Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Hello, Quelques ambassades utilisent ça pour raccorder des bâtiments d'une rue à l'autre et pour remonter sur site principal : CEP100 VSE. Ça marche bien ! Je vois sur le site qu'il y a des modèles CEP1000... Laurent Le 11/06/2013 11:03, Surya ARBY a écrit : Pour ce genre de trucs, l'armée (et également en banque sur les salles de marchés pour le chiffrement téléphonique des lignes analogiques) utilisait des boitiers chiffrants Thales. cdlt, De : Pascal Rullier À : frnog@frnog.org Envoyé le : Mardi 11 juin 2013 11h16 Objet : Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit Le 2013-06-11 10:52, Christophe Baegert a écrit : Bonjour, Le 11/06/2013 10:42, Rémi Laurent a écrit : Le problème c'est que je dois faire passer au moins un VLAN "étendu" dans lequel se trouve quelques serveurs, sinon oui, un VPN classique aurait été mon premier choix. Ce genre de choses peut-être ? http://www.senetas-europe.com/encryptor_div/layer2.html intéressant mais quand on parle chiffrement, on parle sécurité. Si les solutions sont des solutions proprio, qui me garantit que les données qui circulent chiffrées ne sont vues que par moi ? et non pas aussi par d'autres entités comme ceux qui m'ont vendu le matériel ? Est on bien sur que la datasheet du matos fait bien ce qu'elle dit et pas plus ? Cela me fait penser à l'affaire en cours M$ et armée française. http://www.franceinfo.fr/high-tech/nouveau-monde/un-contrat-armee-microsoft-qui-enerve-962963-2013-04-24 Cdlt, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Transceivers 1000Base-TX/1000Base-LX
Le moins cher et le plus sur en mediaconv serait pour moi du MRV 1U 4 slots. 1 slot pour la carte de management et 3 slots pour des cartes diverses. J'en ai eu en prod pendant des années, je n'ai jamais eu de pb. On en a mis aussi chez FranceIX pour transponder des liens 10G ( colorés vers gris ), ou encore pour faire un "regen" :) Envoyé de mon iPad Le 12 juin 2013 à 22:49, Bertrand Delepine a écrit : > Bonjour, > > Regarde du côté de Transition. > > On utilise les produits Point System depuis 6 ans, très stable. > - châssis de 1, 8 et 20 slots > - manageables out-of-band > - double alim > - tout type de combinaisons de port (y compris une carte avec 2 SFP) > > Bon courage, > > -- > Bertrand Delépine > > Le 12 juin 2013 à 20:02, "Christophe Lucas" a écrit : > >> Rad sans doute... >> >> -- >> Christophe >> >> Envoyé de mon téléphone, veuillez excuser ma brièveté. >> >> Le 12 juin 2013 à 17:25, Aurélien a écrit : >> >>> Bonjour la liste, >>> >>> Je cherche des transceivers 1000Base-TX/1000Base-LX pour connecter un >>> équipement qui ne dispose pas de connectique fibre chez mon opérateur (en >>> DC). >>> >>> J'ai une solution de base actuellement, le transceiver à pas cher, mais >>> j'aurais voulu savoir si il existait des versions un peu plus durcies: >>> -> Rackables (2 ou plus transceivers dans le même élément) >>> -> Possibilité de double alimentation (possiblement mutualisées entre 2 >>> transceivers dans le cas d'un rack) >>> -> Possibilité de management sur une patte externe (je pense au forçage du >>> link up/down, et aux diagnostiques optiques). >>> -> Optiques sur SFP si possible >>> >>> Avez-vous des retours d'expérience ou conseils sur ce type de matériel ? >>> >>> Merci ! >>> -- >>> Aurélien Guillaume >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Transceivers 1000Base-TX/1000Base-LX
Bonjour, Regarde du côté de Transition. On utilise les produits Point System depuis 6 ans, très stable. - châssis de 1, 8 et 20 slots - manageables out-of-band - double alim - tout type de combinaisons de port (y compris une carte avec 2 SFP) Bon courage, -- Bertrand Delépine Le 12 juin 2013 à 20:02, "Christophe Lucas" a écrit : > Rad sans doute... > > -- > Christophe > > Envoyé de mon téléphone, veuillez excuser ma brièveté. > > Le 12 juin 2013 à 17:25, Aurélien a écrit : > >> Bonjour la liste, >> >> Je cherche des transceivers 1000Base-TX/1000Base-LX pour connecter un >> équipement qui ne dispose pas de connectique fibre chez mon opérateur (en >> DC). >> >> J'ai une solution de base actuellement, le transceiver à pas cher, mais >> j'aurais voulu savoir si il existait des versions un peu plus durcies: >> -> Rackables (2 ou plus transceivers dans le même élément) >> -> Possibilité de double alimentation (possiblement mutualisées entre 2 >> transceivers dans le cas d'un rack) >> -> Possibilité de management sur une patte externe (je pense au forçage du >> link up/down, et aux diagnostiques optiques). >> -> Optiques sur SFP si possible >> >> Avez-vous des retours d'expérience ou conseils sur ce type de matériel ? >> >> Merci ! >> -- >> Aurélien Guillaume >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Connexion temporaire au Bourget
Bonsoir, Désolé pour le hors-sujet. étant habitant de Dugny (une petite ville en bordure de l'aéroport du Bourget coté parc de la Courneuve connu sous l'autre nom Georges Valbon) je ne peux que constater les faibles débits internet (raccordement sur la Courneuve 2.8km) et sans parler du réseau téléphoniques qui laisse a désirer. chaque années lors de rassemblement festif les appels voix et sms ne fonctionne pas (retard de sms ~1h) a croire qu'il y a trop de monde dans la même zone. doit on s'attendre a la même chose cette année ?
Re: [FRnOG] [MISC] Transceivers 1000Base-TX/1000Base-LX
Rad sans doute... -- Christophe Envoyé de mon téléphone, veuillez excuser ma brièveté. Le 12 juin 2013 à 17:25, Aurélien a écrit : > Bonjour la liste, > > Je cherche des transceivers 1000Base-TX/1000Base-LX pour connecter un > équipement qui ne dispose pas de connectique fibre chez mon opérateur (en > DC). > > J'ai une solution de base actuellement, le transceiver à pas cher, mais > j'aurais voulu savoir si il existait des versions un peu plus durcies: > -> Rackables (2 ou plus transceivers dans le même élément) > -> Possibilité de double alimentation (possiblement mutualisées entre 2 > transceivers dans le cas d'un rack) > -> Possibilité de management sur une patte externe (je pense au forçage du > link up/down, et aux diagnostiques optiques). > -> Optiques sur SFP si possible > > Avez-vous des retours d'expérience ou conseils sur ce type de matériel ? > > Merci ! > -- > Aurélien Guillaume > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Écoutes en France aussi
http://www.internetsociety.org/news/internet-society-statement-importance-open-global-dialogue-regarding-online-privacy mh Le 12/06/2013 11:00, Christophe Baegert a écrit : > Bonjour, > > Le 12/06/2013 10:53, Stephane Bortzmeyer a écrit : >> Nos gentils routeurs nous trahissent-ils et autres questions : >> >> http://www.slate.fr/story/73741/prism-nsa-francais > OK avec toi, aucune crainte à avoir de nos routeurs. Mais les routeurs > des transitaires là ça ne se verrait pas. > > Enfin de toute façon pour 98% d'entre nous pas besoin d'aller bien loin > pour trouver la faille... elle est sur notre disque dur ! > > Cordialement, > > Christophe > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Limitation trafic entre deux MAC sur 2960
Oui bien joué Olivier ! De : Olivier Benghozi À : Antoine Durant ; "frnog-t...@frnog.org" Envoyé le : Mercredi 12 juin 2013 17h26 Objet : Re: [FRnOG] [TECH] Limitation trafic entre deux MAC sur 2960 match access-group name maclist1, peut-être ? Le 12 juin 2013 à 17:22, Antoine Durant a écrit : > Je me suis déjà appuyé sur le lien que tu donnes. Par contre cela ne > fonctionne pas chez moi lors du match access-group: > > switch(config)#mac access-list extended maclist1 > switch(config-ext-macl)#permit host b827.ebcd.a814 host 0040.63dd.e086 > switch(config-ext-macl)#exit > switch(config)#class-map macclass1 > switch(config-cmap)#match access-group maclist1 > ^ > % Invalid input detected at '^' marker. > switch(config-cmap)# > > De : Olivier Benghozi > À : Antoine Durant ; "frnog-t...@frnog.org" > > Envoyé le : Mercredi 12 juin 2013 17h13 > Objet : Re: [FRnOG] [TECH] Limitation trafic entre deux MAC sur 2960 > > Visiblement tu matches dans ta classmap une ACL IP numéro 100 alors que tu as > défini par ailleurs une CAR ACL numéro 100. > > Et puis il faut RTFM naturellement: > http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_58_se/configuration/guide/swqos.html#wp1044737 > La commande qui y est documentée est "mac access-list extended blabla"... > > > Le 12 juin 2013 à 14:53, Antoine Durant a écrit : > > > J'ai la version suivante : Cisco IOS Software, C2960 Software > > (C2960-LANBASEK9-M), Version 12.2(55)SE1, RELEASE SOFTWARE (fc1) > > > > J'ai essayé la configuration suivante mais cela ne marche pas... > > > > class-map match-all LIMIT-TRAFFIC > > match access-group 100 > > ! > > policy-map LIMIT-TRAFFIC > > class LIMIT-TRAFFIC > > police 100 1 exceed-action drop > > ! > > interface FastEthernet0/11 > > service-policy input LIMIT-TRAFFIC > > ! > > access-list rate-limit 100 0040.63dd.e086 > > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Je pensais plutot à l'occupation CPU :) Mais merci quand même. Le 12 juin 2013 17:32, Rémi Laurent a écrit : > * Méhdi Denou - 12-06-2013 à 17h20: > > > Juste pour info: quelle est la consommation cpu/core ? > > J'avoue ne pas avoir regardé, ce CPU est annoncé à 95W maximum et la > machine que j'ai testé fait environ 150W en idle, donc je dirais que le > tout doit faire dans les 250-300W maximum à pleine charge. > > > Le 12 juin 2013 16:48, Rémi Laurent a > > écrit : > > > > > * Rémi Laurent - 11-06-2013 à 11h58: > > > > > > > * Raphaël Jacquot - 11-06-2013 à 11h49: > > > > > > > > > On 11.06.2013 11:29, Christophe Baegert wrote: > > > > > > > > > > >100% d'accord. Après, avec Linux, ça sera pas forcément évident de > > > > > >faire > > > > > >du wirespeed... peut-être avec un proc de fou (vérifier le > support du > > > > > >multithread par openvpn, et ce sera un gouffre énergétique), ou > > > > > >avec une > > > > > >carte accélératrice (pareil, vérifier le support) > > > > > > > > > > c'est pas trop difficile, a condition d'utiliser les instructions > > > > > AES intégrées aux processeurs... > > > > > c'est la qu'il faut bien faire gaffe a avoir la bonne librairie > SSL ;-) > > > > > > > > Oui, avec AES-NI sur des CPU Intel même entrée de gamme ça avance > tout > > > > de même pas mal, je viens de faire quelques 'speed' tests avec un > > > > openssl 1.0.1 ça tourne à 200MB/s, même avec de petits blocs; il faut > > > > encore que je teste avec le bridge etc... mais c'est encourageant > > > > > > > > Merci pour vos réponses > > > > > > Finalement ce post m'aura permis d'avoir les contacts de pas mal de > > > monde ;) > > > > > > J'ai pu refaire des tests sur des Xeon E5-2650 avec AES-NI; avec une > > > "stock" Debian Linux, un L2TP par dessus de l'IPSec le tout bridgé > > > j'atteins environ 980Mbps, je crois que je vais finalement opter pour > > > cette solution un peu bricolée mais finalement peu onéreuse et assez > > > flexible. > > > > > > Encore merci pour les pistes et les propositions hors liste > > > > > > -- > > > Rémi Laurent > > > > > > Phone: +352 26 10 30 61 > > > General Support: supp...@conostix.com > > > GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 > > > > > > -BEGIN PGP SIGNATURE- > > > Version: GnuPG v1.4.10 (GNU/Linux) > > > > > > iEYEARECAAYFAlG4ikwACgkQPckIWg+gBgFLsACfQv6WDTXpUqfKyFSs57PlHrW1 > > > ZoYAmwSmzsYlmob7/b4IGYtEV/7ae4j7 > > > =dFUR > > > -END PGP SIGNATURE- > > > > > > > > > > > > -- > > Méhdi Denou > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > -- > Rémi Laurent > > Phone: +352 26 10 30 61 > General Support: supp...@conostix.com > GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 > > -BEGIN PGP SIGNATURE- > Version: GnuPG v1.4.10 (GNU/Linux) > > iEYEARECAAYFAlG4lJ4ACgkQPckIWg+gBgHS2ACfdmD9ON1CwXhs26c1aub8kv14 > 33YAn2ZGOKmLuAA34pW4uuEgxw6PHMSj > =GNkN > -END PGP SIGNATURE- > > -- Méhdi Denou --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
* Méhdi Denou - 12-06-2013 à 17h20: > Juste pour info: quelle est la consommation cpu/core ? J'avoue ne pas avoir regardé, ce CPU est annoncé à 95W maximum et la machine que j'ai testé fait environ 150W en idle, donc je dirais que le tout doit faire dans les 250-300W maximum à pleine charge. > Le 12 juin 2013 16:48, Rémi Laurent a > écrit : > > > * Rémi Laurent - 11-06-2013 à 11h58: > > > > > * Raphaël Jacquot - 11-06-2013 à 11h49: > > > > > > > On 11.06.2013 11:29, Christophe Baegert wrote: > > > > > > > > >100% d'accord. Après, avec Linux, ça sera pas forcément évident de > > > > >faire > > > > >du wirespeed... peut-être avec un proc de fou (vérifier le support du > > > > >multithread par openvpn, et ce sera un gouffre énergétique), ou > > > > >avec une > > > > >carte accélératrice (pareil, vérifier le support) > > > > > > > > c'est pas trop difficile, a condition d'utiliser les instructions > > > > AES intégrées aux processeurs... > > > > c'est la qu'il faut bien faire gaffe a avoir la bonne librairie SSL ;-) > > > > > > Oui, avec AES-NI sur des CPU Intel même entrée de gamme ça avance tout > > > de même pas mal, je viens de faire quelques 'speed' tests avec un > > > openssl 1.0.1 ça tourne à 200MB/s, même avec de petits blocs; il faut > > > encore que je teste avec le bridge etc... mais c'est encourageant > > > > > > Merci pour vos réponses > > > > Finalement ce post m'aura permis d'avoir les contacts de pas mal de > > monde ;) > > > > J'ai pu refaire des tests sur des Xeon E5-2650 avec AES-NI; avec une > > "stock" Debian Linux, un L2TP par dessus de l'IPSec le tout bridgé > > j'atteins environ 980Mbps, je crois que je vais finalement opter pour > > cette solution un peu bricolée mais finalement peu onéreuse et assez > > flexible. > > > > Encore merci pour les pistes et les propositions hors liste > > > > -- > > Rémi Laurent > > > > Phone: +352 26 10 30 61 > > General Support: supp...@conostix.com > > GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 > > > > -BEGIN PGP SIGNATURE- > > Version: GnuPG v1.4.10 (GNU/Linux) > > > > iEYEARECAAYFAlG4ikwACgkQPckIWg+gBgFLsACfQv6WDTXpUqfKyFSs57PlHrW1 > > ZoYAmwSmzsYlmob7/b4IGYtEV/7ae4j7 > > =dFUR > > -END PGP SIGNATURE- > > > > > > > -- > Méhdi Denou > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Limitation trafic entre deux MAC sur 2960
match access-group name maclist1, peut-être ? Le 12 juin 2013 à 17:22, Antoine Durant a écrit : > Je me suis déjà appuyé sur le lien que tu donnes. Par contre cela ne > fonctionne pas chez moi lors du match access-group: > > switch(config)#mac access-list extended maclist1 > switch(config-ext-macl)#permit host b827.ebcd.a814 host 0040.63dd.e086 > switch(config-ext-macl)#exit > switch(config)#class-map macclass1 > switch(config-cmap)#match access-group maclist1 > ^ > % Invalid input detected at '^' marker. > switch(config-cmap)# > > De : Olivier Benghozi > À : Antoine Durant ; "frnog-t...@frnog.org" > > Envoyé le : Mercredi 12 juin 2013 17h13 > Objet : Re: [FRnOG] [TECH] Limitation trafic entre deux MAC sur 2960 > > Visiblement tu matches dans ta classmap une ACL IP numéro 100 alors que tu as > défini par ailleurs une CAR ACL numéro 100. > > Et puis il faut RTFM naturellement: > http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_58_se/configuration/guide/swqos.html#wp1044737 > La commande qui y est documentée est "mac access-list extended blabla"... > > > Le 12 juin 2013 à 14:53, Antoine Durant a écrit : > > > J'ai la version suivante : Cisco IOS Software, C2960 Software > > (C2960-LANBASEK9-M), Version 12.2(55)SE1, RELEASE SOFTWARE (fc1) > > > > J'ai essayé la configuration suivante mais cela ne marche pas... > > > > class-map match-all LIMIT-TRAFFIC > > match access-group 100 > > ! > > policy-map LIMIT-TRAFFIC > > class LIMIT-TRAFFIC > > police 100 1 exceed-action drop > > ! > > interface FastEthernet0/11 > > service-policy input LIMIT-TRAFFIC > > ! > > access-list rate-limit 100 0040.63dd.e086 > > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Transceivers 1000Base-TX/1000Base-LX
Bonjour la liste, Je cherche des transceivers 1000Base-TX/1000Base-LX pour connecter un équipement qui ne dispose pas de connectique fibre chez mon opérateur (en DC). J'ai une solution de base actuellement, le transceiver à pas cher, mais j'aurais voulu savoir si il existait des versions un peu plus durcies: -> Rackables (2 ou plus transceivers dans le même élément) -> Possibilité de double alimentation (possiblement mutualisées entre 2 transceivers dans le cas d'un rack) -> Possibilité de management sur une patte externe (je pense au forçage du link up/down, et aux diagnostiques optiques). -> Optiques sur SFP si possible Avez-vous des retours d'expérience ou conseils sur ce type de matériel ? Merci ! -- Aurélien Guillaume --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Limitation trafic entre deux MAC sur 2960
Je me suis déjà appuyé sur le lien que tu donnes. Par contre cela ne fonctionne pas chez moi lors du match access-group: switch(config)#mac access-list extended maclist1 switch(config-ext-macl)#permit host b827.ebcd.a814 host 0040.63dd.e086 switch(config-ext-macl)#exit switch(config)#class-map macclass1 switch(config-cmap)#match access-group maclist1 ^ % Invalid input detected at '^' marker. switch(config-cmap)# De : Olivier Benghozi À : Antoine Durant ; "frnog-t...@frnog.org" Envoyé le : Mercredi 12 juin 2013 17h13 Objet : Re: [FRnOG] [TECH] Limitation trafic entre deux MAC sur 2960 Visiblement tu matches dans ta classmap une ACL IP numéro 100 alors que tu as défini par ailleurs une CAR ACL numéro 100. Et puis il faut RTFM naturellement: http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_58_se/configuration/guide/swqos.html#wp1044737 La commande qui y est documentée est "mac access-list extended blabla"... Le 12 juin 2013 à 14:53, Antoine Durant a écrit : > J'ai la version suivante : Cisco IOS Software, C2960 Software > (C2960-LANBASEK9-M), Version 12.2(55)SE1, RELEASE SOFTWARE (fc1) > > J'ai essayé la configuration suivante mais cela ne marche pas... > > class-map match-all LIMIT-TRAFFIC > match access-group 100 > ! > policy-map LIMIT-TRAFFIC > class LIMIT-TRAFFIC > police 100 1 exceed-action drop > ! > interface FastEthernet0/11 > service-policy input LIMIT-TRAFFIC > ! > access-list rate-limit 100 0040.63dd.e086 > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Juste pour info: quelle est la consommation cpu/core ? Le 12 juin 2013 16:48, Rémi Laurent a écrit : > * Rémi Laurent - 11-06-2013 à 11h58: > > > * Raphaël Jacquot - 11-06-2013 à 11h49: > > > > > On 11.06.2013 11:29, Christophe Baegert wrote: > > > > > > >100% d'accord. Après, avec Linux, ça sera pas forcément évident de > > > >faire > > > >du wirespeed... peut-être avec un proc de fou (vérifier le support du > > > >multithread par openvpn, et ce sera un gouffre énergétique), ou > > > >avec une > > > >carte accélératrice (pareil, vérifier le support) > > > > > > c'est pas trop difficile, a condition d'utiliser les instructions > > > AES intégrées aux processeurs... > > > c'est la qu'il faut bien faire gaffe a avoir la bonne librairie SSL ;-) > > > > Oui, avec AES-NI sur des CPU Intel même entrée de gamme ça avance tout > > de même pas mal, je viens de faire quelques 'speed' tests avec un > > openssl 1.0.1 ça tourne à 200MB/s, même avec de petits blocs; il faut > > encore que je teste avec le bridge etc... mais c'est encourageant > > > > Merci pour vos réponses > > Finalement ce post m'aura permis d'avoir les contacts de pas mal de > monde ;) > > J'ai pu refaire des tests sur des Xeon E5-2650 avec AES-NI; avec une > "stock" Debian Linux, un L2TP par dessus de l'IPSec le tout bridgé > j'atteins environ 980Mbps, je crois que je vais finalement opter pour > cette solution un peu bricolée mais finalement peu onéreuse et assez > flexible. > > Encore merci pour les pistes et les propositions hors liste > > -- > Rémi Laurent > > Phone: +352 26 10 30 61 > General Support: supp...@conostix.com > GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 > > -BEGIN PGP SIGNATURE- > Version: GnuPG v1.4.10 (GNU/Linux) > > iEYEARECAAYFAlG4ikwACgkQPckIWg+gBgFLsACfQv6WDTXpUqfKyFSs57PlHrW1 > ZoYAmwSmzsYlmob7/b4IGYtEV/7ae4j7 > =dFUR > -END PGP SIGNATURE- > > -- Méhdi Denou --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Limitation trafic entre deux MAC sur 2960
Visiblement tu matches dans ta classmap une ACL IP numéro 100 alors que tu as défini par ailleurs une CAR ACL numéro 100. Et puis il faut RTFM naturellement: http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_58_se/configuration/guide/swqos.html#wp1044737 La commande qui y est documentée est "mac access-list extended blabla"... Le 12 juin 2013 à 14:53, Antoine Durant a écrit : > J'ai la version suivante : Cisco IOS Software, C2960 Software > (C2960-LANBASEK9-M), Version 12.2(55)SE1, RELEASE SOFTWARE (fc1) > > J'ai essayé la configuration suivante mais cela ne marche pas... > > class-map match-all LIMIT-TRAFFIC > match access-group 100 > ! > policy-map LIMIT-TRAFFIC > class LIMIT-TRAFFIC > police 100 1 exceed-action drop > ! > interface FastEthernet0/11 > service-policy input LIMIT-TRAFFIC > ! > access-list rate-limit 100 0040.63dd.e086 > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
* Rémi Laurent - 11-06-2013 à 11h58: > * Raphaël Jacquot - 11-06-2013 à 11h49: > > > On 11.06.2013 11:29, Christophe Baegert wrote: > > > > >100% d'accord. Après, avec Linux, ça sera pas forcément évident de > > >faire > > >du wirespeed... peut-être avec un proc de fou (vérifier le support du > > >multithread par openvpn, et ce sera un gouffre énergétique), ou > > >avec une > > >carte accélératrice (pareil, vérifier le support) > > > > c'est pas trop difficile, a condition d'utiliser les instructions > > AES intégrées aux processeurs... > > c'est la qu'il faut bien faire gaffe a avoir la bonne librairie SSL ;-) > > Oui, avec AES-NI sur des CPU Intel même entrée de gamme ça avance tout > de même pas mal, je viens de faire quelques 'speed' tests avec un > openssl 1.0.1 ça tourne à 200MB/s, même avec de petits blocs; il faut > encore que je teste avec le bridge etc... mais c'est encourageant > > Merci pour vos réponses Finalement ce post m'aura permis d'avoir les contacts de pas mal de monde ;) J'ai pu refaire des tests sur des Xeon E5-2650 avec AES-NI; avec une "stock" Debian Linux, un L2TP par dessus de l'IPSec le tout bridgé j'atteins environ 980Mbps, je crois que je vais finalement opter pour cette solution un peu bricolée mais finalement peu onéreuse et assez flexible. Encore merci pour les pistes et les propositions hors liste -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Limitation trafic entre deux MAC sur 2960
Il me semble que CAR est dispo que sur les routeurs L3... J'ai un switch L2. De : Mohamed Touré À : Antoine Durant Cc : "frnog-t...@frnog.org" Envoyé le : Mercredi 12 juin 2013 15h49 Objet : Re: [FRnOG] [TECH] Limitation trafic entre deux MAC sur 2960 En effet j'avais compris filtrage (interdiction de communiquer) plutôt que limitation de trafic. Désolé. Par ailleurs d'après la config ci-dessus, tu mixes deux concepts : CBFWQ et CAR. Tu as de la doc sur CAR : http://www.cisco.com/en/US/docs/ios/12_2/qos/configuration/guide/qcfcar_ps1835_TSD_Products_Configuration_Guide_Chapter.html 1. Tu definis ton ACL 2. Tu appliques le rate-limit au niveau de l'interface Cordialement Mohamed 2013/6/12 Antoine Durant J'ai la version suivante : Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(55)SE1, RELEASE SOFTWARE (fc1) > >J'ai essayé la configuration suivante mais cela ne marche pas... > >class-map match-all LIMIT-TRAFFIC > match access-group 100 >! >policy-map LIMIT-TRAFFIC > class LIMIT-TRAFFIC > police 100 1 exceed-action drop >! >interface FastEthernet0/11 > service-policy input LIMIT-TRAFFIC >! >access-list rate-limit 100 0040.63dd.e086 > > De : Mohamed Touré >À : Antoine Durant >Cc : "frnog-t...@frnog.org" >Envoyé le : Mercredi 12 juin 2013 13h41 >Objet : Re: [FRnOG] [TECH] Limitation trafic entre deux MAC sur 2960 > > >Bonjour > >Tu peux essayer les Port ACLS (Lan base Image) en utilisant une MAC >extended access-list. Ils ne s'appliquent normalement que sur des >interfaces L2 physiques et uniquement en entrée. > >Les Vlan ACL ne sont pas officiellement supportés sur les 2960, de mémoire >tu peux les utiliser sur du 12.2(58)SE. A tester > >Cordialement > >Mohamed Touré > > >2013/6/12 Antoine Durant > >> Bonjour la liste, >> >> Toujours dans ma quête de limitation du trafic, je reviens pour avoir des >> infos… >> Après quelques échanges avec certains d’entre vous (merci au passage !), >> la majorité me préconise de faire ma limitation sur mon cisco 2960, plutôt >> que sur le routeur. >> >> Donc j’en déduis une configuration de ce type puis il est que L2 : >> Il faut limiter le trafic entre l’adresse MAC du serveur et l’adresse MAC >> du routeur WAN. >> Pas de limite de trafic dans le LAN. >> >> Server1 MAC : 00-1F-F0-5D-5D-6C >> Interface WAN MAC : 00-50-56-C0-00-01 >> Server1[2960][ROUTER]WAN >> >> Cependant je ne trouve absolument pas comment faire et appliquer cette >> technique sur le 2960… >> >> Merci ! >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > > >-- >Mohamed Touré >06 38 62 99 07 > >--- >Liste de diffusion du FRnOG >http://www.frnog.org/ > > -- Mohamed Touré 06 38 62 99 07 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Limitation trafic entre deux MAC sur 2960
En effet j'avais compris filtrage (interdiction de communiquer) plutôt que limitation de trafic. Désolé. Par ailleurs d'après la config ci-dessus, tu mixes deux concepts : CBFWQ et CAR. Tu as de la doc sur CAR : http://www.cisco.com/en/US/docs/ios/12_2/qos/configuration/guide/qcfcar_ps1835_TSD_Products_Configuration_Guide_Chapter.html 1. Tu definis ton ACL 2. Tu appliques le rate-limit au niveau de l'interface Cordialement Mohamed 2013/6/12 Antoine Durant > J'ai la version suivante : Cisco IOS Software, C2960 Software > (C2960-LANBASEK9-M), Version 12.2(55)SE1, RELEASE SOFTWARE (fc1) > > J'ai essayé la configuration suivante mais cela ne marche pas... > > class-map match-all LIMIT-TRAFFIC > match access-group 100 > ! > policy-map LIMIT-TRAFFIC > class LIMIT-TRAFFIC > police 100 1 exceed-action drop > ! > interface FastEthernet0/11 > service-policy input LIMIT-TRAFFIC > ! > access-list rate-limit 100 0040.63dd.e086 >*De :* Mohamed Touré > *À :* Antoine Durant > *Cc :* "frnog-t...@frnog.org" > *Envoyé le :* Mercredi 12 juin 2013 13h41 > *Objet :* Re: [FRnOG] [TECH] Limitation trafic entre deux MAC sur 2960 > > Bonjour > > Tu peux essayer les Port ACLS (Lan base Image) en utilisant une MAC > extended access-list. Ils ne s'appliquent normalement que sur des > interfaces L2 physiques et uniquement en entrée. > > Les Vlan ACL ne sont pas officiellement supportés sur les 2960, de mémoire > tu peux les utiliser sur du 12.2(58)SE. A tester > > Cordialement > > Mohamed Touré > > > 2013/6/12 Antoine Durant > > > Bonjour la liste, > > > > Toujours dans ma quête de limitation du trafic, je reviens pour avoir des > > infos… > > Après quelques échanges avec certains d’entre vous (merci au passage !), > > la majorité me préconise de faire ma limitation sur mon cisco 2960, > plutôt > > que sur le routeur. > > > > Donc j’en déduis une configuration de ce type puis il est que L2 : > > Il faut limiter le trafic entre l’adresse MAC du serveur et l’adresse MAC > > du routeur WAN. > > Pas de limite de trafic dans le LAN. > > > > Server1 MAC : 00-1F-F0-5D-5D-6C > > Interface WAN MAC : 00-50-56-C0-00-01 > > Server1[2960][ROUTER]WAN > > > > Cependant je ne trouve absolument pas comment faire et appliquer cette > > technique sur le 2960… > > > > Merci ! > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > > > -- > Mohamed Touré > 06 38 62 99 07 > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > -- Mohamed Touré 06 38 62 99 07 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Autrement... Le 11 juin 2013 à 11:20, Guillaume Tournat a écrit : > Le 11/06/2013 10:52, Emmanuel Lacour a écrit : >> On Tue, Jun 11, 2013 at 10:42:05AM +0200, Rémi Laurent wrote: >>> Le problème c'est que je dois faire passer au moins un VLAN "étendu" >>> dans lequel se trouve quelques serveurs, sinon oui, un VPN classique >>> aurait été mon premier choix. >>> >> OpenVPN (performances en Giga à valider)? >> > > en mode TAP, c'est du L2. par contre, ca implique d'insérer un > équipement de terminaison de chaque côté. Sur FreeBSD il y a : netgraph, qui permet entre autre de jouer avec les packets ethernet et de les encapsuler dans un packet udp. Entre ng_switch (qui sais gérer les vlan), tu peux ajouter ton module netgraph qui vas bien pour faire du chiffrement ou le balancer dans openvpn ... :) Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Il y a de ca longtemps, Bull faisais des trucs qui s'appelaient "boite noire ethernet" qui entre autre permettaient le chiffrement over ethernet de 2 sites. J'ai eu la chance de jouer avec pendant 2 jours, mais jamais d'en déployer. Xavier Le 11 juin 2013 à 11:03, Surya ARBY a écrit : > Pour ce genre de trucs, l'armée (et également en banque sur les salles de > marchés pour le chiffrement téléphonique des lignes analogiques) utilisait > des boitiers chiffrants Thales. > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Limitation trafic entre deux MAC sur 2960
J'ai la version suivante : Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(55)SE1, RELEASE SOFTWARE (fc1) J'ai essayé la configuration suivante mais cela ne marche pas... class-map match-all LIMIT-TRAFFIC match access-group 100 ! policy-map LIMIT-TRAFFIC class LIMIT-TRAFFIC police 100 1 exceed-action drop ! interface FastEthernet0/11 service-policy input LIMIT-TRAFFIC ! access-list rate-limit 100 0040.63dd.e086 De : Mohamed Touré À : Antoine Durant Cc : "frnog-t...@frnog.org" Envoyé le : Mercredi 12 juin 2013 13h41 Objet : Re: [FRnOG] [TECH] Limitation trafic entre deux MAC sur 2960 Bonjour Tu peux essayer les Port ACLS (Lan base Image) en utilisant une MAC extended access-list. Ils ne s'appliquent normalement que sur des interfaces L2 physiques et uniquement en entrée. Les Vlan ACL ne sont pas officiellement supportés sur les 2960, de mémoire tu peux les utiliser sur du 12.2(58)SE. A tester Cordialement Mohamed Touré 2013/6/12 Antoine Durant > Bonjour la liste, > > Toujours dans ma quête de limitation du trafic, je reviens pour avoir des > infos… > Après quelques échanges avec certains d’entre vous (merci au passage !), > la majorité me préconise de faire ma limitation sur mon cisco 2960, plutôt > que sur le routeur. > > Donc j’en déduis une configuration de ce type puis il est que L2 : > Il faut limiter le trafic entre l’adresse MAC du serveur et l’adresse MAC > du routeur WAN. > Pas de limite de trafic dans le LAN. > > Server1 MAC : 00-1F-F0-5D-5D-6C > Interface WAN MAC : 00-50-56-C0-00-01 > Server1[2960][ROUTER]WAN > > Cependant je ne trouve absolument pas comment faire et appliquer cette > technique sur le 2960… > > Merci ! > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Mohamed Touré 06 38 62 99 07 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Limitation trafic entre deux MAC sur 2960
Bonjour Tu peux essayer les Port ACLS (Lan base Image) en utilisant une MAC extended access-list. Ils ne s'appliquent normalement que sur des interfaces L2 physiques et uniquement en entrée. Les Vlan ACL ne sont pas officiellement supportés sur les 2960, de mémoire tu peux les utiliser sur du 12.2(58)SE. A tester Cordialement Mohamed Touré 2013/6/12 Antoine Durant > Bonjour la liste, > > Toujours dans ma quête de limitation du trafic, je reviens pour avoir des > infos… > Après quelques échanges avec certains d’entre vous (merci au passage !), > la majorité me préconise de faire ma limitation sur mon cisco 2960, plutôt > que sur le routeur. > > Donc j’en déduis une configuration de ce type puis il est que L2 : > Il faut limiter le trafic entre l’adresse MAC du serveur et l’adresse MAC > du routeur WAN. > Pas de limite de trafic dans le LAN. > > Server1 MAC : 00-1F-F0-5D-5D-6C > Interface WAN MAC : 00-50-56-C0-00-01 > Server1[2960][ROUTER]WAN > > Cependant je ne trouve absolument pas comment faire et appliquer cette > technique sur le 2960… > > Merci ! > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Mohamed Touré 06 38 62 99 07 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Écoutes en France aussi
On 2013-06-12 12:54, Kavé Salamatian wrote: Bonjour, je vous rappelle le virus Flame et la forte suspicion que l'attaque zero day et le certificat permettant de faire passer une machine pour un serveur de mise à jour pour permettre le passage d'un virus de 380 Mo ! avait été gracieusement donné par microsoft au gouvernement US. Sans pour autant allez dans l'écoute des différents support l'europe nous à gratifier de ceci http://www.lemonde.fr/technologies/article/2012/04/19/le-parlement-europeen-accepte-le-transfert-aux-usa-des-donnees-de-ses-passagers_1687268_651865.html Ce qui permet de faire plein de recoupement sympathique. Souvenez vous de la différence entre dictature et démocratie. Le premier c'est "ferme ta gueule" le second "cause toujours" c'est bizarre mais dans les deux cas j'ai l'impression qu'on mange quand même. Kavé Salamatian Le 12 juin 2013 à 12:42, Romain a écrit : Si la compagnie représentée par le logo du boot dont tu parles avait une backdoor utilisable par PRISM, tu penses pas que les éditeurs antivirus qui sont pas basés aux US l'auraient détecté depuis longtemps ? Parce qu'ils bossent avec, eux aussi ;-) Le 12 juin 2013 12:07, Christophe Baegert a écrit : Le 12/06/2013 11:28, Wallace a écrit : Je ne pense pas être le seul à me rappeler des bruits du début des années 2000 sur les masters keys obligatoires pour vendre du matériel sur le sol américain. Une entreprise qui prenait cela vraiment au sérieux avait mis plusieurs niveau de firewall NAT de différentes marques mais aussi open source pour limiter les entrées possibles. Je me rappel aussi avoir vu des boites chercher du matériel réseau qui ne serait pas vendu sur le sol américain, avec le risque de la master key chinoise peut être. Sur un équipement réseau, il faut tout écouter pour trouver ce qui est intéressant, donc ça va forcément se voir. Par contre sur un PC, il est très facile de trouver l'information pertinente et de ne transférer que quelques octets Un carnet d'adresses par exemple. Donc tous ceux qui ont peur des réseaux feraient bien de vérifier quel logo ils ont au boot de leur PC, si par hasard ça ne correspondrait pas à la première compagnie ayant adhéré à Prism... Cordialement, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Écoutes en France aussi
Bonjour, je vous rappelle le virus Flame et la forte suspicion que l'attaque zero day et le certificat permettant de faire passer une machine pour un serveur de mise à jour pour permettre le passage d'un virus de 380 Mo ! avait été gracieusement donné par microsoft au gouvernement US. Kavé Salamatian Le 12 juin 2013 à 12:42, Romain a écrit : > Si la compagnie représentée par le logo du boot dont tu parles avait une > backdoor utilisable par PRISM, tu penses pas que les éditeurs antivirus qui > sont pas basés aux US l'auraient détecté depuis longtemps ? Parce qu'ils > bossent avec, eux aussi ;-) > > > Le 12 juin 2013 12:07, Christophe Baegert a > écrit : > >> Le 12/06/2013 11:28, Wallace a écrit : >>> Je ne pense pas être le seul à me rappeler des bruits du début des >>> années 2000 sur les masters keys obligatoires pour vendre du matériel >>> sur le sol américain. Une entreprise qui prenait cela vraiment au >>> sérieux avait mis plusieurs niveau de firewall NAT de différentes >>> marques mais aussi open source pour limiter les entrées possibles. Je me >>> rappel aussi avoir vu des boites chercher du matériel réseau qui ne >>> serait pas vendu sur le sol américain, avec le risque de la master key >>> chinoise peut être. >> >> Sur un équipement réseau, il faut tout écouter pour trouver ce qui est >> intéressant, donc ça va forcément se voir. >> >> Par contre sur un PC, il est très facile de trouver l'information >> pertinente et de ne transférer que quelques octets Un carnet >> d'adresses par exemple. >> >> Donc tous ceux qui ont peur des réseaux feraient bien de vérifier quel >> logo ils ont au boot de leur PC, si par hasard ça ne correspondrait pas >> à la première compagnie ayant adhéré à Prism... >> >> Cordialement, >> >> Christophe >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Écoutes en France aussi
Le 12 juin 2013 à 11:50, François Lacombe a écrit : > Suis-je le seul à penser qu'une telle centralisation de l'information, > doublée d'une possible référence à un juge rend tout simplement une écoute > massive et exhaustive impossible ? Non. Dans un système démocratique comme le nôtre (oui, je sais, le frnogueur du dredi détient la vérité absolu, nous sommes en plein complot ourdi par la main invisible du marché oeuvrant pour la trilatérale), il vaut mieux un bon gros machin unique sous responsabilité de *magistrats* (vs système actuel éparpillé qui au fil des années est devenu la chasse gardée de la place Beauvau) exploité par un acteur certes privé (ce qui est déjà le cas actuellement avec la myriade d'officines) qui par contre a pignon sur rue et visible de partout, qui va se faire contrôler de toute par (certains n'ont pas manqué de le faire), que le système actuel relativement opaque et difficilement traçable. Et pour celles et ceux qui seraient convaincus que le système actuel est parfait surtout ne touchez à rien et laissez nous faire comme avant, outre les billets de Bluetouff, reportez vous non pas sur le récent papier de l'Express qui a repris les jolis éléments de langage distillés par les tenants du statu-quo et repris en coeur par tout ceux qui ne voient pas plus loin que le bout de leur nez en citant Benjamin Franklin à tout bout de champ, mais plutôt sur ce papier du Point en date du 3 mai 2012, en plein entre 2 tours et donc passé relativement inaperçu. -- Alec, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Écoutes en France aussi
tien sa me rappelle ceci http://www.blogeek.ch/images/news/gpsimac.mp3 Le 12 juin 2013 12:42, Romain a écrit : > Si la compagnie représentée par le logo du boot dont tu parles avait une > backdoor utilisable par PRISM, tu penses pas que les éditeurs antivirus qui > sont pas basés aux US l'auraient détecté depuis longtemps ? Parce qu'ils > bossent avec, eux aussi ;-) > > > Le 12 juin 2013 12:07, Christophe Baegert a > écrit : > > > Le 12/06/2013 11:28, Wallace a écrit : > > > Je ne pense pas être le seul à me rappeler des bruits du début des > > > années 2000 sur les masters keys obligatoires pour vendre du matériel > > > sur le sol américain. Une entreprise qui prenait cela vraiment au > > > sérieux avait mis plusieurs niveau de firewall NAT de différentes > > > marques mais aussi open source pour limiter les entrées possibles. Je > me > > > rappel aussi avoir vu des boites chercher du matériel réseau qui ne > > > serait pas vendu sur le sol américain, avec le risque de la master key > > > chinoise peut être. > > > > Sur un équipement réseau, il faut tout écouter pour trouver ce qui est > > intéressant, donc ça va forcément se voir. > > > > Par contre sur un PC, il est très facile de trouver l'information > > pertinente et de ne transférer que quelques octets Un carnet > > d'adresses par exemple. > > > > Donc tous ceux qui ont peur des réseaux feraient bien de vérifier quel > > logo ils ont au boot de leur PC, si par hasard ça ne correspondrait pas > > à la première compagnie ayant adhéré à Prism... > > > > Cordialement, > > > > Christophe > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Clément Breuil 11 Route de Prach 19240 St Viance France Portable : 0681632189 FAX : 0972155282 Envoyé de mon PC --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Écoutes en France aussi
Si la compagnie représentée par le logo du boot dont tu parles avait une backdoor utilisable par PRISM, tu penses pas que les éditeurs antivirus qui sont pas basés aux US l'auraient détecté depuis longtemps ? Parce qu'ils bossent avec, eux aussi ;-) Le 12 juin 2013 12:07, Christophe Baegert a écrit : > Le 12/06/2013 11:28, Wallace a écrit : > > Je ne pense pas être le seul à me rappeler des bruits du début des > > années 2000 sur les masters keys obligatoires pour vendre du matériel > > sur le sol américain. Une entreprise qui prenait cela vraiment au > > sérieux avait mis plusieurs niveau de firewall NAT de différentes > > marques mais aussi open source pour limiter les entrées possibles. Je me > > rappel aussi avoir vu des boites chercher du matériel réseau qui ne > > serait pas vendu sur le sol américain, avec le risque de la master key > > chinoise peut être. > > Sur un équipement réseau, il faut tout écouter pour trouver ce qui est > intéressant, donc ça va forcément se voir. > > Par contre sur un PC, il est très facile de trouver l'information > pertinente et de ne transférer que quelques octets Un carnet > d'adresses par exemple. > > Donc tous ceux qui ont peur des réseaux feraient bien de vérifier quel > logo ils ont au boot de leur PC, si par hasard ça ne correspondrait pas > à la première compagnie ayant adhéré à Prism... > > Cordialement, > > Christophe > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [JOBS] Offre d'emploi : Administrateur(trice) réseau et sécurité
Bonjour à tous, J'aimerai renforcer l'équipe réseau et sécurité d'ITS Integra (http://www.itsintegra.com), je suis donc à la recherche d'un profil souhaitant rejoindre un hébergeur basé en région parisienne (Nanterre - 92). Rattaché à l'équipe réseau et sécurité sous la direction du directeur technique, il sera en charge de l'élaboration, de la mise en œuvre et de l'évolution des architectures des clients et du backbone. De niveau BAC+5, il doit maitriser le LAN et le WAN, et avoir une très bonne connaissance du fonctionnement du réseau d'un opérateur présent sur plusieurs datacenters dont le cœur de métier est la haute-disponibilité. Il aura aussi en charge la sécurité des plateformes avec la gestion de firewall Cisco ASA, Fortigate, Stone Soft, Iptables... La rémunération sera en fonction du profil, de son expérience et de sa formation. Le poste est disponible dès maintenant. N'hésitez pas à me contacter directement : t...@integra.fr Merci ! Thierry smime.p7s Description: Signature cryptographique S/MIME
Re: [FRnOG] [MISC] Écoutes en France aussi
Le 12/06/2013 11:28, Wallace a écrit : > Je ne pense pas être le seul à me rappeler des bruits du début des > années 2000 sur les masters keys obligatoires pour vendre du matériel > sur le sol américain. Une entreprise qui prenait cela vraiment au > sérieux avait mis plusieurs niveau de firewall NAT de différentes > marques mais aussi open source pour limiter les entrées possibles. Je me > rappel aussi avoir vu des boites chercher du matériel réseau qui ne > serait pas vendu sur le sol américain, avec le risque de la master key > chinoise peut être. Sur un équipement réseau, il faut tout écouter pour trouver ce qui est intéressant, donc ça va forcément se voir. Par contre sur un PC, il est très facile de trouver l'information pertinente et de ne transférer que quelques octets Un carnet d'adresses par exemple. Donc tous ceux qui ont peur des réseaux feraient bien de vérifier quel logo ils ont au boot de leur PC, si par hasard ça ne correspondrait pas à la première compagnie ayant adhéré à Prism... Cordialement, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Écoutes en France aussi
Bonjour, Suis-je le seul à penser qu'une telle centralisation de l'information, doublée d'une possible référence à un juge rend tout simplement une écoute massive et exhaustive impossible ? Suivant le dimensionnement des plateformes, la taille de la bêtise à faire ou de l’intérêt à représenter pour se retrouver ciblé peut varier dans des amplitudes très importantes. Dans des cas comme les US ou de la France. Certainement que d'autres pays font plus de zèle sur la question. Cordialement, François Lacombe @InfosReseaux Le 12 juin 2013 11:37, Emmanuel Thierry a écrit : > Bonjour, > > Le 12 juin 2013 à 10:53, Stephane Bortzmeyer a écrit : > > > Nos gentils routeurs nous trahissent-ils et autres questions : > > > > http://www.slate.fr/story/73741/prism-nsa-francais > > > > A ce sujet une conférence très intéressante passée au dernier THSF: > > http://blog.thsf.net/page/Conferences#mass_surveillance_cloud_computing > > Cordialement > Emmanuel Thierry > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Écoutes en France aussi
Bonjour, Le 12 juin 2013 à 10:53, Stephane Bortzmeyer a écrit : > Nos gentils routeurs nous trahissent-ils et autres questions : > > http://www.slate.fr/story/73741/prism-nsa-francais > A ce sujet une conférence très intéressante passée au dernier THSF: http://blog.thsf.net/page/Conferences#mass_surveillance_cloud_computing Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Écoutes en France aussi
Le 12/06/2013 11:00, Christophe Baegert a écrit : > Bonjour, > > Le 12/06/2013 10:53, Stephane Bortzmeyer a écrit : >> Nos gentils routeurs nous trahissent-ils et autres questions : >> >> http://www.slate.fr/story/73741/prism-nsa-francais > OK avec toi, aucune crainte à avoir de nos routeurs. Mais les routeurs > des transitaires là ça ne se verrait pas. > > Enfin de toute façon pour 98% d'entre nous pas besoin d'aller bien loin > pour trouver la faille... elle est sur notre disque dur ! > > Cordialement, > > Christophe > Je ne pense pas être le seul à me rappeler des bruits du début des années 2000 sur les masters keys obligatoires pour vendre du matériel sur le sol américain. Une entreprise qui prenait cela vraiment au sérieux avait mis plusieurs niveau de firewall NAT de différentes marques mais aussi open source pour limiter les entrées possibles. Je me rappel aussi avoir vu des boites chercher du matériel réseau qui ne serait pas vendu sur le sol américain, avec le risque de la master key chinoise peut être. J'ai comme l'impression que tout le monde découvre là maintenant ce qu'Echelon a mis en place il y a 30 ans et que Prism ne fait simplement que rendre plus facile. Les mouchards autour des câbles cuivres c'est facile, sur de la fibre c'est possible mais je pense compliqué sur des fourreaux de grosse capacité, alors pourquoi pas demandé un lien privé vers les différentes entreprises US avec une autorisation du juge, c'est quand même plus simple. Tout le monde s'en doutait c'est juste devenu officiel ... signature.asc Description: OpenPGP digital signature
[FRnOG] Fwd: [FrnOG][TECH] Solution pour analyser les performances réseaux[FrnOG][TECH]
Bonjour la liste, Je souhaiterai savoir si vous connaissez des marques de sondes d'analyse de performance LAN l'idée est de faire un audit réseau chez un client en relevant tous les problèmes de performances. Avez-vous des feedback sur certains produits tel que streamcore ou autre ? Cordialement, --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Limitation trafic entre deux MAC sur 2960
Bonjour la liste, Toujours dans ma quête de limitation du trafic, je reviens pour avoir des infos… Après quelques échanges avec certains d’entre vous (merci au passage !), la majorité me préconise de faire ma limitation sur mon cisco 2960, plutôt que sur le routeur. Donc j’en déduis une configuration de ce type puis il est que L2 : Il faut limiter le trafic entre l’adresse MAC du serveur et l’adresse MAC du routeur WAN. Pas de limite de trafic dans le LAN. Server1 MAC : 00-1F-F0-5D-5D-6C Interface WAN MAC : 00-50-56-C0-00-01 Server1[2960][ROUTER]WAN Cependant je ne trouve absolument pas comment faire et appliquer cette technique sur le 2960… Merci ! --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [FrnOG][TECH] Solution pour analyser les performances réseaux[FrnOG][TECH]
Bonjour, Je souhaiterai savoir si vous connaissez des marques de sondes d'analyse de performance LAN l'idée est de faire un audit réseau chez un client en relevant tous les problèmes de performances. Avez-vous des feedback sur certains produits tel que streamcore ou autre ? Cordialement, --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [JOBS]Cherche Admin réseau | Interview
Bonjour Je recherche un administrateur réseau*en poste*, si possible ayant réalisé la formation AFPA "technicien supérieur en réseau et télécommunication". *Je ne recherche pas un emploi*, il faut que je réalise un projet professionnel et de ce fait je dois réaliser des enquêtes métiers. _Je cherche pour la même chose :_ - Un technicien travaillant dans une entreprise d'audit en sécurité informatique - Un technicien tout poste dans les télécoms Merci de prendre ma demande en considération. Je suis disponible pour réaliser les entretiens sur la région Toulousaine, par skype ou mail. Cordialement. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Écoutes en France aussi
Bonjour, Le 12/06/2013 10:53, Stephane Bortzmeyer a écrit : > Nos gentils routeurs nous trahissent-ils et autres questions : > > http://www.slate.fr/story/73741/prism-nsa-francais OK avec toi, aucune crainte à avoir de nos routeurs. Mais les routeurs des transitaires là ça ne se verrait pas. Enfin de toute façon pour 98% d'entre nous pas besoin d'aller bien loin pour trouver la faille... elle est sur notre disque dur ! Cordialement, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Écoutes en France aussi
Nos gentils routeurs nous trahissent-ils et autres questions : http://www.slate.fr/story/73741/prism-nsa-francais --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
On 11.06.2013 11:58, Rémi Laurent wrote: * Raphaël Jacquot - 11-06-2013 à 11h49: On 11.06.2013 11:29, Christophe Baegert wrote: >100% d'accord. Après, avec Linux, ça sera pas forcément évident de >faire >du wirespeed... peut-être avec un proc de fou (vérifier le support du >multithread par openvpn, et ce sera un gouffre énergétique), ou >avec une >carte accélératrice (pareil, vérifier le support) c'est pas trop difficile, a condition d'utiliser les instructions AES intégrées aux processeurs... c'est la qu'il faut bien faire gaffe a avoir la bonne librairie SSL ;-) Oui, avec AES-NI sur des CPU Intel même entrée de gamme ça avance tout de même pas mal, je viens de faire quelques 'speed' tests avec un openssl 1.0.1 ça tourne à 200MB/s, même avec de petits blocs; il faut encore que je teste avec le bridge etc... mais c'est encourageant Merci pour vos réponses une autre possibilité serait d'utiliser une paire d'ubiquiti edge router lite, ca utilise du cavium octéon, et les vpn ipsec sont accélérés... --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Petite introduction à la sécurité Wi-Fi.
Salut tout le monde ! J'ai fais un petit dossier qui résume la sécurité du Wi-Fi. En gros, ça parle de WEP, WPA TKIP et WPA CCMP. Je le trouve plutôt cool et je me suis dis que ça pourrait peut-être en intéressé certains d'entre vous. Je ne suis pas un pro non plus, et des erreurs peuvent s'être glissées là dedans, si vous en repérez, n'hésitez pas à le dire. ;) Je sais aussi que j'ai un anglais encore plus catastrophique que mon français… Si l'envie vous prend de faire grève à votre boulot aujourd'hui et de me le corriger à la place de bosser, faites tourner vos clef ssh, que je vous ajoute dans mon dépôt Git pour que vous puissiez directement toucher au .tex. Ça sera plus simple. ^^" Le document est disponible ici : http://share.spyzone.fr/projects/wifi_security.pdf Bonne lecture pour les intéressés, et désolé du bruit sur la liste pour les autres ! --- Liste de diffusion du FRnOG http://www.frnog.org/