Re: [FRnOG] mode de connexion multiplay
Bonjour, Bigre ! où allez-vous ? On authentifie un abonné, pas une technologie. Au travers de l'authentification, l'abonné doit prouver ce qu'il dit être, et les mécanismes utilisés pour cette procédure sont plus ou moins sophistiqués. Cordialement, Michel Hostettler Refuznikster a écrit : On utilise encore une authentification chez le particulier en france pour l'adsl ? Le Thu, 28 Oct 2010 14:42:18 +0200, Antoine Versini antoine.vers...@corp.nerim.net a écrit: On 10/28/10 11:50, Jacques VUVANT Gmail wrote: bonjour je dois faire une synthèse sur les modes d'authentification couramment utilisés par nos chers FAI et opérateurs(pppoe, dhcp ou bridge) sur les différents services (voip, vod, iptv et hsi). quelqu'un aurait-il un avis sur la question ? quel va être la tendance à moyen terme? qu'en est-il de l'IPV6 ? avez-vous des exemples (free, etc...) ? Bonjour, En plus de l'ADSL du pauvre, il existe également des prestations type SDSL qui peuvent être considérées comme la descendance moderne des ancestrales liaisons spécialisées type E1, et sur lesquelles il n'y a pas d'authentification (et inepte d'en faire, puisque dédiés.) Ce sont des conduits point-à-point, souvent brassés en ATM ou commutés en Ethernet entre les extrémités IP opérateur et utilisateur, où l'adressage IP est fixé définitivement sur les équipements et qui ne nécessitent par conséquent pas de DHCP ou autre 802.1x. Pour le reste de la masse, en ADSL, ça ne déviera jamais beaucoup du PPPoX avec RADIUS ou du MER avec DHCP. En ce qui concerne l'IPv6, il y a deux écoles. Ceux qui doivent déployer des artefacts en encapsulation pour bypasser du hard non IPv6 entre le CPE/IAD chez le end-user et le backbone, et ceux qui sont en dual-stack de bout-en-bout. Le dualstack sur du SDSL en EoATM est totalement straightforward, puisque c'est de l'Ethernet. En PPPoX c'est juste la couche IPV6CP qui est négociée en plus de la couche IPCP classique (avec avec un RADIUS + attributs FRAMED-IPV6-PREFIX ou éventuellement des vendors-specifics.) Q+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] mode de connexion multiplay
Bonjour, Pour les services DSL, on ne demande _jamais_ a l'abonne d'entrer son nom et mot de passe pour utiliser une ligne DSL. Les gens ne connaissent pas cette information, c'est configure dans le routeur et c'est tout. Je préfère donc largement recevoir le numéro de téléphone de l'abonnée via radius (qu'il ne peut pas forger) a un mot de passe qui ne protège rien et embête le client. Mais la on est loin de la thread initiale. Thomas On 29 Oct 2010, at 08:46, michel hostettler wrote: Bonjour, Bigre ! où allez-vous ? On authentifie un abonné, pas une technologie. Au travers de l'authentification, l'abonné doit prouver ce qu'il dit être, et les mécanismes utilisés pour cette procédure sont plus ou moins sophistiqués. Cordialement, Michel Hostettler Refuznikster a écrit : On utilise encore une authentification chez le particulier en france pour l'adsl ? Le Thu, 28 Oct 2010 14:42:18 +0200, Antoine Versini antoine.vers...@corp.nerim.net a écrit: On 10/28/10 11:50, Jacques VUVANT Gmail wrote: bonjour je dois faire une synthèse sur les modes d'authentification couramment utilisés par nos chers FAI et opérateurs(pppoe, dhcp ou bridge) sur les différents services (voip, vod, iptv et hsi). quelqu'un aurait-il un avis sur la question ? quel va être la tendance à moyen terme? qu'en est-il de l'IPV6 ? avez-vous des exemples (free, etc...) ? Bonjour, En plus de l'ADSL du pauvre, il existe également des prestations type SDSL qui peuvent être considérées comme la descendance moderne des ancestrales liaisons spécialisées type E1, et sur lesquelles il n'y a pas d'authentification (et inepte d'en faire, puisque dédiés.) Ce sont des conduits point-à-point, souvent brassés en ATM ou commutés en Ethernet entre les extrémités IP opérateur et utilisateur, où l'adressage IP est fixé définitivement sur les équipements et qui ne nécessitent par conséquent pas de DHCP ou autre 802.1x. Pour le reste de la masse, en ADSL, ça ne déviera jamais beaucoup du PPPoX avec RADIUS ou du MER avec DHCP. En ce qui concerne l'IPv6, il y a deux écoles. Ceux qui doivent déployer des artefacts en encapsulation pour bypasser du hard non IPv6 entre le CPE/IAD chez le end-user et le backbone, et ceux qui sont en dual-stack de bout-en-bout. Le dualstack sur du SDSL en EoATM est totalement straightforward, puisque c'est de l'Ethernet. En PPPoX c'est juste la couche IPV6CP qui est négociée en plus de la couche IPCP classique (avec avec un RADIUS + attributs FRAMED-IPV6-PREFIX ou éventuellement des vendors-specifics.) Q+ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] mode de connexion multiplay
Bonjour, Le 29/10/10, Thomas Manginthomas.man...@exa-networks.co.uk a écrit : Bonjour, Pour les services DSL, on ne demande _jamais_ a l'abonne d'entrer son nom et mot de passe pour utiliser une ligne DSL. Les gens ne connaissent pas cette information, c'est configure dans le routeur et c'est tout. Sauf dans le cas où l'abonné n'utilise pas le routeur fourni. Ça marche encore à coups de mots de passe chez Orange, par exemple, quand on n'utilise pas la Livebox. Chez Nerim et FDN aussi (dans ce dernier cas il n'y a de toute façon pas de box). My 2 cent. Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] mode de connexion multiplay
Pour les services DSL, on ne demande _jamais_ a l'abonne d'entrer son nom et mot de passe pour utiliser une ligne DSL. Les gens ne connaissent pas cette information, c'est configure dans le routeur et c'est tout. Sauf dans le cas où l'abonné n'utilise pas le routeur fourni. Ça marche encore à coups de mots de passe chez Orange, par exemple, quand on n'utilise pas la Livebox. Ce que je dis est que le client n'entre pas son mot de passe a chaque connection de son PC. Donc ce n'est pas le client qui est authentifie mais le routeur. Avoir la box du vendeur ou une autre, ne change rien. Le nom d'utilisateur est seulement utile pour savoir quel client demande une IP et si on doit ou pas le laisser se connecter (suspension de service, etc.) Le numéro de ligne téléphonique me donne cette information. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] mode de connexion multiplay
Le vendredi 29 octobre 2010 à 11:29 +0200, Raphaël Jacquot a écrit : d'ailleurs, c'est bien mieux de pas utiliser la livebox... ca permets d'éviter les plantages intempestifs que j'ai pu observer lors des mises a jours poussées Ça permet surtout d'avoir une connexion à peu près potable. De mémoire, la Livebox pose des problèmes pour : - le DNSSEC : la config DHCP file comme resolveur DNS la Livebox qui est pas compatible avec le DNSSEC - le XMPP, le SIP et d'autres protocoles : idem - L'IPv6 : Incompatibilité avec certains protocoles de transition, obligé d'utiliser la plupart du temps Teredo, et pas de via le resolver interne - SSH, PGP, SSL : Pas de RR CRT et SSHFP avec le resolver interne. - Support partiel du NAT et donc soucis avec certains protocoles. Malgré un rapport de bug il y a un mois, rien n'a changé. Consternation. En même temps, y'a Internet et … Charles --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Détection des botnets et protection des internautes
Bonjour à tous, La FCC va prochainement publier un document de bonnes pratiques pour les FAI en matière de détection et de protection contre diverses activités de cybercriminalité. Le groupe de travail est localisé à l'adresse http://www.fcc.gov/pshs/advisory/csric/wg-8.pdf. De mon point de vue, cela reprend les différentes expérimentations qui fleurissent à travers le monde : - septembre : Initiative allemande pour détecter les utilisateurs compromis : http://www.cio.com.au/article/359491/germany_launch_antibotnet_program_consumers/ - septembre : l'IETF propose des bonnes pratiques pour détecter les bots pour les ISP (http://isc.sans.edu/diary.html?storyid=7138) - juillet : Virgin Media détecte les bots et notifie ses clients (http://www.theregister.co.uk/2010/08/16/vm_malware/) - juin : les Etats Unis recherchent à calquer les actions entreprises en Australie (http://www.zdnet.com.au/us-interested-in-aussie-zombie-code-339304063.htm?omnRef=NULL) - juin : les FAI australiens proposent de déconnecter leurs clients sans antivirus (http://www.darknet.org.uk/2010/06/australians-propose-no-anti-virus-no-internet-connection-policy/) - juin : les FAI australiens mettent en quarantaine leurs clients à risque (http://www.computerweekly.com/Articles/2010/06/09/241511/Australian-ISP-code-could-defeat-new-generation-of-DDoS-attacks-says.htm) - les ISP japonais utilisent une plateforme centralisée pour détecter les bots (http://krebsonsecurity.com/2010/03/talking-bots-with-japans-cyber-clean-center/) - 2009 : Comcast lance son programme anti botnet: http://blog.comcast.com/2009/10/security-scene-introducing-constant-guard.html - 2009 : 14 FAIs néerlandais luttent conjointement contre les botnets : http://www.darkreading.com/blog/archives/2009/09/dutch_isps_sign.html - 2007 : Quest : http://news.qwest.com/index.php?s=43item=305 Des organismes sont leaders en la matière, notamment la IIA (http://www.iia.net.au/), le CCC (https://www.ccc.go.jp/en_ccc/) et permettent de coordonner les actions entre opérateurs. Bref, beaucoup de choses sont en train de changer en ce moment dans la sphère Internet et les FAIs, sollicités depuis longtemps pour prendre part à cette lutte semblent dorénavant adresser le sujet partout dans le monde... sauf en France (j'exagère juste un peu) Je sais pourtant que des actions techniques sont réalisées ponctuellement chez certains opérateurs mais rien ne ressort en terme de service officiel. Ma question est donc simple : pourquoi ne faisons nous rien en France ? Sommes nous différents des autres, cela ne nous coûte t-il rien ? Je ne sais pas si les impacts suivants sont quantifiables : - coût d'opérateurs de call center sollicités parce que les clients sont infectés et leur ordinateur a un comportement inadéquat ; - coût d'une structure abuse qui devra réagir pour des campagnes de spams envoyés par des bots sur des clients; - coût des réquisitions judiciaires pour causes de machine compromise impliquée dans un schéma de fraude; - coût d'une mobilisation d'experts techniques pour lutter contre des clients à la source de dénis de service; - charge induite sur les serveurs SMTP et DNS des FAI à cause des bots; - coût de frais de transit pour toutes les communications liées aux bots; - amélioration de la satisfaction client et développement de la confiance dans l'économis numérique en ligne; Si tel est le cas, il serait intéressant de réfléchir à des actions concrètes qui pourraient être réalisées en suivant d'autres modèles : - mise en quarantaine des clients identifiés à risque et navigation restreinte - sensibilisation adaptée en ligne à ces clients - approche service de sécurité avec souscription de service en mode opt-in - approche service de sécurité tout intégré proposé par défaut au client Pour ma part, je serai ravi de promouvoir à mon entourage le FAI français qui fera les premiers pas sur ce sujet. J'espère que ce post fera permettra de susciter des réflexions autres que le sempiternel débat sur la neutralité du net. Bon week end David Bizeul --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Détection des bo tnets et protection des internaut es
Bonjour, Tu as loupé le vendredi troll là de 18 minutes. Plus sérieusement avez vous lu un peu les documents avant de poster les liens. Perso. j'ai survolé les trois premiers : - l'un l'antibot consumer en allemagne : l'état débloque 2 M€ pour lancer une plateforme afin d'aider les ISP contre les botnets. Bien ça me fait penser à la plateforme française antispam (un abuse avec inscirption obligatoire pour poster) lancé en grande pompe puis fermé par la suite. - l'autre concernant l'internet industry association : avec la participation de l'équivalent de famille de france et les industriels de l'IIA procurent à qui le veut des pdf consomateurs/acteurs montrant que les FAI doivent fournir rapide copier/coller un peu la flemme : NetNanny for PC v6.5.1.13 2010, Manaccom, Trend Micro PC-Cillin Internet Security, Trend Micro, Puresight 2009, Symantec Online Family Friendly Norton Symantec, Netbox Laptop Protector, Netbox Blue, ContentKeeper Express, ContentKeeper Web. Et que la personne doit avoir plus de 18 ans pour surfer sur internet. - le dernier pour la route, Virgin media propose pour 6£ une prise en main à distance de votre pc infecté. Bref exactement ce que tout les FAI français fournissent (logiciels et documentations) depuis le début de l'adsl en france. Le Sat, 30 Oct 2010 00:18:06 +0200, David Bizeul dbiz...@gmail.com a écrit: Bonjour à tous, La FCC va prochainement publier un document de bonnes pratiques pour les FAI en matière de détection et de protection contre diverses activités de cybercriminalité. Le groupe de travail est localisé à l'adresse http://www.fcc.gov/pshs/advisory/csric/wg-8.pdf. De mon point de vue, cela reprend les différentes expérimentations qui fleurissent à travers le monde : - septembre : Initiative allemande pour détecter les utilisateurs compromis : http://www.cio.com.au/article/359491/germany_launch_antibotnet_program_consumers/ - septembre : l'IETF propose des bonnes pratiques pour détecter les bots pour les ISP (http://isc.sans.edu/diary.html?storyid=7138) - juillet : Virgin Media détecte les bots et notifie ses clients (http://www.theregister.co.uk/2010/08/16/vm_malware/) - juin : les Etats Unis recherchent à calquer les actions entreprises en Australie (http://www.zdnet.com.au/us-interested-in-aussie-zombie-code-339304063.htm?omnRef=NULL) - juin : les FAI australiens proposent de déconnecter leurs clients sans antivirus (http://www.darknet.org.uk/2010/06/australians-propose-no-anti-virus-no-internet-connection-policy/) - juin : les FAI australiens mettent en quarantaine leurs clients à risque (http://www.computerweekly.com/Articles/2010/06/09/241511/Australian-ISP-code-could-defeat-new-generation-of-DDoS-attacks-says.htm) - les ISP japonais utilisent une plateforme centralisée pour détecter les bots (http://krebsonsecurity.com/2010/03/talking-bots-with-japans-cyber-clean-center/) - 2009 : Comcast lance son programme anti botnet: http://blog.comcast.com/2009/10/security-scene-introducing-constant-guard.html - 2009 : 14 FAIs néerlandais luttent conjointement contre les botnets : http://www.darkreading.com/blog/archives/2009/09/dutch_isps_sign.html - 2007 : Quest : http://news.qwest.com/index.php?s=43item=305 Des organismes sont leaders en la matière, notamment la IIA (http://www.iia.net.au/), le CCC (https://www.ccc.go.jp/en_ccc/) et permettent de coordonner les actions entre opérateurs. Bref, beaucoup de choses sont en train de changer en ce moment dans la sphère Internet et les FAIs, sollicités depuis longtemps pour prendre part à cette lutte semblent dorénavant adresser le sujet partout dans le monde... sauf en France (j'exagère juste un peu) Je sais pourtant que des actions techniques sont réalisées ponctuellement chez certains opérateurs mais rien ne ressort en terme de service officiel. Ma question est donc simple : pourquoi ne faisons nous rien en France ? Sommes nous différents des autres, cela ne nous coûte t-il rien ? Je ne sais pas si les impacts suivants sont quantifiables : - coût d'opérateurs de call center sollicités parce que les clients sont infectés et leur ordinateur a un comportement inadéquat ; - coût d'une structure abuse qui devra réagir pour des campagnes de spams envoyés par des bots sur des clients; - coût des réquisitions judiciaires pour causes de machine compromise impliquée dans un schéma de fraude; - coût d'une mobilisation d'experts techniques pour lutter contre des clients à la source de dénis de service; - charge induite sur les serveurs SMTP et DNS des FAI à cause des bots; - coût de frais de transit pour toutes les communications liées aux bots; - amélioration de la satisfaction client et développement de la confiance dans l'économis numérique en ligne; Si tel est le cas, il serait intéressant de réfléchir à des actions concrètes qui pourraient être réalisées en suivant d'autres modèles : - mise en quarantaine des clients identifiés à risque et navigation
[FRnOG] Re: [FRnOG] Détection des botnets et protection des internautes
Le 30/10/10, David Bizeuldbiz...@gmail.com a écrit : Ma question est donc simple : pourquoi ne faisons nous rien en France ? Sommes nous différents des autres, cela ne nous coûte t-il rien ? Je ne sais pas si les impacts suivants sont quantifiables : - coût d'opérateurs de call center sollicités parce que les clients sont infectés et leur ordinateur a un comportement inadéquat ; Déjà, le comportement inadéquat n'est pas forcément visible: un bon troyen sait rester discret, c'est la clef de la longévité. Il va envoyer du spam, des attaques, ok, mais l'utilisateur n'en verra rien. Et si le problème est visible, les utilisateurs comprennent généralement que c'est Windows qui est infecté. Quand des pop-ups s'ouvrent partout, rares sont les gens qui appellent le FAI, quand même. - coût d'une structure abuse qui devra réagir pour des campagnes de spams envoyés par des bots sur des clients; Est-ce qu'abuse est vraiment concernée, de nos jours, par le spam de base? Ça a l'air d'être un problème tellement généralisé qu'on ne prend plus vraiment la peine d'aller se plaindre, du moins quand le spam provient d'une ligne résidentielle: en général, ça se gère à coups de blacklists sur des plages d'IP entières.. La dernière fois que j'ai signalé un spam à abuse, le FAI (français, hein) n'a pas daigné répondre ni accuser réception (ne serait-ce que de façon automatique). Il y a vraiment des gens qui signalent à abuse qu'ils recoivent du spam? Sérieusement? - coût des réquisitions judiciaires pour causes de machine compromise impliquée dans un schéma de fraude; Ce coût est remboursé par la justice, non? De plus, il ne doit pas y avoir tant de réquisitions que ça. Le spam se traite de façon technique. Pour le vol de coordonnées bancaires, les gens sont assurés. Reste quoi? Ça existe vraiment des virus qui servent à des choses pour lesquelles on fait une réquisition judiciaire? Des virus pour traiter du contenu pédophile par exemple? - coût d'une mobilisation d'experts techniques pour lutter contre des clients à la source de dénis de service; Ça, c'est dans l'hypothèse où le FAI est victime d'une attaque menée depuis ses clients contre sa propre infrastructure. Il n'y a pas de raison que ça lui tombe dessus précisément, le problème est global: les clients de tout le monde attaquent les infrastructures de tout le monde. Le FAI qui investira pour résoudre le problème va réduire de (mettons) 0.1% le coût pour tout le monde. Lui sera perdant, les autres seront gagnants. Dans une approche purement économique, ce n'est pas intéressant. - charge induite sur les serveurs SMTP et DNS des FAI à cause des bots; - coût de frais de transit pour toutes les communications liées aux bots; Bof.. Les attaques représentent du trafic depuis le réseau du FAI, vers l'extérieur. Vu que le trafic volontaire des utilisateurs va dans l'autre sens, et que les accès sont asymétriques (ADSL), ça ne va pas représenter un gros surcoût pour les FAI. - amélioration de la satisfaction client et développement de la confiance dans l'économis numérique en ligne; Là encore: - la satisfaction du client par rapport à son propre PC, il ne l'attribue pas à son FAI. À son antivirus, à son nouveau Windows (progrès au niveau sécurité entre XP et Vista/Seven), mais il n'a aucune raison de faire le rapprochement entre mon PC rame et je suis chez tel FAI. D'autant plus que, dans un premier temps, l'action du FAI se résumerait à quelque chose de négatif pour lui: non seulement son PC rame, mais en plus le FAI veut le déconnecter! - le problème est global pour tout ce qui ne touche pas au PC infecté. Autrement dit, lutter contre les botnets dans son propre réseau ne permettra pas au FAI, directement, d'empêcher ses clients de recevoir du spam. Il faudrait que le monde entier s'y mette, et il y a des régions du monde qui s'en foutent plus ou moins ouvertement (Chine, Russie, les deux Amériques..) Si tel est le cas, il serait intéressant de réfléchir à des actions concrètes qui pourraient être réalisées en suivant d'autres modèles : - mise en quarantaine des clients identifiés à risque et navigation restreinte - sensibilisation adaptée en ligne à ces clients - approche service de sécurité avec souscription de service en mode opt-in Il faudrait que ce soit gratuit, voire une case cochée par défaut, sinon il n'y aura pas beaucoup de monde pour prendre une option dont on ne voit pas l'intérêt immédiat. Cliquez ici pour ne pas recevoir de spam = oui! Cliquez ici pour ne pas envoyer de spam = Gné? - approche service de sécurité tout intégré proposé par défaut au client La version basique de ça, c'est le port 25 bloqué par défaut et débloquable, par exemple. Si le service est proposé par défaut, ça voudrait dire: - soit que le FAI propose un logiciel à installer sur le poste. Pourquoi pas? Mais ce serait absurde de vouloir le rendre obligatoire, quid des utilisateurs ayant déjà un bon antivirus, une bonne politique de sécurité, ou de ceux
