Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

[Willy Manga]

Bonjour,

On 26/04/2021 22:02, Michel Py via frnog wrote:
>> Michel Py a écrit :
>> [...]
> Hélas non, ça fait toujours 2^(128 - 29), les 64 bits de droite étant 
> disponibles :-( (à moins de bloquer dès le départ à /64).
> Et puis, même si ça n'était "que" 2^(128 - 29 - 64), ça ferait quand même 
> 2^35 soit 34.359.738.368, suffisamment pour exploser ta blacklist.
> Un PC peut se reconfigurer lui-même, peut-être pas avec complètement 2^64, 
> mais suffisamment pour être trop énorme pour 
suivre.
> Je n'y connais pas vraiment grand-chose, faudrait regarder dans les environs 
> de ça :
> https://tools.ietf.org/html/rfc4941

C'est désormais la RFC8981  qui la remplace totalement
https://tools.ietf.org/html/rfc8981
"Temporary Address Extensions for Stateless Address Autoconfiguration in
IPv6"

>> (Par contre je ne comprends par comment cela pourrait préserver la vie 
>> privée de changer d'adresse dans une plage /64).
> 
> C'est une histoire de suivi (tracking) et de corrélation. Tout comme les 
> cookies, big data suis ton adresse IP. Exemple typique : je suis en train de 
> surfer dur mon PC, et le peu de pub qui passe à travers sont à propos de 
> switch, d'optiques, ou autres. Ma femme achète un sous-tif en ligne (de son 
> PC, pas du mien), et bam tout d'un coup les pubs que je reçois sont de la 
> lingerie féminine. Comment tu crois que ça arrive ? On est tous les deux 
> derrière NAT sur la même IP publique. Big data.


Je pense que ces opérateurs ont des mécanismes qui ne se basent 
pas
seulement sur l'IP pour "caractériser" une personne.

> Vu que avec IPv6 soi-disant il n'y a pas de NAT, chaque PC serait (en plus de 
> l'IP de la famille) identifiable individuellement, l'adresse IPv6 étant une 
> fonction de l'adresse MAC (les 64 bits de droite). Ce qui permettrait un 
> suivi encore plus pointu et les GAFA de mettre leur nez encore plus profond. 
> L'idée c'était donc que, dans la plage du subnet local /64, l'adresse du PC 
> change régulièrement, ce qui en 
théorie empêcherait le tracking. Sauf que il y a tellement de méthodes pour 
tracker que l'utilité est douteuse.

Je serais plus fin en disant "chaque interface réseau" et non juste PC
peut avoir au moins une  adresse globalement routable (mais dans la
pratique c'est souvent au moins 2).


Même si je doute que tous les systèmes d'exploitation implémentent
absolument la RFC 8981 à l'heure actuelle; la plupart, sinon tous,
n'emploieront jamais l'adresse IPv6 générée à partir de l'adresse MAC
(EUI-64) pour le traffic de *sortie*.

Il y a plusieurs autres mécanismes pour générer des adresses. En terme
de privacy, ici ce qui compte c'est que si mon interface réseau (ou plus
grossièrement mon PC) se retrouve dans un autre LAN, chez moi ou
ailleurs, les adresses générées de manière temporaire 
n'auront pas les
mêmes "caractéristiques" d'un réseau à l'autre.

La RFC https://tools.ietf.org/html/rfc7721 résume toutes les
considérations à prendre en compte en terme de sécurité 
et privacy pour
IPv6. Le tableau 1 fait un résumé de l'analyse.



-- 
Willy Manga
@ongolaboy
https://ongola.blogspot.com/



OpenPGP_signature
Description: OpenPGP digital signature

[FRnOG] [BIZ]Recherche câble console Cisco RJ45 vers mini USB-B

[Julien CANAT]

Bonjour à tous,

Ayant récupéré un cisco ME2600X avec quelques soucis, je cherche à utiliser son 
port console, seulement voilà sur ce modèle cisco n'a rien trouvé de mieux à 
faire que d'utiliser un câble console ultra spécifique :

https://i.imgur.com/vdW8Ze3.jpg

Dont la référence serait : XE-37-0822-01.

J'ai beau avoir cherché sur Internet des gens capables de fournir ce câble, 
personne ne semble en avoir en stock.

Si jamais quelqu'un en dispose dont il serait prêt à séparer contre une bière, 
ou à un tarif raisonnable, contactez-moi en MP s'il vous plaît.

Si quelqu'un a le pining du câble, je suis curieux de voir si on ne peut pas 
bricoler ça avec un fer à souder.

Merci,

--
Julien CANAT

TRINAPS - Ingénierie Réseau

Ingénieur réseau

julien.ca...@trinaps.com

(+33)3 39 03 40 59
(+33)6 13 68 27 45
Techn'hom 3 - 11 rue Sophie Germain 9 Belfort

www.trinaps.com

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ]Recherche câble console Cisco RJ45 vers mini USB-B

[Wallace]

J'ai toujours pensé que c'était du usb standard dans le sens où c'était
le switch qui avait son propre dongle usb to serie en interne. J'ai
jamais vu ce câble non plus.

Bon courage

Le 27/04/2021 à 10:23, Julien CANAT a écrit :
> Bonjour à tous,
>
> Ayant récupéré un cisco ME2600X avec quelques soucis, je cherche à utiliser 
> son port console, seulement voilà sur ce modèle cisco n'a rien trouvé de 
> mieux à faire que d'utiliser un câble console ultra spécifique :
>
> https://i.imgur.com/vdW8Ze3.jpg
>
> Dont la référence serait : XE-37-0822-01.
>
> J'ai beau avoir cherché sur Internet des gens capables de fournir ce câble, 
> personne ne semble en avoir en stock.
>
> Si jamais quelqu'un en dispose dont il serait prêt à séparer contre une 
> bière, ou à un tarif raisonnable, contactez-moi en MP s'il vous plaît.
>
> Si quelqu'un a le pining du câble, je suis curieux de voir si on ne peut pas 
> bricoler ça avec un fer à souder.
>
> Merci,
>
> --
> Julien CANAT
>
> TRINAPS - Ingénierie Réseau
>
> Ingénieur réseau
>
> julien.ca...@trinaps.com
>
> (+33)3 39 03 40 59
> (+33)6 13 68 27 45
> Techn'hom 3 - 11 rue Sophie Germain 9 Belfort
>
> www.trinaps.com
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ]Recherche câble console Cisco RJ45 vers mini USB-B

[Mickael MONSIEUR]

Je n'en ai qu'un, je ne pourrais pas t'aider, mais de mémoire il y en
a sur les Cisco ASR 9000v, les Catalyst 3750x,... c'est pas rare d'en
trouver.
Et je crois qu'à l'avenir, on en verra de plus en plus.

Le mar. 27 avr. 2021 à 10:31, Julien CANAT  a écrit :
>
> Bonjour à tous,
>
> Ayant récupéré un cisco ME2600X avec quelques soucis, je cherche à utiliser 
> son port console, seulement voilà sur ce modèle cisco n'a rien trouvé de 
> mieux à faire que d'utiliser un câble console ultra spécifique :
>
> https://i.imgur.com/vdW8Ze3.jpg
>
> Dont la référence serait : XE-37-0822-01.
>
> J'ai beau avoir cherché sur Internet des gens capables de fournir ce câble, 
> personne ne semble en avoir en stock.
>
> Si jamais quelqu'un en dispose dont il serait prêt à séparer contre une 
> bière, ou à un tarif raisonnable, contactez-moi en MP s'il vous plaît.
>
> Si quelqu'un a le pining du câble, je suis curieux de voir si on ne peut pas 
> bricoler ça avec un fer à souder.
>
> Merci,
>
> --
> Julien CANAT
>
> TRINAPS - Ingénierie Réseau
>
> Ingénieur réseau
>
> julien.ca...@trinaps.com
>
> (+33)3 39 03 40 59
> (+33)6 13 68 27 45
> Techn'hom 3 - 11 rue Sophie Germain 9 Belfort
>
> www.trinaps.com
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ]Recherche câble console Cisco RJ45 vers mini USB-B

[Erwan David]

Le 27/04/2021 à 11:41, Mickael MONSIEUR a écrit :

Je n'en ai qu'un, je ne pourrais pas t'aider, mais de mémoire il y en
a sur les Cisco ASR 9000v, les Catalyst 3750x,... c'est pas rare d'en
trouver.
Et je crois qu'à l'avenir, on en verra de plus en plus.


J'ai utilisé sur Cisco 3750X, et c'est un simple cable USB (type A vers 
Mini) qu'il faut utiliser.
Attention, le switch n'a pas le profil USB Modem (/dev/ttyUSB*) mais 
"serial" (/dev/ACM* si mes souvenirs sont bons, je n'en ai plus 
d'accessible)





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ]Recherche câble console Cisco RJ45 vers mini USB-B

[Mickael Monsieur]

Autant pour moi. 
Sur 9000v il faut l’adaptateur, pas sur 3750x.
Mais c’est usb couleur cyan dans les deux cas je pense avec le mot « console » 
pour se tromper y’a pas mieux :)

> Le 27 avr. 2021 à 12:01, Erwan David  a écrit :
> 
> Le 27/04/2021 à 11:41, Mickael MONSIEUR a écrit :
>> Je n'en ai qu'un, je ne pourrais pas t'aider, mais de mémoire il y en
>> a sur les Cisco ASR 9000v, les Catalyst 3750x,... c'est pas rare d'en
>> trouver.
>> Et je crois qu'à l'avenir, on en verra de plus en plus.
> 
> J'ai utilisé sur Cisco 3750X, et c'est un simple cable USB (type A vers Mini) 
> qu'il faut utiliser.
> Attention, le switch n'a pas le profil USB Modem (/dev/ttyUSB*) mais "serial" 
> (/dev/ACM* si mes souvenirs sont bons, je n'en ai plus d'accessible)
> 
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] RE: [BIZ]Recherche câble console Cisco RJ45 vers mini USB-B

[Michel Py via frnog]

> Julien CANAT a écrit :
> Ayant récupéré un cisco ME2600X avec quelques soucis, je cherche à utiliser 
> son port console, seulement voilà
> sur ce modèle cisco n'a rien trouvé de mieux à faire que d'utiliser un câble 
> console ultra spécifique :

Un truc comme ça ne te conviendrait pas ? j'ai jamais essayé sur un ME2600X 
mais ça marche sur plein d'autres modèles.
https://www.ebay.fr/itm/174457605233

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

[Willy Manga]

.

On 27/04/2021 20:06, Michel Py wrote:
>> [...]
> 
>> Même si je doute que tous les systèmes d'exploitation implémentent 
>> absolument la
>> RFC 8981 à l'heure actuelle; la plupart, sinon tous, n'emploieront jamais 
>> l'adresse
>> IPv6 générée à partir de l'adresse MAC (EUI-64) pour le traffic de *sortie*.
> 
> Aucune importance, le merdiciel va générer sa propre adresse et la choisir 
> pour envoyer son trafic.
> Disons que ton réseau local soit 2001:DB8:CAFE:BABE::/64. Rien ne t'empêche 
> de prendre :
> 2001:DB8:CAFE:BABE::1 pour ton routeur
> 2001:DB8:CAFE:BABE::2 pour ton serveur
> 2001:DB8:CAFE:BABE::3 pour ton iPBX
> Etc. En partant du même principe, le merdiciel peut prendre n'importe 
> laquelle des 2^64 adresses disponibles.

Sauf qu'ici si tu comptes plus d'un type d'usage, alors tu mettras
chaque type d'usage dans son propre LAN. Pour suivre ton exemple,

- ton routeur auras bien sur une interface dans chacun des LAN (donc
chacun des /64),

- tu auras à minima un autre /64 pour tes serveurs

- et un autre /64 pour tous les PC, smartphone,... de la maison ..

Un usage = 1 LAN

Moi typiquement pour aller plus loin j'aurais eu :

- un /60 pour mes serveurs où certains auront des VM avec chacune un 
/64
derrière (oui, même pour la mini VM dans un virtualbox, lxc de ma
machine xyz,...)

- un /60 pour les besoins de la maison contenant
 - un /64 pour mon réseau de caméra
 - un /64 pour les PC de la maison
 - un /64 pour toute la domotique
 - un /64 pour le wifi des interfaces connus
 - un /64 pour le wifi "guest"
 - et ainsi de suite, pour tous les types d'usage possible et inimaginable.


J'espère que les uns et les autres comprendront pourquoi c'est vachement
plus intéressant d'allouer au moins un /56 pour un client résidentiel ;)

Madame Michu ne fera pas tout ça bien sur mais c'est possible de
proposer des services aux clients résidentiels et les placer chacun dans
son propre LAN. Chaque usage étant "cloisonné" avec les ACL qui 
vont
bien avec.

> En ayant un réseau d'une taille aussi importante, dont l'adresse n'est pas 
> réécrite par NAT, on a créé deux nouveaux profils d'attaque :
> 
> - Changer d'adresse souvent pour éviter de se faire bloquer par les systèmes 
> de blacklist.
> - Attaquer directement les systèmes de blacklist en générant tellement 
> d'entrées qu'ils s'effondrent.
> 
> Dans les deux cas, la solution évidente est de blacklister le /64 dont lequel 
> l'adresse fait partie, au lieu de blacklister l'adresse elle-même.

Oui, bien sur que tu bloqueras le /64 en question "temporairement". Mais
je pense que la résolution du problème de fond sera, de manière ultime,
qu'il y ait une remontée d'informations quelque part et des échanges
entre gestionnaires réseaux (responsables) quand le problème est
important et localisé.

Etant donné que les blocs de chaque client sont "uniques", le FAI peut
plus facilement localiser la source du problème.

Pour tout cela (et bien d'autres) ... chaque type d'utilisateur trouvera
un intérêt à utiliser IPv6 :)

-- 
Willy Manga
@ongolaboy
https://ongola.blogspot.com/



OpenPGP_signature
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

[David Ponzone]

> 
> J'espère que les uns et les autres comprendront pourquoi c'est vachement
> plus intéressant d'allouer au moins un /56 pour un client résidentiel ;)
> 
> Madame Michu ne fera pas tout ça bien sur mais c'est possible de
> proposer des services aux clients résidentiels et les placer chacun dans
> son propre LAN. Chaque usage étant "cloisonné" avec les ACL qui 
> vont
> bien avec.

Je serais curieux de savoir quels sont les systèmes domo et autres (sono, media 
server, etc…) qui marchent encore en segmentant comme ça avec des ACL entres 
les LAN :)
Déjà que la plupart des mécanismes automagiques ne marchent plus si tu sépares 
ton LAN en 2 subnet IP…


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Question con

[Stéphane Rivière]

Le 27/04/2021 à 19:18, David Ponzone a écrit :
> Après y a une autre petite différence entre du cuivre et de la radio.
> En cuivre, y a à priori 1 émetteur/récepteur à chaque bout. On sait qu’il y a 
> divers éléments qui peuvent générer de la merde, mais c’est quasiment 
> toujours des intrus. Le 

Y'a un bor*el pas possible sur une ligne téléphonique... ce truc est une
immense antenne :)

filtre de chaque côté est déjà là pour supprimer une partie de la merde.
Le reste est généralement acceptable et c’est un défaut quand le bruit
est excessif.
> En radio, il y a X émetteurs potentiels, pas tous connus, et plus on élargit 
> la bande (son oreille donc), plus on reçoit de la merde. Et ce bruit, même 
> quand il est excessif, n’est pas un défaut, c’est juste implicite quand on 
> utilise une fréquence partagée et ouverte.

+1 !

Ce que tu appelles la merde est le plancher de bruit, avec cet exemple
bien connu qu'il est bien plus élevé en 2.4 qu'en 5.8. Et,
indépendamment de l'occupation, plus on monte en fréquence, moins on a
de bruit (pour rester simple).

Toutefois j'ai vu des expériences intéressantes (il y a bien 25 ans), en
bande HF, d'émission à large bande (genre 0,5 ou 1 MHz, ce qui est
énorme pour ces bandes) et à très basse puissance bien sûr, qui
donnaient des résultats intéressants. C'était bien sûr de la
transmission synchrone, à étalement de spectre, aidée avec du GPS à
chaque bout. Pas de la pure HF donc. Ils ont du faire bien mieux depuis :)

L'imagination humaine est infinie.

-- 
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

[Michel Py via frnog]

>> Willy Manga a écrit :
>> J'espère que les uns et les autres comprendront pourquoi c'est vachement
>> plus intéressant d'allouer au moins un /56 pour un client résidentiel ;)
>> Madame Michu ne fera pas tout ça bien sur mais c'est possible de proposer
>> des services aux clients résidentiels et les placer chacun dans son propre
>> LAN. Chaque usage étant "cloisonné" avec les ACL qui vont bien avec.

>> David Ponzone a écrit :
> Je serais curieux de savoir quels sont les systèmes domo et autres (sono,
> media server, etc…) qui marchent encore en segmentant comme ça avec des ACL
> entres les LAN :) Déjà que la plupart des mécanismes automagiques ne marchent
> plus si tu sépares ton LAN en 2 subnet IP…

En effet, il y a encore plein de trucs qui sont basés sur un broadcast qui ne 
sort pas du VLAN.

Presque personne ne fait ça de toute façon, la preuve étant que c'est 
disponible depuis la nuit des temps.
Partant du même principe, on peut déjà faire 192.168.1.0/24 pour quelque chose, 
192.168.2.0/24 pour autre chose, etc.
Combien il y en a, même ici, qui font ça ? A un moment j'avais un VLAN 
visiteur, mais depuis que tout est WiFi et que mon système a une fonction 
visiteur intégré, je l'ai enlevé.
A job[-1] j'avais un VRF et un VLAN séparé pour le boulot, mais c'était pas un 
truc qu'on donnait aux utilisateurs.

Même en entreprise, dans les petites succursales on n'a souvent qu'un seul 
VLAN, alors le coup de donner par défaut un /56 au résidentiel ça me fait 
carrément rigoler.


> Vincent Habchi a écrit :
> Mais je te rassure, c’était avant FreeBSD 11 et l’arrivée de blacklistd. 
> Depuis, je me suis tourné
> vers ce démon, et, en bon philanthrope, j’ai ouvert l’accès à l’ensemble de 
> l’humanité ! :)

Dans le temps j'avais bloqué la Corée du Nord et quelques autres, mais 
honnêtement je pense que ça ne sert à rien :
Si on essaie de se protéger d'un truc issu d'une armée de zombies, il y en a 
suffisamment dans d'autres pays qu'on autorise.
Si on essaie de se protéger d'une attaque ciblée, ils ont un VPN.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

[Willy Manga]

On 27/04/2021 21:22, David Ponzone wrote:
>>
>> J'espère que les uns et les autres comprendront pourquoi c'est vachement
>> plus intéressant d'allouer au moins un /56 pour un client résidentiel ;)
>>
>> Madame Michu ne fera pas tout ça bien sur mais c'est possible de
>> proposer des services aux clients résidentiels et les placer chacun dans
>> son propre LAN. Chaque usage étant "cloisonné" avec les ACL qui 
>> vont
>> bien avec.
> 
> Je serais curieux de savoir quels sont les systèmes domo et autres 
(sono, media server, etc…) qui marchent encore en segmentant comme ça avec des 
ACL entres les LAN :)
> Déjà que la plupart des mécanismes automagiques ne marchent plus si tu 
> sépares ton LAN en 2 subnet IP…

A aucun moment on ne subdivise un /64 dans ce que je propose :) . Je
n'ai pas un cas pratique sous la main mais si pour les besoins d'usage
un certain nombre d'équipements doivent absolument être dans le 
même LAN
(le même /64) alors ils resteront dans le même réseau.

Un usage = 1 LAN = 1x/64

Le cas le plus simple sera 2 LANs: 1 pour tout ce qui est connu à la
maison et 1 autre pour les invités.


Ce que j'indique est plus un appel aux constructeurs/intégrateurs à
prendre en compte la manière dont des services peuvent exploiter de
manière efficiente IPv6 (multicast inclu).


-- 
Willy Manga
@ongolaboy
https://ongola.blogspot.com/



OpenPGP_signature
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] Question con

[Stéphane Rivière]

> Ce n’est malheureusement pas tout à fait aussi simple, parce que le résultat 
> dépend de la modulation que tu utilises et du spectre du signal interférant. 
> Aussi bizarre que cela

+1000

Et c'est employé un peu partout, quel que soit la bande ou le support
(même en HF d'ailleurs ou en xDSL).

J'avoue avoir hésité à causer des transmissions large bande (comme
contre exemple) et je me suis dit que ça allait être plus
'confusionnant' qu'autre chose :)

J'ai pas voulu compliquer les choses :) Dans le contexte de la question,
ce qui a été dit est la 'bonne réponse' (au sens qu'elle est vraie et
qu'elle n'embrouille pas le cerveau du néophyte...

Après, on pourrait même aller plus loin et distinguer trans large bande
par étalement de spectre (émission continue répartie par un polynôme sur
un large spectre - le wifi ou la 3/4/5G) et par saut de fréquence
(émission discontinue de faible bande passante sur une large bande de
fréquence - le bluetooth par exemple ou les gsm 2G ou les trans HF
milis)...

-- 
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

[David Ponzone]

> 
> A aucun moment on ne subdivise un /64 dans ce que je propose :) . Je
> n'ai pas un cas pratique sous la main mais si pour les besoins d'usage
> un certain nombre d'équipements doivent absolument être dans le 
> même LAN
> (le même /64) alors ils resteront dans le même réseau.
> 
> Un usage = 1 LAN = 1x/64
> 

Oui tu as bien plusieurs /64 non ?

Tu dis "- ton routeur auras bien sur une interface dans chacun des LAN (donc 
chacun des /64), ».
Donc ton app iPhone Hue par exemple ne verra pas le pont Philips Hue 
automagiquement.
Un exemple parmi d’autres.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Question con

[David Ponzone]

Après y a une autre petite différence entre du cuivre et de la radio.
En cuivre, y a à priori 1 émetteur/récepteur à chaque bout. On sait qu’il y a 
divers éléments qui peuvent générer de la merde, mais c’est quasiment toujours 
des intrus. Le filtre de chaque côté est déjà là pour supprimer une partie de 
la merde. Le reste est généralement acceptable et c’est un défaut quand le 
bruit est excessif.
En radio, il y a X émetteurs potentiels, pas tous connus, et plus on élargit la 
bande (son oreille donc), plus on reçoit de la merde. Et ce bruit, même quand 
il est excessif, n’est pas un défaut, c’est juste implicite quand on utilise 
une fréquence partagée et ouverte.

> Le 27 avr. 2021 à 18:27, Stéphane Rivière  a écrit :
> 
>> Ce n’est malheureusement pas tout à fait aussi simple, parce que le résultat 
>> dépend de la modulation que tu utilises et du spectre du signal interférant. 
>> Aussi bizarre que cela
> 
> +1000
> 
> Et c'est employé un peu partout, quel que soit la bande ou le support
> (même en HF d'ailleurs ou en xDSL).
> 
> J'avoue avoir hésité à causer des transmissions large bande (comme
> contre exemple) et je me suis dit que ça allait être plus
> 'confusionnant' qu'autre chose :)
> 
> J'ai pas voulu compliquer les choses :) Dans le contexte de la question,
> ce qui a été dit est la 'bonne réponse' (au sens qu'elle est vraie et
> qu'elle n'embrouille pas le cerveau du néophyte...
> 
> Après, on pourrait même aller plus loin et distinguer trans large bande
> par étalement de spectre (émission continue répartie par un polynôme sur
> un large spectre - le wifi ou la 3/4/5G) et par saut de fréquence
> (émission discontinue de faible bande passante sur une large bande de
> fréquence - le bluetooth par exemple ou les gsm 2G ou les trans HF
> milis)...
> 
> -- 
> Stéphane Rivière
> Ile d'Oléron - France
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

[Vincent Habchi]

> On 27 Apr 2021, at 19:57, Michel Py via frnog  wrote:
>> Vincent Habchi a écrit :
>> Mais je te rassure, c’était avant FreeBSD 11 et l’arrivée de blacklistd. 
>> Depuis, je me suis tourné
>> vers ce démon, et, en bon philanthrope, j’ai ouvert l’accès à l’ensemble de 
>> l’humanité ! :)
> 
> Dans le temps j'avais bloqué la Corée du Nord et quelques autres, mais 
> honnêtement je pense que ça ne sert à rien :
> Si on essaie de se protéger d'un truc issu d'une armée de zombies, il y en a 
> suffisamment dans d'autres pays qu'on autorise.
> Si on essaie de se protéger d'une attaque ciblée, ils ont un VPN.

Ah, mais tu prêches un convaincu :)

J’ai séparé le 172.31/16 que j’utilise en interne au bureau. 0/24 ce sont les 
machines, 1/24 les routeurs, 2/24 les clients VPN et 3/24 mes macs et 4/24 les 
imprimantes. J’ai bien conscience que ça ne sert à rien, mais ça fait plus 
propre.

Mon serveur DHCP opère sur le second /25 du 0/24. Le premier /25 est une série 
d’IP fixes (serveurs).

V.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

[Willy Manga]

On 27/04/2021 22:49, David Ponzone wrote:
>>
>> A aucun moment on ne subdivise un /64 dans ce que je propose :) . Je
>> n'ai pas un cas pratique sous la main mais si pour les besoins d'usage
>> un certain nombre d'équipements doivent absolument être dans 
le 
>> même LAN
>> (le même /64) alors ils resteront dans le même réseau.
>>
>> Un usage = 1 LAN = 1x/64
>>
> 
> Oui tu as bien plusieurs /64 non ?

oui

> Tu dis "- ton routeur auras bien sur une interface dans chacun des LAN (donc 
> chacun des /64), ».
> Donc ton app iPhone Hue par exemple ne verra pas le pont Philips Hue 
> automagiquement.

Oui il faudra router sinon ils restent dans le même réseau.


-- 
Willy Manga
@ongolaboy
https://ongola.blogspot.com/



OpenPGP_signature
Description: OpenPGP digital signature

RE: [FRnOG] [MISC] 5G décentralisée sur la blockchain [troll?]

[Michel Py via frnog]

> Nick Rand a écrit :
> Est-ce que tout ça n'est qu'une grosse arnaque ourdie par des fabricants de 
> matériels qui veulent nous
> vendre de la 5G jusque dans nos maisons en nous faisant miroiter des mythcoin 
> à la clé pendant que
> {les reptiliens|les atlantes|les illuminati|les klingons|satan} nous implante 
> des ondes gamma dans la tête?

A première lecture, oui :P
J'ai lu un peu sur la bande en question (CBRS), tout ce que j'ai lu c'est un 
ramassis de promesses impossibles à délivrer.

Je t'explique le modèle économique : achète mon matos pour plusieurs centaines 
d'Euros. L'empire Klingon te dédommagera généreusement pour utiliser ton point 
d'accès. Ils veulent avoir établir une influence sur terre avant que les 
Vulcans n'arrivent, le 5 Avril 2063 comme tout le monde le sait. En fait, la 
technologie de 5G personnel, la raison pour laquelle elle marche c'est qu'elle 
utilise une technologie supérieure, de provenance Klingon, qui est nettement 
plus avancée que ce qu'on fait en ce moment.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] 5G décentralisée sur la blockchain [troll?]

[N R]

Bonsoir aux humanoïdes et aux autres,

Je poste pas beaucoup, mais fallait que je vous partage ça avant Vendredi.

J'ai découvert grâce à un ami fan de coins en tous genres, un projet
de blockchain dont les mineurs sont également des points d'accès
LoraWAN à un réseau décentralisé.
Dans leur modèle, les 'mineurs' hébergeant ces routeurs sont rémunérés
en HNT, le crypto-token créé pour l'occasion, sur le principe de la
preuve de couverture et de la preuve de disponibilité, les 'clients'
du réseau paieraient l'accès à celui-ci également en HNT.
Quelques constructeurs se sont lancés dans l'aventure, souvent sur des
bases de raspberry pi : https://www.helium.com/mine

Premières questions pour ceux qui n'ont pas lâché à la première
phrase, j'ai vu sur la carte interactive de leur site, qu'il y a
quelques noeuds actifs en France, surtout sur Paris :
https://explorer.helium.com/coverage#5.15/47.418/2.622 ; donc je me
demande s'il y a des humanoïdes sur cette liste qui auraient un retour
d'expérience à partager, au delà de l'aspect 'ça gagne' ou pas, mais
plus sur le plan technique (ça cause quoi? à qui?) et l'utilité
finale, est qu'on peut effectivement faire parler un IoTruc sur ce
réseau LoRaWAN Helium?

Donc ça c'est que le début...
Après avoir lancé le réseau helium basé sur la blockchain toussah
toussah, ils ont annoncé hier le lancement de leur routeurs 5G en
partenariat avec le fabricant FreedomFi, visant à créer le réseau 5G
sur la blockchain Helium évoqué en titre:
https://blog.helium.com/episode-two-the-path-to-5g-3f704a58661?gi=5d6816af352d

Ça a l'air techniquement possible, ça vise un public beaucoup plus
large que les réseaux LoRaWAN donc une adoption potentiellement plus
massive, est-ce que ça peut changer la donne?

Est-ce que tout ça n'est qu'une grosse arnaque ourdie par des
fabricants de matériels qui veulent nous vendre de la 5G jusque dans
nos maisons en nous faisant miroiter des mythcoin à la clé pendant que
{les reptiliens|les atlantes|les illuminati|les klingons|satan} nous
implante des ondes gamma dans la tête?

Y a-t-il en Europe une équivalence à la fréquence libérée
(délivrée...) par la FCC aux États-Unis?

Le but poursuivi est que le réseau soit opéré par "les gens", mais les
opérateurs télécoms pourraient-ils se mettre à 'miner' de l'Helium?

Sinon, j'attends la guerre civile entre 'mineurs' de 5G et
incendiaires de relais :-)

Bises
Nick Rand


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

[Michel Py via frnog]

> Willy Manga a écrit :
> Je pense que ces opérateurs ont des mécanismes qui ne se basent pas seulement 
> sur l'IP pour "caractériser" une personne.

Certes, et plus il y a de mécanismes mieux c'est, et une adresse unique au par 
machine c'est du pain béni : pas moyen de l'enlever, pas de mode privé, etc. 
C'est dans l'entête du paquet.

> Je serais plus fin en disant "chaque interface réseau" et non juste PC peut 
> avoir au moins
> une adresse globalement routable (mais dans la pratique c'est souvent au 
> moins 2).

Tout à fait, et aussi une FE80:, et plus.

> Même si je doute que tous les systèmes d'exploitation implémentent absolument 
> la
> RFC 8981 à l'heure actuelle; la plupart, sinon tous, n'emploieront jamais 
> l'adresse
> IPv6 générée à partir de l'adresse MAC (EUI-64) pour le traffic de *sortie*.

Aucune importance, le merdiciel va générer sa propre adresse et la choisir pour 
envoyer son trafic.
Disons que ton réseau local soit 2001:DB8:CAFE:BABE::/64. Rien ne t'empêche de 
prendre :
2001:DB8:CAFE:BABE::1 pour ton routeur
2001:DB8:CAFE:BABE::2 pour ton serveur
2001:DB8:CAFE:BABE::3 pour ton iPBX
Etc. En partant du même principe, le merdiciel peut prendre n'importe laquelle 
des 2^64 adresses disponibles.

En ayant un réseau d'une taille aussi importante, dont l'adresse n'est pas 
réécrite par NAT, on a créé deux nouveaux profils d'attaque :

- Changer d'adresse souvent pour éviter de se faire bloquer par les systèmes de 
blacklist.
- Attaquer directement les systèmes de blacklist en générant tellement 
d'entrées qu'ils s'effondrent.

Dans les deux cas, la solution évidente est de blacklister le /64 dont lequel 
l'adresse fait partie, au lieu de blacklister l'adresse elle-même.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

[Nicolas Vigier]

On Mon, 26 Apr 2021, Vincent Habchi wrote:

> 
> > On 26 Apr 2021, at 18:59, Richard Klein  wrote:
> > 
> > Sur le traffic entrant sur un pfsense et geoip je bloque toutes les ip qui
> > ne sont pas Française.
> > Cela m'a fait tomber le volume d'attaque et traffic parasite.
> > Pour le traffic sortant je bloque aussi .
> 
> J’ai mis en place des restrictions un peu moins sévères sur un serveur dont 
> je m’occupe et qui héberge un gros forum de discussion francophone. J’avais 
> barré un tas de pays qui n’avaient rien à faire là-dessus (genre, Russie, 
> Chine, Inde et quelques autres).

Par ce qu'il n'existe aucune personne parlant Francais en Russie, Chine
et Inde ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] IPv6 potentiellement plus dangereuse qu'IPv4 ?

[Vincent Habchi]

>> J’ai mis en place des restrictions un peu moins sévères sur un serveur dont 
>> je m’occupe et qui héberge un gros forum de discussion francophone. J’avais 
>> barré un tas de pays qui n’avaient rien à faire là-dessus (genre, Russie, 
>> Chine, Inde et quelques autres).
> 
> Par ce qu'il n'existe aucune personne parlant Francais en Russie, Chine
> et Inde ?

Évidemment, c’est un peu le défaut de la cuirasse. Avec de telles méthodes, on 
sacrifie une (toute petite) partie du public potentiel sur l’autel de la 
tranquillité. 

Mais je te rassure, c’était avant FreeBSD 11 et l’arrivée de blacklistd. 
Depuis, je me suis tourné vers ce démon, et, en bon philanthrope, j’ai ouvert 
l’accès à l’ensemble de l’humanité ! :)

Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/