Re: [FRnOG] [TECH] Problème d'accès à une partie d'un site web

2022-06-21 Par sujet Alain Bitschiné via frnog 
Bonjour,

Qu’est-ce qui te fait penser à un problème de MTU ? Tu as de la fragmentation 
côté client ?
Côté serveur je ne vois pas de réduction de MTU. De chez moi le TCP MSS est à 
1460 sur les paquets SYN dans les deux sens, et je ne vois pas de perte sur les 
gros paquets.

Une piste si tu as de la fragmentation côté client... il y a une chose à savoir 
sur les F5 BigIP : ils n’aiment pas trop les paquets doublement fragmentés. Ils 
n’acceptent pas les fragments trop petits (je n’ai plus la limite en tête) si 
ce n’est pas le fragment final.
J’ai déjà vu ça dans le cas d’un client qui envoyait des paquets fragmentés, 
qui étaient ensuite à nouveau fragmentés à cause d’un tunnel GRE pour une 
protection DDoS côté serveur. Le F5 bloquait le petit fragment intermédiaire… 
et donc la session TCP. Ici ça a été résolu en ajustant le TCP MSS au niveau 
des routeurs d’accès Internet côté serveur.
Je doute que le F5 BigIP casse le PMTU Discovery. En revanche, un firewall sur 
le chemin pourrait bloquer les paquets ICMP nécessaires...

Alain Bitschiné

> Le 21 juin 2022 à 20:36, David Ponzone  a écrit :
> 
> J’ai un problème assez étrange, et je cherche des éléments de réponse.
> 
> Un client peut accéder à:
> 
> https://www.bca.fr
> Mais pas à:
> https://www.bca.fr/reparateur-web/login.action 
> 
> 
> Alors que la seconde URL est parfaitement joignable pour moi (donc même AS 
> que mon client) ou depuis Bouygues FTTH ou depuis Orange Mobile.
> Plus délicat: connecté en VPN SSL pour accéder au site depuis la même IP 
> publique que mon client: ça marche.
> 
> Le client ne peut pas non plus accéder à la seconde URL depuis un site chez 
> SFR.
> 
> Le site www.bca.fr  est chez OBS, et semble être derrière 
> un BigIP (si j’en crois la réponse du serveur HTTP).
> 
> J’ai donc tendance à penser que c’est le BigIP qui va pas bien, ou alors une 
> merdouille de MTU (d’ici à ce que le BigIP casse le PMTU Discovery, il n’y a 
> qu’un pas).
> 
> Je cherche donc d’autres personnes qui auraient une impossibilité d’accès à 
> la seconde URL.
> Ca me permettrait de confirmer que ça vient pas de moi et SFR, et d’entamer 
> les démarches pour établir un contact avec les gens qui gèrent le BigIP en 
> question...
> 
> Merci
> 
> David Ponzone
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Blacklisting récurrent de la part de Google ?

2022-06-21 Par sujet Alain Bitschiné via frnog 
Bonjour,

Est-ce vraiment un scan de Google, ou est-ce que ça pourrait être un assaillant 
qui usurpe une IP de Goggle ?
Dans le second cas, vos infras envoyant une réponse vers Google qui n’a rien 
demandé, Google prendrait des contre-mesures pour se protéger…

Alain Bitschiné

> Le 21 juin 2022 à 15:32, Guillaume Denoix  a 
> écrit :
> 
> Bonjour,
> 
> J'envoi une bouteille à la mer au cas où vous auriez une idée, ou si
> un gentil admin Google traine par ici.
> 
> Depuis plusieurs mois nous avons un phénomène étrange avec Google.com
> et les services associés.
> De manière totalement aléatoire, et pour une durée de 1-2h, nous ne
> pouvons plus du tout accéder à google.com.
> Les utilisateurs crient dans tous les étages que l'Internet est cassé
> (sic), le market est furieux car les accès aux sites
> clients/partenaires ne passent plus à cause des captcha de login
> ko bref.
> 
> Bien évidemment, il ne s'agit pas d'un problème réseau ou d'infra chez
> nous, d'ailleurs google.fr fonctionne !
> 
> Dans certains cas (mais pas tous), nos sondes de sécurité détectent un
> scan assez vulgaire de la part d'@ IP de chez Google, et lorsque le
> scan se termine... l'internet revient comme par magie.
> 
> 0 réponse sur les emails envoyés à l'aveugle chez Google.
> 
> Donc si vous avez des idées une pinte de Guiness pour qui trouve :)
> 
> Guillaume Denoix.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] CCR2116-12G-4S+

2021-12-09 Par sujet Alain Bitschiné via frnog 




Bonjour,

La faille est connue et corrigée depuis bien longtemps par l'éditeur, 
mais il reste toujours des centaines de milliers de routeur vulnérables.
J'ai l'impression que ça ressort à chaque fois qu'un nouveau botnet 
exploitant cette faille est découvert : Meris, Dvinis, Moobot.
C'est un bon coup de pub pour le fabricant de solutions de sécurité qui 
annonce la découverte (Netscout, Fortinet, ...)
Ça risque bien de sortir encore, tant qu'il y aura des nouveaux bots 
avec de grosses capacités de nuisance qui se développeront en exploitant 
cette vulnérabilité.
Sur le fond, le conseil de mettre à jour, sans oublier de bien « 
nettoyer » son krotik et changer ses mots de passe, reste d'actualité… 
en Asie et au Brésil d'après l'article.


Alain

Le 09/12/2021 20:36, Julien Escario a écrit :


Le 09/12/2021 à 17:19, Arnaud FEIX a écrit :


Pour rebondir sur les Mikrotik à vos mise à jour.

https://thehackernews.com/2021/12/over-30-mikrotik-devices-found.html


Mais c'est pas encore et toujours le même truc qui ressort tous les 6 
mois depuis 2019 ? Oui, Mikrotik a une vulnérabilité dans les versions 
d'il y a trois ans, peut être pas la peine de tourner en boucle là 
dessus, non ?


Au début, j'ai cru que c'était juste des journaleux qui aiment bien 
faire peur mais je finis par me demander si ce n'est pas une vraie 
campagne organisée.


Non pas que krotik soit au dessus de tout soupçon en matière de soft 
(loin de là) mais des failles, y'en a partout tous les jours hein.


Julien

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Outlook / MS smtp server sans reverse

2021-10-22 Par sujet Alain Bitschiné via frnog 




Bonjour,

Beaucoup de spams sont envoyés de machines corrompues, perso ou serveur. 
Ce contrôle permettait (c'est peut-être moins le cas maintenant) 
d'éliminer beaucoup de ces machines.


La configuration correcte de la résolution DNS inverse pour un serveur 
de messagerie est essentielle. Je dirais même que c'est la base. C'est 
un critère suffisant de rejet pour beaucoup de messageries... peut-être 
parce que c'est un contrôle facile à mettre en place au niveau d'un MTA 
sans avoir à installer un vrai antispam.


Je n'ai pas re-testé récemment, mais Google/Gmail, entre autres, 
rejettait les mails de serveurs sans résolution inverse valide. Chez 
d'autres, même si ce n'est pas bloqué directement par le MTA, c'est pris 
en compte dans le scoring du mail réalisé par les antispam.


Il y a aussi des RBL qui utilisent ce critère... Même Microsoft demande 
que la résolution inverse soit correcte pour pouvoir être retiré de leur 
black list.


Le nom de domaine du serveur qui envoie le mail n'a pas besoin de 
correspondre à celui de l'émetteur du mail. En revanche, il y a d'autres 
outils (SPF, DKIM, DMARC) qui permettent de vérifier qu'un serveur est 
habilité.


Alain

Le 22/10/2021 21:50, Damien DUJARDIN a écrit :


Bonsoir à tous,

Connaissez-vous l'apport de ce contrôle en terme de sécurité ?
Vu qu'on ne contrôle pas que le reverse corresponde au domaine de 
l'email

emeteur, j'ai du mal à voir ce qu'on essaye d'empêcher ?

Damien

Le ven. 22 oct. 2021 à 19:15, David Ponzone  a
écrit :

Je suis une grosse feignasse, car j'utilise PowerDNS mais j'avais la
flemme de chercher.
Donc Paul, merci!

Redoutable leur truc pour répondre une IP seulement si le service est 
up….


Le 22 oct. 2021 à 18:54, Paul Caranton  a 
écrit :
Pour IPv6 (et IPv4), il est possible de générer des reverses à la volée 
avec PowerDNS et les enregistrements LUA :

https://doc.powerdns.com/authoritative/lua-records/
Paul

Le 22/10/2021 à 18:46, David Ponzone a écrit : Et j'ai tendance à 
penser qu'avec IPv6, ça va pas s'arranger.

Ou alors va falloir utiliser du DNS avec génération à la volée du

 reverse quand il n'y a aucun reverse spécifique configuré.


Ca existe peut-être déjà, j'ai pas regardé….

Le 22 oct. 2021 à 18:33, me  a écrit :

Sinon des ips sans reverse ça arrive de plus en plus en ce moment,

 j'ai de plus en plus ça ici


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] OVH mort ?

2021-10-13 Par sujet Alain Bitschiné via frnog 
Pas un incendie à Roubaix à priori : En IPv6, mes serveurs dédiés sont 
restés joignables, mais pas en IPv4


Le 13/10/2021 09:32, Mickael MONSIEUR a écrit :


On a vérifié les pompiers de Roubaix ?

Le mer. 13 oct. 2021 à 09:28, Oliver varenne  a 
écrit :



Tout ce qui est chez OVH semble mort !
Quelqu'un au courant de quoi que ce soit ?

Cordialement,

[cid:image001.png@01D7C014.42678B40]

Olivier Varenne
Co-gérant, Commercial & Développeur
T +33 (0)4 27 04 40 00 | ipconnect.fr

Suivez-nous !
[picto-twitter][picto-youtube][picto-linkedin]
[cid:image005.jpg@01D7C014.42678B40]

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] NTP : Retour en 2002 le 24 octobre ?

2021-09-28 Par sujet Alain Bitschiné via frnog 

Hello

On a en banque des serveurs NTP strate 1 basés notamment sur GPS, pour 
de la monétique, de l'horodatage de transaction, de la signature 
électronique, etc.


Et à titre perso, un récepteur GPS sur raspberry pour participer à la 
communauté pool.ntp.org. Il me semble que la plupart des distrib Linux 
vont par défaut chercher l'heure sur ce pool (ou un sous-ensemble). Mais 
les serveurs défaillants (indispo ou pas à l'heure) sont automatiquement 
sortis du pool.


Alain

Le 28/09/2021 15:06, Xavier Beaudouin via frnog a écrit :


Hello...


Trains ? Process industriels ?


Trading haute fréquence

:)
Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DDoS sur ZAYO ce matin ?

2021-06-03 Par sujet Alain Bitschiné via frnog 

Bonjour,

Non, je n'ai pas constaté de problème sur nos accès Zayo ce matin.

Bonne soirée,

Alain

Le 03/06/2021 17:39, Sébastien 65 a écrit :


Bonjour,

Avez-vous constaté ce matin (de 8h30 à 9h20) un problème sur le 
transitaire ZAYO pour ceux qui l'utilise ?
J'ai cru comprendre à une attaque DDoS, je n'ai pas plus d'info ni 
communication de la part de notre transitaire utilisant ZAYO...


Bonne soirée 

Sébastien

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/