Re: [FRnOG] [TECH] SPF v1 ou v2

[Nicolas CARTRON]

Hello,

On 14 févr. 2012, at 19:38, Benjamin BILLON  wrote:
> 
> Ow et tant qu'on y est, il est préférable d'avoir des enregistrements TXT 
> _et_ SPF (type 99) pour SPF (v1) et SenderID (v2). Tout simplement parce que 
> le rr SPF est requêté en premier (le TXT n'est qu'un fallback pour que les 
> serveurs ne sachant pas requêter du SPF puissent quand même vérifier les 
> enregistrements.

Hum la RFC sur le RR type SPF n'est plus en experimental ?

-- 
Nicolas. 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SPF v1 ou v2

[Benjamin BILLON]

Haha ok, je vois pour qui tu travailles =D


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SPF v1 ou v2

[Steven Le Roux]

2012/2/14 Benjamin BILLON :
>> Ca me fait penser: j'ai çà depuis des années, est-ce qu'il faut vraiment
>> upgrader à v2 ?
>>
>> arneill-py.sacramento.ca.us  text =  "v=spf1 a mx -all"
>
> v1 = SPF (rfc4408), check sur le HELO et le MAIL FROM
>
> v2 = SenderID (rfc4406), check possible sur le PRA (Resent-Sender:, ou
> Resent-From:, ou Sender:, ou From:, dans cet ordre, cf. rfc4407), ou sur le
> MAIL FROM, ou sur le PRA et le MAIL FROM.
>
> Là où SPF fait de de l'autorisation, SenderID souhaite permettre
> l'identification. Bon c'est pas non plus DKIM, et d'ailleurs pour Hotmail si
> tu n'as pas de SenderID configuré (ouais, le spfv2.0, là), il va se tourner
> vers DKIM.
>
> Configurer un enregistrement SenderID pour son domaine ne signifie pas
> "upgrader" de v1 à v2, et les deux enregistrements sont conseillés (SenderID
> surtout pour Hotmail, mais bon).
>
> Ow et tant qu'on y est, il est préférable d'avoir des enregistrements TXT
> _et_ SPF (type 99) pour SPF (v1) et SenderID (v2). Tout simplement parce que
> le rr SPF est requêté en premier (le TXT n'est qu'un fallback pour que les
> serveurs ne sachant pas requêter du SPF puissent quand même vérifier les
> enregistrements.
>
> Donc Michel, tu pourrais avoir :
>
> arneill-py.sacramento.ca.us     IN SPF  "v=spf1 a mx -all"
> arneill-py.sacramento.ca.us     IN SPF  "spf2.0/mfrom a mx -all"
> arneill-py.sacramento.ca.us     IN TXT  "v=spf1 a mx -all"
> arneill-py.sacramento.ca.us     IN TXT  "spf2.0/mfrom a mx -all"
>
>
> Sans te casser le chou (si c'est bien ton domaine de HELO et MAIL FROM).
>
> Et Si tu veux mettre SenderID sur ton Sender: ou From:
>
> arneill-py.sacramento.ca.us     IN SPF  "v=spf1 a mx -all"
> arneill-py.sacramento.ca.us     IN SPF  "spf2.0/pra a mx -all"
> arneill-py.sacramento.ca.us     IN TXT  "v=spf1 a mx -all"
> arneill-py.sacramento.ca.us     IN TXT  "spf2.0/pra a mx -all"
>
>
>
> Voilà.
>
> Maintenant, au tour des banques.
>>
>> # dig txt fortuneo.fr +short
>> "v=spf1 a mx ip4:176.31.225.29/32 ip4:83.206.208.128/25 ip4:81.252.92.0/23
>> ip4:86.64.210.0/23 ip4:195.2.74.0/23 ip4:80.124.164.144/32
>> ip4:93.20.41.20/32 ip4:93.20.45.21/32 ip4:195.101.71.21/24 ~all"
>> "v=spf2.0/mfrom mx ip4:176.31.225.29/32 ip4:83.206.208.128/25
>> ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23
>> ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32
>> ip4:195.101.71.21/24 ~all"
>
> Ouch. "v=spf2.0" ? Ca n'existe pas. La syntaxe commence par "spf2.0"

ah oui, merge de rfc je pense. thx.

>>
>> # dig spf fortuneo.fr +short
>
> ked'.


comment ça ked' ?

$ dig TXT fortuneo.fr +short
"v=spf1 a mx ip4:176.31.225.29/32 ip4:83.206.208.128/25
ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23
ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32
ip4:195.101.71.21/24 ~all"
"spf2.0/mfrom mx ip4:176.31.225.29/32 ip4:83.206.208.128/25
ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23
ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32
ip4:195.101.71.21/24 ~all"

$ dig SPF fortuneo.fr +short
"spf2.0/mfrom mx ip4:176.31.225.29/32 ip4:83.206.208.128/25
ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23
ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32
ip4:195.101.71.21/24 ~all"
"v=spf1 a mx ip4:176.31.225.29/32 ip4:83.206.208.128/25
ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23
ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32
ip4:195.101.71.21/24 ~all"

Puisqu'on y est... tournée générale :

$ dig SPF cmb.fr +short
"spf2.0/mfrom mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144
ip4:93.20.41.20 ~all"
"v=spf1 a mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144
ip4:93.20.41.20 ~all"

$ dig SPF cmmc.fr +short
"v=spf1 a mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144
ip4:93.20.41.20 ~all"
"spf2.0/mfrom mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144
ip4:93.20.41.20 ~all"

$ dig SPF cmso.com +short
"spf2.0/mfrom mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144
ip4:93.20.41.20 ~all"
"v=spf1 a mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144
ip4:93.20.41.20 ~all"

$ dig SPF suravenir.fr +short
"v=spf1 a mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144
ip4:93.20.41.20 ~all"
"spf2.0/mfrom mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144
ip4:93.20.41.20 ~all"

...


>
> Quant aux autres :
>>
>> # dig txt socgen.com +short
>> "v=spf1 a:tigmail.socgen.com a:realmail2.socgen.com a:realmail3.socgen.com
>> a:realmail4.socgen.com a:realmail10.socgen.com a:realmail20.socgen.com
>> a:realmail30.socgen.com a:realmail40.socgen.com ip4:193.178.155.96/28
>> ip4:207.45.249.160/27 ?all"
>
> Ok, ils n'ont pas de type 99, et avec le "?all" à la fin ils ne se mouillent
> pas beaucoup, mais hé, il y 'a quand même un effort. Il faut juste regarder
> sur le bon domaine, forcément.
>>
>> # dig txt bnpparibas.com +short
>> "v=spf1 ip4:155.140.133.128/26 ip4:159.50.169.64/26 ip4:159.50.101.64/26
>> ip4:159.50.176.0/26 ip4:137.236.179.183 ip4:137.236.179.133
>> ip4:

Re: [FRnOG] [TECH] SPF v1 ou v2

[Radu-Adrian Feurdean]

On Tue, 14 Feb 2012 09:03:18 -0800, "Michel Py"
 said:
> > Steven Le Roux a écrit:
> > C'est parce que tu n'essaies pas sur les bonnes banques ;)
> 
> Ca me fait penser: j'ai çà depuis des années, est-ce qu'il faut vraiment
> upgrader à v2 ?
> 
> arneill-py.sacramento.ca.us  text =  "v=spf1 a mx -all"

Au cas ou, tu peux mettre v1 *et* v2.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Raphaël Jacquot]

On 02/14/2012 06:36 PM, Damien Fleuriot wrote:

On 2/14/12 2:33 PM, sxpert wrote:

une bonne solution est de ne pas avoir de plateformes Windows a ton
catalogue, ca t'evite la plupart des serveurs de jeux / forums qui sont
généralement la cause de la transformation des machines en aimants a
emmerdes... et ca ne viole pas le code du commerce, quand t'as pas le
produit, tu peux pas etre taxé de refus de vente


Tu fais référence à quelles technos sous windows ?

Parce que des camfrogs, minecraft, world of warcraft, teamspeak... t'en
as sous bsd et nux.


dans ce cas précis, je fais référence a la layer 8
un mec qui t'installe le serveur minecraft, wow, teamspeak ... sur BSD, 
en général, il se fait pas défoncer



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SPF v1 ou v2

[Benjamin BILLON]

Ca me fait penser: j'ai çà depuis des années, est-ce qu'il faut vraiment 
upgrader à v2 ?

arneill-py.sacramento.ca.us  text =  "v=spf1 a mx -all"

v1 = SPF (rfc4408), check sur le HELO et le MAIL FROM

v2 = SenderID (rfc4406), check possible sur le PRA (Resent-Sender:, ou 
Resent-From:, ou Sender:, ou From:, dans cet ordre, cf. rfc4407), ou sur 
le MAIL FROM, ou sur le PRA et le MAIL FROM.


Là où SPF fait de de l'autorisation, SenderID souhaite permettre 
l'identification. Bon c'est pas non plus DKIM, et d'ailleurs pour 
Hotmail si tu n'as pas de SenderID configuré (ouais, le spfv2.0, là), il 
va se tourner vers DKIM.


Configurer un enregistrement SenderID pour son domaine ne signifie pas 
"upgrader" de v1 à v2, et les deux enregistrements sont conseillés 
(SenderID surtout pour Hotmail, mais bon).


Ow et tant qu'on y est, il est préférable d'avoir des enregistrements 
TXT _et_ SPF (type 99) pour SPF (v1) et SenderID (v2). Tout simplement 
parce que le rr SPF est requêté en premier (le TXT n'est qu'un fallback 
pour que les serveurs ne sachant pas requêter du SPF puissent quand même 
vérifier les enregistrements.


Donc Michel, tu pourrais avoir :

arneill-py.sacramento.ca.us IN SPF  "v=spf1 a mx -all"
arneill-py.sacramento.ca.us IN SPF  "spf2.0/mfrom a mx -all"
arneill-py.sacramento.ca.us IN TXT  "v=spf1 a mx -all"
arneill-py.sacramento.ca.us IN TXT  "spf2.0/mfrom a mx -all"


Sans te casser le chou (si c'est bien ton domaine de HELO et MAIL FROM).

Et Si tu veux mettre SenderID sur ton Sender: ou From:

arneill-py.sacramento.ca.us IN SPF  "v=spf1 a mx -all"
arneill-py.sacramento.ca.us IN SPF  "spf2.0/pra a mx -all"
arneill-py.sacramento.ca.us IN TXT  "v=spf1 a mx -all"
arneill-py.sacramento.ca.us IN TXT  "spf2.0/pra a mx -all"



Voilà.

Maintenant, au tour des banques.

# dig txt fortuneo.fr +short
"v=spf1 a mx ip4:176.31.225.29/32 ip4:83.206.208.128/25 
ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23 
ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32 
ip4:195.101.71.21/24 ~all"
"v=spf2.0/mfrom mx ip4:176.31.225.29/32 ip4:83.206.208.128/25 
ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23 
ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32 
ip4:195.101.71.21/24 ~all"

Ouch. "v=spf2.0" ? Ca n'existe pas. La syntaxe commence par "spf2.0"

# dig spf fortuneo.fr +short

ked'.

Quant aux autres :

# dig txt socgen.com +short
"v=spf1 a:tigmail.socgen.com a:realmail2.socgen.com 
a:realmail3.socgen.com a:realmail4.socgen.com a:realmail10.socgen.com 
a:realmail20.socgen.com a:realmail30.socgen.com 
a:realmail40.socgen.com ip4:193.178.155.96/28 ip4:207.45.249.160/27 ?all"
Ok, ils n'ont pas de type 99, et avec le "?all" à la fin ils ne se 
mouillent pas beaucoup, mais hé, il y 'a quand même un effort. Il faut 
juste regarder sur le bon domaine, forcément.

# dig txt bnpparibas.com +short
"v=spf1 ip4:155.140.133.128/26 ip4:159.50.169.64/26 
ip4:159.50.101.64/26 ip4:159.50.176.0/26 ip4:137.236.179.183 
ip4:137.236.179.133 ip4:137.236.179.83 ip4:155.140.121.252 
ip4:155.140.122.252 ip4:74.112.67.22 ip4:89.206.4.135 
ip4:217.167.24.180 mx ~all"

Un peu mieux pour la BNP, avec le ~all.

Je n'ai pas regardé les autres, il faut bien partager le fun.

--
Benjamin



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Jérémy Martin]

Tient, un peu de changement chez OVH :
http://travaux.ovh.net/?do=details&id=6378

DétailsWe have updated abuse detection filters for some UDP aberrant 
traffic.


Cordialement,
Jérémy Martin


Le 13/02/2012 22:33, o...@ovh.net a écrit :

Bonjour,


Mais pourquoi est à la cible de se protéger

C'est quand meme fou de lire ça, surtout quand on sait
que ça fait des années que tes infra se font attaquer
parce que tu acceptes les clients qui sont border line.
et même avec tout ce qu'il t'arrive dans ta vie, tu
n'arrives pas à apprendre et se remettre en question
puis evoluer/changer ?

si tu ne sais pas pourquoi encore aujourd'hui bahh
change de metier. car dans ce metier là uniquement
ceux qui sont paranos survivent. les autres meurent.

historiquement, tu as été chez ovh housing. 2009 ? 2010 ?
et tu avais les attaques qui venait de partout dans le monde.
1 à 2 par mois un email "est ce que tu peux me proteger
contre cette attaque". combien de fois ? je compte pas.
à chaque fois meme pas un merci.

courant 2010/2011, tu as profité de protections contre les
attaques que j'ai mis en place et ça s'est un peu
arreté. debut 2011 c'était quand même bien tranquille.

dans ton cas, les petits rigolos qui n'aiment pas tes
clients qui n'aiment pas les petits rigolos ont decouvert
qu'en hackant un serveur chez ovh, ils peuvent attaquer
à nouveau tes VPS. et depuis sep 2011 ça a repris de plus
beau car en interne je ne gere pas les attaques via le QoS
mais via la mise en rescue du serveur.

fin 2011, les attaques continue et tu commences tranquilement
nous insulter qu'on a de routeurs de merde qui ne tiennent
même pas les attaques et tout ça est gravement scandaleux
que porter plainte, et finir devant le juge etc. ok. je suis
sympa mais quand on me menace, red flag. on te resilie et
tu pars ailleurs. 3 prefix: un avec cogent et 2 avec dedibox.
meme pas de lien direct avec nous. nous cogent on le voit
via dtag via frankfurt ..

et les attaques ? bahh ils continuent toujours à partir
de notre reseau comme avant. les hackeurs vont pas changer
les habitudes. et tu te prends quelques Mbps quelques fois
par mois car tu veux continuer à héberger des projets
border line.

J'ai pas de probleme avec ça mais achete toi des equipements
pour gerer ces attaques. tu as de la chance que le mec qui
gere le reseau qui t'attaque peut regler ton probleme. hier
tu envoies les emails sur abuse@, je regle le probleme et
derriere je voie quoi ? en plus le twitter et tout le
tralala. de plus, tu commences tranquilement dire que je
suis derrier tout ça et que je te cite "il est complice"
de ces attaques:
https://twitter.com/#!/Inulogic_FreeH/status/167757684899188736
pour quelques heures/jours apres de menaces juridiques.
https://twitter.com/#!/Inulogic_FreeH/status/168720856623751168

moi: red flag !

question: comment je peux moi faire de sort que mon reseau
ne fasse plus jamais les attaques sur ton reseau de maniere
sûr ?

blackhole. c'est ça que j'ai mis en place. j'ai mis en
place exactement ce que j'aurais demandé à mes transits
de faire si je recevais une attaque. ce sont les outils
standard. rien d'extraordinaire. okey, c'est pas très
fin, mais ça marche. le monsieur en face il peut nous
insulter de tous les noms mais ne me dira plus qu'il
recoit les attaques de notre reseau. donc le resultat
est là.

pourquoi sur tout le reseau ? car j'ai aucune information
sur la destination de l'attaque ni pourquoi ni si ça
change ni si c'est la meme IP etc. le monsieur nous
insulte et va partout pour casser du sucre mais jamais
il ne va avoir de demarche constructif pour affiner
ou trouver l'origine du probleme. dans tous les cas il
connait l'origine du probleme mais comme ça lui rapporte
un max alors il n'est pas prêt de changer. pire il va
demander aux autres d'investir dans le matos pour faire
la securité pour lui.

j'ai donc protegé son reseau avec les regles et les
outils que tout le monde utilise sur l'internet. et
avec les moyens que je dispose. c'est brutal, facile,
pas cher mais surtout ça fonctionne. pas d'attaque.

et ? et j'attends que le monsieur en face me dise
"c'est bon, j'ai mis ce qu'il faut pour gerer maintenant
les attaques moi meme".

car ce n'est pas à moi de gerer les attaques pour les
autres. on a des outils qui nous permettent de detecter
les attaques. de grosses attaques, pas de petites. je
veux dire 80-90Mbps, pas moins, car moins ça aurait
été de faux positive avec pas mal d'activité de nos
clients. on a aussi les infra qui evoluent. on a par
exemple reçu derrnierement les nouvelles cartes 24x10G
et le netflow ne fonctionne pas super bien. on ne voit
pas tout. peut etre ça va s'améliorer, peut etre pas.

en tout cas, il n'est pas possible de se baser sur sa
propre securité sur les autres reseaux et encore moins
avec de gens qu'on insulte 1 fois par semaine et qu'on
les accuse très facilement de tout et de rien. je veux
bien aider mais si c'est de cette maniere c'est non.

QoS ? il n'est pas possible de garantir une limitat

RE: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Michel Py]

> Thomas Mangin a écrit:
> Mais les DDOS ont deux raisons princiaples :
> - extortion financière (protection)
> - retribution

+1


> Dans le premier cas (site de jeux, etc.) les sociétés se protèges.

Plus, quand on est un très petit hébergeur, on n'héberge pas une banque ou un 
site de jeux, sachant à l'avance que ce sont des paratonnerres à attaques.

> Dans le second (s'attirer les foudre d'Anonymous), la réaction
> est toujours une conséquence d'action précédente.

+1



>> Michel Py a écrit:
>> 1. Se débarrasser des clients qui sont des aimants à emmerdes; 

> Stephane Bortzmeyer a écrit:
> C'est pile le sujet de la discussion. Faire cela, c'est une
> violation directe de la neutralité du réseau, c'est l'opérateur
> qui décide de qui il sert et qui il ne sert pas. Un cafetier
> ferait cela, il aurait un procès.

Je suis désolé, tu rentre dans un restaurant en slip de bain on ne te sert pas.
No shirt no shoes no service. A l'Assemblée Nationale faut porter une cravate.

Le réseau c'est pareil, avant d'héberger tu as le droit de faire signer un 
contrat au client dans lequel il garanti les compétences techniques minimum. 
Donc par exemple un client qui laisse un relai SMTP ouvert ou qui ne mets pas 
les rustines de vulnérabilité est automatiquement en violation du contrat et tu 
as le droit 1. de couper 2. de lui dire d'aller voir ailleurs.

Aussi dans le contrat tu mets que tous les frais supplémentaires (genre facture 
de transit qui triple à cause d'un DDOS) et le temps passer à résoudre 
l'incident seront refacturés. Le contrat d'hébergement peut être stoppé par 
n'importe laquelle des deux parties à condition de donner un délai de 30 jours. 
Ceux qui ne sont pas contents avec mon contrat ils vont se faire héberger 
ailleurs.


>> on pourra dire tout ce qu'on voudra, les attaques n'arrivent
>> pas au hasard; 

> C'est dégueulasse, ça, ça revient à mettre la faute sur la victime.
> « Son site Web prenait position en faveur du mariage des homos. Il
> s'est pris une DoS de la part des intégristes. J'ai fermé le site,
> ça ne m'apportait que des emmerdes sur mon réseau. »

C'est pas la même chose. Un site comme ça se fait attaquer pour des raisons de 
liberté d'expression, ce que je défends. Je ferais ce que je peux, néanmoins si 
je me prends des DDOS de 5Gbps tout le tant alors que mon 95% est typiquement 
de 100Mbps je ne vais pas avoir d'autre choix que d'aller voir le client et lui 
dire: désolé, faut que tu ailles voir ailleurs. Question de survie. Relis  le 
contexte: "quand on est petit".


Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/14/12 2:33 PM, sxpert wrote:
> une bonne solution est de ne pas avoir de plateformes Windows a ton
> catalogue, ca t'evite la plupart des serveurs de jeux / forums qui sont
> généralement la cause de la transformation des machines en aimants a
> emmerdes... et ca ne viole pas le code du commerce, quand t'as pas le
> produit, tu peux pas etre taxé de refus de vente
> 

Tu fais référence à quelles technos sous windows ?

Parce que des camfrogs, minecraft, world of warcraft, teamspeak... t'en
as sous bsd et nux.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] SPF v1 ou v2

[Michel Py]

> Steven Le Roux a écrit:
> C'est parce que tu n'essaies pas sur les bonnes banques ;)

Ca me fait penser: j'ai çà depuis des années, est-ce qu'il faut vraiment 
upgrader à v2 ?

arneill-py.sacramento.ca.us  text =  "v=spf1 a mx -all"

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Pierre Chapuis]

On 2012-02-14 17:31, Christophe Baegert wrote:

Le 14/02/2012 16:47, Pierre Chapuis a écrit :

Parfois il y a des choses qu'il suffit de faire remonter ;)

Je n'avais pas capté que vous étiez du staff...


Pas moi, (juste client ;) mais Steven oui.

--
Pierre Chapuis


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Christophe Baegert]

Le 14/02/2012 16:47, Pierre Chapuis a écrit :
> Parfois il y a des choses qu'il suffit de faire remonter ;)
Je n'avais pas capté que vous étiez du staff... Bravo pour la rapidité !
Si par hasard, vous croisez les responsables de la maison mère,
n'hésitez pas à leur en toucher un mot ;-)

Cordialement,

Christophe Baegert


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Pierre Chapuis]

On 2012-02-14 11:19, Christophe Baegert wrote:


Puisque je vous tiens, pouvez-vous m'expliquer ce mystère ?

[chris@travelmate ~]$ dig societegenerale.fr TXT|grep spf
[chris@travelmate ~]$ dig banquepopulaire.fr TXT|grep spf
[chris@travelmate ~]$ dig bnpparibas.net TXT|grep spf
[chris@travelmate ~]$ dig creditmutuel.fr TXT|grep spf
[chris@travelmate ~]$ dig credit-agricole.fr TXT|grep spf

Alors que

[chris@travelmate ~]$ dig hsbc.fr TXT|grep spf
hsbc.fr.767 IN  TXT "v=spf1
ip4:212.249.34.148 ip4:208.131.51.20 ip4:63.95.36.174 
ip4:204.178.86.20

ip4:203.112.80.9/21 ip4:193.108.72.63 ip4:91.214.7.46
ip4:217.108.33.0/24 ip4:195.68.113.0/24 ip4:85.119.232.200
ip4:81.252.130.201/30 ip4:217.108.164.64/27 mx ~all"
[chris@travelmate ~]$ dig bankofamerica.com TXT|grep spf
bankofamerica.com.  3600IN  TXT "v=spf1
include:_sfspf.bankofamerica.com include:_txspf.bankofamerica.com
include:_vaspf.bankofamerica.com include:_cfcspf.bankofamerica.com 
~all"

[chris@travelmate ~]$ dig citigroup.com TXT|grep spf
citigroup.com.  3600IN  TXT "v=spf1
a:1._spf.citigroup.com a:2._spf.citigroup.com
include:spf-00123c01.pphosted.com include:spf.messagelabs.com
redirect=ext1._spf.citigroup.com"
[chris@travelmate ~]$ dig jpmorgan.com TXT|grep spf
jpmorgan.com.   600 IN  TXT "v=spf1
a:spf.jpmchase.com ip4:207.162.228.0/24 ip4:207.162.229.0/24
ip4:207.162.225.0/24 ip4:196.37.232.50 ip4:159.53.46.0/24
ip4:159.53.36.0/24 ip4:159.53.110.0/24 ip4:159.53.78.0/24 -all"

Aucune banque française n'a de SPF, toutes les banques américaines en
ont, cherchez l'erreur ! Ca ressemble tout de même à une mini-jupe, 
pour

rester dans l'analogie !


Parfois il y a des choses qu'il suffit de faire remonter ;)

https://twitter.com/#!/StevenLeRoux/status/169445516801875971

--
Pierre 'catwell' Chapuis


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Steven Le Roux]

C'est parce que tu n'essaies pas sur les bonnes banques ;)

dig fortuneo.fr TXT|grep spf
fortuneo.fr.85484   IN  TXT "v=spf2.0/mfrom mx
ip4:176.31.225.29/32 ip4:83.206.208.128/25 ip4:81.252.92.0/23
ip4:86.64.210.0/23 ip4:195.2.74.0/23 ip4:80.124.164.144/32
ip4:93.20.41.20/32 ip4:93.20.45.21/32 ip4:195.101.71.21/24 ~all"
fortuneo.fr.85484   IN  TXT "v=spf1 a mx
ip4:176.31.225.29/32 ip4:83.206.208.128/25 ip4:81.252.92.0/23
ip4:86.64.210.0/23 ip4:195.2.74.0/23 ip4:80.124.164.144/32
ip4:93.20.41.20/32 ip4:93.20.45.21/32 ip4:195.101.71.21/24 ~all"



2012/2/14 Christophe Baegert :
> Le 14/02/2012 11:02, David Bizeul a écrit :
>> Effectivement, souvent on n'a rien demandé avant de subir une agression.
>> Par contre, si on reconnaît l'agresseur, on appréciera de la police qu'elle
>> veuille bien enregistrer la plainte.
>>
>> Dans notre cas (CERT Société Générale), nous avons souvent des cas de
>> serveurs dédiés loués en France avec des cartes volées et servant à générer
>> d'autres malveillances (campagnes de spams et hébergment de phishing, relai
>> frauduleux...).
> Puisque je vous tiens, pouvez-vous m'expliquer ce mystère ?
>
> [chris@travelmate ~]$ dig societegenerale.fr TXT|grep spf
> [chris@travelmate ~]$ dig banquepopulaire.fr TXT|grep spf
> [chris@travelmate ~]$ dig bnpparibas.net TXT|grep spf
> [chris@travelmate ~]$ dig creditmutuel.fr TXT|grep spf
> [chris@travelmate ~]$ dig credit-agricole.fr TXT|grep spf
>
> Alors que
>
> [chris@travelmate ~]$ dig hsbc.fr TXT|grep spf
> hsbc.fr.                767     IN      TXT     "v=spf1
> ip4:212.249.34.148 ip4:208.131.51.20 ip4:63.95.36.174 ip4:204.178.86.20
> ip4:203.112.80.9/21 ip4:193.108.72.63 ip4:91.214.7.46
> ip4:217.108.33.0/24 ip4:195.68.113.0/24 ip4:85.119.232.200
> ip4:81.252.130.201/30 ip4:217.108.164.64/27 mx ~all"
> [chris@travelmate ~]$ dig bankofamerica.com TXT|grep spf
> bankofamerica.com.      3600    IN      TXT     "v=spf1
> include:_sfspf.bankofamerica.com include:_txspf.bankofamerica.com
> include:_vaspf.bankofamerica.com include:_cfcspf.bankofamerica.com ~all"
> [chris@travelmate ~]$ dig citigroup.com TXT|grep spf
> citigroup.com.          3600    IN      TXT     "v=spf1
> a:1._spf.citigroup.com a:2._spf.citigroup.com
> include:spf-00123c01.pphosted.com include:spf.messagelabs.com
> redirect=ext1._spf.citigroup.com"
> [chris@travelmate ~]$ dig jpmorgan.com TXT|grep spf
> jpmorgan.com.           600     IN      TXT     "v=spf1
> a:spf.jpmchase.com ip4:207.162.228.0/24 ip4:207.162.229.0/24
> ip4:207.162.225.0/24 ip4:196.37.232.50 ip4:159.53.46.0/24
> ip4:159.53.36.0/24 ip4:159.53.110.0/24 ip4:159.53.78.0/24 -all"
>
> Aucune banque française n'a de SPF, toutes les banques américaines en
> ont, cherchez l'erreur ! Ca ressemble tout de même à une mini-jupe, pour
> rester dans l'analogie !
>
> Cordialement,
>
> Christophe Baegert
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



-- 
Steven Le Roux
Jabber-ID : ste...@jabber.fr
0x39494CCB 
2FF7 226B 552E 4709 03F0  6281 72D7 A010 3949 4CCB


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[sxpert]

On 14.02.2012 10:25, Stephane Bortzmeyer wrote:

On Mon, Feb 13, 2012 at 09:58:30AM -0800,
 Michel Py  wrote
 a message of 44 lines which said:


1. Se débarrasser des clients qui sont des aimants à emmerdes;


C'est pile le sujet de la discussion. Faire cela, c'est une violation
directe de la neutralité du réseau, c'est l'opérateur qui décide de
qui il sert et qui il ne sert pas. Un cafetier ferait cela, il aurait
un procès (j'attends qu'Alex nous cite l'article du Code qui dit
cela). De quel droit un opérateur réseau pourrait le faire ?



bof...

une bonne solution est de ne pas avoir de plateformes Windows a ton
catalogue, ca t'evite la plupart des serveurs de jeux / forums qui sont
généralement la cause de la transformation des machines en aimants a
emmerdes... et ca ne viole pas le code du commerce, quand t'as pas le
produit, tu peux pas etre taxé de refus de vente


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Emmanuel Thierry]

Le 14 févr. 2012 à 12:37, Christophe Baegert a écrit :

> Le 14/02/2012 12:06, Rémi Bouhl a écrit :
> 
>> L'incompétent qui devrait payer les pots cassés, c'est l'administrateur
>> qui prend un serveur dédié et le laisser relayer du spam ou se faire
>> véroler bêtement (parce que jamais mis à jour, parce que mot de passe en
>> carton).. C'est lui qui devrait payer la facture.
> 
> Il faut dire qu'on a fait croire (pour vendre) qu'un serveur dédié était
> administrable par tout le monde. On divise le prix par 2 pour viser les
> particuliers, on oublie l'infogérance, on met des robots à la hotline,
> coût divisé par 10. Ventes multipliées par 100. Patron riche et content,
> mais client incompétent !

Tu oublies: L'interface Plesk ou consors qui peut t'administrer toute seule le 
serveur sans que tu ne comprennes à aucun moment ce qu'elle est en train de 
faire...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Raphaël Durand]

Le 14/02/2012 12:37, Christophe Baegert a écrit :
> Il faut dire qu'on a fait croire (pour vendre) qu'un serveur dédié était
> administrable par tout le monde. On divise le prix par 2 pour viser les
> particuliers, on oublie l'infogérance, on met des robots à la hotline,
> coût divisé par 10. Ventes multipliées par 100. Patron riche et content,
> mais client incompétent !
>
> Comment s'étonner que le client tombe dans le panneau ? Est-il vraiment
> responsable ?
A defaut d'un permis, un disclaimer résumé avec des grosses lignes à
valider serait un minimum.
Ou alors un questionnaire sur les connaissances du client comme pour
l'épargne en bourse. Eh oui, même avec son argent on ne fait pas ce
qu'on veut.

Le pire étant quand le locataire d'un serveur se retrouve au poste de
police parce que son serveur piraté a été utilisé pour du DDoS ou du
phishing.
C'est déjà arrivé, ça arrivera encore.

Cordialement.
Raphaël Durand.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Christophe Baegert]

Le 14/02/2012 12:06, Rémi Bouhl a écrit :

> L'incompétent qui devrait payer les pots cassés, c'est l'administrateur
> qui prend un serveur dédié et le laisser relayer du spam ou se faire
> véroler bêtement (parce que jamais mis à jour, parce que mot de passe en
> carton).. C'est lui qui devrait payer la facture.

Il faut dire qu'on a fait croire (pour vendre) qu'un serveur dédié était
administrable par tout le monde. On divise le prix par 2 pour viser les
particuliers, on oublie l'infogérance, on met des robots à la hotline,
coût divisé par 10. Ventes multipliées par 100. Patron riche et content,
mais client incompétent !

Comment s'étonner que le client tombe dans le panneau ? Est-il vraiment
responsable ?

Pour conduire une voiture il faut un permis, pourtant c'est bien plus
simple que gérer un serveur !!!

Cordialement,

Christophe Baegert


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Christophe Baegert]

Le 14/02/2012 11:29, David Bizeul a écrit :
> Pour nous, il faut faire faire
> dig socgen.com TXT|grep spf
OK, c'est très bien, c'est presque rassurant mais ça illustre encore
d'avantage le ridicule de la situation : peut-on réellement demander au
gentil fisheur "SVP auriez-vous l'amabilité d'utiliser dans votre
fishing notre domaine xx.com et pas xx.fr qui est le
domaine n°1 renvoyé par Google" ?

Plus largement peut-on réellement avoir de la sécurité dans une banque
si sa sécurité est géré par 2 services dont les compétences sont ... on
va dire variables... C'est un peu le coup de la porte blindée à côté de
la fenêtre ouverte !

Cordialement,

Christophe Baegert


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Rémi Bouhl]

Bonjour,

Le 13/02/2012 22:33, o...@ovh.net a écrit :


> 
> C'est quand meme fou de lire ça, surtout quand on sait
> que ça fait des années que tes infra se font attaquer
> parce que tu acceptes les clients qui sont border line.


[snip]

> en plus le twitter et tout le 
> tralala. de plus, tu commences tranquilement dire que je 
> suis derrier tout ça et que je te cite "il est complice"
> de ces attaques:
> https://twitter.com/#!/Inulogic_FreeH/status/167757684899188736
> pour quelques heures/jours apres de menaces juridiques.
> https://twitter.com/#!/Inulogic_FreeH/status/168720856623751168


J'avoue ne pas comprendre ce double standard: l'hébergeur est
responsable si ses clients ont une activité qui déplaît à d'autres
internautes, mais n'est pas responsable si ses clients font des Go
d'attaques DDOS ?

Pourtant il me semble qu'un volume de trafic réseau disproportionné est
davantage du ressort de l'hébergeur, que la question de savoir si un
site est "border line" (Ça veut dire quoi ? Qu'il déplaît à au moins une
personne ?)

Rémi.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Rémi Bouhl]

Bonjour,

Le 14/02/2012 01:04, Jérôme Nicolle a écrit :

> Le 13/02/2012 17:35, Damien Fleuriot a écrit :
>> Dans le cas présent c'est le réseau d'OVH qui véhicule l'attaque alors
>> c'est discutable.
> 
> Attention au principe de subsidiarité entériné par la LCEN. Les
> transitaires par exemples ne sont pas responsables, et l'hébergeur ne
> l'est que s'il ne permet pas l'identification du fauteur de trouble.


Ça c'est justement le point que je n'arrive pas à comprendre.
Finalement, le méchant fouteur de merde qui devrait se faire tirer les
oreilles, c'est pas l'opérateur X ou Y : c'est l'individu qui loue un
serveur dédié chez OVH et s'en sert pour faire une attaque (D)DOS. C'est
lui qui devrait se retrouver au tribunal.

L'incompétent qui devrait payer les pots cassés, c'est l'administrateur
qui prend un serveur dédié et le laisser relayer du spam ou se faire
véroler bêtement (parce que jamais mis à jour, parce que mot de passe en
carton).. C'est lui qui devrait payer la facture.

Je suis sincèrement étonné que cette approche n'ait pas été évoquée dès
le début sur la liste. Au lieu de chercher des responsables là où il n'y
en a pas.

La neutralité d'Internet, si souvent évoquée, c'est une liberté, qui va
avec la responsabilité. On ne peut pas avoir l'un sans l'autre.

Dit autrement : soit on traite les clients des FAI et hébergeurs comme
des enfants, en leur imposant des règles arbitraires pas neutres et en
s'engueulant sur FRnOG pour savoir si c'est toi ou moi qui embête mes
clients, soit on les traite comme des adultes.

Pour reprendre les analogies déjà évoquées, un adulte qui tue quelqu'un
avec un arc, ou avec une voiture, il a des gros ennuis. Si on veut
laisser tranquille les vendeurs d'arcs et de voitures, il va falloir se
décider à taper sur le vrai responsable.

Le problème, c'est le manque de volonté politique pour responsabiliser
les internautes. C'est peut-être aux opérateurs/hébergeurs de réclamer
une législation lisible, claire, simple, ne changeant pas tous les 6
mois, ne prévoyant pas 36 000 cas particuliers (pour les jeux en ligne,
pour le pédoporno, pour les contrefaçons), et qui leur permette de se
concentrer sur leur boulot et de laisser la justice taper sur les
fouteurs de merde. Garder des logs, garder les coordonnées de "qui loue
quoi", fermer un service quand la justice dit de le fermer, point final.

Le jour où le Kevin qui décide de louer un dédié OVH pour embêter du
monde se retrouve avec les gendarmes devant la porte, pas parce que
c'est OVH qui les envoie, mais parce que c'est la Loi, je suis certain
que les attaques se calmeront. On vit dans un état de droit, ou pas ?

Rémi.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re : [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[djo reller]

 De : Damien Fleuriot 
À : frnog@frnog.org 
Envoyé le : Mardi 14 février 2012 10h52
Objet : Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH
 


On 2/14/12 10:41 AM, Alexandre Archambault wrote:
> Le 14 févr. 2012 à 10:32, Damien Fleuriot a écrit :
> 
>> http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI06292153
> 
> Euh, le code de la consommation à l'appui d'un différend entre deux 
> professionnels ? De mieux en mieux !
> 
> --
> Alec,
> 
>

>Bah IANAL hein ;)

>Est-ce qu'il y a un équivalent entre professionels ?

>Genre subordonner la vente d'un service à un autre, ça doit bien
>s'appliquer entre pros aussi non ?

bah non; c'est toute la joie du droit commercial, la possibilité de faire 
n'importe quoi ou presque. 

---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[David Bizeul]

Pour nous, il faut faire faire
dig socgen.com TXT|grep spf


2012/2/14 Christophe Baegert 

> Le 14/02/2012 11:02, David Bizeul a écrit :
> > Effectivement, souvent on n'a rien demandé avant de subir une agression.
> > Par contre, si on reconnaît l'agresseur, on appréciera de la police
> qu'elle
> > veuille bien enregistrer la plainte.
> >
> > Dans notre cas (CERT Société Générale), nous avons souvent des cas de
> > serveurs dédiés loués en France avec des cartes volées et servant à
> générer
> > d'autres malveillances (campagnes de spams et hébergment de phishing,
> relai
> > frauduleux...).
> Puisque je vous tiens, pouvez-vous m'expliquer ce mystère ?
>
> [chris@travelmate ~]$ dig societegenerale.fr TXT|grep spf
> [chris@travelmate ~]$ dig banquepopulaire.fr TXT|grep spf
> [chris@travelmate ~]$ dig bnpparibas.net TXT|grep spf
> [chris@travelmate ~]$ dig creditmutuel.fr TXT|grep spf
> [chris@travelmate ~]$ dig credit-agricole.fr TXT|grep spf
>
> Alors que
>
> [chris@travelmate ~]$ dig hsbc.fr TXT|grep spf
> hsbc.fr.767 IN  TXT "v=spf1
> ip4:212.249.34.148 ip4:208.131.51.20 ip4:63.95.36.174 ip4:204.178.86.20
> ip4:203.112.80.9/21 ip4:193.108.72.63 ip4:91.214.7.46
> ip4:217.108.33.0/24 ip4:195.68.113.0/24 ip4:85.119.232.200
> ip4:81.252.130.201/30 ip4:217.108.164.64/27 mx ~all"
> [chris@travelmate ~]$ dig bankofamerica.com TXT|grep spf
> bankofamerica.com.  3600IN  TXT "v=spf1
> include:_sfspf.bankofamerica.com include:_txspf.bankofamerica.com
> include:_vaspf.bankofamerica.com include:_cfcspf.bankofamerica.com ~all"
> [chris@travelmate ~]$ dig citigroup.com TXT|grep spf
> citigroup.com.  3600IN  TXT "v=spf1
> a:1._spf.citigroup.com a:2._spf.citigroup.com
> include:spf-00123c01.pphosted.com include:spf.messagelabs.com
> redirect=ext1._spf.citigroup.com"
> [chris@travelmate ~]$ dig jpmorgan.com TXT|grep spf
> jpmorgan.com.   600 IN  TXT "v=spf1
> a:spf.jpmchase.com ip4:207.162.228.0/24 ip4:207.162.229.0/24
> ip4:207.162.225.0/24 ip4:196.37.232.50 ip4:159.53.46.0/24
> ip4:159.53.36.0/24 ip4:159.53.110.0/24 ip4:159.53.78.0/24 -all"
>
> Aucune banque française n'a de SPF, toutes les banques américaines en
> ont, cherchez l'erreur ! Ca ressemble tout de même à une mini-jupe, pour
> rester dans l'analogie !
>
> Cordialement,
>
> Christophe Baegert
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Christophe Baegert]

Le 14/02/2012 11:02, David Bizeul a écrit :
> Effectivement, souvent on n'a rien demandé avant de subir une agression.
> Par contre, si on reconnaît l'agresseur, on appréciera de la police qu'elle
> veuille bien enregistrer la plainte.
>
> Dans notre cas (CERT Société Générale), nous avons souvent des cas de
> serveurs dédiés loués en France avec des cartes volées et servant à générer
> d'autres malveillances (campagnes de spams et hébergment de phishing, relai
> frauduleux...).
Puisque je vous tiens, pouvez-vous m'expliquer ce mystère ?

[chris@travelmate ~]$ dig societegenerale.fr TXT|grep spf
[chris@travelmate ~]$ dig banquepopulaire.fr TXT|grep spf
[chris@travelmate ~]$ dig bnpparibas.net TXT|grep spf
[chris@travelmate ~]$ dig creditmutuel.fr TXT|grep spf
[chris@travelmate ~]$ dig credit-agricole.fr TXT|grep spf

Alors que

[chris@travelmate ~]$ dig hsbc.fr TXT|grep spf
hsbc.fr.767 IN  TXT "v=spf1
ip4:212.249.34.148 ip4:208.131.51.20 ip4:63.95.36.174 ip4:204.178.86.20
ip4:203.112.80.9/21 ip4:193.108.72.63 ip4:91.214.7.46
ip4:217.108.33.0/24 ip4:195.68.113.0/24 ip4:85.119.232.200
ip4:81.252.130.201/30 ip4:217.108.164.64/27 mx ~all"
[chris@travelmate ~]$ dig bankofamerica.com TXT|grep spf
bankofamerica.com.  3600IN  TXT "v=spf1
include:_sfspf.bankofamerica.com include:_txspf.bankofamerica.com
include:_vaspf.bankofamerica.com include:_cfcspf.bankofamerica.com ~all"
[chris@travelmate ~]$ dig citigroup.com TXT|grep spf
citigroup.com.  3600IN  TXT "v=spf1
a:1._spf.citigroup.com a:2._spf.citigroup.com
include:spf-00123c01.pphosted.com include:spf.messagelabs.com
redirect=ext1._spf.citigroup.com"
[chris@travelmate ~]$ dig jpmorgan.com TXT|grep spf
jpmorgan.com.   600 IN  TXT "v=spf1
a:spf.jpmchase.com ip4:207.162.228.0/24 ip4:207.162.229.0/24
ip4:207.162.225.0/24 ip4:196.37.232.50 ip4:159.53.46.0/24
ip4:159.53.36.0/24 ip4:159.53.110.0/24 ip4:159.53.78.0/24 -all"

Aucune banque française n'a de SPF, toutes les banques américaines en
ont, cherchez l'erreur ! Ca ressemble tout de même à une mini-jupe, pour
rester dans l'analogie !

Cordialement,

Christophe Baegert


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/14/12 11:11 AM, Thomas Mangin wrote:
>>> Si un "client" va dans son cafe local et a chaque fois, se bat et casse une 
>>> chaise tu crois qu'il sera toujours le bienvenu ?
>>>
>>
>> Dans le cas présent, le "client" se fait tabasser par des skinheads, ça
>> va quand même pas être sa faute ?
> 
> On sort du sujet. Débattre des analogies n'est pas très constructifs. Tu as 
> compris mon point.
> 
> Thomas

Nan mais justement, ici encore une fois on pose la victime en coupable,
il se prend une attaque donc:
1/ il l'a bien cherché
2/ bien fait pour sa gueule
3/ on coupe

C'est l'approche standard des hébergeurs.

Encore heureux que ça se passe pas comme ça dans la vraie vie !


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Nicolas Strina]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

On 14/02/12 11:11, Thomas Mangin wrote:
>>> Si un "client" va dans son cafe local et a chaque fois, se bat et casse une 
>>> chaise tu crois qu'il sera toujours le
bienvenu ?
>>>
>>
>> Dans le cas présent, le "client" se fait tabasser par des skinheads, ça
>> va quand même pas être sa faute ?
>
> On sort du sujet. Débattre des analogies n'est pas très constructifs. Tu as 
> compris mon point.
On se rapproche du point Godwin :)
>
>
> Thomas
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


- -- 
Nicolas STRINA

Jaguar Network Switzerland
5 route de Chene
Case Postale 6298
CH - 1211 Geneva 6

More Than Your Hosting Company

Tel : +33 4 88 00 65 16
Gsm : +33 6 18 20 49 55

Std : +41 8 40 65 61 11
Fax : +33 4 88 00 65 25

URL: 
Support 24+7 : supp...@jaguar-network.ch
-BEGIN PGP SIGNATURE-
Version: GnuPG/MacGPG2 v2.0.17 (Darwin)
Comment: GPGTools - http://gpgtools.org
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk86M7cACgkQhVupqbmzoscmDACggqTK+D+YcpzMdnI18c4dc5yB
eGIAoIo7SSaFnZtT6ApUGkuyZq4uJ/7w
=ro72
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Thomas Mangin]

>> Si un "client" va dans son cafe local et a chaque fois, se bat et casse une 
>> chaise tu crois qu'il sera toujours le bienvenu ?
>> 
> 
> Dans le cas présent, le "client" se fait tabasser par des skinheads, ça
> va quand même pas être sa faute ?

On sort du sujet. Débattre des analogies n'est pas très constructifs. Tu as 
compris mon point.

Thomas

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/14/12 10:44 AM, Thomas Mangin wrote:
> 
> On 14 Feb 2012, at 09:25, Stephane Bortzmeyer wrote:
> 
>> On Mon, Feb 13, 2012 at 09:58:30AM -0800,
>> Michel Py  wrote 
>> a message of 44 lines which said:
>>
>>> 1. Se débarrasser des clients qui sont des aimants à emmerdes; 
>>
>> C'est pile le sujet de la discussion. Faire cela, c'est une violation
>> directe de la neutralité du réseau, c'est l'opérateur qui décide de
>> qui il sert et qui il ne sert pas. Un cafetier ferait cela, il aurait
>> un procès (j'attends qu'Alex nous cite l'article du Code qui dit
>> cela). De quel droit un opérateur réseau pourrait le faire ?
> 
> Si un "client" va dans son cafe local et a chaque fois, se bat et casse une 
> chaise tu crois qu'il sera toujours le bienvenu ?
>

Dans le cas présent, le "client" se fait tabasser par des skinheads, ça
va quand même pas être sa faute ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[David Bizeul]

>
>
> Oui, lorsqu'on se fait agresser dans la rue, c'est forcément parce
> qu'on l'a bien cherché.
>
>
Effectivement, souvent on n'a rien demandé avant de subir une agression.
Par contre, si on reconnaît l'agresseur, on appréciera de la police qu'elle
veuille bien enregistrer la plainte.

Dans notre cas (CERT Société Générale), nous avons souvent des cas de
serveurs dédiés loués en France avec des cartes volées et servant à générer
d'autres malveillances (campagnes de spams et hébergment de phishing, relai
frauduleux...).
Nous ne sommes pas étonnés que des serveurs soient loués pour cela.
Nous avons conscience que c'est notre rôle de comprendre la malveillance et
pas celui de l'hébergeur.
Par contre, lorsqu'on remonte un mail à l'abuse (pour peu que abuse
existe...), que rien n'est fait et que le support tel ne veut rien savoir,
là ça énerve.
Clairement, tous nos hébergeurs FR ne se valent pas. Certains sont très
pros, d'autres sont très laxistes.
En tant que structure victime de ces "attaques", on apprécierait clairement
un agrément inter-opérateur sur des bonnes pratiques partagées en matière
de notification d'attaques/malveillance sur leur réseau.

David Bizeul / CERT Société Générale

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re : [MISC] L'internet libre et neutre selon OVH

[Christophe Baegert]

Le 14/02/2012 10:53, djo reller a écrit :
> soit, mais le but du droit est d'anticiper le contentieux
et pourquoi pas défendre la veuve et l'orphelin ah ah ah !

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Raphaël Durand]

Le 14/02/2012 10:41, Benjamin BILLON a écrit :
>
>>> 1. Se débarrasser des clients qui sont des aimants à emmerdes;
>> C'est pile le sujet de la discussion. Faire cela, c'est une violation
>> directe de la neutralité du réseau, c'est l'opérateur qui décide de
>> qui il sert et qui il ne sert pas. Un cafetier ferait cela, il aurait
>> un procès (j'attends qu'Alex nous cite l'article du Code qui dit
>> cela). De quel droit un opérateur réseau pourrait le faire ?
> Non respect des conditions d'utilisation du service ?
Stéphane parle de neutralité du réseau, hors les CGU sont souvent les
premières à violer cette neutralité (usage en bon père de famille,
interdiction du P2P, etc...)

Bien sûr en des termes commerciaux, c'est un moyen d'agir face à un
client, mais en terme de neutralité ce n'est certainement pas une garantie.

Cordialement.
Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Christophe Baegert]

Bonjour,

Le 14/02/2012 10:42, Stephane Bortzmeyer a écrit :
> De toute façon, ces deux documents ne sont quasiment pas déployés en
> pratique : le faire coûte de l'argent et rapporte de la
> sécurité... aux autres acteurs de l'Internet, pas à celui qui a
> dépensé l'argent. Donc, dans un système capitaliste (dont la base est
> l'égoïsme), le choix est vite fait.
Avec un boss qui ne pense qu'au cours de bourse oui. S'il pense à la
bonne santé à long terme de son entreprise, il le fera. Car éviter les
attaques vers l'extérieur, c'est moins d'emmerdes, donc plus de temps
disponible à s'occuper de choses intelligentes pour apporter un meilleur
service au client et le fidéliser (plutôt qu'acquérir de nouveaux
clients à vil prix avec des pubs TV).

Malheureusement dans toutes les société côtées ou presque, par
définition on est dans le cas n°1.
Le capitalisme est la forme pervertie de l'économie de marché...

Cordialement,

Christophe Baegert


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Emmanuel Thierry]

Le 14 févr. 2012 à 10:41, Alexandre Archambault a écrit :

> Le 14 févr. 2012 à 10:32, Damien Fleuriot a écrit :
> 
>> http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI06292153
> 
> Euh, le code de la consommation à l'appui d'un différend entre deux 
> professionnels ? De mieux en mieux !
> 

Ce n'est pas l'idée non. Il répondait à ceci:

On Mon, Feb 13, 2012 at 09:58:30AM -0800,
Michel Py  wrote 
a message of 44 lines which said:

> 1. Se débarrasser des clients qui sont des aimants à emmerdes; 

Et il faisait remarquer, à juste titre, que se débarrasser d'un client parce 
qu'il héberge un serveur minecraft (pratique légale bien que contestable :)). 
Et couper le serveur d'un client particulier sous prétexte qu'il se fait 
régulièrement attaquer, c'est moyen légal.
A moins que dans les CGV, tu aies une clause:
> Le Client s'interdit d'héberger des services à l'usage du public, ou tout 
> autre application accessible du réseau Internet par le biais du réseau de 
> l'Opérateur. L'Opérateur se réserve le droit de couper les serveurs dédiés du 
> Client, ou de révoquer le contrat de service, en cas de non respect de cette 
> clause.

Avec ça, je pense que tu es blindé ! :)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re : [MISC] L'internet libre et neutre selon OVH

[djo reller]

soit, mais le but du droit est d'anticiper le contentieux. Après c'est le juge 
qui décide (ou non) si quelqu'un dispose de la qualité de consommateur ou non. 
De plus, en droit commercial (c'est à dire entre professionnels [et par exemple 
si une association ou une société démarche une autre pour la location de 
serveur; il existe une présomption de professionnalisme donc droit commercial)].

 il est licite de pratiquer dans le cadre du droit commercial de faire des prix 
discriminatoires entre différents partenaires économiques (hormis le cas de la 
théorie des facilités essentielles [ droit concurrence; en gros quelqu'un d'une 
ressource nécessaire pour permettre à une autre d'accéder à un marché et soit 
lui refuse l'accès soit lui impose un prix abusif]). 

merci pour l'explication de pps.



 De : Stephane Bortzmeyer 
À : djo reller  
Cc : "frnog@frnog.org"  
Envoyé le : Mardi 14 février 2012 10h44
Objet : Re: [MISC] L'internet libre et neutre selon OVH
 
On Tue, Feb 14, 2012 at 09:38:19AM +,
djo reller  wrote 
a message of 55 lines which said:

> j'attire votre attention sur la loi citée par Mr Fleuriot qui ne
> concerne que les consommateurs et exclut donc les professionnels
> utilisant un serveur pour des buts commerciaux. 

Quand on loue une machine à OVH, 1&1, Gandi ou un autre, on n'indique
pas si l'utilisation sera comerciale ou indiviuelle. Donc, l'hébergeur
ne le sait pas.

> j'en profite : késako le pps d'un serveur ? (enfin plus
> précisément,  que signifie cet acronyme? )

Paquets Par Seconde
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/14/12 10:41 AM, Alexandre Archambault wrote:
> Le 14 févr. 2012 à 10:32, Damien Fleuriot a écrit :
> 
>> http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI06292153
> 
> Euh, le code de la consommation à l'appui d'un différend entre deux 
> professionnels ? De mieux en mieux !
> 
> --
> Alec,
> 
>

Bah IANAL hein ;)

Est-ce qu'il y a un équivalent entre professionels ?

Genre subordonner la vente d'un service à un autre, ça doit bien
s'appliquer entre pros aussi non ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Nicolas Strina]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Hello,
> On Mon, Feb 13, 2012 at 11:56:44AM -0800,
> Michel Py  wrote
> a message of 66 lines which said:
>
>> Il y a presque toujours une raison derrière une attaque.
>
> Ça, c'est sûr. Tout a une raison. Le type qui m'a piqué mon
> portefeuille l'autre jour chez McDo avait certainement une raison.
>
>> Je n'ai pas dit une bonne raison,
>
> Précisement. Ce n'est donc pas à l'opérateur/l'hébergeur de décider si
> c'est une bonne raison ou pas.
J'ai bien peur que si. Il faut arrêter de rêver. Vous croyez qu'on investi dans 
du Arbor ou autre pour le plaisir ? Si
un client met en place des systèmes qui peuvent impacter toute une infra le 
choix est clair. Protection de son parc
client. Hallucinant de lire ça :)

A+

>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


- -- 
Nicolas STRINA

Jaguar Network Switzerland
5 route de Chene
Case Postale 6298
CH - 1211 Geneva 6

More Than Your Hosting Company

Tel : +33 4 88 00 65 16
Gsm : +33 6 18 20 49 55

Std : +41 8 40 65 61 11
Fax : +33 4 88 00 65 25

URL: 
Support 24+7 : supp...@jaguar-network.ch
-BEGIN PGP SIGNATURE-
Version: GnuPG/MacGPG2 v2.0.17 (Darwin)
Comment: GPGTools - http://gpgtools.org
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk86LsoACgkQhVupqbmzosdeOwCfaFRnxPdbxhrRWwItthQI7DSJ
9n0AniJL5UCMVGIlgbqK2gRpaJBHbr2I
=cgeK
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Stephane Bortzmeyer]

On Mon, Feb 13, 2012 at 11:56:44AM -0800,
 Michel Py  wrote 
 a message of 66 lines which said:

> Il y a presque toujours une raison derrière une attaque. 

Ça, c'est sûr. Tout a une raison. Le type qui m'a piqué mon
portefeuille l'autre jour chez McDo avait certainement une raison.

> Je n'ai pas dit une bonne raison, 

Précisement. Ce n'est donc pas à l'opérateur/l'hébergeur de décider si
c'est une bonne raison ou pas.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Thomas Mangin]

On 14 Feb 2012, at 09:25, Stephane Bortzmeyer wrote:

> On Mon, Feb 13, 2012 at 09:58:30AM -0800,
> Michel Py  wrote 
> a message of 44 lines which said:
> 
>> 1. Se débarrasser des clients qui sont des aimants à emmerdes; 
> 
> C'est pile le sujet de la discussion. Faire cela, c'est une violation
> directe de la neutralité du réseau, c'est l'opérateur qui décide de
> qui il sert et qui il ne sert pas. Un cafetier ferait cela, il aurait
> un procès (j'attends qu'Alex nous cite l'article du Code qui dit
> cela). De quel droit un opérateur réseau pourrait le faire ?

Si un "client" va dans son cafe local et a chaque fois, se bat et casse une 
chaise tu crois qu'il sera toujours le bienvenu ?

>> on pourra dire tout ce qu'on voudra, les attaques n'arrivent pas au
>> hasard; 
> 
> C'est dégueulasse, ça, ça revient à mettre la faute sur la
> victime. « Son site Web prenait position en faveur du mariage des
> homos. Il s'est pris une DoS de la part des intégristes. J'ai fermé le
> site, ça ne m'apportait que des emmerdes sur mon réseau. »

Dans le cas de diffamation en Angleterre, la jurisprudence _force_ les FAI a 
avoir cette attitude.
Dans les cas de DDOS, c'est regrettable mais entre avoir ma boite qui coule car 
mes clients partent suite a des DDOS sans fin et a virer un client, je ne vais 
pas y penser a deux fois.
Si tu n'as pas eu a gerer de DDOS, il est clair que le parrallele avec un viol 
semble valable (il ne faut pas reporter les tords de l'agresseur vers 
l'agressé).

Mais les DDOS ont deux raisons princiaples :
 - extortion financière (protection)
 - retribution

Dans le premier cas (site de jeux, etc.) les sociétés se protèges. Dans le 
second (s'attirer les foudre d'Anonymous), la réaction est toujours une 
conséquence d'action précédente.

Dans certain cas, pas la faute du client et je compatis quand ils sont une 
victime de l'incapacité des FAI de filtrer de grosses DDOS et qu'ils n'ont pas 
les ressources pour payer un service de filtrage, mais a ma connaissance, ce 
cas est plus que rare.

Dans l'aute (serveurs minecraft), ce sont de pt't cons qui se tapent dessus a 
coup de forum et DDOS. Pour ceux la, je suis desole mais la meilleure réponse 
est de les mettre a la porte.

>> on se prend des attaques sur la gueule généralement parce qu'on
>> héberge quelqu'un qui a des activités un peu olé-olé. 
> 
> Oui, lorsqu'on se fait agresser dans la rue, c'est forcément parce
> qu'on l'a bien cherché.

Si tu traverse un park, tout seul, ivre, la nuit en gueulant bien fort que tous 
les français sont des imbéciles, oui.
Maintenant, le net est une réflexion du milieu social réel, donc nous allons y 
retrouver des prédateurs.

Thomas



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Stephane Bortzmeyer]

On Tue, Feb 14, 2012 at 09:38:19AM +,
 djo reller  wrote 
 a message of 55 lines which said:

> j'attire votre attention sur la loi citée par Mr Fleuriot qui ne
> concerne que les consommateurs et exclut donc les professionnels
> utilisant un serveur pour des buts commerciaux. 

Quand on loue une machine à OVH, 1&1, Gandi ou un autre, on n'indique
pas si l'utilisation sera comerciale ou indiviuelle. Donc, l'hébergeur
ne le sait pas.

> j'en profite : késako le pps d'un serveur ? (enfin plus
> précisément,  que signifie cet acronyme? )

Paquets Par Seconde


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Salim Gasmi]

Bonjour Gurvan,

La vraie question me semble plutôt être : "Est ce plus à vous ou à OVH 
de protéger VOS clients ?".


Il me semble pour ma part évident que c'est tout d'abord à l’hébergeur 
qui est payé par ses clients de fournir un hébergement de qualité.
Un hébergement de qualité aujourd’hui sous entend un certain nombre de 
points dont la protection contre les DDOS/flood fait aussi partie.

C'est une réalité technique que personne ne peut plus ignorer.

Il existe aujourd’hui pas mal de solutions techniques plus ou moins 
dispendieuses pour essayer de s'en protéger.
La plupart ont étés déjà présentées ici (flowspec,communautés BGP, 
système de mitigation (Arbor,Corero,...), clean pipe payant,..).
ici à SdV, le budget dédié à la protection DDOS est conséquent (Arbor 
TMS+Peakflow), on aurait préféré utiliser cet argent pour autre chose, 
mais ainsi va la vie, il en va de notre survie.


Ne pas se protéger soi même ses clients est un choix qu'il faut assumer, 
je peux comprendre qu'on fasse l'impasse sur ces protections pour des 
raisons économiques, par contre je comprend moins quand ensuite on 
demande aux autres de le faire à sa place.


En l'absence de législation forçant les AS à nettoyer leur trafic 
sortant, il me semble logique que ce soit fait chez les hébergeurs en 
entrée (qui sont payés par des clients).
Donc, je ne vois pas pourquoi OVH devrait nettoyer son trafic sortant 
pour vous (alors que vous ne le faites pas vous même en entrée).


Pour ce qui est du filtrage entre vos deux réseaux, c'est effectivement 
une mesure technique qui me semble démesurée de la part d'OVH, je vous 
invite à essayer de discuter avec eux pour trouver un compromis plutôt 
que de lancer des polémiques publiques qui n'apaiseront pas le débat.


Mais encore une fois, si vous aviez eu ce qu'il fallait pour vous 
protéger (ou travailler avec des upstreams en ayant la capacité) vous ne 
seriez pas dans cette situation, s'acharner publiquement sur OVH (qui du 
fait de sa position sur le marché sera souvent une source d'attaques) ne 
me parait pas la bonne approche technique ni commerciale.


Cordialement,

Salim


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Stephane Bortzmeyer]

On Mon, Feb 13, 2012 at 08:58:23PM +0100,
 Guillaume Barrot  wrote 
 a message of 22 lines which said:

> Philosophiquement +1, y a même de la littérature sur le sujet (BCP38
> : http://www.armware.dk/RFC/bcp/bcp38.html, et RFC 3704
> http://www.armware.dk/RFC/rfc/rfc3704.html), et le principe est
> hyper simple : filtrer a la source est simple, et évite l'effet
> boule de neige.

Mais ces deux documents n'ont rien à voir avec le problème : ils
disent simplement qu'il faut empêcher ses clients d'émettre des
paquets avec des adresses IP source mensongères. Dans le cas des
accusations OVH<->InuLogic, rien n'indique que c'était le
problème. Des tas de DoS, notamment depuis un botnet, se font avec des
adresses IP correctes.

De toute façon, ces deux documents ne sont quasiment pas déployés en
pratique : le faire coûte de l'argent et rapporte de la
sécurité... aux autres acteurs de l'Internet, pas à celui qui a
dépensé l'argent. Donc, dans un système capitaliste (dont la base est
l'égoïsme), le choix est vite fait.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Benjamin BILLON]

1. Se débarrasser des clients qui sont des aimants à emmerdes;

C'est pile le sujet de la discussion. Faire cela, c'est une violation
directe de la neutralité du réseau, c'est l'opérateur qui décide de
qui il sert et qui il ne sert pas. Un cafetier ferait cela, il aurait
un procès (j'attends qu'Alex nous cite l'article du Code qui dit
cela). De quel droit un opérateur réseau pourrait le faire ?

Non respect des conditions d'utilisation du service ?


on pourra dire tout ce qu'on voudra, les attaques n'arrivent pas au
hasard;

C'est dégueulasse, ça, ça revient à mettre la faute sur la
victime. « Son site Web prenait position en faveur du mariage des
homos. Il s'est pris une DoS de la part des intégristes. J'ai fermé le
site, ça ne m'apportait que des emmerdes sur mon réseau. »
Ca ne correspond pas à ma réponse/question du dessus, donc c'est pas 
valide (de mon point de vue) (et un peu trollique)



on se prend des attaques sur la gueule généralement parce qu'on
héberge quelqu'un qui a des activités un peu olé-olé.

Oui, lorsqu'on se fait agresser dans la rue, c'est forcément parce
qu'on l'a bien cherché.
Analogie douteuse, je valide pas non plus (mais je suis peut-être 
intégriste, faudra me dire)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Alexandre Archambault]

Le 14 févr. 2012 à 10:32, Damien Fleuriot a écrit :

> http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI06292153

Euh, le code de la consommation à l'appui d'un différend entre deux 
professionnels ? De mieux en mieux !

--
Alec,




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Stephane Bortzmeyer]

On Tue, Feb 14, 2012 at 10:32:53AM +0100,
 Damien Fleuriot  wrote 
 a message of 22 lines which said:

> http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI06292153

C'est bien, la loi, il ne nous reste plus qu'à définir « motif
légitime » pour un opérateur réseau (pour un cafetier, je suppose que
l'ivresse manifeste d'un client en est un, par exemple, mais IANAL).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re : [FRnOG] [MISC] L'internet libre et neutre selon OVH

[djo reller]

j'attire votre attention sur la loi citée par Mr Fleuriot qui ne concerne que 
les consommateurs et exclut donc les professionnels utilisant un serveur pour 
des buts commerciaux. La notion de professionnels étant facilement (dans ce 
cas) qualifiable (enfin à mon sens).


j'en profite : késako le pps d'un serveur ? (enfin plus précisément,  que 
signifie cet acronyme? )


J.



 De : Damien Fleuriot 
À : frnog@frnog.org 
Envoyé le : Mardi 14 février 2012 10h30
Objet : Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH
 
On 2/13/12 4:48 PM, Guillaume Esnault wrote:
> Bonjour à tous,
> 
> Nous aussi (Digicube) sommes régulièrement la cible de diverses
> tentatives de déni de service. Nous accueillons d'ailleurs pas mal de
> réfugiés d'hébergeurs qui préfères couper le service de leurs clients
> attaqués plutôt que de gérer le problème. Cela nous a couté beaucoup
> d'investissements et nous coute encore en surveillance développement
> mitigation etc...
> 
> OVH en est la principale source car c'est simplement le plus gros
> hébergeur d'Europe avec plus de 100K serveurs hébergé. 
> 
> La solution la plus simple ne serait elle pas de limiter le nombre de
> pps par serveur ? Sachant que, par exemple, un serveur connecté à 100
> Mbps ou même à 1G ne devrait pas dépasser les 30 Kpps. 
> 
> Il n'est pas si difficile non plus d'aller plus loin et de surveiller et
> de faire des statistiques sur l'état des flux. Ex: plus de 3000
> connexions simultanées d'un serveur sur une cible en attente de réponses
> est à coup sûr une tentative de déni de service.
> 

Le problème avec ce genre de pratique basée sur de l'analyse
discriminatoire, c'est les faux positifs...


---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/14/12 10:25 AM, Stephane Bortzmeyer wrote:
> On Mon, Feb 13, 2012 at 09:58:30AM -0800,
>  Michel Py  wrote 
>  a message of 44 lines which said:
> 
>> 1. Se débarrasser des clients qui sont des aimants à emmerdes; 
> 
> C'est pile le sujet de la discussion. Faire cela, c'est une violation
> directe de la neutralité du réseau, c'est l'opérateur qui décide de
> qui il sert et qui il ne sert pas. Un cafetier ferait cela, il aurait
> un procès (j'attends qu'Alex nous cite l'article du Code qui dit
> cela). De quel droit un opérateur réseau pourrait le faire ?
>

http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI06292153


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Damien Fleuriot]

On 2/13/12 4:48 PM, Guillaume Esnault wrote:
> Bonjour à tous,
> 
> Nous aussi (Digicube) sommes régulièrement la cible de diverses
> tentatives de déni de service. Nous accueillons d'ailleurs pas mal de
> réfugiés d'hébergeurs qui préfères couper le service de leurs clients
> attaqués plutôt que de gérer le problème. Cela nous a couté beaucoup
> d'investissements et nous coute encore en surveillance développement
> mitigation etc...
> 
> OVH en est la principale source car c'est simplement le plus gros
> hébergeur d'Europe avec plus de 100K serveurs hébergé. 
> 
> La solution la plus simple ne serait elle pas de limiter le nombre de
> pps par serveur ? Sachant que, par exemple, un serveur connecté à 100
> Mbps ou même à 1G ne devrait pas dépasser les 30 Kpps. 
> 
> Il n'est pas si difficile non plus d'aller plus loin et de surveiller et
> de faire des statistiques sur l'état des flux. Ex: plus de 3000
> connexions simultanées d'un serveur sur une cible en attente de réponses
> est à coup sûr une tentative de déni de service.
> 

Le problème avec ce genre de pratique basée sur de l'analyse
discriminatoire, c'est les faux positifs...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: Re: [MISC] L'internet libre et neutre selon OVH

[Stephane Bortzmeyer]

On Mon, Feb 13, 2012 at 09:26:47PM +0100,
 Patrick Maigron  wrote 
 a message of 48 lines which said:

> Sinon le CSA a aussi un rôle de contrôle des contenus en plus des
> licences de diffusion (signalétique jeunesse, temps de parole des
> candidats déclarés, etc.). Mais Stéphane avait envie de troller je
> pense :)

Ah non, pas du tout
.
Le CSA ne régule pas le « temps de parole » dans les journaux, par
exemple. Pourquoi le feraient-ils dans les autres médias (pour la
télé, il y _avait_ une raison, du temps où il n'y _avait_ qu'une
chaîne) ?

C'est un vrai danger qui nous menace.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Stephane Bortzmeyer]

On Mon, Feb 13, 2012 at 09:01:26PM +0100,
 Guillaume Barrot  wrote 
 a message of 89 lines which said:

> Michel, tu viens de trouver les agences de notations de
> l'hebergement ! 

Ça existe déjà avec les gérants de DNSBL
. Et, comme les vraies agences de
notation du vrai monde, c'est l'arbitraire et
l'irresponsabilité. Bonne comparaison.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] L'internet libre et neutre selon OVH

[Stephane Bortzmeyer]

On Mon, Feb 13, 2012 at 09:58:30AM -0800,
 Michel Py  wrote 
 a message of 44 lines which said:

> 1. Se débarrasser des clients qui sont des aimants à emmerdes; 

C'est pile le sujet de la discussion. Faire cela, c'est une violation
directe de la neutralité du réseau, c'est l'opérateur qui décide de
qui il sert et qui il ne sert pas. Un cafetier ferait cela, il aurait
un procès (j'attends qu'Alex nous cite l'article du Code qui dit
cela). De quel droit un opérateur réseau pourrait le faire ?

> on pourra dire tout ce qu'on voudra, les attaques n'arrivent pas au
> hasard; 

C'est dégueulasse, ça, ça revient à mettre la faute sur la
victime. « Son site Web prenait position en faveur du mariage des
homos. Il s'est pris une DoS de la part des intégristes. J'ai fermé le
site, ça ne m'apportait que des emmerdes sur mon réseau. »

> on se prend des attaques sur la gueule généralement parce qu'on
> héberge quelqu'un qui a des activités un peu olé-olé. 

Oui, lorsqu'on se fait agresser dans la rue, c'est forcément parce
qu'on l'a bien cherché.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Thomas Mangin]

On 14 Feb 2012, at 00:02, Jérôme Nicolle wrote:

> Le 13/02/2012 15:48, Thomas Mangin a écrit :
>> En Angleterre, l' ISPA a un code de conduite pour la resolution des disputes 
>> entre FAI, n'y a-t-il pas la meme chose de ce cote de la Manche ?
> 
> Oui, tu peux leur demander un arbitrage sur un différend commercial,
> dans l'optique d'une résolution amiable. Mais sur une procédure en
> justice, que ce soit commercial, civil ou pénal, il ne me semble pas
> qu'ils soient référents.

La plupart des problèmes aboutissant a l'utilisation de la justice peuvent être 
résolus avec l'utilisation d'un médiateur. C'est moins cher, moins lourd, plus 
rapide. 
A ce que dit Guillaume Mellier, l'ARCEP veut aussi que cette communication / 
médiation ai eu lieu.

Tu peux voir cette procédure comme une médiation forcée. Cela suffit a 
débloquer le problème, dans mon cas, juste le menace d'avoir mon problème de 
backhole passe a la mediation a suffit.
Cela permet aussi de collecter les faits, et a les re-disséminer. 

IMHO - dans ce cas, nous sommes un peu plus loin dans la "rupture de 
communication" mais pas bien loin.

Thomas



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Thomas Mangin]

> Dire qu'il est jugé coupable, c'est un manque de discernement

Je ne suis toujours pas d'accord, et les commentaires sur la liste me font 
penser que j'ai toujours raison mais je n'ai pas envi de trop débattre ce point
je suis mieux luné ce matin :D et ce n'est pas ce qui est important.

Il semble que la situation soit le résultat de plusieurs d'année de problèmes.
Le mail d'Octave n'était pas ce que je m'attendais a voir mais au moins nous 
avons les deux cotés de l'histoire.
( mon argument sur le fonD et la forme .. mais je vais d'abord chercher cette 
poutre).

> Certes, travaux.ovh.com est un élément tout à son honneur, il se trouve
> que ça ne reflète plus la complexité de l'exploitation de son réseau, et
> donc que ce n'est plus suffisamment recevable comme élément de
> transparence. Ca reste louable, mais pas suffisant vu la dépendance
> qu'il crée pour ses très nombreux (au sens compliment) clients.

Pas mon argument, je laisse qui de droit répondre.

> Donc je serais ravi qu'Octave intervienne en me disant que j'ai tord. Ca
> pourrait être fondé, cette fois. Mais d'ici à ce qu'il le fasse, et
> qu'il réponde d'une atteinte grave au fonctionnement du réseau vis à vis
> de ses pairs, tu me pardonnera le raccourci, mais c'est lui qui est en
> tort. Et pas qu'un peu. Tant pour le manque de transparence que pour
> l'atteinte initiale.

Il est clair que comme je l'avais supposé, l'aspect humain est la raison pour 
la solution radicale, pour paraphraser 'j'en ai marre de gérer tes problèmes, 
je ne veux plus te voir' 
Je pense qu'Octave a perdu toute bonne volonté. J'espere seulement qui décidera 
au moins de suivre les conseils de Gurvan et limitera la blackhole aux plages 
de serveurs et pas a tout son réseau.

Thomas


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[gael le borgne]

Moi le seul truc qui m'a un peu, beaucoup choqué :
c'est qui défini, pour dire,   tu héberges des projets limites
juste comme cela au passage :

frontnational.com
 Is Hosted by OVH SAS
 Hosting: OVH SAS host the domain frontnational.com
IP Address: 213.186.33.18 Name Servers: ns.ovh.net, dns.ovh.net

Ce sont  de gens si bien, qui se reclament de la France profonde,.. :) que
je trouve presque en dehors des limites... Octave fait attention a ce que
tu dis parfois avant de donner des jugement, tu manges aussi de ce pain la.
Et moi ma mère elle vendait de pain, ni beurre...;(
Ps : j'ai pris celui car c'est le plus soft ...
Amicalement Gael





2012/2/14 Radu-Adrian Feurdean 

>
> On Tue, 14 Feb 2012 01:02:43 +0100, "Jérôme Nicolle" 
> said:
>
> > Oui, tu peux leur demander un arbitrage sur un différend commercial,
> > dans l'optique d'une résolution amiable. Mais sur une procédure en
> > justice, que ce soit commercial, civil ou pénal, il ne me semble pas
> > qu'ils soient référents.
>
> Le but n'est il pas precisement d'eviter d'aller en justice ?
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Solution Open Source Group4
Gaël Le Borgne

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Radu-Adrian Feurdean]

On Tue, 14 Feb 2012 01:02:43 +0100, "Jérôme Nicolle" 
said:

> Oui, tu peux leur demander un arbitrage sur un différend commercial,
> dans l'optique d'une résolution amiable. Mais sur une procédure en
> justice, que ce soit commercial, civil ou pénal, il ne me semble pas
> qu'ils soient référents.

Le but n'est il pas precisement d'eviter d'aller en justice ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Alexandre Archambault]

Le 14 févr. 2012 à 09:12, Guillaume Mellier a écrit :

> je connais moins bien l'ANSSI mais je ne suis pas certain qu'elle ait la 
> capacité d'arbitrer des litiges.

Disons que dès lors qu'un acteur est soumis aux dispositions des articles 
L.1332-1 et suivants du Code de la Défense, les préconisations ANSSI peuvent 
primer sur les arbitrages ARCEP.


--
Alec,




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] RFC 6506: Supporting Authentication Trailer for OSPFv3

[Stephane Bortzmeyer]

[Avertissement : cet article ne parle pas d'OVH, ni de neutralité du
réseau.]

Enfin, OSPFv3 a un mécanisme d'authentification ! Youpi !

http://www.bortzmeyer.org/6506.html



Auteur(s) du RFC: M. Bhatia (Alcatel-Lucent), V. Manral (Hewlett Packard), A. 
Lindem (Ericsson)

Chemin des normes




La version 2 du protocole de routage OSPF avait un mécanisme 
d'authentification (annexe D du RFC 2328). Lors de la conception de la 
version 3 (qui permettait notamment d'ajouter IPv6), ce mécanisme avait 
été abandonné, l'idée étant que l'IETF avait déjà un mécanisme 
d'authentification plus général, IPsec, et qu'il « suffisait » de 
l'utiliser. Selon cette analyse, il n'y avait plus besoin de doter 
chaque protocole de son propre mécanisme d'authentification. C'était 
très bien sur le papier. Mais, en pratique, le déploiement d'IPsec est 
très limité, à la fois en raison de sa complexité et du caractère 
imparfait de ses implémentations. Résultat, les utilisateurs d'OPSFv3 
n'ont, la plupart du temps, pas déployé de mécanisme de sécurité du 
tout. En voulant faire trop propre, on a donc *diminué* la sécurité du 
routage. Ce RFC corrige le tir en dotant enfin OSPFv3 d'un mécanisme 
d'authentification léger et réaliste.

OSPFv3 est normalisé dans le RFC 5340, dont le titre (« OSPF pour 
IPv6 ») est trompeur car, depuis le RFC 5838, OSPFv3 peut gérer 
plusieurs familles d'adresses et peut donc, en théorie, remplacer 
complètement OSPFv2. En pratique, toutefois, ce n'est pas encore le 
cas, notamment pour le problème de sécurité qui fait l'objet de ce 
RFC : contrairement aux autres protocoles de routage internes, OSPFv3 
ne disposait d'aucun mécanisme d'authentification. N'importe quel 
méchant sur le réseau local pouvait se proclamer routeur et envoyer de 
fausses informations de routage. L'argument répété était « pas besoin 
de mécanisme spécifique à OSPFv3, utilisez les mécanismes IPsec, comme 
expliqué dans le RFC 4552 ». Mais on constate que cette possibilité a 
été très peu utilisée. Le RFC se contente de noter que c'est parce que 
IPsec est mal adapté à certains environnements comme les MANET mais il 
ne parle pas des autres environnements, où IPsec est simplement rejeté 
en raison de la difficulté à trouver une implémentation qui marche, et 
qu'un administrateur système normal arrive à configurer.

IPsec a également des faiblesses plus fondamentales pour des protocoles 
de routage comme OSPF. Ainsi, les protocoles d'échange de clés comme 
IKE ne sont pas utilisables tant que le routage ne fonctionne pas. Pour 
résoudre le problème d'œuf et de poule, et parce que les communications 
OSPF sont de type un-vers-plusieurs (et pas un-vers-un comme le suppose 
IKE), le RFC 4552 prône des clés gérées manuellement, ce qui n'est pas 
toujours pratique.

Enfin, l'absence de protection contre le rejeu affaiblit la sécurité 
d'IPsec dans ce contexte, comme le note le RFC 6039.

La solution proposée figure en section 2. L'idée est d'ajouter à la fin 
du packet OSPF un champ qui contienne un condensat cryptographique du 
paquet et d'une clé secrète, comme pour OSPFv2 (RFC 5709) (D'autres 
types d'authentification pourront être utilisés dans le futur, un 
registre IANA des types 
 a été créé.) Les options 
binaires du paquet, au début de celui-ci (RFC 5340, section A.2), ont 
un nouveau bit, en position 13, AT (pour "Authentication Trailer", 
désormais dans le registre IANA 
), qui indique la présence ou l'absence du champ 
final d'authentification (tous les paquets n'ont pas ce champ Options, 
donc le routeur devra se souvenir des valeurs de ce champ pour chaque 
voisin).

Pour chaque couple de routeurs ainsi protégés, il y aura un certain 
nombre de paramètres, qui forment ce qu'on nomme un accord de sécurité 
("security association", section 3) :
* Un identifiant sur 16 bits, manuellement défini, le "Security 
Association ID". L'émetteur le choisit et le récepteur le lit dans le 
paquet. Cette indirection va permettre de modifier des paramètres comme 
les clés cryptographiques (ou même l'algorithme cryptographique), tout 
en continuant le routage.
* L'algorithme utilisé, par exemple HMAC-SHA1 ou HMAC-SHA512,
* La clé,
* Des paramètres temporels indiquant, par exemple, à partir de quand la 
clé sera valide.


Une fois qu'on a toutes ces informations, qu'est-ce qu'on met dans le 
paquet OSPF envoyé sur le câble ? La section 4 décrit le mécanisme. Le 
champ final d'authentification ("Authentication Trailer") est composé 
notammen de l'identifiant d'un accord de sécurité (SA ID, décrit au 
paragraphe précédent, et qui permet au récepteur de trouver dans sa 
mémoire les paramètres cryptographiques liés à une conversation 
particulière), d'un numéro de séquence (qui 

Re: [FRnOG] [MISC] L'internet libre et neutre selon OVH

[Guillaume Mellier]

*> Par ailleurs, je serais très très curieux de connaitre l'avis de l'ARCEP
à ce sujet, c'est quand même un conflit qui entre dans les compétences de
l'autorité. *



Pour répondre de manière factuelle :



1°) Sur la forme :

 - un tel sujet rentre a priori dans les compétences de l'ARCEP de
règlement des différends relatifs à des questions d'interconnexion entre
deux opérateurs (à supposer que les acteurs soient des opérateurs), ou
entre un opérateur et un fournisseur de services en ligne (compétence plus
récente, pour laquelle les premiers cas pourront être l'occasion de
dégrossir son contour exact) ;

 - une des parties peut donc saisir l'Autorité, qui tranchera le différend
"en équité", au terme d'une instruction contradictoire, sous un délai de
quatre mois (ou de qques jours si il y a atteinte grave et immédiate et que
des mesures conservatoires sont nécessaires, notamment pour "*assurer la
continuité du fonctionnement des réseaux*", ce qui semble être un des
sujets discutés ici) ;

 - un préalable à la saisine de l'ARCEP est cependant qu'il y ait eu
négociation entre les deux parties et que celles-ci aient échoué, ce qui ne
semble pas totalement clair ici ;

 - enfin, c'est bien aux acteurs de faire la démarche de saisir l'ARCEP
s'ils estiment que la situation le nécessite (et non pas à l'ARCEP de
s'autosaisir, dès lors que le sujet ne porte pas strictement sur le respect
d'obligations légales ou réglementaires).



2°) Sur le fond :

 - l'ARCEP a pu indiquer dans des recommandations récentes que les
pratiques de gestion du trafic devraient respecter 5 critères : pertinence
(légitimité des motifs, ici la sécurité), efficacité, proportionnalité (qui
semble être le cœur du débat ici), non discrimination et transparence ;

 - il s'agit d'une recommandation, non impérative, mais qui indique
notamment quel serait a priori le raisonnement de l'Autorité si elle était
amenée à devoir trancher un différend relatif à ces questions ;

 - de manière générale, l'Autorité n'a à ma connaissance jamais été
destinataire de remontées significatives concernant des difficultés sur la
mise en œuvre de mesures de protection des réseaux (type blocage de DDoS) ;

 - il ne saurait être question de se prononcer davantage sur le fond en
l'absence d'éléments contradictoires, notamment en l'absence d'expression
de l'opérateur mis en cause (qui s'est néanmoins exprimé depuis), et en
l'absence de saisine.



3°) Une réaction à un élément vu plus loin dans la discussion : ANSSI ou
ARCEP : c'est une bonne question ; il peut exister des procédures d'avis
croisé entre autorités ; saisie d'un différend relatif à la
proportionnalité de mesures anti DDoS, l'ARCEP pourrait utilement demander
un avis de l'ANSSI dans la procédure ; je connais moins bien l'ANSSI mais
je ne suis pas certain qu'elle ait la capacité d'arbitrer des litiges.



A votre disposition pour toute discussion,



Guillaume Mellier

ARCEP


2012/2/13 Jérémy Martin 

> Bonjour,
>
> J'aurais un avis bien tranché sur la question mais je vais me modérer
> grandement dans mes paroles car nous sommes sur un lieu public.
>
> Avant toute chose, je considère que dans les échanges entre opérateurs, il
> doit y avoir du respect. On peut respecter OVH par rapport à ce qu'ils sont
> devenu, on peut aussi respecter Gurvan pour ce qu'il construit petit à
> petit. Malheureusement, le respect a disparu des échanges avec Octave
> depuis bien longtemps, et c'est vraiment malheureux.
>
> Concernant le point de vue technique, nous sommes également victime des
> problématiques d'attaques DOS UDP provenant du réseau d'OVH mais aussi
> d'Online (je suis déjà venu pleurer ici pour cette raison d'ailleurs).
>
> Le fait est que dans notre monde de réseau giga, il est impératif de
> placer des limites déontologique sur nos réseaux, et d'éviter les coupures
> unilatérales qui bafoue la neutralité du net tel qu'on le voit dans le null
> routage que fait Octave sur son réseau. Nous aussi nous avons notre réseau
> et notre facturation qui explose à chaque fois. Et à chaque fois, le
> service Abuse met 3 heures à bloquer le serveur en face.
>
> Par ailleurs, je serais très très curieux de connaitre l'avis de l'ARCEP à
> ce sujet, c'est quand même un conflit qui entre dans les compétences de
> l'autorité.
>
> Pour la suite, la seule solution que nous avons trouvé est de mettre en
> place une community Blackhole avec nos transitaires, mais clairement, ce
> n'est pas une solution parfaitement adapté. Un shapper en sortie du réseau
> d'OVH ou d'Online pour bloquer les flux UDP au delà d'un certain nombre de
> pk/s ou de mb/s serait tellement mieux. Mais les capacités en jeu sont
> tellement élevé qu'OVH ou Online ne feront jamais les investissements pour
> obtenir les équipements permettant de le faire.
>
> Comme d'habitude, le gros poissons nage tranquillement pendant que le
> petit crève dans les sillons du premier...
>
> Cordialement,
> Jérémy Martin
> Directeur Technique FirstHeberg.com
>
> Contacts té