RE: [FRnOG] [MISC] RFC 6561: Recommendations for the Remediation of Bots in ISP Networks
> Patrick Maigron a écrit: > Il y a eu un accord en 2005 entre l'AFA et le gouvernement qui > prévoit d'inclure un logiciel de contrôle parental gratuit dans > les offres (juste au moment où une proposition de loi à ce sujet > arrivait à l'assemblée d'ailleurs)... Est-ce que l'accord en question a des clauses spécifiques sur les fonctionnalités du contrôle parental en question ? > Ils sont assez peu utilisés semble-t-il : selon le baromètre > Calysto 2011, 26% des 11-13 ans sur l'ordi familial et 6% sur > le téléphone portable perso. Je ne suis pas vraiment surpris. Peut-être que dans leur sagesse populaire, les parents Français ont compris que d'essayer d'empêcher leur progéniture mineure de regarder du contenu à caractère pornographique, c'était une bataille perdue d'avance. D'ailleurs (puisqu'on est sur Misc) j'ai une anecdote intéressante à raconter: Il y a quelques mois, j'étais à une soirée pour des raisons sociales ou je ne connaissais presque personne et ou je me faisais chier comme un rat mort. N'ayant rien de mieux à faire, j'étais en train d'essayer vainement de me saouler la gueule à la Budweiser lite quand l'ado male de la maison (environ 14 ans), qui avait remarqué les clés USB (4) que je porte autour du cou, est venu me demander: - Elles sont bootables, tes clés USB? - Bien sûr. - Tu bootes quoi, dessus ? - Ben tu vois, en fait celle de 64GB, elle n'est pas bootable. Celle-là, elle émule une disquette de 1.44 MB, elle boote MS-DOS 6.21. (*) Les deux autres, c'est des 16GB, et j'ai un menu qui me permet de choisir quelle image ISO je boote (**) - Tu peux choisir ce que tu veux booter ? - Oui. - Tu as quoi, dessus ? - Ubuntu 11, Windows 7, Kaspersky, Symantec, etc.. - A C cool, j'ai une clé USB bootable avec Ubuntu, moi aussi. - A C cool, tu t'en sers pour quoi? [Il commence à rougir] (*) C'est pas des conneries. J'ai une clé USB qui est reconnue comme disquette A: 1.44, très pratique pour charger les pilotes de carte RAID sur un serveur Windows 2003 qui ne connait que çà, quand le matériel n'a plus ni de disquette ni même de contrôleur de disquette. http://tinyurl.com/ceeona9 (**) GRUB4DOS > Le CSA vient de sortir la semaine dernière une étude qui en > rajoute une couche sur la nécessité de coordonner les contrôles > parentaux sur internet et l'audiovisuel avec un "référent > institutionnel national pour la protection des mineurs", > j'imagine qu'ils s'imaginent bien être au centre du dispositif > (on n'est jamais mieux servi que par soi-même)... Euh, tu pourrais traduire en Français, s'il te plaît :P ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] RFC 6561: Recommendations for the Remediation of Bots in ISP Networks
Le 26/03/2012 18:23, Jeremy Monnet a écrit : > Ceci dit, je viens de vérifier, ca fait partie des rubriques sécurité, > où l'antivirus est payant (mais payant pas chez bouygues par exemple), > mais le contrôle parental gratuit en fait (free, orange, bouygues, je > n'ai pas regardé les autres). Il y a eu un accord en 2005 entre l'AFA et le gouvernement qui prévoit d'inclure un logiciel de contrôle parental gratuit dans les offres (juste au moment où une proposition de loi à ce sujet arrivait à l'assemblée d'ailleurs)... Ils sont assez peu utilisés semble-t-il : selon le baromètre Calysto 2011, 26% des 11-13 ans sur l'ordi familial et 6% sur le téléphone portable perso. Le CSA vient de sortir la semaine dernière une étude qui en rajoute une couche sur la nécessité de coordonner les contrôles parentaux sur internet et l'audiovisuel avec un "référent institutionnel national pour la protection des mineurs", j'imagine qu'ils s'imaginent bien être au centre du dispositif (on n'est jamais mieux servi que par soi-même)... Patrick. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] DNSSEC et bind 9.9
Salut la liste, Est-ce que quelqu'un a des commentaires à propos de se servir de bind 9.9 pour signer une zone ? Il paraît que c'est vachement plus facile. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] RE: [TECH] ROVER: une technique alternative de sécurisation de BGP
> Stephane Bortzmeyer a écrit: > La bonne stratégie, à mon avis, serait de réutiliser > RTR, puisque JunOS et IOS ont déjà un client RTR. Tout à fait d'accord. Ca vaudrait peut-être la peine de leur envoyer un petit mail pour le suggérer. Comme je le disais précédemment, s'il n'y a pas de support dans IOS, les chances que je le déploie sont absolument zéro. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] RFC 6561: Recommendations for the Remediation of Bots in ISP Networks
On Mon, Mar 26, 2012 at 6:14 PM, Michel Py wrote: >> Jeremy Monnet a écrit: >> Pas obligatoires, désactivables, et surtout payants... > > Tu payes si tu ne t'en sers pas ? Heureusement pas :-) Ceci dit, je viens de vérifier, ca fait partie des rubriques sécurité, où l'antivirus est payant (mais payant pas chez bouygues par exemple), mais le contrôle parental gratuit en fait (free, orange, bouygues, je n'ai pas regardé les autres). Jérémy --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] RFC 6561: Recommendations for the Remediation of Bots in ISP Networks
>> Michel Py a écrit : >> AMHA ça serait une grosse bêtise, vu que tu ne peux pas réguler >> hors de l'hexagone. On parlait des spambots, l'effet serait >> l'accès à l'Internet en France serait plus cher qu'ailleurs, et >> que tout le monde bénirait la France pour être un pays un peu >> plus propre ...et continuerait allègrement à vous envoyer du >> spam venu de spambots à l'étranger. Aussi efficace que de pisser >> dans un violon. L'Internet, c'est mondial. > Rémi Bouhl a écrit: > J'y vois un aspect positif : pour trier le spam, il suffirait de > decider "Si ça vient de France, alors je laisse passer, sinon > j'applique mes filtres chiants plein de faux positifs et de > graylisting". C'est là que je vois un cercle vertueux : Celui qui > veille à ne pas spammer verrait ses mails traités avec > bienveillance. Tu vois le problème à l'envers: la difficulté de la lutte contre le spam, ce n'est pas de laisser passer ce qui n'en est pas, mais de bloquer ce qui en est. Ce que tu suggères, ça ne sert à rien; il faudrait que 90% du monde (ou plus) fasse partie du cercle vertueux. >>> Jerome Nicolle a écrit: >>> C'est bien ce qui a servi à imposer aux gros eyballs de >>> packager des filtres parentaux, non ? >> Michel Py a écrit: >> Il y a des filtres parentaux obligatoires, en France ? > Jeremy Monnet a écrit: > Pas obligatoires, désactivables, et surtout payants... Tu payes si tu ne t'en sers pas ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] RFC 6561: Recommendations for the Remediation of Bots in ISP Networks
On Mon, Mar 26, 2012 at 5:53 PM, Michel Py wrote: >> C'est bien ce qui a servi à imposer aux gros eyballs de packager >> des filtres parentaux, non ? > > Il y a des filtres parentaux obligatoires, en France ? Pas obligatoires, désactivables, et surtout payants... Jérémy --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] RFC 6561: Recommendations for the Remediation of Bots in ISP Networks
Le 26/03/2012 17:53, Michel Py a écrit : > > AMHA ça serait une grosse bêtise, vu que tu ne peux pas réguler hors de > l'hexagone. On parlait des spambots, l'effet serait l'accès à l'Internet en > France serait plus cher qu'ailleurs, et que tout le monde bénirait la France > pour être un pays un peu plus propre ...et continuerait allègrement à vous > envoyer du spam venu de spambots à l'étranger. Aussi efficace que de pisser > dans un violon. L'Internet, c'est mondial. > J'y vois un aspect positif : pour trier le spam, il suffirait de décider "Si ça vient de France, alors je laisse passer, sinon j'applique mes filtres chiants plein de faux positifs et de graylisting". C'est là que je vois un cercle vertueux : Celui qui veille à ne pas spammer verrait ses mails traités avec bienveillance. Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] RFC 6561: Recommendations for the Remediation of Bots in ISP Networks
>> Michel Py a écrit : >> C'est bien beau tout çà, mais ça suppose que tout le monde joue >> le jeu et on sait très bien qu'il va toujours avoir suffisamment >> de brebis galeuses pour que ça ne marche pas. > Jérôme Nicolle a écrit: > C'est bien à ça que sert la régulation. Ca ne me choquerai pas > que le code de la consommation et le CPCE définissent l'ensemble > des prestations, incluant sécurisation et IDS, à bundler pour > avoir le droit de vendre un accès au grand-public. AMHA ça serait une grosse bêtise, vu que tu ne peux pas réguler hors de l'hexagone. On parlait des spambots, l'effet serait l'accès à l'Internet en France serait plus cher qu'ailleurs, et que tout le monde bénirait la France pour être un pays un peu plus propre ...et continuerait allègrement à vous envoyer du spam venu de spambots à l'étranger. Aussi efficace que de pisser dans un violon. L'Internet, c'est mondial. En Californie on a une loi contre le spam spécifique à la Californie: Il est illégal d'envoyer du spam si les serveurs qui envoient ne sont pas situés en Californie. Un jour je me suis fais éjecter d'une réunion parce que j'ai dit un peu trop clairement que ça ne servirait absolument à rien. > C'est bien ce qui a servi à imposer aux gros eyballs de packager > des filtres parentaux, non ? Il y a des filtres parentaux obligatoires, en France ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] RFC 6561: Recommendations for the Remediation of Bots in ISP Networks
Le 26/03/12 05:15, Michel Py a écrit : > C'est bien beau tout çà, mais ça suppose que tout le monde joue le jeu et on > sait très bien qu'il va toujours avoir suffisamment de brebis galeuses pour > que ça ne marche pas. C'est bien à ça que sert la régulation. Ca ne me choquerai pas que le code de la consommation et le CPCE définissent l'ensemble des prestations, incluant sécurisation et IDS, à bundler pour avoir le droit de vendre un accès au grand-public. C'est bien ce qui a servi à imposer aux gros eyballs de packager des filtres parentaux, non ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] ROVER: une technique alternative de sécurisation de BGP
On Mon, Mar 26, 2012 at 01:15:01AM -0700, Michel Py wrote a message of 46 lines which said: > Je reformule: Sur Cisco et Juniper, l'implémentation de RPKI permet > de manipuler les routes directement dans IOS ou JunOS: Cela ne semble pas spécifique à la RPKI. La configuration que tu indiques permet deux choses : 1) Indiquer une source de validation (10.1.1.6 dans le premier exemple) 2) En fonction des résultats de cette source, manipuler les routes (les jeter, changer les préférences, etc). Le deuxième point est identique quelle que soit la source de validation. Le premier point pourrait être adapté à ROVER très facilement : le protocole de communication routeur<->validateur qu'utilise la RPKI, RTR , n'est pas du tout spécifique à la RPKI. > Qu'est-ce qu'il y a comme support pour ROVER dans IOS ou dans > JunOS ? ROVER est plus récent que RPKI+ROA donc forcément moins mis en oeuvre. La bonne stratégie, à mon avis, serait de réutiliser RTR, puisque JunOS et IOS ont déjà un client RTR. > Est-ce qu'on peut interroger le validateur ROVER de la même façon > que le validateur RPKI ? Pas spécifié dans les drafts ROVER actuellement, mais cela serait une bonne idée. > Un autre aspect à considérer: le coté usine à gaz. Rover semble plus > simple, mais pour que l'implémentation soit sécurisée, il faut avoir > DNSSEC dans les zones in-addr.arpa (est-ce que j'ai lu > correctement?) Tout à fait. ROVER sans DNSSEC n'a pas de sens. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] RE: [TECH] ROVER: une technique alternative de sécurisation de BGP
>> Michel Py >> ROVER est uniquement un outil de > Stephane Bortzmeyer > Pas d'accord. ROVER est un mécanisme de Je ne l'avais pas réalisé avant, mais le désaccord est en grande partie du à la manière dont nous regardions respectivement les choses: Quand tu compares ROVER et RPKI, tu penses à des mécanismes, des protocoles. Comment ça marche. Quand je les compare, je pense à des outils. Comment je m'en sers. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [JOBS] Ingénieur Système - R&D - GNU/Linux
Bonjour, Je suis à la recherche active d'un poste d'ingénieur système spécialisé GNU/Linux. Je souhaiterais particulièrement travailler au sein d'un datacenter ou d'un hébergeur de haut niveau technologique. A cet effet, vous trouverez mon CV à cette adresse : https://s3-eu-west-1.amazonaws.com/agh/cv_gunst-horn.pdf Cordialement, -- Alexis GÜNST HORN System administrator Exascale Computing Research --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] ROVER: une technique alternative de sécurisation de BGP
>> Michel Py a écrit: >> ROVER est uniquement un outil de détection ou d'analyse, >> il n'empêche pas les routes illégitimes d'être acceptées. > Stephane Bortzmeyer a écrit: > Pas d'accord. ROVER est un mécanisme de publication des AS > d'origine et peut parfaitement être utilisé pour décider de > ce qu'on fera d'une route. Pareil avec RPKI+ROA, d'ailleurs : > c'est aussi un mécanisme d'étiquetage (« Cette route est valide > ») qui ne présuppose pas de la décision qui sera finalement > prise par le routeur. J'avais pris quelques raccourcis, et tu as tout a fait raison, syntaxiquement parlant. Je reformule: Sur Cisco et Juniper, l'implémentation de RPKI permet de manipuler les routes directement dans IOS ou JunOS: http://www.ripe.net/lir-services/resource-management/certification/router-configuration Donc avec RPKI, moyennant quelques modifications de route-maps, on peut facilement envoyer les annonces invalides aux oubliettes, ce qui après tout était le but du jeu. Qu'est-ce qu'il y a comme support pour ROVER dans IOS ou dans JunOS ? Est-ce qu'on peut interroger le validateur ROVER de la même façon que le validateur RPKI ? Si non, je ne donne pas trop cher de ROVER, à cause de la bien-connue loi dite "de l'emmerdement minimum". Un autre aspect à considérer: le coté usine à gaz. Rover semble plus simple, mais pour que l'implémentation soit sécurisée, il faut avoir DNSSEC dans les zones in-addr.arpa (est-ce que j'ai lu correctement?) et on me dit dans l'oreillette que DNSSEC ce n'est pas aussi simple que ça en avait l'air. Si on fait ROVER sans DNSSEC, on s'expose à tout un tas d'ennuis genre cache poisoning, et one me dit que depuis Kaminsky ça n'a pas l'air si difficile. Je ne dis pas que ROVER sans DNSSEC ça ne sert à rien, ceci dit. C'est nettement plus compliqué d'annoncer un préfixe en devant en plus monter simultanément une attaque sur une zone in-addr.arpa; cela ne stoppera pas un attaqueur déterminé mais ça devrait stopper la bleusaille qui manque d'apprentissage au kilométrage et annonce l'Internet entier. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] RFC 6561: Recommendations for the Remediation of Bots in ISP Networks
On Tue, Mar 20, 2012 at 11:47:49PM +0100, e-t172 wrote a message of 51 lines which said: > Il y a fort à parier que si c'étaient des systèmes Linux qui avaient > 95% de parts de marché sur le bureau, la situation serait exactement > la même. J'ai souvent entendu cet argument, notamment de la part des commerciaux Microsoft, qui cherchent à répondre aux critiques sur la fiabilité de leur système. Le problème est qu'il y a beaucoup de contre-exemples. Le plus beau : Apache a une part de marché très supérieure à celle d'IIS et, malgré cela, les failles de sécurité sur le serveur HTTP touchent nettement plus souvent IIS. --- Liste de diffusion du FRnOG http://www.frnog.org/
