[FRnOG] Comment choisir un assureur pour sa salle informatique
Bonjour à tous Actuellement, je me préoccupe de l'évolution coté assureur. Étant donné que les salles informatiques sont des cas avec leurs contraintes spécifiques est ce que vous avez des conseils quant aux questions, aux points à considérer pour faire le tri et autres remarques éventuelles. Bien à vous Km --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Le troll du vendredi par Michel
En IPv6 si on route un /48 entier vers une même machine, y'a moyen de faire du tunneling avec les 6 octets dispos dans l'adresse elle-même, dans le /48 en question. Personne n'a encore essayé ? :) Le 5 juin 2011 23:52, François-Frédéric Ozog f...@ozog.com a écrit : Tunneling IP dans les options TCP c’est plus fun que sur dur DNS ;-) De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de MM Envoyé : mardi 31 mai 2011 16:40 À : Adrien Pujol Cc : MikeMuir; frnog@FRnOG.org Objet : Re: [FRnOG] Le troll du vendredi par Michel Ça passe en chine en tout cas (ça m'a bien servi pendant les JO). Ce qui peut arriver en général c'est que la connexion soit TCP soit coupée (volontairement par le DPI) - ou que le DPI te fasse un MITM sur le handshake SSL (et là tu ne laisse pas passer - mais ce genre de truc est mega rare et ne se fait qu'en entreprise, dans des pays peu accueillants ou quand un rigolot s'amuse sur le réseau) Tiens, un truc sympa qui marchait il y a un moment : un tunnel sur du DNS (avec un serveur DNS spécifique en face, bien sûr - et un beau client en local) - ça marchait même chez certains fournisseurs câble sur des connexions non activées :D A priori ça a été développé depuis, google NSTX Allez, il y a toujours un moyen de sortir d'une façon ou d'une autre :D Mathieu Le 31 mai 2011 à 16:17, Adrien Pujol a écrit : Si la techno de filtrage est à base de DPI, ça passera pas forcement.. -- Adrien Pujol http://www.crashdump.fr adrien.pu...@crashdump.fr Le mardi 31 mai 2011 à 15:18, MM a écrit : Ça tombe bien, j'ai un openvpn qui tourne en tcp sur les ports 80 et 443 (sur le 443 c'est plus discret ...) Je suppose qu'ils ont laissé https d'ouvert aussi (sinon, plus de webmail ou autre) :D --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Comment choisir un assureur pour sa salle informatique
Bonjour, je viens apporter ma pierre l'difice. Nous avons eu un gros sinistre incendie (cf http://www.nolme.com/monsinistre/disaster.htm) Du coup, maintenant je commence tre rod sur les clauses et les expertises. 1er constat : les experts ne sont pas foutus de distinguer quoi que ce soit en matire de boitier / rack serveur. 2me constat : comme on le voit sur les photos, il ne reste pas grand chose donc autant avoir une bonne liste et des photos pour se rappeler car on oublie vite Ce qu'il en ressort : - Les valeurs neuf c'est pigeur. Pour ma baie DAS 10 disques SCSI, associe des NAS 4 baies, il a fallu faire des pieds et des mains pour ne pas avoir droit un seule NAS de 1 To car ce serait l'quivalent en espace sur du matos moderne. En gros, ce n'est pas parce que le rack cout 10 k y'a 3 ans qu'ils vont rembourser 10 k mme en valeur neuf. - Attention l'assurance au m2. - Toutes les compagnies d'assurance sont les mmes, il n'y a pas de meilleure ou de pire. Il y a seulement des vraies personnes comptentes et d'autres moins. Donc je dirais qu'il vaut mieux suivre une personne en qui on a confiance plutt que de rester dans la compagnie d'o il part. - Attention aux rgles proportionnelles qui font vite trs mal. Un non respect d'une clause entraine des ajustements au prorata du global du sinistre. C'est un tout petit rsum de mes 3 dernires annes. Dans mon entourage pro et perso, j'ai audit tous les contrats possibles et j'ai trouv une faille dans tous. oO ++ Vincent Le 06/06/2011 09:50, cam.la...@azerttyu.net a crit: Bonjour tous Actuellement, je me proccupe de l'volution cot assureur. tant donn que les salles informatiques sont des cas avec leurs contraintes spcifiques est ce que vous avez des conseils quant aux questions, aux points considrer pour faire le tri et autres remarques ventuelles. Bien vous Km -- Nolm Informatique Vincent DUVERNET Directeur Technique Certifications: Kaspersky Lab, Netgear VMWare VSP/VTSP, Cisco Select SMB Nolm Informatique Lieudit La Fontaine 61170LALEU FRANCE Tel : (+33)2 33 27 30 96 E-mail : vincent.duver...@nolme.com Web : http://www.nolme.com
Re: [FRnOG] Le troll du vendredi par Michel
Le 6 juin 2011 15:06, Emmanuel Thierry m...@sekil.fr a écrit : Le 6 juin 2011 à 14:26, Guillaume Leclanche a écrit : En IPv6 si on route un /48 entier vers une même machine, y'a moyen de faire du tunneling avec les 6 octets dispos dans l'adresse elle-même, dans le /48 en question. Personne n'a encore essayé ? :) Euh, techniquement on peut le faire avec un /64 aussi, non ? :) Ouais, /64 aussi, d'ailleurs j'ai dit une connerie, j'ai fait 48/8=6 mais en fait je devais faire (128-48)/8=10 Donc si on route un /48 on a 10 octets, si on route un /64 on a 8 octets. Guillaume --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Le troll du vendredi par Michel
Le 6 juin 2011 à 14:26, Guillaume Leclanche a écrit : En IPv6 si on route un /48 entier vers une même machine, y'a moyen de faire du tunneling avec les 6 octets dispos dans l'adresse elle-même, dans le /48 en question. Personne n'a encore essayé ? :) Euh, techniquement on peut le faire avec un /64 aussi, non ? :) ( /me se débat avec les neighbor discovery envoyés par le routeur cisco d'ovh pour qu'il envoie tout le /64 vers mon rps et pas seulement l'ip qui est sur mon interface eth0... Plus que 2 jours ! :-/ ) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Comment choisir un assureur pour sa salle informatique
Ciao Merci pour ces débuts de réponses, il semblerait que comme souvent la règle est qu'il n'y ai pas de règles. J'ai oublié de préciser mais dans mes critères il y a aussi une notion de proximité. C'est à dire pouvoir aller chercher par moi même l'assureur si cela est necessaire. L'idée d'avoir à traiter via un répondeur comme on peut maintenant le trouver un peu trop souvent dans le cas des assurances personnelles ne m'emballe pas des masses :) Km --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Le troll du vendredi par Michel
Pour le tunneling IP, certains Firewall/IPS droppent les options TCP non standard, comme cest le cas avec les Cisco ASA et IPS (voir comment activer BGP + Auth à travers lASA ). Pour le DNS Tunneling, il y a, entre autres, iodined. Le principe pour que ça passe partout est de déléguer un sous domaine son serveur en tant que serveur DNS pour une zone, en ajoutant un enregistrement NS sur son root domain, ce qui fait que les serveur DNS vont forward les requêtes pour les sous domaines de cette zone, et la je sais pas trop comment on peut bloquer ça à 100%, car si on empêche nos serveur internes de contacter les serveurs DNS pour les domaines externes, on risque davoir des soucis avec certains sites On peut toujours rate limiter le DNS mais ça ne couperas pas à 100% En tous cas cest pratique pour surfer gratuitement sur les hotspots ;) Je suis pas un guru du DNS, mais si quelquun voit une solution efficace pour bloquer ce genre de mécanisme cela peut être intéressant From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf Of François-Frédéric Ozog Sent: Sunday, June 05, 2011 23:52 To: 'MM'; 'Adrien Pujol' Cc: 'MikeMuir'; frnog@FRnOG.org Subject: RE: [FRnOG] Le troll du vendredi par Michel Tunneling IP dans les options TCP cest plus fun que sur dur DNS ;-) De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de MM Envoyé : mardi 31 mai 2011 16:40 À : Adrien Pujol Cc : MikeMuir; frnog@FRnOG.org Objet : Re: [FRnOG] Le troll du vendredi par Michel Ça passe en chine en tout cas (ça m'a bien servi pendant les JO). Ce qui peut arriver en général c'est que la connexion soit TCP soit coupée (volontairement par le DPI) - ou que le DPI te fasse un MITM sur le handshake SSL (et là tu ne laisse pas passer - mais ce genre de truc est mega rare et ne se fait qu'en entreprise, dans des pays peu accueillants ou quand un rigolot s'amuse sur le réseau) Tiens, un truc sympa qui marchait il y a un moment : un tunnel sur du DNS (avec un serveur DNS spécifique en face, bien sûr - et un beau client en local) - ça marchait même chez certains fournisseurs câble sur des connexions non activées :D A priori ça a été développé depuis, google NSTX Allez, il y a toujours un moyen de sortir d'une façon ou d'une autre :D Mathieu Le 31 mai 2011 à 16:17, Adrien Pujol a écrit : Si la techno de filtrage est à base de DPI, ça passera pas forcement.. -- Adrien Pujol http://www.crashdump.fr/ http://www.crashdump.fr mailto:adrien.pu...@crashdump.fr adrien.pu...@crashdump.fr Le mardi 31 mai 2011 à 15:18, MM a écrit : Ça tombe bien, j'ai un openvpn qui tourne en tcp sur les ports 80 et 443 (sur le 443 c'est plus discret ...) Je suppose qu'ils ont laissé https d'ouvert aussi (sinon, plus de webmail ou autre) :D
Re: [FRnOG] Le troll du vendredi par Michel
Hello, 2011/6/6 Bastien Migette bastien.mige...@gmail.com: Pour le DNS Tunneling, il y a, entre autres, iodined. Le principe pour que ça passe partout est de déléguer un sous domaine son serveur en tant que serveur DNS pour une zone, en ajoutant un enregistrement NS sur son root domain, ce qui fait que les serveur DNS vont forward les requêtes pour les sous domaines de cette zone, et la je sais pas trop comment on peut bloquer ça à 100%, car si on empêche nos serveur internes de contacter les serveurs DNS pour les domaines externes, on risque d’avoir des soucis avec certains sites… On peut toujours rate limiter le DNS mais ça ne couperas pas à 100% Si je ne dis pas de bêtises, le tunneling DNS fonctionne en utilisant les enregistrements TXT. Il y a quoi comme usage normal de TXT ? En gros, si je bloque les requêtes DNS vers des enregistrements TXT, qu'est ce que je casse ? Dans le cas d'un hotspot wifi avec portail captif, ca ne semble pas aberrant de ne laisser passer que A (ou ;)) et CNAME tant que la personne n'est pas authentifiée. -- Pierre-François HUGUES --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Le troll du vendredi par Michel
Le 6 juin 2011 à 18:16, Bastien Migette a écrit : Pour le tunneling IP, certains Firewall/IPS droppent les options TCP non standard, comme c’est le cas avec les Cisco ASA et IPS (voir comment activer BGP + Auth à travers l’ASA…). Pour le DNS Tunneling, il y a, entre autres, iodined. Le principe pour que ça passe partout est de déléguer un sous domaine son serveur en tant que serveur DNS pour une zone, en ajoutant un enregistrement NS sur son root domain, ce qui fait que les serveur DNS vont forward les requêtes pour les sous domaines de cette zone, et la je sais pas trop comment on peut bloquer ça à 100%, car si on empêche nos serveur internes de contacter les serveurs DNS pour les domaines externes, on risque d’avoir des soucis avec certains sites… On peut toujours rate limiter le DNS mais ça ne couperas pas à 100% En tous cas c’est pratique pour surfer gratuitement sur les hotspots ;) Je suis pas un guru du DNS, mais si quelqu’un voit une solution efficace pour bloquer ce genre de mécanisme cela peut être intéressant… J'ai un gros doute que l'on puisse utiliser iodined pour passer les hotspots gratuitement (d'ailleurs j'ai déjà eu cette discussion il y a quelques jours). AMHA, sur un hotspot bien foutu, avant l'authentification de l'utilisateur, l'AP va faire trois choses: - Dropper tout le trafic par défaut - Rediriger vers son adresse les ports 80 et 53 - Mettre un wildcard DNS vers son adresse sur le serveur de nom Avant l'authentification de l'utilisateur, je ne vois pas à quel moment l'AP aurait besoin de laisser passer du trafic vers l'extérieur (y compris du trafic DNS).
Re: [FRnOG] Le troll du vendredi par Michel
SPF Le lundi 6 juin 2011 18:48:08, Pierre-François HUGUES a écrit : Hello, 2011/6/6 Bastien Migette bastien.mige...@gmail.com: Pour le DNS Tunneling, il y a, entre autres, iodined. Le principe pour que ça passe partout est de déléguer un sous domaine son serveur en tant que serveur DNS pour une zone, en ajoutant un enregistrement NS sur son root domain, ce qui fait que les serveur DNS vont forward les requêtes pour les sous domaines de cette zone, et la je sais pas trop comment on peut bloquer ça à 100%, car si on empêche nos serveur internes de contacter les serveurs DNS pour les domaines externes, on risque d’avoir des soucis avec certains sites… On peut toujours rate limiter le DNS mais ça ne couperas pas à 100% Si je ne dis pas de bêtises, le tunneling DNS fonctionne en utilisant les enregistrements TXT. Il y a quoi comme usage normal de TXT ? En gros, si je bloque les requêtes DNS vers des enregistrements TXT, qu'est ce que je casse ? Dans le cas d'un hotspot wifi avec portail captif, ca ne semble pas aberrant de ne laisser passer que A (ou ;)) et CNAME tant que la personne n'est pas authentifiée. -- Pierre-François HUGUES --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Le troll du vendredi par Michel
On Mon, 6 Jun 2011 19:08:39 +0200, Emmanuel Thierry m...@sekil.fr said: Avant l'authentification de l'utilisateur, je ne vois pas à quel moment l'AP aurait besoin de laisser passer du trafic vers l'extérieur (y compris du trafic DNS). J'ai vu au contraire, des systemes ou seul le traffic DNS et HTTP/HTTPS etait bloque/modifie/abuse, le reste passait comme une lettre a la poste. En matiere de mauvaises solutions, il n'y a quasiment pas de limite --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Comment choisir un assureur pour sa salle informatique
On Mon, 6 Jun 2011 17:02:46 +0200, cam.la...@azerttyu.net cam.la...@azerttyu.net wrote: Ciao Merci pour ces débuts de réponses, il semblerait que comme souvent la règle est qu'il n'y ai pas de règles. J'ai oublié de préciser mais dans mes critères il y a aussi une notion de proximité. C'est à dire pouvoir aller chercher par moi même l'assureur si cela est necessaire. L'idée d'avoir à traiter via un répondeur comme on peut maintenant le trouver un peu trop souvent dans le cas des assurances personnelles ne m'emballe pas des masses :) Km Fais le déplacer sur site, fais une liste du matos, fais des photos, fais des plans, fais des devis ou factures du matériel et tu fais tout tamponner par le cachet du cabinet d'assurance. Ensuite, tu fais réévaluer tous les ans. Tu peux aussi voir pour un budget forfaitaire d'indemnisation. ++ Vincent --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] DCTCP anyone?
Salut, Est-ce que quelqu'un a un quelconque retour d'expérience sur ce truc qui vient de Stanford ? http://www.stanford.edu/~alizade/Site/DCTCP.html Et le papier universitaire qui va avec: http://simula.stanford.edu/sedcl/files/dctcp-final.pdf Si l'un d'entre vous a de l'info je prends :) -- Greg VILLAIN --- Liste de diffusion du FRnOG http://www.frnog.org/