Re: [FRnOG] [MISC] DNS : NS dans le NS

2017-09-13 Par sujet Samuel PIRON 

J'ai arrêté de chercher il y a un bon moment :)

C'est clair que c'est un problème DNS - pas de mon coté - pas mon 
problème !
(Mais c'est toujours difficile d'expliquer au client pourquoi TON 
serveur mail essaie d'envoyer au mauvais serveur mail distant)



Mais je me demandais quand même pourquoi mes serveurs Unbound/Bind vont 
chercher les MX de façons aléatoires sur les serveurs NS OVH ou de 
VALIDNAME. Il y a un algorithme spécifique ou alors mon résolveur pioche 
au hasard dans tous les quatre serveurs NS connus pour ce nom de domaine 
?



---
Samuel PIRON

Le 13/09/2017 10:37, David Ponzone a écrit :

Fais un zonemaster sur la zone et arrête de chercher :)

Le 13 sept. 2017 à 10:10, Samuel PIRON a écrit :


Bonjour à tous,

J'ai une petite question pour ma culture générale :

A l'origine de ma question : client X n'arrive pas à envoyer de mail à 
"@saumac.fr" : le diagnostic est rapide : -> c'est le DNS (deux 
réponses différentes suivantes les résolveurs DNS -> 
https://www.whatsmydns.net/#MX/saumac.fr)


D'après le Whois, les serveurs hébergeant la zone DNS sont chez OVH :

nserver: dns19.ovh.net
nserver: ns19.ovh.net

J'ai bien les bons serveurs mails qui ressortent lorsqu'on interroge 
directement les serveurs d'OVH :


dig @ns19.ovh.net +short MX saumac.fr
 50 mx02.cloud.vadesecure.com.
 10 mx01.cloud.vadesecure.com.

Mais il y aurait aussi des enregistrements NS qui se baladent dans la 
zone :


dig @ns19.ovh.net +short NS saumac.fr
 ns1.validname.com.
 ns2.validname.com.

Et ces serveurs DNS donnent le mauvais serveur mail :

dig @ns1.validname.com +short MX saumac.fr
 10 in.hes.trendmicro.eu.


Ma question c'est comment les serveurs DNS récursifs choisissent quel 
enregistrement MX répondre.


Sur mes deux serveurs Unbound en même version, j'ai deux résultats 
différents, je vois pas comment cela est possible...



Merci d'avance pour vos réponses !

---
Samuel PIRON


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] DNS : NS dans le NS

2017-09-13 Par sujet Samuel PIRON 

Bonjour à tous,

J'ai une petite question pour ma culture générale :

A l'origine de ma question : client X n'arrive pas à envoyer de mail à 
"@saumac.fr" : le diagnostic est rapide : -> c'est le DNS (deux réponses 
différentes suivantes les résolveurs DNS -> 
https://www.whatsmydns.net/#MX/saumac.fr)


D'après le Whois, les serveurs hébergeant la zone DNS sont chez OVH :

nserver: dns19.ovh.net
nserver: ns19.ovh.net

J'ai bien les bons serveurs mails qui ressortent lorsqu'on interroge 
directement les serveurs d'OVH :


dig @ns19.ovh.net +short MX saumac.fr
  50 mx02.cloud.vadesecure.com.
  10 mx01.cloud.vadesecure.com.

Mais il y aurait aussi des enregistrements NS qui se baladent dans la 
zone :


dig @ns19.ovh.net +short NS saumac.fr
  ns1.validname.com.
  ns2.validname.com.

Et ces serveurs DNS donnent le mauvais serveur mail :

dig @ns1.validname.com +short MX saumac.fr
  10 in.hes.trendmicro.eu.


Ma question c'est comment les serveurs DNS récursifs choisissent quel 
enregistrement MX répondre.


Sur mes deux serveurs Unbound en même version, j'ai deux résultats 
différents, je vois pas comment cela est possible...



Merci d'avance pour vos réponses !

---
Samuel PIRON


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] pppd et IPv6

2017-09-08 Par sujet Samuel PIRON 
Salut !

As-tu testé Accel-PPP pour ta collecte ? Beaucoup d'opérateurs de taille 
modeste se basent dessus pour faire de la collecte sur du libre.

Pour avoir testé, ça juste marche. L'IPv6 est supporté, mais j'ai pas testé...


Samuel

> Le 8 sept. 2017 à 18:24, Alarig Le Lay  a écrit :
> 
> Matin,
> 
> Je me suis récemment mis à la collecte xDSL (pour grifon).
> La plan est assez simple : deux intercos BGP pour annoncer les LNS et
> RADIUS au fournisseur, et un LNS/PPP sur le routeur de collecte.
> 
> Tout va bien jusqu’au PPP. En effet, dès que je m’en sers pour de la
> collecte, la communication pppd/RADIUS se passe mal, les attributs IPv6
> (RFC6911) sont rejetés car ils ne sont pas dans le dictionnaire utilisé
> par ppp, et si on les ajoute il crashe avec un code d’erreur 16.
> 
> Pour faire marcher tout ça, il a fallu patcher PPP pour ajouter leur
> support : https://marc.info/?l=linux-ppp=145226335014356=2
> 
> Cela me surprend un peu.
> Ma question est donc : suis-je le seul con à faire de la collecte sur du
> logiciel libre et à faire de l’IPv6 ? Du coup, personne n’a jamais
> rencontré ce bug avant. (c’est très probable)
> Ou alors, ai-je vraiment raté un truc évident et en fait je me suis
> compliqué la vie pour rien ? (c’est très probable aussi)
> 
> Bon week-end :)
> -- 
> alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Matcher simplement IP => AS

2017-03-10 Par sujet Samuel PIRON 

Bonjour,

En webservices, il y a https://iptoasn.com/ (par 
https://twitter.com/jedisct1) qui pourrais faire l'affaire.
Il fournit aussi les bases mises à jour régulièrement, en format texte 
et facilement parsable.


Enfin, il y a toujours MaxWind 
(http://dev.maxmind.com/geoip/legacy/geolite/) gratuit mais seulement 
mis à jour une fois par mois...



Samuel


Le 10/03/2017 20:26, Pierre Emeriaud a écrit :

Le 10 mars 2017 à 19:00, Raphael Mazelier  a écrit :



On 10/03/2017 18:51, Alarig Le Lay wrote:


Hello,

Quick and dirty :
regis ~ # birdc show route primary for 89.234.186.1 | grep AS | cut 
-d '['

-f 3 | cut -d ']' -f 1 | sed 's/[ie?]//'
AS204092



Pas mal :)
par contre ca tiendra pas 200 requêtes/seconde. Dans ce cas tu es 
obligé de

travailler sur un dump quelconque.


eeeh, pourtant :

$ wc -l liste_ip
 177 liste_ip

$ cat get_as.sh
#!/bin/sh
while read ip; do birdc show route primary for $ip | awk '/AS/
{gsub(/\[|\]|i|\?/, ""); print $10}' >> liste_as; done < liste_ip

$ time -h ./get_as.sh
0.22s real 0.14s user 0.20s sys

$ wc -l liste_as
 172 liste_as

(le coup du get_as.sh c'est juste pour contourner le "time while read"
que je n'ai pas réussi à faire fonctionner).

Donc bon, ça se tente :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Aide pour comprendre des deco ADSL

2017-03-09 Par sujet Samuel PIRON 

Bonjour,

Est-ce que les problèmes apparaissent vraiment à horaires fixes ?

Au pif, les horaires la nuit de 19H00 à 7H30, ça fait vaguement penser à 
un chauffe-eau. est-ce que cela pourrait être possible ?



Cordialement,

Samuel



Le 09/03/2017 08:51, Paul Rolland (ポール・ロラン) a écrit :

Bonjour,

Beaucoup de reponses, alors je vais essayer de fournir les elements un 
par

un, et repondre a tous :

On Thu, 9 Mar 2017 07:05:35 +
Guillaume DESNOUES  wrote:

Une autre piste : J'ai eu le même souci avec une ligne dans un 
immeuble
avec collier chauffant electrique. Aux heures de chauffe, c'était 
quasi

impossible d'accrocher l'ADSL.


Sauf que ici, c'est une maison indiv., et ca dure toute la nuit, sans 
aucun
rapport avec la configuration de l'install electrique et ce qui est 
branche

dessus.

On Wed, 8 Mar 2017 21:35:47 +0100
David Ponzone  wrote:

Vérifie si 7h-7h30 correspond à l'arrivée du premier salarié (ou 
équipe

de nettoyage). Si oui, hypothèse de l'alarme qui est souvent connectée
directement sur la tête en amont du filtre. J'en ai quelques unes des
lignes comme ça, et parfois faut juste oublier... C'est le fameux 5% 
dont

aucun opérateur GP ne veut.


Nope, ca n'est pas bon, il n'y a pas d'alarme qui serait 
active/inactive

sur les heures liees au probleme de deco.

On Wed, 8 Mar 2017 21:26:40 +0100
Emmanuel DECAEN  wrote:


Si c'est en appartement, il y a un truc à vérifier: l'ascenseur de
l'immeuble.
Avant l'apparition du mécanisme de correction d'erreur de la Freebox, 
à
chaque fois que l'ascenseur bougeait: plouf perturbation ou coupure 
sur

le flux TV (très pénible) !


Pas bon non plus, pas d'ascenseur. D'ailleurs, l'ascenseur provoquerait 
des

erreurs au moment ou il fonctionne, mais pas en continue de 19H00 a
7H00/7H30, non ?

On Wed, 8 Mar 2017 21:14:02 +0100
Pierre Emeriaud  wrote:


Ça m'est déjà arrivé sur une ligne téléphonique. Installation privée
en cable non torsadé. Trop sensible aux perturbations
electromagnétiques, et niveau de bruit la nuit trop important pour
garder une synchro up et stable. Etant en campagne sans éclairage
public, les perturbations étaient imputables au rayonnement cosmique
selon les techniciens confirmés qui s'étaient déplacés. Peut-être que
la cause était autre, mais le folklore et la tradition aimaient cette
légende, en tout cas une fois le cable de l'IP retiré dans les normes,
le problème a été réglé.


La, meme si j'aime bcp le folklore et la campagne, je laisserai les
korrigans et les elfes de cote et je parierai plus sur l'eclairage ;)
Le cable de l'IP est bien torsade, mais je pense qu'il devrait etre
possible un WE de deplacer le modem en tete d'installation pour eviter 
de

passer par l'IP, et voir si le phenomene persiste.

On Wed, 8 Mar 2017 21:09:42 +0100
Metalman  wrote:


Est-ce que la ligne telephonique est en bon etat ?


La partie exterieure, cote domaine public, est pas terrible... De 
l'aerien
qui pend tellement que tu peux presque attraper les cables si tu 
sautes, et
des debuts de corrosion deja signales par un tech lors d'une 
intervention.

Bref, rien qui fasse rever.

Depuis 3-4 ans j'avais des deconnections "temporaires" similaires, 
puis
depuis 2 ans j'avais des coupures repetees, de plus en plus longues, 
et

de plus en plus frequemment (plusieurs par heure)... En forcant un peu
Orange a envoye un technicien, celui-ci a change un petit relais dans 
la
borne qui gerait le quartier (pas mal d'insectes dedans), puis il a 
teste

l'installation interne... Et la... Catastrophe : la prise qui servait
d'echangeur entre l'interieur et l'exterieur de la maison etait
integralement moisie et un fil etait aux 3/4 coupe (si ce n'est coupe 
et

suffisament proche pour faire partiellement contact). J'avais oublie
l'existence de cette prise... Car  trop jeune pour me souvenir de la
tranchee creusee dans le jardin pour tirer le telephone.


J'ai pas mal reverifie l'install dans le domaine prive.
Et encore une fois, c'est vraiment le cote "heure de debut/heure de 
fin"
qui me perturbe le plus dans cette histoire. Si c'etait un probleme sur 
un

cable quasi-sectionne, ca serait toute la journee, non ?

On Wed, 8 Mar 2017 21:00:15 +0100
Stéphane Karges  wrote:


Quel opérateur ?
Degroupage total ou pas?


Free, en partiel.
Pourquoi ? Ca peut changer quoi selon toi ?

On Wed, 8 Mar 2017 22:10:55 +0100
Varicap  wrote:


Sur une sdsl j avais il y a quelques semaines exactement ce type de
problème . Lors de mes observations les premiers bagots était à 17h50
avec le couché du soleil à 18h05 et quelques jours plus tard 
17h55,17h57
etc Le matin fin des bagots au levé du soleil Routeur changé, mesures 
à


Ah le soleil... si seulement on le voyait un peu ;(
Bon, plus serieusement, moi je n'ai pas de changement dans l'heure de 
debut.



la tête FT,déserte de 70cm. RAS

Re: [FRnOG] [TECH] RE: Route Google DNS |

2016-11-30 Par sujet Samuel PIRON 

Bonjour,

Le problème semble être là depuis plusieurs jours sur les lignes Orange 
(vu sur Twitter).


Est-ce qu'il y a des pertes de paquets vers 8.8.8.8 ou juste des 
problèmes de résolutions DNS ?


Est-ce que la résolution marche mieux en TCP ?
-> nslookup "-set vc" orange.fr


Cordialement,

---
Samuel


Le 30/11/2016 11:40, Raphael GEYER a écrit :

Bonjour,

J'allais justement vous soumettre exactement le même problème.
J'ai appelé plusieurs fois le support Orange qui m'indique que  si en
utilisant les DNS de Orange cela fonctionne c'est que tout est OK.
En insistant ils sont même allé jusqu'à me remplacer la box ! Mais le
problème persiste bien entendu...

C:\>nslookup www.orange.fr 8.8.8.8
Serveur :   google-public-dns-a.google.com
Address:  8.8.8.8

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
Nom :d.hpc.gtm.fti.net
Address:  2a01:c9c0:a3:8::70
Aliases:  www.orange.fr
  www.orange.fr.multis.x-echo.com

C:\>nslookup www.orange.fr 8.8.4.4
Serveur :   google-public-dns-b.google.com
Address:  8.8.4.4

DNS request timed out.
timeout was 2 seconds.
Réponse ne faisant pas autorité :
Nom :d.hpc.gtm.fti.net
Addresses:  2a01:c9c0:b3:3000::73
  193.252.122.73
Aliases:  www.orange.fr
  www.orange.fr.multis.x-echo.com

Cordialement,

Raphael


-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la
part de Mario VALETTI
Envoyé : mercredi 30 novembre 2016 11:27
À : frnog-t...@frnog.org
Objet : [FRnOG] [TECH] Route Google DNS |

Bonjour la liste,

Nous avons deux connexions Internet 'standard' avec deux FAI
différents (Orange et Free).  Nous utilisons les serveurs DNS publics
de Google pour fournir une résolution de noms Internet (8.8.8.8 et
8.8.4.4).

Nous avons remarqué, depuis les dernières semaines, que quand le
trafic est routé vers les serveurs DNS via Orange, nous voyons
beaucoup de paquets perdus en raison d'un ensemble de routeurs sur la
route. Nous n'avons pas de paquets perdus lorsque le routage est
effectué via FREE.

Comme nous avons un accès Internet standard, je ne suis pas sûr
qu'Orange regarde et analyse ce problème - en particulier car ils
disent simplement d'utiliser leurs serveurs DNS.

Est-ce que quelqu'un sur cette liste peut recommander une manière afin
que je puisse obtenir une configuration fonctionnel et correct des
routeurs ? Ici les routeurs produisant des paquets perdus :


Orange :
|---|
|  WinMTR statistics
|
|   Host  -   %  | Sent | Recv
||--|--|
|   192.168.166.1 -0 | 5545 | 5545
| lns-bzn-36-82-251-1-254.adsl.proxad.net -0 | 5583 | 5583
|  78.255.140.126 -0 | 5582 | 5582
| abb75-4x-1-v902.intf.nro.proxad.net -0 | 5581 | 5581
|pes75-49m-1-v904.intf.nro.proxad.net -0 | 5550 | 5550
|  p13-49m-3-v814.intf.nro.proxad.net -0 | 5571 | 5571
|bzn-crs16-2-be1117.intf.routers.proxad.net -0 | 5597 | 5597
|   bzn-crs16-2-be1005.routers.proxad.net -0 | 5573 | 5573
|72.14.211.26 -   31 | 2517 | 1748
| 108.170.244.225 -   31 | 2542 | 1778
|   209.85.142.23 -   31 | 2525 | 1745
|  google-public-dns-b.google.com -   31 | 2510 | 1736



Free :
|---
|  WinMTR statistics
  |

|   Host  -   %  | Sent | Recv
||--|--
| 192.168.166.1 -0 | 5374 | 5374
| 192.168.2.1 -0 | 5375 | 5375
|   80.10.115.228 -0 | 5426 | 5426
|   10.123.204.62 -0 | 5426 | 5426
|ae44-0.niaub102.aubervilliers.francetelecom.net -0 | 5426 | 5426
|  193.252.137.70 -1 | 5380 | 5369
|hundredgige0-4-0-2.lontr4.london.opentransit.net -0 | 5421 | 5421
|   72.14.210.106 -0 | 5425 | 5425
|  216.239.48.113 -0 | 5426 | 5426
|   216.239.58.65 -0 | 5414 | 5414
|  google-public-dns-a.google.com -0 | 5414 | 5414





Cordialement,
Mario

The content of this communication is not intended for any other
person. If you are not the intended recipient please notify the sender
immediately, delete this message from your system and do not copy,
transfer or disclose this message or its contents to any third party.
Please go to http://www.kytegroup.com/index.php/general-disclaimer for
full disclaimers and important information. We reserve the right to
monitor and record all electronic messages whether received or sent by
us.

Re: [FRnOG] [TECH] Coupures et ralentissement national 11h-12h

2016-04-29 Par sujet Samuel PIRON 

Bonjour,

Il y a des graphes Smokeping d'Axione disponible ici :

  -> https://smokeping.axione.fr/?target=PING.EUROPE.AXIONE.DSP


A priori, il y a pas eu de soucis vers les DSP d'Axione aujourd'hui.

---
Samuel PIRON


Le 29/04/2016 12:28, Xavier ROCA a écrit :

Bonjour a tous,



Nous avons eu un grand moment de solitude entre 11h et 12h.

De très gros ralentissements voir coupures surement des délais trop 
lents.


Sur tout type de liens.

Des liens en propre ou d'autres opérateurs ne passant pas du tout pas
notre Infra.

Au passage des liens FO Axione et Covage en collecte national aussi.

Ce qui me chagrine c'est apparemment que l'on soit tout seul dans ce 
cas.


Et sur des liens qui ne passe pas par nous je ne comprends pas 
pourquoi.




Point commun c'est l'est de la France, pas eu de signalement sur 
l'Ouest.


Cela ressemble à une grande coupure et/ou saturation de backbone qui
va dans le sud



Vous avez quoi dans vos graphs ?





Merci



Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Cryptolock

2016-03-07 Par sujet Samuel PIRON 

Bonjour !

Pour revenir sur le sujet de l'antivirus qui ne détecte pas les nouveau 
virus tout juste sorti :


Sur mon serveur de mail, j'ai récemment interfacé MIMEdefang avec un 
script d'analyse de macro sur document Office 
(http://www.decalage.info/python/olevba).


Pour l'instant, je ne fais aucun blocage, juste de l'analyse pour voir 
ce qui passe et je log tout ça. Les résultats sont plutôt encourageant, 
j'ai moins d'une dizaine de faux positifs par jour sur un volume de 
5 mails/jour. Les vagues de fichiers infectés apparaissent bien dans 
mes logs (ex: "Receipt - Order No 173535.docm").


Avez-vous d'autres solutions dans le même genre qui pourraient limiter 
la casse ?


---
Samuel PIRON


Le 07/03/2016 17:23, Dorian BECKER a écrit :

Hello,

comme David Ponzone j'ai aussi bloqué certains types de PJ. J'ai pas 
trouvé
de pattern pour filtrer par leur nom vu que j'en ai des nouveaux tous 
les

jours.

*J'ai eu des retours de personnes qui auraient déchiffré leur fichiers 
avec
ComboFix, *Farbar Recovery Scan Tool ou Rogue Killer. Par contre je 
n'ai

pas pu tester de mon coté.

Le 7 mars 2016 à 17:04, Louis <luigi.1...@gmail.com> a écrit :


et encore quand le virus ne désactive l'antivirus.

Le 7 mars 2016 à 16:59, David Ponzone <david.ponz...@gmail.com> a 
écrit :


> Ils protègent des maladies connues et identifiées :)
>
> > Le 7 mars 2016 à 16:55, Xavier Beaudouin <k...@oav.net> a écrit :
> >
> > Hello,
> >
> >> Quant aux antivirus, on se demande bien à quoi ils servent. Il y a
> >> tellement de variantes des malware. Il faut que je retrouve l'article
du
> >> Gartner qui préconisait d’abandonner les antivirus.
> >
> > Ces "antivirus" ne sont qu'une base de signature, qui ont ces signature
> que *après* qu'un virus a été lancé dans le wild.
> >
> > Il n'ont rien a envier aux vaccins dans le monde animal / humain.
> >
> > Ceci dit, beaucoup trop de personnent pense qu'un antivirus protége,
> mais ce n'est jamais le cas.
> >
> > Xavier
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées

2015-06-29 Par sujet Samuel PIRON 
Sinon, pendant ce temps là, l'ARIN n'a plus que des miettes d'IPv4 à 
distribuer :


http://www.reddit.com/r/ipv6/comments/3b5p3i/arin_just_subdivided_their_last_1718192021_and_22/

Je cite leur blog : (http://teamarin.net/category/ipv4-depletion/)

It is very likely that we are already processing a request that we will 
be unable to fulfill.



---
Samuel PIRON


Le 29/06/2015 15:45, fr...@leccia.fr a écrit :

Le 29/06/2015 10:29, Phil Regnauld a écrit : Wallace (wallace) writes: 
A part le temps de réflexion de

comment tu vas subneter ton v6 pour pas te trouver coincer, y a des
formations sympa en IRL ou en webinar au RIPE d'ailleurs à ce sujet,
vraiment très bien fait et en 2 jours même sans connaissance v6 on s'en
sort. Oui, et puis bon, même si on se plante, suffit de dessiner un 
petit

carré dans le coin supérieur gauche d'une feuille A4, et de se dire
j'ai besoin de ça dans mon /32 actuellement. Et si ça part en
carafe, on dessine un deuxième petit carré à côté du premier, on
écrit (s'il y a la place) tentative no. 2.

Au pire, demander une deuxième feuille^H^H/32 à RIPE :D

P.


 Le RIPE t'alloue un /32 mais il te sur-réserve le /29 supérieur dans sa
 table. A croire qu'ils ont prévu que certains partent en carafe dès 
le début... :D


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/ [1]

Links:
--
[1] http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS

2015-05-01 Par sujet Samuel PIRON 

Bonjour,

Si non, alors il faut se borner aux attaques connues, et dans ce cas tu 
as le choix en open source (mod_sec, varnish, nginx avec son waf) 
ou en commercial (fortiweb, a10?, f5 avec ltm+asm)


Petite rectification :
le WAF de Nginx (NAXSI) ne se base pas sur un mode de blocage utilisant 
une base de signature, mais fonctionne plutôt comme un filtre bayésien : 
chaque requête GET/POST obtient une note basé sur l'analyse du contenu 
de celles-ci : si il trouve trop de caractères spéciaux (type : '') ou 
mot clé ('drop'), la requête est bloquée.


Par défaut, NAXSI bloque toutes les requêtes suspectes. A l'admin 
ensuite de configurer une liste blanche pour le site protégé. (liste 
blanche créé via un script fourni avec NAXSI).


Pour donner un exemple de site régulièrement attaqué, le site web de 
Charlie Hebdo est protégé par NAXSI depuis plusieurs années...



La bonne question a se poser : as tu le temps de gérer un waf ? Genre 
est ce que tu maitrises l'appli, ses requêtes et ses variables.


C'est tout le problème des WAF : son coût ne se mesure pas seulement au 
prix de la solution choisie mais surtout au temps consacré à son 
suivi...



---
Samuel PIRON

Le 01/05/2015 01:43, Fabien V. a écrit :

Le 30 avril 2015 16:23:27 CEST, Samuel PIRON piron.sam...@neoxis.eu a 
écrit : Pour rester sur le coté 'Open-source', il y a le module WAF 
NAXSI qui

s'ajoute sur Nginx qui marche pas mal (et c'est codé par une boite
française !) - https://github.com/nbs-system/naxsi [1]

Sinon, dans le domaine des appliances, j'avais eu l'occasion de voir du

F5 fonctionner. ça avait l'air de bien marcher, mais le prix picote un
peu...

---
Samuel PIRON

Le 30/04/2015 15:20, Fabrice Vincent a écrit :

Autant pour moi !
J'avais souvenir d'un config varnish+ModSecurity
(http://en.wikipedia.org/wiki/ModSecurity [2] [1 [2]]) mais en fait 
c'est

plutot sur Apache ou nginx que ça s'installe.
J'ai bien trouvé
https://github.com/comotion/VSF#varnish-security-firewall [3] [2 [3]] 
mais

est-ce un projet pérenne ???

Bon, bref, pardon pour le bruit. Je sors -⁠

Le 30/⁠04/⁠2015 14:20, Guillaume Tournat a écrit : C'est un reverse
proxy et non un WAF.
Donc aucune sécu comme un Apache ou un Squid ou un Nginx.

Le 30 avr. 2015 à 13:39, Fabrice Vincent
f.vinc...@allibert-trekking.com a écrit :

C'est encore moi! ;)
Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un
cluster haproxy/⁠varnish) ?
Fabrice

Le 30/⁠04/⁠2015 12:09, Richard Paré a écrit : Bonjour,

Je cherche un appliance de sécurité pour protéger un site Web de la
manière
suivante :
-⁠ Le site Web fonctionne en HTTP
-⁠ L'appliance de sécurité fait office de reverse Proxy avec d'un côté, 
des

communications chiffrées HTTPS avec les clients et de l'autre des
communications en clair HTTP avec le serveur Web
-⁠ Une inspection de paquets est effectuée et des blocages ont lieux
sur le
trafic suspect (IPS)

J'ai essayé d'utiliser un Stormshield mais sans succès.
Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les
communications SSL.

Avez vous une suggestion ? (mis à part un Apache avec mod_security ou
autre).

Merci.

-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠
Liste de diffusion du FRnOG
http://www.frnog.org/ [4] [3 [4]]

-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠
Liste de diffusion du FRnOG
http://www.frnog.org/ [4] [3 [4]]
-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠
Liste de diffusion du FRnOG
http://www.frnog.org/ [4] [3 [4]]

Links:
--
[1] http://en.wikipedia.org/wiki/ModSecurity [2]
[2] https://github.com/comotion/VSF#varnish-security-firewall [3]
[3] http://www.frnog.org/ [4]

---
Liste de diffusion du FRnOG
http://www.frnog.org/ [4]


 La bonne question a se poser : as tu le temps de gérer un waf ? Genre 
est ce que tu maitrises l'appli, ses requêtes et ses variables.


 Si oui, alors il y a des reverse proxy sympa comme beeware et son 
acolyte dont j'ai oublié le nom a cette heure..., avec coupure SSL.


 Si non, alors il faut se borner aux attaques connues, et dans ce cas tu 
as le choix en open source (mod_sec, varnish, nginx avec son waf) ou 
en commercial (fortiweb, a10?, f5 avec ltm+asm)


 De ton budget et de ta maîtrise de l'application dépendra ton besoin.
 Ne pas oublier de te donner un TPS pour sélectionner ton produit.

 F5 fait ça a merveille (et même le café), mais ça dépend du budget 
(pique aux fesses), de la scalabilite et du niveau de secu recherché 



 Équation difficile a résoudre avec le peu de variables données ici.

Links:
--
[1] https://github.com/nbs-system/naxsi
[2] http://en.wikipedia.org/wiki/ModSecurity
[3] https://github.com/comotion/VSF#varnish-security-firewall
[4] http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS

2015-04-30 Par sujet Samuel PIRON 
Pour rester sur le coté 'Open-source', il y a le module WAF NAXSI qui 
s'ajoute sur Nginx qui marche pas mal (et c'est codé par une boite 
française !) - https://github.com/nbs-system/naxsi


Sinon, dans le domaine des appliances, j'avais eu l'occasion de voir du 
F5 fonctionner. ça avait l'air de bien marcher, mais le prix picote un 
peu...



---
Samuel PIRON

Le 30/04/2015 15:20, Fabrice Vincent a écrit :


Autant pour moi !
J'avais souvenir d'un config varnish+ModSecurity 
(http://en.wikipedia.org/wiki/ModSecurity [1]) mais en fait c'est 
plutot sur Apache ou nginx que ça s'installe.
J'ai bien trouvé 
https://github.com/comotion/VSF#varnish-security-firewall [2] mais 
est-ce un projet pérenne ???


Bon, bref, pardon pour le bruit. Je sors -⁠

Le 30/⁠04/⁠2015 14:20, Guillaume Tournat a écrit : C'est un reverse 
proxy et non un WAF.

Donc aucune sécu comme un Apache ou un Squid ou un Nginx.

Le 30 avr. 2015 à 13:39, Fabrice Vincent 
f.vinc...@allibert-trekking.com a écrit :


C'est encore moi! ;)
Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un 
cluster haproxy/⁠varnish) ?

Fabrice

Le 30/⁠04/⁠2015 12:09, Richard Paré a écrit : Bonjour,

Je cherche un appliance de sécurité pour protéger un site Web de la 
manière

suivante :
-⁠ Le site Web fonctionne en HTTP
-⁠ L'appliance de sécurité fait office de reverse Proxy avec d'un côté, 
des

communications chiffrées HTTPS avec les clients et de l'autre des
communications en clair HTTP avec le serveur Web
-⁠ Une inspection de paquets est effectuée et des blocages ont lieux 
sur le

trafic suspect (IPS)

J'ai essayé d'utiliser un Stormshield mais sans succès.
Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les
communications SSL.

Avez vous une suggestion ? (mis à part un Apache avec mod_security ou
autre).

Merci.

-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠
Liste de diffusion du FRnOG
http://www.frnog.org/ [3]

-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠
Liste de diffusion du FRnOG
http://www.frnog.org/ [3]


 -⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠-⁠
 Liste de diffusion du FRnOG
http://www.frnog.org/ [3]

Links:
--
[1] http://en.wikipedia.org/wiki/ModSecurity
[2] https://github.com/comotion/VSF#varnish-security-firewall
[3] http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SMTP orange : mails rejetés.

2015-03-31 Par sujet Samuel PIRON 

Bonjour,

De mon coté, j'ai noté que c'était Symantec : 
http://ipremoval.sms.symantec.com/lookup/


Par contre, je ne sais plus d'où vient cette info...


---
Samuel PIRON


Le 31/03/2015 13:26, Romain a écrit :


Ça doit être VadeRetro...
Le 31 mars 2015 13:24, OCEANET - Cédric BASSAGET ced...@oceanet.com 
a

écrit :

Dernier retour d'orange :

L'incident doit désormais être clos. Un correctif ayant été appliqué 
sur

notre moteur anti-spam.

dans le mail précédent :

les message de votre client sont reconnu comme spam par notre 
fournisseur

d'Antispam. Il doit en conséquence rencontrer les mêmes incidents chez
d'autres opérateurs.

Donc orange utiliserait le même fournisseur antispam que free et sfr /
numéricable ?
Quelqu'un sait ce que c'est comme solution, juste pour info ?

En attendant je ne constate plus de mails rejetés depuis 12:05 environ
chez aucun fournisseur.

Cédric

OCEANET
---
[AGENCE DU MANS]
7, rue des Frênes
ZAC de la Pointe
72190 SARGE LES LE MANS
[t] +33 (0)2.43.50.26.50
[f] +33 (0)2.43.72.21.14

[AGENCE D'ANGERS]
5, rue Fleming
Angers Technopole
49066 ANGERS
[t] +33 (0)2.41.19.28.65
[f] +33 (0)2.52.19.22.00

http://www.oceanet.com [1]
http://www.oceanet-telecom.com [2]

On 31/03/2015 12:59, OCEANET - Cédric BASSAGET wrote:

Effectivement c'est le même. Réponse d'orange :

Ce domaine n'est pas blacklisté par nos services, mais les message de
votre client sont reconnu comme spam par notre fournisseur d'Antispam. 
Il

doit en conséquence rencontrer les mêmes incidents chez d'autres
opérateurs. Nous intérogeons notre fournisseur pour de plus amples
informations.

Reste à savoir pourquoi ses mails sont détectés comme spam depuis la 
fin

de semaine dernière alors qu'il n'a soit disant rien changé...

Merci pour vos infos.

Cédric

OCEANET
---
[AGENCE DU MANS]
7, rue des Frênes
ZAC de la Pointe
72190 SARGE LES LE MANS
[t] +33 (0)2.43.50.26.50
[f] +33 (0)2.43.72.21.14

[AGENCE D'ANGERS]
5, rue Fleming
Angers Technopole
49066 ANGERS
[t] +33 (0)2.41.19.28.65
[f] +33 (0)2.52.19.22.00

http://www.oceanet.com [1]
http://www.oceanet-telecom.com [2]

On 31/03/2015 12:46, Francois Petillon wrote:

On 03/31/2015 12:31 PM, OCEANET - Cédric BASSAGET wrote:

il ne s'agit pas de la fameuse erreur too many connections, slow 
down.


Il ne s'agirait pas de votre quincaillier ? Auquel cas, le problème
pourrait être lié avec le taux de spams détectés.

François

---
Liste de diffusion du FRnOG
http://www.frnog.org/ [3]


 ---
 Liste de diffusion du FRnOG
http://www.frnog.org/ [3]

 ---
 Liste de diffusion du FRnOG
http://www.frnog.org/ [3]

Links:
--
[1] http://www.oceanet.com
[2] http://www.oceanet-telecom.com
[3] http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] perte de trafic pour les clients Opentransit ?

2015-03-15 Par sujet Samuel PIRON 

Bonjour,

Ce n'était pas une maintenance Google, mais un fournisseur d'accès 
Indien qui a annoncé pendant quelques minutes les préfixes de Google : 
http://research.dyn.com/2015/03/routing-leak-briefly-takes-google/


Parmi ces préfixes, il y avait le fameux 8.8.8.8, cible préféré des 
administrateurs réseaux pour tester Internet :


Par hasard, est-ce que ton routeur ne serait pas configuré pour tester 
ton lien en pinguant l'IP 8.8.8.8 ?


Le routeur aurait ensuite considéré que le lien est HS car l'ip de 
monitoring ne répond plus...



---
Samuel PIRON


Le 15/03/2015 09:01, David Ponzone a écrit :


Ils te fournissent bien un graphe de ton port non ?

David Ponzone


Le 15 mars 2015 à 08:58, Alexandre in...@opendoc.net a écrit :

Bonjour à tous,

notre lien fibre est géré par Orange et le 2015/03/12 entre 10h et 
10h15 nous avons eu une coupure de lien. Avec les tests que j'ai pu 
faire, la coupure était générale. Cependant, le technicien Orange 
m'informe que c'est un problème Google. Voici le détail :


---
il s'agissait d'une maintenance de google qui a provoqué une
perte de traffic pour tous les clients Opentransit de 10h a 10H15 UTC 
.

Google n a pas précisé le détail de cette maintenance.
---

De mon point de vu ca sent l'enfumage, si c'est le vrai problème, 
pouvez me confirmer que vous avez eu la mm coupure ?


Merci.

Alex.

---
Liste de diffusion du FRnOG
http://www.frnog.org/ [1]


---
Liste de diffusion du FRnOG
http://www.frnog.org/ [1]



Links:
--
[1] http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] CIDR FR

2014-10-22 Par sujet Samuel PIRON 
 

Bonjour, 

Personnellement, j'utilise cette liste : 

IPv4 : 

http://www.ipdeny.com/ipblocks/data/countries/fr.zone 

IPv6 : 

http://www.ipdeny.com/ipv6/ipaddresses/blocks/fr.zone 

Dans un script bash avec des commandes Iptables, ça marche très bien.
(ne pas oublier de faire une MaJ une fois par mois) 

---
Samuel PIRON

Le 22/10/2014 11:32, Florent Krieg a écrit : 

 Hello,
 
 Ca m'ait arrivé d'utiliser récemment
 http://list.iblocklist.com/?list=frfileformat=cidrarchiveformat=gz [1] et
 http://services.ce3c.be/ciprg/?countrys=FRANCE [2]
 
 Il y en a pas mal d'autres trouvables via Google.
 
 Florent
 
 Le 22 octobre 2014 11:22, David Ponzone david.ponz...@gmail.com a écrit :
 Tu cherches une liste des AS français, ce qui est probablement plus facile, 
 et ensuite, pour chaque AS: whois -h whois.ripe.net -T route -i origin -K 
 AS | grep route Le 22 oct. 2014 à 11:13, Adrien Pestel 
 pestoui...@gmail.com a écrit : Bien le bonjour FrNog, Auriez-vous une liste 
 à peu près à jour des CIDR Français ? En vous en remerciant par avance. 
 Chaleureusement, Adrien --- Liste de diffusion du 
 FRnOG http://www.frnog.org/ [3] --- Liste de 
 diffusion du FRnOG http://www.frnog.org/ [3]

---
Liste de diffusion du FRnOG
http://www.frnog.org/ [3]

 

Links:
--
[1]
http://list.iblocklist.com/?list=framp;fileformat=cidramp;archiveformat=gz
[2] http://services.ce3c.be/ciprg/?countrys=FRANCE
[3] http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/