57, Régis M a écrit :
> Tout réside dans le fait de savoir si il était clairement indiqué que ces
> documents étaient confidentiels et que le fait qu'ils soient accessible
> soit une erreur ou non.
> Tu peux laisser ta fenêtre ou ta porte ouverte, cela n'autorise pas
> quelqu'un à rentrer chez toi pour te piquer des trucs...
>
> Inversement, j'estime être en droit de ramasser un truc jeté à la poubelle
> si il est en état...
>
>
>
>
> Le 15 janvier 2016 à 12:44, Dominique Rousseau  a écrit
> :
>
>> Le Thu, Jan 14, 2016 at 07:46:08PM +, Michel Py [
>> mic...@arneill-py.sacramento.ca.us] a écrit:
>> [...]
>>> L'analogie de la voiture : le propriétaire laisse les clés sur le
>>> contact et se la fait voler. Ca ne rend pas le voleur de voiture
>>> innocent, mais en tant qu'assuré qui paye, je ne pense pas que mes
>>> cotisations devraient couvrir l'assurance contre le vol pour les
>>> abrutis qui laissent les clés sur le contact.
>> Ça, c'est pour l'assurance contre le vol.
>> Mais tu ne deviens pas pour autant responsable des actes du voleur, et
>> de ce qu'il fait avec ta voiture.
>>
>> --
>> Dominique Rousseau
>> Neuronnexion, Prestataire Internet & Intranet
>> 21 rue Frédéric Petit - 8 Amiens
>> tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [RE: [FRnOG] Re: [Misc] Le pare-feu du geek barbu

[Edouard Chamillard]

"Bluetouff a reconnu s’être baladé dans l’arborescence des répertoires
en remontant jusqu’à la page d’accueil, où il a constaté la présence
d’une authentification par login / mot de passe. /Fatalitas/. Dès lors,
Bluetouff a creusé sa tombe. En admettant cela, il a reconnu ce que le
parquet aurait été autrement incapable de démontrer : le caractère
frauduleux de son maintien. À la seconde où Bluetouff a compris qu’il
était dans un extranet dont la porte était fermée mais dont on avait
juste oublié de monter les murs autour, il commettait le délit de
maintien frauduleux dans un STAD."

QED.

Le 14/01/2016 20:52, Jonathan Leroy a écrit :
> Le 14 janvier 2016 à 20:12, David Ponzone  a écrit :
>> C’est une blague ? :)
>>
>> A moins que les documents soient clairement identifiés comme 
>> confidentiel/secret défense, je ne vois pas comment on pourrait être 
>> responsable d’avoir cliqué sur un lien sur Google.
>> Et encore, si on voit qu’ils sont confidentiels, c’est qu’on les a ouverts, 
>> et donc c’est trop tard.
> Tout est très bien expliqué ici :
> http://www.maitre-eolas.fr/post/2014/02/07/NON,-on-ne-peut-pas-%C3%AAtre-condamn%C3%A9-pour-utiliser-Gougleu
>



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] Re: [Misc] Le pare-feu du geek barbu

[Edouard Chamillard]

c'est pas faux.

Le 13/01/2016 22:41, frnog.kap...@antichef.net a écrit :
> On mardi 12 janvier 2016 15:51:41 CET Raphaël Stehli - 
> experti...@raphael.stehli.fr wrote:
>> Le 12/01/2016 02:08, frnog.kap...@antichef.net a écrit :
>>> Ce petit cours est bien gentil et merci d'avoir pris de ton temps pour
>>> l'écrire, mais le sujet ici c'est la question de la possibilité
>>> d'application du droit civil à un cas relevant du défaut de sécurisation.
>>> D'après Sylvain l'article 1384 s'applique et il ne voit pas comment il ne
>>> pourrait pas s'appliquer. D'après Édouard il ne pourrait pas s'appliquer.
>>> Peux tu nous en dire plus là dessus ?
>> Sur un plan civil :
>>
>> La victime se retourne contre le titulaire de la ligne.
>>
>> Deux possibilités : le titulaire est propriétaire du MoDem ou ne l'est
>> pas. S'il l'est, pas de soucis.
>>
>> S'il ne l'est pas (exemple de mise à dispo d'une Box), il faut regarder
>> s'il est gardien ou non. En effet, comme le FAI contrôle la box (le
>> titulaire de l'abonnement n'a accès qu'à une interface).
>>
>> Il convient de rappeler qu'il existe une présomption de garde pese sur
>> l'utilisateur, lorsque le propriétaire de la chose, instrument du
>> dommage, reste indéterminé: V. ● Civ. 2e, 28 nov. 2002
>>
>> La cour de Cassation a déjà rappelé que "Celui qui exerce sur une chose
>> les pouvoirs d'usage, de direction et de contrôle conserve la qualité de
>> gardien, même s'il n'est pas en mesure d'exercer correctement lesdits
>> pouvoirs (démence)". ● Civ. 2e, 30 juin 1966: Bull. civ. II, no 720. ou
>> en retenant qu'un enfant avait l'usage, la direction et le contrôle
>> d'une chose, les juges du fond n'avaient pas, malgré le très jeune âge
>> de ce mineur, à rechercher si celui-ci avait un discernement. ●  Cass. ,
>> ass. plén., 9 mai 1984.
>>
>>
>> Sur l'absence de connaissances techniques : L'existence d'un lien de
>> préposition n'implique pas nécessairement chez le commettant les
>> connaissances techniques pour pouvoir donner des ordres avec compétence.
>> Le propriétaire d'un arbre et de la tronçonneuse utilisée pour son
>> abattage, qui donnait des directives à la personne qui coupait l'arbre,
>> était, au moment de l'accident, le commettant de cette personne et était
>> resté gardien de la chose instrument du dommage. ● Civ. 2e, 11 oct.
>> 1989: Bull. civ. II, no 175.
>>
>>
>> Donc, si A est victime de B (ou de sa chose), il se retourne vers lui.
>> Ensuite, le juge cherchera si B est gardien ou non. Si oui, il sera
>> responsable, si non, on désignera le bon.
>> Après, se pose la question de savoir si la responsabilité est partagée
>> ou non.
>>
>> Et ça, ça dépendra de la compétence de celui qui présente le dossier.
>>
>> Cordialement,
>> Raphaël
> Merci beaucoup d'avoir pris de ton temps pour nous donner ces explications 
> détaillées (qui font de toi le roi Arthur :D ).
>  
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] Re: [Misc] Le pare-feu du geek barbu

[Edouard Chamillard]

moi tout ce que j'ai fait c'est remettre en cause la qualité de
l’élément matériel "IP" pour prouver que toto a fait un truc. la suite
découle de ça. en supposant que seule l'IP soit utilisée, pas d'élément
matériel raisonnable -> jamais de dossier possible -> la loi sert a quoi ?

le sujet du défaut de sécurisation il a été discuté en long en large et
en travers par des gens bien plus au courant que moi sur les questions
de droit au moment du vote.

Edouard

Le 12/01/2016 02:08, frnog.kap...@antichef.net a écrit :
> On lundi 11 janvier 2016 16:35:42 CET Raphaël Stehli - 
> experti...@raphael.stehli.fr wrote:
>>> Bonjour Raphaël,
>>>
>>> merci de ton intervention, si tu as les connaissances juridiques n'hésite
>>> pas à les partager avec nous. Je t'en serais reconnaissant à la fois pour
>>> ma culture personnelle et ça me sera utile quand je dois répondre aux
>>> questionnements des abonnés.
>>>
>>> Si c'est juste pour ajouter du bruit dans la discussion, comme tu viens de
>>> le faire je pense que tu peux t'abstenir. Quitte à prendre de ton temps
>>> pour intervenir, pourquoi ne pas faire en sorte que ça apporte quelque
>>> chose ?
>>>
>>> Mes quelques maigres connaissances juridiques, je les ai acquises sur le
>>> tas par la force des choses, et comme je ne suis pas juriste et ne compte
>>> pas retourner aux études pour le devenir, il ne semble pas idiots
>>> d'échanger sur le sujet avec d'autres personnes impliquées dans le même
>>> domaine professionnel pour essayer d'y voir plus clair dans le flou
>>> juridique actuel.
>>>
>>> Cordialement
>> Bonjour la liste,
>>
>> Pour faire très très simple, il y a quatre grands types de droit privé :
>> - le droit civil : deux personnes privées qui s'opposent en raison d'un
>> différend,
>> - le droit pénal : la société (ou une personne privée, mais c'est plus
>> rare) qui estime qu'une personne (physique ou morale, sauf l'Etat), a
>> commis une violation du droit pénal et qui demande au juge une sanction,
>> - le droit commercial : deux personnes commerçantes ou assimilées
>> s'opposent entre elles sur un champ commercial,
>> - le droit social : litige employé/employeur, la contestation de
>> certains actes de sécurité sociale, etc.
>>
>>
>> et du droit public
>> - une personne ou une administration c/ une décision de l'administration
>> ou d'une personne ayant délégation de l'administration (mais pas
>> toujours...)
>>
>>
>> Dans chacun des cas, les règles de droit, de procédure, de charge de la
>> preuve, de doctrine, de tout, divergent.
>> Des fois, en fonction du domaine, il peut y avoir différentes positions
>> (ex : la chambre 1 et 2 de la cour de cassation s'affrontent).
>>
>> Ensuite, chaque Tribunal juge en l'espèce, c'est à dire en fonction des
>> faits.
>>
>> Si on parle de l'article 1382 et s du Code civil, on est en droit civil,
>> et de ce que l'on appelle la responsabilité délictuelle (précision, rien
>> à voir avec un délit pénal, mais c'est le terme).
>> Il peut y avoir une responsabilité contractuelle : en cas de non respect
>> de l'exécution d'un contrat. Les deux sont incompatibles.
>> Il y a trois éléments à rechercher dans la RD : l'existence d'un fait,
>> un dommage et un lien entre les deux.
>>
>> Au niveau pénal, pour qu'une infraction soit caractérisée, il faut que
>> trois éléments soit réunis : un élément moral (vouloir commettre une
>> infraction ou n'avoir pas, volontairement, respecté une obligation),
>> l’élément matériel (avoir commis les élément constitutif) et un élément
>> légal (que l'infraction existe dans le droit positif). Il est précisé
>> qu'en matière de contravention, l'élément moral n'est pas nécessaire.
> Merci pour ces rappels, mais ce n'était peut être pas la peine d'expliquer 
> tout ça, ce sont des notions qui s'acquièrent à la lecture de la page 
> d'accueil du droit français sur jurispedia:
> http://fr.jurispedia.org/index.php/France
>
>> En gros :
>> - si le FAI n'a pas respecté une obligation contractuelle => on part sur
>> la RC : article 1134 du CC. Il faut regarder les CGU et regarder
>> qu'elles ne soit pas contraire à l'ordre pub ou au bonnes moeurs.
>> - si ce n'est pas le cas : on est en RD, article 1382 et s. du CC
>>
>> Ensuite, que se passe-t-il ? qui ? et quand ?
>>
>> Bref, on ne peut que difficilement tirer une généralité.
>>
>> Je précise que tout ce que j'ai dit ci-dessous est très général et très
>> simpliste.
> Ce petit cours est bien gentil et merci d'avoir pris de ton temps pour 
> l'écrire, mais le sujet ici c'est la question de la possibilité d'application 
> du droit civil à un cas relevant du défaut de sécurisation. D'après Sylvain 
> l'article 1384 s'applique et il ne voit pas comment il ne pourrait pas 
> s'appliquer. D'après Édouard il ne pourrait pas s'appliquer. 
> Peux tu nous en dire plus là dessus ?
>
>> A+
>> Raphaël
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
>
> ---
> Liste de diffusion du FRnOG
> 

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Edouard Chamillard]

en général, quand perceval et karadoc disent n'importe quoi, arthur
prend un peu de son royal temps pour leur expliquer par A+B a quel point
ils ont tort, au lieu de condescer (souffre jean d'ormesson, maintenant
c'est un mot) comme un goret.

Le 07/01/2016 23:42, Raphaël Stehli a écrit :
> Bonsoir la liste,
>
> Je lis ces échanges depuis le début. C'était assez récréatif. On dirait
> par moment Perceval et Karadoc avec du céleri.
>
> Par contre, sur le delirium juridique, je pense qu'il faudrait que vous
> vous arrêtiez là, sauf si vous voulez transformer la liste en équivalent
> de doctissimo, version juridique.
>
> Bonne soirée,
> Raphaël
>
>
>
>
> Le 07/01/2016 19:31, frnog.kap...@antichef.net a écrit :
>> On jeudi 7 janvier 2016 11:26:26 CET Sylvain Vallerot - sylv...@gixe.net 
>> wrote:
>>> On 07/01/2016 10:38, frnog.kap...@antichef.net wrote:
 On mercredi 6 janvier 2016 23:01:22 CET Sylvain Vallerot -
 sylv...@gixe.net

 wrote:
> On 06/01/2016 13:19, David Ponzone wrote:
>>> je vois pas comment l'article 1384 pourrait s'appliquer ici.
> A l'inverse je ne vois pas pourquoi il ne pourrait pas...
> (sans porter de jugement sur la pertinence éthique de le faire ou non)
 Par curiosité explique nous quand, comment et pourquoi il pourrait
 s'appliquer selon toi.
>>> Je ne ferai probablement pas mieux que ça :
>>> https://fr.wikipedia.org/wiki/Responsabilit%C3%A9_du_fait_des_choses_en_droi
>>> t_civil_fran%C3%A7ais
>>>
>>> Notamment : le garde/gardien de la chose (notion centrale), présumé tel sauf
>>> quelques cas prévu (comme le fait de démontrer qu'un tiers s'est emparé de
>>> l'usage), impliqué dans le comportement de la chose (fonctionnement non
>>> sécurisé) donc responsable du dommage causé.
>> Il va falloir m'excuser, mais ça reste très flou pour moi.  Une simple 
>> référence à un passage de l'article wikipédia, que j'avais lu intégralement 
>> avant de poser ma question, ne m'aide pas à y voir plus clair
>>
>> Pourrais tu préciser un peu plus ?
>>
>> Pour commencer, de quel dommage parle t'on qui puisse faire jouer la 
>> responsabilité civile ? Ensuite quelle chose parle t'on ? Le titulaire de la 
>> connexion  a t'il l’usage, la direction et le contrôle de cette chose au 
>> moment des faits incriminés ? 
>>
>>
>>> Intéressant : la notion de culpabilité ne semble même pas évoquée dans cette
>>> page.
>> Je ne suis pas juriste alors je vais probablement dire une énormité, mais la 
>> culpabilité n'est elle pas une notion de droit pénal ?
>>
>>> Mais aussi un élément intéressant ici c'est le cas du défaut intrinsèque à
>>> la chose, je pense à un routeur qui se fait trouer, et où la responsabilité
>>> peut devenir celle du fabricant. Idem peut-être pour le bug exploité. Dans
>>> ces cas les clauses contractuelles et les licences logicielles peuvent
>>> peut-être jouer (je pense aux licences libres qui disent "utiliser à vos
>>> risques et périls").
>>>
>>> Cordialement,
>>> Sylvain
>>>
>>> --
>>> Gixe  - Association 1901  - conseil, hébergement, opérateur pour tous
>>> SIREN 450 404 769-   http://www.gixe.net-cont...@gixe.net
>>> venez nous voir sur IRC geeknode #gixe - tél: 0950315474 - 0686383868
>>>
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Edouard Chamillard]

Le 06/01/2016 12:23, Sylvain Vallerot a écrit :
>
>
> On 05/01/2016 01:04, Jérôme Nicolle wrote:
> > Mais du coup, même au civil, faire peser la responsabilité d'un usage
> > illicite sur une personne qu'on ne sait pas relier certainement au
> > fait, c'est déjà une faute de justice.
>
> > C'est l'un des arguments qu'on a tenté de mettre en avant contre
> > HADOPI, et qui a été balayé par la mauvaise foi et surtout
> > l’incompétence du législateur,
>
> Je ne suis pas sur qu'il ait été moins compétent que ses détracteurs,
> qui (en plus d'avoir échoué à le contrer) n'ont peut-être pas perçu que
> le nouveau délit de "défaut de sécurisation de la ligne" n'était pas
> incohérent avec système de responsabilité déjà en place.
>
> A lire le premier alinéa de l'art 1384 du code Civil :
> « On est responsable non seulement du dommage que l'on cause par son
> propre
> fait, mais encore de celui qui est causé par le fait des personnes
> dont on
> doit répondre, ou des choses que l'on a sous sa garde.»
>
> Ce principe est donc ancré dans le droit depuis longtemps (au moins 1971),
> sur wikipedia (1) je lis même ceci : «aujourd'hui nous sommes dans un
> système de responsabilité objective dans lequel la preuve de la faute est
> devenue inutile» qui semble vouloir résumer la page sans citer un élément
> de source précis.
>
> L'argument qui consiste à crier ici au déni de justice me semble donc voué
> à un échec assez prévisible (surtout après coup c'est plus facile ;)
>
> 1.
> https://fr.wikipedia.org/wiki/Responsabilit%C3%A9_du_fait_d%27autrui_en_droit_civil_fran%C3%A7ais
>
>

je vois pas comment l'article 1384 pourrait s'appliquer ici. je crois
pas qu'il s'applique a des biens physiques détournés (gerard lambert m'a
piqué ma meule et l'a plantée dans une poubelle, puis un môme, puis un
arbre), mais si quelqu'un sait...

sauf que l'analogie du bien physique ne tient pas, le vilain code
pedonazi qui s’exécute, il s’exécute en parallèle, et a l'insu de
l'utilisateur. ou alors mamie a une vieille machinbox que son petit fils
toto 8 ans a du faire passer en WEP pour jouer a la DS pendant qu'il
était en vacance, et maintenant au café des amis a l'étage en dessous on
a internet parce qu'on sait se servir d'aircrack. etc... etc... dans
tout ces cas, l'application stricte de l'article va entrainer la
condamnation des propriétaire de l'abonnement, *parce que* on fait une
approximation grossière de la façon dont le réseau (et l'ordinateur en
général) fonctionne.

l'argument du takafairegaff a des conséquences profondes sur la façon
dont techniquement le réseau fonctionne a partir du moment ou on
commence a l'appliquer. qui doit faire gaffe ? l'utilisateur final ? son
opérateur ? le transit de l'opérateur ? l’hébergeur a trois lettre qui
loue des vps par paquet de trouze ? le dev php a fort accent
méditerranéen a qui on a fait pondre une install de wordpress et un
design pompé et l'infogérance pour trois roupies par moi ?

si tous ne sont pas responsable, qui l'est ou ne l'est pas et pourquoi ?
ou alors si tous sont responsables de façon conditionnelle, a quelles
conditions ? est ce qu'elles sont applicables ?

quand on commence a dérouler la pelote, on tombe immanquablement sur un
gros paquet de conflits et de débats, techniques, éthiques, juridiques.
et j'ai tendance a penser que c'est moins grave d'avoir quelque types
qui passe entre les mailles du filet que de coucher sur le papier un
fantasme de panoptique complètement impossible, a l’efficacité douteuse,
et qui immanquablement fait des dégâts collatéraux.

tl;dr : le "défaut de sécurisation" c'était déjà a l'époque la porte
ouverte a toute les fenêtres, et ça a fait qu'empirer.

après jdis ça, mais c'est bon pour mon business d'avoir tout un tas de
règles plus ou moins floues et plus ou moins applicable. j’attends avec
impatience la règle qui demande a tout les particulier d'avoir des
installations complète, sécurité en profondeur, SIEM crocoté partout et
analystes formés en gestion d'incident 24/7 dans le salon pour avoir le
droit d'aller poster les photos de l'anniversaire du petit kevin sur
facebook.



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Edouard Chamillard]

mais c'est bien le problème que de considérer que c'est un défaut des
produits/technos et/ou de formation des users, opérateurs, que sais je
de pas avoir d'imputabilité stricte et de non répudiation. la solution
technique elle est facile conceptuellement, on a déjà les outils pour.
pour moi la racine c'est de vouloir absolument pouvoir se servir d'un
élément informatique (quel qu'il soit d'ailleurs. parce que quand on me
dit qu'on fait de la préservation de logs conforme au droit de la preuve
je rigole doucement. si toute les chaines de préservation sont a l'aune
de ce qu'on juge probant en informatique...) comme ayant une valeur de
preuve plus ferme qu'elle ne l'est.

j'ai aucun problème avec le fait de présenter des logs ou des dumps
netflow devant un tribunal, qu'il soit de commerce ou de grande
instance. je voudrais juste qu'on rappelle aux parties concernées que
ces éléments (comme les témoins occulaires...) sont achte moins fiable
que ce qu'on vend au législateur a priori, ou a la justice a postériori.

pour bloquer des ip dans des parefeux, good enough. pour virer un mec
pour usage inapproprié des ressources de l'entreprise parce qu'il s'est
chopé une saloperie qui fait de la fraude au clic sur des sites ~pas pro
mais tres cuir~ et que les RH aime bien jouer a l'inspecteur clouzeau,
je suis déja plus d'accord.

apres savoir si on se fait mal comprendre ou si on est mal compris et
pourquoi... c'est un autre débat.

Le 06/01/2016 13:19, David Ponzone a écrit :
> C’est un peu ce que j’ai voulu dire tantôt par « la technologie est 
> imparfaite/foireuse » .
> Oui, l’avènement de l’informatique a provoqué une avalanche de produits qui 
> ne sont pas finis (MS entre autres), et pour lesquels il faut souvent en plus 
> payer pour avoir du support.
> Pas finis, et donc pas sécurisés.
> Il est clair que le législateur n’a pas bien compris qu’en informatique, 
> mettre une obligation de résultats sur un particulier qui a l’audace de faire 
> confiance à Microsoft ou Netgear, ça allait être délicat.
> Ceci dit, ça n’a pas gêné Hadopi, et ça risque de ne pas gêner les suivants.
>
>> je vois pas comment l'article 1384 pourrait s'appliquer ici. je crois
>> pas qu'il s'applique a des biens physiques détournés (gerard lambert m'a
>> piqué ma meule et l'a plantée dans une poubelle, puis un môme, puis un
>> arbre), mais si quelqu'un sait...
>>
>> sauf que l'analogie du bien physique ne tient pas, le vilain code
>> pedonazi qui s’exécute, il s’exécute en parallèle, et a l'insu de
>> l'utilisateur. ou alors mamie a une vieille machinbox que son petit fils
>> toto 8 ans a du faire passer en WEP pour jouer a la DS pendant qu'il
>> était en vacance, et maintenant au café des amis a l'étage en dessous on
>> a internet parce qu'on sait se servir d'aircrack. etc... etc... dans
>> tout ces cas, l'application stricte de l'article va entrainer la
>> condamnation des propriétaire de l'abonnement, *parce que* on fait une
>> approximation grossière de la façon dont le réseau (et l'ordinateur en
>> général) fonctionne.
>>
>> l'argument du takafairegaff a des conséquences profondes sur la façon
>> dont techniquement le réseau fonctionne a partir du moment ou on
>> commence a l'appliquer. qui doit faire gaffe ? l'utilisateur final ? son
>> opérateur ? le transit de l'opérateur ? l’hébergeur a trois lettre qui
>> loue des vps par paquet de trouze ? le dev php a fort accent
>> méditerranéen a qui on a fait pondre une install de wordpress et un
>> design pompé et l'infogérance pour trois roupies par moi ?
>>
>> si tous ne sont pas responsable, qui l'est ou ne l'est pas et pourquoi ?
>> ou alors si tous sont responsables de façon conditionnelle, a quelles
>> conditions ? est ce qu'elles sont applicables ?
>>
>> quand on commence a dérouler la pelote, on tombe immanquablement sur un
>> gros paquet de conflits et de débats, techniques, éthiques, juridiques.
>> et j'ai tendance a penser que c'est moins grave d'avoir quelque types
>> qui passe entre les mailles du filet que de coucher sur le papier un
>> fantasme de panoptique complètement impossible, a l’efficacité douteuse,
>> et qui immanquablement fait des dégâts collatéraux.
>>
>> tl;dr : le "défaut de sécurisation" c'était déjà a l'époque la porte
>> ouverte a toute les fenêtres, et ça a fait qu'empirer.
>>
>> après jdis ça, mais c'est bon pour mon business d'avoir tout un tas de
>> règles plus ou moins floues et plus ou moins applicable. j’attends avec
>> impatience la règle qui demande a tout les particulier d'avoir des
>> installations complète, sécurité en profondeur, SIEM crocoté partout et
>> analystes formés en gestion d'incident 24/7 dans le salon pour avoir le
>> droit d'aller poster les photos de l'anniversaire du petit kevin sur
>> facebook.
>>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Edouard Chamillard]

> Michel Py:
>>> Lunar a écrit :
>>> Cela empêchera des personnes qui ont besoin de contourner des
>>> dispositifs de filtrages ou de censure d'accéder au réseau.
>> D'accéder à _MON_ réseau, et je ne connais aucune de ces personnes. Je
>> ne critique pas Tor, je n'empêche pas les gens de s'en servir, je
>> comprends qu'il y a des personnes dont la liberté d'expression est
>> limitée qui en ont besoin, mais personne qui a besoin de dissimuler
>> son identité n'a besoin d'accéder mon réseau, donc je bloque.
> Tor sert à bien d'autres usages que celui de dissimuler son identité.
> C'est pour beaucoup de gens avant tout un outil permettant de contourner
> des restrictions d'accès. Même si ça peut paraître surprenant d'un point
> de vue européen, beaucoup de gens utilisent Tor pour accéder à Facebook.
> Utiliser Tor permet de reprendre le contrôle sur ses informations
> personnelles : on ne les partage que si on le désire, là où auparavant
> elles fuitaient hors de notre contrôle.
>
> Par ailleurs, je trouve un peu problématique d'associer identité et
> adresse IP. Au mieux une adresse IP est une indication géographique.
> Mais il existe de nos jours beacoup trop de points d'accès ouverts ou
> d'adresses IPs partagées par de nombreuses personnes pour qu'on puisse
> continuer à considérer qu'une adresse IP permet d'identifier une
> personne.
>
> Quoiqu'il en soit, si ton réseau ne permet d'accéder qu'à des services
> privées, je peux comprendre le filtre. Ceci dit, il empêchera également
> de faire tourner un relai Tor à l'intérieur : un relai a besoin de
> pouvoir contacter tous les autres relais.
>
et soit dit en passant, une adresse IP c'est pas une identité. qu'elle
soit v4 ou v6. si tu as besoin d'identifier des utilisateurs, y'a des
mécanismes pour ça. sinon le mème raisonnement conduit a bloquer les
hotspots, les opérateur qui font du CGN, etc...

d'un point de vue réseau, y'a aucune différence fonctionnelle entre TOR
et du NAT.



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Edouard Chamillard]

non, une adresse IP identifie un périphérique sur le réseau, pas une
personne. c'est pas parce que la distinction est suffisamment peu claire
pour le législateur qu'il nous pond régulièrement ce genre d’aberration
que c'est magiquement vrai.

qui plus est, justement parce que cette relation d'identité n'est que un
concept juridique, elle n'est pas vraie partout, et donc encore moins
utilisable en production.

Le 04/01/2016 16:03, Renaud a écrit :
>
> Edouard Chamillard a écrit :
>>> Par ailleurs, je trouve un peu problématique d'associer identité et
>>>> adresse IP. Au mieux une adresse IP est une indication géographique.
>>>> Mais il existe de nos jours beacoup trop de points d'accès ouverts ou
>>>> d'adresses IPs partagées par de nombreuses personnes pour qu'on puisse
>>>> continuer à considérer qu'une adresse IP permet d'identifier une
>>>> personne.
>>>>
>>>> Quoiqu'il en soit, si ton réseau ne permet d'accéder qu'à des services
>>>> privées, je peux comprendre le filtre. Ceci dit, il empêchera également
>>>> de faire tourner un relai Tor à l'intérieur : un relai a besoin de
>>>> pouvoir contacter tous les autres relais.
>>>>
>> et soit dit en passant, une adresse IP c'est pas une identité. qu'elle
>> soit v4 ou v6. si tu as besoin d'identifier des utilisateurs, y'a des
>> mécanismes pour ça. sinon le mème raisonnement conduit a bloquer les
>> hotspots, les opérateur qui font du CGN, etc...
> l'adresse IP est une donnée à caractère personnelle, justement car elle
> permet l'identification. Sans moyen "de brouillage" un utilisateur peut
> être suivi  dans la plus part des cas sur la seule base de cette IP.
>
> Dans le cas des Hotspot et des CGN il y a une obligation de pouvoir
> suivre des connexions IP (principalement IP+PORT/TCP) à l'IP qui est
> derrière le NAT qui elle même est reliée à une identité.
>
> Il existe biensur plein de moyen de contourner ceci et TOR en fait
> parti. Le but étant avant tout de garder controle sur mes données (et
> les meta aussi).
>
> Renaud
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Le pare-feu du geek barbu

[Edouard Chamillard]

c'est pas la technique qui est défaillante. une adresse IP ça fait
exactement ce que c'est sensé faire, aka permettre aux lutins dans les
tuyaux de balader des paquets d'un hote A a un hote B.

ce qui est défaillant, c'est la perception de la fiabilité de
l'association entre une adresse IP et une personne. pour les dix patates
de facture FT parce que raoul le phreak a été crocotter une beige box
pour appeler les copains du bar en face a pékin, c'était effectivement
difficile de contester, mais l'abus du service dépendait quand mème de
la présence physique de raoul sur le media (comme pour edf et la
flotte), donc c'etait mécaniquement bien localisable dans le temps et
dans l'espace.

le problème de considérer qu'une adresse IP identifie avec certitude (et
je précise bien le avec certitude) une personne c'est justement que
contrairement a de l'infra classique, on est limités ni dans le temps ni
dans l'espace. mème si t'as pas du tout de wifi parce que le média est
pas contrôlable, et mème si on est dans un monde hypothétique sans
malware, le moindre bout de JS sur un coin de page peut quand mème aller
gauler des photos de vacances sur pedobear.com, sans que l'utilisateur
physiquement assis derrière la machine ai fait quoi que ce soit.

 le status quo actuel de dire "l'abonné est responsable de sa connexion"
est d'ailleurs la seule méthode a peu près simple et  générique qui
donne un semblant de traçabilité. et pour le civil c'est sans aucun
doute suffisant, mème si c'est loin d’être parfait.
mais au pénal on est dans le sérieux, et dans la privation de liberté.
alors je tiens a ce que nous les barbus on continue a tambouriner sur la
tête de tout les gens dans la chaine en disant que mème si vous aviez
une vidéo live d'un bonhomme devant un écran qui fait des choses qui ont
l'air de correspondre a ce que votre belle sonde hadopi/eagle/whatever,
vous êtes dans l'incapacité de prouver *au delà de tout doute
raisonnable* que c'est bien la personne qui est volontairement a
l'origine des lutins incriminés, et personne d'autre. il ne s'agit pas
de faire d'internet "une zone de non-droit". il s'agit d’être clairs et
précis sur les limitations de notre capacités techniques.

Le 04/01/2016 16:53, David Ponzone a écrit :
> il y a un flou artistique pour les hotspot public, ce qui rejoint les 
> discussions récentes à ce sujet.
> Pour l’accès Internet depuis ton ADSL ou ton mobile, je pense quand même que 
> le détenteur du contrat d’abonnement est la personne qui sera identifiée 
> comme utilisant l’IP publique (avec éventuellement les logs du CGN dans 
> certains cas).
> Après, on retombe sur le problème: est-ce qu’un particulier est censé être 
> capable de sécuriser complètement son accès WIFI ? Evidemment que non, sauf 
> avec un moyen très simple: pas de WIFI.
> Peut-il se protéger de toute malware/bot/… ? Non, sauf en coupant Internet, 
> auquel cas le problème de départ ne se pose plus.
>
> Le législateur, il a besoin de légiférer. Depuis des dizaines d’année, un 
> abonnement EDF identifie une personne physique (les piratages sont quand même 
> assez rares), de même pour l’eau, et même le téléphone (quand un mec vous 
> collait 10kF d’appels internationaux avec des pinces crocos, je pense qu’il 
> était difficile d’expliquer à Orange que vous étiez innocents).
> Il n’y a pas de raison qu’un accès Internet soit une zone de non-droit sous 
> prétexte que la technique est défaillante.
>
>> Le 4 janv. 2016 à 16:35, Alexis VACHETTE <avache...@sisteer.com> a écrit :
>>
>> Merci, ça fait plaisir de lire quelque chose de sensé.
>>
>> Cordialement,
>> Alexis.
>>
>> On 04/01/2016 16:23, Edouard Chamillard wrote:
>>> non, une adresse IP identifie un périphérique sur le réseau, pas une
>>> personne. c'est pas parce que la distinction est suffisamment peu claire
>>> pour le législateur qu'il nous pond régulièrement ce genre d’aberration
>>> que c'est magiquement vrai.
>>>
>>> qui plus est, justement parce que cette relation d'identité n'est que un
>>> concept juridique, elle n'est pas vraie partout, et donc encore moins
>>> utilisable en production.
>>>
>>> Le 04/01/2016 16:03, Renaud a écrit :
>>>> Edouard Chamillard a écrit :
>>>>>> Par ailleurs, je trouve un peu problématique d'associer identité et
>>>>>>> adresse IP. Au mieux une adresse IP est une indication géographique.
>>>>>>> Mais il existe de nos jours beacoup trop de points d'accès ouverts ou
>>>>>>> d'adresses IPs partagées par de nombreuses personnes pour qu'on puisse
>>>>>>> continuer à considérer qu'une adresse IP permet d'identifier une
>>>>>>> personne.
>>>>>>>
>>>>

Re: [FRnOG] Re: Re: [TECH] Question assez basique sur routage ipv6

[Edouard Chamillard]

je suis assez favorable a "une /64 par client". ça rend les ACL simples
a écrire et a comprendre, ça respecte l'idée qu'en v6 on attribue pas
tant des addresses que des blocs. dans une /29 tu as quelque chose comme
34 milliards de /64, ce qui devrait laisser de la marge de croissance en
nombre de clients ;)

Le 17/11/2015 15:16, Stephane Bortzmeyer a écrit :
> On Tue, Nov 17, 2015 at 03:13:40PM +0100,
>  Julien Escario  wrote 
>  a message of 123 lines which said:
>
>> Du coup, /128 au compte goutte, /64 par VM ou /64 par client et il
>> se débrouille ? (ce qui va me faciliter les ACLs ceci dit).
> Un /64 est certainement plus simple pour tout le monde. 
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] Réponse à la consultation ARCEP finissant ce jour

[Edouard Chamillard]

si le vite fait mal fait pouvait toujours être aussi propre, on aurait
quand mème vachte moins de problèmes.

par contre, pour les flemmards comme moi qui sont d'accord avec
l'intégralité et dont le réflexe naturel va être de remail tel quel, est
ce que nos petits camarades de l'ARCEP ne risquent pas de se plaindre
qu'on les spam ?

Le 06/11/2015 13:33, Jérôme Nicolle a écrit :
> Plop,
>
> J'ai préparé une réponse à la consultation ARCEP disponible à cet
> adresse :
> http://www.arcep.fr/uploads/tx_gspublication/lignes-dir-ftth-rip-consult-oct2015.pdf
>
> Vous êtes invités à reprendre tout ou partie du texte si vous êtes en
> accord avec le contenu, et à le transmettre à fi...@arcep.fr avant 18h.
>
> Notez que j'ai écrit ça rapidement, et pas tout bien relu, c'est pas
> forcement optimal. Désolé.
>
> @+
>
>
> """
> L'accessibilité des réseaux en fibre optique est un enjeu majeur pour la
> survie du viviers d'opérateurs locaux et innovants. Plusieurs alertes
> ont été transmises à l'ARCEP quand aux conséquences dangereuse du cadre
> réglementaire actuel, entre autre lors d'une réunion qui s'est tenue le
> 15 juillet 2015 avec l'unité d'accès fixe.
>
> Question 1 : commentaire sur le contexte de la consultation
>
> La consultation est présentée comme limitée aux réseaux d'initiative
> publique, limitant ceux-ci à tout réseaux crée et opéré dans le cadre de
> l'article L1425-1 du CGCT. C'est une erreur car cela exclu de fait les
> réseaux des territoires dont l’aménagement a été implicitement délégué
> par les collectivités à un opérateur privé par le fait que la
> collectivité s'interdise l'exploitation d'un réseau rentable sur le-dit
> territoire.
>
> Il est essentiel d'intégrer au cadre réglementaire les réseaux déployés
> en zones AMII pour deux raisons essentielles :
> - L'octroi d'un monopole à un opérateur privé dans le cadre d'un
> dispositif réglementaire est un avantage substantiel créé par une
> décision publique
> - Les collectivités en question se privent des recettes des réseaux des
> zones les plus denses, sans aucune contrepartie, et par la même
> s'interdisent le financement par péréquation du déploiement des zones
> les moins denses. C'est donc une subvention déguisée par la création
> d'un manque à gagner pour les collectivités.
>
> La notion de monopole octroyé sur les zones AMII, bien que le dispositif
> suggérait initialement que sa vocation était inverse, est entérinée par
> le transfert des engagements de déploiement de SFR à Orange. L'opérateur
> historique consolide ainsi son monopole en retournant un dispositif
> prévu pour garantir la concurrence, au dépends des collectivités et du
> régulateur.
>
> Le cadre tarifaire et technique proposé par la présente consultation
> doit donc impérativement s'appliquer non seulement aux RIPs du PFTHD
> mais aussi aux "RIPs" indirects que sont les zones AMII.
>
>
>
> Question 2 : des modalités tarifaires de l'accès passif à la boucle
> locale optique
>
> Les modalités de calcul de la structure de coûts prend en compte une
> participation aux frais attenants au génie civil (fourreaux
> essentiellement). Le montant proposé, de 2€/ligne/mois, est
> disproportionné eu égard aux tarifs pratiqués dans les conventions de
> location de génie civil. Ils ne devraient par ailleurs être exigibles
> que lorsque le génie civil concerné est occupé dans le cadre d'une
> convention en règle, ce qui est rarement le cas, et que les redevances
> ou loyers sont effectivement payées, ce qui est encore plus rare.
>
> Outre l'avantage octroyé à Orange par le laxisme de la gestion des
> fourreaux et redevances d'occupation du domaine public par les
> collectivités, cette généralisation de l'occupation sans droits ni
> titres des fourreaux pose un problème de précarité juridique pour
> l'ensemble des opérateurs de service et d'infrastructure. Un tel risque
> est de nature à fragiliser les modèles d'investissement et doit être
> adressé par le régulateur.
>
> Tout déploiement privé ou public d'un réseau optique doit faire l'objet
> d'un contrôle et inventaire clair des accessoires de voirie et
> infrastructures d'accueil, idéalement par la mise en place d'un
> dispositif à l'attention des collectivités qui permette l'assistance à
> l'inventaire de leurs infrastructures et au recouvrement des loyers,
> redevances et de leurs arriérés depuis 1998 par l'établissement de
> conventions comprenant des accords de régularisation.
>
> D'ici à ce que de telles mesures soient en place, il est inopportun de
> prévoir une contribution aux coûts de génie civil dans la structure de
> coûts car cela reviendrai à inciter à l'industrialisation du recel de
> biens publics.
>
>
>
> Les modalités de calcul évitent le problème des coûts cachés présents
> sur les RIPs et autres réseaux obsolètes. Parmi eux, l'accès aux sites
> de collecte impose généralement :
> - Une couverture assurantielle à hauteur de plusieurs dizaines de
> millions d'euros
> - L'adduction de câbles à des tarifs 

Re: [FRnOG] [MISC][VENDREDI] - De l'accessibilité des datacenters en cas de circonstances exceptionnelles

[Edouard Chamillard]

tu ajoute a ton SLA une clause excluant (de façon non limitative) les
suivants: attentats, catastrophes naturelles, invasions extraterrestres,
cultistes invoquant azatoth, gremlins remplaçant tout ton matos par des
desktops sous windows ME. et tu reste couché ce jour la.

sinon oui, a part le stock sur place (qui peut devenir un probleme a
part entiere a gerer) je vois pas d'autres solutions. on peut peut etre
récuperer un vieux transal et se faire parachuter le matos au dessus de
TH2 ? en esperant toucher la cour ?

Le 23/10/2015 12:00, Clement Cavadore a écrit :
> Bonjour,
>
> C'est vendredi, le jour idéal pour une question que je me pose depuis le
> mois de janvier dernier: En cas d'évènement exceptionnel, est-ce que les
> opérateurs de DC ont des "plans de secours" pour permettre l'accès aux
> sites ? Ou c'est plutot du genre "prions pour que ca n'arrive jamais" ?
>
> Je m'explique: Le 11 janvier, si on avait dû accéder à Telehouse2 à
> cause d'un problème majeur, je pense que ca aurait été juste
> irréalisable. La même chose en cas de gros évènement au Stade de France,
> pour accéder à Equinix PA2/PA3 ou DRT. Encore pire si on a du matériel
> de remplacement à y emmener en urgence.
>
> Est-ce que vous, en tant que client de ces datacenters, vous avez
> anticipé la chose (par exemple en ayant du stock sur place - reste le
> problème de l'accessibilité des lieux pour les personnes). 
> Et est-ce que vous, opérateur de datacenters, vous avez songé à créer
> d'autres accès aux sites, qui pourraient être utilisés en cas de
> circonstances exceptionnelles (par exemple, pour le cas de telehouse,
> une porte dans une autre rue - les manifestations n'étant pas rares sur
> le blvd Voltaire) ?
>
> Hint: Data4 n'est pas concerné par la question. Le marketting gerbant à
> base de "Nous, on n'a pas de problèmes de voisinage" s'appliquerait
> aussi à l'accès physique, j'imagine :D
>
> A vois !




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC][VENDREDI] - De l'accessibilité des datacenters en cas de circonstances exceptionnelles

[Edouard Chamillard]

je suis pas sur que les groupes pneumatiques tournent encore. peut etre
en lançant tres fort le GBIC ?

(d'un autre coté, a 80mm on pourrait passer un paquet de fibre dans les
tubes)

Le 23/10/2015 12:47, Erik LE VACON a écrit :
> On 23/10/2015 12:22, Edouard Chamillard wrote:
>> [...]
>> on peut peut etre récuperer un vieux transal et se faire parachuter le matos 
>> au dessus de
>> TH2 ? en esperant toucher la cour ?
>> ... Accès par les catacombes ? :-)
> Pour le transport en urgence de petit matériel (GBIC, ) il reste peut 
> être un accès à proximité au réseau PPP (Poste pneumatique de Paris). Juste 
> s'assurer que la garantie casse est incluse des les TOS de livraison...
>
> C'est vendredi 
>
> My two...
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [JOBS] Offre de stage - Habiteo

[Edouard Chamillard]

si on a du python cool du genre ansible ou salt qui fait appel a du bash
pas cool, ça se nullifie ?

Le 09/10/2015 11:12, Manu a écrit :
>
>
> Le 09/10/2015 11:02, Gaël Demette a écrit :
> [snip]
>> * Connaissances de langages de script
>>   => Automatiser en Python plutôt qu'en bash c'est cool.
> [snip]
>> Bontrolldi à tous,
>
> Alors, qui commence ? :-D
>




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [JOBS] Poste d'ingénieur IT basé Lausanne

[Edouard Chamillard]

en meme temps, si y'a de l'admin sys a faire dans une boite de
petite/moyenne taille, surtout si ça bouge tres vite, vous savez bien
qu'on peut se retrouver a faire de la config BGP d'une main, répondre au
téléphone parce que monsieur michu du service commercial a encore
renversé du café sur son laptop de l'autre, tout en codant le bout de
perl ultra affreux qui maintient la prod en place on ne sait trop
comment. ah ouais et le plafonnier du bureau du chef a sauté, faudrait
voir a changer ça. quoi, t'es ingénieur, tu devrais y arriver non ?

Le 08/10/2015 18:41, Gilles Pietri a écrit :
> Le 08/10/2015 18:09, Quentin a écrit :
>> Bonjour,
>>
>> "avec un véritable respect des compétences techniques" :
>>
>>> Deliver to Nexthink users the best service and tools possible
>> accordingly to their business needs
>>> Support a wide range of users from software engineer toaccountants on
>> topics of diverse technical  complexity  ranging  from  “Can  you
>>  purchase  a  mouse  for  me?”  ...
>>
>> Euh des tâches helpdesk c'est pas trop en accord avec le profil d'un
>> "Ingénieur", donc pour le respect des compétences ...
>
> C'est peut-être un piège... Rien ne dit que la réponse attendue ne soit
> pas "non" ;)
>
> @+
> Gilles
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [JOBS] Poste d'ingénieur IT basé Lausanne

[Edouard Chamillard]

hey c'est pas du tout un reproche. le taff de sysadmin couteau suisse
developeur/admin réseau/systeme/support n1/n2/n3 et qui fait super bien
le café c'est un état de fait assez naturel dans des structures de
petite/moyenne taille qui sont pas strictement orientée sur leur prod
(et encore. le nombre de boites "web" qui tournent avec un pauv' type en
alternance qui maintient péniblement la prod en marche en étant
considéré comme un centre de cout...) on pas la capacité ou le besoin
d'une équipe de support a plein temps.

apres je pense pas que ça soit se sentir "au dessus de ça" Antoine. les
gens ont juste l'habitude un peu cynique mais proche de la réalité que
le job d'admin ça soit IT janitor, la considération et le salaire qui
vont avec, les astreintes en plus. (je nie toute ressemblance avec une
annonce passée recemment sur cette ML. ça serait purement fortuit.)

apres comme le dit David, la premiere des preuves de considération pour
son équipe c'est le salaire (brut primes non comprises). donc du moment
qu'il suit...

Le 08/10/2015 19:19, David Ponzone a écrit :
> Vous êtes durs. Avec les niveaux de salaire en Suisse, je veux bien changer 
> le toner :)
>
> David Ponzone
>
>
>
>> Le 8 oct. 2015 à 19:13, Antoine Benkemoun <antoine.benkem...@gmail.com> a 
>> écrit :
>>
>> Il faut faire attention si tu veux leur refuser la souris car ils sont
>> armés de Nerf :P
>>
>> Effectivement, c'est une startup et toute l'équipe IT participe aux tâches
>> de support utilisateur. Les personnes qui pensent être au-dessus de ce type
>> de tâches ne correspondent donc pas au poste.
>>
>> Afin d'éviter de tout faire peser sur une seule personne les tâches les
>> moins sexy, toute l'équipe participe à toutes les tâches. Pas de plates
>> bandes ou ce type de concept. Comme tu le décris assez justement Edouard,
>> une minute tu vas configurer de l'OSPF, la suivante tu vas aller changer un
>> toner et l'autre tu vas faire du suivi de ticket sur un problème hardware
>> avec Dell. Ca permet aussi de garder le sens des réalités. Si tu casses
>> quelque chose, c'est toi, entre autre, qui va aller dépatouiller les
>> utilisateurs que t'as impacté.
>>
>> Dans le cas du néon et de la poubelle, on a des prestataires du bâtiment
>> dont c'est une partie de leurs tâches.
>>
>> On attend d'un ingénieur d'avoir une ouverture d'esprit suffisante pour
>> écouter les demandes/remarques d'un développeur, une RH ou un commercial
>> sur leurs cas d'utilisation des SI. C'est souvent de cette manière qu'on
>> recueille d'excellentes idées d'amélioration continue :-).
>>
>> Après, c'est clairement subjectif je le reconnais, on a la chance d'avoir
>> des utilisateurs compréhensifs et simplement gentils. Ca fait partie de la
>> culture de la société. Tout le monde est dans le même bateau, autant que ca
>> se passe bien.
>>
>> Antoine
>>
>>
>> 2015-10-08 18:52 GMT+02:00 Hombecq Cyrille <cyrille.homb...@gmail.com>:
>>
>>> Sans oublier le : "Ma poubelle est pleine, tu peux t'en occuper ? Merci"
>>> --
>>> Cyrille Hombecq
>>>
>>> 2015-10-08 18:49 GMT+02:00 Edouard Chamillard <
>>> edouard.chamill...@ablogix.fr
>>>> :
>>>> en meme temps, si y'a de l'admin sys a faire dans une boite de
>>>> petite/moyenne taille, surtout si ça bouge tres vite, vous savez bien
>>>> qu'on peut se retrouver a faire de la config BGP d'une main, répondre au
>>>> téléphone parce que monsieur michu du service commercial a encore
>>>> renversé du café sur son laptop de l'autre, tout en codant le bout de
>>>> perl ultra affreux qui maintient la prod en place on ne sait trop
>>>> comment. ah ouais et le plafonnier du bureau du chef a sauté, faudrait
>>>> voir a changer ça. quoi, t'es ingénieur, tu devrais y arriver non ?
>>>>
>>>> Le 08/10/2015 18:41, Gilles Pietri a écrit :
>>>>> Le 08/10/2015 18:09, Quentin a écrit :
>>>>>> Bonjour,
>>>>>>
>>>>>> "avec un véritable respect des compétences techniques" :
>>>>>>
>>>>>>> Deliver to Nexthink users the best service and tools possible
>>>>>> accordingly to their business needs
>>>>>>> Support a wide range of users from software engineer toaccountants on
>>>>>> topics of diverse technical  complexity  ranging  from  “Can  you
>>>>>> purchase  a  mouse  for  me?”  ...
>>>>>>
>>>>>> Euh des tâches helpdesk c'est pas trop en accord avec le profil d'un
>>>>>> "Ingénieur", donc pour le respect des compétences ...
>>>>> C'est peut-être un piège... Rien ne dit que la réponse attendue ne soit
>>>>> pas "non" ;)
>>>>>
>>>>> @+
>>>>> Gilles
>>>>>
>>>>>
>>>>> ---
>>>>> Liste de diffusion du FRnOG
>>>>> http://www.frnog.org/
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Re: Filtrage anti-5060to5060 sur clients Livebox Pro

[Edouard Chamillard]

si ça fonctionne dans un stunnel, ça commencera a serieusement
ressembler a du DPI.

Le 07/10/2015 17:34, David Ponzone a écrit :
> Episode 2:
>
> A nouveau, plus de communications SIP possible depuis le client, malgré mon 
> changement de port source sur l’équipement du client.
> Ca a donc tenu quelques heures.
> J’ai rechangé le port source en mettant un port aléatoire entre 5500 et 5900, 
> et ça remarche.
>
> Il y a quelque chose de pourri au royaume de Livebox…
>
> Quelqu’un sait s’il y a une sorte d’IDS intégré à la Livebox Pro v3, qui 
> pourrait éventuellement prendre certains paquets SIP entre les 2 équipements 
> pour une attaque ?
> J’ai pas d’autres idées pour le moment.
>
> Le 5 oct. 2015 à 14:27, David Ponzone  a écrit :
>
>> Je viens de constater une bizarrerie chez un client qui a un trunk SIP 
>> derrière une Livebox Pro (oui je sais…).
>> J’ai l’impression qu’Orange sur son réseau (ou une portion de son réseau) 
>> filtre ce qui a comme port source et destination 5060.
>> Quand j’ai mis 5061 comme port destination sur l’équipement du client, je 
>> voyais arriver chez moi:
>> UDP:5060 -> UDP:5061
>> Quand j’ai remis 5060 comme port destination:
>> rien
>> Quand j’ai dit à l’équipement d’utiliser 5080 comme port source, je recevais:
>> UDP:5080 -> UDP:5060
>>
>> Quelqu’un a de l’info précise là-dessus ? Ils hijackent les comms UDP 
>> 5060->5060 en considérant que ça vient forcément des ports FXS de la box ?
>>
>>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [JOBS] Recherche poste sécurité informatique vers Sophia-Antipolis

[Edouard Chamillard]

vos RH sont capable de determiner les compétence d'un ingenieur ? je
suis impressionné.

Le 23/09/2015 23:38, Regis Perdreau a écrit :
> Ca
>
> Le 23 septembre 2015 23:35, Alexis Lameire  a écrit 
> :
>> Je vais ptet dire des conneries, mais c'est pas le boulot des RH ?
>>
>> Cordialement
>> Alexis Lameire
>>
>> Le 23 septembre 2015 23:33, Regis Perdreau  a
>> écrit :
>>> Beaucoup d'annonces d'emploi disent : "salaire selon compétence"...
>>>
>>> Existe-t-il une grille permettant d'évaluer le salaire en fonction des
>>> compétences ? Un tableau excel pourquoi , enfin quelque chose...
>>>
>>>
>>> Parce que si j'avais à recruter quelqu'un, je serais bien embeté pour
>>> écrire dans l'annonce 'salaire selon compétences'.
>>>
>>> Régis
>>>
>>> Le 23 septembre 2015 23:07, jean rave  a écrit :
 Le 23 septembre 2015 17:30, Alexandre  a écrit
 :

>
> On 23/09/2015 15:05, Louis wrote:
>> dans la sécu, c'est très demandé de savoir scripter. C'est bon signe!
>>
> Oh bah ca ira alors, je sors d'un apprentissage regexp/ scripts Perl 5,
> ca devrait le faire :)
>
>
>> Le 23 septembre 2015 14:50, David Ponzone > > a écrit :
>>
>> Fais gaffe, tu vas te faire recruter pour faire des scripts bash
>> :)
>>
> Ca me va, tant que le salaire suit mon niveau d'étude .
>
>
 Je vois pas en quoi ton niveau d'étude justifierai ton salaire ?
 A mon avis seul les compétences peuvent le justifier, un bon autodidacte
 vaudra toujours plus qu'un mauvaise ingénieur.
 Sauf si tu veux faire couler ta boite biensur.

 Mais je ne doute pas que tu es le niveau qui va justifier un bon salaire
 :)



>> Le 23 sept. 2015 à 14:19, Alexandre > > a écrit :
>>
>> > Bonjour la liste,
>> >
>> > Voyant enfin la fin de mon cursus, je suis à la recherche d'un
> emploi
>> > d'ingénieur dans le domaine de la sécurité réseau ou système
>> vers
>> Sophia
>> > Antipolis. Vous pouvez trouver mon profil linkedin ici :
>> >
>>
> https://www.linkedin.com/profile/view?id=AAIAAAyq8GEBr1WtJT40f5V2z_PCm6MRlyCQ1k8
>> > . Je me tiens disponible pour vous envoyer directement mon CV,
> pour un
>> > éventuel entretient, ainsi que pour toute informations
>> complémentaires.
>> >
>> > Et à présent, comme quelqu'un a dit il y a quelques dizaines de
>> minutes
>> > qu'il se méfiait d'un courriel sans faute, en voici :
>> > s/qu/k/g
>> > s/c(a|o|u)/k\1/g
>> > s/à/a/g
>> > s/([ae]?i|u)n/1/g
>> > s/[tesx] / /g
>> > s/en/an/g
>> > s/(ê|é|è)/e/g
>> > s/(er|ei|ai)/é/g
>> > s/e?au/o/g
>> > s/eu/e/g
>> > s/ h/ /g
>> > s/CV/wc/g
>> > À appliquer en fonction de vos envies d'horreurs ;)
>> >
>> > Cordialement,
>> > Alexandre Schifano
>> >
>> >
>> > ---
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature