RE: [FRnOG] [MISC] RFC 6561: Recommendations for the Remediation of Bots in ISP Networks
> Refuznikster a écrit: > Marrant le sujet est partie sur les bots ISP et on arrive sur > les logiciels de contrôle parental. C'est Jérôme qui a déraillé la conversation. Bon, c'est misc... > Bien sur les constructeurs ne sont pas en cause en fournissant > depuis des années (15 ans) des postes avec un compte principal > en mode administrateur. Ce n'est pas les constructeurs, mais les administrateurs du domaine. Et pour de bonnes raisons: si tu ne le fais pas, rien ne marche. Chez nombre de mes clients, l'utilisateur est membre du groupe des administrateurs sur la machine. C'est dangereux, mais le revers de la médaille est qu'ils n'ont pas les moyens de supporter le contraire. Ceci étant dit, c'est très souvent la faute de ceux qui ont écrit l'appli, avec du code de goret qui ne marche pas si tu n'es pas administrateur. Que ce soit *nix ou windows c'est pareil, combien de fois on m'a dit "ah mais tu n'as qu'à demander à l'admistrateur de faire un chmod 777 ici ou là > * Petite réflexion personnelle dans les grands comptes : > Quant la sécurité est trop forte dans les grandes entreprises, > que font les employées, directeurs et autres ? La 1er chose ils > tombent tous sur l'admin réseau et si celui-ci reste sur son > intransigeance en bloquant tout et bah ils se débrouillent entre > eux pour contourner. Même sur des grosses structures étatiques, > je me suis retrouvé en face de box amené par le personnel pour > contourner le tout. Je confirme. Et dans 99% des cas, ce n'est que pour faire leur travail. Le petit switch 4 port sous le bureau, quand tu en connectes 2 ensemble ça fait un merdier dans le spanning-tree. Etc etc. > Pas forcement pour aller voir des sites interdit mais plutôt pour > certains à croire qu'ils ne sont pas fliqués, contourner les > limitations de plages horaires mis dans le controle parental > (histoire de pouvoir continuer à discuter avec leurs potes sur > msn le soir) et pour d'autres à passer outre les blocages des > ordis aux bahuts. Pareil que juste plus haut. En créant une sécurité trop forte, on a construit (et ça empire) une génération qui a été habituée dès la puberté à contourner les sécurités informatiques et qui considère que c'est normal, banal, et nécessaire. > Patrick Maigron a écrit: > A ce que j'en ai lu : un compte Enfant avec une liste blanche, un > compte Ado avec une liste noire et un compte Adulte non filtré. C'est bien beau, mais ça sert à quoi avec les clés USB bootables, les netbooks à base de processeur Atom qui coûtent €200 (ce qui peut s'économiser sur l'argent de poche, pour certains), les keyloggers qu'on installe sur la bécane familiale pour savoir quel est le mot de passe qui permet de déverrouiller le contrôle parental, etc. On est passé de l'époque ou, pour les besoins de la branlette quotidienne, on piquait le Playboy du cousin plus âgé à l'époque ou, pour le même besoin, on devient professionnel de détourner la sécurité informatique. Et on continue à le faire à l'université parce que c'est rigolo, et dans l'entreprise parce qu'on veut avoir son client IM qui marche pour savoir si on va avoir un 5-à-7 intéressant avec la collègue ou fournisseur. > Aussi en mode Misc : l'enquête où j'ai trouvé les chiffres au-dessus > dit que 35 à 40% des enfants et ados dorment avec leur téléphone > portable sous l'oreiller... Clairement plus dangereux que de se > promener avec un collier de clés USB. Intéressant. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [TECH] ROVER: une technique alternative de sécurisation de BGP
> Stephane Le Men a écrit: > Comme on ne peut pas monter de VPN sur les net block que l'on > annonce, la seule solution restante est le VPN monté sur les IP > d'interconnexion de chaque AS et de peerer au travers de ce VPN. Bonjour l'usine à gaz. > Si j'ai un avis propre sur Rover vs RPKI, Rover a largement ma > préférence parce le rapport hiérarchique se fait au niveau du > LIR, et n'est pas totalement concentré chez les RIR. AMHA, c'est une considération secondaire. La facilité et le support constructeur viennent loin devant l'élégance théorique de la solution. Tu raisonnes un peu comme l'autre Stéphane à propos de ça, en regardant le protocole alors que je regarde l'outil. > Stephane Bortzmeyer a écrit: > Un mail ? Bien mieux, je vais leur dire en face en les regardant > dans les yeux. C'est l'IETF à Paris, cette semaine, où ROVER sera > officiellement présenté. Très bien, très bien. > Qui de Frnog vient, d'ailleurs ? Pas moi, c'est un peu loin ;-) >> s'il n'y a pas de support dans IOS, les chances que je le >> déploie sont absolument zéro. > IOS peut aussi se configurer avec du texte, donc ton stagiaire > peut te développer en Python un script DNS2IOS qui prend du > ROVER dans le DNS et en fait des route-maps... Trop compliqué. Comme discuté récemment, le support natif dans le routeur est un avantage très important. Dans ce cas précis, il y a une bonne possibilité de ré-utiliser le code existant. Ca me semble peu probable que Cisco ou Juniper adaptent leur code à ROVER. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] ROVER: une technique alternative de sécurisation de BGP
On 03/25/2012 09:33 PM, Stephane Bortzmeyer wrote: Bon, pronostic : RPKI mort-né, Rover on a roll ? Encore trop tôt pour le dire. Je prends le pari que la grande majorité de Frnog n'a aucune opinion, ni sur RPKI, ni sur Rover :-) Mon opinion sur ces protocoles est que le niveau de sécurité obtenue à la fin sera toujours dépendant de la bonne volonté des AS intermédiaires qui séparent ceux qui veulent communiquer ensemble. L’établissement d'un circuit vérifié avec une destination ne préjuge en rien de la sécurité des autres circuits qui viendront par la suite et qui ne seront pas vérifié. Le seul cas avec BGP où l'on est sûr de l'AS avec qui on cause, c'est le cas l'on peer en direct avec cet AS. Ramenez les autres cas (destination séparé par des AS intermédiaires) à ce cas de peering en direct, revient à échanger du trafic au travers d'un VPN qui relie directement les deux AS. Comme on ne peut pas monter de VPN sur les net block que l'on annonce, la seule solution restante est le VPN monté sur les IP d'interconnexion de chaque AS et de peerer au travers de ce VPN. Résultat, ceux qui angoissent de se faire détourner leur trafic ont cette possibilité de se rapprocher (au sens AS PATH) par le biais de plusieurs VPN sur leurs différents liens d'interconnexions et de peerer au travers d'eux. Pour un AS qui ne serait pas un AS de transit, appliquer systématiquement cette politique reviendrait à être au contact direct de toutes les AS qui sont la source ou la destination du trafic que l'on veut sécuriser. J'y vois un autre avantage que la sécurité obtenue sur la route, la possibilité de refuser du trafic provenant d'un AS (plus ou moins mal tenu) qui inonderait un ou plusieurs liens en arrêtant le ou les VPN qui relient à l'AS source du trafic indésirable. Évidement, il ne faut pas utiliser de type de VPN sans session, (comme ip dans ip) sinon, le trafic que l'on refuse arrivera quand même à la destination. L'inconvénient étant l'overhead VPN, et le nombre important de VPN à monter si l'on veut généraliser cette politique à tout l'Internet. De mon avis, dans BGP, il n'y a rien de fondamental à changer, ce protocole est nickel. Mieux vaut s'en contenter, et prendre des mesures sur l'architecture d'interconnexion des AS qui comblent sa lacune de sécurité. Si j'ai un avis propre sur Rover vs RPKI, Rover a largement ma préférence parce le rapport hiérarchique se fait au niveau du LIR, et n'est pas totalement concentré chez les RIR. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Événement G6 - IPv6 - 11 avril 2012
Bonsoir, Le 6 juin 2012 l'ISOC organise le lancement officiel et définitif d'IPv6 avec le World IPv6 Launch (http://www.worldipv6launch.org/). Le G6 et les grands acteurs de l'Internet français se mobilisent en organisant une journée de préparation et d'échanges afin que la France ait la place qu'elle mérite dans ce lancement mondial. Si au niveau des infrastructures, la France se place à un haut niveau (en particulier grâce à Free qui propose IPv6 à tous ses clients ADSL), il n'en va pas de même aux niveaux des fournisseurs de contenus et de services. Le 11 avril 2012 représente une première étape dans la préparation en France du lancement mondial prévu le 6 juin. Ce sera l'occasion de réunir pionniers IPv6, constructeurs et acteurs qui se lancent afin de faire le point sur les besoins en matière de déploiement et les moyens existants ou à mettre à disposition pour y parvenir. La journée comportera notamment des présentations, des témoignages, des débats sur les solutions et les technologies disponibles pour activer IPv6 à partir du 6 juin. De nombreux acteurs de tous horizons ont déjà répondu présent : - Enseignement et recherche (Telecoms ParisTech, Telecom Bretagne, G6), - Opérateur de transit et de services (NeoTelecoms, AFNIC) - Constructeurs (Cisco Systems, Juniper Networks, Stonesoft) Et pour mettre un peu d'animation dans les démos des équipementiers, BreakingPoint Systems nous a concocté des plans de tests IPv6 très poussés. Vous trouverez toutes les informations sur cet événement sur la page http://g6.asso.fr/launch/ Le programme présenté sur le site n'est pas encore finalisé et nous espérons voir la liste des partenaires s'agrandir ! L'inscription est évidemment gratuite, néanmoins, merci de nous envoyer un mail à i...@g6.asso.fr Rendez-vous le 11 avril à Telecom ParisTech, -- Frederic Gabut-Deloraine Network Engineer NEO TELECOMS - AS8218 21 rue La Boetie 75008 Paris Tel : +33 1.49.97.07.47 Mob : +33 6.15.07.10.30 skype : fgabutdeloraine signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [MISC] RFC 6561: Recommendations for the Remediation of Bots in ISP Networks
Le 27/03/2012 05:44, Michel Py a écrit : >> Patrick Maigron a écrit: >> Il y a eu un accord en 2005 entre l'AFA et le gouvernement qui >> prévoit d'inclure un logiciel de contrôle parental gratuit dans >> les offres (juste au moment où une proposition de loi à ce sujet >> arrivait à l'assemblée d'ailleurs)... > > Est-ce que l'accord en question a des clauses spécifiques sur les > fonctionnalités du contrôle parental en question ? A ce que j'en ai lu : un compte Enfant avec une liste blanche, un compte Ado avec une liste noire et un compte Adulte non filtré. Les listes sont censées être mises à jour et être modifiables par le titulaire. L'AFNOR a sorti une norme pour tester ces logiciels en 2010, avec entre autres des taux de filtrage minimaux (sur quelle liste de sites ?). A priori les tests basés sur cette norme n'ont pas été faits pour le moment il me semble. La norme AFNOR a l'air d'être payante. Ça me rappelle l'époque où on achetait les normes ITU papier, je pensais que tout ça avait changé, ça ne nous rajeunit pas. >> Ils sont assez peu utilisés semble-t-il : selon le baromètre >> Calysto 2011, 26% des 11-13 ans sur l'ordi familial et 6% sur >> le téléphone portable perso. > > Je ne suis pas vraiment surpris. Peut-être que dans leur sagesse populaire, > les parents Français ont compris que d'essayer d'empêcher leur progéniture > mineure de regarder du contenu à caractère pornographique, c'était une > bataille perdue d'avance. Dans les tests AFNOR il y a trois thèmes : sexe, mais aussi violence et conduites à risques. Ce qui serait intéressant c'est de croiser les stats de l'enquête enfants avec une enquête parents, pour savoir si les parents n'utilisent pas ce type de logiciel parce qu'ils s'en moquent ou s'ils le font volontairement parce qu'ils sensibilisent correctement leurs enfants par ailleurs. > D'ailleurs (puisqu'on est sur Misc) j'ai une anecdote intéressante à raconter: Aussi en mode Misc : l'enquête où j'ai trouvé les chiffres au-dessus dit que 35 à 40% des enfants et ados dorment avec leur téléphone portable sous l'oreiller... Clairement plus dangereux que de se promener avec un collier de clés USB. >> Le CSA vient de sortir la semaine dernière une étude qui en >> rajoute une couche sur la nécessité de coordonner les contrôles >> parentaux sur internet et l'audiovisuel avec un "référent >> institutionnel national pour la protection des mineurs", >> j'imagine qu'ils s'imaginent bien être au centre du dispositif >> (on n'est jamais mieux servi que par soi-même)... > > Euh, tu pourrais traduire en Français, s'il te plaît :P ? Hum pardon... Le domaine de compétences du CSA est l'audiovisuel (TV-radio) et certains contenus internet liés (catch-up TV, VoD). Ils essayent depuis un moment d'étendre leur domaine à l'ensemble des contenus audiovisuels sur internet (si c'était une boîte privée on dirait qu'ils cherchent des relais de croissance). Avec des idées de type labellisation des sites en fonction de leur type de contenus (l'internet civilisé et le reste). Sauf que "réguler" internet c'est peut-être autre chose que réguler un ensemble bien défini de chaînes TV et de radios qui ont signé un cahier des charges précis avec l'état français en échange des fréquences qu'on leur a attribuées. Le 27/03/2012 14:53, Refuznikster a écrit : > Même sur des grosses structures étatiques, je me suis retrouvé en face > de box amené par le personnel pour contourner le tout. Eh oui ils ont > plus de moyens que le petit jeune chez lui. Il y a aussi des petits jeunes qui contournent le blocage parental en se connectant en wifi sur l'accès d'un copain du même quartier qui leur a donné ses identifiants :) Patrick. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] RE: DNSSEC et bind 9.9
> Christophe HUBERT a écrit: > Mis a part cela et le fait que la gestion des KSK sera une horreur > si il n'y a pas d'option de mise a jour automatisable avec les > registrars, c'est quand meme nettement plus simple qu'avant. Ca semble être le consensus, donc. Question suivante: qui en a des assez grosses pour mettre 9.9 sur un serveur de prod ? Michel --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Offre Lan2Lan Site France telecom vers telehouse ?
Bonjour, Je cherche un operateur pour faire un lien niveau 2 entre le site de France Telecom 90 boulevard Kellerman a Paris et Telehouse II. Voir en option l’hébergement du routeur 2U appartenant a FT sur le site Cordialement Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] RE: DNSSEC et bind 9.9
Je me repond a moi-même. Le test en suivant la doc fournie par ISC ne fait pas de NSEC3. Il faut ajouter le parametre -3 a la generation des clefs et sans doute ajouter le nsec3parameters qui va bien (en suivant cet exemple ca marche : http://www.mail-archive.com/bind-users@lists.isc.org/msg13005.html) Pour les clefs, il n'y a pas d'expiration. La ZSK expire a 30j mais c'est dans la configuration de bind (et c'est changeable de 7j a 2 ans a priori) Pour la KSK je suppose que c'est cote du TLD que ca va etre defini mais ca n'est qu'une supposition vu que l'on a aucune zone signee. A noter que pour remplacer une ZSK par une autre, j'ai eu quelques desagrement et j'ai fait une suppression complete des zones signees pour repartir avec des signatures fraiches pour pouvoir supprimer les anciens fichiers de clefs. Mis a part cela et le fait que la gestion des KSK sera une horreur si il n'y a pas d'option de mise a jour automatisable avec les registrars, c'est quand meme nettement plus simple qu'avant. Christpohe -Message d'origine- De : Christophe HUBERT Envoyé : mardi 27 mars 2012 13:29 À : 'Michel Py'; 'frnog-t...@frnog.org' Objet : RE: DNSSEC et bind 9.9 Salut, J'ai fait un test rapide ce matin de signature avec bind 9.9. Cela fonctionne exactement comme indique dans la documentation, a savoir, creation des deux clefs et ajout de 3 lignes dans la declaration de zone. En cas de modification de la zone, elle est resignee lors d'un reload, en cas de modification de la ZSK, un reconfig suffit a la prendre en compte. La mise a jour des ZSK peut donc etre scriptees. Je n'ai pas teste le NSEC3 (ni verifie si c'était eventuellement actif par defaut), je ne sais pas encore quel est la duree de vie de la KSK generee (la ZSK est valide 1 mois) Christophe -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Michel Py Envoyé : lundi 26 mars 2012 18:31 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] DNSSEC et bind 9.9 Salut la liste, Est-ce que quelqu'un a des commentaires à propos de se servir de bind 9.9 pour signer une zone ? Il paraît que c'est vachement plus facile. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] TAP Cuivre
Bonjour, Je suis actuellement à la recherche de TAP cuivre (avec bypass sur perte de courant) pouvant gérer au moins 4 liens giga. J'ai actuellement trouvé 2 produits : - 1 netoptics : http://www.netoptics.com/sites/default/files/PUBIBP8000Ddata.pdf - 1 comcraft : http://www.lan-wan-tap.com/Products/C8-1G/ Quelqu'un a-t-il un retour à donner sur ces équipements ? Avez-vous d'autres références ? Merci d'avance aux différents retours que vous pourriez me donner, Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] RFC 6561: Recommendations for the Remediation of Bots in ISP Networks
Bonjour, Marrant le sujet est partie sur les bots ISP et on arrive sur les logiciels de contrôle parental. Ouais ça doit être la faute des jeunes qui vont sur des sites pornographique si on a autant de machines infectées. Contradiction d'autant plus flagrante, dans les années 90 quant des parents me parlait de leurs ordis infectées c'étaient oh moi je n'y connais rien c'est mon garçon/ ma fille qui s'en occupe. Et puis c'est tellement simple de mettre une plage horaire d'utilisation via un logiciel plutôt que d'expliquer qu'il est temps de faire ces devoirs. Paradoxe aussi quant on demande aux jeunes de se découvrir et de l'autre de suivre une norme pseudo-établie. Plus sérieusement combien de fois ais-je eut des gens à titre personnels ou en entreprises* (majeurs et vaccinés) me faire passer des mails avec pièces jointes me disant qu'ils n'arrivent pas à les ouvrir (quant ils ne l'ont pas envoyé à tout le service). Oui vous savez le bon petit mail avec un bon petit code java là-dedans. Bien sur les constructeurs ne sont pas en cause en fournissant depuis des années (15 ans) des postes avec un compte principal en mode administrateur. * Petite réflexion personnelle dans les grands comptes : Quant la sécurité est trop forte dans les grandes entreprises, que font les employées, directeurs et autres ? La 1er chose ils tombent tous sur l'admin réseau et si celui-ci reste sur son intransigeance en bloquant tout et bah ils se débrouillent entre eux pour contourner. Même sur des grosses structures étatiques, je me suis retrouvé en face de box amené par le personnel pour contourner le tout. Eh oui ils ont plus de moyens que le petit jeune chez lui. Le Tue, 27 Mar 2012 05:44:13 +0200, Michel Py a écrit: - A C cool, j'ai une clé USB bootable avec Ubuntu, moi aussi. - A C cool, tu t'en sers pour quoi? [Il commence à rougir] Tu parle le djeune c'est bien. Pas forcement pour aller voir des sites interdit mais plutôt pour certains à croire qu'ils ne sont pas fliqués, contourner les limitations de plages horaires mis dans le controle parental (histoire de pouvoir continuer à discuter avec leurs potes sur msn le soir) et pour d'autres à passer outre les blocages des ordis aux bahuts. (*) C'est pas des conneries. J'ai une clé USB qui est reconnue comme disquette A: 1.44, très pratique pour charger les pilotes de carte RAID sur un serveur Windows 2003 qui ne connait que çà, quand le matériel n'a plus ni de disquette ni même de contrôleur de disquette. http://tinyurl.com/ceeona9 (**) GRUB4DOS A tous ceux qui ont eut des serveur hp et dell en 2003 à installer. --- Refuznik --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] RE: DNSSEC et bind 9.9
Salut, J'ai fait un test rapide ce matin de signature avec bind 9.9. Cela fonctionne exactement comme indique dans la documentation, a savoir, creation des deux clefs et ajout de 3 lignes dans la declaration de zone. En cas de modification de la zone, elle est resignee lors d'un reload, en cas de modification de la ZSK, un reconfig suffit a la prendre en compte. La mise a jour des ZSK peut donc etre scriptees. Je n'ai pas teste le NSEC3 (ni verifie si c'était eventuellement actif par defaut), je ne sais pas encore quel est la duree de vie de la KSK generee (la ZSK est valide 1 mois) Christophe -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Michel Py Envoyé : lundi 26 mars 2012 18:31 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] DNSSEC et bind 9.9 Salut la liste, Est-ce que quelqu'un a des commentaires à propos de se servir de bind 9.9 pour signer une zone ? Il paraît que c'est vachement plus facile. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] ROVER: une technique alternative de sécurisation de BGP
On Mon, Mar 26, 2012 at 09:27:35AM -0700, Michel Py wrote a message of 10 lines which said: > Ca vaudrait peut-être la peine de leur envoyer un petit mail pour le > suggérer. Comme je le disais Un mail ? Bien mieux, je vais leur dire en face en les regardant dans les yeux. C'est l'IETF à Paris, cette semaine, où ROVER sera officiellement présenté. Qui de Frnog vient, d'ailleurs ? > s'il n'y a pas de support dans IOS, les chances que je le déploie > sont absolument zéro. IOS peut aussi se configurer avec du texte, donc ton stagiaire peut te développer en Python un script DNS2IOS qui prend du ROVER dans le DNS et en fait des route-maps... --- Liste de diffusion du FRnOG http://www.frnog.org/