Re: [FRnOG] [MISC] Incident GlobalSwitch
Le 09/08/2024 à 09:49, Richard Klein a écrit : … ( ça fait plaisir de voir qu'on est pas seul à percevoir les limites de "l'IA" !) … I’ll be back :-)) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Le 22/07/2024 à 09:43, Stéphane Rivière a écrit : En 2010, une maj de McAffee avait planté des tonnes de windows. Et quel était le CTO de McAffee ? Le CEO de Clownstrike en 2024 ! Avec le même résultat d'un insecte si bien posé qu'il nécessitait une intervention manuelle pour dératiser la fenêtre... https://www.businesstoday.in/technology/news/story/microsoft-outage-not-the-first-time-crowdstrike-ceo-george-kurtz-is-facing-a-global-disruption-438035-2024-07-22 Site merdique mais info très intéressante. Là ce ne serait donc plus un incident mais une malveillance ? Quoiqu'il en soit, cette mise à jour n'avait certainement pas été testée et balancer une mise à jour sans la tester sur une telle surface d'implications, c'est au minimum une incompétence grave. Comme quoi on peut faire, au plus haut niveau, plusieurs fois le même n’importe quoi et, comme on dit jamais deux sans trois... Reste une question philosophique : à part espionner, démolir des fenêtres et planter aussi les serveurs Linux, Clownstrike sert à quoi ? A faire du fric. Cela fait partie d'un modèle économique juteux : le cyberracket. Dans le même registre, on a des assurances qui "encouragent" leurs clients à améliorer leur cyber-score sur des points qui relèvent davantage de risques hypothétiques que réels… --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Le 21/07/2024 à 11:14, Paul Rolland (ポール・ロラン) a écrit : Bonjour, Un debut d'analyse : https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/ Pas trop long a lire, ca ne vous gachera pas le dimanche... mais ca ne vous apprendra pas bcp non plus ;) Paul Merci pour le lien ; très intéressant… --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [JOBS] Mention Complémentaire cybersécurité
--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows
Le 19/07/2024 à 10:33, David Ponzone a écrit : Mais je comprends pas comment c’est possible. Y a des serveurs Windows avec les mises à jour auto activées ? :-)) Excellente ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] - DDos assisté par Mikrotik
Hello, Merci pour les explications On converge donc sur une misconfig. Ça me rassure vu que je commence à en avoir pas mal dans la nature. Pour le fait que ça sorte bien de la chine je n'irai pas jusqu'à suggérer que c'est intentionnel ;-) CF l'article de l'Etic Hacker qui a suivi un réseau de Windows compromis utilisé par une école Informatique chinoise en hack Demo ! Pour le hacking via le lan, il y a aussi le fait qu'on puisse accéder un MKtik en L2. Et là, pas de filtrage IP... Pour les autres remarques, on râle que MKtik ca rame en convergence BGP On ne va pas maintenant râler que ce compute trop vite ;-) Perso, je regarde du côté de la perf cpu pour VxLan vu que ce n'est pas (encore ?) L3HW Vu le prix des CCR2004 & CCR2116, je ne trouve rien de mieux comme VTEP si ça tient le débit. (et que ce n'est pas troué en sécu :-) Ça m'amène une autre question ; comment faites vous pour gérer la conformité en masse sur une flotte de Mikrotik ? Je pousse bêtement un squelette de conf via la console mais il y a peut être plus malin ? Un soft qui utiliserai l'API native, Ou mieux, un soft agnostique qui fait ça sur toute boîte avec un CLI ? Joyeux mercredi :-) Laurent FABRE Le mar. 9 juil. 2024 à 22:09, Jérôme Marteaux a écrit : > Le 09/07/2024 à 18:00, Laurent-Charles FABRE a écrit : > > Bonjour la liste, > > > > l'article doit exister en français mais je suis tombé sur la version > > Britonne > > > > > https://blog.ovhcloud.com/the-rise-of-packet-rate-attacks-when-core-routers-turn-evil/ > > > > De votre compréhension, c'est un gros trou dans RouteurOS ou une > misconfig > > basique avec MdP troué ? > > > > SNMP n'est pas activé par défaut sur mikrotik: > v6: https://wiki.mikrotik.com/wiki/Manual:SNMP > v7: https://help.mikrotik.com/docs/display/ROS/SNMP > > Il y a de (très) fortes chances que ce soit un SNMP qui soit ouvert. > La mode est d'utiliser de l'amplification (reflexion), SNMP se prête > bien à ce jeu, à partir d'une requête de 68 octets, la réponse peut > aller jusqu'à 30 Ko, j'ai lu qu'en moyenne il était observé un rapport > de 1:25 en faveur de l'attaquant. (si l'attaquant dispose de 100 Mbps de > bande passante, il va pouvoir envoyer 2,5 Gbps de réponses SNMP sur l'IP > ciblée) > Pour en savoir plus: https://www.bortzmeyer.org/attaques-reflexion.html > > Si l'attaque est faite via SNMP qui donc est ouvert, c'est alors tout > simple de faire une requête pour afficher le modèle et sa version. > > Quant aux routeurs dont le SNMP n'est pas ouvert en public, il reste > possible que ces routeurs aient une ACL qui limite l'accès à SNMP au LAN > mais si les machines derrières sont compromises, il est aisé de faire de > l'amplification SNMP et renvoyer le trafic sur le WAN, en plus comme > c'est le routeur qui émet le trafic ça bypass les règles de firewall car > en général le trafic émit par le firewall est toujours autorisés (au > moins sur les mikrotik, chaîne output en default policy accept versus > forward dont la bonne pratique doit être default deny). > > > Par contre, j'ai un doute avec le contenu du dernier paragraphe "Let’s > do some math" car ça m'étonnerait qu'un mikrotik (ou tout autre > équipement) ai un service SNMP qui soit capable de sortir autant de pps > qu'en routage pur. (Multi-threadé ? Sur tous les core ? Avec 1 seule IP > de sortie ?) > > H on n'avait pas ce genre de problème avec des SUP720 ou des ISR > avec des CPU anémiques ! C'était mieux avant ! > > Maintenant avec des tp-link, mikrotik et compagnie qui ont des CPU > surpuissants (comme nos téléphones), tout est possible ! > > > Par contre, j'en retire au moins ça : > > - les CCR poussent quand même pas mal > > Le rapport perf/prix est imbattable ! > > > - ils en vendent pas mal en chine... > > > > Mais que fait le great firewall chinois ?? Depuis internet vers la chine > ça à l'air efficace mais en sortie tout est permis ! > > > Jérôme > > -- > Jérôme Marteaux > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] - DDos assisté par Mikrotik
Bonjour la liste, l'article doit exister en français mais je suis tombé sur la version Britonne https://blog.ovhcloud.com/the-rise-of-packet-rate-attacks-when-core-routers-turn-evil/ De votre compréhension, c'est un gros trou dans RouteurOS ou une misconfig basique avec MdP troué ? Par contre, j'en retire au moins ça : - les CCR poussent quand même pas mal - ils en vendent pas mal en chine... Laurent FABRE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] solution de réécriture DNS (rewrite)
Genre mettre en place de l'ipv6qui sera donc compatible ? On est presque vendredi j'ai le droit ? Laurent. Le mer. 26 juin 2024, 18:17, David Ponzone a écrit : > Hmmm un DNS ré-écrit pas un FQDN, il le traduit en IP. > Tu prends, je pense, le problème par le mauvais côté. > > Il faut que du côté Structure 2, tu aies un DNS qui traduise > appli1.interne.stucture1.com <http://appli1.interne.stucture1.com/> en > 172.16.1.100. > Alors qu’il ne répondra pas la même chose à Structure 1. > C’est du split-horizon. > https://www.frank.be/implementing-bind-views-with-powerdns/ < > https://www.frank.be/implementing-bind-views-with-powerdns/> > > Sinon, ça serait pas plus simple de migrer l’application (et juste elle) > sur une IP qui est accessible aux 2 structures sans bidouille à la con ? > > David > > > Le 26 juin 2024 à 17:28, Antoine Nivard via frnog a > écrit : > > > > > > C'est vrai que le besoin est un peu particulier. La voici la description > : > > Nous interconnectons 2 structures et nous avons des réseaux IP privés > qui se recoupent. > > Par exemple, 192.168.1.0 /24 des 2 côtés pour la actifs en production. > > > > On utilise des réseaux pour DNAT et SNAT en 172.16.1.0/24 et > 172.17.1.0/24 par exemple en 1:1 > > > > Le souci est le DNS pour des ressources WEB. > > > > La structure 1 propose des applications WEB avec des FQDN : > appli1.interne.structure1.com > > sur l'IP 192.168.1.100 > > > > La structure 2 doit accéder aux applications > appli1.interne.structure1.com mais dans la structure 2 l'IP 192.168.1.100 > est utilisée pour le serveur d'impression. > > > > Donc l'idée est de faire une réécriture DNS : > > A partir du réseau de la structure 2, l'appli1 est le DNS : > appli1.interne.stucture1.structure2.com => 172.16.1.100 > > Le Firewall va faire une translation de 172.16.1.100 à 192.168.1.100 > pour rentrer dans la structure 1. > > Cependant, il faut que le FDQN change de > appli1.interne.stucture1.structure2.com à appli1.interne.stucture1.com > > pour que le serveur web ou le loadbalancer puisse renvoyer la requête au > bon serveur web (ServerName). > > > > Il faut que je puisse avoir un outil pour réaliser des réécritures DNS > pour que les FQDN puissent être réécrits. > > > > --- > > Cordialement, > > > >Antoine Nivard > > > > > > Tél: 06 52 57 79 69 - antoine.nivard@ouest.network > > > > Le 2024-06-26 14:55, Stephane Bortzmeyer a écrit : > >> On Wed, Jun 26, 2024 at 10:08:07AM +0200, > >> Antoine Nivard via frnog wrote > >> a message of 25 lines which said: > >>> Dans le cadre d'interconnexion DNAT/SNAT, je recherche une solution de > DNS > >>> rewrite avec une configuration au FQDN (plusieurs centaines d'entrées). > >> Pour ma culture, c'est quoi, une « solution de DNS rewrite » ? > >> --- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Bonsoir, L'intérêt de ce filtrage, d'après l'intervenant de chez agrume France est d'assurer que les paquets sortant sur "l'internet" aient une source appartenant aux blocs IP du client pour faciliter son identification. Ça sent le bull$hit...mais le blocage lui est bien là. Le seul changement a été le bloc d'interco. Pas de changement de service, de VLAN,(Au moins côté client). Laurent. Le 20 juin 2024 13:21:15 UTC, "Jérôme Marteaux" a écrit : >Bonjour, > >Le 20/06/2024 à 11:19, Laurent CARON a écrit : >> Bonjour, >> >> J'ai eu le cas la semaine dernière chez l'agrume (5511). >> >> Livraison de 2 sessions BGP4 pour lesquelles le traceroute/MTR est >> systématiquement menteur (toutes les destinations sont directement >> connectées au nexthop), seul port non filtré en sortie tcp/179 (bgp). >> > >Quel est l'intérêt de ce "filtrage" ? >Et comment c'est réalisé ? > >> En entrée en revanche, aucun filtrage. >> >> La solution a été de passer par agrume {inde,pologne,france} ("bah oui >> m'sieur, nos gros clients sont majoritairement à l'international") pour >> changer de bloc d'interco pour un qui ne dispose pas de ces filtres... >> > >Juste le bloc d'interco ou changement de service/plaque/produit IP ? > > >Jérôme > >-- >Jérôme Marteaux > > >--- >Liste de diffusion du FRnOG >http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] perturbation ripe atlas ?
Bonjour, - Mail original - > J'avais dans ma boite mail ce matin un message me disant : > Your probe xxx has been disconnected from the RIPE Atlas > infrastructure > since 2024-06-24 14:08:18 UTC. > > En me connectant sur le portail ripe atlas : > https://atlas.ripe.net/probes/public?sort=-id&toggle=all&page_size=100&page=1 > > j'en vois un bon paquet qui sont déco depuis à peu près le même > moment. Message ce matin sur la ML ripe-atlas : "Indeed we are experiencing some trouble with one of our controllers. This can affect probes and anchors, seemingly up to 10% of the probe population. The team is investigating the issue." Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Bonjour, J'ai eu le cas la semaine dernière chez l'agrume (5511). Livraison de 2 sessions BGP4 pour lesquelles le traceroute/MTR est systématiquement menteur (toutes les destinations sont directement connectées au nexthop), seul port non filtré en sortie tcp/179 (bgp). En entrée en revanche, aucun filtrage. La solution a été de passer par agrume {inde,pologne,france} ("bah oui m'sieur, nos gros clients sont majoritairement à l'international") pour changer de bloc d'interco pour un qui ne dispose pas de ces filtres... Achetez Français! Mes 0.02€. Le 26/05/2024 à 19:07, Raphael Mazelier a écrit : Des ip(s) d'interco publiques mais non routé sur internet ? c'est peu pratique et étonnant. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Module Zyxel SFP10G-T-ZZ0101F - On se fout de notre gueule ?
Bonjour Vincent, Une autre "solution" est de passer par des SFP universels/programmables: https://www.flexoptix.net/en/supported-vendors/index/name/Zyxel-compatible Laurent Le 13/06/2024 à 14:22, Vincent Duvernet a écrit : Bonjour la liste, Pour ceux qui avaient suivi mes déboires sur mes SFP grille-pain, après avoir changé les 2 switchs (par du Zyxel XGS1930-28) et utilisé 2 marques de SFP cuivre qui ne sont visiblement pas compatibles avec ce switch, j'ai donc commandé par dépit des SFP de la marque (Zyxel SFP10G-T-ZZ0101F). Initialement prévus en livraison en mars, nous sommes en juin et toujours rien. Chez Techdata, toutes les semaines, c'est repoussé d'une semaine ou plus. Alors j'ai eu droit aux excuses bidons diverses & variées (autant chez Tech que Zyxel) allant d'un bug informatique, d'un changement de CRM, des ponts de mai, des russes, des Chinois, des tempêtes solaires, de l'alignement des planètes et de l'âge du capitaine. Est-ce que quelqu'un en aurait 2 en stock par hasard à me dépanner ? Merci, Vincent --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Digression du Vendredi sur l'identité numérique
Le 01/06/2024 à 09:53, Florent Daigniere via frnog a écrit : Si tu cherches un argument d'autorité je peux t'en donner un aussi. C'est mon métier: la boite pour laquelle je travaille fait des prestations d'audit en sécurité (dont des audits de mot de passe) depuis des décennies et vends des produits [pub] (une solution pour Active Directory, toujours autour des mots de passe). Je pense avoir une opinion éclairée sur le sujet. Ah d'accord, tu travailles dans le security business… Je comprends mieux --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Digression du Vendredi sur l'identité numérique
Le 31/05/2024 à 19:10, Florent Daigniere a écrit : … par contre avoir des traitements non automatisés je n'imagine pas comment cela pourrait fonctionner. Tu n'imagines pas comment cela fonctionnait il y a une soixantaine d'année ? … On ne doit pas vivre dans le même monde. Si mais manifestement pas avec la même perception. L'usurpation d'identité est un vrai problème qui a pour source le fait que la loi impose aux opérateurs de services de stoker des données sensibles (dont ils n'ont pas besoin et qu'ils ne stockeraient pas si ils n'y étaient pas obligés) "au cas où". Ah bon. Si tes papiers fuient sur un service, ils seront réutilisés ailleurs (donc il y a bien propagation d'incident) jusqu'à leur expiration (qui se mesure en décennie). ... de partout et des utilisateurs qui réutilisent leur mot de passe entre les services (credential stuffing). Justement, l'intérêt de mots de passe distincts par service est que si un problème survient sur un service, cela ne pollue pas les autres. Dans le vrai monde c'est le corollaire qui est vrai: les utilisateurs n'utilisent pas de mots de passe distincts Comment pourrais-tu le savoir ? et donc si l'un des services tombe, tout tombe (sans possibilité de récupération rapide)... sans parler du fait que les mécanismes de récupération finissent tous par demander les même données. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Digression du Vendredi sur l'identité numérique
Le 31/05/2024 à 17:17, Florent Daigniere a écrit : On Fri, 2024-05-31 at 16:51 +0200, Laurent Barme wrote: Heureusement, notre gouvernement actuel est garant d'une utilisation bienveillante de l'identité numérique. Mais demain, si un parti moins moral l'emportait… C'est justement ça le vrai débat: si on ne fait pas confiance au gouvernement pour l'IAM, on fait confiance à qui? un GAFAM (passkeys, ...)? On fait confiance à des humains, avec des possibilités de recours en cas de contestation de décision. Le problème c'est le traitement automatique d'un contrôle d'identité universel et omnipotent confié à un traitement informatique (c'est à dire buggé ou incapable de gérer les exceptions). La décentralisation (le modèle historique) cela a ses limites: on se retrouve à disséminer tout ce qui peut servir pour l'authentification à trop d'intermédiaires qui ne sont ni de confiance, ni capable de sécuriser les données (quand même le jeu en vaut la chandelle, ce qui est rarement le cas). L'état final étant l'existant ou l'on a X copies de ses papiers d'identité, ses justificatifs de domiciles, ses identifiants, … et donc pas de propagation d'incident. ... de partout et des utilisateurs qui réutilisent leur mot de passe entre les services (credential stuffing). Justement, l'intérêt de mots de passe distincts par service est que si un problème survient sur un service, cela ne pollue pas les autres. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Digression du Vendredi sur l'identité numérique
Le 31/05/2024 à 15:04, Toussaint OTTAVI a écrit : Le 31/05/2024 à 14:15, David Ponzone a écrit : Le 31 mai 2024 à 14:02, Toussaint OTTAVI a écrit : Ceci étant, je ne suis pas le mieux placé pour disserter sur l'identité numérique, puisque je n'ai pas d'identité du tout ! Cela fait 30 ans que je n'ai pas de CNI 😂 Et que si j'accepte celle que l'état se propose de me délivrer aujourd'hui, elle correspondrait à quelqu'un qui n'a jamais travaillé ni cotisé nulle part 😂 Purée, le jour où tu auras fait corriger ça, tu vas t’emmerder un peu non ? 🙂 Si je décode bien le David Ponsone il dit que tu nous bassines avec ton histoire d'erreur de nom :-) A propos, quel est ton nom erroné, Octavi ? … Donc, moi, une "identité numérique" qui m'identifie de façon unique et incontestable auprès de toutes les administrations, qui me permette d'ouvrir un compte bancaire, d'aller chez le médecin, de rembourser mon dentiste, de déclarer le fusil rouillé de mon grand-oncle au SIA, ou simplement de prendre l'avion pour aller flâner chez Surcouf, j'en rêve ! Ah ? Surcouf a fermé il y a plus de 10 ans ? C'est bien triste... Le souci avec tout ce que "l'identité numérique" promet de pouvoir réaliser est justement que cette possibilité puisse être retirée à tout moment, d'un seul petit clic. Imagine qu'après être pourvu de ton "identité numérique", sésame universel, tu t'avises te tartiner un préfet. Alors là, il clique sur un bouton et pouf, tu ne peux plus rien faire :-( Imagine qu'un état dans lequel l'identité numérique est installée décide qu'un "traitement" (qui s'avère inefficace et dangereux) soit obligatoire (sauf bien évidemment pour la police, les députés, sénateurs et autres catégories privilégiées). Un petit clic pour déclencher le traitement de données idoine et tous ceux qui ne l'acceptent pas peuvent crever en perdant le droit de travailler, leurs congés, leurs indemnités de chômage, le RSA etc. C'est fou ce qui est techniquement réalisable avec une identité numérique opérationnelle : le contrôle de l'accès aux réseaux sociaux (en cas d'émeute évidemment), l'accès aux transports ou aux zones de "sécurité" pour des épreuves sportives, la contrainte de respect du parcours d'une manifestation, l'utilisation de DNS non censurés, etc., Heureusement, notre gouvernement actuel est garant d'une utilisation bienveillante de l'identité numérique. Mais demain, si un parti moins moral l'emportait… --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?
Le 30/05/2024 à 22:41, lm2 via frnog a écrit : je boycotte juste l'identité numérique, je ne changerai jamais de choix. C'est une idée que je trouve excellente mais qui se heurte à la réalité. A lire l'article 97 de la DIRECTIVE (UE) 2015/2366 DU PARLEMENT EUROPÉEN ET DU CONSEIL (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32015L2366 ) je comprend que nous sommes piégés par l'obligation d'avoir une authentification forte pour toute transaction bancaire. Authentification forte que les banques ont traduite en obligation d'avoir une "app" qui ne fonctionne que sur un malinphone sous contrôle étasunien :-( comme dr house répond : "quand on vieillit, on est moins obligé de faire des trucs" plus on m'oblige à faire des trucs, plus je vais dans le sens opposé à la demande :) j'ai accepté le no de tel pour les banques, l'appli c'est mort : me forcer à avoir une appli, c'est demain sur 3310 pour avoir l'excuse absolue, et ne surtout pas aller dans le sens de leurs économies. Pas sûr que l'excuse du 3310 soit acceptée. pour compléter : il y aura forcément une alternative, comme le courrier papier. Bah non. si c'est supprimé, c'est direct au conseil d'état que ça se règlera, par absence d'autre solution (et je doute qu'ils veuillent aller jusque là, et je pense qu'on sera nombreux à s'y rendre) Pas convaincu que le conseil d'état fonctionne encore de façon rationnelle. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?
Le 30/05/2024 à 17:18, lm2 via frnog a écrit : éligible pour les particuliers? Oui, je l'ai pour mon fixe privé aussi (c'est juste pas le même message mais le même principe). problème : ça dépend du fournisseur de services ; or orange n'a jamais apporté de service ajouté gratos à son offre (contrairement à free) Exact : j'ai ça avec OVH. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] "Suspicion de spam" sur appels téléphoniques légitimes ?
Le 30/05/2024 à 16:16, lm2 via frnog a écrit : le plus simple reste vraiment le tel fixe en mode muet, et de bloquer les tranches de numéros des démarcheurs sur android (ou éventuellement NPD permanent sur iphone avec contacts en liste blanche) Sur une ligne fixe, le plus efficace est de mettre un SVI ; ça bloque très efficacement les robots d'appel et laisse passer sans problème même les "vieux" humains. Depuis que j'ai mis ça en place (il y a 5 ans), je peux accueillir sereinement les appels. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Identité numérique pour l'accès aux datacenters
Le 25/05/2024 à 19:46, Yohan Prod homme via frnog a écrit : Cf. le Bitoduc : https://bitoduc.fr/ Merci pour l'adresse réticulaire ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Identité numérique pour l'accès aux datacenters
Le jeudi 23 mai 2024 Toussaint OTTAVI a écrit ceci : > Pour rappel, je suis "sans papiers" suite à une erreur d'orthographe > commise par la préfecture locale en... 1987, erreur qui a été ensuite > gravée dans le marbre lors de l'informatisation de l'état civil. > Aujourd'hui, personne n'a de solution satisfaisante pour corriger. Dans > le meilleur des cas, les services, de bonne foi, avouent leur > incompétence à régler le problème. Dans le pire, ils s'en foutent > carrément, ce n'est pas leur problème :-D Tout ceci avec des > conséquences marrantes : pas de carte Vitale; j'ai une carte de sécurité > sociale Européenne, mais qui n'est pas valide en France; pas grave, > l'Italie, c'est pas loin :-D Mais je ne peux pas prendre l'avion :-D > Depuis 5 mois, je n'ai plus accès au système bancaire :-D J'ai été > obligé d'inscrire mon neveu orphelin chez les S.D.F. :-D Je signe toutes > les semaines, en tant qu'élu, des délibérations diverses avec une > identité qui n'existe pas :-D Je me bats avec un huissier pour qu'il > vienne me saisir sur la bonne orthographe :-D Et j'en passe :-D Mais, dans certains départements, n'y a-t-il pas une tradition assez particulière de traitement de l'état-civil et des autres données relatives aux citoyens ? J'ai connu des gens, résidents depuis 20 ans dans tel département, qui n'avaient toujours pas réussi à se faire inscrire sur les listes électorales. Et c'était du temps d'Arpanet... -- Laurent Bloch - https://laurentbloch.net - l...@laurentbloch.org Si vous trouvez que l'éducation coûte cher, essayez l'ignorance ! (A. Lincoln) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Identité numérique pour l'accès aux datacenters
Le 23/05/2024 à 11:26, lm2 via frnog a écrit : https://grisebouille.net/franceconnect-ou-gafamconnect/ https://grisebouille.net/google-lespion-le-plus-con-du-monde/ Merci pour ces liens ; ils sont parfait pour faire un peu de pédagogie :-) Dans le même genre, je recommande chaudement aux fans de l'identité numérique la lecture de "S.O.S. Bonheur" ISBN 978-2-8001-6983-5 BD de Griffo / Van Hamme Histoire écrite en 1980, publiée en 1988, rééditée en 2016. Toute ressemblance avec des faits réels aujourd'hui serait fortuite et involontaire. Quoiqu'il en soit, un régal à lire. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Identité numérique pour l'accès aux datacenters
Merci ! Je vais commander une nouvelle carte d'identité et essayer ça. Le mercredi 22 mai 2024 Jérôme Nicolle a écrit ceci : > Laurent, > > Le 22/05/2024 à 16:58, Laurent Bloch a écrit : > > Il semblerait que cela ne marche pas avec Murena et /e/os, seulement > > avec les systèmes et les magasins d'applications officiels. > > Ça fonctionne très bien sur GrapheneOS en l'installant via Aurora Store. > C'était un prérequis pour moi de pouvoir fonctionner sur un appareil > dégooglisé. > > @+ > > -- > Jérôme Nicolle > +33 6 19 31 27 14 > +590 690 22 87 14 -- Laurent Bloch - https://laurentbloch.net - l...@laurentbloch.org Si vous trouvez que l'éducation coûte cher, essayez l'ignorance ! (A. Lincoln) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Identité numérique pour l'accès aux datacenters
Bonjour, Il semblerait que cela ne marche pas avec Murena et /e/os, seulement avec les systèmes et les magasins d'applications officiels. Le mercredi 22 mai 2024 Jérôme Nicolle a écrit ceci : > Bonjour, > > On en parle peu mais l'application France Identité permet de "charger" > votre carte d'identité nouveau format sur votre téléphone. De plus en > plus de services utilisent ce mode d'authentification. Par exemple j'ai > pu à l'instant faire une procuration de vote sans me déplacer pour la > faire valider. > > Mais quid de l'accès en datacenter ou tout autre lieu demandant une > pièce d'identité ? Est ce qu'on va pouvoir simplement montrer l'écran du > téléphone ? Utiliser le process d'authentification via l'application en > scannant un QR Code ? > > Pour aller encore plus loin, au sommet Digital Alliance EU-LAC la > semaine dernière on a travaillé sur l'interopérabilité de l'identité > numérique avec des pays non européens. Quand serons nous prêts à > utiliser plus généralement ce système ? > > @+ > > -- > Jérôme Nicolle > +33 6 19 31 27 14 > +590 690 22 87 14 > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ -- Laurent Bloch - https://laurentbloch.net - l...@laurentbloch.org Si vous trouvez que l'éducation coûte cher, essayez l'ignorance ! (A. Lincoln) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Identité numérique pour l'accès aux datacenters
Hello, je sais que SFR y travaille pour ses NetCenter Concrètement, comment un tier fait il pour valider que ce qu'on lui montre sur un écran est bien une CNI valide ? Il faudrait que ce soit plus probant que la simple photo d'une CNI.. Laurent FABRE Le mer. 22 mai 2024 à 16:24, Jérôme Nicolle a écrit : > Bonjour, > > On en parle peu mais l'application France Identité permet de "charger" > votre carte d'identité nouveau format sur votre téléphone. De plus en > plus de services utilisent ce mode d'authentification. Par exemple j'ai > pu à l'instant faire une procuration de vote sans me déplacer pour la > faire valider. > > Mais quid de l'accès en datacenter ou tout autre lieu demandant une > pièce d'identité ? Est ce qu'on va pouvoir simplement montrer l'écran du > téléphone ? Utiliser le process d'authentification via l'application en > scannant un QR Code ? > > Pour aller encore plus loin, au sommet Digital Alliance EU-LAC la > semaine dernière on a travaillé sur l'interopérabilité de l'identité > numérique avec des pays non européens. Quand serons nous prêts à > utiliser plus généralement ce système ? > > @+ > > -- > Jérôme Nicolle > +33 6 19 31 27 14 > +590 690 22 87 14 > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Pannes d’Internet en Afrique de l’Est : quelles raisons, quelles solutions ?
Bonsoir, Pannes d’Internet en Afrique de l’Est : quelles raisons, quelles solutions ? Dans Jeune Afrique : https://www.jeuneafrique.com/1569763/economie-entreprises/pannes-dinternet-en-afrique-de-lest-quelles-raisons-quelles-solutions/ Il faut hélas être abonné... Bonne lecture ! -- Laurent Bloch - https://laurentbloch.net - l...@laurentbloch.org Si vous trouvez que l'éducation coûte cher, essayez l'ignorance ! (A. Lincoln) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Elevating Security with Arm CCA
Bonjour, Un article intéressant en accès libre : Elevating Security with Arm CCA Attestation and verification are integral to adopting confidential computing. par Charles Garcia-Tobin and Mark Knight https://queue.acm.org/detail.cfm?id=3664291 Bonne lecture ! -- Laurent Bloch - https://laurentbloch.net - l...@laurentbloch.org Si vous trouvez que l'éducation coûte cher, essayez l'ignorance ! (A. Lincoln) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Bgp sous FRR
Le 16/05/2024 à 18:04, Nicolas de Brou a écrit : Hello Je me suis mal exprimé, désolé On a deux transitaire et ça fonctionne Le routeur « route » et les majs bgp fonctionne C’est le Linux qui lui n’accède pas à internet Alors que je peux me connecter dessus à distance… Cela m'évoque un problème de DNS mal (ou pas défini) au niveau du contexte linux… Merci Le 16 mai 2024 à 17:41, Raphael Mazelier a écrit : Hello la liste, Quand tu dis fait bien son travail que veut tu dire ? Il route ? parce que bon si ton FRR/guagge est vautré mais qu'il te reste des routes et une default il va router. Mais tu n'auras pas trop d'update :) -- Raph On 16/05/2024 16:53, Nicolas de Brou wrote: Bonjour, Je cherche quelqu’un qui connaît bien FRR / Quagga qui pourrait accepter de perdre une heure Max pour comprendre pourquoi mon routeur fait bien son travaille mais que depuis la cli je ne puisse pas accéder aux ressource (exemple mise à jour) Merci d’avance --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] impots.gouv.fr / AS 34177 (Celeste)
Le 14/05/2024 à 08:54, Alain Thivillon a écrit : Et ce d'autant qu'aucune zone en *.gouv.fr ne semble DNSSEC-signée, y compris celle de l'agence qui préconise de le faire. :-))) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Site New Deal Orange revendu à ATC France - C'est quoi, ces guignols ?
Bonghjornu ! Bha ! C'est sur une ile et dans la montagne... Si t'a un tournevis ;-) Moi j'ai un bout de terrain dans le médoc, (c'est en france métropolitaine) Il y a 40 ans le grand père a acheté à EDF les 3 poteaux pour raccorder le terrain. Le dernier poteau étant implanté sur notre terrain. Du coup, on connaissait tout les nouveaux voisins vu que les poteaux nous appartenant, EDF nous faisait un gentil courrier pour demander l'autorisation de s'y raccorder. En bon citoyen et voisin, on a toujours accepté à titre gracieux. Et puis, un beau jour, ERDF nous a adressé une enveloppe contenant 3 courriers : - une demande de rachat des poteaux et des 4M2 de terrain ou le dernier était planté (avec la vétusté c'était 0) - une déclaration d'utilité publique - une déclaration de changement de priorité actée vu que c'est d'utilité publique Je sers l'état et c'est ma joie 😅 Et pars ailleurs, je sors de 8 mois de bataille avec Orange & Co pour déplacer à mes frais un poteau indûment placé par eux sur un chemin commun. Ce poteau empêchant les camions (gros mais dans le gabari) de circuler, je l'ai fait replanter chez moi. On va voir si ca me coutera 4M2 de plus dans quelques année. Ergo : faites une déclaration d'utilité communale/publique, récupère le poteau et fixe ton matos 😈 Bon WE :-) Laurent FABRE Le jeu. 25 avr. 2024 à 19:38, Toussaint OTTAVI a écrit : > Salut la liste, > > En 2021, Orange a construit un petit pylône 4G sur ma commune (un petit > village de Corse) dans le cadre du programme "New Deal". La commune a > loué le terrain pour une somme symbolique. > > Un an plus tard, lors de la création de la Tower Company de l'agrume, le > site n'a pas été intégré à Totem. Pour une raison que j'ignore, il a été > cédé à une société dont je n'avais jamais entendu parler auparavant : > "ATC France". Vu qu'on ne nous a ni demandé notre avis, ni laissé le > choix, nous avons donc signé un nouveau bail à cette société. > > Problème : les interlocuteurs sont aux abonnés absents ! Personne ne > répond ! Plus précisément, les interlocuteurs qui nous répondent > finissent par avouer qu'ils ne sont que sous-traitants, et qu'ils ne > s'occupent pas de technique mais uniquement d'immobilier ! Hum, 10 > mètres carrés au milieu du maquis et des cochons, très loin de la mer et > des touristes, ce n'est sans doute pas l'affaire immobilière du siècle :-D > > Lors de la mise en service avec Orange, en 2021, nous avions acté avec > nos interlocuteurs locaux le principe d'une cohabitation sur le pylône, > pour que la mairie puisse installer un petit réseau communal (LoRaWAN, > micro-centrale hydroélectrique, surveillance incendie, etc...). Or, > depuis la cession à ATC France, malgré de très nombreuses relances > depuis 2022, je n'ai aucun début de commencement de réponse ! Je n'ai > même pas eu le moindre interlocuteur technique, ni même un simple accord > de principe ! > > Plus grave encore, j'ai signalé il y a un mois qu'il n'y a plus de > cadenas, ni sur le portail de l'enceinte, ni sur le verrouillage de > l'accès à l'échelle, ni sur les coffrets techniques ! Je n'ai eu aucun > retour ! > > D'où ma question : C'est quoi, ces guignols ??? > > Qu'est-ce qu'une société Américaine vient faire au fin fond de la > montagne Corse ? Comment le patrimoine du New Deal a t-il pu ainsi être > bradé à des gens qui, visiblement, n'ont aucune implantation et aucun > personnel local ? Qu'en pense l'ARCEP ? J'aurais bien demandé à la > Préfecture ce qu'elle en pense également, puisque ce site a été > construit avec de l'argent public et qu'il y a une pancarte "République > Française" sur le portail. Mais il se trouve que je suis un peu en froid > (à cause d'une autre affaire) avec les locataires du Palais des > Gouverneurs local :-D > > Et pour mon réseau communal, je fais quoi ? J'ai fait 1.3 km de GC pour > rien ? Je remonte un autre pylône de 24m à coté ? Ou bien, je m'installe > dans celui-là sans rien dire à personne, vu que de toute façon personne > ne contrôle rien, pas même la sécurité ? > > Bon vendredi à tous ;-) > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Incident Orange Mobile ?
Le 25/04/2024 à 15:28, David Ponzone a écrit : Des mises à jour ? :) :-))) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] OVH Maintenance éléctrique avec coupure possible sur GRA1&GRA2 le 29/04 & 02/05
Merci Maximilien pour le relais de cette information que je n'avais pas reçue alors que j'ai des serveurs sur GRA1. Renseignements pris auprès du support OVH, je ne l'avais pas reçue car mes serveurs sur GRA1 ne sont pas concernés par cette intervention, ouf ! Si, si, j'ai des serveurs relais ailleurs mais je ne suis pas motivé pour les activer :-) Le 25/04/2024 à 09:00, Maximilien Douchet via frnog a écrit : Une maintenance de ce type avec coupure dans un délai aussi court est aussi inédite qu'exceptionnelle je suppose que cela est fait pour des raisons très importantes. Vu la capacité des datacenters de Gravelines cela doit concerner (avec une estimation au doigt mouillé) entre 50 000 et 100 000 serveurs. Sans doute moins puisque sur GRA1 (au moins) tous les serveurs ne sont pas concernés. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FTTH Access Orange et ONT
Salut, Ça me rappel l'époque des ADSL 512k avec modems et modem-routeur en collecte ATM et des listes fermés ! Et si on avait malheur de sortir des listes officielles de compatibilité, ça dépendait totalement du DSLAM qui était en face. Il n’empêche, c'est vrai que l'ONT ou box permet d'être un point pour justement savoir où est la responsabilité de chaqu'un, mais ça ajoute un SPOF au final qui consomme même de l’énergie et dans tous les cas, on est responsable des "choc électrique" que celui-ci prends. Que de souvenir dirons certains ! =) Laurent Le 25/04/2024 à 12:33, David Ponzone a écrit : Ah t’inquiète pas, Orange fournit la liste des ONT compatible, tu as le choix entre 2 modèles :) Le 25 avr. 2024 à 12:03, Pavel Polyakov a écrit : Steeve BEAUVAIS - Société Serinya Telecom : Je me lance dans une étude pour déterminer si je ne suis pas mieux de prendre moi-même l'ONT, aussi bien en termes de déploiement que d'exploitation. Ça peut être difficile car l'ONT est souvent spécifique au fournisseur de l'OLT. Je les remplace par des modules SFP mais il faut parfois passer un certain temps avant d'arriver à les rendre compatibles. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cet e-mail a été vérifié par le logiciel antivirus d'Avast. www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Analyse de la 5G, première partie
C'est génial ce truc : https://meshtastic.org/ ! Le 19/04/2024 à 00:08, c...@ctv.zone a écrit : Parier sur l'entraide pour envisager ces lendemains post apocalyptiques peut sembler de moins en moins évident. A ce sujet il y a une très belle analyse dans "The Day of the Triffids" de John Wyndham (dont je recommande aussi la lecture, passionnante, de ses autres romans). Je me souviens de la comparaison de plusieurs "stratégies" dont celle du groupe restreint de personnes s'entraidant était décrite comme la plus efficace face aux solutions tentant de sauver tout le monde ou de celle tentant de tuer tous les autres. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Analyse de la 5G, première partie
Bonjour, Le bulletin 1024 de la Société informatique de France publie la première partie d'une description assez détaillée de la 5G, de ses effets environnementaux et des conditions de son déploiement : https://1024.societe-informatique-de-france.fr/2024/04/1024_23_2024_53.html Bonne lecture ! -- Laurent Bloch - https://laurentbloch.net - l...@laurentbloch.org Si vous trouvez que l'éducation coûte cher, essayez l'ignorance ! (A. Lincoln) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Sysadmin Linux - Rennes / Saint-Malo
Le 12/04/2024 à 16:05, Paul Rolland (ポール・ロラン) a écrit : Le salaire ne vous convient pas ? Echangez avec Guillaume, il a clairement dit qu'il etait disponible pour ca. Mais ce "job-bashing" systematique, meme le vendredi, ca commence a fatiguer. Où vois-tu du "job-bashing" ? La plupart des intervenants sur cette discussion trouvent l'annonce très bien et les autres échanges portent davantage sur la problématique du salaire en général que sur celui de l'annonce en particulier. La discussion ne te convient pas ? Masque le fil dans ton lecteur de mail préféré :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRnog] [ALERT] Problème tunnel IPsec
Pour info, non ce sont des liens professionnels avec des IPs fixes ;) Ça fait approximativement 6h que nos liens sont tombés et nos 6 liens viennent tout juste de remonter en même temps. Je ne sais pas ce qu'on fait SFR sur leur infra, mais un vendredi c'est pas sympa :) Bon au moins on peut partir en week-end un peu plus soulagé :) Merci encore pour vos réponses. Laurent. Le ven. 12 avr. 2024 à 17:33, Paul Rolland (ポール・ロラン) a écrit : > Hello, > > On Fri, 12 Apr 2024 17:23:39 +0200 > Laurent Laurent wrote: > > > J'ai la main sur les boîtiers des 2 côtés. > > Ca va faciliter l'analyse ;) > > > Le tcpdump entre les deux extrémités montrent qu'ils arrivent à discuter > > un peu entre eux mais rien de plus : 17:21:05.269172 x.x.x.x.500 > > > y.y.y.y.500: isakmp v1.0 exchange ID_PROT cookie: > > ef9435cceb00edc-> msgid: len: 184 payload: SA > > len: 56 [|isakmp] (ttl 250, id 56225, len 212) > > > > J'ai ce message que je vois toutes les X minutes avec la seule chose qui > > change l'id ce qui est normal. > > Bon, ce message, c'est x.x.x.x qui parle a y.y.y.y... tu as aussi des > messages retours ? > > Question (pas si) idiote : tes extremites chez SFR n'auraient pas change > d'IP vers 11H40 (genre un routeur qui se prend une MaJ, reboote et change > d'IP), et du coup, c'est plus reconnu par l'autre endpoint ? > > Paul > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRnog] [ALERT] Problème tunnel IPsec
Merci pour votre retour. J'ai la main sur les boîtiers des 2 côtés. Côté VPN Centraux, il y a une 40ene de tunnels et 6 chez SFR, 6 dont les tunnels sont passés down vers 11h40 le reste est OK. Le tcpdump entre les deux extrémités montrent qu'ils arrivent à discuter un peu entre eux mais rien de plus : 17:21:05.269172 x.x.x.x.500 > y.y.y.y.500: isakmp v1.0 exchange ID_PROT cookie: ef9435cceb00edc-> msgid: len: 184 payload: SA len: 56 [|isakmp] (ttl 250, id 56225, len 212) J'ai ce message que je vois toutes les X minutes avec la seule chose qui change l'id ce qui est normal. Le ven. 12 avr. 2024 à 17:00, Paul Rolland (ポール・ロラン) a écrit : > Hello, > > On Fri, 12 Apr 2024 16:44:26 +0200 > Laurent Laurent wrote: > > > C'est la première fois que je poste un message sur la mailing donc désolé > > si je fais une erreur. > > Bienvenue ;) > > > Mon problème est que, depuis fin de matinée, aux alentours d'11h40 j'ai > > perdu une partie de mes tunnels VPN vers des sites distants.. > > > > Après analyse, on a remarqué que, tous les tunnels VPN IPsec perdus ont > un > > point commun qui est : lien SFR. > > > > Pour tous nos autres sites distants qui ne sont pas chez SFR je n'ai pas > > de problème, on a même essayé de coupé un tunnel il est remonté aussi > > vite, alors qu'un site distant chez SFR ça ne veut rien savoir. > > > > Suis-je le seul impacté ? > > En tout cas, tu es le premier a reporter ici. > > Est-ce que tu as la main sur au moins une des extremites de tes tunnels > (peut-etre le point de concentration ?) pour voir si tu as des logs > associes a tes tunnels venant de chez SFR ou pour voir si tu peux lancer un > tcpdump qui te dira peut-etre un peu mieux ce qui n'arrive pas ? > > Et si tu as la main sur le cote SFR, tu peux peut-etre faire un tcpdump des > deux cotes en meme temps pour essayer de mieux qualifier la nature exacte > du probleme. > > Ah, et je suppose que une seule des extremites de tes tunnels est chez > SFR... Tu aurais un moyen de tenter la conf d'un tunnel qui resterait chez > SFR ? Histoire d'essayer la encore de mieux qualifier la localisation du > probleme que tu rencontres ? > > Paul > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [FRnog] [ALERT] Problème tunnel IPsec
Bonjour à tous, C'est la première fois que je poste un message sur la mailing donc désolé si je fais une erreur. Mon problème est que, depuis fin de matinée, aux alentours d'11h40 j'ai perdu une partie de mes tunnels VPN vers des sites distants.. Après analyse, on a remarqué que, tous les tunnels VPN IPsec perdus ont un point commun qui est : lien SFR. Pour tous nos autres sites distants qui ne sont pas chez SFR je n'ai pas de problème, on a même essayé de coupé un tunnel il est remonté aussi vite, alors qu'un site distant chez SFR ça ne veut rien savoir. Suis-je le seul impacté ? Nous sommes en train de faire ouvrir des tickets chez SFR mais je me demande vraiment s'ils vont bien comprendre :s En vous remerciant par avance. Cdt. Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Sysadmin Linux - Rennes / Saint-Malo
Le 12/04/2024 à 12:24, Pierre-Elliott Bécue a écrit : L'annonce est pas mal, le salaire l'est pour toute personne qui aurait plus de 10 ans d'exp. Soit il manque un "moins" soit je n'en comprends par le sens par rapport à ce qui précède. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Sysadmin Linux - Rennes / Saint-Malo
Le 12/04/2024 à 12:31, Pierre-Elliott Bécue a écrit : C'est d'ailleurs tout autant vrai quand ton travail leur rapporte des centaines de milliers par an (par exemple en maintenant le service phare d'une boîte solo), ça ne leur échappe pas du tout mais là ils espère bien qu'à toi ça t'échappe. ;) Alors là ça m'épate que l'on puisse vendre plusieurs centaines de milliers d'euros la maintenance d'un service assuré par une seule personne ! L'annonce qui fait l'objet de cet échange émane d'une boîte qui a l'air tout ce qu'il y a de plus honnête ; je doute qu'il puisse se faire de telles marges ou alors ils ont des clients qui ne les payent pas avec leurs sous à eux (par exemple avec ceux des contribuables…). On a du mal à pourvoir décemment les postes à VA en France parce qu'on se fait tout siphonner par les américains qui, eux, paient les gens ce qu'ils valent (ou plutôt un meilleur tradeoff, ils sont pas bons samaritains pour un sou), mais c'est pas grave, continuons à nous convaincre que les salaires n'y sont pour rien. Ce n'est pas tant les salaires qui y sont pour quelque chose. Ce serait plutôt les coûts et les contraintes du travail en France, coûts et contraintes qui me semblent prévues pour assurer des conditions décentes aux salariés et lutter contre les abus des plus gros employeurs. Sur le principe c'est très louable sauf que les plus gros y échappent manifestement contrairement aux petites structures qui en conséquence s'asphyxient face à une concurrence externe qui ne subit pas les mêmes conditions. Après, le salaire n'est qu'un des aspects des conditions de travail ; ce n'est pas les euros qui rendent heureux :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [JOBS] Sysadmin Linux - Rennes / Saint-Malo
Le 11/04/2024 à 19:30, Stéphane Rivière a écrit : 46000€ pour 7 ans d'expérience en N3 dans une boîte qui a l'air assez honnête, en télétravail possible, avec RTT + TR + intéressement… Ça fait du 3000€ nets tranquille par mois… Dans une région pas dégueu ;) Faut peut-être pas tirer sur le pouvoir d'achat trop fort hein… +1, Ça doit coûter à la boite ~7/an avec les a-côtés... Ce qui implique accessoirement que le travail du salarié contribue à un bénéfice pour la société qui lui permette (au moins) de verser ces 7 €/an (et non, on ne peut pas juste diviser cette somme par les 200 jours de travail annuel, c'est un peu plus complexe que ça). Par ailleurs, il y a un autre détail intéressant à considérer : la société qui emploie un salarié /s'engage/ à lui verser son salaire tous les mois… Bref, ces considérations échappent à la plupart des salariés (mais beaucoup moins aux employeurs). Qui est une petite structure. Donc je trouve ça plutôt très bien. Du coup je suis allé lire l'annonce. Elle me paraît aussi plutôt sympa et il y est bien préciser que le poste peut être basé à Saint-Malo. Bon, c'est vrai qu'on y est à plus de 25 m de la mer, surtout à marée basse mais il y fait beau tous les jours (c'est à dire au moins quelques minutes presque tous les jours) :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mails bloqués par Free.fr depuis Tenant Office365 Microsoft.
On 21.03.24 10:16, David Ponzone wrote: > T’as jamais pensé à mettre un robot en place qui envoie 50k mails clean > chaque jour vers des adresses gmail à toi ? Pas du tout nécessaire. Je loue un serveur pour 13€ par mois chez un hébergeur un brin moins connu, avec mon IP dédié (que je n'ai pas depuis si longtemps), je n'envoie qu'environ une douzaine de mails par mois. Je n'ai jamais été dans les spams de mes récipients, que ce soit google, microsoft ou n'importe quoi d'autre. Je n'ai même pas du m'embêter à mettre dkim en place. Des fois, aucune réputation est une meilleure solution que la réputation de microsoft. Merci beaucoup à Free d'avoir le courage de faire un tel blocage bien mérité. Microsoft se croient invincibles et transmettent probablement tous les rapports soigneusement préparés par François Petillon à /dev/null. Cordialement, Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [SPAM] Re: [FRnOG] [MISC] Migration d'adresses IP de serveurs mails
Le 21/03/2024 à 01:03, ml-fr...@srv.mx a écrit : Salut, Les serveurs sont des KS. C'est une bonne question, mais je ne compte pas rester sur les mêmes serveurs, j'aimerais faire évoluer un peu mes services persos au passage. L'âge des serveurs c'est un peu un prétexte pour me motiver à le faire ;) Le fait que ce soit un "vieux" serveur n'est peut-être pas le meilleur argument pour le remplacer ; s'il fonctionne toujours, pourquoi en changer ? Si tu tiens à maîtriser l'adresse IP qui envoie tes mails, tu peux passer sur une gamme de serveur qui propose des IP supplémentaires ré-affectables et si ton mail est géré avec postfix, il y a le paramètre smtp_bind_address dans /etc/postfix/main.cf qui devrait te permettre de choisir cette adresse IP transférable d'un serveur à l'autre. Mais c'est peut-être surdimensionné pour quelques adresses personnelles et ce n'est pas ça qui va te garantir que tes mails seront reçus :-( Le 20/03/2024 à 19:15, Daniel via frnog a écrit : Bonsoir Le 20/03/2024 à 19:04, ml-fr...@srv.mx a écrit : Bonjour la liste ! Depuis 10 ans, j'ai mes petits serveurs chez OVH pour héberger mes boites mails. Ces serveurs commençant à vieillir un peu (surtout les hdd) il commence à devenir temps de les migrer. Les IP actuelles de mes petits serveurs ne m'appartenant pas, je vais logiquement en avoir de nouvelles sur leur nouvel environnement. [...] OVH ne te permet pas de garder tes IPs en cas de changement de serveur ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Panne majeure en Afrique de l'Ouest
Bonjour, Quelqu'un aurait-il des précisions à propos de la panne Internet majeure qui frappe l'Afrique de l'Ouest ? Plusieurs pays coupés totalement ou partiellement selon Jeune Afrique. Bonne soirée ! -- Laurent Bloch - https://laurentbloch.net - l...@laurentbloch.org Si vous trouvez que l'éducation coûte cher, essayez l'ignorance ! (A. Lincoln) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Test de la robustesse de la liste
Quel serait le lien entre cette liste et ces m ? Le 05/03/2024 à 17:10, Stephane Bortzmeyer a écrit : Est-ce qu'elle marche quand Facebook et Instagram sont en panne ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] dgfip refusé par gmail
On 29.02.24 13:57, Stephane Bortzmeyer wrote: > On Thu, Feb 29, 2024 at 11:16:59AM +0100, > Alain Thivillon wrote > a message of 49 lines which said: > >>> https://mxtoolbox.com/SuperTool.aspx?action=dkim%3adgfip.finances.gouv.fr%3aemail&run=toolpage >>> >>> >> Ça montre juste qu'il n'y a pas de DKIM avec ce sélecteur "email" ? > > Oui, mxtoolbox est un service médiocre, pour tester sa config > SPF/DKIM/DMARC. Je recommande https://email-security-scans.org pour avoir une évaluation de SPF/DKIM/DMARC, mais aussi pour IPv6, DANE, MTA-STS et autres joyeusetés. Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] - Connectivité FON via 2 chemins
Bonjour, Nous cherchons à relier 2 sites: A/ Global switch à Clichy (7-9 rue petit) B/ 130 avenue pierre brossolette à Malakoff Souhaits: - Disposer de 2 paires de FON via 2 chemins distincts - Une fibre livrée via chaque adduction du bâtiment Pouvez-vous SVP me fournir deux propositions: - Location sur 3, 6 et 9 ans - IRU sur 9 ans Merci d'avance, L.CARON --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Le 20/02/2024 à 15:00, Maxime DERCHE a écrit : … Ce sont ces décennies de culture toxique dans toute notre industrie qui nous ont mené là. Pour rappeler Churchill, je dirais que beaucoup ont refusé la sécurité et se retrouvent maintenant face à la loi et la sécurité. Churchill aurait dit ça où et dans quelles circonstances ? Personne ne va les plaindre. Et il n'y a pas les gentils d'un côté et les méchants de l'autre car les gentils sont déjà certifiés depuis belle lurette, il ne reste que les mauvais, c'est-à-dire ceux qui se sont fait pirater sans le dire et ceux qui sont obligés de l'avouer. Ah, alors il suffit d'être certifié pour être protégé ? Et ceux qui ne sont pas certifiés se sont nécessairement fait pirater, qu'ils l'aient avoué ou non ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Le 19/02/2024 à 23:02, Intermi Charles a écrit : … les recommandations de l'anssi (considérées tant dans le milieu de l'audit que des CaC comme le Graal). C'est d'ailleurs à la base du problème ; les recommandations de l'ANSI ne sont pas universellement pertinentes ou applicables. Un exemple parmi d'autres, la R10 qui dit de bloquer tout accès à Internet depuis ou vers le poste d'administration… Si, si, c'est dans la version 3.0 en date du 11/05/21, celle disponible aujourd'hui en téléchargement sur le site de l'ANSI ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Le 19/02/2024 à 22:22, Bertrand FRUCHET via frnog a écrit : La mission du CAC est annuelle, le risque sera réévalué l'année suivante mais si vous l'avez occulté, vous participez sans le savoir à l'absence de protection car il n'y aura pas de thésaurisation interne à l'entreprise pour pallier à ce risque pendant 1 an. La mission de l'administration informatique est quotidienne. Les attaques se déroulent 24/24 et 7/7 ; le risque peut devoir être réévalué et les dispositifs de protection adaptés tous les jours. Je comprends les préoccupations du CAC mais cela ne justifie pas de demander la communication de détails tels que le nom de l'antivirus ou les plans d'adressage des sous-réseaux internes. D'autant moins que ce serait contre-productif car la divulgation d'informations sensibles augmente e risque considéré. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Le 19/02/2024 à 17:04, Vincent Duvernet a écrit : Bonjour, J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là, ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets différents). Leur commissaire aux comptes demande une évaluation des risques cyber'. On se tape des questions plus ou moins débiles / mal traduites du type : - Une solution antivirus est-elle installée sur chaque poste de l'entreprise ? Est-elle mise à jour régulièrement ? - La porte vers internet a-t-elle un pare-feu configuré ? Quels protocoles sont filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, SSH ou RDP .] Et d'autres plus sensibles : - Quels sont les sous-réseaux, leur IP et leur fonction ? - Quels sont les outils (logiciels) mis en place pour la connexion à distance pour le télétravail ? Là franchement, ça me hérisse le poil. Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir divulguer des informations à un tiers de "semi-confiance" potentiellement exploitables pour une attaque ? Pas du tout et tu as bien raison de ne pas vouloir divulguer des informations sensibles ! Quels sont vos retours sur la question ? Merci, Vincent --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Le 19/02/2024 à 17:15, Léo El Amri via frnog a écrit : La sécurité par l'obscurité n'a jamais protégé personne Mais bien sûr que si et c'est même une des méthodes les plus efficaces ; ce ne doit juste pas être la seule sinon elle est effectivement complètement inefficace. Les méthodes d'attaques basées sur la description des dispositifs de sécurité s'apparentent à l'ingénierie sociale. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Numéros mobile virtuels pour SMS
Bonjour David, Gouverner c'est prévoir, même l'improbable ;-) Et il n'y a pas que l'IP dans la chaine. Serveur email, serveur de supp, maintenant sur des VM... Bien compliqué et fragile tout ça 👿 Et mon sujet est bien la gestion du flux entrant. Autant sur le SMS que j'envoi, je peux aiguiller le destinataire. Mais j'ai aussi des services tiers et des 2FA qui nécessite des SMS Pour l'instant, c'est un *Téléphone Physique* qui est le maillon indispensable (faible ?) Je souhaite ne plus être dépendant de cet unique téléphone mais pouvoir router vers les téléphones individuels des gars en service. Le tout sans faire une usine à gaz (allez changer le numéro dans N interfaces hétérogène) Je classe dans "usine à gaz" la solution du modem qui reçoit les SMS et les revoit vers les destinataire, en singeant ce que faisait le PBX ;-) C'est surtout encore un truc qu'il faudrait développer et maintenir (mal ?) J'avoue avoir envisagé de le faire avec un Mikrotik 4G lors d'une matinée de désespoir d'hiver pluvieuse 😅 Un service tel que On/Off me paraissait plus simple. Mais ce n'est plus possible. Peut-être avec un opérateur européen plus souple ? Laurent-Charles FABRE Le dim. 18 févr. 2024 à 17:10, David Ponzone a écrit : > Ben d’éviter la panne IP :) > Un petit routeur 4g comme route par défaut pour envoyer des sms via une > API au choix. > Le sortant n’est pas un problème via API. Le problème c’est l’entrant. > > David Ponzone > > > > > Le 18 févr. 2024 à 15:49, L-C FABRE a écrit : > > > > Bonjour, > > > > Je prends le sujet en retard et du coup j’ai une question : > > > > Justement pour un cas d’usage qui est le relais d’alertes via SMS pour > arroser 1 ou plusieurs numéro de mobile suivant un calendrier et un parc de > numéro établis. > > En clair, routage d’alerte vers les mobiles d’une équipe d’astreinte en > rotation. > > > > Avant je faisais ça avec notre PABX mais maintenant que tout a basculer > un IPBX, je ne souhaite plus utiliser ce canal. > > L’idée étant que ces alertes sont justement en cas de panne IP > > > > Que me conseilleriez vous ? > > > > Laurent Fabre. > > > > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 240/4 strikes back
Le 12/02/2024 à 22:32, Émile Touron a écrit : Hello, Concernant la quantité de personnes qui maitrisent IPv6 (hors opérateurs), ça s'explique peut-être aussi par l'enseignement universitaire. Le réseau est souvent mal enseigné, et les cours souvent obsolètes (enseigner les classes d'adresse en 2024... De mon côté j'ai eu droit à ATM en 2016). Sauf exception et de mon expérience, au mieux les profs mentionnent IPv6 1 ou 2 slides, mais passent un temps infini sur la description exhaustive du modèle OSI ou sur la composition d'un segment TCP à l'octet près (mais sans expliquer pourquoi c'est fait comme ça). Vécu aussi les explications débiles sur les classes d'IPv4 et les couches du modèle OSI, la frustration de ne pas avoir de description exploitable d'un paquet :-) La formation en informatique que j'ai connue était plutôt lamentable ; j'espère que cela a changé depuis. La documentation disponible aussi, à croire que leurs auteurs voulaient passer pour des génies en présentant leur connaissance de façon aussi obscure que possible. Aujourd'hui, s'il existe un ouvrage de référence qui ne soit pas obsolète, je serais intéressé de pouvoir le lire. Ensuite sur la confidentialité (sujet abordé précédemment), IPv6 a un mécanisme d'adresse aléatoire temporaire. Seul le préfixe est fixe dans le temps... comme l'IPv4 publique d'un NAT. Sauf qu'avec le /64 fixe, le mécanisme de suffixe aléatoire est mignon mais totalement inefficace quand il n'est revu qu'une fois par 24 heures. En pratique, cela revient à n'utiliser que les 64 premiers bits d'une adresse IPv6 pour l'instant (ce qui est plus qu'amplement suffisant). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 240/4 strikes back
Le 12/02/2024 à 17:56, Philippe ASTIER via frnog a écrit : … Sur le profilage, navré, mais là c’est faire preuve d’une naïveté extrême. On laisse tellement de traces que l’adresse IP, quelle qu’elle soit, est une broutille qui ne fait plus peur à personne. Pour vous faire peur, je vous recommande d’essayer https://amiunique.org/. Vous comprendrez que vous êtes fingerprinté par tellement d’autres critères… amiunique.org exploite juste les méta-données d'une requête HTTP faite depuis un navigateur. Croire que le protocole HTTP est le seul utilisé sur Internet c'est faire preuve d'une extrême naïveté :-)). L'adresse IP est quand même beaucoup plus précise et pratique, surtout pour appliquer un contrôle… --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 240/4 strikes back
Le 12/02/2024 à 09:27, Philippe ASTIER via frnog a écrit : Perso, ni chez moi ni chez mes clients, je ne déploie quoi que ce soit qui ne sache pas ce qu’est IPv6. C'est très bien. Mais en attendant, tes futurs clients vont avoir du mal à se renseigner sur les services proposés par ta société : # wget https://www.astier-consulting.fr --2024-02-12 17:06:26-- https://www.astier-consulting.fr/ Resolving www.astier-consulting.fr (www.astier-consulting.fr)... 2606:4700:3108::ac42:2863, 2606:4700:3108::ac42:2b9d, 172.66.40.99, ... Connecting to www.astier-consulting.fr (www.astier-consulting.fr)|2606:4700:3108::ac42:2863|:443... connected. HTTP request sent, awaiting response... 526 2024-02-12 17:06:26 ERROR 526: (no description). Rien de personnel bien sûr mais je saisie juste cette opportunité d'illustrer que l'IPv6 ne fait pas tout :-) Pour autant que je comprenne, l'IPv6 apporte certes une augmentation considérable du nombre d'adresses IP (et la fin des NAT) mais embarque aussi la possibilité d'un "profilage" (ou contrôle) beaucoup plus précis des usages (justement par la fin des NAT). Je me demande si ce ne serait pas cette deuxième raison la principale motivation présentée sous couvert de la première… Je précise. En IPv4, l'utilisateur est planqué derrière une IP publique avec un port éphémère qui permet de faire le lien avec son IP locale en pratique inconnue de l'extérieur alors qu'en IPv6, on a une visibilité précise du poste de l'utilisateur (ou de l'équipement ou de l'objet connecté). Sinon, aujourd'hui, l'un de mes serveurs qui représente un intérêt totalement dérisoire, bloque plus de 58000 IPv4 de pirates. Je n'ose pas imaginer ce que ce sera quand il devra filtrer les IPv6 lorsque les IPv4 auront disparues ! Pour ma part, je passerai à l'IPv6 quand ce sera nécessaire (mais ce n'est pas moi qui décide). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 240/4 strikes back
Le 11/02/2024 à 19:54, Philippe ASTIER via frnog a écrit : Evidemment, pour le savoir, encore faut-il ne pas avoir banni IPv6 pour des raisons idéologiques. A l'inverse, il y a clairement des raisons idéologiques pour vouloir passer à l'IPv6. Il y a aussi de bonnes motivations techniques pour préférer l'IPv4 (voir le dernier fil auquel j'ai participé sur le sujet). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] La belle boite de Pandore....
Le 02/02/2024 à 07:11, richard a écrit : Bonjour, finalement, où que soient stockées les données, même en France, ça n'empêchera pas les gros problèmes concernant la sécurité (notamment le maillon le plus faible de la chaine, l'humain...) : Le problème c'est le traitement que l'on fait des données, pas où elle sont stockées. Mais il n'y a pas de traitement possible sans données ; contrôler le stockage est un préalable efficace. … Pour démarrer dredi en wheeling :D Malheureusement, même on n'en parle que le vendredi, cela reste valable tous les jours. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] La belle boite de Pandore....
Le 01/02/2024 à 20:57, Richard Klein a écrit : … Et pour en remettre une couche, il y a quelques décennies il y avait eu un article sur les samsung qui avait sa puce basse bande avec un backdoor. De mémoires il suffisait de faire du port knocking over the air et sesame ouvre toi pour faire un dump de la ram. Dans la ram il y a quoi? Ce que je tape au clavier Ce qui s’affiche à l écran Dans ce cas olvid ou autre messagerie quantiques ne protègera personne! Un backdoor est superflu : on peut le faire encore plus simplement au niveau du système d'exploitation des smartphones et iOS ou Android sont américains. Nos smartphone sont sous contrôle américain, nos opérations bancaires sont dépendantes de nos smartphones (DSP2) et donc nous sommes sous contrôle a… Envoyé de mon iPhone :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] La belle boite de Pandore....
Le 01/02/2024 à 15:37, David Ponzone a écrit : Et savoir qui a rédigé le cahier des charges. McKinsey ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] La belle boite de Pandore....
Le 01/02/2024 à 15:37, Philippe ASTIER via frnog a écrit : Et finalement, au bout du compte, qu’est-ce qu’ils ne savent pas faire les européens ? La remontée légale des données stockées aux autorités américaines peut-être ??? Microsoft est bien une filiale d’une société américaine, non ? Vous croyez vraiment qu’ils échappent aux règles US ? C’est très scandaleux…. C'est non seulement scandaleux mais surtout un désaveux complet de la mission de la CNIL. Il y a une incohérence flagrante entre l'injonction parfaitement intelligible et logique de protéger les données à caractère personnel en ne les stockant que sur des serveurs européens et la licence donnée à l'état français de confier à une société américaine les informations personnelles les plus sensibles qu'il soit ! Désormais, ça va être très compliqué d'expliquer à mes clients qu'il doivent /prendre toutes les mesures nécessaires au respect de la protection des données personnelles *dès la conception* du produit ou du service/. (https://entreprendre.service-public.fr/vosdroits/F24270)… :-( --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique
Merci pour cette réponse détaillée ! Pour le point 1, cela concerne le contraire de ce que tu évoques : bloquer un truc qui ne veux pas de mal sur un serveur mais qui n'a rien à faire sur un autre serveur, un faux positif en fait. Je suis allé voir (rapidement) sur leur site avant d'écrire mon message mais je n'avais pas trouvé comment crowdsec évitait la propagation de faux positifs ni les sources. Je vais y retourner plus attentivement. Je vais déjà écouter la présentation que tu indiques. En tout cas, savoir que les auteurs sont recommandés c'est un point très positif. Le 26/01/2024 à 14:02, Philippe Bourcier a écrit : Re, Je vais faire un peu le SAV Crowdsec (je précise que je n'ai pas de billes dans cette société). Mais c'est un projet Français fait par des gens que je connais et apprécie et qui ont pensé à beaucoup des points évoqués ci-dessous. D'ailleurs, ils ont fait une prez lors d'une réunion FRnOG, si vous voulez... https://www.dailymotion.com/video/x8asnpp?playlist=x7hb3i J'ai trois objections à propos d'une protection participative telle que crowdsec : 1. les règles de détection d'une attaque potentielle devrait être définie relativement au contexte particulier de chaque serveur, Bof, quelle raison de laisser passer un truc qui ne te voudra *clairement* jamais du bien ? 2. si les IP à bannir sont partagées, comment empêcher que cette liste soit polluée par malveillance, Ca c'est parfaitement géré, tu peux aller lire sur leur site comment ca fonctionne... 3. comment s'assurer que l'on installe pas un accès dérobé avec crowdsec ? C'est open-source, c'est Français et c'est des gens qui ont toujours bossé dans la cybersécurité, donc pour lever tout doute par rapport à un bout de code, etc, ne pas hésiter à les contacter. 🤷♂️ Cordialement, -- Philippe Bourcier https://twitter.com/irukanji_invest https://www.linkedin.com/in/philippebourcier/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique
Update : https://api.iplocation.net/ a l'air vraiment intéressant, merci ! Le 26/01/2024 à 10:00, Laurent Barme a écrit : Le 26/01/2024 à 09:47, Stéphane Rivière a écrit : >Ah, et où trouves-tu la liste des VPN connus pour officier en France ? En tapant dans le gougle quelques caractères genre well known vpn ip. en rajoutant in france peut aider mais y'a d'autres moyens de filtrer, justement avec les bases de ip2location dans cette thread. Et qu'est-ce qui empêcherait un pirate d'utiliser (depuis n'importe quelle origine géographique) une adresse IP "géolocalisée" en France qui ne soit pas dans cette liste ? En (prenant le pb à l'envers en) ne gardant que les ranges des FAI, c'est encore plus simple. Tout à fait d'accord ; je rêverais d'avoir les plages d'adresse IP des FAI ! Alors oui, j'ai gglé la question mais la réponse est un peu périmée (20 juin 2013 à 23:06:39) : https://lafibre.info/ipv6/plages-ip-par-fai/ Et j'ai comme un doute sur une mise à jour régulière de cette liste :-\ Parce qu'on va quand même pas envisager que le dodoze de Mme Michu pourrait être botté :>>> Ben voyons :-) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique
Le 26/01/2024 à 09:47, Stéphane Rivière a écrit : >Ah, et où trouves-tu la liste des VPN connus pour officier en France ? En tapant dans le gougle quelques caractères genre well known vpn ip. en rajoutant in france peut aider mais y'a d'autres moyens de filtrer, justement avec les bases de ip2location dans cette thread. Et qu'est-ce qui empêcherait un pirate d'utiliser (depuis n'importe quelle origine géographique) une adresse IP "géolocalisée" en France qui ne soit pas dans cette liste ? En (prenant le pb à l'envers en) ne gardant que les ranges des FAI, c'est encore plus simple. Tout à fait d'accord ; je rêverais d'avoir les plages d'adresse IP des FAI ! Alors oui, j'ai gglé la question mais la réponse est un peu périmée (20 juin 2013 à 23:06:39) : https://lafibre.info/ipv6/plages-ip-par-fai/ Et j'ai comme un doute sur une mise à jour régulière de cette liste :-\ Parce qu'on va quand même pas envisager que le dodoze de Mme Michu pourrait être botté :>>> Ben voyons :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique
En tout cas, si on en doutait, ta contribution à la discussion le confirme :-) Le 26/01/2024 à 08:40, David Ponzone a écrit : Ah on sent que c’est vendredi :) Le 26 janv. 2024 à 08:03, Laurent Barme <5...@barme.fr> a écrit : Le 25/01/2024 à 09:08, Stéphane Rivière a écrit : … Merci pour crowdsec, jamais utilisé mais on emploie ce principe dans d'autres écosystèmes et le retour est bon :) J'ai trois objections à propos d'une protection participative telle que crowdsec : 1. les règles de détection d'une attaque potentielle devrait être définie relativement au contexte particulier de chaque serveur, 2. si les IP à bannir sont partagées, comment empêcher que cette liste soit polluée par malveillance, 3. commet s'assurer que l'on installe pas un accès dérobé avec crowdsec ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique
Le 26/01/2024 à 08:57, Stéphane Rivière a écrit : >Ce test illustre bien la facilité avec laquelle ce dispositif peut être contourné, merci ! Sauf si tu bans les IP des VPN connus pour officier en France... Ah, et où trouves-tu la liste des VPN connus pour officier en France ? Et qu'est-ce qui empêcherait un pirate d'utiliser (depuis n'importe quelle origine géographique) une adresse IP "géolocalisée" en France qui ne soit pas dans cette liste ? Pour prendre un peu de recul, on est bien d'accord que la géolocalisation des adresses IP sous-entends celle de celui qui l'utilise ? Alors, seuls les FAI ont une visibilité (toute relative) sur cette information et je doute qu'ils la partagent, sauf injonction judiciaire bien sûr et sans doute très peu avec une instance étrangère. La géolocalisation d'une IP est déjà une gageure en soit mais en plus son utilisateur peut agir de presque n'importe où ; les tunnels ssh sont très commodes… --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fin de l’IPv4 en République tchèque
Le titre est trompeur : ce n'est pas la fin de l'IPv4 en Tchéquie mais juste l'annonce préalable, pour dans 8 ans, de la nécessité d'utiliser une IPv6 pour l'accès aux sites Internet de l'administration de ce pays. Dans 8 ans ! D'ici là… Le 24/01/2024 à 16:13, Arnaud FEIX a écrit : Salut, Petite news découverte cette semaine, le premier pays à annoncer la fin d’IPv4 est donc la république Tchèques, le 6 juin 2032 l’administration ne sera plus joignable qu’en IPv6. Je vous joint la source : https://konecipv4.cz/en/ Bonne journée 😎 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique
Le 25/01/2024 à 09:08, Stéphane Rivière a écrit : … Merci pour crowdsec, jamais utilisé mais on emploie ce principe dans d'autres écosystèmes et le retour est bon :) J'ai trois objections à propos d'une protection participative telle que crowdsec : 1. les règles de détection d'une attaque potentielle devrait être définie relativement au contexte particulier de chaque serveur, 2. si les IP à bannir sont partagées, comment empêcher que cette liste soit polluée par malveillance, 3. commet s'assurer que l'on installe pas un accès dérobé avec crowdsec ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique
Le 25/01/2024 à 17:17, Stéphane Rivière a écrit : … Test ON/OFF avec divers VPN internationaux OK Ce test illustre bien la facilité avec laquelle ce dispositif peut être contourné, merci ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique
Le 24/01/2024 à 20:31, Philippe Bourcier a écrit : … Je trouve que le réflexe sanitaire du moment (quand tu peux) c'est un geofilter + CrowdSec. Comme ca même le national p0wné ne passe pas... Ce conseille est similaire au dogme des mises à jour : il est simple à comprendre, facile à mettre en œuvre et donc très rassurant. En bonus, le "sanitaire" lui ajoute une connotation "sûr et efficace". Bon vendredi :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] UCEPROTECTL3 blacklist
Bonjour, Je ne connais aucun serveur mail sérieux qui utilise UCEPROTECTL3 comme signal important dans la classification spam. Cette RBL a pour but de lister des plages IP plutôt larges. Donc presque toutes les VPS de OVH y sont, mais aussi d'autre fournisseurs pas toujours très réactifs aux abus. A noter de UCEPROTECT permet de se délister dans certains cas de UCEPROTECTL1 ou UCEPROTECTL2 (si je ne me trompe pas) si l'opérateur de l'IP paye une rançon... Je considère que ce modèle commercial et cette manière de gérer une RBL ne sont pas éthiques. Google utilise une énorme quantité de signaux pour décider qu'est-ce qui est spam ou non. Je pense que cela vaut mieux de vérifier si les bonnes pratiques mailing sont respectées (rDNS, SPF, DKIM, ...) au lieu de se soucier de ce listing particulier. Par contre, oui OVH n'a pas une super bonne réputation au niveau de ses IPs, cela reste possible que cela soit en votre défaveur. Cordialement, Laurent On 11.01.24 11:13, Merwan Zenati wrote: > Bonjour a tous, > > Ce matin un de mes collaborateurs m'a fait part du fait que ses invit teams > se retrouvent dans les spams. Je vois que notre ndd est sur la > blacklist UCEPROTECTL3, le serveur 51.91.60.233 est IPTWIN hosted OVH. > Étrangement seuls les mails avec invitations sont flag en tant que SPAM par > google, les mails normaux passent, et le Mxtoolbox Health Analyzer me dit > que le domaine est plutôt en "bonne santé" sans me mentionner le blacklist > ci-dessus. > Sommes-nous les seuls dans cette situation ? > > Merci, > M > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Limitation de puissance Linky : concrètement, c'est quoi ?
J'ai envoyé ce matin à 07:45 le même message que celui ci-dessous mais en changeant de sujet (sujet initial remplacé par "Blocage par Cloudfront ?") et il ce message de 07:45 n'a pas été diffusé sur FRnOG alors que celui de 10:12, sans changer de sujet, a bien été transmis. Est-ce bien le changement de sujet qui est bloqué par FRnOG ou est-ce un autre mécanisme à l'œuvre ? Le 05/01/2024 à 10:12, Laurent Barme a écrit : … Comment Cloudfront pourrait-il bloquer ton accès à une page du site Enedis et pourquoi aurait-il pris une telle décision ? Utilises-tu un blocage de cookies ou un autre dispositif intermédiaire entre toi et enedis.fr ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Limitation de puissance Linky : concrètement, c'est quoi ?
Le 04/01/2024 à 21:55, Julien Escario a écrit : Le 04/01/2024 à 18:31, Paul Caranton via frnog a écrit : … Source : https://www.enedis.fr/faq/limitation-temporaire-de-puissance-electrique/comment-le-test-va-t-il-se-derouler Alors, j'adorerais accéder à cette ressource mais Cloudfront semble avoir décidé que je n'étais plus digne de voir le site Enedis. Comment Cloudfront pourrait-il bloquer ton accès à une page du site Enedis et pourquoi aurait-il pris une telle décision ? Utilises-tu un blocage de cookies ou un autre dispositif intermédiaire entre toi et enedis.fr ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Limitation de puissance Linky : concrètement, c'est quoi ?
Hello, Il y a bien un Organe de coupure (contacteur) dans le linky. La doc le confirme ! Comme tu le dis, la population générale ne sais pas faire la difference entre kW (puissance instantannée) et kWh (puissance "tiré sur une periode" facturé) et tu oublie le kVa qui a toute son importance ici ! Notre ami Cosphi le comeback avec la mesure du déphasage qui va avec ! Un radiateur electrique à un cosphi de 0.99/1 : 1kW consommé ) 1kVa ! Par contre... Une PAC c'est un moteur, donc des condensateurs ! Donc le Cosphi n'est pas de 1 ! mais on concidère 0.95 à pleine charge (et souvent entre 0.8 et 0.90 en "régulation inverter") donc une PAC de 2kW de puissance soutiré (pas restitué !) aura un tirage max de 2*0.95 => 1.9kVa ! Max... Un ordinateur... lui le cosphi moyen est vers 0.8 de mémoire... Donc 0.200kW tiré = 0.160kVa... (on va pas parler d'une ampoule LED qui tombe même à 0.6 de cosphi !) Que ce passe t'il si on tira 4kVa sur un abonnement 3kVa? C'est possible! Le fameux Puissance appliquée : "Pcoup" Dans la documentation ENEDIS du linky est précisé les puissance de coupure : 1.1*Abonnement : Sans limite ==> jusqu'à 3.3 (3kVa abonnement) 1.4*Abonnement : pendant 250s ==> jusqu'à 4.2 (3kVa abonnement) 2.5*Abonnement : 40s ==> jusqu'à 7.5 (3kVa abonnement) Un peu de doc : https://www.enedis.fr/media/2035/download+ Plus terre à terre, pour le délestage, les gens équipés de système "full électrique" on au moins un système de "domotisation autonome" (au moins les ancien logements en chauffage full elec !) qui fonctionnait sur un signale envoyé par ENEDIS sur le réseau (le même genre de trame que pour avoir la couleur du jours Tempo/EJP sur les bouliers ainsi que le contact HP/HC !). En domotique de nos jours, ce signale est envoyé par la sortie "TIC" du linky (mode historique ou non) qui permet justement à un petit ordinateur de délestage de piloter différents contacteurs Normalement Ouvert (2F) lors du délestage. Pour la PAC : Justement, la capacité des linky à "encaisser" pendant 40s x2.5 la puissance abonnement permet de soutiré pendant 40s jusqu'à 7.5kVa (en 3kVa) ou 250s jusqu'à 4.2kVa (en 3kVa) suffit à "faire demarer" la PAC. En 6kVa tout electrique (dont PAC + chauffage sdb electrique en maison), j'ai jamais disjoncté en 6 ans et extremement rarissime sont mes pic à plus de 5kVa. Voila mes 2cents ! :) Laurent Le 04/01/2024 à 16:37, Julien Escario a écrit : Bonjour, Permettez de rebondir sur un sujet pas mal évoqués fin 2022 quand il y avait des risques de blackout sur le réseau. A priori, l'expérimentation consistant à limiter la puissance des Linky se précise puisque c'est le Puy-de-dôme qui s'y colle [1]. Je ne trouve cependant aucune info technique sur la façon dont c'est fait. Limitation à 3kVA, je veux bien, mais que se passe t'il si on tire 4 kVA ? Je ne vois aucune autre solution que de couper. Hors, il m'avait semblé lire ici que le Linky n'avait pas d'organe de coupure. Pourtant je lis ici [2] qu'il arrive de devoir réarmer le Linky. Si effectivement ça coupe, cela signifie que l'on va avoir tout un tas de foyers dont l'électricité risque d'être coupée pendant de longues heures si c'est en plein milieu de la journée et qu'il n'y a personne. Je pense notamment à ceux qui ont des PAC qui tirent au moins 2kW voire beaucoup plus pour certaines. Encore mieux pour ceux qui sont absents (+72h) et risquent de se retrouver avec un élevage de champignons dans le frigo/congèlo. Je doute que ceux là se contentent des 10 balles de prime (quoique, ils n'auront probablement pas le choix). A toute fin utile, je rappelle qu'en population générale, une écrasante majorité de nos concitoyens ne fait pas la différence entre un kW et un kWh. L'un de vous aurait-il un éclaircissement ? Merci et bonne année (même si en un unixtime, ca ne signifie rien), Julien 1: https://www.tomsguide.fr/linky-on-connait-enfin-le-departement-ou-aura-lieu-le-test-de-black-out-de-200-000-foyers/ 2: https://www.kelwatt.fr/guide/compteur/electricite/rearmer-linky --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cet e-mail a été vérifié par le logiciel antivirus d'Avast. www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Test du Plan de Continuité d'Activité des services de l'état le 31/12
Ma réponse en bref : https://www.iridium.com/Phones/ TL;DR; Le 22/12/2023 à 12:30, Toussaint OTTAVI a écrit : Bonjour, … On ne peut que se sentir révolté par tant d'iniquités au point d'en arriver presque à souhaiter qu'il y ait bientôt un événement (totalement fortuit, bien entendu) en corrélation avec cette histoire. Toutes ces suppositions induisent donc les questions techniques suivantes : - Dans une telle éventualité, comment informer tous les opérateurs (et leurs clients critiques) de tenir leurs équipes en alerte la nuit du 31/12 ? Il me semble que ça, c'est fait. - Il y a quelques temps, à propos des incidents fibre à répétition, j'avais posé la question de savoir si un administré de MONTCUQ pourrait toujours téléphoner au SAMU ou aux pompiers de MONTCUQ si les liens remontant vers Paris venaient à tomber. Quelqu'un se rappelle t-il si une réponse claire à cette question a été fournie ? La meilleure alternative que je connaisse : https://www.iridium.com/Phones/ - Quelqu'un sait où se trouve le Raymond CROZE actuellement ? Combien de temps lui faut-il pour appareiller et se rapprocher de la zone supposée du test ? Même s'il était sur zone, sa seule présence ne suffirait pas à remédier à la situation dans un délai raisonnable. -- L'individu en question souhaite à tous un bon Vendredi, et un Joyeux Noël. Comme la prononciation de ces mots est désormais interdite, il est bien conscient que ceci pourrait le mener derrière les barreaux. Il suppose qu'avant de lui notifier sa mise sous écrou, un tribunal compétent (de préférence en un seul mot) sera bien obligé de lui délivrer, au préalable, une identité, et des droits. ;-) ;-( Si le contexte n'était pas aussi tragique, ce serait très drôle. Quoiqu'il en soit, c'est très bien écrit. Merci Toussaint. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT]
Le 16/12/2023 à 00:04, Léa Gris a écrit : Le 15/12/2023 à 19:35, Sébastien Lebourg via frnog écrivait : > > Effectivement, il y a beaucoup de neige ; c'est tout blanc ! :-)) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] MTU sur switch Huawei CE
Bonjour, vendredi étant un bon jour pour passer pour une buse, j'ai une question pour vous :-) Switch 1 : Route Port,The Maximum Transmit Unit is 9600,The Maximum Frame Length is 9216 IP Sending Frames' Format is PKTFMT_ETHNT_2,... Internet Address is 10.0.61.75/31 Switch 2 Route Port,The Maximum Transmit Unit is 9600,The Maximum Frame Length is 9216 IP Sending Frames' Format is PKTFMT_ETHNT_2,... Internet Address is 10.0.61.74/31 Les 2 ports sont reliés en direct, pas de vlan, vxlan vpn... rien de rien Le plus gros paquet que je passe: ping -f -s 9170 10.0.61.75 PING 10.0.61.75: 9170 data bytes, press CTRL_C to break Reply from 10.0.61.75: bytes=9170 Sequence=1 ttl=254 time=1 ms Y'a un truc qui m'échappe Qui saurait me dire pourquoi 9170 ? Merci de vos lumières ! Laurent FABRE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Re: Orange Offre
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 27.11.23 22:39, Jerome Marteaux wrote: > Finalement le seul risque de démarrer ce projet c'est d'échouer ! > Et si échec, il n'y aura aucune conséquence, comme dirait l'autre: "Je > ne dirais pas que c'est un échec : ça n'a pas marché" ! Mise à par le coût écologique, il est toujours bon de rappeler les risques du Syndrome de Kessler. Voici en très court ce que wikipédia en dit: > Le syndrome de Kessler est un scénario envisagé en 1978 par le consultant de > la National Aeronautics and Space Administration (NASA) Donald J. Kessler, > dans lequel le volume des débris spatiaux en orbite basse dû à la pollution > spatiale atteint un seuil au-dessus duquel les objets en orbite sont > fréquemment heurtés par des débris, et se brisent en plusieurs morceaux, > augmentant du même coup et de façon exponentielle le nombre des débris et la > probabilité des impacts. Au-delà d'un certain seuil, un tel scénario rendrait > quasi impossible l'exploration spatiale et même l'utilisation des satellites > artificiels pour plusieurs générations. Je ne sais pas vous, mais moi, du coup, j'ai la boule au ventre à chaque fois que j'entends parler de Starlink et de la démesure du Musk. -BEGIN PGP SIGNATURE- Version: ProtonMail wnUEARYIACcFAmVlv4cJEGrKMAvEr8lYFiEE7GCsX266hFD8sTLtasowC8Sv yVgAAGIfAP9QkTRFk8vLdz7eBfMHwgHD5A8CZ3rRBzkJXyWhxUjl9wEAtpoK 1FQAJkrIzQ4QIHQ9SGDz2hUcizJQX7tBvcNSpwM= =c4DN -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Domaines mails anonymes
Le 20/10/2023 à 16:28, Arnaud Launay a écrit : Le Fri, Oct 20, 2023 at 04:15:55PM +0200, Thierry Chich a écrit: Ouais, c'est une provoc pour les libertariens. Tant que tu passes par franceconnect pour t'identifier avant la création du mail, tout va bien. Promis: les données ne sortiront pas des bases du gouvernement. :-)) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Recherche don Switch - (PoE si possible)
Bonjour FRnOG, J'ai croisé une association en île-de-france qui héberge des familles et qui est tombé en rade de switch fonctionnel pour maintenir leur réseau, ils fonctionnent actuellement avec des petits DLink que des gens ont apporté sur un réseau (environ une 50aines de câble à brasser) qui contient du matériel pour certains PoE et qui ne peut plus fonctionner. Aussi je suis à la recherche de bonne âme si vous avez des switch si possible avec PoE, je serai ravis de vous en débarrasser pour les aider. Merci, Cordialement, -- Sylvain `Magicking' Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] "Récupération de vos documents"
Excellent ! Cela m'a encore plus fait rire que la réponse du docteur qui gère la messagerie d'un (gigantesque) hôpital. Et avec tout ça, on oublie de parler de l'absence de confidentialité de mails. On imagine que le pièces jointes à destination d'un hôpital son sans doute pourvues de données à caractère personnel :-( Le 06/10/2023 à 15:12, Stéphane Rivière a écrit : … Il faut laisser ça à ceux qui gèrent de petits serveurs de messageries personnels tels que : SFR Mail : max 100 Go GMX Caramail : max 50 Mo en émission mail.com : max 50 Mo en émission GoDaddy : max 30 Mo en émission et réception Yandex : max 25 Mo en émission Gmail : max 25 Mo/50 Mo en émission AOL : max 25 Mo en émission et réception Free : max 25 Mo en émission Orange : max 25 Mo Laposte.net : max 20 Mo Zoho Mail : max 20 Mo ProtonMail : max 15 Mo ^ j'adore la réponse bien documentée. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Je recherche un clavier...
Edit : "Votre message pour la liste frnog a été transmis au(x) modérateur(s)" Image dispo en https://blog.nun.tf/media/2023/10/planck_olkb.jpg Le 03/10/2023 à 14:01, Jacques Michau via frnog a écrit : Ahah super ! Alors à quoi il ressemble ? Voir image en pièce jointe (planck_olkb.asc) à renommer en .jpg ; il me semble que les images ne passent pas sur FRnOG alors je tente cette esquive au cas où seule l'extension serait prise en compte :-) Et est-ce que c'est le V7 qui permet de configurer à la volée sur une page web ou bien il faut toujours " compiler son clavier" en C et charger le firmware obtenu ? Oui, c'est le v7. Il semble que l'on puisse aussi (comme pour les autres versions) le configurer depuis une page web mais j'ai trouvé la méthode en ligne de commande beaucoup plus accessible. En tout cas je n'ai pas eu de difficulté à le configurer comme je le voulais. C'est d'ailleurs un énorme avantage de ce clavier que de pouvoir mettre les caractères qu'on utilise le plus souvent à porter du moindre mouvement et du moins de doigt possible. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Je recherche un clavier...
Le 23/07/2023 à 18:32, Jacques MICHAU via frnog a écrit : Bonjour, Allez je m'y mets aussi. Je suis parti sur un clavier 40% orthogonal chez drop.com (olkb planck v6, maintenant c'est v7) et là tu choisis tout (les switchs parmi les 15 modèles existants, clicky ou pas, tu choisis la pression etc, les keycaps - autant prendre noir ou un peu fantaisiste - car sur un 40% de toute manière tu multiplies les mappings avec des touches pour changer à la volée). Ça a l'air complètement con comme concept, mais une fois maitrisé, tu ne jures plus que par ça et tu le trimballes entre le boulot et la maison... tu bouges plus les mains, tu tapes à fond comme avant - perso même plus vite qu'avant, c'est totalement programmable à la touche près et là ça va bien plus loin que tout ce qu'offrent les razer & co, les lumières en moins). Alors certes c'est un peu extrêmiste et tu perds quelques semaines à te louper sur des touches (surtout les passwords...), mais après, quel bonheur. In fine ça te coute une petite blinde, mais pas tellement pire que les grosses marques. Et en bonus tu passes pour un dingue :) Jacques Bonjour Jacques, Merci de m'avoir fait découvrir le Planck ! J'ai trouvé le concept assez judicieux pour avoir envie de l'éprouver et je peux confirmer qu'après seulement une semaine d'utilisation, j'en suis déjà ravi. Bonne journée, Laurent Barme --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Abuse Scaleway/Online
Le 23/09/2023 à 19:27, David Ponzone a écrit : Le 23 sept. 2023 à 18:47, Laurent Barme <5...@barme.fr> a écrit : Cela dit, je doute qu'ils puissent faire grand chose au sujet du détournement de leur serveurs par les pirates et cela vaut pour d'autres hébergeurs. Et s'il pouvaient, ce ne sont pas les seuls à servir de base d'attaque. Elles viennent du monde entier et en particulier de pays où on aura du mal à trouver un interlocuteur… Oui mais sur certains services, il est simple de bloquer par geoip tout ce qui vient pas d’une liste explicite de pays, si le client n’a pas de raison d’accéder à son service depuis ailleurs. Il y a deux problèmes dans ta proposition. Le premier est l'arbitraire de la géolocalisation des IP et le deuxième est la proposition de censure sous le contrôle de l'hébergeur. Mais si ça vient de France… En réalité on ne sait pas d'où ça vient vraiment, on peut juste connaître qui gère l'IP administrativement ce qui n'a rien à voir avec qui s'en sert. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Abuse Scaleway/Online
Le 21/09/2023 à 10:07, David Ponzone a écrit : Bonjour, Quelqu’un connait un moyen fiable de joindre la cellule abuse de Scaleway/Online ? (autre moyen que leur formulaire en ligne qui est une vaste blague, puisqu’il aboutit à un rejet de demande parce que j’ai pas fourni des infos…que le formulaire ne demande pas) Merci David Pour l'avoir expérimenté à propos des bugs apparus lors de l'évolution de l'Object Storage chez Scaleway, le plus efficace pour traiter un problème que l'on attribue à Scaleway et d'aller en parler sur Sclack : https://www.scaleway.com/en/docs/tutorials/scaleway-slack-community/ Ou directement sur : https://slack.scaleway.com/ Cela dit, je doute qu'ils puissent faire grand chose au sujet du détournement de leur serveurs par les pirates et cela vaut pour d'autres hébergeurs. Et s'il pouvaient, ce ne sont pas les seuls à servir de base d'attaque. Elles viennent du monde entier et en particulier de pays où on aura du mal à trouver un interlocuteur… C'est à traiter au niveau de chaque serveur. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Abuse Scaleway/Online
Le 22/09/2023 à 10:34, Alexandre Archambault a écrit : Le 21/09/2023 à 21:49, Jeremy a écrit : Bon, c'est vendredi dans 2h, je me lance. Je me demande s'il y a des employeurs qui lisent cette liste et, le cas échéant, ce qu'il pensent de la coutume du vendredi ; comme si le weekend était de 3 jours :-) PS: cette réponse est opportuniste et ne s'adresse pas particulièrement à l'auteur du mail en question. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [France Inter] Les ratés de la fibre
Le 11/09/2023 à 13:08, David Ponzone a écrit : Y a un intrus dans ta proposition: Aller au bout du concept, c'est faire une appli qui quand tu change d'opérateur ça te déverrouille l'armoire pour que tu cable toi même "comme un grand (cochon)" dans le PM ! « Déverrouille » C'est pas un intrus, c'est un semblant de sécurité sur le papier pour se couvrir alors qu'il n'y a même pas de serrure ! ;) Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [France Inter] Les ratés de la fibre
Tu n'y est pas David ! Aller au bout du concept, c'est faire une appli qui quand tu change d'opérateur ça te déverrouille l'armoire pour que tu cable toi même "comme un grand (cochon)" dans le PM ! Comme ça, hop, même plus de sous-traitant IIbar ! Car ça sera une option à 100€ de faire déplacer quelqu'un pour câbler comme un cochon à ta place (bien trop souvent...) Pardon, c'est que Lundi, je sais ! (Enfin, un certain homme du XXème disait que le temps est relatif... Donc... C'est relatif le jours du Trolldi !) Laurent Le 11/09/2023 à 11:12, David Ponzone a écrit : Tu touches pas à l’uberisation du métier, c’est comme ça. C’est le nouveau modèle ça: ça évite des embauches aux gros acteurs (pour rester agile), et tous ces autoentrepreneurs ne sont plus sur les listes du chômage, c’est Win-Win. Par contre, pour aller au bout du concept, on pourrait peut-être sortir une app appelée « Fiber » qui permet à un particulier de commander l’intervention d'un tech fibre quelconque pour qu’il vienne lui régler son problème de FTTH, avec obligation de résultat partielle ? Le 11 sept. 2023 à 11:04, Hmaks Doe a écrit : C'est très conciliant comme reportage j'ai trouvé manque d'intervenants à charge ? ça remet pas en question le système pour deux sous, juste on va faire des audits et former les techos pour s'améliorer mais sinon c'est nickel changez rien. On a presque l'impression que les X niveau de sous-traitance apportent sérieux et qualité. Personne pour dire que quand t'as X intermédiaire qui prennent chacun 30% pour brasser du vent il reste pas grand chose pour le pelé qui fait le job en bout de chaîne et qui torpille la presta pour rentrer dans ses objectifs. On Mon, Sep 11, 2023 at 9:17 AM David Ponzone mailto:david.ponz...@gmail.com>> wrote: J’ai écouté 2 min. Altitude doit être content de savoir qu’ils sont « un sous-traitant chargé le déployer la fibre pour SFR ». C’est dommage cette manière de chercher à simplifier les relations entre opérateurs, qui ne sont pourtant pas très complexes. Le 10 sept. 2023 à 13:54, Stephane Bortzmeyer mailto:bortzme...@nic.fr>> a écrit : On Sun, Sep 10, 2023 at 10:53:21AM +0200, Stephane Bortzmeyer mailto:bortzme...@nic.fr>> wrote a message of 15 lines which said: Bopnne explication pour le grand public des innombrables coupures et du travail de cochon qui est fait : https://www.radiofrance.fr/franceinter/podcasts/interception/interception-du-dimanche-10-septembre-2023-4299565 <https://www.radiofrance.fr/franceinter/podcasts/interception/interception-du-dimanche-10-septembre-2023-4299565> Page supprimée par France Inter, désolé. Elle n'est plus dans la liste de l'émission <https://www.radiofrance.fr/franceinter/podcasts/interception <https://www.radiofrance.fr/franceinter/podcasts/interception>> --- Liste de diffusion du FRnOG http://www.frnog.org/ <http://www.frnog.org/> --- Liste de diffusion du FRnOG http://www.frnog.org/ <http://www.frnog.org/> --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Passages de câble, voisinage et propriétés privés.
Bonjour, Vu la configuration avec ce genre de problème, propose un passage façade (sauf si classement bâtiment de France...) voir avec proposition d'installation d'un cache câble au frais du client si il veux du "beau" (il existe des prépeint blanc, sablé, etc...). Passer chez quelqu'un pour la maintenance à long terme, c'est juste à proscrire. Et tu explique à ce client qui veux la fibre que c'est "la seule solution possible vu que son voisin ne veux pas être sympas". Sur une maison qui a été "séparé" on fait des trou pour adducter séparément par la facade sans soucis, c'est un cas plus que courant par chez moi surtout sur Bordeaux Centre qui dispose de maison unique qui ont été divisé en plusieurs appartements. Et puis, disons le, une maison séparé en 2 ou + d'appartement est une copropriété de fait si il y a plusieurs propriétaires ! Mais souvent ces micro copro sont géré un peu à la "va comme je te pousse" même niveau règlement et obligation Laurent Le 29/08/2023 à 12:28, Carroussel Informatique a écrit : Bonjour à tous et toutes. Je ne suis pas certain de la catégorie utilisé, à priori c'est plus du juridique que du technique... J'ai un client particulier, qui veux passer de SFR à Orange. Orange lui a envoyé une box fibre, incompatible avec sa ligne actuelle, encore en cuivre. Il faut donc virer le câble de cuivre et tirer une fibre à la place. Problème : c'est un vieil immeuble, en fait je pense qu'il s'agissait d'une très grosse maison de village, qui a été coupé en deux, bref... Et le fil de cuivre passe chez le voisin, avant d’atterrir "quelque part" chez mon client, en faisant au passage des boucles exotique dans les murs. Problème 2 : Le voisin est un spécimen asser courant de grossus connardus vulgaris, qui ne fait rien pour aider. Cela fait trois fois que les techos se déplacent pour tirer la fibre et que le gros con n'est pas là, ou leur refuse l’accès au local. SFR s'en fout, Orange... ne peu légalement pas forcer la porte du voisin, ni le ligoter à une chaise pendant que ses techniciens tire le câble. D'un point de vue technique, ça résoudrait bien des problèmes, mais en terme d'image, il parait que ce n'est pas terrible. Bref, Orange a envoyé un tas de papiers, mon client qui est âgé et peu patient, a tout envoyé bouler, et a fait un scandale à la mairie, la dessus, les assurances s'en sont mêlés, et mon clien t les a envoyé bouler aussi. Bref, ça n'avance pas. J'ai essayé de lui expliquer qu'il fallait faire un trou dans SA façade pour faire passer la fibre, mais je sort de ma zone de compétence (je répare les ordis sous windows moi madame !) Question : A qui appartient le fil de cuivre ? à Orange ? Au voisin ? Et si l'on décide de laisser tomber le remplacement du fil de Cuivre pour bypasser le voisin chiant, qui doit faire les travaux pour faire passer la fibre de la rue à la maison de mon client ? Je vis en Cambrousse, dans un vieux village, et des cas tordus, j'en ai quelques un, et je ne suis pas forcément le plus compétent pour répondre à ces question. Et l'aide grand public des FAI, ben c'est pas toujours ça non plus. Si vous pouvez m'éclairer, ou m'orienter dans la bonne direction, merci d'avance. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Passages de câble, voisinage et propriétés privés.
Le 05/09/2023 à 11:50, Erwan David a écrit : Le 05/09/2023 à 08:52, Spyou a écrit : De toute façon, il est interdit de déposer le cuivre (ou de s'en servir comme tire file) quand on pose la fibre. Ce qui peut poser problème quand un règlement de copropriété impose de réutiliser les fourreaux existant entre colonne montante et appartement... Pas vraiment. Même si la goulotte entre l'appartement et la colonne à déjà un câble, pour respecter, tu "retire" vers la colonne montante depuis l'appartement le cable cuivre avec un guide câble, puis une fois dans la colone tu retire en même temps la fibre et le cuivre que tu recable en 10 seconde sur le DTI Cuivre. Rien de méga sorcier ! Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Distance MINIMUM pour utilisation fibre monomode et sfp 10G
Bonjour, Il n'y a pas de règle spécifique vis à vis de ça à ma connaissance. J'ai déjà fait poser des rocades Mono en bâtiment sur 30m (plutôt que multi) entre deux salles machines. Aucun soucis. Là où ça peux poser problème, c'est plus coté "optique" qui "envoi trop fort" par rapport à la capacité de l'optique en face qui fait que c'est "hors plage". Pour ça, on regardera la fiche technique avec les TX Range et RX Range (en dBm). Dans le "pire des cas", si une optique envoie "trop fort" pour cette de réception, on met un atténuateur (de 5 db ça suffira largement là). Mais cette problématique à surtout lieu lors de lien en CWDM/DWDM passif où lors d'usage d'optique "longue distance sans ré-amplification" (ER/ZR) ! Généralement, les optiques Monomode type LR ont une puissance "maximale TX" (transmission) égale à la puissance "maximale RX" (réception) donc pas de soucis... Pour l’anecdote, il existe des optiques dite LRM qui est "une sorte d'évolution de la norme SR" qui ont une capacité de fonctionner aussi bien en Multi que Mono (en 1G comme 10G, c'est une norme)... Avec une limitation de distance en mono de ~300m (c'est assez spécifique comme optique !) La problématique est donc plus lié aux connaissances assez vieille des gens mais surtout au fait que encore il y a 10 ans, 30m de rocade Multi couté bien moins cher que 30m de mono ! (sans même parler des prix des optiques). Et ça, c'est resté comme idée ! Alors que maintenant, c'est limite l'inverse sur le prix de la fibre (merci le FTTx pour la baisse des prix !) Laurent Le 26/08/2023 à 12:47, Léo El Amri via frnog a écrit : On 26/08/2023 08:36, Guillaume Roux wrote: Bonjour à tous, Existe-t-il une documentation claire sur les contrindications à l’utilisation de fibre monomode et 10G sur des courtes distances. J’ai beau rappeler à mes collègues qu’en DC il n’y a que de la mono même pour de l’inter baie ou entre équipement intra baie on continue de me parler éblouissement et atténuateur et donc maintien de la multimode. Et si je trouve moult documents sur débits max et longueur max, je trouve assez peu de chose sur la longueur minimum pour ne pas avoir besoin d’atténuateur. Merci d’avance aux experts fibres pour leur partage d’info. Guillaume Avertissement : je n'avais jamais touché à de la fibre télécom avant le mois dernier, et je n'en ai installé qu'une seule pour mon homelab, mais j'ai fait plein de recherches à cette occasion, et j'ai fait appel à de vieilles connaissances acquises lors de mes cours de physique optique. Je ne connais rien à la fibre en application télécom, mais dans la fibre de façon générale ça se calcule avec l'atténuation par unité de longueur et le nombre de raccords sur le chemin. Il se trouve que (sur le terrain, pas en laboratoire) les fibres "multimode" ont une plus forte atténuation par unité de distance que les fibres "monomode". Il doit bien exister une "règle empirique", que tu dois connaître, sur l'affaiblissement aux raccords. Pour le reste j'ai l'impression que ça dépend beaucoup de l'équipement utilisé. Au niveau des modules SPF, je n'ai pas trouvé de "logique" sur les puissances d'émission/réception. J'en ai déduit que c'est du cas par cas. Personnellement je me suis simplement assuré que la puissance à la réception n'était pas supérieure à la valeur maximale admise par mon récepteur. Les modules SPF pour lesquels j'ai lu la fiche technique supportaient tous au moins leur puissance d'émission en réception. Dans mon cas j'ai juste eu à installer un atténuateur de 3dB parce que mon SFP Juniper émettait plus fort que ce que pouvait recevoir mon SFP Mikrotik. Bref. La distance en DC étant négligeable, ce n'est qu'une question de comptabilité de matériel. Je ne vois pas trop ce que viennent faire des atténuateurs dans une infra pro, puisqu'on devrait s'attendre à voir exactement les mêmes modèles de SPF au bout des câbles dans la plupart des cas. Les cas où ce n'est pas possible (routeurs de marques différentes avec vendor-lock par exemple), je vois mal comment ça peut être autre-chose qu'une configuration sur-mesure. Il faudra sortir son cerveau. En tous cas j'aimerais aussi une réponse à cette question. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] itinérance et surprises
Hello, Sans vouloir faire plus de pub que ça pour ma paroisse (ce n'est pas mon style), une des solutions pour la data si votre mobile dispose d'une eSIM c'est https://www.ubigi.com/fr/ Les tarifs sont différents suivant dans le pays où on va, mais une chose est sûre, on ne parle généralement pas de centaines d'Euro ... (sauf pour les US avec un bundle de 200Go) A vous de voir. Cordialement, Laurent GUINCHARD -Message d'origine- De : frnog-requ...@frnog.org De la part de Richard Klein Envoyé : jeudi 3 août 2023 08:28 À : Ge DUPIN Cc : l...@netc.fr; frnog-m...@frnog.org Objet : Re: [FRnOG] [MISC] itinérance et surprises /!\External/!\ Bonjour, Y a un truc qui se nomme CGV qui va définir le périmètre de facturation et je crois que vous devez recevoir un sms (pas mms=data) qui va dans les grandes lignes définir la tarification du pays. Ensuite vous avez sur votre mobile la possibilité de couper la data en roaming. Même si je connais tous cela il y a 10ans entre la Grèce et la Turquie (hors Europe)je me suis pris 160 euros de hors forfait data. Sur place il y avait pour 30euros des cartes prépayées avec data illimité. Si la tarification est importante je vous recommande de vous prendre 1h pour relire votre contrat signé par une personne majeur et vacciné(ou pas) et de faire une étude pour voir si il n’y a pas un service de carte prépayée plus intéressant ou changer de forfait ou opérateur. Nous devons aussi garder à l’esprit que la france est le pays où les forfaits mobiles sont les moins chère… même si les opérateurs se rattrapent en ce moment et les clients n’hésitent pas à dégainer le RIO pour trouver moins chère ailleurs. Bonne journée à tous Richard Envoyé de mon iPhone > Le 3 août 2023 à 08:10, Ge DUPIN a écrit : > > Bonjour > C’est sûr que si le roaming data n’est pas désactivé ça peut faire mal > Et les appels à 3€ la minute et 2€ en réception aussi ! > Ces tarifs sont juste scandaleux ! > Bonne journée > Ge > >> Le 3 août 2023 à 06:55, l...@netc.fr a écrit : >> >> >> bonjour la liste, >> >> >> >> est il normal de ressentir une incompréhension face à l'article : >> >> >> « La simple réactivation de votre portable à la descente de l'avion >> et la soudaine délivrance des SMS et autres alertes envoyées par vos >> contacts et stockés durant votre voyage, peuvent à elles seules vous >> coûter les 50 euros hors taxes en l'espace de quelques secondes. » >> https://www.lefigaro.fr/argent/telephone-mobile-comment-eviter-et-con >> tester-les-surfacturations-quand-vous-partez-a-l-etranger-20230802 >> >> >> >> de ce que des pros des telcos me soulignaient : >> >> a/ la réception des sms n'est jamais facturée (contrairement aux mms >> et au appels, on ne peut pas choisir d'éviter leur réception) >> >> b/ que l'article ne parle pas du plus couteux : les maritime services, qui >> font des fiévreux de la facture chaque année, meme sans sortir (ou si peu) >> d'europe... >> >> https://www.quechoisir.org/actualite-telephoner-en-zone-maritime-avis >> -de-tempete-sur-les-factures-n10537/ >> https://zestedesavoir.com/billets/3267/comment-prendre-le-ferry-peut- >> vous-couter-cher/ >> >> >> >> >> >> my 2 cents >> >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Renater Sud-Ouest
Bonjour, www.renater.fr ? ;-) Laurent Le 20/07/2023 à 14:46, Michel KOENIG a écrit : Bonjour, Quelqu'un a un contact chez Renater pour client sur Biarritz ? Merci Michel --- Liste de diffusion du FRnOG http://www.frnog.org/ smime.p7s Description: Signature cryptographique S/MIME
Re: [FRnOG] [ALERT] Renater (et autres ?) Down ?
Bonjour, Origine de l'incident identifiée, mesure palliative et retour du service vers 18:20. Nous poursuivons les investigations sur la root cause. Laurent Le 12/07/2023 à 19:22, jehan procaccia INT a écrit : Bonsoir, confirmation coté NOC renater / / /-- N°Ticket : 4965634 Type de ticket : INCIDENT Etat du ticket : Ouvert -- Emetteur : NOC-RENATER Elément concerné : REN Service(s) impacté(s) : -- Début Incident : CET/CEST -- Date/Heure Ouverture (du ticket) : 12/07/2023 16:43:06 CET/CEST -- Description de l'incident : Perturbation sur l'ensemble du réseau Renater / On 12/07/2023 16:30, jehan procaccia INT wrote: Bonjour, notre reseau (AS 2094) sur renater (AS 2200) et collecte (AS 2072) on un comportement erratique veres renater / Internet (ovh par exemple) qq'un a t-il connaissance de pb en cours ? apparement le NOC Renater signal un soucis, sans preciser lequel . Jehan . --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ smime.p7s Description: Signature cryptographique S/MIME
Re: [FRnOG] [MISC] [Émeutes] Interdiction des réseaux sociaux ?
Le 09/07/2023 à 14:42, Stéphane _Rivière_ a écrit : on pourrait parfois sortir de sa bulle pour voir comment c'est, de l'autre coté de la _rivière_ :-) Ah, si les sujets sur cette liste pouvaient rester, en partie du moins, sur le "sujet des telcos"… --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?
Le 04/07/2023 à 11:23, Stephane Bortzmeyer a écrit : Mais rien à voir entre le fait de poser la question en IPv4 et de recevoir une adresse IPv4 en réponse. (Cf. mon exemple avec dig.) Tiens, un truc marrant : j'ai essayé dig +short ovh.com : apparemment je ne suis pas le seul à ne pas mettre d' :-) Et ça marche aussi avec impots.gouv.fr ou urssaf.fr… Et il faut plus de ressources pour filtrer jusqu'à 2^64 adresses que 0 (zéro) adresses. Une ligne dans la conf, c'est davantage que zéro, on est d'accord. Mentionner "2^64" est juste de la réthorique. Ah mais développer un traitement c'est pas juste "ajouter des lignes dans la conf" :-\ Sans parler du fait que le traitement d'adresses de 128 bits, même si on ignore les 64 bits de poids faible, est nécessairement plus lourd que celui d'adresses de 32 bits seulement. Euh, ça dépend complètement des processeurs/ASIC qu'on a. Sur un processeur 16 bits, traiter 16 bits n'a jamais été plus long que d'en traiter 8 :-) Tout à fait : une IPv4 se traite tout entière dans un seul registre sur un processeur 64 bits (on pourrait même en traiter deux à la fois) mais une IPv6 non. Et mes serveurs ne sont pas équipés de processeurs 128 bits. Il n'y a pas que les traitements au niveau du processeur ; mémoriser les IPv6 bloquées prend plus de place que pour des IPv4 (quelque soit le processeur). Mais les pirates qui attaquent en IPv6 ont potentiellement 2^32 fois plus d'adresses IP à leur disposition que s'ils attaquent en IPv4. D'autant plus qu'il reste peu d'adresses IPv4 disponibles, qu'elles sont de plus en plus chères alors que les IPv6 sont abondantes et gratuites. Donc traiter les IPv6 expose un serveur à plus d'attaques /potentielles/ et va donc nécessiter d'avantages de ressources. C'est de la pure théorie. La réalité des réseaux du vrai monde ne montre pas ça (pirates paresseux et incompétents, qui ne se donnent même pas la peine d'essayer en IPv6). La réalité que j'observe est qu'il y a déjà des attaques en IPv6. Beaucoup moins, certes, mais il y en a, y compris des salves qui utilisent différents /64. Je ne dois pas être dans le vrai monde :-( Et sinon, je suis quand même conscient que l'avenir de l'IPv4 est très compromis. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?
Le 04/07/2023 à 11:17, Dominique Rousseau a écrit : Le Tue, Jul 04, 2023 at 11:07:50AM +0200, Laurent Barme [5...@barme.fr] a écrit: (...) En fait, c'est moins l'adresse de transport de la requête qui m'intéresse que son résultat. Celui-ci dépend bien sûr du DNS sollicité mais aussi de l'adresse de transport de la requête. Non, c'est faux. Ah bon. Un poste qui n'a qu'une IPv4 va bien faire une requête en IPv4, non ? Et peu importe que le DNS sollicité (ou le résolveur final) ait aussi une IPv6, il va bien recevoir une IPv4, non ? Un poste qui n'a qu'une ipv4 va faire une requete sur ipv4 a son resolveur. Le resolveur, lui, peut tres bien faire la requete vers le serveur faisant autorite sur ipv6. Et il est fort probable que le poste n'ayant que de l'ipv4 va effectuer une requete "A" pour obtenir une reponse contenant une ipv4, pour l'usage courant. Mais rien ne l'empecherait de faire une requete demandant un "" pour obtenir une reponse contenant une ipv6, dont il ne saurait pas faire grande chose pour la suite :) Tout à fait d'accord ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?
Le 04/07/2023 à 10:24, Stephane Bortzmeyer a écrit : … Non. Je répète : la famille de l'adresse retournée dépend de la famille demandée (A pour IPv4 et pour IPv6) et en aucun cas du protocole de transport. Ok mais pour un poste qui n'a qu'une IPv4, va-t-il demander une IPv6 ? Que pourrait-il faire d'une résolution qui lui retourne une IPv6 ? … En fait, c'est moins l'adresse de transport de la requête qui m'intéresse que son résultat. Celui-ci dépend bien sûr du DNS sollicité mais aussi de l'adresse de transport de la requête. Non, c'est faux. Ah bon. Un poste qui n'a qu'une IPv4 va bien faire une requête en IPv4, non ? Et peu importe que le DNS sollicité (ou le résolveur final) ait aussi une IPv6, il va bien recevoir une IPv4, non ? Il y a bien une résolution IPv4 ou IPv6 qui dépende des OS et ISP, ce qui explique des comportements différents selon le contexte (OS/ISP) lorsqu'un nom de domaine contacté a simultanément une adresse IPv4 et une adresse IPv6. Cela dépend entièrement du type de données demandé. C'est ça et je parie qu'un poste qui n'a qu'une IPv4 va demander l'A du nom de domaine et pas l'. … (d'autant plus que le serveur en question n'a pas IPv6, ce qui lui épargne potentiellement 2^64 sources d'attaques à filtrer). Euh, quand vous voulez filtrer un /64, vous mettez 2^64 adresses dans votre configuration ? Cet argument a vraiment du mal à passer :-\ Ce n'est pas un problème de réseau mais de traitement. Je reformule : Un serveur qui traite de l'IPv6 va devoir filtrer /potentiellement/ jusqu'à 2^64 adresses (par /64). Jusque là, on est d'accord ? Un serveur qui ne traite pas d'IPv6 n'a _aucune_ IPv6 à filtrer. On est toujours d'accord ? Et il faut plus de ressources pour filtrer jusqu'à 2^64 adresses que 0 (zéro) adresses. Dis autrement, il faut plus de ressource pour un traitement qui fait quelque chose que pour pas de traitement du tout :-) Sans parler du fait que le traitement d'adresses de 128 bits, même si on ignore les 64 bits de poids faible, est nécessairement plus lourd que celui d'adresses de 32 bits seulement. Alors oui, dans les deux cas, on ne "met pas dans la configuration" 2^32 ni 2^64 adresses. Mais les pirates qui attaquent en IPv6 ont potentiellement 2^32 fois plus d'adresses IP à leur disposition que s'ils attaquent en IPv4. D'autant plus qu'il reste peu d'adresses IPv4 disponibles, qu'elles sont de plus en plus chères alors que les IPv6 sont abondantes et gratuites. Donc traiter les IPv6 expose un serveur à plus d'attaques /potentielles/ et va donc nécessiter d'avantages de ressources. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?
Le 02/07/2023 à 18:33, Stephane Bortzmeyer a écrit : On Wed, Jun 28, 2023 at 04:28:24PM +0200, Laurent Barme <5...@barme.fr> wrote a message of 73 lines which said: https://www.dnsleaktest.com/ Même pas d'IPv6 dans ces tests. Effectivement, bgp.tools est mieux, merci Willy. … Autre rappel : il n'y a aucun rapport entre l'adresse de transport de la requête DNS (IPv4 ou IPv6) et le type de données demandé (A ou ). L'adresse de transport de la requête DNS dépend quand même de ce que peut faire le poste : s'il n'a pas d'IPv6, la requête se fera seulement en IPv4 et l'adresse retournée sera une IPv4 (heureusement). En fait, c'est moins l'adresse de transport de la requête qui m'intéresse que son résultat. Celui-ci dépend bien sûr du DNS sollicité mais aussi de l'adresse de transport de la requête. Il y a bien une résolution IPv4 ou IPv6 qui dépende des OS et ISP, ce qui explique des comportements différents selon le contexte (OS/ISP) lorsqu'un nom de domaine contacté a simultanément une adresse IPv4 et une adresse IPv6. Depuis un mobile android/Free, je constate avec bgp.tools que je n'ai pas d'IPv6. Les requêtes DNS sont donc servies en IPv4 et le mobile peut accéder à un site pourvu d'une A et d'une mais qui n'écoute que sur l'A. Depuis un mobile iOS/Orange, je constate avec bgp.tools que j'ai une IPv4 et une IPv6. Les requêtes DNS sont donc a priori servies en IPv6 et le mobile ne peut pas accéder à un site pourvu d'une A et d'une mais qui n'écoute que sur l'A. Alors, on est d'accord, ce qui ne va pas c'est le site pourvu d'une A et d'une mais qui n'écoute que sur l'A. Dans cette situation, la solution la plus simple pour moi est de supprimer l' pour le nom de domaine (d'autant plus que le serveur en question n'a pas IPv6, ce qui lui épargne potentiellement 2^64 sources d'attaques à filtrer). --- Liste de diffusion du FRnOG http://www.frnog.org/