Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Adrien Rivas]

> > Toussaint OTTAVI a écrit :
> > L'expérience prouve que, si on met une porte blindée trop compliquée à
ouvrir, les
> > utilisateurs laissent la fenêtre ouverte. C'est un équilibre pas facile
à trouver...
>
> +1. Et, risquer que l'utilisateur ouvre la fenêtre pour regarder le match
de foot, c'est contre-productif : la fenêtre, une fois ouverte, est
extrêmement difficile à refermer. Au bout du compte c'est parfois
préférable de les laisser regarder le foot et de laisser leurs chefs de
service faire la police. Pareil pour les clés USB : si l'utilisateur a une
raison légitime de s'en servir, il va trouver comment détourner les
restrictions qu'on met en place pour les désactiver, et là encore on ouvre
la boite de Pandore.

Pas mieux, je pense pas que ce soit mon rôle de définir pour mon client ce
qui doit être accessible ou pas, seulement bloquer ce qui "me" gène et qui
va me faire avoir une demande de logs de la part de la gendarmerie. Le
mature, unethical, les réseaux sociaux, jeux en ligne, newly observed
domain, si après il faut débloquer le client me le dit, s'il veut du mature
au bureau je double les logs.

> >> Soit tu le fais au niveau périphérique, et là tu choisis ton UTM/NGFW
favori pour
> >> ça - Arkoon, Netasq, Palo Alto, Fortinet, Stormshield, Untangle,
Meraki, Pfsense
>
> > Effectivement. Mais je n'ai juste pas confiance en un seul fournisseur
:-)
> > Et j'ai eu plusieurs fois l'occasion de constater que j'avais raison...
> >> soit tu peux le faire au niveau poste de travail
>
> > Deux choses à propos du filtrage sur les postes :
> > - C'est extrêmement chronophage et source de problèmes. Si on gère un
seul gros réseau, le outils de management de l'éditeur
> > peuvent faire le job. Mais si on gère plusieurs dizaines de petits
réseaux indépendants, je n'ai pas trouvé l'outil qui convient...

On fait du trend (pas mieux pas pire que d'autres), t'as une console
revendeur qui te permet de découper et classer tes clients, et tu reçois
par défaut des alertes sur ce qui se passe. On a dans les 5000 AV
d'installés (chez +/- 200 clients), ça fait le job.

> > Donc, l'idée est de conserver ce matériel, qui dans l'ensemble me
convient
>
> C'est Cisco qui s'est tiré une balle dans le pied avec leur obsolescence
planifiée à la con. J'ai 2 gammes, les ASA et les FP2420, qui arrivent
en fin de maintenance logiciel en Aout ou Septembre de cette année. Dès que
çà touche la sécurité, plus de MAJ çà veut dire remplacement du matériel,
ce qui était leur objectif. Eh bien, à force de jouer au con, Cisco a gagné
: ils me forcent à remplacer le matos, ben oui je vais le remplacer. Avec
du PA, possiblement.

Ils le font tous, plus ou moins violemment, mais Fortinet c'est 9 ans (me
semble) et 4 à 5 versions d'OS majeures entre la sortie du produit et le
EoL, c'est court, et en même temps quand tu vois les progrès entre deux
gammes de produits c'est long. PA je connais pas, mais c'est vrai que ça
semble "séduisant" comme produit, ça parle et j'ai l'impression que c'est
rarement remis en question, sauf niveau prix où là c'est clairement pas à
portée de tout le monde.

> > David Ponzone a écrit :
> > Non c’est l’aveu qu'on est en 2021, que de plus en plus de salariés ont
un laptop pro qui se baladent chez eux ou autre.
>
> +1. Sur un WiFi potentiellement rempli de saloperies y compris dans un
aéroport (pas trop en ce moment mais çà reviendra), ou a la maison avec la
progéniture adolescente du salarié, qui passe une grande partie de son
temps à essayer de cracker la protection de Papa pour regarder le contenu
réservé aux adultes. Et en essayant, télécharge une ribambelle d'outils qui
contiennent moulte virus, root kits et autres portes dérobées.

Et que tout le monde n'a pas le débit pour faire remonter l'accès internet
en central, donc on met en place du split tunneling, parce qu'à 40 sur la
ligne Adsl, avec le web ça couine un peu. Il y a même des clients avec
juste une box en déporté, parce que le firewall à 400 balles c'est trop
cher pour un bureau avec une seule personne et "ça fait des économies",
alors la même, pas de split tunneling, rien que de la navigation locale
derrière une box opérateur pas sécure, faut bien apporter un minimum sur le
poste de travail.

Et en 2021, le nombre de sites en HTTPS augmente chaque jour (je retrouve
plus la stat), le HSTS se renforce, tu peux plus péter le chiffrement au
niveau UTM sans que ça altère l'expérience utilisateur, alors pour savoir
ce que fait le poste, il te faut de l'EDR, avec des To de stockage, et de
la lecture de toujours plus de logs. C'est pas de l'impuissance, c'est que
tout mis bout à bout, on a plus le choix, la sécurité périphérique n'est
plus suffisante.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] N3K-C3064PQ-10GX 40Gbps vPC

[Michel Py]

> Loic LADREYT a écrit :
> Nous avons récemment mise en place un cluster de Nexus C3064PQ en vPC avec 
> les uplink et vPC peer link
> en 40 Gbps (hardware profile 48x10G+4x40G). Au bout d’un certain temps nous 
> remarquons que les deux
> châssis ne remontent plus de variable environnement (power, fan etc..) et ne 
> répond plus en SNMP.

Jamais fait de vPC et pas tenté. A part çà c'est un switch populaire en broke, 
j'en ai plusieurs dans cette config 48x10G+4x40G avec du etherchannel 2x40G 
monochassis et aucun problème.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Michel Py]

> OBConseil a écrit :
> kernel.org était bloqué, ainsi que plein de sites d'info : "Reason : 
> Hacking". La bas,
> ta stratégie ne marche pas : Tu va pas attendre 24h pour chaque lien vers un 
> blog
> lambda dans lequel 99% du temps t'a pas ta réponse et où t'ira jamais plus 
> après.

+1

> Par contre, les sites du figaro et de l'équipe était, eux, disponibles.

Et puis ? on peut plus regarder le match de foot au bureau, maintenant ? :-)

En redevenant sérieux,

> Toussaint OTTAVI a écrit :
> L'expérience prouve que, si on met une porte blindée trop compliquée à 
> ouvrir, les
> utilisateurs laissent la fenêtre ouverte. C'est un équilibre pas facile à 
> trouver...

+1. Et, risquer que l'utilisateur ouvre la fenêtre pour regarder le match de 
foot, c'est contre-productif : la fenêtre, une fois ouverte, est extrêmement 
difficile à refermer. Au bout du compte c'est parfois préférable de les laisser 
regarder le foot et de laisser leurs chefs de service faire la police. Pareil 
pour les clés USB : si l'utilisateur a une raison légitime de s'en servir, il 
va trouver comment détourner les restrictions qu'on met en place pour les 
désactiver, et là encore on ouvre la boite de Pandore.


>> Soit tu le fais au niveau périphérique, et là tu choisis ton UTM/NGFW favori 
>> pour
>> ça - Arkoon, Netasq, Palo Alto, Fortinet, Stormshield, Untangle, Meraki, 
>> Pfsense

> Effectivement. Mais je n'ai juste pas confiance en un seul fournisseur :-)
> Et j'ai eu plusieurs fois l'occasion de constater que j'avais raison...

+1. C'est bien pour çà qu'il faut de multiples systèmes indépendants, pour que 
le jour ou il y en a un qui ne marche pas, l'autre continue.

>> soit tu peux le faire au niveau poste de travail

> Deux choses à propos du filtrage sur les postes :
> - C'est extrêmement chronophage et source de problèmes. Si on gère un seul 
> gros réseau, le outils de management de l'éditeur
> peuvent faire le job. Mais si on gère plusieurs dizaines de petits réseaux 
> indépendants, je n'ai pas trouvé l'outil qui convient...

T'inquiètes pas, tu n'es pas le seul.

>> Michel Py a écrit :
>> Les ASA/Firepower ils vont possiblement dégager à la fin de l'année pour une 
>> autre crèmerie.
>> Fortinet, Checkpoint, Barracuda et Sophos on a déjà donné donc c'est même 
>> pas dans la course.

> Tu as de la chance de pouvoir changer aussi facilement de crèmerie :-) Moi, 
> cela ne me traverse même pas l'esprit tant le travail
> de migration serait colossal (ce sont les mêmes appareils qui font tout : 
> firewall, UTM, VPN, interco, failover, wifi, etc...)

C'est encore plus colossal quand tu as des centaines de sites répartis sur 6 
fuseaux horaires.

> Donc, l'idée est de conserver ce matériel, qui dans l'ensemble me convient

C'est Cisco qui s'est tiré une balle dans le pied avec leur obsolescence 
planifiée à la con. J'ai 2 gammes, les ASA et les FP2420, qui arrivent en 
fin de maintenance logiciel en Aout ou Septembre de cette année. Dès que çà 
touche la sécurité, plus de MAJ çà veut dire remplacement du matériel, ce qui 
était leur objectif. Eh bien, à force de jouer au con, Cisco a gagné : ils me 
forcent à remplacer le matos, ben oui je vais le remplacer. Avec du PA, 
possiblement.

> et de le doubler en frontal par d'autres outils plus ciblés sur le filtrage 
> du caca en provenance d'Internet.

Oui en théorie, sauf que à tant que s'emmerder avec un projet colossal, autant 
en profiter pour nettoyer et en plus se débarrasser de ce que l'équipe 
considère comme étant de la daube. Je vais probablement mettre de l'ASR devant 
les pare-feu, ceci dit.

>> Niveau poste de travail j'ai un mix entre Windows defender, Symantec, Cisco, 
>> et
>> Eset (beurk). Malwarebytes j'aimais bien dans le temps; perso j'en ai 2 à 
>> vie.

> Même remarque : comment tu fais pour gérer autant d'outils différents ?

Je fais pas, c'est le bordel. J'essaie de standardiser, mais çà n'arrive pas du 
jour au lendemain.

> Moi, je voudrais arriver à normaliser sur un seul. Même si ce sera 
> obligatoirement un compromis. Le critère essentiel est
> la gestion multi-tier (une seule console d'admin pour gérer tous mes clients, 
> au lieu d'une console d'admin par client).

Pareil, ce que tu saisis pas c'est la taille et la complexité de mon 
environnement. Tous les jours on crée, achète, fusionne, réorganise des 
branches. Il y en a qui sont des employés, d'autres des filiales, d'autres des 
franchises, etc. Rien que des noms de domaines différents on en a au moins 30. 
En 1 coup je viens d'hériter de 50 sites distants et plusieurs centaines 
d'utilisateurs. Il y en a qui ont Windows Home qu'on ne peut même pas joindre 
au domaine, certains qui croient que la machinbox Comcast c'est un pare-feu, et 
j'en passe. Les franchises achètent / fournissent leur propre matos, au 
contraire des filiales auxquelles on envoie les laptops avec l'image qui va 
bien. En plus, il y a toujours une période de transition : pendant plusieurs 
semaines, il faut 

RE: [FRnOG] [TECH] Règles de Nommage des zones DNS privées

[Michel Py]

> Cyrille Verger a écrit :
> Après un grand nombre de passages dans des sociétés ont peut s'apercevoir 
> qu'il n'y a pas de solution unique et miracle, certains vont
> travailler par découpage metier/entité, d'autres par zonage géographique, le 
> suivant par technologies bref toutes le solutions ont leurs
> avantage et inconvénients. Dans un premier temps il faut réfléchir sur 
> comment tu va travailler et surtout comment tu peux te rendre la
> vie la plus simple possible ! Car moins on en fait et mieux cela fonctionne ! 
> Ensuite l'histoire des rachat est souvent un faux pb car
> dans beaucoup de cas tu devra te conformiser a la politique du rachetant et 
> peut être tout migrer donc casser ce que tu aura fait.

Je plussoie.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Petite question tech concernant l'accès à la TV depuis Free

[Raphael Mazelier]

On 08/01/2021 22:27, Pierre LANCASTRE wrote:



Récemment retourne chez Free en Freebox PoP en fibre (négo a 5G/700M) 
je suis très loin de saturer le downstream et j'ai eu pas mal de 
problèmes de lag/glitch de son, signe de perte de paquets. Mais pas 
sur toutes les chaînes, c était surtout TF1 et BFM TV pendant les Peak 
hours. Sachant que je suis en filaire partout et qu avec ma box orange 
j' avais 0 souci, je pense que ça vient de plus haut :) peut être 
saturation entre leur backbone et l olt de ma zone, ou plus haut? Il y 
a pas mal de Root cause possibles. En tout cas, ce soir tout va bien, 
peut être qu ils ont lu le thread ^^


My 2 cents

Sur le flux tnt ? bah c'était peut être une saturation généralisée sur 
le réseau de distribution des flux tv coté Free ? (je rappelle flux live 
"tnt" ça reste sur les infras des opérateurs, et heureusement j'ai envie 
de dire)


--

Raphael Mazelier



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: [MISC] Panne au CA

[Tristan Dietz via frnog]

Bonjour,

Dans le genre refroidissement original, on peut également citer la piscine de 
la Butte aux Cailles 
(https://www.usinenouvelle.com/article/la-mairie-de-paris-chauffe-une-piscine-avec-un-datacenter.N540549),
 ou encore la réfrigération par glace du DC5 de chez Scaleway 
(https://lafibre.info/scaleway/dc5/48/)

Bien à vous,
-- 
Tristan

> Le 8 janv. 2021 à 16:29, x.r...@sipleo.com a écrit :
> 
> Ok Stéphane,
> 
> C'est une info exclusive ou une extrapolation.
> Car ça fait un moment que j'étudie ce type de solution et que je suis la 
> techno et les différentes huiles minérales qui existes.
> Et je trouve cela plutôt prometteur et intelligent.
> Et les constructeurs de serveurs intègrent maintenant pour la plupart une 
> offre de serveurs pour l'immersion.
> Du moins j'ai pu voir SuperMicro, HPE, Fujitsu, Dell pas Lenovo sauf si c'est 
> récent.
> Et si la panne venait de là, il y a de quoi apprendre car c'est une techno 
> quand même assez "récente"
> A part OVH qui utilise le refroidissent liquide depuis des années mais plus 
> version PC Gamer pas par immersion totale
> 
> Xavier
> 
> 
> -Message d'origine-
> De : 'Stephane Bortzmeyer' 
> Envoyé : vendredi 8 janvier 2021 11:02
> À : x.r...@sipleo.com
> Cc : 'Stephane Bortzmeyer' ; frnog-m...@frnog.org
> Objet : Re: [MISC] Panne au CA
> 
> On Fri, Jan 08, 2021 at 10:47:15AM +0100,  x.r...@sipleo.com 
>  wrote  a message of 49 lines which said:
> 
>> Oui vu aussi juste après. Pour nous c'est surtout de la curiosité technique.
> 
> Voici de quoi la satisfaire :
> 
> https://www.lemagit.fr/actualites/252491819/Le-Credit-Agricole-refroidira-ses-serveurs-dans-des-bains-dhuile
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] ARCEP : c'est plié, remballez.

[Jérôme Nicolle]

Michel,

Le 09/01/2021 à 15:32, Michel L (du Lot et de l'Essonne) a écrit :

J'y rajouterais: travailler sur les modalités de nomination du collège!


Ce n'est pas au régulateur de se prononcer là dessus, mais au parlement.

Pour ça, il faudrait une très attendue réforme du CPCE, qui a déjà 25 
ans et ne correspond plus au marché moderne.


On peut espérer que l'expérience de la présidente en terme de 
législation facilite la démarche, mais c'est normalement au gouvernement 
de l'initier, pas à l'AAI.


@+

--
Jérôme Nicolle
+33 6 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] ARCEP : c'est plié, remballez.

[Michel L (du Lot et de l'Essonne)]

On est bien d'accord sur la façon de démarrer le mandat...

J'y rajouterais: travailler sur les modalités de nomination du collège!
Clt

Le sam. 9 janv. 2021 à 15:11, Jérôme Nicolle  a écrit :

> Stéphane,
>
> Le 06/01/2021 à 16:27, Stéphane Rivière a écrit :
> > En fait... Pourquoi il l'a dans le pif ?
>
> Je ne crois pas qu'il l'aie dans le pif, au contraire, il y a un certain
> respect mutuel entre les deux.
>
> Ce que Xavier exprime est d'un autre ordre : du rôle du régulateur.
>
> On s'est tous focalisés sur le régulateur, le "gendarme", qui pourtant
> n'a normalement qu'un rôle d'arbitre, de juge, pas d'orientation politique.
>
> Le problème qu'on a aujourd'hui est que faute de politique
> gouvernementale saine et de vision pour le numérique, tout ce qu'on peu
> espérer c'est que le régulateur limite la casse, mais sans trop faire
> bouger les lignes du point de vue des opérateurs bénéficiant le plus de
> la situation actuelle.
>
> Le fait de nommer une fine lame du secteur à la tête de la régulation
> indique un possible renforcement du rôle politique du régulateur et donc
> des changements de cadre.
>
> Ou pas, on verra…
>
> À surveiller maintenant :
>
> - Confirmation de la nomination par les votes des trois commissions
> parlementaires - à priori acquises
>
> - Remplacement de la directrice générale de l'ARCEP
>
> - Création - ou pas - d'un vrai comité d'expertise technique au sein du
> régulateur
>
> @+
>
> --
> Jérôme Nicolle
> +33 6 19 31 27 14
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] ARCEP : c'est plié, remballez.

[Jérôme Nicolle]

Stéphane,

Le 06/01/2021 à 16:27, Stéphane Rivière a écrit :

En fait... Pourquoi il l'a dans le pif ?


Je ne crois pas qu'il l'aie dans le pif, au contraire, il y a un certain 
respect mutuel entre les deux.


Ce que Xavier exprime est d'un autre ordre : du rôle du régulateur.

On s'est tous focalisés sur le régulateur, le "gendarme", qui pourtant 
n'a normalement qu'un rôle d'arbitre, de juge, pas d'orientation politique.


Le problème qu'on a aujourd'hui est que faute de politique 
gouvernementale saine et de vision pour le numérique, tout ce qu'on peu 
espérer c'est que le régulateur limite la casse, mais sans trop faire 
bouger les lignes du point de vue des opérateurs bénéficiant le plus de 
la situation actuelle.


Le fait de nommer une fine lame du secteur à la tête de la régulation 
indique un possible renforcement du rôle politique du régulateur et donc 
des changements de cadre.


Ou pas, on verra…

À surveiller maintenant :

- Confirmation de la nomination par les votes des trois commissions 
parlementaires - à priori acquises


- Remplacement de la directrice générale de l'ARCEP

- Création - ou pas - d'un vrai comité d'expertise technique au sein du 
régulateur


@+

--
Jérôme Nicolle
+33 6 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Colonnes Montantes Électriques

[GROS Jérôme]

Une des motivations de prendre aux syndics ou proprio les colonnes montantes 
c'est de détruire une arme qu'on les citoyen·ne·s contre l'installation forcée 
des Linky.
Il y a dans cet article de Mediapart un passage sur la loi ELAN.
https://framadrop.org/lufi/r/qcGo7pF3CC#nw/esLelV3S+5imWBTypDB/HEJUDPaO8AM8t7v/AHOM=

On Tue, Jan 05, 2021 at 07:19:57PM +0100, Damien Duransseau wrote:

Bonjour,

De ce que je lisais (Compteurs Linky: les inflammables omissions d’Enedis -
Page 1 | Mediapart
)
une des principales motivations de cette loi et de permettre l'installation
des Linky sur "quelques" colonnes particulièrement anciennes et dégradées
sans entrainer de risques d'incendie.
J'espère que tourné de cette manière je ne lance pas de polémique :)
En gros le fait qu'avec Linky l'augmentation de la puissance souscrite se
fait à distance et a priori sans contrôle. Si trop d'abonnés d'une même
colonne souscrivent à une puissance supérieure à l'ancienne, il y a risque
que la puissance demandée soit supérieur à ce qu'elle est capable de
supporter initialement et donc entraine un risque d'incendie.

Je suis perplexe sur le sujet car je ne comprends pas bien en quoi "à
distance" et "automatiquement" empêche un contrôle préalable avant de
valider la souscription. En revanche je trouve ça plus pertinent d'initier
des travaux plutôt que juste proposer de bloquer le compteur et
l'abonnement à la puissance minimum.

Damien


Le mar. 29 déc. 2020 à 15:13, François Lacombe 
a écrit :


Toute infrastructure à une loi d'obsolescence donnée.
Les colonnes montantes avec des câbles papier vieillissent et le papier
peut se dégrader, un court circuit se produire et l'incendie arriver.
Idem pour les câbles dans les fourreaux, le sol bouge, les câbles se
tendent, etc...

Dans les deux cas cités, les prises de recharges EV et l'installation de
nouveaux câbles telecom, cette partie de la loi ELAN ne change rien.

Les prises pour EV font toujours partie d'une installation privée (du point
de vue du réseau public de distribution), derrière un compteur et ne feront
jamais partie d'une colonne montante.
Qu'il faille parfois descendre du logement situé 15 étages au dessus pour
installer une prise individuelle reste dans le périmètre de l'installation
privée et la collectivité comme Enedis n'exploiteront pas ces parties.
Si les prises EV sont installées par la co-propriété, c'est la co-propriété
qui assurera l'exploitation mais toujours pas le GRD.

Le syndic reste mandataire du conseil syndical de la co-propriété pour
l'installation de toute nouvelle infrastructure dans des ouvrages de la
co-propriété.
Le rattachement au RPD des colonnes montantes électriques n'empêchera pas
le GRD de demander l'accord du syndic pour toute modification, en
particulier pour l'utilisation d'ouvrages privés.
Idem pour les cables telecoms.
A vrai dire et compte tenu de l'organisation actuelle, il faudrait être fou
pour autoriser de fait des tiers à faire des travaux dans des parties
privatives sans autorisation préalable.
C'est fastidieux et ce n'est pas en le supprimant qu'on obtiendra un
meilleur résultat.

D'autres passages de la loi ELAN peuvent aménager les dispositions pour les
accords syndics FTTH, à voir.

François



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Petit update - nomination présidence ARCEP

[Ge DUPIN]

Oui, et elle adorerait passer de 4 à 3 opérateurs mobiles !
Ge

> Le 9 janv. 2021 à 12:21, GROS Jérôme  a écrit :
> 
> https://www.mediapart.fr/journal/france/070121/quand-emmanuel-macron-pietine-les-autorites-administratives-independantes
> 
> Laure de La Raudière est pressentie pour prendre la tête de l’autorité de 
> régulation des télécommunications. Problème : elle a travaillé chez Orange et 
> elle est une proche du pouvoir.
> 
> Le pdf:
> https://framadrop.org/lufi/r/7hwC9WefQ4#r34Oze+fuQYE1wSeLwqd77EDs9D6jEa0r8gqn3Rp508=
> -- 
> @++
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Petit update - nomination présidence ARCEP

[GROS Jérôme]

https://www.mediapart.fr/journal/france/070121/quand-emmanuel-macron-pietine-les-autorites-administratives-independantes

Laure de La Raudière est pressentie pour prendre la tête de l’autorité de 
régulation des télécommunications. Problème : elle a travaillé chez Orange et 
elle est une proche du pouvoir.

Le pdf:
https://framadrop.org/lufi/r/7hwC9WefQ4#r34Oze+fuQYE1wSeLwqd77EDs9D6jEa0r8gqn3Rp508=
--
@++


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[David Ponzone]

> - C'était un peu le sens de ma contribution initiale : être contraint de 
> filtrer les connexions vers des IP malveillantes depuis les postes de 
> travail, n'est-ce pas un aveu d'impuissance sur la façon dont nous concevons 
> et gérons nos réseaux ?
> 

Non c’est l’aveu qu'on est en 2021, que de plus en plus de salariés ont un 
laptop pro qui se baladent chez eux ou autre.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Arnaud Launay]

Le Fri, Jan 08, 2021 at 08:34:44PM +, Michel Py a écrit:
> Au niveau contrôle de la pub : adblockplus.org (indispensable).

ublock origin + privacy badger... adblock, ils laissent passer les pubs des 
marketeux
qui acceptent de les payer...

https://adblockplus.org/fr/about#acceptableads


+ facebook container pour le principe (mais c'est moins "utile")

Arnaud.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Règles de Nommage des zones DNS privées

[Cyrille Verger]

Bonjour a tous,

Après un grand nombre de passages dans des sociétés ont peut s'apercevoir
qu'il n'y a pas de solution unique et miracle, certains vont travailler par
découpage metier/entité, d'autres par zonage géographique, le suivant par
technologies bref toutes le solutions ont leurs avantage et inconvénients.
Dans un premier temps il faut réfléchir sur comment tu va travailler et
surtout comment tu peux te rendre la vie la plus simple possible !
Car moins on en fait et mieux cela fonctionne !
Ensuite l'histoire des rachat est souvent un faux pb car dans beaucoup de
cas tu devra te conformiser a la politique du rachetant et peut être tout
migrer donc casser ce que tu aura fait.

Donc regarde ta sociétés comment elle est organisée, comment tu va
travailler avec sont organisations et en découlera ton
découpage/organisations de ton/tes domaine.

Cdt

Cyrille


Envoyé depuis mon appareil Galaxy

Le jeu. 7 janv. 2021 à 15:27, Alain Bieuzent  a
écrit :

> Bonjour la liste,
>
>
>
> Existe t’il quelque part des règles ou recommandations de nommages des
> zones et sous zones DNS.
>
>
>
> Par ex , quels est le plus propre entre :
> printer.private.fr.mondomaine.tld
> ou
> private.printer.fr.mondomaine.tld
> ou
> fr.printer.private.mondomaine.tld
> etc …
>
>
>
> Merci
>
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Pourquoi les entreprises désactivent IPv6

[Toussaint OTTAVI]

Le 09/01/2021 à 08:56, OBConseil via frnog a écrit :
Dans une autre vie j'étais développeur en S/T dans les locaux d'un 
grand avionneur basé à toulouse. Je travaillais sur le debug de bancs 
de test sous linux avec des patchs temps-réel. 


Dans ton cas, une solution peut être une ligne ADSL indépendante dans un 
coin, avec un réseau "labo" à part, physiquement distinct du réseau de 
prod. C'est un schéma que je vois souvent dans des corp ou des 
administrations sensibles. Et çà évite que les mecs soient tentés de 
bidouiller des trucs tous seuls...


Sur mes réseaux, là ou j'ai des utilisateurs "techniques" qui ont ce 
type de besoin, je crée un VLAN "PUBLIC", avec sortie Internet, firewall 
LAN -> PUBLIC autorisé, mais PUBLIC -> LAN interdit. Je laisse totale 
liberté de bricolage aux gars sur ce réseau "bac à sable".


--
L'expérience prouve que, si on met une porte blindée trop compliquée à 
ouvrir, les utilisateurs laissent la fenêtre ouverte. C'est un équilibre 
pas facile à trouver...



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Toussaint OTTAVI]

Le 08/01/2021 à 21:34, Michel Py a écrit :

Les ASA/Firepower ils vont possiblement dégager à la fin de l'année pour une 
autre crèmerie. Fortinet, Checkpoint, Barracuda et Sophos on a déjà donné donc 
c'est même pas dans la course.


Tu as de la chance de pouvoir changer aussi facilement de crèmerie :-) 
Moi, cela ne me traverse même pas l'esprit tant le travail de migration 
serait colossal (ce sont les mêmes appareils qui font tout : firewall, 
UTM, VPN, interco, failover, wifi, etc...)


Donc, l'idée est de conserver ce matériel, qui dans l'ensemble me 
convient, et de le doubler en frontal par d'autres outils plus ciblés 
sur le filtrage du caca en provenance d'Internet.



Niveau poste de travail j'ai un mix entre Windows defender, Symantec, Cisco, et 
Eset (beurk). Malwarebytes j'aimais bien dans le temps; perso j'en ai 2 à vie.


Même remarque : comment tu fais pour gérer autant d'outils différents ? 
Moi, je voudrais arriver à normaliser sur un seul. Même si ce sera 
obligatoirement un compromis. Le critère essentiel est la gestion 
multi-tier (une seule console d'admin pour gérer tous mes clients, au 
lieu d'une console d'admin par client).



Au niveau IPv4 pur j'utilise :
https://team-cymru.com/community-services/bogon-reference/bogon-reference-bgp/
https://www.spamhaus.org/bgpf/
Et bien sur le mien : http://arneill-py.sacramento.ca.us/cbbc/ que plusieurs 
ici utilisent et même y contribuent, merci.


Oui, çà fait un moment que j'avais noté çà dans ma todo-list ;-) Sur un 
projet associatif, j'utilise les listes de blocage Firehol. C'est pas 
mal. Mais le script d'agrégation est un peu étrange. L'idée, ce serait 
de ré-écrire le mien, qui puise dans les sources de mon choix. Cà donne 
des blocklists gargantuesques. Et je tombe sur un autre problème qui est 
qu'elles sont trop grosses pour les petits firewalls, sur les petits 
sites...



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6

[Toussaint OTTAVI]

Le 08/01/2021 à 20:54, Adrien Rivas a écrit :

Soit tu le fais au niveau périphérique, et là tu choisis ton UTM/NGFW
favori pour ça - Arkoon, Netasq, Palo Alto, Fortinet, Stormshield,
Untangle, Meraki, Pfsense - ,


Effectivement. Mais je n'ai juste pas confiance en un seul fournisseur 
:-) Et j'ai eu plusieurs fois l'occasion de constater que j'avais raison...



soit tu peux le faire au niveau poste de
travail et là tu as le choix entre la solution embarquée dans ton "Internet
Services" - Kaspersky, Trend, Forticlient (même base que pour les
Fortigate, et, pour l'instant, encore gratuit en 6.0)


Deux choses à propos du filtrage sur les postes :
- C'est extrêmement chronophage et source de problèmes. Si on gère un 
seul gros réseau, le outils de management de l'éditeur peuvent faire le 
job. Mais si on gère plusieurs dizaines de petits réseaux indépendants, 
je n'ai pas trouvé l'outil qui convient...
- C'était un peu le sens de ma contribution initiale : être contraint de 
filtrer les connexions vers des IP malveillantes depuis les postes de 
travail, n'est-ce pas un aveu d'impuissance sur la façon dont nous 
concevons et gérons nos réseaux ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/