Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
En tant qu’opérateur BtoB, tu dois effectivement prôner l’utilisation d’IPv6 et éduquer tes clients. Tu t’efforces également d’éduquer les nouveaux clients, de faire du lobbying pour tes clients existants en passant du temps à faire de la communication technique. Je l’ai fais dans un précédent job, comme par exemple par défaut affecter un bloc IPv6 et en l’indiquant au client. Cela a eu plusieurs avantages comme : - Une meilleure place dans les rankings d’opérateurs, - Une bonne réputation ( tech compétents ) - Rajouter du blabla dans le discours des commerciaux - … En pratique, l’utilisation d’IPv6 reste très anecdotique en entreprise, je dirais meme quasi nul ! Je ne crois pas que cela changement rapidement et qu’on est bien barré pour s’y coller encore qq années sur un status qu’il s’agit d’un protocole du “futur” alors que c’est maintenant :) Depuis le temps que je vois la lente, lente et … lente progression d’IPv6, je commence à penser que ce sera une utilisation brutale que nous allons avoir. Un “géant” va basculer du jour au lendemain des nouveaux services en IPv6 avec plus de fonctionnalités qu’IPv4, et l’aura planifié avec qq grand Eyeballs et bam, les autres suivront rapidement. Il y a des gens compétents dans toutes les entreprises qui maitrisent ce protocol, et leur direction verra enfin une motivation autre que le ROI ( genre survivre ) pour affecter des ressources sur son implémentation. Pour ce qui est de la récupération de blocs historique, on va récupérer effectivement qq blocs ( on a tous vu des réseaux de gros industriels avec des ip publiques sur les imprimantes et bien sur dans un gros /16 ), mais bon c’est un épiphénomène comparativement à ce que nous consommons et allons consommer dans les prochaines … semaines :) ! Donc, Le Nainternet saura s’adapter en tres peu de temps le jour ou… Zero inquietude ! ( bon il y aura un peu de casse, mais pas grand chose ) Raphael On 24 Sep 2014, at 01:20, Christophe t...@stuxnet.org wrote: Bonsoir, Le 23/09/2014 14:15, Stephane Bortzmeyer a écrit : Non. Laissons IPv4 tranquille, aucune raison de persécuter les malheureux qui l'utilisent encore, et occupons-nous du protocole d'aujourd'hui (IPv6). Voila une remarque constructive. Pour ma part, ce n'est pas comme si je tentais de prôner la bonne parole autour de moi depuis plus de 5 ans, et que tout le monde s'en fout ... (et je ne suis pas admin réseaux de formation) Pire, même encore maintenant, je suis convaincu que bon nombre d'admin sys/réseaux, ne se sont même pas penchés sur la question. Et quand je vois ce qui peut encore se vendre sur le Web comme étant des routeurs, ça me fout réellement la chair de poule. Loin de moi l'idée du terme evangelist (Beurk). Je m’intéresse seulement de toute part à ce qu'est Internet, et tiens à ce qu'il reste tel que les concepteurs l'ont imaginé au départ ; Un échange de données entre deux points du réseau. A mon sens, c'est juste ce qu'on demande au Réseau des réseaux peut importe ce qu'il y transite et de quelle façon. Ces tentatives désespérées de vouloir à tout prix conserver IPv4 ne font que reculer, reculer, reculer, pour sauter dans un gouffre sans fond à un moment donné, étant donné le nombre de rustines déjà conséquentes (et les problématiques qui vont avec) mises en place pour le conserver, et ça ne date pas d'hier. Je ne dirais jamais assez que le commerce a pris le pas sur la technique. La tendance est bien malheureusement que la technique doit se plier au commerce, que les intermédiaires sont entre deux feux, et n'ont probablement pas les moyens de s'investir dans ce genre d'évolutions. Sauf qu'à un moment donné, la technique prendra nécessairement le pas. Quand le commerce obtiendra des réponses négatives systématiques à la majorité de leur demande, le commerce prendra conscience probablement trop tard que les alertes soulevées par la technique dans le passé deviennent (très) problématiques et que cela va vite nuire au chiffre. L'anticipation est à mon sens le maître mot, surtout en ce qui concerne ce sujet qui est encore considéré pour beaucoup, comme une lubie de Geek fondamentalement asocial. (autant je pouvais le concevoir il y a 5 ans ... mais maintenant ?) Aucune attaque contre qui que se soit dans ces remarques ; Le monde des opérateurs est de loin bien plus évolué dans ce domaine que mon simple jugement de ce qu'il se passe d'une manière générale. Reste que je suis connecté en IPv6 à titre personnel depuis déjà bien des années, et qu'il me semble totalement inconcevable, à ce jour de passer à côté. A bientôt. Christophe. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'Adtrap du geek barbu
Le 24 sept. 2014 à 07:05, Michel Py a écrit : Tant qu'on y est, on mets aussi dedans l'ExaBGP de Thomas Mangin, qui donne à bouffer au routeur les IPs louches qu'on route sur null0 et qu'on dégage dès l'entrée avec RPF en mode strict (*). Juste une précision : Il est où ton routeur ? Chez toi ou dans un DC ? Je ne comprends pas trop ton schéma. (si c'est chez toi, inutile de dire que je ne comprend pas l'utilité de filtrer par BGP vu que le goulot d'étranglement est en amont) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Hello, Le 23 sept. 2014 à 14:33, Clement Cavadore clem...@cavadore.net a écrit : On Tue, 2014-09-23 at 14:25 +0200, Radu-Adrian Feurdean wrote: On a de facto un internet parallele, avec les bonnes pratiques et l'experience du vrain internet en moins. Sauf si l'entite en question decide justement d'utiliser toute la connaissance aquise sur le vrai Internet et de la transposer sur le sien. (...) - Et ce n'est pas juste un cas d'école, ca existe vraiment, j'ai bossé sur certains réseaux dans ce genre genre (réseaux financiers, notamment). Il n'y a pas que des IP du marais là dedans, il y a même des IP de LIR ou des blocs PI récents. Je confirme que ce choix a été fait dans l'une des boites ou j'ai travaillé. Avec quand même l'annonce totale de la PI (bon ok routée dans null0 après). Parce quand on a empilement de NAT a la fin, on comprends plus rien... Genre NAT4 (c'est a vous le packet de 172.16.1.1:54020 qui a fait peté la bourse la semaine dernière ?). Bon évidement dans le milieu financier quand on parle d'IPv6, de tunnel IPSEC 8192 bits, de SHA-2 on nous prends pour des allumés... juste pour donner un aperçu général. Après il y a des exceptions, mais comme les DSI disent : non on a pas que ça a faire de jouer avec l'IPv6... Jusqu'au jour ou : merde ! y a un client qui m'as envoyé chier car mon soft payé 2Md€ ne marche pas sur ipv6. Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Et ça c’est pour l’entreprise. Mais le Grand Public est à la rue. Autant que je sache, Orange n’est toujours pas prêt. Côté contenu, il y a bien entendu des milliers de site qui ne sont pas encore ipv6. Pour qu’ils fassent le saut, il faudrait qu’ils soient coupés d’une partie conséquente de leur audience, donc qu’un des 4 gros FAI osent basculer tous ses clients en ipv6-only, sans NAT64. A mon avis, pas demain la veille. Et côté ipv4 ? Oui vous avez raison, faut pas s’en occuper. Sauf que les gros LIR ont de la réserve et donc un Orange se permet encore de filer un /29 à n’importe quel client SDSL de base (d’après ce que je sais). Et une fois qu’ils auront épuisé tout, ils auront encore des moyens de libérer des blocs peu ou pas utilisés en interne. Les petits (et les moyens dans une moindre mesure) LIR par contre, ils vont l’avoir dans l’os eux: pas de réserve de chacal pour l’hiver. D’autant plus que je pense que la croissance en nouveaux clients des petits est plus forte que chez les gros LIR. On va donc arriver à une jolie situation où le gros LIR va devenir commercialement plus fort parce qu’il aura encore des v4, alors que le petit ne pourra plus proposer que du v6 en annonçant que certaines ressources pourraient être inaccessibles. Ou alors NAT64 et tout le merdier technique, ou alors recours juridique ou au régulateur (où est-il d’ailleurs ?). Oui je suis un peu pessimiste. Après réflexion, ce qui pourrait être acceptable pour un gros FAI, c’est de passer tous les clients en dual-stack (comme SFR actuellement) mais de mettre le client en privé sur le v4, avec du CGN en coeur de réseau. Et ceux qui veulent vraiment une IPv4 publique sur leur routeur (parce que port forward et autres), probablement moins de 1% des clients, ils passent à la caisse. Côté 3G/4G, on en est où ? Nul part je parie :) Le 24 sept. 2014 à 10:56, Xavier Beaudouin k...@oav.net a écrit : Hello, Le 23 sept. 2014 à 14:33, Clement Cavadore clem...@cavadore.net a écrit : On Tue, 2014-09-23 at 14:25 +0200, Radu-Adrian Feurdean wrote: On a de facto un internet parallele, avec les bonnes pratiques et l'experience du vrain internet en moins. Sauf si l'entite en question decide justement d'utiliser toute la connaissance aquise sur le vrai Internet et de la transposer sur le sien. (...) - Et ce n'est pas juste un cas d'école, ca existe vraiment, j'ai bossé sur certains réseaux dans ce genre genre (réseaux financiers, notamment). Il n'y a pas que des IP du marais là dedans, il y a même des IP de LIR ou des blocs PI récents. Je confirme que ce choix a été fait dans l'une des boites ou j'ai travaillé. Avec quand même l'annonce totale de la PI (bon ok routée dans null0 après). Parce quand on a empilement de NAT a la fin, on comprends plus rien... Genre NAT4 (c'est a vous le packet de 172.16.1.1:54020 qui a fait peté la bourse la semaine dernière ?). Bon évidement dans le milieu financier quand on parle d'IPv6, de tunnel IPSEC 8192 bits, de SHA-2 on nous prends pour des allumés... juste pour donner un aperçu général. Après il y a des exceptions, mais comme les DSI disent : non on a pas que ça a faire de jouer avec l'IPv6... Jusqu'au jour ou : merde ! y a un client qui m'as envoyé chier car mon soft payé 2Md€ ne marche pas sur ipv6. Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Hello David, Le 24 sept. 2014 à 11:34, David Ponzone david.ponz...@gmail.com a écrit : Et ça c’est pour l’entreprise. Mais le Grand Public est à la rue. Autant que je sache, Orange n’est toujours pas prêt. C'est Work in progress (comme la pub intel avec la barre de progression)... ETA inconnue :) Côté contenu, il y a bien entendu des milliers de site qui ne sont pas encore ipv6. Pourtant c'est pas compliqué, déjà s'ils avaient leur DNS en IPv6 ca serait déjà un début... Pour qu’ils fassent le saut, il faudrait qu’ils soient coupés d’une partie conséquente de leur audience, donc qu’un des 4 gros FAI osent basculer tous ses clients en ipv6-only, sans NAT64. A mon avis, pas demain la veille. +1 (...) Oui je suis un peu pessimiste. Je suis d'accord avec toi. Après réflexion, ce qui pourrait être acceptable pour un gros FAI, c’est de passer tous les clients en dual-stack (comme SFR actuellement) mais de mettre le client en privé sur le v4, avec du CGN en coeur de réseau. Et ceux qui veulent vraiment une IPv4 publique sur leur routeur (parce que port forward et autres), probablement moins de 1% des clients, ils passent à la caisse. +1 Côté 3G/4G, on en est où ? Nul part je parie :) v0x avais fait un joli speech la dessus a une frnog. En gros les soft sur téléphone sont tellement habitué aux 2000 couches de NAT que d'avoir une ip sans NAT ne sert a rien. Ceci dit ca augmente la complexité du codes de ces applis c'est sûr. Donc pour la 3/4G, rien, et ils vont rien proposer... De toute façon tout le monde s'en tappe... (et puis quand la 3/4G sera vraiment utilisable a 100% du temps, les poules auront des dents...mais c'est que mon avis perso). Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Généralement je suis assez remonte contre le régulateur pour lequel j'ai un certain nombre de griefs dont celui de foutre le bordel dans une industrie dont il a démontré a maintes et maintes reprises qu'il ne comprend finalement pas grand choses... C'est un point de vue personnel qui n'engage que moi bien entendu. Ce caveat mis a part, le régulateur n'est pas la tout simplement parcequ'en ce qui concerne le Nainternet ce n'est pas dans son domaine d'intervention. Combien de fois avons nous parle ici même du sujet j'ai un AS mais je suis pas déclaré opérateur? La question des ressources IP au contraire du plan de num est sous contrôle d'une boîte privée qui en délégué la gestion régionale a des associations. Remettre la main sur cette compétence que d'aucuns pourraient considérer comme régalienne est assez improbable. Donc a moins d'une décision unilatérale du propriétaire des ip du monde qui reviendrait a dire la 01/01/2020 par exemple on éteins la lumière sur v4, même avec ça je ne sais pas comment la chose pourrait être menée à bien. Bref tant qu'on aura des DSI qui gèrent des budgets au lieu de gérer leurs SI, v4 est très loin de mourir! Le 24 sept. 2014 à 11:34, David Ponzone david.ponz...@gmail.com a écrit : Et ça c’est pour l’entreprise. Mais le Grand Public est à la rue. Autant que je sache, Orange n’est toujours pas prêt. Côté contenu, il y a bien entendu des milliers de site qui ne sont pas encore ipv6. Pour qu’ils fassent le saut, il faudrait qu’ils soient coupés d’une partie conséquente de leur audience, donc qu’un des 4 gros FAI osent basculer tous ses clients en ipv6-only, sans NAT64. A mon avis, pas demain la veille. Et côté ipv4 ? Oui vous avez raison, faut pas s’en occuper. Sauf que les gros LIR ont de la réserve et donc un Orange se permet encore de filer un /29 à n’importe quel client SDSL de base (d’après ce que je sais). Et une fois qu’ils auront épuisé tout, ils auront encore des moyens de libérer des blocs peu ou pas utilisés en interne. Les petits (et les moyens dans une moindre mesure) LIR par contre, ils vont l’avoir dans l’os eux: pas de réserve de chacal pour l’hiver. D’autant plus que je pense que la croissance en nouveaux clients des petits est plus forte que chez les gros LIR. On va donc arriver à une jolie situation où le gros LIR va devenir commercialement plus fort parce qu’il aura encore des v4, alors que le petit ne pourra plus proposer que du v6 en annonçant que certaines ressources pourraient être inaccessibles. Ou alors NAT64 et tout le merdier technique, ou alors recours juridique ou au régulateur (où est-il d’ailleurs ?). Oui je suis un peu pessimiste. Après réflexion, ce qui pourrait être acceptable pour un gros FAI, c’est de passer tous les clients en dual-stack (comme SFR actuellement) mais de mettre le client en privé sur le v4, avec du CGN en coeur de réseau. Et ceux qui veulent vraiment une IPv4 publique sur leur routeur (parce que port forward et autres), probablement moins de 1% des clients, ils passent à la caisse. Côté 3G/4G, on en est où ? Nul part je parie :) Le 24 sept. 2014 à 10:56, Xavier Beaudouin k...@oav.net a écrit : Hello, Le 23 sept. 2014 à 14:33, Clement Cavadore clem...@cavadore.net a écrit : On Tue, 2014-09-23 at 14:25 +0200, Radu-Adrian Feurdean wrote: On a de facto un internet parallele, avec les bonnes pratiques et l'experience du vrain internet en moins. Sauf si l'entite en question decide justement d'utiliser toute la connaissance aquise sur le vrai Internet et de la transposer sur le sien. (...) - Et ce n'est pas juste un cas d'école, ca existe vraiment, j'ai bossé sur certains réseaux dans ce genre genre (réseaux financiers, notamment). Il n'y a pas que des IP du marais là dedans, il y a même des IP de LIR ou des blocs PI récents. Je confirme que ce choix a été fait dans l'une des boites ou j'ai travaillé. Avec quand même l'annonce totale de la PI (bon ok routée dans null0 après). Parce quand on a empilement de NAT a la fin, on comprends plus rien... Genre NAT4 (c'est a vous le packet de 172.16.1.1:54020 qui a fait peté la bourse la semaine dernière ?). Bon évidement dans le milieu financier quand on parle d'IPv6, de tunnel IPSEC 8192 bits, de SHA-2 on nous prends pour des allumés... juste pour donner un aperçu général. Après il y a des exceptions, mais comme les DSI disent : non on a pas que ça a faire de jouer avec l'IPv6... Jusqu'au jour ou : merde ! y a un client qui m'as envoyé chier car mon soft payé 2Md€ ne marche pas sur ipv6. Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Euh, j’ai jamais dit que je parlais de l’ARCEP :) Le RIPE est censé être le gendarme des IP non ? Mais par faute de moyens je pense, ils ne le font pas (pas vraiment). Pourquoi les gros (et moyens) LIR se permettent depuis des années de filer des /29 à des clients SDSL sans même se poser la question de leur besoin réel ? Tant que c’est en dessous de leur assignment window, personne ne leur dit rien. L’abus (ou incompétence) technique devient un avantage commercial. Le 24 sept. 2014 à 13:04, Sebastien Lesimple slesim...@laposte.net a écrit : Généralement je suis assez remonte contre le régulateur pour lequel j'ai un certain nombre de griefs dont celui de foutre le bordel dans une industrie dont il a démontré a maintes et maintes reprises qu'il ne comprend finalement pas grand choses... C'est un point de vue personnel qui n'engage que moi bien entendu. Ce caveat mis a part, le régulateur n'est pas la tout simplement parcequ'en ce qui concerne le Nainternet ce n'est pas dans son domaine d'intervention. Combien de fois avons nous parle ici même du sujet j'ai un AS mais je suis pas déclaré opérateur? La question des ressources IP au contraire du plan de num est sous contrôle d'une boîte privée qui en délégué la gestion régionale a des associations. Remettre la main sur cette compétence que d'aucuns pourraient considérer comme régalienne est assez improbable. Donc a moins d'une décision unilatérale du propriétaire des ip du monde qui reviendrait a dire la 01/01/2020 par exemple on éteins la lumière sur v4, même avec ça je ne sais pas comment la chose pourrait être menée à bien. Bref tant qu'on aura des DSI qui gèrent des budgets au lieu de gérer leurs SI, v4 est très loin de mourir! Le 24 sept. 2014 à 11:34, David Ponzone david.ponz...@gmail.com a écrit : Et ça c’est pour l’entreprise. Mais le Grand Public est à la rue. Autant que je sache, Orange n’est toujours pas prêt. Côté contenu, il y a bien entendu des milliers de site qui ne sont pas encore ipv6. Pour qu’ils fassent le saut, il faudrait qu’ils soient coupés d’une partie conséquente de leur audience, donc qu’un des 4 gros FAI osent basculer tous ses clients en ipv6-only, sans NAT64. A mon avis, pas demain la veille. Et côté ipv4 ? Oui vous avez raison, faut pas s’en occuper. Sauf que les gros LIR ont de la réserve et donc un Orange se permet encore de filer un /29 à n’importe quel client SDSL de base (d’après ce que je sais). Et une fois qu’ils auront épuisé tout, ils auront encore des moyens de libérer des blocs peu ou pas utilisés en interne. Les petits (et les moyens dans une moindre mesure) LIR par contre, ils vont l’avoir dans l’os eux: pas de réserve de chacal pour l’hiver. D’autant plus que je pense que la croissance en nouveaux clients des petits est plus forte que chez les gros LIR. On va donc arriver à une jolie situation où le gros LIR va devenir commercialement plus fort parce qu’il aura encore des v4, alors que le petit ne pourra plus proposer que du v6 en annonçant que certaines ressources pourraient être inaccessibles. Ou alors NAT64 et tout le merdier technique, ou alors recours juridique ou au régulateur (où est-il d’ailleurs ?). Oui je suis un peu pessimiste. Après réflexion, ce qui pourrait être acceptable pour un gros FAI, c’est de passer tous les clients en dual-stack (comme SFR actuellement) mais de mettre le client en privé sur le v4, avec du CGN en coeur de réseau. Et ceux qui veulent vraiment une IPv4 publique sur leur routeur (parce que port forward et autres), probablement moins de 1% des clients, ils passent à la caisse. Côté 3G/4G, on en est où ? Nul part je parie :) Le 24 sept. 2014 à 10:56, Xavier Beaudouin k...@oav.net a écrit : Hello, Le 23 sept. 2014 à 14:33, Clement Cavadore clem...@cavadore.net a écrit : On Tue, 2014-09-23 at 14:25 +0200, Radu-Adrian Feurdean wrote: On a de facto un internet parallele, avec les bonnes pratiques et l'experience du vrain internet en moins. Sauf si l'entite en question decide justement d'utiliser toute la connaissance aquise sur le vrai Internet et de la transposer sur le sien. (...) - Et ce n'est pas juste un cas d'école, ca existe vraiment, j'ai bossé sur certains réseaux dans ce genre genre (réseaux financiers, notamment). Il n'y a pas que des IP du marais là dedans, il y a même des IP de LIR ou des blocs PI récents. Je confirme que ce choix a été fait dans l'une des boites ou j'ai travaillé. Avec quand même l'annonce totale de la PI (bon ok routée dans null0 après). Parce quand on a empilement de NAT a la fin, on comprends plus rien... Genre NAT4 (c'est a vous le packet de 172.16.1.1:54020 qui a fait peté la bourse la semaine dernière ?). Bon évidement dans le milieu financier quand on parle d'IPv6, de tunnel IPSEC 8192 bits, de SHA-2 on nous prends pour des allumés... juste pour donner un aperçu général. Après il y
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
On Wed, Sep 24, 2014, at 13:11, David Ponzone wrote: Le RIPE est censé être le gendarme des IP non ? Non. RIPE NCC est une association (enregistre, statut legal) dont le but est de mettre en ouvre les politiques mise en place par la communaute RIPE. Pas plus. RIPE (sans NCC, la communaute) n'existe pas juridiquement, toute personne ayant acces a Internet et a l'email etant libre de se joindre a la fete. C'est elle qui a le pouvoir de decision. Si ca resemble un peu a l'anarchie, faut se souvenir juste que ca fait plus de 20 and que CA MARCHE comme ca Mais par faute de moyens je pense, ils ne le font pas (pas vraiment). Pourquoi les gros (et moyens) LIR se permettent depuis des années de filer des /29 à des clients SDSL sans même se poser la question de leur besoin réel ? Parce qu'ils peuvent, et parce-que la communaute n'a pas considere jusqu'a maintenant que ca soit un probleme. Et aussi parce-que les gros ont les ressources de payer de gens a veiller pour que ca ne change pas. Rappel: la RIPE NCC GM de Nov 2011, ou ils ont quand-meme reussi a faire passer le mode de facturation meme montant pour tous, peu importe la taille. Ils n'etait pas tous seuls, et contrairement aux petits, ils votaient dans un beaucoup plus grand pourcentage. L’abus (ou incompétence) technique devient un avantage commercial. Ca, un peu partout. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 24/09/2014 14:17, Radu-Adrian Feurdean wrote: RIPE (sans NCC, la communaute) n'existe pas juridiquement, toute personne ayant acces a Internet et a l'email etant libre de se joindre a la fete. C'est elle qui a le pouvoir de decision. Si ca resemble un peu a l'anarchie, faut se souvenir juste que ca fait plus de 20 and que CA MARCHE comme ca C'est pas de l'anarchie, c'est une société (au sens large) dont les membres ont un droit de vote. Et c'est qui les membres, ce sont les LIR, c'est nous, tous, là, qui lisons FRNog. Alors au lieu de nous plaindre ouin le Ripe fait pas son boulot, il aurait fallu lire les listes où la marchandisation des ressources de numérotation a été discutée, et venir voter aux assemblées pour dire non aux résolutions qui depuis plusieurs années abandonnent la ressource publique au secteur privé. Aujourd'hui non pas le Ripe, mais les LIR qui ont voté, ont décidé que les réseaux dont ils se servaient plus, ils pourraient les vendre sur un marché de pair à pair, et que les petits qui auraient besoin d'adresses pour survivre ils mourraient la gueule ouverte si ils avaient pas les moyens de se faire vendre des ressources qui devraient encore être publiques. Cette abdication c'est la nôtre, pas celle du Ripe. Rappel: la RIPE NCC GM de Nov 2011, ou ils ont quand-meme reussi a faire passer le mode de facturation meme montant pour tous, peu importe la taille. Ils n'etait pas tous seuls, et contrairement aux petits, ils votaient dans un beaucoup plus grand pourcentage. Mais ça c'est logique : s'il y avait proportionnalité des cotisations alors les petits n'auraient plus la moindre chance de représentation puisque le Ripe deviendrait financièrement dépendant des gros. La cotisation égale pour tous ça veut dire que les petits pourraient faire changer les règles, si seulement ils se sortaient les doigts. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.12 (GNU/Linux) iF4EAREIAAYFAlQivs8ACgkQJBGsD8mtnRESlAD/Untf/FrgR9QBo67ihzyUUMnw 88mGdiTZPKL4L8fRNZsBAKwbJiH/dqACe5GC8bHWn6kyg45q+2iWAfKGpnqu3u2V =SzFC -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'Adtrap du geek barbu
Bonjour la mailing ! Je vous lis depuis quelques années, mais c'est mon premier message, donc j'offre les croissants. J'ai un petit projet perso de réseau sécurisé, lancé à l'origine suite à des vulnérabilités découvertes dans les box opérateur grand public, et puis bien sûr la NSA tout ça tout ça. Pas spécialement barbu mais je vais la détailler car àmha ça répond à quelques questions posées ici. Pour l'instant j'ai une archi assez simple : internet box opérateur en bridge, brainless routeur portant l'IP publique et faisant le NAT IPS routeur Wi-Fi --- devices Le routeur Wi-Fi fait le DHCP interne, et porte quelques services (VPN, NTP, serveur d'impression...). J'ai fait plusieurs tests pour l'IPS, et mon choix final est un Suricata sur distrib SELKS, qui a l'avantage d'être très actuelle et avec une interface pratique. L'IPS porte d'autres fonctionnalités de logging cie, je ne rentre pas dans les détails. Pour l'instant je filtre un lien ADSL 18Mbps avec un petit ordi portable i5 sans brider aucunement la ligne. Je voulais à l'origine partir sur un support type Raspberry, mais je saturais vite ses ressources et donc (IPS oblige) je bridais ma connexion. Je pars maintenant sur un mini-pc type NUC d'Intel, dans l'objectif de pouvoir supporter et filtrer à la volée le Giga d'une fibre. Le matos est assez rare pour du double Ethernet en Giga avec le processeur les drivers Linux qui vont bien, j'ai déniché la Zotac Z-Box ID92 qui fait l'affaire. J'effectue aussi de l'analyse de réputation des IP *a posteriori*, donc pas temps réel (les API des db d'IP ont pour la plupart des temps de réponse incompatibles avec du filtrage temps-réel, même si cache). D'après mes tests ces bases sont toutes très lacunaires et l'utilité ne se trouve que lorsqu'on en consulte plusieurs à la fois, donc je fais appel à IPVoid, un site type VirusTotal qui fait une méta-requête sur une trentaine de bases. Résultats intéressants, mais la plupart des IP blacklistées le sont uniquement sur 1 ou 2 sources, très rarement sur plus (d'où le lacunaire). pour les règles de l'IPS c'est un petit mélange des règles Snort Sourcefire VRT EmergingThreat (les meilleures avec le petit recul que j'en ai). Je rajoute aussi mes règles pour durcir les accès internet de certains devices non-trustées (dans ton exemple la cafetière, les chiottes...). Enfin en utilisation classique le trafic avec la Russie est à regarder d'un peu plus près, c'est là où SELKS t'aide, tu mets tes lunettes et bouffes quelques paquets et tu rajoutes les règles qui vont bien (en plus de corriger le problème à sa source...). Je vois que le réseau invité a déjà été discuté, donc je détaille mon cloisonnement réseau. Je ne m'intéresse pas au risque de pourriture de la réputation de mon IP publique, car je pense qu'il faudrait pas mal d’âneries pour ça et je ne connecte pas à mon réseau n'importe qui non plus. Le réseau interne est cloisonné en 3 zones, le TIER 1 des périphériques trustés et qui ont accès à tous les services internes ainsi qu'au routage vers des sites distants par VPN ; le TIER 2 des périphériques pro / pas durcis ; le TIER 3 des invités. Chaque réseau est isolé des autres par les 2 routeurs ; chacun a son AP Wi-Fi sécurisé ; tous sont loggués et traités similairement par l'IPS. C'est assez clean et ça tourne bien, sans impact sur les perfs (bp latence). Tout ou presque est FOSS (c'était un objectif). Si je veux utiliser une autre IP publique pour router tout mon traffic je monte un VPN depuis mon routeur faisant le NAT. Je ne comprends pas trop vos histoires de BGP et son utilité, là où Netfilter fait du bon boulot :) (faut dire que ce n'est pas mon métier, je suis dans la sécurité avant d'être dans le réseau !). La prochaine màj d'archi consistera à faire porter le rôle du routeur faisant le NAT par le premier, en ayant l'IPS sur une boucle. VRF, PBR, tout ça (d'un point de vue réseau c'est peu naturel, mais ça a de nombreux avantages). A disposition pour en discuter :) Cheers Fabien Schwebel Le 24 septembre 2014 07:05, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Avant d'en venir au coeur du sujet, quelques commentaires en-ligne: Vincent Bernat a écrit : Si tu ne fais pas d'auto hébergement, tu t'en fous un peu d'avoir ton IP résidentielle blacklistée. Ben justement je m'auto-héberge, et je ne suis sûrement pas le seul geek barbu à le faire. Il y a aussi le petit coté qui fait de moi un saint qui dit qu'avoir un spambot ou autre merdiciel à la maison, envoyer de la merde à l'Internet entier, et s'en foutre, c'est pas très propre. Laurent GUERBY a écrit : Un tunnel vers une autre IP publique jetable (VM/VPN a pas cher) pour le reseau invité ? Oui oui, un peu usine à gaz mais pourquoi pas; deux commentaires ceci dit : - Soit on le fait avec une des IP de [$job] on y perds un peu de son indépendance, et quand on fait job++ faut nettoyer les restes à [$job-1]. - Soit on achète l'animal en
[FRnOG] [TECH] Firewall Multi Tenant
?Bonsoir a tous, Je suis a la recherche d'un Firewall multi-tenants, ou je pourrais : * ??Déléguer la gestion du tenant a certains collègues * Pouvoir gérer au moins 100 tenants * Peu de traffic (moins de 100Mb/s je pense) * Capable de faire de l'IPSec * Si possible le licensing en mode locatif (MSP) Est-ce que vous avez des idées pour moi ? Car je ne vois franchement rien. Cisco en fait mais bon c'est juste complètement hors de prix... :( et surtout limité. Je ne suis pas contre des firewalls software loin de là. Merci d'avance Julien OHAYON --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
Quand tu parles de multi-tenant, on est bien d’accord: tu parles d’un firewall qui permet de faire des VR (VRF dans le language Cisco Router, Context dans le language Cisco/ASA). Donc des sous-ensembles parfaitement étanches qui partages les interfaces physiques. Alors oui, ça existe chez pas mal de constructeurs, mais il y a 2 choses qui sont à mon avis contradictoires dans ton besoin: -moins de 100Mbps -100 tenants D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Alors, voici ma petite liste: -Sophos: ne savent pas faire (leur concept, c’est une VM par tenant) -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment -Clavister: en soft, le V9 (https://www.clavister.com/products/virtual-series/clavister-virtual/#tab-specifications) autorise 50 tenants (environ 11k€HT prix public pour 3 ans de mises à jour sécurité) en hard, le W5 permet 100 tenants (25k€HT prix public pour 3 ans de mise à jour sécurité) -Checkpoint: en hard ça existe bien sûr, mais c’est cer. En soft, je me souviens plus mais je crois qu’il y a l’équivalent exact de la version hard. -Netasq: pas envie d’entendre parler d’eux Côté Opensource, j’ai rien trouvé. Ils semblent tous plutôt suivre le chemin de Sophos avec une install par VM. Mais j’ai pas fait le tour de tous, loin de là. Le 24 sept. 2014 à 20:24, Julien OHAYON j.oha...@xoxo.fr a écrit : ?Bonsoir a tous, Je suis a la recherche d'un Firewall multi-tenants, ou je pourrais : * ??Déléguer la gestion du tenant a certains collègues * Pouvoir gérer au moins 100 tenants * Peu de traffic (moins de 100Mb/s je pense) * Capable de faire de l'IPSec * Si possible le licensing en mode locatif (MSP) Est-ce que vous avez des idées pour moi ? Car je ne vois franchement rien. Cisco en fait mais bon c'est juste complètement hors de prix... :( et surtout limité. Je ne suis pas contre des firewalls software loin de là. Merci d'avance Julien OHAYON --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Firewall Multi Tenant
Bonsoir, Oui le must serait d'avoir quelque chose de complètement étanche entre chaque tenant. Avec juste x liens vers les routeurs et donc gérer le tout avec des vlans. Effectivement Sophos me propose ça en multi VM (attention Astaro va disparaitre car absorbé en totalité par Cyboeroam et c'est bien dommage :( )... Tu sais si Clavister fait du mode locatif pour les licences ? Le reste me parait trop élevé pour notre bourse... Effectivement, ils aiment tous le model du une VM par client mais ça complexifie l'infra a fond et ca fait pas trop HA... Merci Julien OHAYON De : David Ponzone david.ponz...@gmail.com Envoyé : mercredi 24 septembre 2014 22:08 À : Julien OHAYON Cc : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Firewall Multi Tenant Quand tu parles de multi-tenant, on est bien d’accord: tu parles d’un firewall qui permet de faire des VR (VRF dans le language Cisco Router, Context dans le language Cisco/ASA). Donc des sous-ensembles parfaitement étanches qui partages les interfaces physiques. Alors oui, ça existe chez pas mal de constructeurs, mais il y a 2 choses qui sont à mon avis contradictoires dans ton besoin: -moins de 100Mbps -100 tenants D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Alors, voici ma petite liste: -Sophos: ne savent pas faire (leur concept, c’est une VM par tenant) -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment -Clavister: en soft, le V9 (https://www.clavister.com/products/virtual-series/clavister-virtual/#tab-specifications) autorise 50 tenants (environ 11k€HT prix public pour 3 ans de mises à jour sécurité) en hard, le W5 permet 100 tenants (25k€HT prix public pour 3 ans de mise à jour sécurité) -Checkpoint: en hard ça existe bien sûr, mais c’est cer. En soft, je me souviens plus mais je crois qu’il y a l’équivalent exact de la version hard. -Netasq: pas envie d’entendre parler d’eux Côté Opensource, j’ai rien trouvé. Ils semblent tous plutôt suivre le chemin de Sophos avec une install par VM. Mais j’ai pas fait le tour de tous, loin de là. Le 24 sept. 2014 à 20:24, Julien OHAYON j.oha...@xoxo.fr a écrit : ?Bonsoir a tous, Je suis a la recherche d'un Firewall multi-tenants, ou je pourrais : * ??Déléguer la gestion du tenant a certains collègues * Pouvoir gérer au moins 100 tenants * Peu de traffic (moins de 100Mb/s je pense) * Capable de faire de l'IPSec * Si possible le licensing en mode locatif (MSP) Est-ce que vous avez des idées pour moi ? Car je ne vois franchement rien. Cisco en fait mais bon c'est juste complètement hors de prix... :( et surtout limité. Je ne suis pas contre des firewalls software loin de là. Merci d'avance Julien OHAYON --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
Le 24/09/2014 11:34, David Ponzone a écrit : Autant que je sache, Orange n’est toujours pas prêt. Ils sont prêts. La preuve : ça marche déjà chez Orange Pologne. Seulement tant que personne ne les y contraint, ils ne feront pas le rollout en France. C'est du travail non payé, tu comprends... Un peu l'opposé du régulateur en somme, qui lui fait du non-travail bien payé d'argent public. Jusqu'à preuve du contraire, bien entendu. @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote: D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas. -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base, premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences coutent presque 3 fois plus que le boitier. Financierement c'est du viol. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] L'Adtrap _vulnérable_ du geek barbu
env x='() { :;}; echo vulnerable' bash -c echo this is a test
vulnerable
this is a test
oups.
Michel.
---
Liste de diffusion du FRnOG
http://www.frnog.org/
