Re: [FRnOG] [MISC] DNS : NS dans le NS
J'ai arrêté de chercher il y a un bon moment :) C'est clair que c'est un problème DNS - pas de mon coté - pas mon problème ! (Mais c'est toujours difficile d'expliquer au client pourquoi TON serveur mail essaie d'envoyer au mauvais serveur mail distant) Mais je me demandais quand même pourquoi mes serveurs Unbound/Bind vont chercher les MX de façons aléatoires sur les serveurs NS OVH ou de VALIDNAME. Il y a un algorithme spécifique ou alors mon résolveur pioche au hasard dans tous les quatre serveurs NS connus pour ce nom de domaine ? --- Samuel PIRON Le 13/09/2017 10:37, David Ponzone a écrit : Fais un zonemaster sur la zone et arrête de chercher :) Le 13 sept. 2017 à 10:10, Samuel PIRON a écrit : Bonjour à tous, J'ai une petite question pour ma culture générale : A l'origine de ma question : client X n'arrive pas à envoyer de mail à "@saumac.fr" : le diagnostic est rapide : -> c'est le DNS (deux réponses différentes suivantes les résolveurs DNS -> https://www.whatsmydns.net/#MX/saumac.fr) D'après le Whois, les serveurs hébergeant la zone DNS sont chez OVH : nserver: dns19.ovh.net nserver: ns19.ovh.net J'ai bien les bons serveurs mails qui ressortent lorsqu'on interroge directement les serveurs d'OVH : dig @ns19.ovh.net +short MX saumac.fr 50 mx02.cloud.vadesecure.com. 10 mx01.cloud.vadesecure.com. Mais il y aurait aussi des enregistrements NS qui se baladent dans la zone : dig @ns19.ovh.net +short NS saumac.fr ns1.validname.com. ns2.validname.com. Et ces serveurs DNS donnent le mauvais serveur mail : dig @ns1.validname.com +short MX saumac.fr 10 in.hes.trendmicro.eu. Ma question c'est comment les serveurs DNS récursifs choisissent quel enregistrement MX répondre. Sur mes deux serveurs Unbound en même version, j'ai deux résultats différents, je vois pas comment cela est possible... Merci d'avance pour vos réponses ! --- Samuel PIRON --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] DNS : NS dans le NS
Bonjour à tous, J'ai une petite question pour ma culture générale : A l'origine de ma question : client X n'arrive pas à envoyer de mail à "@saumac.fr" : le diagnostic est rapide : -> c'est le DNS (deux réponses différentes suivantes les résolveurs DNS -> https://www.whatsmydns.net/#MX/saumac.fr) D'après le Whois, les serveurs hébergeant la zone DNS sont chez OVH : nserver: dns19.ovh.net nserver: ns19.ovh.net J'ai bien les bons serveurs mails qui ressortent lorsqu'on interroge directement les serveurs d'OVH : dig @ns19.ovh.net +short MX saumac.fr 50 mx02.cloud.vadesecure.com. 10 mx01.cloud.vadesecure.com. Mais il y aurait aussi des enregistrements NS qui se baladent dans la zone : dig @ns19.ovh.net +short NS saumac.fr ns1.validname.com. ns2.validname.com. Et ces serveurs DNS donnent le mauvais serveur mail : dig @ns1.validname.com +short MX saumac.fr 10 in.hes.trendmicro.eu. Ma question c'est comment les serveurs DNS récursifs choisissent quel enregistrement MX répondre. Sur mes deux serveurs Unbound en même version, j'ai deux résultats différents, je vois pas comment cela est possible... Merci d'avance pour vos réponses ! --- Samuel PIRON --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] pppd et IPv6
Salut ! As-tu testé Accel-PPP pour ta collecte ? Beaucoup d'opérateurs de taille modeste se basent dessus pour faire de la collecte sur du libre. Pour avoir testé, ça juste marche. L'IPv6 est supporté, mais j'ai pas testé... Samuel > Le 8 sept. 2017 à 18:24, Alarig Le Laya écrit : > > Matin, > > Je me suis récemment mis à la collecte xDSL (pour grifon). > La plan est assez simple : deux intercos BGP pour annoncer les LNS et > RADIUS au fournisseur, et un LNS/PPP sur le routeur de collecte. > > Tout va bien jusqu’au PPP. En effet, dès que je m’en sers pour de la > collecte, la communication pppd/RADIUS se passe mal, les attributs IPv6 > (RFC6911) sont rejetés car ils ne sont pas dans le dictionnaire utilisé > par ppp, et si on les ajoute il crashe avec un code d’erreur 16. > > Pour faire marcher tout ça, il a fallu patcher PPP pour ajouter leur > support : https://marc.info/?l=linux-ppp=145226335014356=2 > > Cela me surprend un peu. > Ma question est donc : suis-je le seul con à faire de la collecte sur du > logiciel libre et à faire de l’IPv6 ? Du coup, personne n’a jamais > rencontré ce bug avant. (c’est très probable) > Ou alors, ai-je vraiment raté un truc évident et en fait je me suis > compliqué la vie pour rien ? (c’est très probable aussi) > > Bon week-end :) > -- > alarig --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Matcher simplement IP => AS
Bonjour, En webservices, il y a https://iptoasn.com/ (par https://twitter.com/jedisct1) qui pourrais faire l'affaire. Il fournit aussi les bases mises à jour régulièrement, en format texte et facilement parsable. Enfin, il y a toujours MaxWind (http://dev.maxmind.com/geoip/legacy/geolite/) gratuit mais seulement mis à jour une fois par mois... Samuel Le 10/03/2017 20:26, Pierre Emeriaud a écrit : Le 10 mars 2017 à 19:00, Raphael Mazeliera écrit : On 10/03/2017 18:51, Alarig Le Lay wrote: Hello, Quick and dirty : regis ~ # birdc show route primary for 89.234.186.1 | grep AS | cut -d '[' -f 3 | cut -d ']' -f 1 | sed 's/[ie?]//' AS204092 Pas mal :) par contre ca tiendra pas 200 requêtes/seconde. Dans ce cas tu es obligé de travailler sur un dump quelconque. eeeh, pourtant : $ wc -l liste_ip 177 liste_ip $ cat get_as.sh #!/bin/sh while read ip; do birdc show route primary for $ip | awk '/AS/ {gsub(/\[|\]|i|\?/, ""); print $10}' >> liste_as; done < liste_ip $ time -h ./get_as.sh 0.22s real 0.14s user 0.20s sys $ wc -l liste_as 172 liste_as (le coup du get_as.sh c'est juste pour contourner le "time while read" que je n'ai pas réussi à faire fonctionner). Donc bon, ça se tente :) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Aide pour comprendre des deco ADSL
Bonjour, Est-ce que les problèmes apparaissent vraiment à horaires fixes ? Au pif, les horaires la nuit de 19H00 à 7H30, ça fait vaguement penser à un chauffe-eau. est-ce que cela pourrait être possible ? Cordialement, Samuel Le 09/03/2017 08:51, Paul Rolland (ポール・ロラン) a écrit : Bonjour, Beaucoup de reponses, alors je vais essayer de fournir les elements un par un, et repondre a tous : On Thu, 9 Mar 2017 07:05:35 + Guillaume DESNOUESwrote: Une autre piste : J'ai eu le même souci avec une ligne dans un immeuble avec collier chauffant electrique. Aux heures de chauffe, c'était quasi impossible d'accrocher l'ADSL. Sauf que ici, c'est une maison indiv., et ca dure toute la nuit, sans aucun rapport avec la configuration de l'install electrique et ce qui est branche dessus. On Wed, 8 Mar 2017 21:35:47 +0100 David Ponzone wrote: Vérifie si 7h-7h30 correspond à l'arrivée du premier salarié (ou équipe de nettoyage). Si oui, hypothèse de l'alarme qui est souvent connectée directement sur la tête en amont du filtre. J'en ai quelques unes des lignes comme ça, et parfois faut juste oublier... C'est le fameux 5% dont aucun opérateur GP ne veut. Nope, ca n'est pas bon, il n'y a pas d'alarme qui serait active/inactive sur les heures liees au probleme de deco. On Wed, 8 Mar 2017 21:26:40 +0100 Emmanuel DECAEN wrote: Si c'est en appartement, il y a un truc à vérifier: l'ascenseur de l'immeuble. Avant l'apparition du mécanisme de correction d'erreur de la Freebox, à chaque fois que l'ascenseur bougeait: plouf perturbation ou coupure sur le flux TV (très pénible) ! Pas bon non plus, pas d'ascenseur. D'ailleurs, l'ascenseur provoquerait des erreurs au moment ou il fonctionne, mais pas en continue de 19H00 a 7H00/7H30, non ? On Wed, 8 Mar 2017 21:14:02 +0100 Pierre Emeriaud wrote: Ça m'est déjà arrivé sur une ligne téléphonique. Installation privée en cable non torsadé. Trop sensible aux perturbations electromagnétiques, et niveau de bruit la nuit trop important pour garder une synchro up et stable. Etant en campagne sans éclairage public, les perturbations étaient imputables au rayonnement cosmique selon les techniciens confirmés qui s'étaient déplacés. Peut-être que la cause était autre, mais le folklore et la tradition aimaient cette légende, en tout cas une fois le cable de l'IP retiré dans les normes, le problème a été réglé. La, meme si j'aime bcp le folklore et la campagne, je laisserai les korrigans et les elfes de cote et je parierai plus sur l'eclairage ;) Le cable de l'IP est bien torsade, mais je pense qu'il devrait etre possible un WE de deplacer le modem en tete d'installation pour eviter de passer par l'IP, et voir si le phenomene persiste. On Wed, 8 Mar 2017 21:09:42 +0100 Metalman wrote: Est-ce que la ligne telephonique est en bon etat ? La partie exterieure, cote domaine public, est pas terrible... De l'aerien qui pend tellement que tu peux presque attraper les cables si tu sautes, et des debuts de corrosion deja signales par un tech lors d'une intervention. Bref, rien qui fasse rever. Depuis 3-4 ans j'avais des deconnections "temporaires" similaires, puis depuis 2 ans j'avais des coupures repetees, de plus en plus longues, et de plus en plus frequemment (plusieurs par heure)... En forcant un peu Orange a envoye un technicien, celui-ci a change un petit relais dans la borne qui gerait le quartier (pas mal d'insectes dedans), puis il a teste l'installation interne... Et la... Catastrophe : la prise qui servait d'echangeur entre l'interieur et l'exterieur de la maison etait integralement moisie et un fil etait aux 3/4 coupe (si ce n'est coupe et suffisament proche pour faire partiellement contact). J'avais oublie l'existence de cette prise... Car trop jeune pour me souvenir de la tranchee creusee dans le jardin pour tirer le telephone. J'ai pas mal reverifie l'install dans le domaine prive. Et encore une fois, c'est vraiment le cote "heure de debut/heure de fin" qui me perturbe le plus dans cette histoire. Si c'etait un probleme sur un cable quasi-sectionne, ca serait toute la journee, non ? On Wed, 8 Mar 2017 21:00:15 +0100 Stéphane Karges wrote: Quel opérateur ? Degroupage total ou pas? Free, en partiel. Pourquoi ? Ca peut changer quoi selon toi ? On Wed, 8 Mar 2017 22:10:55 +0100 Varicap wrote: Sur une sdsl j avais il y a quelques semaines exactement ce type de problème . Lors de mes observations les premiers bagots était à 17h50 avec le couché du soleil à 18h05 et quelques jours plus tard 17h55,17h57 etc Le matin fin des bagots au levé du soleil Routeur changé, mesures à Ah le soleil... si seulement on le voyait un peu ;( Bon, plus serieusement, moi je n'ai pas de changement dans l'heure de debut. la tête FT,déserte de 70cm. RAS
Re: [FRnOG] [TECH] RE: Route Google DNS |
Bonjour, Le problème semble être là depuis plusieurs jours sur les lignes Orange (vu sur Twitter). Est-ce qu'il y a des pertes de paquets vers 8.8.8.8 ou juste des problèmes de résolutions DNS ? Est-ce que la résolution marche mieux en TCP ? -> nslookup "-set vc" orange.fr Cordialement, --- Samuel Le 30/11/2016 11:40, Raphael GEYER a écrit : Bonjour, J'allais justement vous soumettre exactement le même problème. J'ai appelé plusieurs fois le support Orange qui m'indique que si en utilisant les DNS de Orange cela fonctionne c'est que tout est OK. En insistant ils sont même allé jusqu'à me remplacer la box ! Mais le problème persiste bien entendu... C:\>nslookup www.orange.fr 8.8.8.8 Serveur : google-public-dns-a.google.com Address: 8.8.8.8 DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. Nom :d.hpc.gtm.fti.net Address: 2a01:c9c0:a3:8::70 Aliases: www.orange.fr www.orange.fr.multis.x-echo.com C:\>nslookup www.orange.fr 8.8.4.4 Serveur : google-public-dns-b.google.com Address: 8.8.4.4 DNS request timed out. timeout was 2 seconds. Réponse ne faisant pas autorité : Nom :d.hpc.gtm.fti.net Addresses: 2a01:c9c0:b3:3000::73 193.252.122.73 Aliases: www.orange.fr www.orange.fr.multis.x-echo.com Cordialement, Raphael -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Mario VALETTI Envoyé : mercredi 30 novembre 2016 11:27 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] Route Google DNS | Bonjour la liste, Nous avons deux connexions Internet 'standard' avec deux FAI différents (Orange et Free). Nous utilisons les serveurs DNS publics de Google pour fournir une résolution de noms Internet (8.8.8.8 et 8.8.4.4). Nous avons remarqué, depuis les dernières semaines, que quand le trafic est routé vers les serveurs DNS via Orange, nous voyons beaucoup de paquets perdus en raison d'un ensemble de routeurs sur la route. Nous n'avons pas de paquets perdus lorsque le routage est effectué via FREE. Comme nous avons un accès Internet standard, je ne suis pas sûr qu'Orange regarde et analyse ce problème - en particulier car ils disent simplement d'utiliser leurs serveurs DNS. Est-ce que quelqu'un sur cette liste peut recommander une manière afin que je puisse obtenir une configuration fonctionnel et correct des routeurs ? Ici les routeurs produisant des paquets perdus : Orange : |---| | WinMTR statistics | | Host - % | Sent | Recv ||--|--| | 192.168.166.1 -0 | 5545 | 5545 | lns-bzn-36-82-251-1-254.adsl.proxad.net -0 | 5583 | 5583 | 78.255.140.126 -0 | 5582 | 5582 | abb75-4x-1-v902.intf.nro.proxad.net -0 | 5581 | 5581 |pes75-49m-1-v904.intf.nro.proxad.net -0 | 5550 | 5550 | p13-49m-3-v814.intf.nro.proxad.net -0 | 5571 | 5571 |bzn-crs16-2-be1117.intf.routers.proxad.net -0 | 5597 | 5597 | bzn-crs16-2-be1005.routers.proxad.net -0 | 5573 | 5573 |72.14.211.26 - 31 | 2517 | 1748 | 108.170.244.225 - 31 | 2542 | 1778 | 209.85.142.23 - 31 | 2525 | 1745 | google-public-dns-b.google.com - 31 | 2510 | 1736 Free : |--- | WinMTR statistics | | Host - % | Sent | Recv ||--|-- | 192.168.166.1 -0 | 5374 | 5374 | 192.168.2.1 -0 | 5375 | 5375 | 80.10.115.228 -0 | 5426 | 5426 | 10.123.204.62 -0 | 5426 | 5426 |ae44-0.niaub102.aubervilliers.francetelecom.net -0 | 5426 | 5426 | 193.252.137.70 -1 | 5380 | 5369 |hundredgige0-4-0-2.lontr4.london.opentransit.net -0 | 5421 | 5421 | 72.14.210.106 -0 | 5425 | 5425 | 216.239.48.113 -0 | 5426 | 5426 | 216.239.58.65 -0 | 5414 | 5414 | google-public-dns-a.google.com -0 | 5414 | 5414 Cordialement, Mario The content of this communication is not intended for any other person. If you are not the intended recipient please notify the sender immediately, delete this message from your system and do not copy, transfer or disclose this message or its contents to any third party. Please go to http://www.kytegroup.com/index.php/general-disclaimer for full disclaimers and important information. We reserve the right to monitor and record all electronic messages whether received or sent by us.
Re: [FRnOG] [TECH] Coupures et ralentissement national 11h-12h
Bonjour, Il y a des graphes Smokeping d'Axione disponible ici : -> https://smokeping.axione.fr/?target=PING.EUROPE.AXIONE.DSP A priori, il y a pas eu de soucis vers les DSP d'Axione aujourd'hui. --- Samuel PIRON Le 29/04/2016 12:28, Xavier ROCA a écrit : Bonjour a tous, Nous avons eu un grand moment de solitude entre 11h et 12h. De très gros ralentissements voir coupures surement des délais trop lents. Sur tout type de liens. Des liens en propre ou d'autres opérateurs ne passant pas du tout pas notre Infra. Au passage des liens FO Axione et Covage en collecte national aussi. Ce qui me chagrine c'est apparemment que l'on soit tout seul dans ce cas. Et sur des liens qui ne passe pas par nous je ne comprends pas pourquoi. Point commun c'est l'est de la France, pas eu de signalement sur l'Ouest. Cela ressemble à une grande coupure et/ou saturation de backbone qui va dans le sud Vous avez quoi dans vos graphs ? Merci Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Cryptolock
Bonjour ! Pour revenir sur le sujet de l'antivirus qui ne détecte pas les nouveau virus tout juste sorti : Sur mon serveur de mail, j'ai récemment interfacé MIMEdefang avec un script d'analyse de macro sur document Office (http://www.decalage.info/python/olevba). Pour l'instant, je ne fais aucun blocage, juste de l'analyse pour voir ce qui passe et je log tout ça. Les résultats sont plutôt encourageant, j'ai moins d'une dizaine de faux positifs par jour sur un volume de 5 mails/jour. Les vagues de fichiers infectés apparaissent bien dans mes logs (ex: "Receipt - Order No 173535.docm"). Avez-vous d'autres solutions dans le même genre qui pourraient limiter la casse ? --- Samuel PIRON Le 07/03/2016 17:23, Dorian BECKER a écrit : Hello, comme David Ponzone j'ai aussi bloqué certains types de PJ. J'ai pas trouvé de pattern pour filtrer par leur nom vu que j'en ai des nouveaux tous les jours. *J'ai eu des retours de personnes qui auraient déchiffré leur fichiers avec ComboFix, *Farbar Recovery Scan Tool ou Rogue Killer. Par contre je n'ai pas pu tester de mon coté. Le 7 mars 2016 à 17:04, Louis <luigi.1...@gmail.com> a écrit : et encore quand le virus ne désactive l'antivirus. Le 7 mars 2016 à 16:59, David Ponzone <david.ponz...@gmail.com> a écrit : > Ils protègent des maladies connues et identifiées :) > > > Le 7 mars 2016 à 16:55, Xavier Beaudouin <k...@oav.net> a écrit : > > > > Hello, > > > >> Quant aux antivirus, on se demande bien à quoi ils servent. Il y a > >> tellement de variantes des malware. Il faut que je retrouve l'article du > >> Gartner qui préconisait d’abandonner les antivirus. > > > > Ces "antivirus" ne sont qu'une base de signature, qui ont ces signature > que *après* qu'un virus a été lancé dans le wild. > > > > Il n'ont rien a envier aux vaccins dans le monde animal / humain. > > > > Ceci dit, beaucoup trop de personnent pense qu'un antivirus protége, > mais ce n'est jamais le cas. > > > > Xavier > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Une documentation Ubuntu recommande d'utiliser des adresses déjà allouées
Sinon, pendant ce temps là, l'ARIN n'a plus que des miettes d'IPv4 à distribuer : http://www.reddit.com/r/ipv6/comments/3b5p3i/arin_just_subdivided_their_last_1718192021_and_22/ Je cite leur blog : (http://teamarin.net/category/ipv4-depletion/) It is very likely that we are already processing a request that we will be unable to fulfill. --- Samuel PIRON Le 29/06/2015 15:45, fr...@leccia.fr a écrit : Le 29/06/2015 10:29, Phil Regnauld a écrit : Wallace (wallace) writes: A part le temps de réflexion de comment tu vas subneter ton v6 pour pas te trouver coincer, y a des formations sympa en IRL ou en webinar au RIPE d'ailleurs à ce sujet, vraiment très bien fait et en 2 jours même sans connaissance v6 on s'en sort. Oui, et puis bon, même si on se plante, suffit de dessiner un petit carré dans le coin supérieur gauche d'une feuille A4, et de se dire j'ai besoin de ça dans mon /32 actuellement. Et si ça part en carafe, on dessine un deuxième petit carré à côté du premier, on écrit (s'il y a la place) tentative no. 2. Au pire, demander une deuxième feuille^H^H/32 à RIPE :D P. Le RIPE t'alloue un /32 mais il te sur-réserve le /29 supérieur dans sa table. A croire qu'ils ont prévu que certains partent en carafe dès le début... :D --- Liste de diffusion du FRnOG http://www.frnog.org/ [1] Links: -- [1] http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Bonjour, Si non, alors il faut se borner aux attaques connues, et dans ce cas tu as le choix en open source (mod_sec, varnish, nginx avec son waf) ou en commercial (fortiweb, a10?, f5 avec ltm+asm) Petite rectification : le WAF de Nginx (NAXSI) ne se base pas sur un mode de blocage utilisant une base de signature, mais fonctionne plutôt comme un filtre bayésien : chaque requête GET/POST obtient une note basé sur l'analyse du contenu de celles-ci : si il trouve trop de caractères spéciaux (type : '') ou mot clé ('drop'), la requête est bloquée. Par défaut, NAXSI bloque toutes les requêtes suspectes. A l'admin ensuite de configurer une liste blanche pour le site protégé. (liste blanche créé via un script fourni avec NAXSI). Pour donner un exemple de site régulièrement attaqué, le site web de Charlie Hebdo est protégé par NAXSI depuis plusieurs années... La bonne question a se poser : as tu le temps de gérer un waf ? Genre est ce que tu maitrises l'appli, ses requêtes et ses variables. C'est tout le problème des WAF : son coût ne se mesure pas seulement au prix de la solution choisie mais surtout au temps consacré à son suivi... --- Samuel PIRON Le 01/05/2015 01:43, Fabien V. a écrit : Le 30 avril 2015 16:23:27 CEST, Samuel PIRON piron.sam...@neoxis.eu a écrit : Pour rester sur le coté 'Open-source', il y a le module WAF NAXSI qui s'ajoute sur Nginx qui marche pas mal (et c'est codé par une boite française !) - https://github.com/nbs-system/naxsi [1] Sinon, dans le domaine des appliances, j'avais eu l'occasion de voir du F5 fonctionner. ça avait l'air de bien marcher, mais le prix picote un peu... --- Samuel PIRON Le 30/04/2015 15:20, Fabrice Vincent a écrit : Autant pour moi ! J'avais souvenir d'un config varnish+ModSecurity (http://en.wikipedia.org/wiki/ModSecurity [2] [1 [2]]) mais en fait c'est plutot sur Apache ou nginx que ça s'installe. J'ai bien trouvé https://github.com/comotion/VSF#varnish-security-firewall [3] [2 [3]] mais est-ce un projet pérenne ??? Bon, bref, pardon pour le bruit. Je sors - Le 30/04/2015 14:20, Guillaume Tournat a écrit : C'est un reverse proxy et non un WAF. Donc aucune sécu comme un Apache ou un Squid ou un Nginx. Le 30 avr. 2015 à 13:39, Fabrice Vincent f.vinc...@allibert-trekking.com a écrit : C'est encore moi! ;) Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un cluster haproxy/varnish) ? Fabrice Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ [4] [3 [4]] --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ [4] [3 [4]] --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ [4] [3 [4]] Links: -- [1] http://en.wikipedia.org/wiki/ModSecurity [2] [2] https://github.com/comotion/VSF#varnish-security-firewall [3] [3] http://www.frnog.org/ [4] --- Liste de diffusion du FRnOG http://www.frnog.org/ [4] La bonne question a se poser : as tu le temps de gérer un waf ? Genre est ce que tu maitrises l'appli, ses requêtes et ses variables. Si oui, alors il y a des reverse proxy sympa comme beeware et son acolyte dont j'ai oublié le nom a cette heure..., avec coupure SSL. Si non, alors il faut se borner aux attaques connues, et dans ce cas tu as le choix en open source (mod_sec, varnish, nginx avec son waf) ou en commercial (fortiweb, a10?, f5 avec ltm+asm) De ton budget et de ta maîtrise de l'application dépendra ton besoin. Ne pas oublier de te donner un TPS pour sélectionner ton produit. F5 fait ça a merveille (et même le café), mais ça dépend du budget (pique aux fesses), de la scalabilite et du niveau de secu recherché Équation difficile a résoudre avec le peu de variables données ici. Links: -- [1] https://github.com/nbs-system/naxsi [2] http://en.wikipedia.org/wiki/ModSecurity [3] https://github.com/comotion/VSF#varnish-security-firewall [4] http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Appliance de sécurité reverse proxy SSL, Load Balancing et IPS
Pour rester sur le coté 'Open-source', il y a le module WAF NAXSI qui s'ajoute sur Nginx qui marche pas mal (et c'est codé par une boite française !) - https://github.com/nbs-system/naxsi Sinon, dans le domaine des appliances, j'avais eu l'occasion de voir du F5 fonctionner. ça avait l'air de bien marcher, mais le prix picote un peu... --- Samuel PIRON Le 30/04/2015 15:20, Fabrice Vincent a écrit : Autant pour moi ! J'avais souvenir d'un config varnish+ModSecurity (http://en.wikipedia.org/wiki/ModSecurity [1]) mais en fait c'est plutot sur Apache ou nginx que ça s'installe. J'ai bien trouvé https://github.com/comotion/VSF#varnish-security-firewall [2] mais est-ce un projet pérenne ??? Bon, bref, pardon pour le bruit. Je sors - Le 30/04/2015 14:20, Guillaume Tournat a écrit : C'est un reverse proxy et non un WAF. Donc aucune sécu comme un Apache ou un Squid ou un Nginx. Le 30 avr. 2015 à 13:39, Fabrice Vincent f.vinc...@allibert-trekking.com a écrit : C'est encore moi! ;) Pour en revenir à ta demande initiale, pourquoi pas un varnish (ou un cluster haproxy/varnish) ? Fabrice Le 30/04/2015 12:09, Richard Paré a écrit : Bonjour, Je cherche un appliance de sécurité pour protéger un site Web de la manière suivante : - Le site Web fonctionne en HTTP - L'appliance de sécurité fait office de reverse Proxy avec d'un côté, des communications chiffrées HTTPS avec les clients et de l'autre des communications en clair HTTP avec le serveur Web - Une inspection de paquets est effectuée et des blocages ont lieux sur le trafic suspect (IPS) J'ai essayé d'utiliser un Stormshield mais sans succès. Leur proxy SSL est plutôt fait pour déchiffrer et rechiffrer les communications SSL. Avez vous une suggestion ? (mis à part un Apache avec mod_security ou autre). Merci. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ [3] --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ [3] --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ [3] Links: -- [1] http://en.wikipedia.org/wiki/ModSecurity [2] https://github.com/comotion/VSF#varnish-security-firewall [3] http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] SMTP orange : mails rejetés.
Bonjour, De mon coté, j'ai noté que c'était Symantec : http://ipremoval.sms.symantec.com/lookup/ Par contre, je ne sais plus d'où vient cette info... --- Samuel PIRON Le 31/03/2015 13:26, Romain a écrit : Ça doit être VadeRetro... Le 31 mars 2015 13:24, OCEANET - Cédric BASSAGET ced...@oceanet.com a écrit : Dernier retour d'orange : L'incident doit désormais être clos. Un correctif ayant été appliqué sur notre moteur anti-spam. dans le mail précédent : les message de votre client sont reconnu comme spam par notre fournisseur d'Antispam. Il doit en conséquence rencontrer les mêmes incidents chez d'autres opérateurs. Donc orange utiliserait le même fournisseur antispam que free et sfr / numéricable ? Quelqu'un sait ce que c'est comme solution, juste pour info ? En attendant je ne constate plus de mails rejetés depuis 12:05 environ chez aucun fournisseur. Cédric OCEANET --- [AGENCE DU MANS] 7, rue des Frênes ZAC de la Pointe 72190 SARGE LES LE MANS [t] +33 (0)2.43.50.26.50 [f] +33 (0)2.43.72.21.14 [AGENCE D'ANGERS] 5, rue Fleming Angers Technopole 49066 ANGERS [t] +33 (0)2.41.19.28.65 [f] +33 (0)2.52.19.22.00 http://www.oceanet.com [1] http://www.oceanet-telecom.com [2] On 31/03/2015 12:59, OCEANET - Cédric BASSAGET wrote: Effectivement c'est le même. Réponse d'orange : Ce domaine n'est pas blacklisté par nos services, mais les message de votre client sont reconnu comme spam par notre fournisseur d'Antispam. Il doit en conséquence rencontrer les mêmes incidents chez d'autres opérateurs. Nous intérogeons notre fournisseur pour de plus amples informations. Reste à savoir pourquoi ses mails sont détectés comme spam depuis la fin de semaine dernière alors qu'il n'a soit disant rien changé... Merci pour vos infos. Cédric OCEANET --- [AGENCE DU MANS] 7, rue des Frênes ZAC de la Pointe 72190 SARGE LES LE MANS [t] +33 (0)2.43.50.26.50 [f] +33 (0)2.43.72.21.14 [AGENCE D'ANGERS] 5, rue Fleming Angers Technopole 49066 ANGERS [t] +33 (0)2.41.19.28.65 [f] +33 (0)2.52.19.22.00 http://www.oceanet.com [1] http://www.oceanet-telecom.com [2] On 31/03/2015 12:46, Francois Petillon wrote: On 03/31/2015 12:31 PM, OCEANET - Cédric BASSAGET wrote: il ne s'agit pas de la fameuse erreur too many connections, slow down. Il ne s'agirait pas de votre quincaillier ? Auquel cas, le problème pourrait être lié avec le taux de spams détectés. François --- Liste de diffusion du FRnOG http://www.frnog.org/ [3] --- Liste de diffusion du FRnOG http://www.frnog.org/ [3] --- Liste de diffusion du FRnOG http://www.frnog.org/ [3] Links: -- [1] http://www.oceanet.com [2] http://www.oceanet-telecom.com [3] http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] perte de trafic pour les clients Opentransit ?
Bonjour, Ce n'était pas une maintenance Google, mais un fournisseur d'accès Indien qui a annoncé pendant quelques minutes les préfixes de Google : http://research.dyn.com/2015/03/routing-leak-briefly-takes-google/ Parmi ces préfixes, il y avait le fameux 8.8.8.8, cible préféré des administrateurs réseaux pour tester Internet : Par hasard, est-ce que ton routeur ne serait pas configuré pour tester ton lien en pinguant l'IP 8.8.8.8 ? Le routeur aurait ensuite considéré que le lien est HS car l'ip de monitoring ne répond plus... --- Samuel PIRON Le 15/03/2015 09:01, David Ponzone a écrit : Ils te fournissent bien un graphe de ton port non ? David Ponzone Le 15 mars 2015 à 08:58, Alexandre in...@opendoc.net a écrit : Bonjour à tous, notre lien fibre est géré par Orange et le 2015/03/12 entre 10h et 10h15 nous avons eu une coupure de lien. Avec les tests que j'ai pu faire, la coupure était générale. Cependant, le technicien Orange m'informe que c'est un problème Google. Voici le détail : --- il s'agissait d'une maintenance de google qui a provoqué une perte de traffic pour tous les clients Opentransit de 10h a 10H15 UTC . Google n a pas précisé le détail de cette maintenance. --- De mon point de vu ca sent l'enfumage, si c'est le vrai problème, pouvez me confirmer que vous avez eu la mm coupure ? Merci. Alex. --- Liste de diffusion du FRnOG http://www.frnog.org/ [1] --- Liste de diffusion du FRnOG http://www.frnog.org/ [1] Links: -- [1] http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] CIDR FR
Bonjour, Personnellement, j'utilise cette liste : IPv4 : http://www.ipdeny.com/ipblocks/data/countries/fr.zone IPv6 : http://www.ipdeny.com/ipv6/ipaddresses/blocks/fr.zone Dans un script bash avec des commandes Iptables, ça marche très bien. (ne pas oublier de faire une MaJ une fois par mois) --- Samuel PIRON Le 22/10/2014 11:32, Florent Krieg a écrit : Hello, Ca m'ait arrivé d'utiliser récemment http://list.iblocklist.com/?list=frfileformat=cidrarchiveformat=gz [1] et http://services.ce3c.be/ciprg/?countrys=FRANCE [2] Il y en a pas mal d'autres trouvables via Google. Florent Le 22 octobre 2014 11:22, David Ponzone david.ponz...@gmail.com a écrit : Tu cherches une liste des AS français, ce qui est probablement plus facile, et ensuite, pour chaque AS: whois -h whois.ripe.net -T route -i origin -K AS | grep route Le 22 oct. 2014 à 11:13, Adrien Pestel pestoui...@gmail.com a écrit : Bien le bonjour FrNog, Auriez-vous une liste à peu près à jour des CIDR Français ? En vous en remerciant par avance. Chaleureusement, Adrien --- Liste de diffusion du FRnOG http://www.frnog.org/ [3] --- Liste de diffusion du FRnOG http://www.frnog.org/ [3] --- Liste de diffusion du FRnOG http://www.frnog.org/ [3] Links: -- [1] http://list.iblocklist.com/?list=framp;fileformat=cidramp;archiveformat=gz [2] http://services.ce3c.be/ciprg/?countrys=FRANCE [3] http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/