[FRnOG] Re: [ALERT] Nouvelle faille openssl
On Tue, Apr 08, 2014 at 09:56:41PM +0200, Stephane Bortzmeyer bortzme...@nic.fr wrote a message of 13 lines which said: Et n'oubliez pas que vos routeurs Juniper ont OpenSSL... La liste officielle de Juniper. Pas mal de produits touchés : http://kb.juniper.net/InfoCenter/index?page=contentid=JSA10623 2014-04 Out of Cycle Security Bulletin: Multiple products affected by OpenSSL Heartbleed issue (CVE-2014-0160) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Nouvelle faille openssl
On Thu, Apr 10, 2014 at 01:09:46PM +0200, Bertrand Yvain p...@ielo.net wrote a message of 12 lines which said: Même chez Juniper ? https://www.mail-archive.com/tech%40openbsd.org/msg17420.html Gross troll par un gros trolleur connu. On est vendredi, on l'excusera. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Nouvelle faille openssl
On Thu, Apr 10, 2014 at 02:45:48PM +0200, Gilles Mocellin gilles.mocel...@nuagelibre.org wrote a message of 29 lines which said: Oui le script nmap fonctionne avec l'ensemble des services utilisant une couche SSL/TLS: [Ce qui est faux] Par contre, ça ne doit pas supporté le STARTTLS, Tout à fait. Notez que ssltest.py gère le STARTTLS mais uniquement pour SMTP. Mais peut-être que les connexions utilisant STARTTLS ne sont pas concernées par la faille ? Si, si, comme les autres. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Chez Antidot avec 300+ serveurs et du Juniper (mais pas d Cisco) dans le réseau on est passé au travers : aucun matos vulnérable... mais rien que la vérification a mobilisé un peu de monde. -- Pierre Message du : 11/04/2014 09:12 De : Stephane Bortzmeyer bortzme...@nic.fr A : Arthur Fernandez - Liazo arthur.fernan...@liazo.fr Copie à : frnog-al...@frnog.org Sujet : [FRnOG] Re: [ALERT] Nouvelle faille openssl On Tue, Apr 08, 2014 at 09:56:41PM +0200, Stephane Bortzmeyer wrote a message of 13 lines which said: Et n'oubliez pas que vos routeurs Juniper ont OpenSSL... La liste officielle de Juniper. Pas mal de produits touchés : http://kb.juniper.net/InfoCenter/index?page=contentid=JSA10623 2014-04 Out of Cycle Security Bulletin: Multiple products affected by OpenSSL Heartbleed issue (CVE-2014-0160) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] calcul du temps d'émission adsl vs fibre
Le 10 avr. 2014 à 21:51, David Ponzone david.ponz...@gmail.com a écrit : Les nouveaux entrants (OVH ou Nerim) par exemple ont pu directement prendre des DSLAM GE. Bonjour David, Je me permets d'apporter une précision à ce stade. Le type d'interface upstream du DSLAM (Ethernet ou ATM) ne conditionne pas le niveau 2 d'une liaison DSL. Sur nos DSLAM, je peux faire indépendamment de l'ATM ou du PTM/EFM sur les liaisons qui le permettent. La matrice des possibilités est la suivante : - ADSL/ADSL2+ : layer 2 ATM. La couche SAR ré-assemble les trames Ethernet PPPoE avant de les bridger sur l'upstream GE. - VDSL2 : layer 2 ATM ou PTM au choix. Dans le cas ATM, cela se comporte comme de l'ADSL2+, dans l'autre le 802.3ah est bridgé en Ethernet classique vers l'upstream (avec éventuellement les stacks de tag nécessaires.) - SDSL/g.SHDSL.bis : idem VDSL2. Evidemment, sur les boucles métro l'ensemble du trafic est en Ethernet. -- Antoine Versini - Nerim --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] calcul du temps d'émission adsl vs fibre
Salut Antoine, Ca fait un baille! Et EFM sur DSLAM ATM ? Ca doit pas être impossible, mais relativement dénué d'intérêt, donc j'imagine que c'est pour ceci qu'Orange semble attendre qu'un DSLAM soit GE avant de proposer l'EFM. Tiens, puisque je t'ai sous la main, est-ce que tu peux me dire si vos DSLAM ont un paramètre côté SDSL qui permet de forcer le type d'Annex négocié avec le CPE, indépendamment de ce que le CPE a comme config. Par exemple, CPE configuré en Annex G, et malgré tout le lien monte en Annex B. J'ai eu un cas comme ça chez Orange, et évidemment, ça ne le fait pas à chaque fois (sur un autre lien, ça ne monte pas du tout si je ne mets pas Annex B), donc je suspecte une variabilité de conf sur le DSLAM. Le 11 avr. 2014 à 11:02, Antoine Versini a écrit : Le 10 avr. 2014 à 21:51, David Ponzone david.ponz...@gmail.com a écrit : Les nouveaux entrants (OVH ou Nerim) par exemple ont pu directement prendre des DSLAM GE. Bonjour David, Je me permets d'apporter une précision à ce stade. Le type d'interface upstream du DSLAM (Ethernet ou ATM) ne conditionne pas le niveau 2 d'une liaison DSL. Sur nos DSLAM, je peux faire indépendamment de l'ATM ou du PTM/EFM sur les liaisons qui le permettent. La matrice des possibilités est la suivante : - ADSL/ADSL2+ : layer 2 ATM. La couche SAR ré-assemble les trames Ethernet PPPoE avant de les bridger sur l'upstream GE. - VDSL2 : layer 2 ATM ou PTM au choix. Dans le cas ATM, cela se comporte comme de l'ADSL2+, dans l'autre le 802.3ah est bridgé en Ethernet classique vers l'upstream (avec éventuellement les stacks de tag nécessaires.) - SDSL/g.SHDSL.bis : idem VDSL2. Evidemment, sur les boucles métro l'ensemble du trafic est en Ethernet. -- Antoine Versini - Nerim --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
On Friday 11 April 2014 09:17:15 Stephane Bortzmeyer wrote: On Thu, Apr 10, 2014 at 01:09:46PM +0200, Bertrand Yvain p...@ielo.net wrote a message of 12 lines which said: Même chez Juniper ? https://www.mail-archive.com/tech%40openbsd.org/msg17420.html Gross troll par un gros trolleur connu. On est vendredi, on l'excusera. Est-ce que tu pourrais nous donner un plus de détails concernant pourquoi on ne doit pas accorder d'importance à cette remarque du fondateur d'openSSH sur la présence d'une faille openSSH dans FreeBSD et dérivés comme juniper ? Généralement Theo de Raadt sait de quoi il parle concernant openSSH et la sécurité. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Nouvelle faille openssl
On Fri, Apr 11, 2014 at 03:00:59PM +0200, technicien hahd technic...@hahd.fr wrote a message of 28 lines which said: Généralement Theo de Raadt sait de quoi il parle concernant openSSH et la sécurité. Ah, ah, ah. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Cet échange devient de plus en plus constructif, dites donc... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Le Fri, 11 Apr 2014 15:00:59 +0200, technicien hahd technic...@hahd.fr a écrit : On Friday 11 April 2014 09:17:15 Stephane Bortzmeyer wrote: On Thu, Apr 10, 2014 at 01:09:46PM +0200, Bertrand Yvain p...@ielo.net wrote a message of 12 lines which said: Même chez Juniper ? https://www.mail-archive.com/tech%40openbsd.org/msg17420.html Gross troll par un gros trolleur connu. On est vendredi, on l'excusera. Est-ce que tu pourrais nous donner un plus de détails concernant pourquoi on ne doit pas accorder d'importance à cette remarque du fondateur d'openSSH sur la présence d'une faille openSSH dans FreeBSD et dérivés comme juniper ? Généralement Theo de Raadt sait de quoi il parle concernant openSSH et la sécurité. Il a tout de même un long passé de gros troll. Et dans le cas présent : - Si effectivement, faille il y a, et qu'il ne la divulgue pas aux concernés parce que c'est des gros vilains et que nananère, c'est un gros con. - Si il n'y a pas de faille, et que c'est juste du FUD... euh même conclusion. Il sait peut etre de quoi il parle mais cette attitude, c'est juste n'importe quoi. Soit il mets en danger la sécurité informatique des utilisateurs d'un OS concurrent pour des raisons purement personnelles, soit il fait du FUD. En même temps, il s'est fait virer de NetBSD, a fait perdre des financements à OpenBSD et OpenSSH, justement parce qu'il sait pas se comporter civilement. (je suis d'accord avec les raisons qui l'ont poussé à désapprouver l'occupation US en Irak. Simplement pas avec le fait qu'il l'ait fait au détriment de projets qui n'impliquent pas que lui). --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
+1 °°° Franck Leroy Telemaque - SOPHIA ANTIPOLIS Les Espaces de Sophia - Bat E 80 Route des Lucioles 06560 Valbonne Tel : +33 4 92 90 99 86 Fax : +33 4 92 90 91 42 f...@telemaque.fr °°° Le 11/04/2014 15:14, Florian Stosse a écrit : Cet échange devient de plus en plus constructif, dites donc... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
On Friday 11 April 2014 15:07:03 Stephane Bortzmeyer wrote: On Fri, Apr 11, 2014 at 03:00:59PM +0200, technicien hahd technic...@hahd.fr wrote a message of 28 lines which said: Généralement Theo de Raadt sait de quoi il parle concernant openSSH et la sécurité. Ah, ah, ah. Quelque chose d'un peu plus constructif serait bienvenue pour ceux qui ne suivent pas de près ce qui se passe chez openssh. Que Theo de Raadt ait de fortes opinions et s'exprime fort ne suffit pas à faire du fondateur et leader d'openBSD et openSSH un incompétent qui dit n'importe quoi dès que l'occcasion se présente. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
On Friday 11 April 2014 15:19:37 you wrote: Le Fri, 11 Apr 2014 15:00:59 +0200, technicien hahd technic...@hahd.fr a écrit : On Friday 11 April 2014 09:17:15 Stephane Bortzmeyer wrote: On Thu, Apr 10, 2014 at 01:09:46PM +0200, Bertrand Yvain p...@ielo.net wrote a message of 12 lines which said: Même chez Juniper ? https://www.mail-archive.com/tech%40openbsd.org/msg17420.html Gross troll par un gros trolleur connu. On est vendredi, on l'excusera. Est-ce que tu pourrais nous donner un plus de détails concernant pourquoi on ne doit pas accorder d'importance à cette remarque du fondateur d'openSSH sur la présence d'une faille openSSH dans FreeBSD et dérivés comme juniper ? Généralement Theo de Raadt sait de quoi il parle concernant openSSH et la sécurité. Il a tout de même un long passé de gros troll. Et dans le cas présent : - Si effectivement, faille il y a, et qu'il ne la divulgue pas aux concernés parce que c'est des gros vilains et que nananère, c'est un gros con. - Si il n'y a pas de faille, et que c'est juste du FUD... euh même conclusion. Il sait peut etre de quoi il parle mais cette attitude, c'est juste n'importe quoi. Soit il mets en danger la sécurité informatique des utilisateurs d'un OS concurrent pour des raisons purement personnelles, soit il fait du FUD. En même temps, il s'est fait virer de NetBSD, a fait perdre des financements à OpenBSD et OpenSSH, justement parce qu'il sait pas se comporter civilement. (je suis d'accord avec les raisons qui l'ont poussé à désapprouver l'occupation US en Irak. Simplement pas avec le fait qu'il l'ait fait au détriment de projets qui n'impliquent pas que lui). Ça fait plus de 10 ans que troll est plus souvent utilisé pour dire quelqu'un qui dit ou fait quelque chose que je n'aime pas.[1] Il suffirait de dire que quelqu'un est un troll pour invalider son propos ? Personnellement je m'en fous complètement que Théo de Raadt soit un con et qu'il ait un passé de troll, ce qui m'intéresse c'est de savoir si mes équipements juniper viennent avec une faille openSSH et sa gravité. [1] extrait de http://xahlee.info/UnixResource_dir/writ/troll_ignorance.html « The word trolling has somewhat specific meaning in the beginning. According to the Jargon File, it originally means the act of message posting that ensures fire, knowingly or not. Today, the word troll is both verb and noun, and is applied loosely to any outsider. If you don't like someone's manner, he is a troll. If you don't like a gadfly, he is a troll. If you don't like a philosopher, he is a troll. If you don't like a inquirer, he is a troll. If you don't like a humorist, he is a troll. If you don't like a teacher, he is a troll. If you don't like witches, they are, well, witches and must be witch- hunted. Thusly, from weirdo to witch, from teacher to philosopher, from gadfly to firebrand, from loner to gay, they are all trolls online at your call. Quick spun the guild of killfilers and troll-criers. Anyone who has contrariwise things to say or the manner of saying it is a troll.» --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] calcul du temps d'émission adsl vs fibre
Le 11 avr. 2014 à 11:09, David Ponzone david.ponz...@gmail.com a écrit : Ca fait un baille! 15 ans, si je ne me trompe. Dino time ! Et EFM sur DSLAM ATM ? Ca doit pas être impossible, mais relativement dénué d'intérêt, donc j'imagine que c'est pour ceci qu'Orange semble attendre qu'un DSLAM soit GE avant de proposer l'EFM. Oui je présume que d'un point de vue purement ingénierie c'est faisable, en inversant le positionnement de la couche SAR dans le chemin de donnée au sein du DSLAM. Si la carte de ligne supporte donc de recevoir du PTM/EFM sur un port DSL, elle encapsule dans de l'AAL5 les trames et les fais suivre dans un VP/VC sur l'upstream. Tiens, puisque je t'ai sous la main, est-ce que tu peux me dire si vos DSLAM ont un paramètre côté SDSL qui permet de forcer le type d'Annex négocié avec le CPE, indépendamment de ce que le CPE a comme config. Par exemple, CPE configuré en Annex G, et malgré tout le lien monte en Annex B. J'ai eu un cas comme ça chez Orange, et évidemment, ça ne le fait pas à chaque fois (sur un autre lien, ça ne monte pas du tout si je ne mets pas Annex B), donc je suspecte une variabilité de conf sur le DSLAM. Oui je te confirme que certains profils (surtout les bas débits) sont fixés en Annex B / 16-TCPAM alors que tout ce qui va nécessiter entre 2 et 5Mbit/s par paire sera forcé en Annex G / 32-TCPAM. Si tu as des besoins spécifiques, on peut poursuivre en privé :) -- Antoine Versini - Nerim --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] [ietf-secretar...@ietf.org: New Non-WG Mailing List: Tofoo -- Discussion list for Tunneling over Foo (with)in IP networks (TOFOO)]
À part le nom du groupe de travail, qui est trop rigolo, beaucoup de gens ici ont des services (souvent payants) de tunnels donc cela peut intéresser du monde, si vous voulez découvrir l'IETF. --- Liste de diffusion du FRnOG http://www.frnog.org/ ---BeginMessage--- A new IETF non-working group email list has been created. List address: to...@ietf.org Archive: http://www.ietf.org/mail-archive/web/tofoo/ To subscribe: https://www.ietf.org/mailman/listinfo/tofoo Purpose: Tunneling data across IP-based networks can use a variety of existing encapsulation schemes, such as, GRE [RFC2784], IP-in-IP [RFC2003] and IPsec tunnels [RFC4301] or proposed encapsulation schemes that are based on carrying traffic over UDP. The demand for using tunnels in data centers and across the Internet is increasing also due to network virtualization. A number of known issues have been raised around using tunnels, discussions about applicability of these issues are ongoing and a number of solutions to cope with, for instance, congestion control or congestion control sensitivity, are being discussed. The intention of this list is to bring together tunnel protocol designers/implementers, network operators, and the different areas in the IETF to discuss the ways forward. For additional information, please contact the list administrators. ---End Message---
Re: [FRnOG] [TECH] calcul du temps d'émission adsl vs fibre
Le 11 avr. 2014 à 18:09, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Antoine Versini a écrit: La matrice des possibilités est la suivante : - ADSL/ADSL2+ : layer 2 ATM. La couche SAR ré-assemble les trames Ethernet PPPoE avant de les bridger sur l'upstream GE. Ne connaissant pas tes DSLAM, je ferai remarquer qu'ici on voit pas mal d'aDSL / aDSL2+ qui n'a PAS de PPPoE/PPPoA et utilise directement RFC1483 bridging (maintenant RFC2684) à la place. Je préfère nettement cette méthode; on enlève complètement la couche PPP. Ne pas confondre RFC1483 bridging avec configurer le modem en bridge-mode qui peut se faire même avec PPPoE/PPPoA; configurer le modem en bridge veut souvent dire pas de NAT. Hello, Ce n'était pas un abus de langage, mes DSLAM ne sont que des gros commutateurs Ethernet qui ont d'un côté des ports xDSL et de l'autre un raccordement vers le MAN. C'est donc bel et bien du bridge D'ailleurs dans ta configuration tu as : interface ATM0/0/0.35 point-to-point […] atm route-bridged ip Ce qui signifie que tu ne fais pas directement de l'IP encapsulée dans de l'AAL5 mux, mais de l'IP over Ethernet over AAL5 snap. Ce qui permet par exemple de faire du DHCP en face pour ceux qui le veulent. Donc /in fine/ que ta trame Ethernet contiennent de l'IP ou du PPP, le DSLAM ne voit passer que de la communication MAC à MAC. Ce que fais ton FAI sur de l'ADSL, je le fais ici sur des SDSL où le layer IP est terminé sur un routeur d'agrégation derrière le DSLAM. -- Antoine Versini - Nerim --- Liste de diffusion du FRnOG http://www.frnog.org/