Re: [FRnOG] [TECH] DDoS / analyse de traffic
Bonjour la liste, Il y a aussi une solution netflow de Genie Networks qui a l’air pas mal… Est-ce qu’il y a qn qui l’utilise? Cordialement, Francois 2015-03-02 20:23 GMT+08:00 Julien Petiot juli...@radware.com: Bonjour, Les solutions contre les attaques DDos peuvent s’appuyer sur l’une des trois approches suivantes : protection sur site, dans le cloud ou hybride. Il est dans l’intérêt de chaque organisation d’examiner ces différentes solutions et d’évaluer celle qui correspond le mieux à ses besoins. Cordialement, Julien -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Alexandre Sent: lundi 2 mars 2015 09:05 To: frnog@frnog.org Subject: Re: [FRnOG] [TECH] DDoS / analyse de traffic J'ai oublié de vous demander si quelqu'un utilise Prolexic ? J'aimerai savoir ce que vous en pensez. Alex. On 01/03/15 18:52, Alexandre wrote: Salut, on va peut-être tester Prolexic (division akamai : http://www.akamai.com/html/solutions/prolexic-routed.html). Tu as plusieurs types de fonctionnement : - permanent : le trafic passe chez Prolexic en permanence, et livre que le trafic propre. - à la demande : une infime partie du trafic est envoyé chez Prolexic, s'il y a un problème, Prolexic prend en charge tout le trafic et livre le trafic propre. D'après ce que j'ai compris tu ne paies que le trafic nettoyé. Alex. On 26/02/15 19:02, Alexandre Allard-Jacquin wrote: Bonjour, De mémoire 180k € pour le boitier de détection et le boitier de mitigation (90k€ l'U) et tu mitiges 40Gb/s d'attaque environ. Cordialement, Alexandre On 26/02/2015 18:43, Christopher Johnson wrote: Est ce que quelqu'un a une idée des prix ds solutions Arbor PeakFlow SP CP ? Le 2015-02-26 17:06, Christopher Johnson a écrit : Bonjour, Depuis plusieurs mois j'ai constaté une recrudescence des attaques DDoS sur notre résaux. Nous avons déjà mis plusieurs solutions en places dont un blackhole BGP. Le problème ce situe au niveau de la détection des attaques. Pouvez vous me conseiller un bon software pour analyser le trafique via un port SAPN ? Cordialement, --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Christopher Johnson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Impédance ligne ana Pologne
Salut à tous, La question du jour : Un PABX branché en Pologne sur une ligne analogique ne fonctionne pas comme il faut (problème de détection de décroché, et autres bugs dans le genre). Tout fonctionnait bien sur ligne ana en France. Je soupçonne un différence de tension, impédance ou autre sur la ligne. (la pabx est un Aastra 5000) Quelquun aurait une idée ? Cordialement, Thomas Frezouls http://www.azatelecom.com/lib/img/signature_mail_logo.png tel fax email 01 83 62 40 39 01 83 62 40 40 tfrezo...@azatelecom.com http://www.azatelecom.fr/lib/img/signature_mail_trait.png Provider National SDSL et Fibre Optique Solutions dentreprises --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Remplacement solution IOS SLB
Bonjour, Merci pour ces infos utiles Je ferai un retour sur nos tests d'ici quelques temps. Cdt, Le 02/03/2015 18:35, Romain SIBILLE a écrit : Une idée me vient à l'esprit: keepalived (ou ldirectord mais je ne sais pas comment il fonctionne) pourrait placer la VIP sur une interface type loopback, ce qui aurait pour effet d'ajouter une route dans la table de routage de ton loadbalancer (route de type connected, sans next-hop). Ensuite, il suffirait de bien configurer les redistribute de ton daemon de routage, et ton LB serait vu par tes routeurs de coeur comme next-hop pour joindre la VIP. Du coup, le service tombe, keepalived retire la VIP de la loopback, la route connected disparait, et n'est donc plus annoncée par ton IGP à tes routeurs. A tester... et ne pas hésiter à me corriger si je raconte des bêtises... Cordialement, Romain Le 02/03/2015 18:16, Jérôme BERTHIER a écrit : Bonjour, Je vais creuser keepalived. Après un peu de lecture rapide, je vois effectivement qu'on peut déclencher des scripts selon les changements d'état donc influer sur un démon tiers. L'idéal serait de rendre keepalived directement acteur du routage mais ça peut faire l'affaire. Merci pour l'info Le 02/03/2015 17:45, Romain SIBILLE a écrit : Bonjour Jérôme, Je ne sais pas si ça répond exactement à ton besoin, mais keepalived permet plein de choses, comme par exemple lancer des scripts en cas de détection de changement d'état d'un service. As tu exploré cette piste en remplacement de ldirectord? Cordialement Romain Le 02/03/2015 17:18, Jérôme BERTHIER a écrit : Bonjour à tous, Je cherche une solution pour remplacer un service Cisco IOS SLB (test de vie + LB + injection de route). Deux raisons : 1) la feature n'est plus supportée par Cisco depuis longtemps sauf à conserver un IOS très ancien 2) les plateformes matérielles qui traitent le service sont vraiment en fin de vie et non maintenues Actuellement, nous utilisons ce service comme suit : - deux VIP sont dual homées en BGP sur deux sites distants (une VIP prioritaire / site) - sur chaque site : - le service est testé par des probes SLB TCP - les deux VIP sont mappées en priorité sur le serveur réel local puis en backup sur le serveur réel de l'autre site - les deux VIP sont annoncées dans l'aire ospf du site. Ces annonces alimentent les routeurs WAN pour déclencher l'annonce eBGP. - en cas de plantage du service, la VIP tombe, l'annonce ospf disparait, la route disparait sur les routeurs WAN et ça coupe l'annonce eBGP du site concerné. En jouant avec ip sla + nat, on arrive à approcher un fonctionnement similaire mais avec une limite côté NAT statique : impossible de mapper deux VIP (adresse globale) sur une même adresse réelle (adresse locale). Pour l'instant, on met de côté cette solution. En parallèle, on utilise du load balancing Linux LVS. Pour l'instant, on n'a pas trouvé comment attacher l'état ldirectord à un démon ospf. Ce serait pourtant peut être la piste la plus prometteuse. Au final, on a surtout besoin des fonctionnalités test de vie + injection de route. La partie LB est facultative puisque on a déjà un RR DNS. Je précise que, pour l'instant, pas de budget à engager pour cela donc on écarte les produits dédiés type F5, A10... Auriez-vous des pistes à me conseiller d'explorer ? Merci d'avance -- Jérôme BERTHIER --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Impédance ligne ana Pologne
Bonjour, Cela est due à la configuration du T0 si par ligne analogique tu entend ligne RNIS. Dans le logiciel de conf de l'alcatel tu peux choisir à quel pays s'applique la ligne dans Acces ligne concerné Envoyé de mon iPhone Le 3 mars 2015 à 14:33, Denis VINCIGUERRA de...@vinciguerra.fr a écrit : Bonjour, Au vu de la description du problème, pour de l'analogique, je m'orienterais sur des tonalités mal détectées par le PABX ( les tonalités d'occupation, déconnexion, sonnerie en cours..), dont les valeurs peuvent varier selon les pays. J'ai déjà eu des galères de ce type, plutôt sur des boitiers FXS=IP, et j'avais dû modifier ces valeurs, ou bien tout simplement choisir le bon pays dans la partie configuration du port FXS. Exemple de tonalité qui diffère selon les pays: https://supportforums.cisco.com/discussion/11817151/spa-3201-disconnect-tone-wav-file-and-tone-script En espérant que ca te donne des pistes pour résoudre le problème. Denis Le 3 mars 2015 14:04, David Ponzone david.ponz...@gmail.com a écrit : Le monde de l’analogique est loin d’être simple (ground-start, loop-start, etc…). J’ai cependant du mal à croire que la Pologne soit sur un standard très différent de nous, étant donné que leur réseau repose sur les mêmes équipements Siemens/Alcatel/Ericsson qu’Orange et qu’Orange est actionnaire de Poland Telecom à plus de 50%. Il y a des petites subtilités, donc tu devrais plutôt poser la question à Aastra…ahem..pardon…Mitel, car j’imagine que le 5000 est distribué en Pologne. Il y a peut-être une autre version de la carte LR. Le 3 mars 2015 à 13:40, Thomas Frezouls tfrezo...@azatelecom.com a écrit : Salut à tous, La question du jour : Un PABX branché en Pologne sur une ligne analogique ne fonctionne pas comme il faut (problème de détection de décroché, et autres bugs dans le genre). Tout fonctionnait bien sur ligne ana en France. Je soupçonne un différence de tension, impédance ou autre sur la ligne. (la pabx est un Aastra 5000) Quelqu’un aurait une idée ? Cordialement, Thomas Frezouls http://www.azatelecom.com/lib/img/signature_mail_logo.png tel fax email 01 83 62 40 39 01 83 62 40 40 tfrezo...@azatelecom.com http://www.azatelecom.fr/lib/img/signature_mail_trait.png Provider National SDSL et Fibre Optique Solutions d’entreprises --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Impédance ligne ana Pologne
Alors là, tout de suite 2 réactions: -si Thomas confond analogique et RNIS, on va l’envoyer sur une autre ML :) -à priori, je pense que la Pologne est en Euro-RNIS/EDSS1 ( comme nous, donc la même configuration doit marcher) Le 3 mars 2015 à 17:25, Paul Birnbaum p...@birnbaum.io a écrit : Bonjour, Cela est due à la configuration du T0 si par ligne analogique tu entend ligne RNIS. Dans le logiciel de conf de l'alcatel tu peux choisir à quel pays s'applique la ligne dans Acces ligne concerné Envoyé de mon iPhone Le 3 mars 2015 à 14:33, Denis VINCIGUERRA de...@vinciguerra.fr a écrit : Bonjour, Au vu de la description du problème, pour de l'analogique, je m'orienterais sur des tonalités mal détectées par le PABX ( les tonalités d'occupation, déconnexion, sonnerie en cours..), dont les valeurs peuvent varier selon les pays. J'ai déjà eu des galères de ce type, plutôt sur des boitiers FXS=IP, et j'avais dû modifier ces valeurs, ou bien tout simplement choisir le bon pays dans la partie configuration du port FXS. Exemple de tonalité qui diffère selon les pays: https://supportforums.cisco.com/discussion/11817151/spa-3201-disconnect-tone-wav-file-and-tone-script En espérant que ca te donne des pistes pour résoudre le problème. Denis Le 3 mars 2015 14:04, David Ponzone david.ponz...@gmail.com a écrit : Le monde de l’analogique est loin d’être simple (ground-start, loop-start, etc…). J’ai cependant du mal à croire que la Pologne soit sur un standard très différent de nous, étant donné que leur réseau repose sur les mêmes équipements Siemens/Alcatel/Ericsson qu’Orange et qu’Orange est actionnaire de Poland Telecom à plus de 50%. Il y a des petites subtilités, donc tu devrais plutôt poser la question à Aastra…ahem..pardon…Mitel, car j’imagine que le 5000 est distribué en Pologne. Il y a peut-être une autre version de la carte LR. Le 3 mars 2015 à 13:40, Thomas Frezouls tfrezo...@azatelecom.com a écrit : Salut à tous, La question du jour : Un PABX branché en Pologne sur une ligne analogique ne fonctionne pas comme il faut (problème de détection de décroché, et autres bugs dans le genre). Tout fonctionnait bien sur ligne ana en France. Je soupçonne un différence de tension, impédance ou autre sur la ligne. (la pabx est un Aastra 5000) Quelqu’un aurait une idée ? Cordialement, Thomas Frezouls http://www.azatelecom.com/lib/img/signature_mail_logo.png tel fax email 01 83 62 40 39 01 83 62 40 40 tfrezo...@azatelecom.com http://www.azatelecom.fr/lib/img/signature_mail_trait.png Provider National SDSL et Fibre Optique Solutions d’entreprises --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Impédance ligne ana Pologne
Bonjour, Au vu de la description du problème, pour de l'analogique, je m'orienterais sur des tonalités mal détectées par le PABX ( les tonalités d'occupation, déconnexion, sonnerie en cours..), dont les valeurs peuvent varier selon les pays. J'ai déjà eu des galères de ce type, plutôt sur des boitiers FXS=IP, et j'avais dû modifier ces valeurs, ou bien tout simplement choisir le bon pays dans la partie configuration du port FXS. Exemple de tonalité qui diffère selon les pays: https://supportforums.cisco.com/discussion/11817151/spa-3201-disconnect-tone-wav-file-and-tone-script En espérant que ca te donne des pistes pour résoudre le problème. Denis Le 3 mars 2015 14:04, David Ponzone david.ponz...@gmail.com a écrit : Le monde de l’analogique est loin d’être simple (ground-start, loop-start, etc…). J’ai cependant du mal à croire que la Pologne soit sur un standard très différent de nous, étant donné que leur réseau repose sur les mêmes équipements Siemens/Alcatel/Ericsson qu’Orange et qu’Orange est actionnaire de Poland Telecom à plus de 50%. Il y a des petites subtilités, donc tu devrais plutôt poser la question à Aastra…ahem..pardon…Mitel, car j’imagine que le 5000 est distribué en Pologne. Il y a peut-être une autre version de la carte LR. Le 3 mars 2015 à 13:40, Thomas Frezouls tfrezo...@azatelecom.com a écrit : Salut à tous, La question du jour : Un PABX branché en Pologne sur une ligne analogique ne fonctionne pas comme il faut (problème de détection de décroché, et autres bugs dans le genre). Tout fonctionnait bien sur ligne ana en France. Je soupçonne un différence de tension, impédance ou autre sur la ligne. (la pabx est un Aastra 5000) Quelqu’un aurait une idée ? Cordialement, Thomas Frezouls http://www.azatelecom.com/lib/img/signature_mail_logo.png tel fax email 01 83 62 40 39 01 83 62 40 40 tfrezo...@azatelecom.com http://www.azatelecom.fr/lib/img/signature_mail_trait.png Provider National SDSL et Fibre Optique Solutions d’entreprises --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Impédance ligne ana Pologne
Le monde de l’analogique est loin d’être simple (ground-start, loop-start, etc…). J’ai cependant du mal à croire que la Pologne soit sur un standard très différent de nous, étant donné que leur réseau repose sur les mêmes équipements Siemens/Alcatel/Ericsson qu’Orange et qu’Orange est actionnaire de Poland Telecom à plus de 50%. Il y a des petites subtilités, donc tu devrais plutôt poser la question à Aastra…ahem..pardon…Mitel, car j’imagine que le 5000 est distribué en Pologne. Il y a peut-être une autre version de la carte LR. Le 3 mars 2015 à 13:40, Thomas Frezouls tfrezo...@azatelecom.com a écrit : Salut à tous, La question du jour : Un PABX branché en Pologne sur une ligne analogique ne fonctionne pas comme il faut (problème de détection de décroché, et autres bugs dans le genre). Tout fonctionnait bien sur ligne ana en France. Je soupçonne un différence de tension, impédance ou autre sur la ligne. (la pabx est un Aastra 5000) Quelqu’un aurait une idée ? Cordialement, Thomas Frezouls http://www.azatelecom.com/lib/img/signature_mail_logo.png tel fax email 01 83 62 40 39 01 83 62 40 40 tfrezo...@azatelecom.com http://www.azatelecom.fr/lib/img/signature_mail_trait.png Provider National SDSL et Fibre Optique Solutions d’entreprises --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Remplacement solution IOS SLB
Bonjour, De notre côté, nous utilisons un setup IPVS/LVS-TUN en conjonction avec Keepalived, Quagga, et un peu de scripting en Bash. Cela permet d'envisager en effet une infrastructure de services multihomés, scalable, résiliente aux différents cas de panne/maintenances (realserver, LVS, site entier). Il faut y ajouter un petit outillage d'annonce/suppression de VIP. https://github.com/sfr-network-service-platforms/multihoming-quagga-bgp-mgt A adapter en fonction du contexte (IGP/EGP, logique de poids, techno d'accès choisie en amont - DNS/anycast/whatever, etc.). Au besoin pousser vers des choses un peu plus future-proof avec ExaBGP et une logique applicative solide autour. A la fin ça s'appellera un micro-SDN, mais bon on a déjà dépassé le besoin. -- Pierre Le 3 mars 2015 16:40, Jérôme BERTHIER j...@laposte.net a écrit : Bonjour, En combinant les annonces iBGP conditionnées aux tests de vie avec du NAT pour mapper les VIP vers le serveur réel du site, il me semble que ça répond au besoin. Je vais regarder ça. Merci pour les infos Cdt, -- Jérôme BERTHIER --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Impédance ligne ana Pologne
Je fais encore la différence entre T0/RNIS et ligne analogique... Je parle de port LR sur l'A5000. Cordialement, Thomas Frezouls tel : 01 83 62 40 39 fax : 01 83 62 40 40 email : tfrezo...@azatelecom.com AZA Telecom 58 avenue de Wagram 75017 Paris -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de David Ponzone Envoyé : mardi 3 mars 2015 17:42 À : Paul Birnbaum Cc : Denis VINCIGUERRA; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Impédance ligne ana Pologne Alors là, tout de suite 2 réactions: -si Thomas confond analogique et RNIS, on va lenvoyer sur une autre ML :) -à priori, je pense que la Pologne est en Euro-RNIS/EDSS1 ( comme nous, donc la même configuration doit marcher) Le 3 mars 2015 à 17:25, Paul Birnbaum p...@birnbaum.io a écrit : Bonjour, Cela est due à la configuration du T0 si par ligne analogique tu entend ligne RNIS. Dans le logiciel de conf de l'alcatel tu peux choisir à quel pays s'applique la ligne dans Acces ligne concerné Envoyé de mon iPhone Le 3 mars 2015 à 14:33, Denis VINCIGUERRA de...@vinciguerra.fr a écrit : Bonjour, Au vu de la description du problème, pour de l'analogique, je m'orienterais sur des tonalités mal détectées par le PABX ( les tonalités d'occupation, déconnexion, sonnerie en cours..), dont les valeurs peuvent varier selon les pays. J'ai déjà eu des galères de ce type, plutôt sur des boitiers FXS=IP, et j'avais dû modifier ces valeurs, ou bien tout simplement choisir le bon pays dans la partie configuration du port FXS. Exemple de tonalité qui diffère selon les pays: https://supportforums.cisco.com/discussion/11817151/spa-3201-disconne ct-tone-wav-file-and-tone-script En espérant que ca te donne des pistes pour résoudre le problème. Denis Le 3 mars 2015 14:04, David Ponzone david.ponz...@gmail.com a écrit : Le monde de lanalogique est loin dêtre simple (ground-start, loop-start, etc ). Jai cependant du mal à croire que la Pologne soit sur un standard très différent de nous, étant donné que leur réseau repose sur les mêmes équipements Siemens/Alcatel/Ericsson quOrange et quOrange est actionnaire de Poland Telecom à plus de 50%. Il y a des petites subtilités, donc tu devrais plutôt poser la question à Aastra ahem..pardon Mitel, car jimagine que le 5000 est distribué en Pologne. Il y a peut-être une autre version de la carte LR. Le 3 mars 2015 à 13:40, Thomas Frezouls tfrezo...@azatelecom.com a écrit : Salut à tous, La question du jour : Un PABX branché en Pologne sur une ligne analogique ne fonctionne pas comme il faut (problème de détection de décroché, et autres bugs dans le genre). Tout fonctionnait bien sur ligne ana en France. Je soupçonne un différence de tension, impédance ou autre sur la ligne. (la pabx est un Aastra 5000) Quelquun aurait une idée ? Cordialement, Thomas Frezouls http://www.azatelecom.com/lib/img/signature_mail_logo.png tel fax email 01 83 62 40 39 01 83 62 40 40 tfrezo...@azatelecom.com http://www.azatelecom.fr/lib/img/signature_mail_trait.png Provider National SDSL et Fibre Optique Solutions dentreprises --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
