Re: [FRnOG] Re: [TECH] "vous n'avez qu'Ã activer ipv6"

[megagolgoth]

Le 28/02/2016 00:24, christophe.casale...@digital-network.net a écrit :

il
y a la vrai vie : celle des clients et des gens qui ont autre chose à
faire que de se mettre à l'hexadécimal.

[troll on]
tu peux toujours essayer de noter les IPv6 en décimal, mais c'est moins 
pratique

[troll off]


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] "vous n'avez qu'àactiver ipv6"

[Sebastien Lesimple]

Le 28/02/2016 00:55, christophe.casale...@digital-network.net a écrit :
>> Le 28/02/2016 00:24, christophe.casale...@digital-network.net a écrit :
>> C'est amusant ca, il ne se passe pas une semaine sans qu'on m'en parle.
> Dans le microcosme des admins, sans aucun doute, mais dans les comités de
> direction, ce n'est pas vraiment le sujet du jour.
Je n'ai jamais vu de comité de direction se pencher sur le sujet IPv6/v4.
La couleur des pots de fleurs dans le hall, les règles d'attribution des
place de Pking et la taille du jeton de présence, ca oui!
L'IP quoi déjà? C'est quoi de truc? Voyez avec les autistes de
l'informatique...
>
>> Comme quoi les choses évoluent et continueront d'évoluer malgré tout!
>> Et pour le coups, je pense que c'est quasi inéluctable.
> Bien sûr, même si je pense que les 2 coexisteront très très longtemps,
> peut être même jusqu'à une prochaine génération de protocoles qui sait.
C'est fort probable effectivement.
>
>> Franchement les combines pour prolonger la vie du bordel troué à coups
>> de quart de ports par IP à la Free...
>> Sérieux, si avec ca on atteint pas le fin fond de l’abîme...
> Tu prends le problème à l'envers : si IPv6 n'avait pas été un échec, ce
> problème n'existerait pas. Et ce n'est pas pour des raisons purement
> "techniques" que c'est un échec, mais pour des raisons humaines : on a
> oublié de placer l'humain au centre du problème, c'est tout.
oui enfin si le changement de protocole avait été planifié comme Orange
est en train de le faire pour RT(P)C;
L'humain s'y serait mis et nous n'aurions pas ce genre d'échange
aujourd'hui.
Et c'est pas les 128 bit Alpha Numériques qui sont aussi indigestes que
ca, faut pas pousser non plus.
Un date de coupure nette et l'affaire  était réglée.
>
>> Et Token Ring c'était vachement bien aussi mais on est passés à autres
>> choses parcequ'il tenait plus la distance.
> C'était cool, y'avait pas de collisions ;) Mais encore une fois, si on se
> focalisait uniquement sur la technique, le PC n'aurait jamais été ce qu'il
> est aujourd'hui. Un PC à 1500 euros en 1988 n'arrivait pas à la
> demi-cheville d'un atari ST ou d'un Amiga. Si c'était la technique qui
> l'emportait, le MSX avec son processeur dédié aux sprites, son interface
> SCC à 8 voix et sa compatibilité multi-fabriquant aurait écrasé
> l'industrie concurrente du 8 bits, MS DOS et les premiers windows seraient
> mort-nés, et l'un des leader mondial du IT s'appelerait probablement Acorn
> Computers et nous aurions tous des Archimède 2015, les architectures RISC
> (ma station Alpha me manque) auraient écrasées le CISC, etc.
Tout comme Infinband, ca aurait été tellement plus classe qu'Ethernet,
mais bon, c'est comme çà.
Nous devons faire contre mauvaise fortune bon coeur et prendre ce que
l'on nous donne pour "en tirer la substantifique moelle".
Aller sur ces mots rabelaisiens, je vous souhaite une bonne fin de WE!
>
> amicalement,
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[TECH] Re: [FRnOG] Re: [TECH] "vous n'avez qu'Ã activer ipv6"

[Radu-Adrian Feurdean]

On Sat, Feb 27, 2016, at 23:17, Nicolas Parpandet wrote:
> en réaffectant le champs TOS/DSCP par exemple (dont la fonction à déjà
> été modifiée par le passé),

Pas de compatibilite avec l'applicatif, interaction douteuse avec
l'existant De quoi etre sur que ca aurait ete encore moins deploye
que l'IPv6 tel qu'il est aujourd'hui.

En effet une des origines du mal c'est la "BSD socket library" soutenue
par un certain nombre de mauvaises pratiques cote developpeurs ("bah, le
DNS c'est pas fiable, on va mettre l'IP en dur, comme ca ca risque pas
de tomber").


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] "vous n'avez qu'�?� activer ipv6"

[christophe . casalegno]

> Tu as déjà vu du NAT sur Internet ? (et non sur un intranet)

Il y a de nombreuses manières d'aborder ce qu'est internet (ou l'internet,
là aussi, ça troll sévère). Quand tu connectes un réseau, une
infrastructure, une machine, un serveur à Internet, tu deviens en quelque
sorte, tout au moins durant le temps de la connexion un membre à part
entière de ce dernier.

On peut le considérer comme un simple réseau qui interconnecte d'autres
réseaux, mais internet ce n'est pas que le backbone. Quand ta machine même
derrière un NAT est connectée à Internet (encore qu'on peut s'amuser à
faire du NAT avec des IPs publiques), elle parle à internet, et internet
lui parle.

On peut monter des intranet qui ne sont pas reliés à Internet et on peut
aussi connecter des périphériques et des machines à internet
"directement", sans passer par un intranet à proprement parler (exemple
connexion directe entre un PC et un modem adsl en mode bridge avec une ip
publique, une connexion RTC, etc.)

amicalement,

-- 
Christophe Casalegno
http://www.christophe-casalegno.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] "vous n'avez qu'àactiver ipv6"

[christophe . casalegno]

> Le 28/02/2016 00:24, christophe.casale...@digital-network.net a écrit :

> C'est amusant ca, il ne se passe pas une semaine sans qu'on m'en parle.

Dans le microcosme des admins, sans aucun doute, mais dans les comités de
direction, ce n'est pas vraiment le sujet du jour.

> Comme quoi les choses évoluent et continueront d'évoluer malgré tout!
> Et pour le coups, je pense que c'est quasi inéluctable.

Bien sûr, même si je pense que les 2 coexisteront très très longtemps,
peut être même jusqu'à une prochaine génération de protocoles qui sait.

> Franchement les combines pour prolonger la vie du bordel troué à coups
> de quart de ports par IP à la Free...
> Sérieux, si avec ca on atteint pas le fin fond de l’abîme...

Tu prends le problème à l'envers : si IPv6 n'avait pas été un échec, ce
problème n'existerait pas. Et ce n'est pas pour des raisons purement
"techniques" que c'est un échec, mais pour des raisons humaines : on a
oublié de placer l'humain au centre du problème, c'est tout.

> Et Token Ring c'était vachement bien aussi mais on est passés à autres
> choses parcequ'il tenait plus la distance.

C'était cool, y'avait pas de collisions ;) Mais encore une fois, si on se
focalisait uniquement sur la technique, le PC n'aurait jamais été ce qu'il
est aujourd'hui. Un PC à 1500 euros en 1988 n'arrivait pas à la
demi-cheville d'un atari ST ou d'un Amiga. Si c'était la technique qui
l'emportait, le MSX avec son processeur dédié aux sprites, son interface
SCC à 8 voix et sa compatibilité multi-fabriquant aurait écrasé
l'industrie concurrente du 8 bits, MS DOS et les premiers windows seraient
mort-nés, et l'un des leader mondial du IT s'appelerait probablement Acorn
Computers et nous aurions tous des Archimède 2015, les architectures RISC
(ma station Alpha me manque) auraient écrasées le CISC, etc.

amicalement,

-- 
Christophe Casalegno
http://www.christophe-casalegno.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] "vous n'avez qu'�?� activer ipv6"

[Alarig Le Lay]

On Sun Feb 28 00:43:21 2016, christophe.casale...@digital-network.net wrote:
> Faut arrêter les réflexions nocturnes du samedi soir. Je passerais sur
> l'argument orthographique qui a autant de valeur argumentaire technique
> que celle d'un gouvernement qui parle "d'inverser une courbe" (sic !).

Sauf que les politiques savent très bien parler, et c’est ce qui leur
permet de nous enfumer. Ça a même un nom, la rhétorique associée à de la
démagogie :)

> Un intranet c'est un juste un réseau interne qui utilise les mêmes
> protocoles qu'Internet.

Tu as déjà vu du NAT sur Internet ? (et non sur un intranet)

-- 
alarig


signature.asc
Description: Digital signature

Re: [FRnOG] Re: [TECH] "vous n'avez qu'� activer ipv6"

[christophe . casalegno]

"Entre les deux, c'est de l'intranet qui permet éventuellement de sortir
sur Internet"

Faut arrêter les réflexions nocturnes du samedi soir. Je passerais sur
l'argument orthographique qui a autant de valeur argumentaire technique
que celle d'un gouvernement qui parle "d'inverser une courbe" (sic !). Un
intranet c'est un juste un réseau interne qui utilise les mêmes protocoles
qu'Internet.

-- 
Christophe Casalegno
http://www.christophe-casalegno.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] "vous n'avez qu'Ã activer ipv6"

[Sebastien Lesimple]

Le 28/02/2016 00:24, christophe.casale...@digital-network.net a écrit :
>> C'est pas une question d'intelligence, c'est plutôt une question
>> d'habitude, non?
> Contrairement à ce que pensent beaucoup de personnes mal informées : on ne
> s'habitue pas à prendre des coups de bâtons. On a juste acquis que crier
> ne servira à rien.
C'est un peu sec, moi j'aimerais bien avoir des exemples concrets.
Tu vois des trucs un peu hard, genre bondage réseau :))
>
> Ce n'est de toute manière pas moi qui serait gêné, comme je l'ai déjà
> indiqué, j'ai lancé des offres IPv6 en 2002-2003, j'offrais même 1 Mb/s de
> transit IPv6 pour 1 Mbs d'IPv4 acheté. Puis un jour j'ai compris : IPv6,
> personne n'en voulait, même cadeau, même avec un chèque, et après avoir eu
> plusieurs discussion avec des clients de l'époque, j'ai compris : il y a
> ce qu'on croit génial, simple, parfait dans son petit monde de Geek, et il
> y a la vrai vie : celle des clients et des gens qui ont autre chose à
> faire que de se mettre à l'hexadécimal.
C'est amusant ca, il ne se passe pas une semaine sans qu'on m'en parle.
Comme quoi les choses évoluent et continueront d'évoluer malgré tout!
Et pour le coups, je pense que c'est quasi inéluctable.

Franchement les combines pour prolonger la vie du bordel troué à coups
de quart de ports par IP à la Free...
Sérieux, si avec ca on atteint pas le fin fond de l’abîme...
>
> Je trouvais aussi l'asssembleur X86 très simple, très cool très logique
> avant de bosser. J'avais commencé à apprendre ça en lisant TILT, puis
> l'assembleur édition marabout, puis la bible PC avant de me plonger dans
> des documentations plus sérieuses. Puis un jour j'ai rencontré des
> développeurs dans l'industrie, dans les banques, dans les pme, et là j'ai
> refermé les bouquins, et je suis passé à autre chose.
Et Token Ring c'était vachement bien aussi mais on est passés à autres
choses parcequ'il tenait plus la distance.
>
> amicalement,
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] "vous n'avez qu'Ã activer ipv6"

[christophe . casalegno]

> Hello !
> Une question de vouloir le changement aussi..
> En France on est pas mal réfractaire au changement.
>
> Et puis y a une question de sécurité je pense. Y a pas mal de flou et de
> formation lié à la sécurité IPV6.
>
> Je pense que l'IPV6 doit être poussé essentiellement par les
> constructeurs
> ! Encore aujourd'hui les constructeurs hésitent à le mettre en avant et
> ils
> doit y avoir des raisons..

Pas de soucis là dessus, mon petit doigt, me dit même qu'il y en a même
une très très belle, et vous pouvez me croire, ça va être une franche
partie rigolade... enfin, pas pour tout le monde. Il y a des gens qui
pensent qu'on peut contourner une erreur de conception/implémentation dans
un protocole, et qui sont persuader de pouvoir tout fixer sans qu'il y ait
aucune conséquence, puis il y a les autres.

Quand on voit dans le code source d'un OS routeur d'un grand fabriquant,
aussi bien de ses routeurs que de ses "super solutions de sécurité" que
c'était trufé de bugs critiques et que les commentaires des devs sur le
bug étaient dans le code depuis des années, on en rigole d'avance dans une
échelle 500 fois plus importante.

-- 
Christophe Casalegno
http://www.christophe-casalegno.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "vous n'avez qu'àactiver ipv6"

[christophe . casalegno]

> IPv4 ou IPv6, de toute façon on a fait le mauvais choix en passant en
> TCP/IP, l'avenir du WAN c'est X.25.
> http://www.01net.com/actualites/le-protocole-x-25-sest-impose-comme-le-standard-du-wan-103674.html

Comme quoi les articles "bullshit", ça ne date pas d'aujour'hui. Je suis
sur qu'il y en a même qui pensent toujours que Telsys c'était génial,
probablement parce qu'ils n'ont pas passé 15H00 par jour devant un mur
d'écran cathodique à programmer cette merde :)

amicalement,

-- 
Christophe Casalegno
http://www.christophe-casalegno.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] "vous n'avez qu'Ã activer ipv6"

[christophe . casalegno]

> C'est pas une question d'intelligence, c'est plutôt une question
> d'habitude, non?

Contrairement à ce que pensent beaucoup de personnes mal informées : on ne
s'habitue pas à prendre des coups de bâtons. On a juste acquis que crier
ne servira à rien.

Ce n'est de toute manière pas moi qui serait gêné, comme je l'ai déjà
indiqué, j'ai lancé des offres IPv6 en 2002-2003, j'offrais même 1 Mb/s de
transit IPv6 pour 1 Mbs d'IPv4 acheté. Puis un jour j'ai compris : IPv6,
personne n'en voulait, même cadeau, même avec un chèque, et après avoir eu
plusieurs discussion avec des clients de l'époque, j'ai compris : il y a
ce qu'on croit génial, simple, parfait dans son petit monde de Geek, et il
y a la vrai vie : celle des clients et des gens qui ont autre chose à
faire que de se mettre à l'hexadécimal.

Je trouvais aussi l'asssembleur X86 très simple, très cool très logique
avant de bosser. J'avais commencé à apprendre ça en lisant TILT, puis
l'assembleur édition marabout, puis la bible PC avant de me plonger dans
des documentations plus sérieuses. Puis un jour j'ai rencontré des
développeurs dans l'industrie, dans les banques, dans les pme, et là j'ai
refermé les bouquins, et je suis passé à autre chose.

amicalement,

-- 
Christophe Casalegno
http://www.christophe-casalegno.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] "vous n'avez qu'� activer ipv6"

[Alarig Le Lay]

Salut,

On Sun Feb 28 00:13:56 2016, christophe.casale...@digital-network.net wrote:
> Internet n'a pas arrêté de fonctionné...

Internet a arrêté de fonctionner (à l’infinitif, on écrit -er). Internet
s’arrête à l’équipement qui fait du (CG)NAT. Entre les deux, c’est de
l’intranet qui permet éventuellement de sortir sur Internet, mais
clairement pas de le faire entrer chez soi (ou alors c’est en bricolant
les paquets IP).

-- 
alarig


signature.asc
Description: Digital signature

Re: [FRnOG] Re: [TECH] "vous n'avez qu'àactiver ipv6"

[christophe . casalegno]

> Ah, je faisais partie du groupe de travail IPng à l'époque

Je sais. Et j'espère que tu t'autoflagelles tous les jours pour ce crime.

> Euh, je demande des précisions : si on ajoute des octets aux adresses
> IPv4, sans rien toucher d'autre, on casse la compatibilité sur le

"sans rien toucher d'autre". Et là on l'a peut être pas bouzillé la
compatibilité des applis et du réseau ? La compatibilité et surtout
l'acceptation d'IPv6 aurait été bien supérieure si on avait évité de
pondre des adresses en hexa qui ramènent certains au temps où ils
utilisaient pctools sous msdos...

Le problème n'était pas de réecrire les piles TCP/IP des OS : c'est un
problème de communication et d'intégration :  rajouter quelques octets
permettait de conserver l'intégralité de l'adressage actuel les adresses
devenant 000.000.192.168.0.10, etc. Seulement les technobienpensants de
l'époque ont cru qu'il suffirait de crier au loup pour obliger les gens à
migrer massivement sous IPv6, et ça n'a pas marché.

Enfin au final, IPv6 est un échec cuisant et ça *personne* ne peut le
contester (il n'y a qu'à voir le temps d'adoption prévu à l'origine, et la
réalité ou encore le FUD lancé en 2011 avec la "dernière adresse IP
disponible attribuée"...) J'avais déjà dit à ce moment là ou certains
m'ont "affectueusement" baptisé "Le Claude Allègre d'IP" que rien ne
changerait en 2012, ni en 2013, pas plus qu'en 2014. On est en 2016 et
l'essentiel du réseau tourne toujours en IPv4. Personne n'est mort,
Internet n'a pas arrêté de fonctionné...

Au lieu de trop se regarder le nombril, trop "d'experts" oublient qu'il
faut également penser aux hommes et aux femmes qui sont derrière les
machines, car au final, le réseau, ce sont eux qui le font, et qui
décident vraiment de sa transformation, la preuve.

amicalement,

-- 
Christophe Casalegno
http://www.christophe-casalegno.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] "vous n'avez qu'à activer ipv6"

[Bruno LEAL DE SOUSA]

Hello !
Une question de vouloir le changement aussi..
En France on est pas mal réfractaire au changement.

Et puis y a une question de sécurité je pense. Y a pas mal de flou et de
formation lié à la sécurité IPV6.

Je pense que l'IPV6 doit être poussé essentiellement par les constructeurs
! Encore aujourd'hui les constructeurs hésitent à le mettre en avant et ils
doit y avoir des raisons..


Le 27 février 2016 à 23:14, megagolgoth  a
écrit :

> Le 27/02/2016 22:51, Stephane Bortzmeyer a écrit :
>
>> On Sat, Feb 27, 2016 at 09:51:27PM +0100,
>>   Pierre Emeriaud  wrote
>>   a message of 153 lines which said:
>>
>> petrus, qui en a marre d'entendre dire qu'activer ipv6 c'est facile,
>>>
>> Oui, c'est facile.
>>
>> et que tout le monde devrait l'avoir fait depuis 15 ans.
>>>
>> Moi, je l'ai fait il y a quinze ans (un peu moins si on ne compte que
>> la vraie production). Et comme je ne suis pas un génie exceptionnel,
>> j'en déduis que tout le monde peut le faire.
>>
> C'est pas une question d'intelligence, c'est plutôt une question
> d'habitude, non?
>
> [Quoi, déjà samedi ?]
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Bruno LEAL DE SOUSA
IT System and Network Administrator
Co-founder and editor of *Bidouille-IT* : http://bidouilleit.com

« Failure is the foundation of success, and the means by which it is
achieved. » - *Lao Tzu*

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] "vous n'avez qu'Ã activer ipv6"

[Vincent Bernat]

 ❦ 27 février 2016 23:17 +0100, Nicolas Parpandet  :

>> Euh, je demande des précisions : si on ajoute des octets aux adresses
>> IPv4, sans rien toucher d'autre, on casse la compatibilité sur le
>> réseau et la compatibilité des applis. Donc, en quoi aurait-ce été
>> plus simple qu'IPv6 ? Détails techniques souhaités.
>
> Tout est possible ;), (je parle pas propreté ni architecture hein,
> juste de faisabilité !)  en réaffectant le champs TOS/DSCP par exemple
> (dont la fonction à déjà été modifiée par le passé), et pan 1 octet de
> gagné, on multiplie par 16 les ips mondiales disponibles ;),

Ben, c'est un tout petit octet alors.
-- 
Test programs at their boundary values.
- The Elements of Programming Style (Kernighan & Plauger)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "vous n'avez qu'Ã activer ipv6"

[Solarus]

Le 27/02/2016 21:59, christophe.casale...@digital-network.net a écrit :
>
> IPv6 était de la bouze il y a quinze ans, c'est encore de la bouze
> aujourd'hui, et ce sera toujours de la bouze demain... Les plus criminels
> ne sont pas ceux qui ont pondu (vomi ?) ce truc imbitable (rajouter des
> octets pour préserver les IPv4 actuels c'était trop cher..), mais ceux qui
> ont validé ça...
>

IPv4 ou IPv6, de toute façon on a fait le mauvais choix en passant en
TCP/IP, l'avenir du WAN c'est X.25.
http://www.01net.com/actualites/le-protocole-x-25-sest-impose-comme-le-standard-du-wan-103674.html

Solarus



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] Re: [TECH] "vous n'avez qu'Ã activer ipv6"

[Nicolas Parpandet]

> Ah, je faisais partie du groupe de travail IPng à l'époque
> .  Je dois donc avoir
> une part de responsabilité criminelle et vomitoire.
> 
>> (rajouter des octets pour préserver les IPv4 actuels c'était trop
>> cher..),
> 
> Euh, je demande des précisions : si on ajoute des octets aux adresses
> IPv4, sans rien toucher d'autre, on casse la compatibilité sur le
> réseau et la compatibilité des applis. Donc, en quoi aurait-ce été
> plus simple qu'IPv6 ? Détails techniques souhaités.

Tout est possible ;), (je parle pas propreté ni architecture hein, juste de 
faisabilité !)
en réaffectant le champs TOS/DSCP par exemple (dont la fonction à déjà été 
modifiée par le passé),
 et pan 1 octet de gagné, on multiplie par 16 les ips mondiales disponibles ;),
sans parler de la possibilité d'utiliser les options également. Après en tant 
que fan d'ipv6 j'aurai jamais défendu une telle horreur,
mais cela aurait certainement été faisable !

Nicolas


> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] "vous n'avez qu'à activer ipv6"

[megagolgoth]

Le 27/02/2016 22:51, Stephane Bortzmeyer a écrit :

On Sat, Feb 27, 2016 at 09:51:27PM +0100,
  Pierre Emeriaud  wrote
  a message of 153 lines which said:


petrus, qui en a marre d'entendre dire qu'activer ipv6 c'est facile,

Oui, c'est facile.


et que tout le monde devrait l'avoir fait depuis 15 ans.

Moi, je l'ai fait il y a quinze ans (un peu moins si on ne compte que
la vraie production). Et comme je ne suis pas un génie exceptionnel,
j'en déduis que tout le monde peut le faire.
C'est pas une question d'intelligence, c'est plutôt une question 
d'habitude, non?

[Quoi, déjà samedi ?]


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "vous n'avez qu'àactiver ipv6"

[megagolgoth]

Le 27/02/2016 22:41, christophe.casale...@digital-network.net a écrit :

Désolé pour les expériences malheureuse que vous avez rencontré.
Seb.

Oh, mais je n'ai jamais rencontré la moindre expérience malheureuse, mais
ce n'est pas parce qu'un voyage à dos de chameau se passe bien que cela
fait de ce dernier un concorde.

amicalement,



De toute manière IPv6, on peut maugréer, il faudra y passer. Quand IPv4 
est arrivé, beaucoup, qui avait des réseaux sur une technologie 
différente (et plus ancienne), ont du maugréer et se plaindre.


Après on peut "rajouter des bits", mais ce type de solution ne fera que:
- retarder l’inéluctable,
- n'augmente que peu la capacité (par rapport à IPv6),
- nécessiter sûrement presque autant de changement qu'un passage à IPv6 
(refaire les plans d'adressage, MàJ des firmwares et soft, etc...,
-Ne fait que conserver un aspect visuel confortable et rappelant nos 
habitudes,


IPv6 n'est pas parfait, il n'est pas aussi simple que l'IPv4, mais il 
pourra régler le problème de plus en plus pressant aujourd'hui  : le 
manque d'@ IP.


Certains paye (cher) pour avoir une poignée d'IPv4 auprès de 
broker/vautour, d'autres passe en full IPv6, avec un petit morceau juste 
pour l'interco avec IPv4.


"Tout ce qui n'évolue pas est appeler à mourir et disparaître."

De mon point de vue, je me suis fait à l'idée que je devrais me faire 
mal au cerveau (à mes habitudes, en fait) et passer à IPv6. Autant 
essayer de passer du temps à se former, que de se plaindre. Quitte à y 
être forcé un jour, autant s'y préparer afin que ça se passe le mieux 
possible (dans le joie et la bonne humeur, par ce qu'on fait quelque 
chose que l'on comprend et maîtrise bien).


Je regrette que mes profs, pendant que j'étais étudiant (il y a 5ans 
environ) n'ai considéré l'IPv6 que comme "quelque chose qui arrivera 
plus, tard, et vous aurez bien le temps de vous former quand vous aurez 
un job".


Quant au routeur qui ne supporte pas IPv6 avec des ACL, il faut tester 
avant d'acheter (ne compte pas pour les gens en process La RACHE, où le 
prototypage est autorisé en prod).


"& les trolls c'est le vendredi"


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] "vous n'avez qu'Ã activer ipv6"

[Stephane Bortzmeyer]

On Sat, Feb 27, 2016 at 09:59:19PM +0100,
 christophe.casale...@digital-network.net 
 wrote 
 a message of 35 lines which said:

> Les plus criminels ne sont pas ceux qui ont pondu (vomi ?) ce truc
> imbitable

Ah, je faisais partie du groupe de travail IPng à l'époque
.  Je dois donc avoir
une part de responsabilité criminelle et vomitoire.

> (rajouter des octets pour préserver les IPv4 actuels c'était trop
> cher..),

Euh, je demande des précisions : si on ajoute des octets aux adresses
IPv4, sans rien toucher d'autre, on casse la compatibilité sur le
réseau et la compatibilité des applis. Donc, en quoi aurait-ce été
plus simple qu'IPv6 ? Détails techniques souhaités.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "vous n'avez qu'àactiver ipv6"

[Sebastien Lesimple]

Le 27/02/2016 22:41, christophe.casale...@digital-network.net a écrit :
>> Désolé pour les expériences malheureuse que vous avez rencontré.
>> Seb.
> Oh, mais je n'ai jamais rencontré la moindre expérience malheureuse, mais
> ce n'est pas parce qu'un voyage à dos de chameau se passe bien que cela
> fait de ce dernier un concorde.
>
> amicalement,
>
Pas plus que de se balader avec un gilet pare-balle en zone de combat ne
protège efficacement des tirs de snipers.

Il y a très longtemps que je n'attend plus rien d'IPv4 pour ma part.
Et si d'aventure il était possible de débrancher cette "bouse verollée",
je ne la pleurerais pas une seconde.
Elle a rendu les services qu'elle devait rendre mais aurait du tirer sa
révérence il y a déjà bien longtemps.

Soyons donc Onusiens, mettons nous d'accord sur le fait de ne pas être
d'accord.
C'est un bon préalable ;)





---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] "vous n'avez qu'à activer ipv6"

[Stephane Bortzmeyer]

On Sat, Feb 27, 2016 at 09:51:27PM +0100,
 Pierre Emeriaud  wrote 
 a message of 153 lines which said:

> petrus, qui en a marre d'entendre dire qu'activer ipv6 c'est facile,

Oui, c'est facile.

> et que tout le monde devrait l'avoir fait depuis 15 ans.

Moi, je l'ai fait il y a quinze ans (un peu moins si on ne compte que
la vraie production). Et comme je ne suis pas un génie exceptionnel,
j'en déduis que tout le monde peut le faire.

[Quoi, déjà samedi ?]


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "vous n'avez qu'àactiver ipv6"

[christophe . casalegno]

> Désolé pour les expériences malheureuse que vous avez rencontré.
> Seb.

Oh, mais je n'ai jamais rencontré la moindre expérience malheureuse, mais
ce n'est pas parce qu'un voyage à dos de chameau se passe bien que cela
fait de ce dernier un concorde.

amicalement,

-- 
Christophe Casalegno
http://www.digital-netcom.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "vous n'avez qu'Ã activer ipv6"

[Sebastien Lesimple]

Le 27/02/2016 21:59, christophe.casale...@digital-network.net a écrit :
>> Ou pourquoi déployer ipv6 n'est pas aussi simple qu'un 'modprobe ipv6'
>> ou 'ipv6 address 2001:db8::1/64' sur une interface.
>>
>> tl;dr: corruption mémoire sur Cisco ME3600X si ipv6 et des egress ACL
>> sont utilisés en même temps. Workaround : désactiver ipv6.
>>
>> ---
>> petrus, qui en a marre d'entendre dire qu'activer ipv6 c'est facile,
>> et que tout le monde devrait l'avoir fait depuis 15 ans.
> IPv6 était de la bouze il y a quinze ans, c'est encore de la bouze
> aujourd'hui, et ce sera toujours de la bouze demain... Les plus criminels
> ne sont pas ceux qui ont pondu (vomi ?) ce truc imbitable (rajouter des
> octets pour préserver les IPv4 actuels c'était trop cher..), mais ceux qui
> ont validé ça...
>
> Contrairement à ce que certains "passionnés" vous dirons (et c'est
> quelqu'un qui a lancé l'une des premières offre de transit IPv6 en France
> en 2002 qui vous le dit) :  IPv6 ne se comprends pas : ça se subit.
>
> amicalement,
>
Hum... Bouze imbitable... Interessant... ou pas!
Disons que Je ne suis pas convaincu que cela soit un avis très partagé
parmis ceux qui déploient et exploitent de l'IPv6 aujourd'hui (et qui
comprennent ce qu'ils font).

C'est un peu comme pour tout, formation, bons outils, méthode et un
grand nombre d'arguments expliquant par le menu tout ce qui ne va pas
avec l'IPv6, ne tiennent plus la route.

C'est comme gerer un AS en routes statiques mono upstream parce-que
c'est plus sur;
Ou se convaincre que le L2 c'est l'incarnation du malin parce-qu’un
jour, un réseau est tombé à la suite d'une erreur humaine (et encore je
ne suis même pas sur qu'il y ait eu un rapport de causalité mais bon);
Ou encore ne pas implémenter de MPLS dans son backbone, parcequ'on ne
sait jamais, ca pourrait bien tomber en panne ce truc...
Et j'en ai des cargaisons dans le genre.

Après tout, personne n'est contraint de suivre les évolutions
technologiques;
Chacun est libre de rester sur le bas-coté et regarder le bus partir.

A la naissance du chemin de fer, la populace était bien persuadée que
les femmes enceintes allaient accoucher prématurément à cause de la
vitesse pharaonique de 25Km/h.
Rien ne se fait sans heurts, il faut simplement l’accepter et en
minimiser l'impact.

Désolé pour les expériences malheureuse que vous avez rencontré.
Seb.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "vous n'avez qu'à activer ipv6"

[MANGA Willy Ted]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Le 27/02/2016 21:51, Pierre Emeriaud a écrit :
> [...] petrus, qui en a marre d'entendre dire qu'activer ipv6 c'est
> facile, et que tout le monde devrait l'avoir fait depuis 15 ans.

Peut être aussi qu'une masse plus importante d'utilisateurs
permettraient de résoudre les problèmes y relatifs ? A ce jour même
avec IPv4 tout n'est pas parfait :)

- -- 
Willy Manga
freenode: ongolaBoy
Ubuntu Cameroonian Loco Team
https://launchpad.net/~manga-willy
-BEGIN PGP SIGNATURE-
Version: GnuPG v2.0.17 (GNU/Linux)
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=Huzd
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "vous n'avez qu'à activer ipv6"

[Clement Cavadore]

On Sat, 2016-02-27 at 21:51 +0100, Pierre Emeriaud wrote:
> tl;dr: corruption mémoire sur Cisco ME3600X si ipv6 et des egress ACL
> sont utilisés en même temps. Workaround : désactiver ipv6.

Comment peut-on être constructeur de matériel réseau, et oser suggérer
en workaround "désactiver ipv6" ? 

C'est comme suggérer un truc du genre: "si ca ne marche pas: débrancher
électriquement"... 

En un mot: Pitoyable.

-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] "vous n'avez qu'à activer ipv6"

[err404]

On 02/27/2016 09:51 PM, Pierre Emeriaud wrote:
> Ou pourquoi déployer ipv6 n'est pas aussi simple qu'un 'modprobe ipv6'
> ou 'ipv6 address 2001:db8::1/64' sur une interface.
> 
> tl;dr: corruption mémoire sur Cisco ME3600X si ipv6 et des egress ACL
> sont utilisés en même temps. Workaround : désactiver ipv6.
> 

Ou envisager de ne peut être pas acheter du Cisco pour la prochaine fois?



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] "vous n'avez qu'Ã activer ipv6"

[christophe . casalegno]

> Ou pourquoi déployer ipv6 n'est pas aussi simple qu'un 'modprobe ipv6'
> ou 'ipv6 address 2001:db8::1/64' sur une interface.
>
> tl;dr: corruption mémoire sur Cisco ME3600X si ipv6 et des egress ACL
> sont utilisés en même temps. Workaround : désactiver ipv6.
>
> ---
> petrus, qui en a marre d'entendre dire qu'activer ipv6 c'est facile,
> et que tout le monde devrait l'avoir fait depuis 15 ans.

IPv6 était de la bouze il y a quinze ans, c'est encore de la bouze
aujourd'hui, et ce sera toujours de la bouze demain... Les plus criminels
ne sont pas ceux qui ont pondu (vomi ?) ce truc imbitable (rajouter des
octets pour préserver les IPv4 actuels c'était trop cher..), mais ceux qui
ont validé ça...

Contrairement à ce que certains "passionnés" vous dirons (et c'est
quelqu'un qui a lancé l'une des premières offre de transit IPv6 en France
en 2002 qui vous le dit) :  IPv6 ne se comprends pas : ça se subit.

amicalement,

-- 
Christophe Casalegno
http://www.christophe-casalegno.fr


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] "vous n'avez qu'à activer ipv6"

[Pierre Emeriaud]

Ou pourquoi déployer ipv6 n'est pas aussi simple qu'un 'modprobe ipv6'
ou 'ipv6 address 2001:db8::1/64' sur une interface.

tl;dr: corruption mémoire sur Cisco ME3600X si ipv6 et des egress ACL
sont utilisés en même temps. Workaround : désactiver ipv6.

---
petrus, qui en a marre d'entendre dire qu'activer ipv6 c'est facile,
et que tout le monde devrait l'avoir fait depuis 15 ans.


-- Forwarded message --
From: Jason Lixfeld 
Date: 2016-02-27 18:09 GMT+01:00
Subject: Re: [c-nsp] ME3600X 15.2S memory leak
To: Mark Tinka 
Cc : cisco-...@puck.nether.net




> On Feb 27, 2016, at 1:21 AM, Mark Tinka  wrote:
>
>
>
> On 26/Feb/16 20:42, Jason Lixfeld wrote:
>
>> Upgrade to at least 15.3(3)S2. There are major issues with IPv6 and egress 
>> ACLs that cause this.
>
> Funny you should mention that, Jason.
>
> There is some IPv6 strangeness that I can't quite put my finger on when
> this happens, and we are re-routing across the ring. The last time I saw
> something like with egress IPv6 ACL's was when the ME3600X started
> shipping - 12.2EY days.
>
> At any rate, I was considering upgrading the unit to 15.5(3)S2 and
> monitor it for a couple of days.
>
> The box is running IPv6 and VPNv6. One customer is setup for IPv6, but
> that BGP session is down.
>
> IPv6 ACL's exit only on the core-facing interfaces.
>
> Do you have details on this issue you can share?

I worked with Cisco on it for months - this went past TAC and past the
BU.  I worked directly with the IOS-XE, ME3600 and Nile ASIC hardware
developers to identify the issue, and it took forever!  (Credit to
this team of developers in India - there were relentless and amazing!
Too bad it took months to get to this team)

Here’s the jist of it (but the issue was not about egress IPv6 ACLs,
it was with the combination of IPv6 being enabled and *any* egress ACL
being configured on any interface):

First identified in 15.3(3)S (but first seen in 15.2S) is a
IPv6/Egress ACL resource collision issue caused by shared memory
between the two features causing memory corruption.  This can be seen
by ChCompactChecksumerrorCount incrementing. 'no ipv6 unicast routing'
& reload to fix.  The other option is to set 'platform acl
egress-disable' to disable egress ACLs, but since there were egress
ACLs used on our boxes, we opted to disable IPv6. Reload is required
to implement either fix.

I dug back through my emails, but I can’t actually find the bug ID
that was provided for this issue, but I think CSCul27742 is it.  Cisco
seems to have redirected that BugID to CSCui23725, but you can still
sort of screen scrape it:

---

CSCul27742 Transit Packet Loss and Output Drops due to IPv6 Routing
Symptom: Transit traffic is randomly dropped. When traffic is lost the
number of Output Drops under the "show interface" command is seen
incrementing.

Conditions: me3600 or me36800 with "IPv6 unicast-routing" or "no ipv6
multicast-routing" configured. The traffic dropped does not have to be
IPv6 traffic, and the box does not need to be configured for any other
IPv6 services. This does not impact other platforms running this
software version.

Workaround:...more
Details
Known Affected Releases: (1)
15.3(3)S
Known Fixed Releases: 0
Release Pending
Product: Cisco ME 3600X Series Ethernet Access Switches

---

In 15.3(3)S and earlier, there was no way to disable egress ACLs from
the CLI, so the only way to do it was through sdcli:

service internal
exit (to return to enable mode)
sdcli
nile pp reg configegressouteracl configure 1 0 aclEnable 0
nile pp reg configegressouteracl configure 0 0 aclEnable 0 arsenic
mmap i_write 0x40 0x00c24018 0x32 arsenic mmap i_write 0x40 0x00c2401c
0x30 arsenic mmap i_write 0x45 0x00c24018 0x32 arsenic mmap i_write
0x45 0x00c2401c 0x30 exit

NOTE:  These changes will *not* persist across reload.

'platform acl egress-disable’ was introduced per CSCui23725 which made
it possible to disable egress ACLs from the CLI while running a
version of code that was affected by CSCul27742.

If you are running into odd issues with late 15.2 and 15.3, check here
to see if you are running up against CSCul27742.  If so, disable
egress ACLs or disable IPv6:

sdcli#nile debug stats 0 ChannelCompact
ChCompactReversalAbortCount0 (0x0)
ChCompactDiscardCount18362 (0x47BA)
ChCompactChecksumerrorCount6046 (0x179E)
ChCompactLengthErrorCount0 (0x0)
ChCompactSequenceErrorCount0 (0x0)
ChCompactETxFifoFullDiscardCount0 (0x0)
Ok

sdcli#nile debug stats 0 ChannelCompact
ChCompactReversalAbortCount0 (0x0)
ChCompactDiscardCount18381 (0x47CD)
ChCompactChecksumerrorCount6921 (0x1B09)
ChCompactLengthErrorCount0 (0x0)
ChCompactSequenceErrorCount0 (0x0)
ChCompactETxFifoFullDiscardCount0 (0x0)
Ok

There was supposed to be a feature introduced in later code to
auto-detect between 

RE: [FRnOG] [MISC] Etre anonyme sur l'Internet

[Michel Py]

> Philippe Bourcier a écrit :
> Tout le monde sait bien que la moitié des points de sortie Tor sont ownés par 
> la NSA et ses amis... d'où le VPN.

...dont la moitié sont ownés par la NSA et ses amis.


> - via un bon vieux cookie HTTP/Flash/etc, chez Google, FB, Amazon, etc... à 
> partir du moment où tu te log chez eux, c'est fini, tu n'es plus anonyme,

+1, et çà marche encore très bien, la plupart des utilisateurs qui veulent 
l'anonymat ne comprennent pas qu'il y a 50 moyens de trouver qui ils sont.


> Bref, être réellement anonyme sur Internet (ie: incluant GAFA, etc) : pas 
> possible.

+1


> Etre anonyme uniquement pour faire un upload sur wikileaks (sans utiliser les 
> GAFA, etc) : possible. (ie: je me
> connecte, je fais mon truc de journaliste/source/espion/auditeur uniquement 
> vers ma cible, je me déconnecte...)

Oui, d'un MacDo dans une grande ville, avec un portable sans disque dur qui 
boote un CD live d'une distro très répandue, avec une clé WiFi USB à jeter (pas 
dans la poubelle du MacDo).


> Lunar a écrit :
> Parce que la NSA serait capable d'écouter les nœuds Tor mais pas un serveur 
> de VPN ? La corrélation
> de traffic sur un serveur VPN est trivial (rentre la même chose qui sort, le 
> plus vite possible).
> Donc il suffit d'avoir une sonde sur le réseau pour savoir quelle IP 
> correspond à quelle IP.

+1

> C'est plus difficile de monter une telle attaque contre Tor.

Difficile oui, mais c'est pas important. La difficulté, ce n'est que du temps, 
de l'argent, et des cerveaux brillants.

Tu pourrais pas faire quelque chose pour que Tor bloque les conneries qui font 
chier tout le monde, genre attaques brute force SSH, etc ? Cà aiderait bien ta 
cause. Plus tu fais de bruit, plus la NSA dépense de l'argent à te hacker; tu 
peux pas gagner à ce jeu-là.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Etre anonyme sur l'Internet

[Lunar]

Philippe Bourcier:
> Tout le monde sait bien que la moitié des points de sortie Tor sont ownés
> par la NSA et ses amis... d'où le VPN.

Parce que la NSA serait capable d'écouter les nœuds Tor mais pas un
serveur de VPN ? La corrélation de traffic sur un serveur VPN est
trivial (rentre la même chose qui sort, le plus vite possible). Donc il
suffit d'avoir une sonde sur le réseau pour savoir quelle IP correspond
à quelle IP. C'est plus difficile de monter une telle attaque contre
Tor.

> Enfin, c'est pas parce que tu utilises du Tor/VPN que tu caches ton IP
> réelle qui peut être chopée :
>  - via des protocoles comme WebRTC, SIP?, code client-side, etc
> http://www.unhappyghost.com/2015/02/webrtc-killing-tor-vpn-ip-masking-privacy.html#axzz41Luiu26a

C'est pour ça que le projet Tor recommande l'usage de Tor Broswer ou
d'une distribution comme Tails.

> Ou carrément ton identité :
>  - via un bon vieux cookie HTTP/Flash/etc, chez Google, FB, Amazon, etc... à
> partir du moment où tu te log chez eux, c'est fini, tu n'es plus anonyme,

Une chose méconnue à propos du Tor Browser, c'est qu'il isole circuits
Tor et cookies par domaine (la partie en gras dans la barre du
navigateur). Ça permet, si je me connecte à un compte Twitter, que
Twitter ne puisse pas lier ce compte à l'article que je viens de lire
sur un site d'actualité avec un bouton « Tweet ».

Ce que fait techniquement Tor, c'est de dissocier le routage de
l'identification. Ça redonne la possibilité de pouvoir décider
si on souhaite s'identifier auprès d'un site et comment. L'anonymat est
loin d'être le seul usage de Tor.

-- 
Lunar 


signature.asc
Description: Digital signature

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

[Xavier Claude]

Le samedi 27 février 2016 13:01:26 David Ponzone a écrit :
> C’est "rassurant" de savoir que Cisco ne met pas une somme pareille pour
> racheter une boite dont la techno a une mort annoncée. Quoique que ce soit,
> ils ont une idée derrière la tête.

Si le but c'est du filtrage, ils peuvent très bien casser la signature DNSSEC, 
ton client ne résoudra pas et il n'accédera pas au site, ce qui est bien le 
but.
-- 
Xavier Claude
cont...@xavierclaude.be


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

[David Ponzone]

C’est "rassurant" de savoir que Cisco ne met pas une somme pareille pour 
racheter une boite dont la techno a une mort annoncée.
Quoique que ce soit, ils ont une idée derrière la tête.




> Le 27 févr. 2016 à 12:18, Jonathan Leroy  a 
> écrit :
> 
> Le 26 février 2016 à 23:52, Solarus  a écrit :
>> Ainsi donc, tout le business model des DNS menteurs se casse la figure
>> et c'est une bonne nouvelle pour la sécurité globale des Internets.
> 
> Sauf que les résolveurs fournis par OpenDNS n'effectuent pas de
> validation, et même mieux, suppriment les enregistrements concernant
> DNSSEC des réponses DNS.
> 
> Ils vont donc pouvoir continuer à retourner des réponses mensongères
> en toute tranquillité.
> Vendredi en retard : encore une bonne raison de ne pas se fatiguer à
> déployer DNSSEC.
> 
> -- 
> Jonathan Leroy.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

[Jonathan Leroy]

Le 26 février 2016 à 23:52, Solarus  a écrit :
> Ainsi donc, tout le business model des DNS menteurs se casse la figure
> et c'est une bonne nouvelle pour la sécurité globale des Internets.

Sauf que les résolveurs fournis par OpenDNS n'effectuent pas de
validation, et même mieux, suppriment les enregistrements concernant
DNSSEC des réponses DNS.

Ils vont donc pouvoir continuer à retourner des réponses mensongères
en toute tranquillité.
Vendredi en retard : encore une bonne raison de ne pas se fatiguer à
déployer DNSSEC.

-- 
Jonathan Leroy.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Etre anonyme sur l'Internet

[Damien Saucez]

Salut,

Pour voir comment faire, le plus simple est de commencer par lire ce petit 
résumée http://arxiv.org/pdf/1004.1267v1.pdf et suivre les références.

Damien Saucez 

On 27 Feb 2016, at 09:17, Philippe Bourcier  wrote:

> 
> Re,
> 
> Tout le monde sait bien que la moitié des points de sortie Tor sont ownés par 
> la NSA et ses amis... d'où le VPN.
> Et VPN1 et VPN2 c'est pour dire que tu prends un VPN FR/DE et un VPN autre 
> (par ex.), ce qui élimine aussi les chances de se faire sniffer. Quand à se 
> faire retracer au travers du paiement des fournisseurs VPNs, il suffit de 
> prendre des VPNs que tu peux payer en bitcoin.
> 
> Enfin, c'est pas parce que tu utilises du Tor/VPN que tu caches ton IP réelle 
> qui peut être chopée :
> - via des protocoles comme WebRTC, SIP?, code client-side, etc
> http://www.unhappyghost.com/2015/02/webrtc-killing-tor-vpn-ip-masking-privacy.html#axzz41Luiu26a
> 
> Ou carrément ton identité :
> - via un bon vieux cookie HTTP/Flash/etc, chez Google, FB, Amazon, etc... à 
> partir du moment où tu te log chez eux, c'est fini, tu n'es plus anonyme,
> - Win10 Metrology, une distrib calling-home (updates, rapport erreur, etc), 
> etc,
> - je ne parle même pas de browser et behavioral fingerprinting...
> 
> Bref, être réellement anonyme sur Internet (ie: incluant GAFA, etc) : pas 
> possible.
> Etre anonyme uniquement pour faire un upload sur wikileaks (sans utiliser les 
> GAFA, etc) : possible.
>  (ie: je me connecte, je fais mon truc de journaliste/source/espion/auditeur 
> uniquement vers ma cible, je me déconnecte...)
> 
> 
> Cdt,
> P.
> 
> On 2016-02-26 21:45, Michel Py wrote:
>>> Philippe Bourcier a écrit :
>>> Eh bien pour les gens qui ont des choses à cacher, il y a le classique :
>>> Toi ==> VPN1 ==> Tor ==> VPN2 ==> Internet
>>> Avec ca, good luck pour te retracer...
>> 
>> Ben justement, c'était bien l'idée de Tor : on passe par plusieurs
>> noeuds / réseaux et c'est tout chiffré et tout çà, je me demande si
>> mettre une ou deux couches de la même peinture par-dessus çà
>> empêcherait de tracer.
>> 
>> Est-ce que quelqu'un a vu les détails techniques expliquant comment
>> les chercheurs de Carnegie-Mellon sont arrivés à tracer Tor ?
>> 
>> 
>>> Raphael Jacquot a écrit :
>>> tu commences trolldi a minuit toi ?
>> 
>> Il est 1 heure de l'aprèm ici.
>> date +%z
>> -0800
>> 
>> Michel.
> 
> -- 
> Philippe Bourcier
> web : http://sysctl.org/
> blog : https://www.linkedin.com/today/author/2298865
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Etre anonyme sur l'Internet

[Philippe Bourcier]

Re,

Tout le monde sait bien que la moitié des points de sortie Tor sont 
ownés par la NSA et ses amis... d'où le VPN.
Et VPN1 et VPN2 c'est pour dire que tu prends un VPN FR/DE et un VPN 
autre (par ex.), ce qui élimine aussi les chances de se faire sniffer. 
Quand à se faire retracer au travers du paiement des fournisseurs VPNs, 
il suffit de prendre des VPNs que tu peux payer en bitcoin.


Enfin, c'est pas parce que tu utilises du Tor/VPN que tu caches ton IP 
réelle qui peut être chopée :

 - via des protocoles comme WebRTC, SIP?, code client-side, etc
http://www.unhappyghost.com/2015/02/webrtc-killing-tor-vpn-ip-masking-privacy.html#axzz41Luiu26a

Ou carrément ton identité :
 - via un bon vieux cookie HTTP/Flash/etc, chez Google, FB, Amazon, 
etc... à partir du moment où tu te log chez eux, c'est fini, tu n'es 
plus anonyme,
 - Win10 Metrology, une distrib calling-home (updates, rapport erreur, 
etc), etc,

 - je ne parle même pas de browser et behavioral fingerprinting...

Bref, être réellement anonyme sur Internet (ie: incluant GAFA, etc) : 
pas possible.
Etre anonyme uniquement pour faire un upload sur wikileaks (sans 
utiliser les GAFA, etc) : possible.
  (ie: je me connecte, je fais mon truc de 
journaliste/source/espion/auditeur uniquement vers ma cible, je me 
déconnecte...)



Cdt,
P.

On 2016-02-26 21:45, Michel Py wrote:

Philippe Bourcier a écrit :
Eh bien pour les gens qui ont des choses à cacher, il y a le 
classique :

Toi ==> VPN1 ==> Tor ==> VPN2 ==> Internet
Avec ca, good luck pour te retracer...


Ben justement, c'était bien l'idée de Tor : on passe par plusieurs
noeuds / réseaux et c'est tout chiffré et tout çà, je me demande si
mettre une ou deux couches de la même peinture par-dessus çà
empêcherait de tracer.

Est-ce que quelqu'un a vu les détails techniques expliquant comment
les chercheurs de Carnegie-Mellon sont arrivés à tracer Tor ?



Raphael Jacquot a écrit :
tu commences trolldi a minuit toi ?


Il est 1 heure de l'aprèm ici.
date +%z
-0800

Michel.


--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/2298865


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Etre anonyme sur l'Internet

[Lunar]

Michel Py:
> > Lunar a écrit :
> > En plus des corrections mentionnés sur le blog, il faut maintenant 
> > d'avantage de bande passante
> > et une plus grand anciennenté por devenir point d'entrée dans le réseau (« 
> > Guard node »).
> 
> Ne pas sous-estimer les ressources des services de renseignements. Une
> taupe, çà s'installe des années à l'avance; la bande passante n'est
> pas un problème.

Oui. Mais si c'est un seul Guard malveillant, il n'attrapera qu'une
fraction du traffic (un client ne change que rarement du Guard). Et s'il
y en a trop, ça se voit.

Il est sûrement plus utile de partir du principe que la NSA surveillance
des nœuds en surveillant leur connexion réseau plutot qu'en les faisant
tourner directement. Mais cela ne permet pas d'attaques actives comme
celle mentionnée auparavant.

Jusqu'ici, on reste dans les paramètres des slides de la NSA fuités par
Snowden [1] : seulement une petite partie des clients peuvent être
désanonymiser sans qu'il soit possible de savoir qui à l'avance.

 [1]: 
https://edwardsnowden.com/wp-content/uploads/2013/10/tor-stinks-presentation.pdf

> Tu crois que le gouvernement Chinois il n'a pas de noeuds Tor, aussi ?

A priori, pas dans ceux avec beaucoup de bande passante. Ou alors
les gens qui les font tourner sont des taupes en place depuis longtemps…

-- 
Lunar 


signature.asc
Description: Digital signature