RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
> Jonathan Roule a écrit : > Je me demande si ton raisonnement n'est pas ici un poil naïf. Tu pars du > principe que dans un monde sans > NAT, le pare-feu d'une box resterait une passoire mais personne ne sait si ce > serait vraiment le cas. Ah, est-ce que tu as un exemple GP qui n'est pas une passoire, NAT ou pas NAT ? > Les FAI GP ne pouvant pas compter sur le NAT et ne souhaitant pas que leur > client soit à poil sur le net > auraient peut-être tenter plus des choses niveau sécurité. Je suis peut-être > candide en penssant ça, Plus qu'un peu. Tu crois que les FAI GP maitrisent ce genre de chose ? Tiens je te donne un exemple : mon FAI c'est Comcast. J'ai, en plus de l'Internet, une ligne téléphonique. VOIP (naturellement) avec un port POTS FXS analogue. Eh bien j'ai 2 machinbox, une pour la voix et une pour l'Internet, et ce malgré que la machinbox pour l'Internet ait aussi 2 ports PORTS FXS analogues. Les 2 box ont la fonctionnalité ATA, et pourtant j'en ai 2. Sont pas foutus de faire tout marcher sur 1 box, tu crois qu'il peuvent faire du pare-feu ou de la sécurité ? > je l'avoue mais ton raisonnement me paraît un brin simplificateur. Je l'admets volontiers, car il ne faut pas généraliser. Ceci étant dit, il y a bien des cas ou c'est vrai. > Xavier Beaudouin a écrit : > Donc entre du NAT et un firewall statefull y a aucune différence à part la > réécriture de source. Exactement, et les deux se traversent de la même façon. > Chacun sait que le Nat fait office de diode, qui permet d'exposer uniquement > ce qui nécessaire > d'exposer sur l'internet des méchants. (Je ne parle pas cette saloperie > d'UPNP qui a été ultra > utilisé par les botnet et autres trucs pour justement bypasser cette > "protection"). Et maintenant, au lieu d'uPNP (qui n'est heureusement plus à la mode), on fait du slipstreaming. La diode, malheureusement elle reste relativement facile à ouvrir de l'intérieur. UPNP c'était facile, mais c'est pas parce que ça a pratiquement disparu qu'il faut crier victoire. Exposer les services internes, même sans uPNP, çà se fait toujours, surtout en UDP. Il y a de l'espoir, mais la route est longue. NAT ou pas, le principe de tous les pare-feu a état est qu'ils ouvrent un ou plusieurs trous temporaires pour permettre au contenu de revenir vers l'utilisateur, et je suis convaincu que l'on n'en est qu'au début des techniques qui consistent à faire croire à l'état d'ouvrir les trous à des fins malicieuses. Tant qu'il y aura des protocoles comme SIP qui utilisent plusieurs ports (dont certains dynamiques), il y aura des ALG pour ouvrir les trous, l'état de la session autorisera plusieurs ports, et il y aura des petits malins qui comprendront comment un paquet correctement conçu peut ouvrir les trous. > Mais dans l'exemple on a oublié ce qui se fait déjà en IPv6 sans cette > saloperie de NAT, et > sincèrement, j'espère que je ne verrai pas de NAT v6 avant qu'on me mette > entre 4 planches. NAT64, 464XLAT, CLAT, PLAT, MAP-E, MAP-T, RFC6877, RFC6145, RFC6146, DNS64. Et j'en oublie surement. Je suis inquiet pour ta santé :P Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [TECH] Re : [FRnOG][TECH] Soft pour gestion câblage
Le Sun, Feb 07, 2021 at 12:01:20PM +, Sébastien 65 a écrit: > Merci à tous :) > Pour le moment toutes les réponses même en Off m'oriente vers Netbox. Je vais > regarder ça. Tu peux aussi regarder du côté de RackTables, il doit pouvoir faire l'affaire. Arnaud. --- Liste de diffusion du FRnOG http://www.frnog.org/
[TECH] Re : [FRnOG][TECH] Soft pour gestion câblage
Merci à tous :) Pour le moment toutes les réponses même en Off m'oriente vers Netbox. Je vais regarder ça. De : Pascal Cabaud Envoyé : dimanche 7 février 2021 10:46 À : Sébastien 65 Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Soft pour gestion câblage Bonjour, Netbox fait le job facilement tant qu’on ne cherche pas à gérer l’accès. Il faut créer un device-type par fourreau (genre 36 mono...), mettre des rear-points, les connecter aux front-ports. Pour créer un fourreau, instancier le câble avec ces device-types dans chaque baie. Il ne reste plus qu’à documenter les connexions aux front-ports. pc -- Pascal Cabaud > Le 7 févr. 2021 à 10:21, Sébastien 65 a écrit : > > Bonjour à tous, > > Est-ce que quelqu'un sait me dire s'il existe un logiciel de gestion de > câblage cuivre/fibre ? > > Pour le moment j'utilise Excel mais pas super pratique... J'ai besoin > d'identifier chaque extrémité+position d'un tiroir d'une armoire X vers Y. > > Vous répertoriez vos brassages/mmr avec quoi ? > > Merci > > > > --- > Liste de diffusion du FRnOG > https://emea01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2Fdata=04%7C01%7C%7C87ae8e0edd104b33856308d8cb4d2f27%7C84df9e7fe9f640afb435%7C1%7C0%7C637482879641214959%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000sdata=s3SKAnOZtog5NnhD50gCxUJlrTwc27c3q82rRcloKfQ%3Dreserved=0 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Soft pour gestion câblage
Bonjour, Netbox fait le job facilement tant qu’on ne cherche pas à gérer l’accès. Il faut créer un device-type par fourreau (genre 36 mono...), mettre des rear-points, les connecter aux front-ports. Pour créer un fourreau, instancier le câble avec ces device-types dans chaque baie. Il ne reste plus qu’à documenter les connexions aux front-ports. pc -- Pascal Cabaud > Le 7 févr. 2021 à 10:21, Sébastien 65 a écrit : > > Bonjour à tous, > > Est-ce que quelqu'un sait me dire s'il existe un logiciel de gestion de > câblage cuivre/fibre ? > > Pour le moment j'utilise Excel mais pas super pratique... J'ai besoin > d'identifier chaque extrémité+position d'un tiroir d'une armoire X vers Y. > > Vous répertoriez vos brassages/mmr avec quoi ? > > Merci > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Soft pour gestion câblage
Bonjour, Vous pouvez regarder Netbox qui fait aussi la représentation complète des baies : https://netbox.readthedocs.io/en/stable/ Cordialement. -Message d'origine- De : frnog-requ...@frnog.org De la part de Sébastien 65 Envoyé : dimanche 7 février 2021 10:21 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] Soft pour gestion câblage Bonjour à tous, Est-ce que quelqu'un sait me dire s'il existe un logiciel de gestion de câblage cuivre/fibre ? Pour le moment j'utilise Excel mais pas super pratique... J'ai besoin d'identifier chaque extrémité+position d'un tiroir d'une armoire X vers Y. Vous répertoriez vos brassages/mmr avec quoi ? Merci --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Soft pour gestion câblage
Bonjour à tous, Est-ce que quelqu'un sait me dire s'il existe un logiciel de gestion de câblage cuivre/fibre ? Pour le moment j'utilise Excel mais pas super pratique... J'ai besoin d'identifier chaque extrémité+position d'un tiroir d'une armoire X vers Y. Vous répertoriez vos brassages/mmr avec quoi ? Merci --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
[En résumé] le nat c'est une chienlit, avoir une ip publique c'est mieux, mais "cay pas sécurisay" [/En résumé] > Je me demande si ton raisonnement n'est pas ici un poil naïf. > > Tu pars du principe que dans un monde sans NAT, le pare-feu d'une box > resterait > une passoire mais personne ne sait si ce serait vraiment le cas. A l'heure > actuelle, vu que le NAT permet une sécurité basique, effectivement, les box > opérateurs ont des pare-feu rudimentaires mais rien ne permets d'affirmer que > ça aurait été le cas sans NAT en fait. > > Les FAI GP ne pouvant pas compter sur le NAT et ne souhaitant pas que leur > client soit à poil sur le net auraient peut-être tenter plus des choses niveau > sécurité. Je suis peut-être candide en penssant ça, je l'avoue mais ton > raisonnement me paraît un brin simplificateur. Alors je ne sais pas si Michel ou toi est un poil naïf. Chacun sait que le Nat fait office de diode, qui permet d'exposer uniquement ce qui nécessaire d'exposer sur l'internet des méchants. (Je ne parle pas cette saloperie d'UPNP qui a été ultra utilisé par les botnet et autres trucs pour justement bypasser cette "protection"). Mais dans l'exemple on a oublié ce qui se fait déjà en IPv6 sans cette saloperie de NAT, et sincèrement, j'espère que je ne verrai pas de NAT v6 avant qu'on me mette entre 4 planches. Sur les FAI grand public et mobiles on a souvent une IPv6 global unicast, mais... il y a un équipement : la machin box ou un routeur core, qui fait JUSTEMENT la même chose que le NAT : un firewall statefull. L'un des grands avantages de ce genre de choses c'est que par exemple mon préfixe v6 qui m'as été donné par mon ISP ne change pas (coucou a certains ISP qui n'ont pas compris que de changer de préfixe IPv6 tous les 24h fait que les gens DÉSACTIVENT l'IPv6 chez eux), je peux donc donner UNE ipv6 correspondant à UNE machine chez moi pour accéder a un certain service (moyennant que l'user ai mis une ipv6 fixe a sa machine). Donc entre du NAT et un firewall statefull y a aucune différence à part la réécriture de source. Donc non le NAT n'apporte pas de fonctionalités supplémentaire et n'importe que ARM avec 4Mo de RAM est capable de faire ce truc de base. Donc l'argument les FAI feraient autre chose n'est pas valable. Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Les âneries que les vendeurs nous racontent
Michel, Je me demande si ton raisonnement n'est pas ici un poil naïf. Tu pars du principe que dans un monde sans NAT, le pare-feu d'une box resterait une passoire mais personne ne sait si ce serait vraiment le cas. A l'heure actuelle, vu que le NAT permet une sécurité basique, effectivement, les box opérateurs ont des pare-feu rudimentaires mais rien ne permets d'affirmer que ça aurait été le cas sans NAT en fait. Les FAI GP ne pouvant pas compter sur le NAT et ne souhaitant pas que leur client soit à poil sur le net auraient peut-être tenter plus des choses niveau sécurité. Je suis peut-être candide en penssant ça, je l'avoue mais ton raisonnement me paraît un brin simplificateur. 7 févr. 2021, 08:15 de mic...@arneill-py.sacramento.ca.us: >> Oliver Varenne a écrit : >> Alors crier sur le NAT tout le temps, je conçois, mais ça n'est pas quelque >> chose qui va faire avancer le schmilblick. >> > > En plus, il y a des cas ou NAT, ça fait un peu pour la sécurité. > > Pour simplifier, prenons l'exemple répandu d'un site PME avec 1 IP publique. > Généralement, ça serait plutôt 5 utilisables, mais 1 ça simplifie. > > Sur cette IP, il y a souvent un service ouvert vers l'extérieur : HTTPS > (souvent plus, mais je simplifie aussi). > La réalité, c'est que le "pare-feu" est souvent la machinbox du FAI, qui ne > fait pas grand-chose à part la fonction "diode", et que "l'ingénieur réseau" > a ouvert le port 443 vers l'adresse du serveur qui fait Web/OWA/SSTP. Normal, > il faut que le serveur soit accessible de l'Internet. Et quand c'est pas la > machinbox, j'essaie de pas être méchant mais Linksys et Netgear, euh comme > pare-feu je passe. > > Là ou NAT aide : l'autre serveur interne (celui qui n'a pas le port "ouvert") > qui aussi a une page HTTPS, (je dévie : sans le certificat qui va, et que les > utilisateurs y sont tellement habitués qu'ils ne regardent même plus le > message qui dit que la sécurité est pas bonne), il n'est pas exposé. > > Pourquoi : parce que le port 443, avec NAT, il est configuré pour n'aller que > sur le serveur qui est exposé vers l'extérieur. > Malgré tout ce que les merdiciels qui exposent les hôtes derrière NAT peuvent > faire, ils ne vont pas re-router le port configuré manuellement. > > Dans la pratique : Claude Michu a 1 adresse IP publique 30.123.123.123/32. > Tout est derrière NAT; a l'intérieur, le "routeur" a une IP de 192.168.1.1/24 > et le serveur 192.168.1.2/24. > L'ingénieur réseau a ouvert le port 443 dans le "routeur" pour permettre les > requêtes pour 30.123.123.123:443 d'être NATées sur 192.168.1.2:443. Tout le > monde est content. > > Là ou NAT ça aide un peu : l'autre serveur 192.168.1.3:443, il n'est pas > exposé. Pourquoi : à parce que le port 443, il a été configuré pour aller > vers 192.168.1.2:443, pas vers 192.168.1.3:443. > Le serveur 192.168.1.3:443, comme il est "privé", la sécurité fait chier tout > le monde donc n'est pas sécurisé. > > Pourquoi NAT ça sert un peu encore à quelque chose : imaginons un monde sans > NAT, ou il n'y a pas de pénurie. Au lieu d'une IP publique, Claude Michu a un > /24 : > 286.123.321.0/24. (*) Comme il n'y a pas de NAT, naturellement il n'y a plus > de RFC1918 et donc le serveur qui était 192.168.1.2 devient 286.123.321.2 et > le serveur qui était 192.168.1.3 devient 286.123.321.3. > Pas de NAT, ça veut dire qu'on met une IP publique sur chaque machine. C'est > la raison de ne pas avoir NAT : traverser NAT c'est une chienlit, tout le > monde le sait. Donc au lieu de configurer le serveur avec une adresse > RFC1918, on lui donne une IP publique, unique, qui évite la chienlit de NAT > et les conflits quand les entreprises fusionnent. La raison de ne pas avoir > NAT, c'est d'éviter NAT, non ? plus de conflit d'adresse, plus d'ALG, plus de > chienlit avec les protocoles de merde qui encapsulent l'adresse à l'intérieur > du payload. Host-to-host direct, la transparence; NAT ça casse le modèle (**). > > Eh bien, sans NAT, le serveur 286.123.321.3 il est à poil sur l'Internet. > Avec une IP publique, sans pare-feu, c'est du suicide. Même si le pare-feu > interne à chaque machine a fait des progrès considérables, exposer un serveur > privé à l'Internet entier, c'est du suicide. > > Je vous vois venir : ah mais, Claude Michu, elle a un "pare-feu" (ouais, la > machinbox du FAI) qui interdit les connexions venant de l'extérieur. > Faux. Utilisant exactement les mêmes outils qui exposent les services > derrière une IP privée à travers NAT (slipstream), l'attaqueur va exposer > l'autre serveur. > Avec NAT, il n'y a qu'un seul hôte en interne qui est exposé; configuré > statiquement; 1 IP publique, 1 hôte vulnérable sur le port en entrée. Sans > NAT, si chaque hôte a une adresse publique, tous les merdiciels qui "ouvrent" > le NAT stateful diode vont exposer le port du machin IOT pas protégé. > > Le bousin IOT à 192.168.1.3:443, il est protégé par NAT si il y a un serveur > à
