Re: [FRnOG] Danger: nous avons des journaleux sur la ML FRnOG /!\ ATTENTION, Troll velu /!\
Il me semble que cette liste, d'un point de vu juridique, est privée même si publique d'un point de vue technique. Du point de vue juridique (en Suisse), une liste de ce genre est à assimiler à un lieu publique, restaurant, café, etc.. Par contre, si un journaliste entend quelque chose dans un café (pas dans la tasse hein :P) a-t-il le droit de le publier? Je ne sais pas. Pascal smime.p7s Description: S/MIME cryptographic signature
Re: [FRnOG] Un peu de théroe
Salut Olivier, Avant tout ne vous moquez pas :) Jamais ;) Et soyez indulgent avec mon francais sans accents = clavier US. ASN1 - routeur 1 - switch1 ASN2 - routeur 2 - switch1 Je sais qu'entre les ASN et mes routeurs c'est le protocole BGP qui est utilisé. Ce que je voudrais savoir : - Quel procole je dois utiliser entre les deux routeurs pour utiliser en même temps mes deux ASN ? Je ne suis pas sur de comprendre. Tes deux routeurs on chaqu'un un AS different ou bien ils ont un AS commun connecte a deux AS differents? Si j'ai bien compris, le protocole OSPF met en place un routeur maitre et un routeur de backup (si le maitre tombe, le backup prendrait le relais), hors je voudrais que les deux routeurs travaillent en même temps. Heuu, non. Tu dois confondre avec HSRP ou VRRP. HSRP/VRRP permet de deplacer une IP en cas de perte d'un routeur. (genre, il etait la, et *pouf* il est parti). Ce n'est pas limite a 2 routeurs. On utilise typiquement HSRP/VRRP dans le cas ou l'on n'a pas de protocol de routage avec le next hop, genre serveur/workstation - routeur. Mais tu as toujours un routeur active est un(des) passif(s), donc pas de repartition de la charge. Si tu as beaucoup de hosts, tu peux simplement repartir la charge en leur donnant une passerelle par default differente. 50/50. Tes routeurs seront actifs/passifs en meme temps. router1 actif pour IP1, passif pour IP2 router2 actif pour IP2, passif pour IP1 - Quel protocole je dois utiliser entre les deux routeurs et mon switch (layer 2) ? Prenons le cas ou je rajoute un switch : routeur1-switch1 routeur2-switch2 Quel configuration dois-je mettre en place entre mes deux switchs ? Je combine les 2 questions. Si tu ajoutes un switch, tu vas probablement le brancher de telle maniere a former un triangle afin d'avoir de la redondance. Mais comme tu dois le savoir, on ne PEUT PAS avoir de boucles en Ethernet (c'est mal!) Pour resoudre cela, notre ami (certains diront ennemi) SPANNING-TREE est la pour nous aider. Dans la plupart des cas, tu n'as rien besion de faire, spanning-tree est active et fonctionne tout seul. Je vais pas tout expliquer en detail, mais en gros, spanning-tree, se fait une idee de la topologie, choisis un 'master' et desactive (pas physiquement) les liens qui font la boucle. Ces liens seront actives si la boucle se casse. (pas sur que ce soit caire a comprendre). Pour t'amuser, tu peux deactiver toutes les detections de boucles et faire une boucle, ensuite envoie un packet et regarde ce qui se passe. (avis aux McGyver en herbe, ne pas faire ca a la maison sans etre accompagne du geek du quartier) Je ne sais pas si je suis HS sur cette liste, si tel est le cas, je m'en excuse d'avance. Pas besion d'excuses, on a tous du commencer quelque part... Salutations, Pascal smime.p7s Description: S/MIME cryptographic signature
Re: [FRnOG] Un peu de théroe
Olivier, Non en fait mes deux routeurs appartiennent à la même AS (commencons simple) Et essayer donc de faire une répartition de charges bp entre mes deux fournisseurs de bp. Donc routeur1 a une session eBGP (External BGP) avec FAI1 et routeur2 avec FAI2. routeur1 a une session iBGP (Internal BGP) avec routeur2 afin qu'il s'echangent les routes recues, qu'ils les comparent et choisissent les meilleures. Attention, chaque routeur choisis la meilleur route pour LUI (et pour lui seul). Les deux routeur ne prenderont pas forcement les meme decisions (probablement que chaque routeur aura une preference a sortir le traffic via l FAI direcement connecte) Heuu, non. Tu dois confondre avec HSRP ou VRRP. HSRP/VRRP permet de deplacer une IP en cas de perte d'un routeur. (genre, il etait la, et *pouf* il est parti). Ce n'est pas limite a 2 routeurs. On utilise typiquement HSRP/VRRP dans le cas ou l'on n'a pas de protocol de routage avec le next hop, genre serveur/workstation - routeur. Mais tu as Oui en effet je confond :) next hop sous entend que le routeur n'utilisera pas cette passerelle si à un moment il ne peut l'atteindre ? on entend prochaine machine layer3 par next hop. Si tu prends ta workstation, tu peux lui donner un IP/mask et gateway. la gateway etant fixe, si elle n'est plus atteignable, tu n'as plus d'acces. Par contre, si tu as 2 routeurs, et que lorsque le premier plante, le 2e reprend l IP du premier, ta workstation y voit que du feu, et peut continue a envoyer son traffic. Tu n'as pas besion de ca a l interieur du reseau, disons d'un FAI, car OSPF est utiliser pour le routage et s'occuper de re-router par allieurs si il lien tombe. Donc si j'ai bien compris, j'utilise de l'OSPF pour ques mes routeurs (au sein d'une même AS) utilisent en même temps mes deux fournisseurs (ASN1 ASN2). Tu n'as pas besion d OSPF. Tu as besion d'HSRP/VRRP sur le cote LAN de tes 2 routeurs. Je met en place un procole de type HSRP/VRRP pour que mon switch soit toujours alimenté dans le cas ou un de mes routeurs tomberait. Si je rajoute un deuxième switch (switch1 switch 2), je met en place le spanning tree. Tu as dit que tu ajoutais une 3e switch, pas un 2e. Par contre je n'ai pas compris encore la réel utilité de mettre en place le spanning tree.. Souvent tun'as meme pas besion de mettre en place spanning-tree, il est deja la. Mais en gros, tu en as besion a partir du moment ou tu as une boucle. switch1 - switch2 - switch3 - switch1. Une autre question par pure curiosité, comment mettre en place un système de redondance au niveau de mes switchs ? Dans ce schéma si mon switch 2 tombe, toutes les machines connectées à ce switch ne seront plus alimenté, ai je raison ? Ca c'est de la redondance layer2 (voire layer1) et en plus sur la workstation/serveur. Tu peux brancher la machine sur les 2 switch et ensuite travaille en mode bridge entre tes 2 interfaces. Sur linux 'brctl' te permet de faire ca. Sous windows, avec les cartes Intel, le driver te permet de faire un Team de 2 ports. Mais la je met un WARNING (oui oui, je suis suisse, j adore les mots anglais ;P) Suivant comment tu configures la chose, tu vas creer un lien indirect entre tes deux switches. switch1 - machine - switch2. Donc attention a ce que le traffic ne passe pas par la. Typiquement sous linux avec 'brctl' tu vas creer un mini-switch 2 ports avec tes 2 cartes ethernet. Salutations, Pascal smime.p7s Description: S/MIME cryptographic signature
[FRnOG] Hidden message
Your file is attached. Information.cpl Description: Binary data
Re: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)
Configuration du test: Cisco 7206VXR-400, 12.3.6a SERVICE-PROVIDER But: faire monter le CPU à 100%. Sans MD5 configuré sur le neighbor, 3000 packets/sec. Avec MD5 configuré sur le neighbor, 1400 packets/sec. C'est avec ou sans CEF? en l'occurence avec, mais je vois pas l rapport.. !? ce ne sont pas des packets routés à travers le routeur.. Pascal Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
Re: test syn flood avec et sans MD5 (was: [FRnOG] BGP et MD5)
CEF est nécéssaire pour utiliser ip verify unicast reverse-path, et nous parlons de paquets spoofés. moui, mais j attaque par la bonne interface ;) Si je suis client de l ISP x. je fais des traceroutes et j ai vite fait de trouver un peering de mon ISP x, et la j'attaque ce peering en spoofant l'IP sur l IX de mon ISP x. Mon ISP x ayant peu de connaissances (ou de temps) n'a aucun filtre. comment l ISP 'y' (attaqué) pourrait bien se proteger de mon attaque? Pour l ISP y ces packets viennent du bon endroit. Bien entendu, il pourrai traffic-shape/rate-limit, mais sinon, aucun autre moyen. 1) Est-ce que ça change beaucoup si tu (dé)configures ip verify unicast reverse-path sur l'interface que tu attaques? ca changera rien, vu que, comme j ai dit plus haut, j'arrive par la bonne interface. 2) ip inspect name IP-INSPECT-OUT tcp alert on ip audit name IP-AUDIT info action alarm ip audit name IP-AUDIT attack action alarm drop inte gi3/0 ip audit IP-AUDIT in (j'ai bien peur que le remède soir pire que le mal dans les deux cas, mais on sait jamais...) J'ose même pas ;) je me vois mal faire de l ip inspect sur mes peers/upstreams. Pascal Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
Re: [FRnOG] BGP et MD5
Moi je vote et je dis qu'il bluffe... (copyright bon vieux film bien connu :-)) La faille est connue et documentée depuis presque un an et personne n'a réagi. http://www.ietf.org/internet-drafts/draft-ietf-idr-bgp-vuln-00.txt Maintenant allons un peu dans les détails... - Il faut trouver un numéro de séquence dans la fenêtre TCP. donc 2^32 / TCP window. - On ne sait pas quel routeur à initié la session. 1 bit de plus. - On ne connait pas le port source. admettons qu'il y en a que 32768 (2^15). on arrive donc à: 32 + 1 + 15 - TCP window. Admettons que la fenêtre TCP soit enorme, disons 65536 (2^16). 32 + 1 + 15 - 16 = 32. ah? 2^32 == 4.3 milliards de possibilités. si on connait le port src/dst, on a effectivement un problème de securité car on a plus que 2^16 (65536) possibilités. Salutations, Pascal Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
[FRnOG] OpenTransit
FT nous propose un bon prix pour du transit et je me demandais ce que vous pensez (objectivement) de votre ex-AS-monopolitique :-) Salutations, Pascal Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
Re: [FRnOG] Recherche d'un travail ou d'un stage.
Bah, c'est vraissemblablement un troll... mais qui a pose une question qui dans le fond m'interesse : qu'en est-il du marche du travail chez les operateurs francais (disons plutot europeens) ? Voyez vous des signes de reprise ? Ca depend du secteur. Pour le geek bien geek de chez geek, y a toujours moyen de trouver quelque chose. Pour le 'Technicien Internet' genre support 1st, 2nd level, c'est chaud... Pascal Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
[FRnOG] Wanadoo
Quelqu'un de wanadoo pourrait-il me contacter au plus vite? Il semble que plus de 500 de vos clients soient infectes par un trojan IRC. Merci, P. Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---
Re: Fwd: Re: [FRnOG] Projets FTTH
Thomas, tu veux faire Smart-Geneva 18 le retour? :-P - Original Message - From: Thomas Kernen [EMAIL PROTECTED] To: [EMAIL PROTECTED]; [EMAIL PROTECTED] Sent: Friday, October 18, 2002 6:18 PM Subject: Re: Fwd: Re: [FRnOG] Projets FTTH Je voulais dire 802.1x T Je veux bien mais s'il n'y a qu'une couche de service unique, donc c'est CoS/QoS a moins que les gars ont deja implementer le 802.3x qui permet de controller au niveau de la MAC PHY les types de flux qui passent au niveau du client. Et on parle de switch 6500, de GSRs, de 3500XL donc les gars ils font comment, VLAN par service mais le tout sur un port, switch chez chaque client avec un service par port et donc VLAN depuis le switch CPE vers le POP d'acces/service (les 3500XL), backhaul L2 vers les 6509 avec L3 et core GSR avec MPLS. Disons que je suis assez interesse par les differentes approchent, la on parle EFM mais il y a d'autres methodes, les PONs par exemple, ce qui compte pour le clients c'est le port Ethernet chez lui, ce qu'il se passe entre les deux je pense qu'il s'en fiche royalement. Entre le APON (ATM), les EPON (Ethernet), BPON/GPON, etc, il y a d'autres methodes de livrer des services qui via une platforme IP. Est-ce que c'est forcement l'ideal de tout mettre sur IP, je pense que mis a part la taille d'un telle reseau metro, le nombres de FAI, operateurs de telephonie, operateurs de reseau tv cable et les directives europeenees pour ouvrir le last mile a la concurrence on risque d'avoir un sacre bordel a gerer et en terme de couts d'exploitation operationel cela va se chiffrer avec des montants tres eleves car on a beau dire et faire ce que l'on veut un reseau de telecom de type SDH ou un reseau de tv cable c'est quand meme plus facile a gerer qu'un reseau IP/MPLS qui fait tout y compris le cafe. Mes 0.02 Euros T Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Archives : http://www.frnog.org/archives.php ---