Re: [FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6
Le 08/01/2021 à 17:47, Philippe Bourcier a écrit : Re, C'est tellement ca... ca a commencé avec les modems et ADSL "pirates" (y compris sur des infras critiques (au sens vies humaines) "parce qu'ils m'ont bloqué les repos pour les MAJ debian")... et maintenant c'est la grosse fête avec les routeurs 3G/4G et bientôt 5G ;). Perso, ma préférence pour gérer l'accès d'une grosse boîte c'est une blacklist des "trucs un peu chauds" qui affiche une page web pour demander la levée de la restriction avec garantie de réponse dans les 24h... c'est ce qui passe le mieux comme tradeoff "security vs UX". D'un autre côté, sur des accès non-filtrés j'ai déjà connu des enquêtes pédo, DDoS, etc... et c'est chaud quand même (surtout si tu gardes pas assez les logs), donc t'apprends vite à ne plus faire confiance aux users internes, quelle que soit la taille de la boîte. 路♂️ Dans une autre vie j'étais développeur en S/T dans les locaux d'un grand avionneur basé à toulouse. Je travaillais sur le debug de bancs de test sous linux avec des patchs temps-réel. Il fallait que je compare des versions, que j'aille chercher sur des blog, des forums divers & variés, et poste sur des ML,pour résoudre des problèmes sur ces techno à l'époque assez récentes. kernel.org était bloqué, ainsi que plein de sites d'info : "Reason : Hacking". La bas , ta stratégie ne marche pas : Tu va pas attendre 24h pour chaque lien vers un blog lambda dans lequel 99% du temps t'a pas ta réponse et où t'ira jamais plus après. Par contre, les sites du figaro et de l'équipe était , eux, disponibles. Par contre pour moi une solution est de placer des postes identifiés et reformatés chaque semaine (par ex) avec un accès complet, dans certains openspace. A l'époque ça s'est également fini que quand j'avais à télécharger X ou Y version de linux ben j'allais ailleurs & je ramenais sur une clé USB. OB --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [BIZ] Revendeur câble RJ45 au métre - Connectique fibre pas chère
> Toussaint OTTAVI a écrit : > Le kit complet avec la cliveuse à $25 : > https://www.aliexpress.com/item/32568014332.html > Pour du domestique et du réseau associatif, je confirme que çà fait > parfaitement > le job. Voire même pour du dépannage et de la réparation d'urgence... Faut dire que a ce prix-là, il n'y a pas d'excuse à ne pas mettre la fibre quand on tire le câble. > Ceci étant, pour ceux qui sont équipés, je serais curieux de voir ce que çà > donne au réflectomètre :-) Je ne pense pas que tu verras grand-chose. Le point faible dans ce genre de chose, c'est la jonction fibre-gel-férule. Pour ce genre de projet, tu n'auras probablement pas de problème de budget optique; même si le machin te rajoute plusieurs dB, tu en as probablement assez. Le truc qui me tracasse c'est plutôt des réflexions parasites ou des bizarreries qui changent le mode. Pas évident de pourvoir interpréter çà au reflectomètre. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Petite question tech concernant l'accès à la TV depuis Free
Ouais c’est marrant, le problème a disparu aussi de mon côté. Pourtant, j’ai filé aucune info sur la position géographique. Ca rend parano :) > Le 8 janv. 2021 à 22:27, Pierre LANCASTRE a > écrit : > En tout cas, ce soir tout va bien, peut être qu ils ont lu le thread ^^ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Petite question tech concernant l'accès à la TV depuis Free
Hello Récemment retourne chez Free en Freebox PoP en fibre (négo a 5G/700M) je suis très loin de saturer le downstream et j'ai eu pas mal de problèmes de lag/glitch de son, signe de perte de paquets. Mais pas sur toutes les chaînes, c était surtout TF1 et BFM TV pendant les Peak hours. Sachant que je suis en filaire partout et qu avec ma box orange j' avais 0 souci, je pense que ça vient de plus haut :) peut être saturation entre leur backbone et l olt de ma zone, ou plus haut? Il y a pas mal de Root cause possibles. En tout cas, ce soir tout va bien, peut être qu ils ont lu le thread ^^ My 2 cents Pierre Le ven. 8 janv. 2021 à 22:08, Raphael Mazelier a écrit : > > On 07/01/2021 20:26, Vincent Bernat wrote: > > J'ai aussi ça chez mes parents. Ils sont en Freebox v4 avec le boitier > > TV derrière le CPL. Pour moi, c'est la Freebox qui ne sait plus gérer > > correctement la QoS car ça arrive plutôt quand les petits-enfants sont > > dans le coin. Pas tenté le support. > > Piste intéressante mais dans le cas de David il semble dire qu'il n'y a > pas spécifiquement d’activé sur la box au même moment (après question à > la noix, il y aurait t'il le freewifi d'activé ?) > > -- > > Raphael Mazelier > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Petite question tech concernant l'accès à la TV depuis Free
On 07/01/2021 20:26, Vincent Bernat wrote: J'ai aussi ça chez mes parents. Ils sont en Freebox v4 avec le boitier TV derrière le CPL. Pour moi, c'est la Freebox qui ne sait plus gérer correctement la QoS car ça arrive plutôt quand les petits-enfants sont dans le coin. Pas tenté le support. Piste intéressante mais dans le cas de David il semble dire qu'il n'y a pas spécifiquement d’activé sur la box au même moment (après question à la noix, il y aurait t'il le freewifi d'activé ?) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6
>> Michel Py a écrit : >> C'est devenu trop dynamique de whitelister. On en est rendu à blacklister ce >> qui est connu comme étant nocif, et ce qui n'est pas strictement nécessaire. > Adrien Rivas a écrit : > Soit tu le fais au niveau périphérique, et là tu choisis ton UTM/NGFW > soit tu peux le faire au niveau poste de travail Non seulement il faut faire les deux, mais en plus de çà il faut en faire 3 autres. > Toussaint OTTAVI a écrit : > J'en arrive à peu près à cette conclusion également. Mais encore faut-il avoir > une source efficace de saletés. Ou agréger plusieurs sources. Des suggestions > ? Au niveau UTM/NGFW j'utilise Untangle (perso); pour l'instant à $job[0] c'est ASA/Firepower et Meraki pour les petits sites. Les ASA/Firepower ils vont possiblement dégager à la fin de l'année pour une autre crèmerie. Fortinet, Checkpoint, Barracuda et Sophos on a déjà donné donc c'est même pas dans la course. Niveau poste de travail j'ai un mix entre Windows defender, Symantec, Cisco, et Eset (beurk). Malwarebytes j'aimais bien dans le temps; perso j'en ai 2 à vie. En plus : Au niveau contrôle de la pub : adblockplus.org (indispensable). Au niveau DNS j'utilise Cisco OpenDNS (perso) / Cisco Umbrella (pro). C'est pas parfait, mais c'est pas emmerdant et ça marche pour moi. Au niveau IPv4 pur j'utilise : https://team-cymru.com/community-services/bogon-reference/bogon-reference-bgp/ https://www.spamhaus.org/bgpf/ Et bien sur le mien : http://arneill-py.sacramento.ca.us/cbbc/ que plusieurs ici utilisent et même y contribuent, merci. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6
Soit tu le fais au niveau périphérique, et là tu choisis ton UTM/NGFW favori pour ça - Arkoon, Netasq, Palo Alto, Fortinet, Stormshield, Untangle, Meraki, Pfsense - , soit tu peux le faire au niveau poste de travail et là tu as le choix entre la solution embarquée dans ton "Internet Services" - Kaspersky, Trend, Forticlient (même base que pour les Fortigate, et, pour l'instant, encore gratuit en 6.0) ou un produit plus spécifique - Websense, ou même peerblock, qui te permet(ait?) d'aller chercher des bases communautaires, mais ce dernier n'est plus trop gratuit. Le ven. 8 janv. 2021 à 20:14, Toussaint OTTAVI a écrit : > > Le 08/01/2021 à 18:49, Michel Py a écrit : > > C'est devenu trop dynamique de whitelister. On en est rendu à > blacklister ce qui est connu comme étant nocif, et ce qui n'est pas > strictement nécessaire. > > J'en arrive à peu près à cette conclusion également. Mais encore faut-il > avoir une source efficace de saletés. Ou agréger plusieurs sources. Des > suggestions ? > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6
Le 08/01/2021 à 18:49, Michel Py a écrit : C'est devenu trop dynamique de whitelister. On en est rendu à blacklister ce qui est connu comme étant nocif, et ce qui n'est pas strictement nécessaire. J'en arrive à peu près à cette conclusion également. Mais encore faut-il avoir une source efficace de saletés. Ou agréger plusieurs sources. Des suggestions ? --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Rapport Spoofer pour FRnOG pour décembre 2020
Dans le cadre d'un projet de mesure du spoofing IP et de la validation d'adresse source (https://spoofer.caida.org), CAIDA produit des rapports mensuels automatisés des AS qui annoncent des préfixes BGP depuis lesquels nous recevons des paquets spoofés. Suite au feedback de la communauté sécurité, nous avons décidé d'envoyer ces rapports aux mailing lists des communautés réseau afin de s'assurer que les AS en question obtiennent l'information. Ce rapport résume les tests réalisés en fra. Améliorations en décembre 2020 : aucune Problèmes de validation d'adresse source détectés en décembre 2020: ASNNom Date débutDate fin 21409 IKOULA2018-08-10 2020-12-20 57199 MilkyWan 2020-12-16 2020-12-28 8228 CEGETEL 2020-12-16 2020-12-28 Pour plus d'information sur les tests réalisés, vous pouvez visiter l'adresse suivante : https://spoofer.caida.org/recent_tests.php?country_include=fra_block=1 Les problèmes de validation de l'adresse source ont été déduits en décembre 2020 à l'aide de tests de résolveur ouverts: ASNNomDernière détection 44407 ASN-LINKT 2020-12-04 12322 PROXAD2020-12-03 13193 ASN-NERIM 2020-12-01 Plus d'informations sur les tests sont disponibles sur: https://spoofer.caida.org/ornog.php?country_include=fra Merci d'envoyer vos commentaires ou suggestions à spoofer-i...@caida.org --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6
> Philippe Bourcier a écrit : > Alors en fait, ne laisser passer que quelques sites (whitelist), c'est ce que > font un grand nombre > de banques, d'organismes et services publiques et de boîtes du CAC40... c'est > loin d'être rare. Je travaille dans une banque, et c'est devenu impossible de faire çà. Depuis l'avènement du cloud et de la C.H.I.A.A.S. la liste des sites nécessaires est devenue tellement importante qu'essayer de maintenir le bon vieux temps du Mainframe est futile. On autorise le site www.machin.com, et du jour au lendemain machin.com change xyz.machin.com vers machin.truc.com et la machine s'arrête. C'est devenu trop dynamique de whitelister. On en est rendu à blacklister ce qui est connu comme étant nocif, et ce qui n'est pas strictement nécessaire. Bien évidemment on filtre certaines catégories, mais c'est pour faire bien propre sur soi, pas pour des raisons de sécurité. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6
Re, >> Alors en fait, ne laisser passer que quelques sites (whitelist), >> c'est ce que font un grand nombre de banques, d'organismes et >> services publiques et de boîtes du CAC40... c'est loin d'être rare. > > Cela présente des avantages : ça rend la DSI incontournable (pas le > droit de se fâcher avec eux, si on veut qu'ils acceptent d'ouvrir vers > le site dont on a besoin), ça rend les utilisateurs autonomes (ils > prennent l'habitude de tout faire avec Gmail et un abonnement Orange, > sans passer par l'infra de la boite), etc. C'est tellement ca... ca a commencé avec les modems et ADSL "pirates" (y compris sur des infras critiques (au sens vies humaines) "parce qu'ils m'ont bloqué les repos pour les MAJ debian")... et maintenant c'est la grosse fête avec les routeurs 3G/4G et bientôt 5G ;). Perso, ma préférence pour gérer l'accès d'une grosse boîte c'est une blacklist des "trucs un peu chauds" qui affiche une page web pour demander la levée de la restriction avec garantie de réponse dans les 24h... c'est ce qui passe le mieux comme tradeoff "security vs UX". D'un autre côté, sur des accès non-filtrés j'ai déjà connu des enquêtes pédo, DDoS, etc... et c'est chaud quand même (surtout si tu gardes pas assez les logs), donc t'apprends vite à ne plus faire confiance aux users internes, quelle que soit la taille de la boîte. 路♂️ Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Règles de Nommage des zones DNS privées
Le 08/01/2021 à 16:44, Stephane Bortzmeyer a écrit : >>Le working-group Homnet à mis plus de deux ans pour trouver un >>consensus pour .home.arpa. >>(rfc8375) >>qui veut tenter le coup pour un .myorganization.arpa. ? > Je ne pense pas que cela soit comparable. > > 1) En cas de fusion/acquisition, bonjour la fusion des deux > myorganization.arpa. mais si, avec une couche de anycast ;-) > 2) Les foyers sont plus petits que les entreprises, donc le bordel > reste gérable. Je me méfie des a-priori. Je ne suis pas certain que l'infrastructure informatique dans un domicile de nos contrées soit beaucoup plus petit et moins bordélique que celui de PME ou artisans (PC fixe, portables, ordiphone, tablettes, console, TV, mediacenter, setup-box, imprimante, borne wifi, CPL, caméra vidéo-surveillance, etc.) Mais peut être que HNCP a vocation à être déployé dans les organisation de taille familiale ;-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6
Tu te rappelles son nom ? Il est où maintenant ? En même temps, y a pas un mec chez nous qui a déclaré qu’Internet n’était qu’une passade ? Et un autre qui a voulu relancer le Minitel en 1994. > Le 8 janv. 2021 à 16:39, Stephane Bortzmeyer a écrit : > > On Fri, Jan 08, 2021 at 11:29:49AM +, > BRUYELLES ALEXANDRE wrote > a message of 69 lines which said: > >> Il y a des décennies, on pensait comme ça >> Après tout, il suffit d'avoir une liste des gens qu'on connait et puis basta > > Ah oui, je me souviens d'une discussion avec le DSI d'une grosse boîte > dans les années 90. Je lui expliquait les beautés d'Internet, qu'on > pouvait se connecter au monde entier et il me répondait qu'on n'avait > pas besoin de se connecter au monde entier. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Règles de Nommage des zones DNS privées
Le 08/01/2021 à 16:46, Stephane Bortzmeyer a écrit : > On Thu, Jan 07, 2021 at 04:21:29PM +0100, > Jean-Yves LENHOF wrote > a message of 72 lines which said: > >> Autre point à checker, y-a-t-il des limitations aux champs pour saisir les >> adresses DNS J'ai un domaine en 3 parties lenhof.eu.org, pendant qq >> temps certains sites trop pointilleux sur les vérifications d'adresses email >> n'acceptaient que les champs en 2 parties, > De tels sites sont clairement totalement bogués. À fuir. (Outre les > departement.entreprise.example, il y a les TLD qui ne délèguent qu'au > troisième niveau comme .jp.) > https://www.24joursdeweb.fr/2020/concevoir-des-formulaires-inclusifs/ prenom@gendarmerie.interieur.gouv.fr Si Si, c'est bien la gendarmerie nationale française... > > Mais, de toute façon, on parlait ici de noms internes, donc les sites > Web extérieurs écrits par un amateur avec les pieds, ce n'est pas > grave. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Règles de Nommage des zones DNS privées
On Thu, Jan 07, 2021 at 04:21:29PM +0100, Jean-Yves LENHOF wrote a message of 72 lines which said: > Autre point à checker, y-a-t-il des limitations aux champs pour saisir les > adresses DNS J'ai un domaine en 3 parties lenhof.eu.org, pendant qq > temps certains sites trop pointilleux sur les vérifications d'adresses email > n'acceptaient que les champs en 2 parties, De tels sites sont clairement totalement bogués. À fuir. (Outre les departement.entreprise.example, il y a les TLD qui ne délèguent qu'au troisième niveau comme .jp.) https://www.24joursdeweb.fr/2020/concevoir-des-formulaires-inclusifs/ Mais, de toute façon, on parlait ici de noms internes, donc les sites Web extérieurs écrits par un amateur avec les pieds, ce n'est pas grave. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Règles de Nommage des zones DNS privées
On Thu, Jan 07, 2021 at 05:25:10PM +0100, Christophe Lohr wrote a message of 79 lines which said: >Le working-group Homnet à mis plus de deux ans pour trouver un >consensus pour .home.arpa. >(rfc8375) >qui veut tenter le coup pour un .myorganization.arpa. ? Je ne pense pas que cela soit comparable. 1) En cas de fusion/acquisition, bonjour la fusion des deux myorganization.arpa. 2) Les foyers sont plus petits que les entreprises, donc le bordel reste gérable. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6
On Fri, Jan 08, 2021 at 11:29:49AM +, BRUYELLES ALEXANDRE wrote a message of 69 lines which said: > Il y a des décennies, on pensait comme ça > Après tout, il suffit d'avoir une liste des gens qu'on connait et puis basta Ah oui, je me souviens d'une discussion avec le DSI d'une grosse boîte dans les années 90. Je lui expliquait les beautés d'Internet, qu'on pouvait se connecter au monde entier et il me répondait qu'on n'avait pas besoin de se connecter au monde entier. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6
On Fri, Jan 08, 2021 at 10:36:27AM +, Philippe Bourcier wrote a message of 23 lines which said: > Alors en fait, ne laisser passer que quelques sites (whitelist), > c'est ce que font un grand nombre de banques, d'organismes et > services publiques et de boîtes du CAC40... c'est loin d'être rare. Cela présente des avantages : ça rend la DSI incontournable (pas le droit de se fâcher avec eux, si on veut qu'ils acceptent d'ouvrir vers le site dont on a besoin), ça rend les utilisateurs autonomes (ils prennent l'habitude de tout faire avec Gmail et un abonnement Orange, sans passer par l'infra de la boite), etc. Ça me rappelle l'époque où la secrétaire d'État au numérique racontait publiquement comment elle avait contourné le pare-feu de Matignon (où était installé son secrétariat d'État) car un RSSI fasciste avait trouvé que c'était une bonne idée de bloquer YouTube. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] RE: [MISC] Panne au CA
Ok Stéphane, C'est une info exclusive ou une extrapolation. Car ça fait un moment que j'étudie ce type de solution et que je suis la techno et les différentes huiles minérales qui existes. Et je trouve cela plutôt prometteur et intelligent. Et les constructeurs de serveurs intègrent maintenant pour la plupart une offre de serveurs pour l'immersion. Du moins j'ai pu voir SuperMicro, HPE, Fujitsu, Dell pas Lenovo sauf si c'est récent. Et si la panne venait de là, il y a de quoi apprendre car c'est une techno quand même assez "récente" A part OVH qui utilise le refroidissent liquide depuis des années mais plus version PC Gamer pas par immersion totale Xavier -Message d'origine- De : 'Stephane Bortzmeyer' Envoyé : vendredi 8 janvier 2021 11:02 À : x.r...@sipleo.com Cc : 'Stephane Bortzmeyer' ; frnog-m...@frnog.org Objet : Re: [MISC] Panne au CA On Fri, Jan 08, 2021 at 10:47:15AM +0100, x.r...@sipleo.com wrote a message of 49 lines which said: > Oui vu aussi juste après. Pour nous c'est surtout de la curiosité technique. Voici de quoi la satisfaire : https://www.lemagit.fr/actualites/252491819/Le-Credit-Agricole-refroidira-ses-serveurs-dans-des-bains-dhuile --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [MISC] Panne au CA
Rho non demain on va avoir une mauvaise note.Moi avec le VPN ça passe nickel ;)BrunoEnvoyé depuis un terminal mobile. Message d'origine De : Damien Wetzel Date : 08/01/2021 10:54 (GMT+01:00) À : x.r...@sipleo.com Cc : 'Stephane Bortzmeyer' , frnog-m...@frnog.org Objet : RE: [FRnOG] Re: [MISC] Panne au CA Bonjour,credit-agricole.com est upcredit-agricole.fr down donc ca semble un pb de serveur (DDOS ?)Cordialement,Damien x.r...@sipleo.com writes: > Merci Stéphane, > > Oui vu aussi juste après. Pour nous c'est surtout de la curiosité technique. > > Je trouve que depuis quelques temps, on a vu passé pas mal de pannes majeures mais qu'ici, ce soit passé à la trappe. > Je parle d'opérateur Français, de gros acteurs de SaaS etc > > Point de vue personnel, c'est dommage, on a l'impression que cela est tellement classique que cela n'a plus d'intérêts. > Et pourtant on a tellement à apprendre ou tirer des enseignements > > Xavier > > -Message d'origine- > De : Stephane Bortzmeyer > Envoyé : vendredi 8 janvier 2021 10:30 > À : x.r...@sipleo.com > Cc : frnog-m...@frnog.org > Objet : [FRnOG] Re: [MISC] Panne au CA > > On Fri, Jan 08, 2021 at 09:39:47AM +0100, x.r...@sipleo.com wrote a message of 31 lines which said: > > > Et sur Downdetector https://downdetector.fr/statut/credit-agricole/ > > > > Ça monte > > > > Qui aurait des informations ? > > L'outil de supervision des Vrais Pros, à savoir Twitter, indique en effet qu'il y a un problème : > > https://twitter.com/KUHMFR/status/1347473253397389312 > https://twitter.com/papyli1/status/1347472885691117569 > https://twitter.com/FrederiquedeK/status/1347469209614376960 > > Réponse du CM (au milieu de plein d'autres réponses WTF comme de demander des infos en DM) : > > https://twitter.com/CALanguedoc/status/1347472138547163136 > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/-- ~Damien WETZEL (ATANAR TECHNOLOGIES) ("`-/")_.-'"``-._http://www.atanar.com . . `; -._ )-;-,_`) (v_,)' _ )`-.\ ``-'Phone:+33 9 67 35 09 05 _.- _..-_/ / ((.'- So much to do, so little time - ((,.-' ((,/ ~---Liste de diffusion du FRnOGhttp://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6
> Quelques dizaine d'adresses réellement "utiles" par personne et par jour ? As-tu bu ? Il y a des décennies, on pensait comme ça Après tout, il suffit d'avoir une liste des gens qu'on connait et puis basta Et puis, constatant le soucis, on a inventé le DNS Révolution .. > C'est trop facile de dire : "Il faut sécuriser le terminal". A défaut de pouvoir supprimer le véritable problème (l'interface chaise-clavier), j'ai l'impression que c'est un peu un aveu d'impuissance : "De nos jours, au vu de la multiplicité des menaces, on est totalement incapable de sécuriser correctement le réseau, donc il ne reste plus qu'à sécuriser l'endpoint"... Trop facile ? Mais .. quand je suis malade, mon docteur ne projette pas de medoc sur mon fauteuil Ce n'est pas "au vue de la multiplicité des menaces", c'est plutôt "à l'humble constatation que moi, netadmin, ne suis pas omniscient et donc apte à juger de ce qui est bon ou pas, en me basant sur du L3/L4" M'enfin De : frnog-requ...@frnog.org de la part de Toussaint OTTAVI Envoyé : vendredi 8 janvier 2021 11:12:50 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6 Mail externe : n'ouvrez pas de lien ou de pièce jointe si vous ne connaissez pas l'expéditeur Le 08/01/2021 à 10:57, David Ponzone a écrit : > Et si tu généralises ça, tu crois qu’il va se passer combien de temps avant > que les m*rdes soient IPv6-Ready ? Ma remarque s'applique d'autant plus à IPv6 : pour au max quelques dizaine d'adresses réellement "utiles" par personne et par jour, on devrait laisser une porte ouverte vers un nombre d'adresses tellement grand que je ne sais même pas l'écrire ? C'est trop facile de dire : "Il faut sécuriser le terminal". A défaut de pouvoir supprimer le véritable problème (l'interface chaise-clavier), j'ai l'impression que c'est un peu un aveu d'impuissance : "De nos jours, au vu de la multiplicité des menaces, on est totalement incapable de sécuriser correctement le réseau, donc il ne reste plus qu'à sécuriser l'endpoint"... Cà nous ramène à la définition fondamentale de l'informatique : "Une science conçue pour régler des problèmes qui n'existaient pas avant son invention" :-D --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6
Le 08/01/2021 à 11:36, Philippe Bourcier a écrit : Alors en fait, ne laisser passer que quelques sites (whitelist), c'est ce que font un grand nombre de banques, d'organismes et services publiques et de boîtes du CAC40... c'est loin d'être rare. Pour un service IT d'une grande entreprise, c'est jouable. Moi, je suis prestataire IT de plusieurs TPE aux budgets limités. Donc, boulot à faire autant de fois que j'ai de clients ? Utiliser le filtrage URL de mon fournisseur de firewall, tout en ayant conscience que c'est bidon ? Tout centraliser sur une infra unique gérée par moi (boulot supplémentaire + besoins en bande passante) ? Avec le double risque de surcharge du support : 1/ "Je ne peux pas aller sur le site de mon vendeur de caouètes" 2/ Scanner les logs et repérer les whitelist "techniques" nécessaires au bon fonctionnement des outils : antivirus, CRLs, etc... On a diverses expérimentations, plus ou moins concluantes. Je cherche encore la solution idéale... L'idée de base est bien de fermer par défaut. Mais, à cette échelle, ce n'est pas simple à implémenter, et encore moins rentable ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6
Re, > Cà nous ramène à la définition fondamentale de l'informatique : "Une > science conçue pour régler des problèmes qui n'existaient pas avant son > invention" :-D Alors en fait, ne laisser passer que quelques sites (whitelist), c'est ce que font un grand nombre de banques, d'organismes et services publiques et de boîtes du CAC40... c'est loin d'être rare. Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6
Le 08/01/2021 à 10:57, David Ponzone a écrit : Et si tu généralises ça, tu crois qu’il va se passer combien de temps avant que les m*rdes soient IPv6-Ready ? Ma remarque s'applique d'autant plus à IPv6 : pour au max quelques dizaine d'adresses réellement "utiles" par personne et par jour, on devrait laisser une porte ouverte vers un nombre d'adresses tellement grand que je ne sais même pas l'écrire ? C'est trop facile de dire : "Il faut sécuriser le terminal". A défaut de pouvoir supprimer le véritable problème (l'interface chaise-clavier), j'ai l'impression que c'est un peu un aveu d'impuissance : "De nos jours, au vu de la multiplicité des menaces, on est totalement incapable de sécuriser correctement le réseau, donc il ne reste plus qu'à sécuriser l'endpoint"... Cà nous ramène à la définition fondamentale de l'informatique : "Une science conçue pour régler des problèmes qui n'existaient pas avant son invention" :-D --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] Panne au CA
On Fri, Jan 08, 2021 at 10:47:15AM +0100, x.r...@sipleo.com wrote a message of 49 lines which said: > Oui vu aussi juste après. Pour nous c'est surtout de la curiosité technique. Voici de quoi la satisfaire : https://www.lemagit.fr/actualites/252491819/Le-Credit-Agricole-refroidira-ses-serveurs-dans-des-bains-dhuile --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6
Et si tu généralises ça, tu crois qu’il va se passer combien de temps avant que les m*rdes soient IPv6-Ready ? > Le 8 janv. 2021 à 10:38, Toussaint OTTAVI a écrit : > C'est pas plus simple de désactiver carrément tout Internet ? :-) > > ... > Donc, pour un besoin de 10, on laisse une porte grande ouverte vers 4 > milliards, dont plusieurs centaines de milliers de m*rdes ? Yapa un problème > quelque part ? > > Happy Friday ;-) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Panne au CA
Le 08/01/2021 à 10:47, x.r...@sipleo.com a écrit : Et pourtant on a tellement à apprendre ou tirer des enseignements +1000 J'aime beaucoup OVH pour çà : ils sont relativement transparents sur leur site "travaux", et on a le plus souvent un compte-rendu détaillé, avec l'enchainement des différentes étapes qui ont conduit à la panne. Je suis sans doute un peu maso, mais j'apprécie beaucoup de lire ce genre de compte-rendus :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [MISC] Panne au CA
Bonjour, credit-agricole.com est up credit-agricole.fr down donc ca semble un pb de serveur (DDOS ?) Cordialement, Damien x.r...@sipleo.com writes: > Merci Stéphane, > > Oui vu aussi juste après. Pour nous c'est surtout de la curiosité technique. > > Je trouve que depuis quelques temps, on a vu passé pas mal de pannes > majeures mais qu'ici, ce soit passé à la trappe. > Je parle d'opérateur Français, de gros acteurs de SaaS etc > > Point de vue personnel, c'est dommage, on a l'impression que cela est > tellement classique que cela n'a plus d'intérêts. > Et pourtant on a tellement à apprendre ou tirer des enseignements > > Xavier > > -Message d'origine- > De : Stephane Bortzmeyer > Envoyé : vendredi 8 janvier 2021 10:30 > À : x.r...@sipleo.com > Cc : frnog-m...@frnog.org > Objet : [FRnOG] Re: [MISC] Panne au CA > > On Fri, Jan 08, 2021 at 09:39:47AM +0100, x.r...@sipleo.com > wrote a message of 31 lines which said: > > > Et sur Downdetector https://downdetector.fr/statut/credit-agricole/ > > > > Ça monte > > > > Qui aurait des informations ? > > L'outil de supervision des Vrais Pros, à savoir Twitter, indique en effet > qu'il y a un problème : > > https://twitter.com/KUHMFR/status/1347473253397389312 > https://twitter.com/papyli1/status/1347472885691117569 > https://twitter.com/FrederiquedeK/status/1347469209614376960 > > Réponse du CM (au milieu de plein d'autres réponses WTF comme de demander > des infos en DM) : > > https://twitter.com/CALanguedoc/status/1347472138547163136 > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ -- ~ Damien WETZEL (ATANAR TECHNOLOGIES)("`-/")_.-'"``-._ http://www.atanar.com . . `; -._)-;-,_`) (v_,)' _ )`-.\ ``-' Phone:+33 9 67 35 09 05_.- _..-_/ / ((.' - So much to do, so little time - ((,.-' ((,/ ~ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Revendeur câble RJ45 au métre - Connectique fibre pas chère
Le 04/01/2021 à 21:12, Pierre Emeriaud a écrit : L'idée est pas mal, et en effet pour du domestique ça doit faire le job. La même chose directement à la source, $6 les 10 connecteurs SC/APC : https://www.aliexpress.com/item/32602615719.html Le kit complet avec la cliveuse à $25 : https://www.aliexpress.com/item/32568014332.html et le power meter à $15 : https://www.aliexpress.com/item/32734569082.html Pour du domestique et du réseau associatif, je confirme que çà fait parfaitement le job. Voire même pour du dépannage et de la réparation d'urgence... Ceci étant, pour ceux qui sont équipés, je serais curieux de voir ce que çà donne au réflectomètre :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [MISC] Panne au CA
Merci Stéphane, Oui vu aussi juste après. Pour nous c'est surtout de la curiosité technique. Je trouve que depuis quelques temps, on a vu passé pas mal de pannes majeures mais qu'ici, ce soit passé à la trappe. Je parle d'opérateur Français, de gros acteurs de SaaS etc Point de vue personnel, c'est dommage, on a l'impression que cela est tellement classique que cela n'a plus d'intérêts. Et pourtant on a tellement à apprendre ou tirer des enseignements Xavier -Message d'origine- De : Stephane Bortzmeyer Envoyé : vendredi 8 janvier 2021 10:30 À : x.r...@sipleo.com Cc : frnog-m...@frnog.org Objet : [FRnOG] Re: [MISC] Panne au CA On Fri, Jan 08, 2021 at 09:39:47AM +0100, x.r...@sipleo.com wrote a message of 31 lines which said: > Et sur Downdetector https://downdetector.fr/statut/credit-agricole/ > > Ça monte > > Qui aurait des informations ? L'outil de supervision des Vrais Pros, à savoir Twitter, indique en effet qu'il y a un problème : https://twitter.com/KUHMFR/status/1347473253397389312 https://twitter.com/papyli1/status/1347472885691117569 https://twitter.com/FrederiquedeK/status/1347469209614376960 Réponse du CM (au milieu de plein d'autres réponses WTF comme de demander des infos en DM) : https://twitter.com/CALanguedoc/status/1347472138547163136 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6
Le 06/01/2021 à 05:57, Michel Py a écrit : Disable IPv6 on internal Windows hosts if not in use. C'est pas plus simple de désactiver carrément tout Internet ? :-) Je précise que je ne suis pas loin d'être sérieux : - 4 milliards d'adresses en v4 (à peine un peu plus pour ceux qui sont en v6) - Combien d'adresses correspondant à des sites potentiellement dangereux / nuisibles ? - Depuis un terminal "moderne", combien de connexions vers combien de sites non souhaités "à l'insu de mon plein gré" ? - Combien de connexions par jour vers des sites légitimes réellement nécessaires pour un utilisateur lambda en entreprise ? Une dizaine ? Donc, pour un besoin de 10, on laisse une porte grande ouverte vers 4 milliards, dont plusieurs centaines de milliers de m*rdes ? Yapa un problème quelque part ? Happy Friday ;-) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] N3K-C3064PQ-10GX 40Gbps vPC
Bonjour à tous. Meilleurs vœux de santé de réussite et de liberté pour 2021 ! Nous avons récemment mise en place un cluster de Nexus C3064PQ en vPC avec les uplink et vPC peer link en 40 Gbps (hardware profile 48x10G+4x40G). Au bout d’un certain temps nous remarquons que les deux châssis ne remontent plus de variable environnement (power, fan etc..) et ne répond plus en SNMP. Est-ce que l’un d’entre vous a déjà eu ce genre de soucis ? Version Nexus : nxos.7.0.3.I7.3 Bonne journée à tous. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] Panne au CA
On Fri, Jan 08, 2021 at 09:39:47AM +0100, x.r...@sipleo.com wrote a message of 31 lines which said: > Et sur Downdetector https://downdetector.fr/statut/credit-agricole/ > > Ça monte > > Qui aurait des informations ? L'outil de supervision des Vrais Pros, à savoir Twitter, indique en effet qu'il y a un problème : https://twitter.com/KUHMFR/status/1347473253397389312 https://twitter.com/papyli1/status/1347472885691117569 https://twitter.com/FrederiquedeK/status/1347469209614376960 Réponse du CM (au milieu de plein d'autres réponses WTF comme de demander des infos en DM) : https://twitter.com/CALanguedoc/status/1347472138547163136 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] SFR NUMERICABLE, c'est déjà trolldi ?
On 08/01/2021 08:01, Benoit SERRA wrote: En aparté, abonné à SFR-NUMERICABLE depuis presque 3 ans (c'est ça ou l'accès adsl à 2mbps) j'ai constaté que leur box, en mode Routeur, ne donne pas le débit. Mais passée en mode bridge avec un vrai routeur derrière, j'ai le débit quasi nominal en 1Gbps Dl et 50 Mbps UL. Yes en réduisant la box au minimum vital cela fonctionne (Box SFR Zive). Il faut passer en mode "bridge" et tout désactiver et c'est ok. De base la box gère très très mal le nat. A noter tout de même que la box fait quand même de l'interception DNS, bridge ou pas ce qui peut être pénible. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Règles de Nommage des zones DNS privées
On 07/01/2021 20:59, Philippe Bourcier wrote: Enfin, j'aurais tendance à prendre un mondomaine.tld dédié à l'IT, qui n'a pas forcément de lien avec le nom de la boîte, ce qui permet d'éviter une migration AD en cas de revente/renommage de la boîte... +1000 on ne sait jamais si une société va être racheté ou non, alors le domaine interne sans rapport avec le nom de la société c'est souvent salvateur. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Panne au CA
Bonjour et meilleurs Vœux à tous, Apparemment des messages a destination du Crédit Agricole depuis hier matin. Aujourd’hui leur .fr et d’autres sites Et sur Downdetector https://downdetector.fr/statut/credit-agricole/ Ça monte Qui aurait des informations ? Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/