RE: [FRnOG] [TECH] Firewall with Group Policy

[Michael Bazy]

Hello,

Je confirme qu'on peut faire du load-balancing en fonction de l'appartenance à 
un groupe AD (ex : VIPs & admins sur le lien fibre, le reste du monde sur 
d'autre/s lien/s).

Effectivement il peut y avoir une petite problématique lorsque les machines 
changent d'IP, mais en fonction de l'archi, on arrive en général toujours à 
trouver une solution.

Ne pas hésiter à me contacter en mp si besoin de plus d'infos.

Cordialement,

Michael

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Thierry 
Chich
Envoyé : vendredi 10 mai 2019 09:48
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Firewall with Group Policy

Bonjour

Le 07/05/2019 à 11:47, Mikael R. - Engine-Serv a écrit :
> Bonjour,
>
> Je cherche une solution software certifiée "Données Sensibles" pour 
> réaliser des redirections de sessions HTTP en fonction de 
> l'appartenance à un groupe Active Directory vers deux ip différentes.
>
> Avez vous une piste ?
> Un firewall logiciel peut-il requêter un AD pour avoir cette info de 
> groupe et appliquer une règle en fonction ?


J'ai testé sur Fortinet, on peut attraper le groupe AD  soit en allant chercher 
directement dans l'annuaire, soit en installant un client sur l'AD qui pousse 
les données. Ca fonctionne, mais il y a des limitations quand on est en 
situation de mobilité.

Pour ce qui est de la redirection en tant que telle, je n'ai jamais fait ça sur 
un firewall.  A mon avis, il y a ce qu'il faut sur les fortigate (il y a des 
fonctions de load-balancing). Cela dit, je ne mettrais pas ma main à couper que 
les deux fonctionnalités qu'il faut utiliser se marient bien, par contre.


Cdt

--



Thierry CHICH




---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[TECH] RE: [FRnOG] [TECH] Bonnes Pratiques Sécurité firewall PaloAlto

[Michael Bazy]

Bonjour Hugo,

Ce qu'indique l'ANSSI pour Stormshield est transposable à Palo pour pas mal de 
choses (authent' nominative, par PKI, éviter le chiffrement inférieur à TLS1.2, 
etc...)

Et sinon, normalement en formation on a pu te parler du Best Practice 
Assessment tool fourni par Palo, ainsi que l'Expedition VM pour optimiser tes 
règles de filtrage et les passer plus facilement en mode full applicatif (il y 
a encore trop de Firewalls PAN qui se basent sur les services au lieu des 
applications).

Il peut également être intéressant d'utiliser Minemeld qui te permet de 
créer/gérer des listes d'objets dynamiques (IP/domaines/URLs) assez facilement 
(notamment pour les blacklists fournis par ton SOC).

A+

Michael

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Erik MX1
Envoyé : jeudi 7 mars 2019 12:27
À : SIMANCAS Hugo ; frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Bonnes Pratiques Sécurité firewall PaloAlto

Bonjour Hugo,
Tu avais le guide du SANS institute (un poil ancien), mais tu auras sans doute 
des adaptations à faire dans l'implem si tu disposes de la dernière mouture 
PAN-OS 8.x.


Le 7 mars 2019 11:55:31 SIMANCAS Hugo  a 
écrit :
> Bonjour,
>
> En sortie de formation PA210, je me demandais s’il existait des docs 
> d’exploitation sur les bonnes pratiques de paramétrage des firewall 
> palo alto (Filtrage, VPN …) ou si vous auriez ça dans un coin.
> Genre ce que propose l’ANSSI sur pas mal de produits.
>
> Merci d’avance
>
> Bonne journée
>
> Hugo


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH]

[Michael Bazy]

Bonjour Pascal, 

Sur le papier, toutes ces clés sont supportées, et doivent fonctionner. Si une 
clé est dans la liste, c'est que Fortinet a chargé les drivers associés dans le 
firmware, pour reconnaître la clé.

Dans les faits, attention au firmware embarqué dans la clé, et parfois même, à 
l'opérateur de la carte SIM (perso, j'ai testé SFR, Orange, et Free sans souci).

La conf côté FortiGate & les paramètres associés peuvent aussi avoir un impact 
sur le bon fonctionnement (puisque tout n'est pas forcément auto-détecté dans 
la conf de la carte SIM et des paramètres 4G ne sont pas tous forcément 
reconnus).

Tout ça pour dire que je te recommande de faire attention si tu veux éviter d'y 
perdre des journées!

En tant que distris, on a un modèle testé, validé, fonctionnel (notamment 
niveau firmware, ce qui évite beaucoup d'écueils déjà).

On a d'ailleurs une clé dispo qu'on peut te prêter pour faire tes tests. 
N'hésite pas à contacter ton revendeur Forti pour qu'il voit ça avec nous.

Cordialement,

Michael

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de 
pascal.franc...@cogicom.fr
Envoyé : mercredi 6 février 2019 12:26
À : frnog-t...@frnog.org
Objet : [FRnOG] [TECH]

Bonjour
Y a-t-il une personne qui aurait utilisé du formgate avec une clé 4G ?

J'ai toute une liste de clés :
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiExtender-USB-Model-Support-List.pdf.

Mais j’aimerais avoir un retour, pour faire le meilleur choix.

MERCI

Bonne journée 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH]/ROI d'externalisation du datacenter

[Michael Bazy]

@David, on dirait que ta boîte se fait spammer par les revendeurs de chez 
Azure/AWS/OCI/GCP/etc... , et cherchent des façons de faire des économies tout 
en ne sautant pas le pas.

Je rejoins Michel sur le fait que la première question à se poser, c'est 
qu'est-ce qu'on ne peut pas migrer.

(le plus loin que j'ai vu, c'est d'inclure d'inclure les coût de revient des 
capitaux VS des frais de fonctionnements déductibles fiscalement)

Michael

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Michel Py
Envoyé : mardi 5 février 2019 22:57
À : David GOURANTON ; frnog-t...@frnog.org
Objet : RE: [FRnOG] [TECH]/ROI d'externalisation du datacenter

> David GOURANTON a écrit :
> Nous possédons un petit datacenter en propre d'une vingtaine de racks 
> hébergé dans nos locaux

Un peu plus grand, 60 racks à moitié remplis (pour les mêmes raisons que 
Philippe).

> et il devient de plus en plus difficile d'en justifier le coût de 
> maintenance (clim, groupes électrogènes, électricité, etc).

On a fait les comptes et pour nous c'était pas rentable.

- L'électricité en DC çà coute 3 à 4 fois plus cher que ce qu'on paie ici.

- Il aurait fallu qu'on remplace plein de matériel. On en encore pas mal de 
bousins antiques qui prennent tellement de place que les mettre en DC çà aurait 
couté trop cher.

- Faudrait qu'on soit beaucoup mieux connectés que maintenant, ce qui coute 
cher.

Ce qui a fait la décision, c'est ceci : il a pas mal de choses qu'on ne pouvait 
pas bouger, il aurait fallu qu'on garde quelques racks, donc la clim et le 
groupe et tout. C'est la première question à se poser : qu'est-ce qui n'est pas 
possible de bouger.

Mes deux centimes d'euro,
Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Diagramme en oeil

[Michael Bazy]

+1
:)

Michael
+33628781171
Sent from mobile


From: frnog-requ...@frnog.org  on behalf of Michel Py 

Sent: Monday, January 14, 2019 3:18:14 AM
To: s...@genesix.org; frnog@frnog.org
Subject: Re: [FRnOG] [TECH] Diagramme en oeil



> Je vous réponds en MP pour ne pas encombrer..

Je ne trouve pas ce sujet encombrant. Rien a contribuer vu que je n'ai jamais 
fait mais je lis le fil avec interet.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] PB Flux TCP sur VPN IPSEC double NAT

[Michael Bazy]

Hello Lionel,

Même si la fragmentation est gérée par le routeur, tu mets tes paquets dans de 
l'UDP (surtout avec le NAT-T), donc il y a moins de contrôles sur la bonne 
transmission des flux que dans TCP, et donc c'est plus sensibles aux petits 
aléas le long du chemin.

C'est pas pour lancer un troll (on a eu notre lot de trolls pour 2018 là ;) ), 
mais je pense que c'est le genre de problèmes réglés par l'IPv6.

Michael


From: frnog-requ...@frnog.org  on behalf of Lionel 
RIVIERE 
Sent: Friday, December 21, 2018 8:58:23 PM
To: David Ponzone; Fabien SECOND; Nicolas Mrowczynski
Cc: frnog
Subject: RE: [FRnOG] [TECH] PB Flux TCP sur VPN IPSEC double NAT

Bonsoir et merci pour vos suggestions

Le filtrage firewall est en pass all

Je pensais que la fragmentation serait gérée automatiquement par le routeur en 
tête car aucun pb sur les flux à destination d'internet qui ne passent pas dans 
le VPN
Je vais explorer cette piste

Merci encore

-Message d'origine-
De : David Ponzone 
Envoyé : vendredi 21 décembre 2018 19:51
À : Lionel RIVIERE 
Cc : frnog 
Objet : Re: [FRnOG] [TECH] PB Flux TCP sur VPN IPSEC double NAT

ben à coup de PING avec bit DF, cherche le plus gros paquet que tu puisses 
envoyer depuis le Sophos derrière du NAT vers l’autre.
Si un des sites est en PPPoE, ça sera pas 1500.
Tu ajustes ton MTU et ton MSS en fonction de ça, ça peut aider.
Si tu peux jouer côté IPsec aussi, indique aux Sophos de pas dépasser 1400 par 
exemple, et vois ce que ça donne.



> Le 21 déc. 2018 à 19:27, Lionel RIVIERE  a écrit :
>
> Bonjour à toutes et à tous,
>
> J'ai un PB technique peut être connu de certain..
>
> Je dispose d'un VPN IPSEC site à site entre deux Sophos Le Sophos du
> site A dispose d'un lien de type FTTH en double NAT, il ne porte donc
> pas l'ip publique (L'interconnexion est réalisée via un sous réseau en
> IP privée différente de ce qui peut exister sur l'architecture) Les
> ports UDP 4500 + 500 sont redirigés vers le Sophos
>
> Le Sophos du site B porte une IP Publique
>
> Le VPN monte . On arrive à joindre les équipements distants dans les
> deux sens (ping, partage de fichiers, requêtes DNS..) Des PC se
> trouvent sur le site A et leur serveur AD Microsoft sur le site B
> (Windows 2012)
>
> Le problème est le suivant: certaines requêtes entre les PC et l'AD ne
> transitent pas Tout fonctionnait parfaitement avant le déménagement du
> site A qui disposait auparavant d'un IP publique sur le Sophos
>
> les PC sous Windows 7 ou 10 ne sont pas vu comme connecté sur un
> réseau de domaine impossible de gérer sur les postes locaux
> utilisateurs du domaine les stratégies des groupes de s'appliquent pas ..
>
> En réalisant des captures à la sortie d'une machine, beaucoup
> d'erreurs TCP ACK entre la machine et l'AD
>
> [TCP Previous segment not captured] 88 → 57935 [PSH, ACK] Seq=1383 Ack=308 
> Win=131072 Len=154 [TCP segment of a reassembled PDU]"
> [TCP Dup ACK 11062#1] 57942 → 88 [ACK] Seq=308 Ack=1 Win=65700 Len=0
> SLE=1383 SRE=1537
>
>
>
> Le NAT-T étant activé sur les routeur, j'ai tenté de le désactivé :
> idem Je ne pense pas que cela provienne du MTU qui doit normalement
> être géré par le routeur qui porte le lien FTTH (MTU lan privé à 1500
> et MTU FTTH à 1460)
>
>
> Si quelqu'un à idée je suis preneur.. 
>
>
> merci
>
> Lionel
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Michael Bazy]

Mais à faire pour :
www.google.ca
www.google.fr
www.google.it
www.google.co.uk
www.google.be
www.google.cn
www.google.com.au
etc...

Michael

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Nico 
CARTRON
Envoyé : lundi 26 novembre 2018 15:48
À : Denis Fondras 
Cc : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on 
Operators

Hello,

On 26-nov-2018 15:41 CET,  wrote:

> Pour le coup, Google a fait du bon travail de filtrage avec 
> forcesafesearch.google.com...  mais c'est du DNS menteur :)

Ca tombe quand même chez Google (CNAME forsafesearch.google.com pour 
www.google.com), donc un poil moins bourrin ;)

--
Nico


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Mais que fait le 3215

[Michael Bazy]

Il me semble qu'Akamaï a des partenariats avec tous les grands opérateurs pour 
héberger leurs serveurs directement chez eux. 

(ça coûte moins cher en BP pour tout le monde & ça raccourcit le chemin : 
win-win).

Ça expliquerait le comportement.

Michael

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de David 
Ponzone
Envoyé : mercredi 14 novembre 2018 11:49
À : Radu-Adrian Feurdean 
Cc : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Mais que fait le 3215

Je sais bien, c’est juste que se retrouver sur un cache chez Free, ça fait 
bizarre niveau QoS  :)



> Le 14 nov. 2018 à 11:45, Radu-Adrian Feurdean 
>  a écrit :
> 
> On Wed, Nov 14, 2018, at 11:13, David Ponzone wrote:
>> Ouais, l’autre jour un traceroute sur www.apple.com 
>>  arrivait sur un cache Akamai chez Free.
> 
> Un meme nom de domaine peut pointer sur differents caches en fonction du lieu 
> ou tu fais la requete DNS.
> 
> Aujourd'hui, apple.com pointe : 
> - depuis $job sur un cache dispo en peering
> - depuis Online (resolver officiel), sur un cache sur tiSparkle a 
> Paris
> - depuis OVH (resolver maison) - meme cache que $job, mais via 
> Zayo(AboveNet)
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Quel HW pour tunnel IPSEC avec APNF ?

[Michael Bazy]

Quelqu'un finira probablement par le citer, donc pour info, voici les 
paramètres que supporte un (pourtant petit) FortiGate:

IKE v1 & v2
DH Group 1 -> 31
DES/3DES/AES128-192-256
MD5/SHA1-256-384-512

Par contre, pas de support de l'EIGRP.

Et je ne pense pas que ton ingénierie aux UKs vienne dire que ce n'est pas 
"Enterprise-Grade" (certification CC, toussa)

Michael

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Hugues 
Voiturier
Envoyé : mercredi 7 novembre 2018 17:08
À : Joel DEREFINKO 
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Quel HW pour tunnel IPSEC avec APNF ?

Ah tiens, ravi de voir que je ne suis pas le seul à avoir des soucis avec 
l’APNF et IPSEC ! 

Tu as essayé de regarder chez Cisco, mais dans la gamme de routeurs classiques 
(ISR par exemple) ?

Il me semble que mon contact là bas m’avait dit que ça marchait.

@+

Hugues
AS57199 - AS50628

> On 7 Nov 2018, at 17:00, Joel DEREFINKO  wrote:
> 
> Bonjour à tous !
> 
> Petit résumé de notre situation : nous sommes raccordés comme beaucoup à 
> l'APNF via un tunnel IPSEC.
> Nous ne sommes que consommateurs de données à des fins de facturation.
> L'APNF a lancé (il y longtemps déjà) une campagne de migration des tunnels 
> vers d'autres paramètres IPSEC plus robustes.
> 
> Notre souci, c'est que faisant partie d'un groupe américain qui a élevé Cisco 
> au rang de religion, notre parc comporte essentiellement des ASA.
> (Pour l'anecdote le routage interne est, entre autres, en EIGRP...)
> 
> Or ces petites bestioles (y compris celles renouvelées en 2018) ne proposent 
> pas IKEv1/DH14/AES-256/SHA-256.
> Ces paramètres sont dispo en IKEv2 mais Steria ne supporte pas IKEv2.
> 
> Je suis donc à la recherche d'alternatives HW pour héberger ce tunnel.
> 
> Petites précisions qui compliquent un peu le sujet, j'ai commencé à regarder 
> OpenSWAN / LibreSWAN, mais mon ingénierie réseau basée en UK m'a gentiment 
> fait comprendre que si je veux déployer de l'open-source, je me démerde de 
> bout en bout (et je suis loin d'être expert...).
> Donc en gros je suis à la recherche de quelque chose "d'enterprise-grade" que 
> mes amis anglais seraient à même de tolérer... (je ne pense pas que Mikrotik 
> serait accepté par exemple, mais je peux toujours tenter ma chance...)
> 
> Merci pour vos retours !
> 
> Joël
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Opération déstockage Fortinet chez le distri

[Michael Bazy]

Hello la liste,

Il y a en ce moment une opération de déstockage chez le distri Fortinet, donc 
de très bons prix sur du matos, mais pas (ou plus) de maintenance sur certains 
matos.

Exemples (les moins chers et plus chers sont dans la liste) :
FG30D sans licence : 40 €
FG400D sans licence : 100 €
FortiWiFi-30E-3G4G : 250 €
FG50E avec 4 ans de licences : 450 €
FG81E avec 2 ans de licences : 1000€

Il y a aussi du FortiMail, du FortiAP, du FortiSwitch (si, ça existe :) )!

La seule vraie contrainte, c’est que si vous n’êtes pas revendeur, il faut en 
trouver un (de préférence réactif et sympa).

Me contacter en MP pour la liste complète.

A+

Michael

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Fortigate - NAT n:n

[Michael Bazy]

Hello Charles,

Si tu veux ne faire que du SNAT (tes flux 192.168.1.X sont masqués par 
10.5.3.X), c'est de l'IPpool, tu peux faire le mode "one-to-one" ou le "Fixed 
Port Range" (ma préférence perso va sur le Fixed Port Range). Il te faudra 
juste une règle port_interne->port_externe et appliquer cet objet NAT dessus.

Si tu veux faire du SNAT + DNAT (tes flux 192.168.1.X sont masqués par 10.5.3.X 
et tes flux 10.5.3.X sont redirigés vers 192.168.1.X), tu peux créer une VIP :

config firewall vip
edit "snat_dnat" <-- le nom de ta VIP
set mappedip 192.168.1.1-192.168.1.253 <--j'ai omis 192.168.1.254 qui 
doit être à priori le routeur
set extip 10.5.3.1-10.5.3.253
set extintf "port_externe" <-- le port côté site distant
next
end

Il te faudra 2 règles : 
Port_externe->Port_interne : src="ip_distantes" + dst="snat_dnat" + NAT disable
Port_interne->Port_externe : src=192.168.1.[1-253] + dst ="ip_distantes" + NAT 
enable (sans option)

Un use case est le VPN avec des subnets identiques de chaque côté (je suppose 
que c'est ton cas) est présenté ici : 
https://www.youtube.com/watch?v=wcEsTuwlYTA 

N'hésite pas à revenir vers moi en cas de souci.

A+

Michael

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Guillaume 
Tournat
Envoyé : mardi 2 octobre 2018 14:57
À : Charles Koprowski ; frnog-tech 
Objet : Re: [FRnOG] [TECH] Fortigate - NAT n:n

Bonjour,

Il suffit de créer un objet IP Pool, de type "one-to-one" :


Et ensuite de le mettre en option du NAT dans la règle d'accès :



Le 02/10/2018 à 09:57, Charles Koprowski a écrit :
> Bonjour à tous,
>
> Est-t-il possible de mettre en place «simplement» une règle de NAT n:n 
> sur un Fortigate ?
>
> Je m'explique :
>
> Je souhaite mapper le réseau 192.168.1.0/24 en 10.5.3.0/24 de sorte que :
>
> 192.168.1.1 -> 10.5.3.1
> 192.168.1.2 -> 10.5.3.2
> …
> 192.168.1.254 -> 10.5.3.254
>
> Le prestataire qui info-gère ledit Fortigate m'affirme qu'il n'est pas 
> possible de faire cela avec une seule règle car dans ce cas le NAT se 
> ferait de manière «aléatoire» mais qu'il faut, au lieu de ça, mettre 
> en place les 254 règles de NAT 1:1 correspondantes.
>
> Je n'ai personnellement ni accès au boitier, ni l'expertise du produit 
> pour le vérifier, mais cela me parait tout de même étrange que ce type 
> NAT ne puisse pas être mis en place simplement / proprement.
>
> Avez-vous déjà rencontré ce cas de figure ?
>
> Merci d'avance.
>
> Bonne journée,
>
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Documentation API fortigate

[Michael Bazy]

Hello,

C'est la 5.2.3, la version est assez vieille en effet. 

Pour avoir accès à tout, il te faut un accès au FNDN : FortiNet Developer 
Network : fndn.fortinet.net

Sinon, tu dois pouvoir l'obtenir de ton intégrateur ou distributeur.

Donc dis-moi quelle est ta version de FortiOS, je te donnerai l'API guide 
correspondant. :)

A+

Michael

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Salim Gasmi
Envoyé : lundi 1 octobre 2018 17:14
À : Louis ; frnog-tech 
Objet : Re: [FRnOG] [TECH] Documentation API fortigate

Bonjour,

Elle est documentée, mais il faut un accès chez Fortinet pour télécharger la 
documentation.
Je t'en ai trouvée une (pas la dernière forcement) ici: 
http://www.tuncaybas.com/FOS_JSON_REST_API_523.pdf

Cordialement,

Salim

Le 01/10/2018 à 15:06, Louis a écrit :
> Bonjour,
>
> je cherche une doc qui décrive l'usage des API sur fortigate.
>
> Je vois qu'il y a une API dispo mais elle n'a pas l'air documentée. Je 
> me trompe ?
>
> https://github.com/openstack/networking-fortinet/blob/5ca7b1b4c17240c8
> eb1b60f7cfa9a46b5b943718/networking_fortinet/api_client/templates.py
>
> Par exemple :
>
> https://fortigate/api/v2/cmdb/router/static/
>
> cordialement,
>
> Louis
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


--
Salim GASMI
Directeur Technique
--

*SdV Plurimedia *
15, rue de la Nuée Bleue
67000 Strasbourg
T. 03 88 75 80 50
F. 03 88 23 56 32

sa...@sdv.fr   NocSdV  
LinkedIn 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Documentation API fortigate

[Michael Bazy]

Salut Louis,

Tu veux celle qui concerne quelle version : 5.2, 5.4, 5.6 ou 6.0?

A+

Michael

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Louis
Envoyé : lundi 1 octobre 2018 15:06
À : frnog-tech 
Objet : [FRnOG] [TECH] Documentation API fortigate

Bonjour,

je cherche une doc qui décrive l'usage des API sur fortigate.

Je vois qu'il y a une API dispo mais elle n'a pas l'air documentée. Je me 
trompe ?

https://github.com/openstack/networking-fortinet/blob/5ca7b1b4c17240c8eb1b60f7cfa9a46b5b943718/networking_fortinet/api_client/templates.py

Par exemple :

https://fortigate/api/v2/cmdb/router/static/

cordialement,

Louis

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Michael Bazy]

> > Mon best practice pour ça est de choisir un bon presta pour t'accompagner. 

>Cà va me servir à quoi ? perdre mon temps à expliquer une nième fois le 
>problème, et payer 500 € de l'heure à un presta pour qu'il me facture le temps 
>qu'il perd avec le support, pour arriver au même résultat : rien, c'est la 
>faute à personne, démerdes toi le ciel t'aidera ?
Je pensais plutôt à un "lot" de tickets d'assistance qui te permettra d'avoir 
un guichet unique (en français!), avec un peu de suivi de temps en temps pour 
s'assurer que tout va bien, et savoir s'il y a des nouveautés intéressantes 
pour faire évoluer ton réseau/ta sécu, et permettre de faire gagner du temps à 
tes équipes (par exemple).
Quand j'étais chez le presta, on ne facturait pas le temps d'assistance, mais 
au ticket résolu (et la résolution, c'est quand le client est satisfait des 
réponses apportées, pas quand on a trouvé une excuse pour dire TGCM). C'est pas 
forcément un calcul gagnant à tous les coups, mais globalement ça l'est 
(fidélité client, bouche à oreille, etc...).

>C'est sans espoir; produit conçu par le marketing, codé par des devs qui 
>malheureusement n'ont aucune idée de ce que c'est un réseau de prod, et 
>supporté par des droides pousse-bouton qui ne sont pas là pour t'aider mais 
>pour fermer le ticket, n'ont jamais vu un réseau ni pondu une ligne de code, 
>ne parlent même pas anglais (je mentionne même pas le Français)...
Bah pour avoir suivi Forti depuis des années et l'avoir comparé avec d'autres 
éditeurs, je pense pouvoir t'affirmer que le produit n'a pas été conçu par le 
marketing (je peux t'en citer d'autres pour lesquelles c'est le cas!). Chez 
Forti, il y a notamment des électroniciens qui pensent les archis matérielles 
et conçoivent des puces, histoire d'avoir un bon rapport performance/prix sur 
les grosses archis (à ma connassance ils sont présents dans quasi toutes les 
grosses archis telco, c'est pas pour rien).

>Je donne mes ressources à l'open-source. Avec le fric que je gaspille chez 
>Fortidaube, je forme mon personnel ou fait quelque chose d'utile.
C'est beau. Mon côté idéaliste est complètement en phase avec toi. 
Et si tu n'as besoin que des fonctions de base (routage, firewall L4, un peu de 
logs avec juste l'ip et le port), en ayant le temps-homme et les compétences en 
interne de le maintenir en cas de souci/comportement chelou, c'est pas moi qui 
chercherais à te vendre du matos propriétaire. 
Soit dit en passant, pour moi, la communauté open-source se nourrit du monde 
propriétaire, et vice-versa. Faut arrêter d'opposer les 2 (la guéguerre 
Linux/Microsoft ne date pas d'aujourd'hui).

Pour en revenir un peu à l'objet de la discussion : si tu ne vois pas l'utilité 
de ton FortiGate, je pense surtout que tu sous-utilises le matos.

Michael

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Michael Bazy]

Côté support, je reconnais qu'ils ont à peu près le même problème que beaucoup 
d'autres (gros) éditeurs : le niveau 1 qui comprend souvent les trucs à côté 
(je les soupçonne d'être payés au nombre de tickets clôturés sans être 
escaladés).

Mon best practice pour ça est de choisir un bon presta pour t'accompagner. 

Ou sinon prendre un TAM, mais c'est (beaucoup) plus cher.

Michael

-Message d'origine-
De : Michel Py  
Envoyé : mercredi 29 août 2018 00:16
À : Guillaume Tournat 
Cc : Michael Bazy ; VALOIS, Pascal 
; frnog@frnog.org
Objet : RE: [FRnOG] [MISC] Fortigate et traceroute : la honte

> Guillaume Tournat a écrit :
> On parle de paquets avec TTL expiré, qui devraient donc être rejetés.
> Qu’il y ait du throttle la dessus, ça ne me choque pas.

Cà devrait être ma décision, pas la leur. C'est pas choquant, mais 1 packet par 
seconde faut qu'ils arrêtent de fumer la moquette.

En plus, leur support technique qui comprend rien essaie de m'expliquer que 
c'est çà qui bloque mon traceroute en sortant, alors qu'il n'y a aucun rapport. 
Ce lien était à propos des traces de l'extérieur, ce qui reste honteux.

Marche sans problème avec Sophos, Untangle, ASA, OPNSense et pfSense !!! Mais 
pas avec Fortigate, parce qu'ils se croient plus intelligents que le reste du 
monde.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Fortigate et traceroute : la honte

[Michael Bazy]

Heu, pour le coup, la limitation que Michel remonte sur Forti n'est pas là pour 
bloquer l'encapsulation d'autres protocoles dans ICMP, elle empêche "juste" à 
une machine de faire plus de 1 traceroute par seconde.

Sinon, ça donne quelque chose comme ça (exemple sur un tracert -d 8.8.8.8)

Tant qu'on dépasse pas la limite, tout paraît normal:
  1 1 ms 1 ms 2 ms  192.168.1.99
  223 ms22 ms24 ms  33.7.18.6
  324 ms23 ms22 ms  33.7.18.2
[...]
 824 ms25 ms24 ms  64.233.175.199
  923 ms23 ms23 ms  8.8.8.8

Et lorsqu'on dépasse la limite : 
  122 ms22 ms22 ms  33.7.18.6
  237 ms *   23 ms  33.7.18.6
  324 ms23 ms22 ms  33.7.18.2
[...]
 824 ms25 ms24 ms  64.233.175.199
  923 ms23 ms23 ms  8.8.8.8

Je rejoins Michel sur le fait que ça soit moche comme traceroute. Cependant, je 
veux bien comprendre que ça puisse empêcher des attaques. 

Mais bon, ça aurait pu être configurable.

Michael

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de VALOIS, 
Pascal
Envoyé : mardi 28 août 2018 09:01
À : frnog@frnog.org
Objet : Re: [FRnOG] [MISC] Fortigate et traceroute : la honte

J'ai oublié "le poc" : 
http://www.mit.edu/afs.new/sipb/user/golem/tmp/ptunnel-0.61.orig/web/

Le 28/08/2018 à 08:59, VALOIS, Pascal a écrit :
> Dans l'absolu oui, le bloc du ping m'enerve aussi, mais le ping est un 
> passe muraille que beaucoup négligent, entre les octets inutilisés qui 
> permettent de faire un relai icmp tcp, ou le fait de pouvoir se faire 
> ddos par du ping (plus facilement que par du tcp, vu qu'un paquet ping 
> c'est tout pitit a forger, et que la plupart des ddos sont de type 
> syn).
>
> Apres je suis pas encore un kador de la sécurité, et bien sur on peut 
> mitigier ces problemes avec des firewall applicatifs et des politiques 
> de controle de ddos.
>
> Je dis ca je dis rien hein :P
>
> PS : un bon admin, ça devrait bloquer tout ce pourquoi les gens n'ont 
> pas fait une demande justifiée en triple exemplaire !
>
> Le 28/08/2018 à 07:50, Xavier Beaudouin a écrit :
>> Hello Michel,
>>
>>
>>> Quand on traverse un Fortigate, on ne peut pas faire de traceroute 
>>> fiable, car il y a un rate-limit de 1 packet par seconde avec TTL 
>>> expiré.
>>> C'est documenté. Et en plus ils pensent qu'ils ont raison.
>>> http://kb.fortinet.com/kb/documentLink.do?externalId=FD40372
>>>
>>> Bravo Mr. Fortinet, à force de jouer au con avec moi vous avez gagné :
>>> J'ai mis un rate-limit de 1 dollar par an sur votre contrat pour le 
>>> budget 2019.
>> Pas mal... Je le mets aussi dans la liste des trucs a la con. Comme 
>> les "admin" de firewall qui bloquent l'ICMP ou qui empêche de faire 
>> des traceroute sur leur firewall. Très pratique pour débugger 
>> rapidement un pb potentiel ou pMTUd Mais bon...
>> Être admin de firewall
>> ne veux pas forcément dire être bon admin réseau ou système..
>>
>> /Xavier
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[MISC] RE: [FRnOG] [MISC] Pbm de site fishing complètement fou!

[Michael Bazy]

Et Google n'est pas tout seul : 
https://www.virustotal.com/fr/url/88a72cc92a075824a6bcdaf6eb77e09c2af2afe296586d03060ae0ea2152565d/analysis/1535117310/
 

Michael

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Hugues 
Voiturier
Envoyé : vendredi 24 août 2018 15:27
À : fr...@adeli.fr
Cc : frnog-m...@frnog.org
Objet : Re: [FRnOG] [MISC] Pbm de site fishing complètement fou!

Bonjour, 


Pas de souci pour accéder à www.adeli.biz  depuis Chrome 
chez moi, en tout cas.

Hugues
AS57199 - AS50628

> On 24 Aug 2018, at 15:22, fr...@adeli.fr wrote:
> 
> Bonjour
> 
> quand le safebrowsing de google dérape que peut -t-on faire?
> 
> Notre site web www.adeli.biz n'étant pas corrompu ni aucun des autres ...ce 
> ne sont pas les mêmes serveurs et pour certains  ce n'est pas des sites 
> "public", voir des sites qui n'existent pas
> 
> https://transparencyreport.google.com/safe-browsing/search?url=a.adeli.biz
> 
> a.adeli.biz  n'a jamais existé... (tout comme 
> http://SiCelaContinueJeMonteAParisChezGooglePourMeCalmer.adeli.biz)
> 
> En fait tout ce qui comporte adeli.biz  est blacklisté sur les navigateurs!
> 
> 
> Si quelqu'un à un contact je suis preneur.
> 
> 
> 
> 
> -- 
> 
> Lionel Drevon
> ldre...@adeli.fr
> ad...@adeli.fr
> http://www.adeli.fr
> Adeli
> 618 Av. Gal de Gaulle
> 69760 LIMONEST
> Tel 04 78 66 11 85
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] COVAGE

[Michael Bazy]

Mauvaise langue : les ivoiriens ont fait beaucoup de progrès en orthographe!

Tu peux donc dire "encore plus de fautes que dans un spam ivoirien". :-p

Michael

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de 
br...@skiwebcenter.fr
Envoyé : lundi 6 août 2018 17:32
À : David Ponzone 
Cc : frnog@frnog.org
Objet : Re: [FRnOG] [ALERT] COVAGE

Parce que j'attends qu'ils traitent le formulaire excel de demande de login, 
celui bourré de fautes comme un spam Ivoirien.


On 06/08/2018 17:27, David Ponzone wrote:
> Pourquoi tu ouvres pas le ticket par l’extranet pour que le chrono commencer 
> à tourner ?
>
> David Ponzone
>
>
>
>> Le 6 août 2018 à 15:06, "br...@skiwebcenter.fr"  a 
>> écrit :
>>
>> Bonjour,
>>
>>
>> Le 0825 est juste un gros service de MERDE pour empocher de la terminaison 
>> d'appel comme le reste , j'attends présentement depuis (ça coupe au bout de 
>> 120 minutes ?) .. un bon moment que la standardiste prenne l'appel pour 
>> obtenir un numéro de ticket toujours pour des pertes de paquets sur un lien 
>> fort heureusement de secours sur un site mais quand même.
>>
>>
>> Concernant un problème d’énergie tu as déjà eu comme réponse de la part du 
>> directeur de DSP "Oui ce n'est pas de notre faute c'est le curé qui a coupé 
>> le courant à la fin de la messe dimanche" ? .. on fait un best of un jour ? 
>> :)
>>
>>
>> Bref ça prête à sourire mais pas tant que ça il s'agit quand même de notre 
>> argent public pour faire n'importe quoi..
>>
>>
>> Allez, terminons le courrier de résiliation.
>>
>>
>> Bonne journée
>>
>>
>> Bruno
>>
>>
>>
>>> On 06/08/2018 08:28, Charles ENEL-REHEL wrote:
>>> Ce qu'évoque ici Alexis ne concerne pas des services BPE / Ethernet
>>> délivrés en bordure par une DSP locale mais un service lambda 10G BIARRITZ
>>> <-> PARIS commercialisé par COVAGE NETWORKS dans leur backbone DWDM.
>>>
>>> Je dis ça car on subit des dysfonctionnements aléatoires identiques sur un
>>> service lambda 10G POITIERS <-> PARIS dont les origines sont connues :
>>>
>>> - environnements techniques (alimentations ENEDIS et climatisation) des
>>> sites de régénération ou add mal maîtrisés (cf. incident de
>>> climatisation du 26/07 dernier sur le site de Data4 / Nozay au cours 
>>> duquel
>>> leur châssis DWDM s'est mis à bouillir avant de tomber > au 
>>> re-démarrage,
>>> il y a avait de la casse)
>>> - travaux programmés par des opérateurs tiers impactant les tronçons FON
>>> en location qui portent leur backbone DWDM national et jamais annoncés 
>>> :((
>>>
>>> S'agissant de la hotline 0825 et du support/ticketing situé en aval, jour
>>> comme nuit, COVAGE fait l'unanimité.
>>>
>>> Charles.
>>>
>>>
 Le 5 août 2018 à 11:06, David Ponzone  a écrit :

 Par contre, j’ai pas ce problème.
 Ça serait intéressant de voir sur quelles DSP tu as ça, et si ça remonte
 par une porte nationale ou locale.
 J’ai des BPE qui ont quasiment jamais eu de coupure anormale. Et des BPE
 access qui en ont eu un peu, mais sur un BPE access, ça reste acceptable.

 David Ponzone



> Le 5 août 2018 à 09:38, Alexis Guirlé  a écrit :
>
> Bonjour,
>
> Idem chez nous.
> On a un seul lien covage qu'on utilise seulement en secours et
 heureusement.
> On subit régulièrement des coupures de 5mins (comme s'ils avaient des
 coupures de courant car ça correspond bien au temps de redémarrage des
 équipements.)
> En tout cas on a des tickets ouverts mais parfois ils en ferment en
 disant que le lien marche.
> Pas très fiable tout cela et je vois que pour certains d'entre vous
 c'est encore pire.
> Alexis.
>
>
>
> De : Denis Fondras
> Envoyé : jeudi 2 août à 10:55
> Objet : Re: [FRnOG] [ALERT] COVAGE
> À : frnog@frnog.org
>
>
>> Je confirme également les gros soucis de suivi / support chez Covage :
> - support injoignable sur le 0825 (la standardiste n'arrive jamais a
 avoir > le support) > - suivi des commandes sur leur extranet jamais à jour
> - temps de résolution des incidents complètement aléatoire, sans suivi la
> pluspart du temps. > Je confirme que le service facturation fonctionne
 (j'ai même reçu des factures qui ne me concerne pas) :D
 --- Liste de diffusion du FRnOG
 http://www.frnog.org/
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/

>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Solutions firewall NGN

[Michael Bazy]

Vu de ma fenêtre, dès lors qu'on ne fait que du signature-based, c'est 
insuffisant pour un AV (et 2 AVs, ça rajoute quand même de la complexité dans 
le traitement, notamment sur les possibilités de faux-positifs, d'exclusions de 
répertoire pour éviter qu'ils ne se détectent l'un l'autre, etc). La nouvelle 
génération d'AVs de poste fait de l'analyse comportementale pour bloquer les 
activités processus trop louches (ROP, nop sleds, etc...).

Si je m'arrête aux AVs des éditeurs de Firewall, c'est ce que font Stormshield 
& Palo, c'est inclus dans le Sandblast Agent de Check Point, et ça devrait 
venir à terme dans FortiClient. 
Si je ne m'y arrête pas, c'est également ce que font la plupart des solutions 
AV modernes, dont Symantec, SentinelOne, et c'est peut-être aussi comme ça que 
fonctionnait un des modules de MalwareBytes il y a quelques années). 

Soit dit en passant, j'avais entendu une rumeur comme quoi c'était parti d'un 
travail conjoint en open source entre des universités françaises et 
américaines, mais j'ai jamais trouvé de source fiable corroborant ce dire.

Michael
+33628781171

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Michel Py
Envoyé : mardi 26 juin 2018 23:54
À : David Ponzone ; 
samuel.gaiani-porq...@infiniteconnection.fr
Cc : Xavier Beaudouin ; frnog 
Objet : RE: [FRnOG] [TECH] Solutions firewall NGN

> David Ponzone a écrit :
> Par exemple, un simple Forticlient fait-il le job, même sans Fortigate ?

Justement, c'est l'exemple de ce qu'il ne faut pas faire. Il faut _et_ le 
pare-feu _et_ l'antivirus sur le PC, et préférablement pas du même 
constructeur, ce qui augmente les chances d'intercepter le virus.

> Il serait donc peut-être intéressant d’établir une liste des solutions AV 
> Endpoint sérieuses ?

Le seul qui ne m'aie pas trop enquiquiné est Symantec Endpoint.
McAffee j'évite comme la peste.
Kaspersky je peux pas (c'est pas cachère avec mon gouvernement).

J'étais un fan de Malwarebytes (j'étais un des premiers adopteurs j'ai la 
license à vie), mais récemment ils ont complètement pété les plombs. Non 
seulement c'est cher pour la solution Entreprise (plus cher que Symantec) et en 
plus maintenant çà plante; ça fait plusieurs machines récemment (y compris une 
installation fraiche) ou j'ai du l'enlever).

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Solutions firewall NGN

[Michael Bazy]

Mouais, j'ai quand même un peu de mal à te laisser dire (écrire) ça. 

Déjà, sans firewall, comment tu empêches les gens de se mettre sur le réseau et 
de sortir sur internet autrement que via ton proxy?

Quid des attaques par brute-force/DDos, ou plus généralement des attaques qui 
se basent sur les paquets? Des vieux serveurs historiques pour la prod sur 
lesquels il ne faut surtout rien installer mais quand même protéger ? 

(je pourrais continuer mais je pense avoir cité assez d'exemples)

Quand à ton règlement qui empêchent les gens d'avoir des activités non 
productives : comment tu contrôles ça justement? 

Qu'un bon AV de poste soit l'ultime barrière et donc ne soit pas à négliger, 
OK, mais de là à dire que les firewalls ne servent à rien... J'aurais tendance 
à dire que tu t'es un peu emporté un peu vite quand même là, non? :)

A+

Michael
+33628781171

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Jérôme 
Nicolle
Envoyé : jeudi 21 juin 2018 20:18
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Solutions firewall NGN

Guillaume,

Le 23/05/2018 à 16:41, LE PROVOST Guillaume a écrit :
> Quels équipements conseilleriez-vous ?

Aucun. La sécurité se gère sur les terminaux, pas dans le réseau.

Une redondance entre les AV des terminaux qui en ont besoin et les firewalls ne 
sert à rien.

Quant au filtrage d'URL, un proxy avec Squid-Guard suffit mais globalement ça 
ne sert à rien : empêcher les utilisateurs de mater facebook ou du porn, ça se 
fait par un règlement, pas par le flicage.

@+

--
Jérôme Nicolle
+33 6 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] La prononciation du routage

[Michael Bazy]

D'autant que selon le pays (anglophone) où tu te trouves, c'est différent!

En arrivant en Australie, je disais "to route" comme "root", et on m'a expliqué 
que "to root" signifiait, heu, comment dire... autre chose (cf la règle 34 de 
l'internet).

Du coup, j'ai changé mon fusil d'épaule, et ai commencé à dire "to route" façon 
"rAwt". 

Je suppose que c'est une histoire d'accent ! :)

Michael

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Stephane 
Bortzmeyer
Envoyé : mardi 20 mars 2018 14:14
À : frnog-m...@frnog.org
Objet : [FRnOG] [MISC] La prononciation du routage

Ah, c'est un problème que j'ai toujours en anglais :

https://mastodon.social/@inmysocks/99715911016909833

I just noticed a weird linguistic thing from where I grew up:

I say route and root the same way in some contexts, like I say 'Follow this 
route' the same as 'Follow this root', but in almost every other context I say 
'route' (r-OW-t) differently than 'root' (with the 'oo'
like in good).

This came up because I just wrote 'The router removes all the routes other than 
the one to the root' and I never noticed it before.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] Exclusive Networks recrute 4 ingés !

[Michael Bazy]

Hello la liste,

Exclusive Networks, distributeur à forte valeur ajoutée de produits de 
cybersécurité et de transformation du datacenter recrute quatre consultants 
avant-vente en région parisienne ( 2 en sécu/réseaux et deux en 
infrastructure/datacenter) :

Voici les principales missions :
- Assurer les réponses aux problématiques techniques avant-vente de nos clients
- Présenter le portfolio en parlant solution
- Effectuer des workshops techniques
- Participer à la Validation / Configuration / Architecture de certains dossiers
- participer aux Réponses Techniques CDC / Réponses AO
- Accompagner les commerciaux
- Participer à la veille technologique de l'entreprise
- Préparation et réalisation de POCs
- Dispenser des formations Intra ou Inter-entreprises

Profil recherché :
- Niveau Bac+4/5
- Expérience significative d'au moins 5 ans dans une fonction similaire au sein 
du secteur IT
- Bonne connaissance du marché de la cybersécurité/transformation des 
datacenters, du réseau ou du stockage
- Bon niveau d'anglais
- bon relationnel
- bonnes qualités de présentation

Qualités appréciées :
- Orienté résultats et satisfaction clients
- Sens commercial
- Esprit d'équipe
- Dynamique, autonome, curieux
- Force de proposition, d'initiative
- Capacité de décision
 
La rémunération est selon profil (oui, je sais, c'est vague).

Me contacter en mp pour plus de détails sur le job, ou pour avoir un retour sur 
la vie en interne ! :-)

Cordialement,

Michael Bazy
Ingénieur Sécurité


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] L'ARCEP publie l’édition 2017 de son observatoire de la transition vers IPv6

[Michael Bazy]

En formation on a beau essayer d'évangéliser, de le pousser, de rassurer un 
maximum de monde en disant que c'est pas si terrible, que ça marche bien, qu'il 
faut de toutes façons s'y mettre, etc, concrètement pour trop de gens ça reste 
considéré comme de la dépense en jour-homme à perte.
 Les IP publiques v4 sont  donc pas encore assez chères 


Michael
-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Radu-Adrian Feurdean
Envoyé : vendredi 22 décembre 2017 14:18
À : frnog@frnog.org
Objet : Re: [FRnOG] [MISC] L'ARCEP publie l’édition 2017 de son observatoire de 
la transition vers IPv6

On Fri, Dec 22, 2017, at 05:39, Michel Py wrote:

> Je trouve qu'il manque quelque chose : la différence entre l'accès 
> entreprise et l'accès familial.

Je confirme, la partie entreprise est assez "pas bien" cote IPv6. Meme si chez 
certains on arrive a "glisser" le v6 dans leur acces, il arrive parfois meme 
qu'on nous demande exeplicitement de le deactiver.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Win Update

[Michael Bazy]

Perso, ça ferait partie des raisons pour lesquelles je pousserais Win10. Les 
mises à jour via P2P.

Malheureusement, j'ai l'impression que c'est parmi les premiers trucs que les 
utilisateurs désactivent en croyant que ça évitera d'envoyer des données 
privées à M$.

Michael

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Xavier ROCA
Envoyé : mardi 19 décembre 2017 14:07
À : 'David Ponzone' ; 'Richard Klein' 

Cc : 'Lionel Bourdillon' ; 'professor geek' 
; 'Xavier ROCA' ; frnog-t...@frnog.org
Objet : RE: [FRnOG] [TECH] Win Update

Exactement David,

Et si seulement, il y avait un niveau de compétence requit pour être 
prestataire !!!

Richard,
Depuis ce matin, on fait leur job une fois de plus car nous on répond au tél.
Avec ce type d'info notamment ou ce qu'est un WSUS...

Xavier

PS: Si je devais être noté sur mon orthographe/grammaire pour avoir le droit de 
faire des posts vu mes mails, je serais banni... :)

PS2 : la question c'est avez-vous une idée du pourquoi et comment ils font pour 
que même nos règles de QoS ne soient plus réellement efficaces.
On banni des IP à tour de bras mais on en a des nouvelles à gogo immédiatement.
On va finir par bannir toutes les IP d'Akamai sans chercher à comprendre.
Et comme nos amis du nouveau continent, on va finir par bannir la neutralité du 
web.
A force peut-être que les CDN et autres fournisseurs agressifs de contenu se 
verront perdre des clients si on les bannis.
Je sais ce n'est pas Dredi et je rêve un peu mais c'est la bonne époque pour




-Message d'origine-
De : David Ponzone [mailto:david.ponz...@gmail.com] Envoyé : mardi 19 décembre 
2017 12:49 À : Richard Klein  Cc : Lionel Bourdillon 
; professor geek ; Xavier ROCA 
; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Win Update

Je pense qu'une grande partie des gens qui sont ennuyés par ceci sont les gens 
qui fournissent les tuyaux, et qui justement souffrent du fait que les 
prestataires qui gèrent le parc ne font pas leur boulot correctement. Au moins, 
ils ne conseillent pas. Et souvent, il n'y a même pas de prestataire.
Qui on appelle quand c'est lent ? Pas le prestataire, mais celui qui a fourni 
ce tuyau qui marche si mal.


Le 19 déc. 2017 à 12:19, Richard Klein a écrit :

> Bonjour,
> 
> Dès que Cro$oft injecte des updates de son OS les réseaux "tombent" et 
> les tickets au support aussi :-)
> 
> Question bête : pourquoi ne pas programmer les upgrades de votre parc 
> de
PC le midi, le soir après 18h00 ou dans la nuit  C'est déjà un bon repère 
lorsque vous avez vos courbes qui montent en flèche et permet de savoir 
pourquoi vos clients ne peuvent plus "travailler" entre 12h00 et
14h00 
> 
> https://support.microsoft.com/fr-fr/help/4028233/windows-10-schedule-o
> r-pause-updates
> 
> Il me semble aussi qu'une machine peux centraliser les upgrades pour
distribuer l'uprade sur les autres PC ?
> 
> Richard
> 
> 
> 
> Le 19 décembre 2017 à 12:00, Lionel Bourdillon
 a écrit :
> Bonjour,
> 
> Même constat depuis ce matin.
> A chaque fois de 10 à 20 sessions TCP 80 en parallèle.
> On a vérifié dans 2 cas et c'était bien de la MAJ Microsoft...
> Jusqu'ici on voyait les MAJ MS venir de chez Level 3 mais depuis ce 
> matin c'est du Akamai.
> 
> Lionel
> 
> Le 19 décembre 2017 à 10:28, professor geek  a écrit :
> 
> > Hello,
> >
> > Peut être rien a voir, mais une relation avec l'ouverture de AWS a 
> > voltaire ?
> >
> >
> > On 19 December 2017 at 09:50:59, David Ponzone
> > (david.ponz...@gmail.com)
> > wrote:
> >
> > Je vois quelques flux bien balaises venant d'Akamai mais impossible 
> > de dire si c'est du MS.
> >
> >
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] La colle du jour: MS et le DoS

[Michael Bazy]

Je re-sors un vieux thread, je rattrape mon retard de lecture!

Salut David, 

Tu as peut-être résolu le problème ou passé à autre chose, mais la 
problématique m'intéresse.

(à Xavier: Pour la QoS, la gestion de priorité peut être faite 

Si tu l'as résolue, c'est avec ta règle de QoS?

Si c'est un 50E, tu dois être au moins en 5.4. Tu as mis du contrôle applicatif 
sur tes flux (ou des traffic shaping policies?)?

Autre chose : si c'est du FWF : tes interfaces LAN locales sont en software 
switch ou hardware switch? En effet, dans le premier cas, tu perds 
l'accélération hardware. Donc moins de perfs (si ça peut te servir de REX : 
avec FGT+FAP t'as BEAUCOUP plus de patate!!!).

N'hésite pas si je peux aider.

Michael

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Xavier ROCA
Envoyé : vendredi 28 juillet 2017 11:44
À : frnog@frnog.org
Objet : RE: [FRnOG] [TECH] La colle du jour: MS et le DoS

Salut David,

Si ton UTM prend cher c'est surement car il doit analyser plus en profondeur 
BITS via une pattern spécifique.
Si c'est comme sur d'autres marque d'UTM, il y a plus vraiment de gestion de la 
QoS sur CPU full...
Ils ont oublié ce cas et on va te dire de prendre le modèle adapté ...
Tu as tout simplement fait un bypass pour voir l'état de ton CPU ?

Après autre idée peut être con mais Microsoft ou son CDN tient-il compte de tes 
demande de rejet de paquet pour réduire sa voilure ?
Il se peut aussi qu'il fasse de l'express forwarding pour passer plus vite et 
du coup perturber la VoIP.

Je dirais que c'est le même pb que les MAJ Windows qui nous on pourrit la vie.

Xavier

-Message d'origine-
De : David Ponzone [mailto:david.ponz...@gmail.com] Envoyé : jeudi 27 juillet 
2017 23:16 À : Jean Théry 
Cc : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] La colle du jour: MS et le DoS

C’est ce que j’avais fait, mais j’avais juste « loweriser » HTTP/HTTPS.
Si on part du principe que BITS fait autre chose que du HTTP/HTTPS, ou qu’en 
tout cas, il n’est pas reconnu comme tel, j’ai élargi le lowerisation 
(oulalala) à tout le trafic.
On va voir :)


> Le 27 juil. 2017 à 16:43, Jean Théry  a 
> écrit :
> 
> Suffirait pas de prioriser la VoIP plutôt et de loweriser tous le reste ?
> 
> ainsi les trucs inconnus seraient automatiquement pris dans la queue low.
> 
> 
> Le 27.07.2017 à 16:15, David Ponzone a écrit :
>> Ah lala saloperie de BITS, je l'avais encore oublié celui-là...
>> Ceci dit, BITS c'est du HTTP/HTTPS, et j'ai une règle qui passe tout 
>> ce qui est web en low-priority, et tout ce qui est VOIP en high-priority.
>> Et ça n'explique pas pourquoi du HTTP/HTTPS à la mode BITS explose le 
>> Fortinet.
>> Ou alors il fait aussi du P2P en UDP, mais je n'ai trouvé aucune 
>> trace de ça sur le net.
>> 
>> C'est un FWF-50E-2R, donc pas un gros truc, mais bon quand même.
>> 
>> 
>> 
>> Le 27 juillet 2017 à 15:09, Joël DEREFINKO  
>> a écrit :
>> 
>>> Oui, attention au Media Creation Tool qui récupère une palanquée de 
>>> fichier en P2P/BITS stockés temporairement dans un dossier à la 
>>> racine du C:\, puis une fois le DL terminé il génère une iso (ou prépare 
>>> une clé).
>>> 
>>> Joël
>>> 
>>> -Message d'origine-
>>> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la 
>>> part de Pierre-Yves Le Dirach Envoyé : jeudi 27 juillet 2017 14:59 À
>>> : frnog@frnog.org Objet : Re: [FRnOG] [TECH] La colle du jour: MS et 
>>> le DoS
>>> 
>>> C'est du BITS, pas du HTTP.
>>> Ta QOS ne doit pas l'attraper.
>>> 
>>> HTH, HAND
>>> 
>>> On Thu, 27 Jul 2017 14:50:33 +0200, David Ponzone 
>>>  wrote:
>>> 
 Cas de figure rigolo.
 
 Un client avec un FTTH Orange chez qui j'ai mis un Fortigate.
 
 Il télécharge un fichier de quelques Go sur le site de Microsoft à
 250Mbps:
 aucun impact sur la voix.
 Il télécharge l'ISO WIN10 avec le Media Creator Tool de Microsoft à 
 aussi environ 250Mbps: la voix est sérieusement dégradée, le 
 Fortinet prend cher.
 
 Microsoft a inclus une option DoS dans son outil, ou bien quoi ?
 
>>> 
>>> --
>>> Using Opera's mail client: http://www.opera.com/mail/
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>> 
>> 
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Cisco 8XX et le froid

[Michael Bazy]

Aïe-aïe-aïe... Quelqu'un a oublié un switch dehors...

Attention à bien différencier température de service (c'est-à-dire la 
température à laquelle le boîtier est allumé et assure le service),  de la 
température de stockage (c'est-à-dire boîtier éteint).

En général, pour la plupart des équipements (donc pour Cisco), la température 
de service est effectivement de 0°C et 40°C, mais la température de stockage 
est de -25°C à +70°C.

Donc si ton routeur est resté éteint, à priori pas de problème.

Michael Bazy

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
David Ponzone
Envoyé : mardi 24 janvier 2017 17:47
À : frnog-tech <frnog-t...@frnog.org>
Objet : [FRnOG] [TECH] Cisco 8XX et le froid

D’après la doc Cisco, la température de la pièce où on met un Cisco 8XX doit 
être entre 0 et 40°C.
Quelqu’un a déjà essayé d’en laisser un à -5° pendant plusieurs jours ?




---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [FRNOG] [TECH] Fortigate ipsec to Linux server

[Michael Bazy]

Pas tout-à-fait, c'est possible également en GUI. 

Quelques lignes de commandes utiles sur le Fortigate, qui pourront te montrer 
la négociation: 
#diag deb en
#diag deb app ike -1

C'est assez verbeux par contre, mais tu devrais voir l'erreur remonter... 

Autre chose : une bonne méthodologie à ne pas oublier est de lancer les 
commandes sur le Forti (pense à logger la sortie SSH! :) ) et de tenter de 
monter le VPN via le poste linux.

Sinon, en terme de config, tu as testé celle-là ? 
http://kb.fortinet.com/kb/documentLink.do?externalID=FD37618

Michael 

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Louis
Envoyé : vendredi 6 janvier 2017 13:41
À : Servan Jouan 
Cc : David Ponzone ; Choukou Moun 
; frnog-tech 
Objet : Re: [FRnOG] [FRNOG] [TECH] Fortigate ipsec to Linux server

De mémoire, on peut forcer le proxy-id en cli sur le fortigate.

Le 6 janvier 2017 à 13:21, Servan Jouan  a écrit :

> Bonjour Choukou Moun,
>
> J'ai régulièrement eu des problèmes entre les Fortigate et les autres 
> marques. Souvent le problème vient des "proxy-id", il me semble que 
> fortigate le calcul automatiquement en fonction des réseaux  
> "associés" au tunnel contrairement aux autres marques ou ils sont 
> explicitement indiqués.
> Ce n'est valable que si tu as plusieurs subnets...
>
> Je ne promets rien, mais c'est une piste ;)
>
> Servan.
>
>
> Le 6 janvier 2017 à 12:30, David Ponzone  a 
> écrit :
>
>> Ca, c’est un beau vendredi froid mais ensoleillé qui commence :)
>>
>> > Le 6 janv. 2017 à 12:24, Choukou Moun  a écrit :
>> >
>> > Bonjour à tous
>> >
>> > out d'abord je vous  souhaite  une excellente année 2017 en 
>> > espérant qu'elle sera meilleur que cette année 2016.
>> >
>> > J'essai de monter un lien IPsec entre un serveur Linux IPsec et un 
>> > Fortigate.
>> >
>> > J'ai l'impression que c'est moi qui a un problème mais je pense que 
>> > ce n'est pas possible.
>> >
>> > SI vous avez des pistes je suis preneur merci.
>> >
>> > MAZ
>> >
>> > ---
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>
> Le 6 janvier 2017 à 12:30, David Ponzone  a 
> écrit :
>
>> Ca, c’est un beau vendredi froid mais ensoleillé qui commence :)
>>
>> > Le 6 janv. 2017 à 12:24, Choukou Moun  a écrit :
>> >
>> > Bonjour à tous
>> >
>> > out d'abord je vous  souhaite  une excellente année 2017 en 
>> > espérant qu'elle sera meilleur que cette année 2016.
>> >
>> > J'essai de monter un lien IPsec entre un serveur Linux IPsec et un 
>> > Fortigate.
>> >
>> > J'ai l'impression que c'est moi qui a un problème mais je pense que 
>> > ce n'est pas possible.
>> >
>> > SI vous avez des pistes je suis preneur merci.
>> >
>> > MAZ
>> >
>> > ---
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Panne SFR sur Paris

[Michael Bazy]

http://touteslespannes.fr/statut/sfr/paris

Par contre, apparemment ça commence à être résolu pour certains.

Michael 

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Xavier ROCA
Envoyé : jeudi 5 janvier 2017 16:22
À : frnog-t...@frnog.org
Objet : [FRnOG] [TECH] Panne SFR sur Paris

Bonjour,

 

Quelqu'un a des infos sur l'incident en cours chez SFR apparemment région 
Parisienne ?

 

Xavier

 

 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/