Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
Le 02/02/21 à 07:54, Adrien Rivas a écrit : > Je suis pas certain, déjà ils prennent leur rôle au sérieux et le > remplissent correctement. > > Après, pour le délire sécuritaire, ils fournissent un idéal à atteindre, et > à toi de t'en approcher selon tes besoins / contraintes de temps, de > compétences, de budget, d'équipe. Et surtout du compromis confort / sécurité que tu es prêt à faire, en connaissance de cause c'est mieux. D'où l'intérêt de rapports ANSSI en mode parano pour se faire une liste perso de toutes les recommandations qu'on ne suit pas et voir si ça reste pertinent. -- Daniel Lorsque j'ai été kidnappé, ma mère a réagi tout de suite: elle a sous-loué ma chambre. Woody Allen --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
> NAT ça se contourne, mais au moins ça a l'avantage de forcer un pare-feu > "diode" : tout qui sort, rien qui rentre. D'un autre coté, le 'tout qui sort' est /aussi/ un vrai problème. Et serait peut-être même la première chose à surveiller... Chaque dispositif devrait être un tout en terme de sécu. Chaque intranet devrait mater tout ce qui sort. Belles évidences théoriques certes... -- Be Seeing You Number Six --- Liste de diffusion du FRnOG http://www.frnog.org/
[MISC] RE: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
J'ai mis des étoiles autour de 'certaine' Et j'ai bien précisé en dessous qu'en réalité ça n'en apporte pas tant que ça, avec un exemple. Cependant, entre un réseau ou tout est naté, avec des machines mal sécurisées derrière, et un réseau ou rien n'est naté, avec des machines mal sécurisées, ben je préfère l'option 1. Alors tu vas dire "on a qu'a sécuriser les machines" ! Oui sauf que... - on parle de logiciel, fait par des humains, avec des erreurs - on parle de logiciel et de matériel à tenir à jour, donc avec des couts, que la plupart des entreprises ne veulent pas dépenser - on parle d'acteurs qui profitent de cela en te vendant des mises à jour, des patchs sécu, des outils de monitoring... etc. et qui n'ont AUCUN avantage à ce que ça soit sécurisé. Alors crier sur le NAT tout le temps, je conçois, mais ça n'est pas quelque chose qui va faire avancer le schmilblick. Cordialement, Olivier Varenne Co-gérant, Commercial & Développeur T +33 (0)4 27 04 40 00 | ipconnect.fr Suivez-nous ! > -Message d'origine- > De : frnog-requ...@frnog.org De la part de > Denis Fondras > Envoyé : lundi 1 février 2021 20:21 > À : frnog@frnog.org > Objet : Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous > racontent > > > Nat sur IPV4.V6 a l'avantage d'apporter une *certaine* sécurité... > > c'est quand même un avantage > > Non, il faut absolument cesser de faire croire ca ! > Combien d'"""administrateurs systeme""" se reposent là-dessus pour ne > pas faire le minimum de sécurité (pas de correctifs de vulnerabilité, > identifiants par defaut, etc) ? Et un jour, NAT slipstream passe par là et > ca couine... > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
On Tue, Feb 2, 2021, at 07:54, Adrien Rivas wrote: > Je suis pas certain, déjà ils prennent leur rôle au sérieux et le > remplissent correctement. On peut le voir comme ca quand on fait de la securite pour faire de la securite et rien d'autre. La securite etant devenue aussi une religion ("tu fais ca et tout va bien se passer" - errr...). Pas mon metier, pas ma religion. Dans mon travail je dois faire pour que la data peut se transmettre d'un point A a un point B. La securite a pour bout d'empecher ca, base sur des criteres parfois discutables. > Après, pour le délire sécuritaire, ils fournissent un idéal à > atteindre, et à toi de t'en approcher selon tes besoins / contraintes > de temps, de compétences, de budget, d'équipe. Encore une fois, pour moi leur delire n'est pas un ideal, mais plutot un cauchemar qu'on risque de trouver de temps en temps/chez certains. > Un de leurs derniers guides sur la passerelle internet sécurisée est > intéressant par exemple, même si tous les clients n'ont pas les moyens > d'avoir un Stormshield en périphérie et un palo en seconde ligne, et > que souvent, avoir un UTM type Sophos, c'est déjà bien. Mais bien-sur. Confirmation a ce que j'ecrivais plus haut. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
Je suis pas certain, déjà ils prennent leur rôle au sérieux et le remplissent correctement. Après, pour le délire sécuritaire, ils fournissent un idéal à atteindre, et à toi de t'en approcher selon tes besoins / contraintes de temps, de compétences, de budget, d'équipe. Un de leurs derniers guides sur la passerelle internet sécurisée est intéressant par exemple, même si tous les clients n'ont pas les moyens d'avoir un Stormshield en périphérie et un palo en seconde ligne, et que souvent, avoir un UTM type Sophos, c'est déjà bien. Le mar. 2 févr. 2021 à 07:42, Radu-Adrian Feurdean < fr...@radu-adrian.feurdean.net> a écrit : > On Mon, Feb 1, 2021, at 09:51, Oliver varenne wrote: > > Pourquoi ? > > Mes contacts avec l'ANSSI ont toujours été courtois et sympa moi. > > Oui, ils le sont. > C'est juste qu'en tant qu'Agence de "securite" (nationale en plus), il > leur arrive d'aller trop loin (au moins a mon gout) dans certains de leurs > delires securitaires. Au moins dans les discussions informelles. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
On Mon, Feb 1, 2021, at 12:53, JCLB wrote: > DNS64 / NAT64 est déjà une réalité sur la plupart des smartphones > récents chez les opérateurs en dehors de Free. Free compris. Normalement SFR aussi, mais je ne sais pas comment ca se passe la-bas. Chez Free et chez Orange c'est la variete 464XLAT, et je ne vois pas de raison pour avoir autre chose chez les autres (B et S). Les MVNO on les laisse de cote, ils n'ont pas les memes obligations, et ca depend fortement de ce qu'ils ont signe avec leurs HNO. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
On Mon, Feb 1, 2021, at 09:51, Oliver varenne wrote: > Pourquoi ? > Mes contacts avec l'ANSSI ont toujours été courtois et sympa moi. Oui, ils le sont. C'est juste qu'en tant qu'Agence de "securite" (nationale en plus), il leur arrive d'aller trop loin (au moins a mon gout) dans certains de leurs delires securitaires. Au moins dans les discussions informelles. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
>> Denis Fondras a écrit : >> Non, il faut absolument cesser de faire croire ca ! Combien >> d'"""administrateurs systeme""" se >> reposent là-dessus pour ne pas faire le minimum de sécurité (pas de >> correctifs de vulnerabilité, >> identifiants par defaut, etc) ? Et un jour, NAT slipstream passe par là et >> ca couine... > David Ponzone a écrit : > Hé ho, il avait utilisé le joker guillemets. NAT ça se contourne, mais au moins ça a l'avantage de forcer un pare-feu "diode" : tout qui sort, rien qui rentre. Sans NAT avec la grande majorité des bouses "IOT" ça serait un carnage. Déjà qu'avec NAT c'est pas glop, heureusement que c'est pas à poil sur l'Internet. NAT ou pas, slipstream ça expose aussi les machins qui sont derrière un pare-feu simple exactement de la même façon, pour la même raison : de la même façon que NAT stateful crée une association IP source / Port source / IP destination / Port destination, un pare-feu stateful fait la même chose sauf que l'adresse et le port ne changent pas. S'il y a un ver à l'intérieur qui peut envoyer des paquets avec une IP qui est celle d'un poste qui n'est pas la sienne, dans bien des cas, un pare-feu ce n'est pas mieux que NAT. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
Hé ho, il avait utilisé le joker guillemets. > Le 1 févr. 2021 à 20:21, Denis Fondras a écrit : > >> Nat sur IPV4.V6 a l'avantage d'apporter une *certaine* sécurité... c'est >> quand même un avantage > > Non, il faut absolument cesser de faire croire ca ! > Combien d'"""administrateurs systeme""" se reposent là-dessus pour ne pas > faire > le minimum de sécurité (pas de correctifs de vulnerabilité, identifiants par > defaut, etc) ? Et un jour, NAT slipstream passe par là et ca couine... > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
> Nat sur IPV4.V6 a l'avantage d'apporter une *certaine* sécurité... c'est > quand même un avantage Non, il faut absolument cesser de faire croire ca ! Combien d'"""administrateurs systeme""" se reposent là-dessus pour ne pas faire le minimum de sécurité (pas de correctifs de vulnerabilité, identifiants par defaut, etc) ? Et un jour, NAT slipstream passe par là et ca couine... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
D'ailleurs ceci expliquant cela (le cout des mécanisme de NAT44 est pas nécessairement élevé / user mais il est pas nul, donc tout ce que tu peux passer en IPv6 te fais économiser un pouillème pour chaque subscribers) et des gros opérateurs mobile y ont trouvé un intérêt au. Typiquement, Jio, 300Millions de subscribers en Inde, full IPv6 natif (y compris la VoLTE et ca honnêtement j'aurai pas voulu être le premier à tester...) https://conference.apnic.net/50/assets/files/APCS790/Harnessing-the-power-of-IPv6.pdf Le lun. 1 févr. 2021 à 12:55, JCLB a écrit : > DNS64 / NAT64 est déjà une réalité sur la plupart des smartphones récents > chez les opérateurs en dehors de Free. > Les utilisateurs subissent donc un NAT PAT stateful. > > Il faut toutefois relativiser, auparavant 100% de la data mobile subissait > du NAT PAT 44. > Aujourd'hui le trafic IPv6 natif sort en direct, et on peut supposer que > 20 à 30% du trafic échappe donc à NAT64. > > Sur le fixe les mécanismes sont stateless avec des approches Adress+Port > (4rd, MAP T/E,...) > > Au besoin la précédence des OS se configure si on a besoin de conserver la > priorité IPv4 et d'outrepasser la RFC 6724. > Voir ici pour Windows http://support.microsoft.com/kb/929852 > Et pour Linux GetAddressInfo /etc/gai.conf > > Attention, certaines applications comme les navigateurs implémentent leur > propre priorisation de v6 sur v4, indépendante de la configuration du stack > de l’OS. De plus l’implémentation du mécanisme Happy eyeballs 2 (RFC 8305) > peut également varier. (Délai entre les requête DNS A et , temps > d’attente du retour, délai de timeout du socket distant avec bascule…) > > Jean-Charles BISECCO > > > -Message d'origine- > De : frnog-requ...@frnog.org De la part de > Daniel Caillibaud > Envoyé : lundi 1 février 2021 12:33 > À : frnog@frnog.org > Objet : Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent > > Le 29/01/21 à 22h29, Laurent Barme <5...@barme.fr> a écrit : > > Ce n'est par le client qui est en cause. > > Je parlais du client réseau, au sens client / serveur… > > > Aujourd'hui je constate que c'est déjà l'IPv6 qui est prioritaire, > > demain j'anticipe que ce sera, parfois d'abord et toujours ensuite, la > > seule disponible par défaut... et là, il faudra bien y passer. > > Je pense que ce sera peut-être après-demain, et je serai sûrement à la > retraite avant ;-) > > Ce qui risque d'arriver un peu plus tôt, c'est des client "only v6" qui > devront passer par une translation v6-v4 qui va devenir plus pénalisante > qu'aujourd'hui (parce que des acteurs qui peuvent l'imposer l'auront > décidé), et qu'on devra s'y mettre pour éviter de trop détériorer leur > accès, mais même ça je pense que c'est pas pour tout de suite, on a le > temps de changer de génération d'infra plusieurs fois avant. > > -- > Daniel > > Si le temps vous semble long, prenez-le dans le sens de la largeur. > Grégoire Lacroix > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
[MISC] RE: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
Bien sûr, je cite celui qui est probablement le plus répandu. Mais le stateful n'en est pas pour autant nécessaire. Ce qui obligatoire c'est soit d'avoir un mécanisme de traversée de NAT comme il en existe sur les applications grands public. Ou en entreprise d'utiliser des Application Layer Gateway (ALG) qui truandent le payload à la volée à la condition qu'il ne soit pas chiffré. Le stateful ou stateless ne joue que sur la consommation d'adresse VS le besoin de maintenir une table de session. Quand 2 sociétés A et B exploitent le même plan d'adressage interne et que A doit accéder à des serveurs de B il est facile de faire du stateful comme ça on ne se pose plus de question. On peut aussi "publier" les serveurs de B avec des IP du plan de A, du masquerading statique. Dans les 2 cas si le trafic est du SIP il faudra une ALG. On a l'habitude du stateful en raison de l'accès à internet où on est limité en nombre d'IPv4 publiques. L'ALG reste indépendante de ce choix. Jean-Charles BISECCO -Message d'origine- De : frnog-requ...@frnog.org De la part de Erwan David Envoyé : vendredi 29 janvier 2021 20:10 À : frnog@frnog.org Objet : Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent Le 29/01/2021 à 18:22, JCLB a écrit : > Grâce à NAT PT v6, cette entreprise peut changer d'ISP sans rien changer en > interne, ça ne casse pas PMTU-D et en dehors du SIP ça ne pose pas vraiment > de problème. Y'a pas que SIP comme protocole qui met des adresses dans la payload : rsh, ftp, h323 par exemple... Et tous ces protocoles demanderont que la traduction soit stateful --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
Le 29/01/2021 à 18:22, JCLB a écrit : > Grâce à NAT PT v6, cette entreprise peut changer d'ISP sans rien changer en > interne, ça ne casse pas PMTU-D et en dehors du SIP ça ne pose pas vraiment > de problème. Y'a pas que SIP comme protocole qui met des adresses dans la payload : rsh, ftp, h323 par exemple... Et tous ces protocoles demanderont que la traduction soit stateful --- Liste de diffusion du FRnOG http://www.frnog.org/