Re: [FRnOG] [TECH] ISCSI à travers fibre opérateur
2017-09-13 10:34 GMT+02:00 Aladin FABIOUX : > Bonjour, Bonjour, > Suite à une remarque pertinente d'un de nos consultants, nous remettons en > cause un montage ISCSI à travers une fibre opérateur. Je vous explique: > Nous avons 2 sites reliés en fibre 1Gb chez Celeste (environ 8km). Cela > permet l'extension parfaite de notre réseau sur le site secondaire. > A travers cette fibre transit la totalité de nos VLAN, ainsi qu'un réseau de > stockage ISCSI. > Ce réseau de stockage nous sert à monter la baie SAN du site principal sur > l'ESX (de secours) du site secondaire. Ce réseau de stockage n'est utilisé > qu'en cas d'incident sur l'ESX principal, dans le cas où il faut démarrer les > VM à partir de l'ESX secondaire (donc à travers la fibre). Ma question est la > suivante: Il n'y a pas de stockage sur le site de secours? > * Est-ce que ce montage est sans risque ? Quelles incidences (négatives) ? Est-ce que vous utilisez un MTU différent sur le réseau de stockage? Si oui, il faut peut-être vérifier si les équipements réseaux savent gérer plusieurs MTU. Si non, il faudrait y songer. De mon expérience, les perfs sont meilleures avec un MTU à 9000 et tous les paramètres qui vont bien (tcp offload, redondance de liens, etc). Mais ça fait quelques années que je n'y ai pas touché. > > Merci, j'espère que c'est assez clair. > > Concernant l'état de cet infra, évidement 2 ESX sur le site principal > règleraient le problème, mais ce n'est pas l'objet de ma question ;-) Pourquoi ne pas mettre une réplique de la baie de stockage sur le site de secours et configurer l'ESX de secours pour utiliser la réplique? Au moins si le site principal tombe, le site de secours se suffit à lui même, au moins de ce point de vue la. > > Aladin. Benoit --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Bonjour, 2011/7/3 e-t172 > Il est un peu facile cet argument. Si les attaques ne se font pas par > connexion IP directe c'est justement parce que le pékin moyen (ou plutôt > devrais-je dire « victime moyenne ») a une box de FAI qui, justement, fait du > NAT et ne laisse donc pas passer par défaut les connexions entrantes. Il est possible de bloquer les connexions entrantes sans faire du NAT. Ca s'appelle du filtrage. Voir à ce sujet la RFC 6204 (Basic Requirements for IPv6 Customer Edge Routers) présentée ici il y a une paire de mois. > À l'époque ou la plupart des gens avaient une adresse publique sur leur PC, > les attaques se faisaient bien par connexion directe (exemple : Blaster). Si, > avec IPv6, tout le monde récupère à nouveau des adresses publiques non > protégées, je te parie ma chemise que la vermine va de nouveau exploiter ce > vecteur de transmission. La plupart des systèmes modernes (supportant IPv6) utilisés par des particuliers fournissent en standard un pare-feu qui bloque par défaut les connexions entrantes. Quoique j'imagine qu'en IPv6 certains ports (partage de fichiers?) vont être ouvert sur le lien local ou aux connexions provenant du même préfixe. > Le principal problème est que, apparemment, il subsiste des gens qui ne > comprennent pas qu'un simple pare-feu qui filtre les connexions entrantes > offre une sécurité exactement identique à un NAT IPv4 typique, mais avec des > inconvénients en moins. Parce que même si le NAT permet de filtrer les connexions entrantes, le pare-feu offre des avantages en plus? > Personnellement, je suis un fervent partisan du End-to-End Principle, et par > conséquent, je milite pour que ce genre de filtrage de connexions se fasse > sur la machine finale, pas sur un nœud du réseau, parce que ça permet > d'utiliser un pare-feu applicatif qui est bien mieux placé pour prendre ces > décisions qu'une boite noire branchée sur un câble. Et qu'on ne vienne pas me > dire que c'est pas Michu-compliant : la configuration par défaut du pare-feu > de Windows depuis XP SP2 offre une sécurité au moins équivalente à un NAT. > Mais j'imagine que c'est là encore une idée à ranger dans le monde des > bisounours. Comment peut-on être partisan du End-to-End Principle *et* du NAT? Est-ce que ce n'est pas antinomique? -- Cdlt B. Garcia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Obligation de notification des incidents de sécurité
Bonjour, 2012/7/25 Guillaume Barrot : > Donc même si Madame Michu ne sera pas concernée directement, son hébergeur > si ... Je pense que les opérateurs d'importance vitale visés par cette règle sont ceux offrant des services _indispensables_ au fonctionnement du pays ou à la survie des habitants. J'en déduis que ces règles devraient s'appliquer aux distributeurs d'eau ou d'électricité, aux banques (ainsi qu'aux plates-formes d'échanges inter-bancaire) ou aux société possédant ou exploitant des liaisons indispensable aux précédentes plutôt qu'aux hébergeurs "grand public". -- Cdlt, B. Garcia --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Le filtrage d'In ternet est-il inéluctable ?
Bonjour, 2009/2/15 Jérôme Nicolle > > 2009/2/15 Radu-Adrian Feurdean > >> L'argument du gouvernement c'estait le fait de tomber *ACCIDENTALEMENT* >> sur les sites indesirables. >> > > C'est là que je me rends compte que je suis une brèle sur Internet, même en > cherchant (un peu), j'ai jamais réussi à "tomber accidentellement" sur ce > genre de saloperies. Je crois que les cellules de la gendarmerie font > suffisamment bien leur boulot à ce niveau. La pédophilie comme prétexte au > filtrage, ce n'est qu'une excuse purement démagogique. > Autant en profiter alors: Il suffit d'aller voir les médias ainsi que les différentes associations qui se battent contre la pédophilie et de leur expliquer que l'Etat va dépenser une somme substantielle (quelqu'un est capable de chiffrer ce montant au passage?) pour du vent quelle sera leur réaction? D'autant plus que cette argent pourrait être dépensé de manière plus utile et plus constructive. En vrac la recherche, la prévention, l'éducation, le traitement des pédophiles avérés et la coopération internationale. -- Cdlt, Benoit
[FRnOG] Re: [FRnOG] Re: [FRnOG] Règles sur les envois de ma il en masse
2009/4/1 > Mais qui sont les conseillers techniques de la "ministre de la culture" > ?... des noms des noms ! > > Il faut les inviter et leurs decerner la palme au prochain Frnog... C'est carrément un prix Nobel qu'il faut leur décerner: Ces gens sont en train de prouver de manière scientifique que le ridicule ne tue pas! -- Cdlt, Benoit
Re: [FRnOG] Minitel 2.0 : la toile continue de se tisser
2009/4/17 Pierre Col > Tiens à propos de LOPSI 2, extrait de cet article > > http://www.lefigaro.fr/actualite-france/2009/04/03/01016-20090403ARTFIG7-facebook-ou-myspace-une-mine-d-or-pour-la-police-.php > > J'aime beaucoup cette citation: "A quoi bon multiplier les fichiers de police, puisque les individus étalent aujourd'hui leur vie et leurs penchants sur la Toile, sans même imaginer que ces informations vont devenir numériquement indélébiles" A quand l'obligation de créer un compte sur facebook pour remplacer les fiches d'Etat Civil et autres livrets de famille? -- Cdlt, Benoit
[FRnOG] [BIZ] Revendeur de licences Broadcom
Bonjour à tous, Je cherche un revendeur Broadcom capable de répondre à des questions sur le logiciel MegaRaid SafeStore, et potentiellement capable de me vendre des licences derrière. Le but est de faire de l'encryption at rest et de la destruction de données sur des contrôleurs LSI 9260-8i. Si vous vendez ça, ou si vous connaissez quelqu'un qui en vend, n'hésitez pas à me contacter hors liste. Je prend également les retours d'expérience sur le sujet. Merci d'avance. -- Cordialement, Benoit Garcia --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Talking Bots with Japan’s ‘Cyber Cle an Center’
On Tue, Mar 2, 2010 at 8:36 PM, jul wrote: > > Article intéressant sur la gestion des botnets par les ISP japonais. > > http://www.krebsonsecurity.com/2010/03/talking-bots-with-japans-cyber-clean-center/ > > Je me demande si ce genre de chose serait possible en France/Europe ? > Oui c'est possible. Un système équivalent est d'ailleurs déjà en place aux Pays-Bas (voir http://www.mail-archive.com/frnog@frnog.org/msg07258.html ou directement http://www.darkreading.com/blog/archives/2009/09/dutch_isps_sign.html ). Cela a clairement le mérite de circonscrire la pandémie. Maintenant est-ce que ça ne risquent pas de dé-responsabiliser encore d'avantage les possesseurs d'ordinateurs en leur donnant l'image que quoiqu'ils fassent avec leur machine, quelqu'un se chargera de leur signaler ce qui ne va pas? -- Benoit Garcia
Re: [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update
Bonsoir, 2011/2/8 Rémi Bouhl > Bonsoir, > > Je ne comprends pas qu'on puisse fournir des IP NATées, du > sous-Internet, sous prétexte que c'est destiné à des sous-ordinateurs > et qu'il n'y a pas assez d'IP pour tout le monde, alors qu'IPv6 semble > fait pour permettre à chaque terrien de se balader avec dix terminaux > connectés à Internet. > Est-ce que ça ne serait pas en rapport avec le modèle économique actuel ou le volume de données joue un rôle important sur le montant des bénéfices de l'opérateur (comme il a été dit par Julien Richer en réduisant les marges car vendu à perte)? Même si une table de NAT reste piratable, on peut partir du principe que le volume de données échangé par le client correspond bien au volume souhaité et donc facturé. Au pire quelques personnes piratées râleront et pourront toujours essayer de se faire rembourser. Si on attribue une IP routable à chaque téléphone, on prend le risque de recevoir du trafic entrant non désirable par le client (portscan, ICMP flood ou autre) et donc plus difficilement facturable. -- Cdlt, Benoit.