from:"Laurent"




Le 19/02/2024 à 23:02, Intermi Charles a écrit :
…

  les recommandations de l'anssi (considérées tant dans le milieu de l'audit 
que des CaC comme le Graal).

C'est d'ailleurs à la base du problème ; les recommandations de l'ANSI ne sont 
pas universellement pertinentes ou applicables. Un exemple parmi d'autres, la 
R10 qui dit de bloquer tout accès à Internet depuis ou vers le poste 
d'administration… Si, si, c'est dans la version 3.0 en date du 11/05/21, celle 
disponible aujourd'hui en téléchargement sur le site de l'ANSI !



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber




Le 19/02/2024 à 22:22, Bertrand FRUCHET via frnog a écrit :



La mission du CAC est annuelle, le risque sera réévalué l'année suivante mais 
si vous l'avez occulté, vous participez sans le savoir à l'absence de 
protection car il n'y aura pas de thésaurisation interne à l'entreprise pour 
pallier à ce risque pendant 1 an.


La mission de l'administration informatique est quotidienne. Les attaques se 
déroulent 24/24 et 7/7 ; le risque peut devoir être réévalué et les dispositifs 
de protection adaptés tous les jours.


Je comprends les préoccupations du CAC mais cela ne justifie pas de demander la 
communication de détails tels que le nom de l'antivirus ou les plans d'adressage 
des sous-réseaux internes. D'autant moins que ce serait contre-productif car la 
divulgation d'informations sensibles augmente e risque considéré.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber




Le 19/02/2024 à 17:04, Vincent Duvernet a écrit :

Bonjour,

J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là, 
ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets 
différents).
Leur commissaire aux comptes demande une évaluation des risques cyber'.

On se tape des questions plus ou moins débiles / mal traduites du type :

- Une solution antivirus est-elle installée sur chaque poste de l'entreprise ? 
Est-elle mise à jour régulièrement ?
- La porte vers internet a-t-elle un pare-feu configuré ? Quels protocoles sont 
filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, SSH ou RDP .]

Et d'autres plus sensibles :
- Quels sont les sous-réseaux, leur IP et leur fonction ?
- Quels sont les outils (logiciels) mis en place pour la connexion à distance 
pour le télétravail ?

Là franchement, ça me hérisse le poil.
Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir divulguer des 
informations à un tiers de "semi-confiance" potentiellement exploitables pour 
une attaque ?
Pas du tout et tu as bien raison de ne pas vouloir divulguer des informations 
sensibles !


Quels sont vos retours sur la question ?

Merci,

Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Les cabinets comptables & la cyber




Le 19/02/2024 à 17:15, Léo El Amri via frnog a écrit :


 La sécurité par l'obscurité n'a jamais protégé personne
Mais bien sûr que si et c'est même une des méthodes les plus efficaces ; ce ne 
doit juste pas être la seule sinon elle est effectivement complètement inefficace.


Les méthodes d'attaques basées sur la description des dispositifs de sécurité 
s'apparentent à l'ingénierie sociale.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Numéros mobile virtuels pour SMS

2024-02-18 Par sujet Laurent-Charles FABRE

Bonjour David,

Gouverner c'est prévoir, même l'improbable ;-)
Et il n'y a pas que l'IP dans la chaine.
Serveur email, serveur de supp, maintenant sur des VM...
Bien compliqué et fragile tout ça 

Et mon sujet est bien la gestion du flux entrant.
Autant sur le SMS que j'envoi, je peux aiguiller le destinataire.

Mais j'ai aussi des services tiers et des 2FA qui nécessite des SMS
Pour l'instant, c'est un *Téléphone Physique* qui est le maillon
indispensable (faible ?)

Je souhaite ne plus être dépendant de cet unique téléphone mais pouvoir
router vers les téléphones individuels des gars en service.
Le tout sans faire une usine à gaz (allez changer le numéro dans N
interfaces hétérogène)
Je classe dans "usine à gaz" la solution du modem qui reçoit les SMS et les
revoit vers les destinataire, en singeant ce que faisait le PBX ;-)
C'est surtout encore un truc qu'il faudrait développer et maintenir (mal ?)
J'avoue avoir envisagé de le faire avec un Mikrotik 4G lors d'une matinée
de désespoir d'hiver pluvieuse 

Un service tel que On/Off me paraissait plus simple.
Mais ce n'est plus possible.
Peut-être avec un opérateur européen plus souple ?

Laurent-Charles FABRE


Le dim. 18 févr. 2024 à 17:10, David Ponzone  a
écrit :

> Ben d’éviter la panne IP :)
> Un petit routeur 4g comme route par défaut pour envoyer des sms via une
> API au choix.
> Le sortant n’est pas un problème via API. Le problème c’est l’entrant.
>
> David Ponzone
>
>
>
> > Le 18 févr. 2024 à 15:49, L-C FABRE  a écrit :
> >
> > Bonjour,
> >
> > Je prends le sujet en retard et du coup j’ai une question :
> >
> > Justement pour un cas d’usage qui est le relais d’alertes via SMS pour
> arroser 1 ou plusieurs numéro de mobile suivant un calendrier et un parc de
> numéro établis.
> > En clair, routage d’alerte vers les mobiles d’une équipe d’astreinte en
> rotation.
> >
> > Avant je faisais ça avec notre PABX mais maintenant que tout a basculer
> un IPBX, je ne souhaite plus utiliser ce canal.
> > L’idée étant que ces alertes sont justement en cas de panne IP
> >
> > Que me conseilleriez vous ?
> >
> > Laurent Fabre.
> >
> >
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] 240/4 strikes back

2024-02-12 Par sujet Laurent Barme




Le 12/02/2024 à 22:32, Émile Touron a écrit :

Hello,

Concernant la quantité de personnes qui maitrisent IPv6 (hors opérateurs),
ça s'explique peut-être aussi par l'enseignement universitaire. Le réseau
est souvent mal enseigné, et les cours souvent obsolètes (enseigner les
classes d'adresse en 2024... De mon côté j'ai eu droit à ATM en 2016). Sauf
exception et de mon expérience, au mieux les profs mentionnent IPv6 1 ou 2
slides, mais passent un temps infini sur la description exhaustive du
modèle OSI ou sur la composition d'un segment TCP à l'octet près (mais sans
expliquer pourquoi c'est fait comme ça).
Vécu aussi les explications débiles sur les classes d'IPv4 et les couches du 
modèle OSI, la frustration de ne pas avoir de description exploitable d'un 
paquet :-)
La formation en informatique que j'ai connue était plutôt lamentable ; j'espère 
que cela a changé depuis.
La documentation disponible aussi, à croire que leurs auteurs voulaient passer 
pour des génies en présentant leur connaissance de façon aussi obscure que 
possible. Aujourd'hui, s'il existe un ouvrage de référence qui ne soit pas 
obsolète, je serais intéressé de pouvoir le lire.




Ensuite sur la confidentialité (sujet abordé précédemment), IPv6 a un
mécanisme d'adresse aléatoire temporaire. Seul le préfixe est fixe dans le
temps... comme l'IPv4 publique d'un NAT.

Sauf qu'avec le /64 fixe, le mécanisme de suffixe aléatoire est mignon mais 
totalement inefficace quand il n'est revu qu'une fois par 24 heures. En 
pratique, cela revient à n'utiliser que les 64 premiers bits d'une adresse IPv6 
pour l'instant (ce qui est plus qu'amplement suffisant).



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] 240/4 strikes back

2024-02-12 Par sujet Laurent Barme




Le 12/02/2024 à 17:56, Philippe ASTIER via frnog a écrit :
…


Sur le profilage, navré, mais là c’est faire preuve d’une naïveté extrême. On 
laisse tellement de traces que l’adresse IP, quelle qu’elle soit, est une 
broutille qui ne fait plus peur à personne.
Pour vous faire peur, je vous recommande d’essayer https://amiunique.org/. Vous 
comprendrez que vous êtes fingerprinté par tellement d’autres critères…



amiunique.org exploite juste les méta-données d'une requête HTTP faite depuis un 
navigateur.


Croire que le protocole HTTP est le seul utilisé sur Internet c'est faire preuve 
d'une extrême naïveté :-)).


L'adresse IP est quand même beaucoup plus précise et pratique, surtout pour 
appliquer un contrôle…



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] 240/4 strikes back

2024-02-12 Par sujet Laurent Barme




Le 12/02/2024 à 09:27, Philippe ASTIER via frnog a écrit :


Perso, ni chez moi ni chez mes clients, je ne déploie quoi que ce soit qui ne 
sache pas ce qu’est IPv6.


C'est très bien. Mais en attendant, tes futurs clients vont avoir du mal à se 
renseigner sur les services proposés par ta société :


# wget https://www.astier-consulting.fr
--2024-02-12 17:06:26--  https://www.astier-consulting.fr/
Resolving www.astier-consulting.fr (www.astier-consulting.fr)... 
2606:4700:3108::ac42:2863, 2606:4700:3108::ac42:2b9d, 172.66.40.99, ...
Connecting to www.astier-consulting.fr 
(www.astier-consulting.fr)|2606:4700:3108::ac42:2863|:443... connected.

HTTP request sent, awaiting response... 526
2024-02-12 17:06:26 ERROR 526: (no description).

Rien de personnel bien sûr mais je saisie juste cette opportunité d'illustrer 
que l'IPv6 ne fait pas tout :-)


Pour autant que je comprenne, l'IPv6 apporte certes une augmentation 
considérable du nombre d'adresses IP (et la fin des NAT) mais embarque aussi la 
possibilité d'un "profilage" (ou contrôle) beaucoup plus précis des usages 
(justement par la fin des NAT). Je me demande si ce ne serait pas cette deuxième 
raison la principale motivation présentée sous couvert de la première…


Je précise. En IPv4, l'utilisateur est planqué derrière une IP publique avec un 
port éphémère qui permet de faire le lien avec son IP locale en pratique 
inconnue de l'extérieur alors qu'en IPv6, on a une visibilité précise du poste 
de l'utilisateur (ou de l'équipement ou de l'objet connecté).


Sinon, aujourd'hui, l'un de mes serveurs qui représente un intérêt totalement 
dérisoire, bloque plus de 58000 IPv4 de pirates. Je n'ose pas imaginer ce que ce 
sera quand il devra filtrer les IPv6 lorsque les IPv4 auront disparues !


Pour ma part, je passerai à l'IPv6 quand ce sera nécessaire (mais ce n'est pas 
moi qui décide).





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] 240/4 strikes back

2024-02-11 Par sujet Laurent Barme




Le 11/02/2024 à 19:54, Philippe ASTIER via frnog a écrit :



Evidemment, pour le savoir, encore faut-il ne pas avoir banni IPv6 pour des 
raisons idéologiques.

A l'inverse, il y a clairement des raisons idéologiques pour vouloir passer à 
l'IPv6.


Il y a aussi de bonnes motivations techniques pour préférer l'IPv4 (voir le 
dernier fil auquel j'ai participé sur le sujet).



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] La belle boite de Pandore....




Le 02/02/2024 à 07:11, richard a écrit :

Bonjour,

finalement, où que soient stockées les données, même en France, ça n'empêchera 
pas les gros problèmes concernant la sécurité (notamment le maillon le plus 
faible de la chaine, l'humain...) :
Le problème c'est le traitement que l'on fait des données, pas où elle sont 
stockées. Mais il n'y a pas de traitement possible sans données ; contrôler le 
stockage est un préalable efficace.

…


Pour démarrer dredi en wheeling :D

Malheureusement, même on n'en parle que le vendredi, cela reste valable tous les 
jours.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] La belle boite de Pandore....




Le 01/02/2024 à 20:57, Richard Klein a écrit :
…


Et pour en remettre une couche, il y a quelques décennies il y avait eu un 
article sur les samsung qui avait sa puce basse bande avec un backdoor.
De mémoires il suffisait de faire du port knocking over the air et sesame 
ouvre toi pour faire un dump de la ram.

Dans la ram il y a quoi?
  Ce que je tape au clavier
  Ce qui s’affiche à l écran
Dans ce cas olvid ou autre messagerie quantiques ne protègera personne!

Un backdoor est superflu : on peut le faire encore plus simplement au niveau du 
système d'exploitation des smartphones et iOS ou Android sont américains.


Nos smartphone sont sous contrôle américain, nos opérations bancaires sont 
dépendantes de nos smartphones (DSP2) et donc nous sommes sous contrôle a…




Envoyé de mon iPhone


:-)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] La belle boite de Pandore....




Le 01/02/2024 à 15:37, David Ponzone a écrit :

Et savoir qui a rédigé le cahier des charges.



McKinsey ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] La belle boite de Pandore....




Le 01/02/2024 à 15:37, Philippe ASTIER via frnog a écrit :

Et finalement, au bout du compte, qu’est-ce qu’ils ne savent pas faire les 
européens ?
La remontée légale des données stockées aux autorités américaines peut-être ???

Microsoft est bien une filiale d’une société américaine, non ? Vous croyez 
vraiment qu’ils échappent aux règles US ?

C’est très scandaleux….


C'est non seulement scandaleux mais surtout un désaveux complet de la mission de 
la CNIL.


Il y a une incohérence flagrante entre l'injonction parfaitement intelligible et 
logique de protéger les données à caractère personnel en ne les stockant que sur 
des serveurs européens et la licence donnée à l'état français de confier à une 
société américaine les informations personnelles les plus sensibles qu'il soit !


Désormais, ça va être très compliqué d'expliquer à mes clients qu'il doivent 
/prendre toutes les mesures nécessaires au respect de la protection des données 
personnelles *dès la conception* du produit ou du service/. 
(https://entreprendre.service-public.fr/vosdroits/F24270)…


:-(

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique


Merci pour cette réponse détaillée !

Pour le point 1, cela concerne le contraire de ce que tu évoques : bloquer un 
truc qui ne veux pas de mal sur un serveur mais qui n'a rien à faire sur un 
autre serveur, un faux positif en fait.


Je suis allé voir (rapidement) sur leur site avant d'écrire mon message mais je 
n'avais pas trouvé comment crowdsec évitait la propagation de faux positifs ni 
les sources. Je vais y retourner plus attentivement.


Je vais déjà écouter la présentation que tu indiques.

En tout cas, savoir que les auteurs sont recommandés c'est un point très 
positif.

Le 26/01/2024 à 14:02, Philippe Bourcier a écrit :

Re,

Je vais faire un peu le SAV Crowdsec (je précise que je n'ai pas de billes dans 
cette société).
Mais c'est un projet Français fait par des gens que je connais et apprécie et 
qui ont pensé à beaucoup des points évoqués ci-dessous.
D'ailleurs, ils ont fait une prez lors d'une réunion FRnOG, si vous voulez...
https://www.dailymotion.com/video/x8asnpp?playlist=x7hb3i


J'ai trois objections à propos d'une protection participative telle que 
crowdsec :

1. les règles de détection d'une attaque potentielle devrait être définie
relativement au contexte particulier de chaque serveur,

Bof, quelle raison de laisser passer un truc qui ne te voudra *clairement* 
jamais du bien ?


2. si les IP à bannir sont partagées, comment empêcher que cette liste soit
polluée par malveillance,

Ca c'est parfaitement géré, tu peux aller lire sur leur site comment ca 
fonctionne...


3. comment s'assurer que l'on installe pas un accès dérobé avec crowdsec ?

C'est open-source, c'est Français et c'est des gens qui ont toujours bossé dans 
la cybersécurité, donc pour lever tout doute par rapport à un bout de code, 
etc, ne pas hésiter à les contacter. 路‍♂️


Cordialement,
--
Philippe Bourcier
https://twitter.com/irukanji_invest
https://www.linkedin.com/in/philippebourcier/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique


Update : https://api.iplocation.net/ a l'air vraiment intéressant, merci !

Le 26/01/2024 à 10:00, Laurent Barme a écrit :


Le 26/01/2024 à 09:47, Stéphane Rivière a écrit :

>Ah, et où trouves-tu la liste des VPN connus pour officier en France ?

En tapant dans le gougle quelques caractères genre well known vpn ip. en 
rajoutant in france peut aider mais y'a d'autres moyens de filtrer, justement 
avec les bases de ip2location dans cette thread.


Et qu'est-ce qui empêcherait un pirate d'utiliser (depuis n'importe quelle 
origine géographique) une adresse IP "géolocalisée" en France qui ne soit 
pas dans cette liste ?


En (prenant le pb à l'envers en) ne gardant que les ranges des FAI, c'est 
encore plus simple.

Tout à fait d'accord ; je rêverais d'avoir les plages d'adresse IP des FAI !
Alors oui, j'ai gglé la question mais la réponse est un peu périmée (20 juin 
2013 à 23:06:39) : https://lafibre.info/ipv6/plages-ip-par-fai/

Et j'ai comme un doute sur une mise à jour régulière de cette liste :-\



Parce qu'on va quand même pas envisager que le dodoze de Mme Michu pourrait 
être botté :>>>



Ben voyons :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique




Le 26/01/2024 à 09:47, Stéphane Rivière a écrit :

>Ah, et où trouves-tu la liste des VPN connus pour officier en France ?

En tapant dans le gougle quelques caractères genre well known vpn ip. en 
rajoutant in france peut aider mais y'a d'autres moyens de filtrer, justement 
avec les bases de ip2location dans cette thread.


Et qu'est-ce qui empêcherait un pirate d'utiliser (depuis n'importe quelle 
origine géographique) une adresse IP "géolocalisée" en France qui ne soit pas 
dans cette liste ?


En (prenant le pb à l'envers en) ne gardant que les ranges des FAI, c'est 
encore plus simple.

Tout à fait d'accord ; je rêverais d'avoir les plages d'adresse IP des FAI !
Alors oui, j'ai gglé la question mais la réponse est un peu périmée (20 juin 
2013 à 23:06:39) : https://lafibre.info/ipv6/plages-ip-par-fai/

Et j'ai comme un doute sur une mise à jour régulière de cette liste :-\



Parce qu'on va quand même pas envisager que le dodoze de Mme Michu pourrait 
être botté :>>>



Ben voyons :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique


En tout cas, si on en doutait, ta contribution à la discussion le confirme :-)

Le 26/01/2024 à 08:40, David Ponzone a écrit :

Ah on sent que c’est vendredi :)


Le 26 janv. 2024 à 08:03, Laurent Barme <5...@barme.fr> a écrit :


Le 25/01/2024 à 09:08, Stéphane Rivière a écrit :
…

Merci pour crowdsec, jamais utilisé mais on emploie ce principe dans d'autres 
écosystèmes et le retour est bon :)


J'ai trois objections à propos d'une protection participative telle que 
crowdsec :

1. les règles de détection d'une attaque potentielle devrait être définie
   relativement au contexte particulier de chaque serveur,
2. si les IP à bannir sont partagées, comment empêcher que cette liste soit
   polluée par malveillance,
3. commet s'assurer que l'on installe pas un accès dérobé avec crowdsec ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique




Le 26/01/2024 à 08:57, Stéphane Rivière a écrit :
>Ce test illustre bien la facilité avec laquelle ce dispositif peut être 
contourné, merci !


Sauf si tu bans les IP des VPN connus pour officier en France...



Ah, et où trouves-tu la liste des VPN connus pour officier en France ?

Et qu'est-ce qui empêcherait un pirate d'utiliser (depuis n'importe quelle 
origine géographique) une adresse IP "géolocalisée" en France qui ne soit pas 
dans cette liste ?


Pour prendre un peu de recul, on est bien d'accord que la géolocalisation des 
adresses IP sous-entends celle de celui qui l'utilise ?


Alors, seuls les FAI ont une visibilité (toute relative) sur cette information 
et je doute qu'ils la partagent, sauf injonction judiciaire bien sûr et sans 
doute très peu avec une instance étrangère.


La géolocalisation d'une IP est déjà une gageure  en soit mais en plus son 
utilisateur peut agir de presque n'importe où ; les tunnels ssh sont très commodes…



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fin de l’IPv4 en République tchèque

Le titre est trompeur : ce n'est pas la fin de l'IPv4 en Tchéquie mais juste 
l'annonce préalable, pour dans 8 ans, de la nécessité d'utiliser une IPv6 pour 
l'accès aux sites Internet de l'administration de ce pays.


Dans 8 ans !

D'ici là…

Le 24/01/2024 à 16:13, Arnaud FEIX a écrit :

Salut,

Petite news découverte cette semaine, le premier pays à annoncer la fin d’IPv4 
est donc la république Tchèques, le 6 juin 2032 l’administration ne sera plus 
joignable qu’en IPv6.

Je vous joint la source : https://konecipv4.cz/en/

Bonne journée 
---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique




Le 25/01/2024 à 09:08, Stéphane Rivière a écrit :
…
Merci pour crowdsec, jamais utilisé mais on emploie ce principe dans d'autres 
écosystèmes et le retour est bon :)



J'ai trois objections à propos d'une protection participative telle que 
crowdsec :

1. les règles de détection d'une attaque potentielle devrait être définie
   relativement au contexte particulier de chaque serveur,
2. si les IP à bannir sont partagées, comment empêcher que cette liste soit
   polluée par malveillance,
3. commet s'assurer que l'on installe pas un accès dérobé avec crowdsec ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique




Le 25/01/2024 à 17:17, Stéphane Rivière a écrit :
…

Test ON/OFF avec divers VPN internationaux OK

Ce test illustre bien la facilité avec laquelle ce dispositif peut être 
contourné, merci !



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Filtrage ou mitigation d'un message cryptique




Le 24/01/2024 à 20:31, Philippe Bourcier a écrit :
…

Je trouve que le réflexe sanitaire du moment (quand tu peux) c'est un geofilter 
+ CrowdSec.
Comme ca même le national p0wné ne passe pas...


Ce conseille est similaire au dogme des mises à jour : il est simple à 
comprendre, facile à mettre en œuvre et donc très rassurant.


En bonus, le "sanitaire" lui ajoute une connotation "sûr et efficace".

Bon vendredi :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] UCEPROTECTL3 blacklist

2024-01-11 Par sujet Laurent S. via frnog

Bonjour,

Je ne connais aucun serveur mail sérieux qui utilise UCEPROTECTL3 comme 
signal important dans la classification spam. Cette RBL a pour but de 
lister des plages IP plutôt larges. Donc presque toutes les VPS de OVH y 
sont, mais aussi d'autre fournisseurs pas toujours très réactifs aux abus.

A noter de UCEPROTECT permet de se délister dans certains cas de 
UCEPROTECTL1 ou UCEPROTECTL2 (si je ne me trompe pas) si l'opérateur de 
l'IP paye une rançon... Je considère que ce modèle commercial et cette 
manière de gérer une RBL ne sont pas éthiques.

Google utilise une énorme quantité de signaux pour décider qu'est-ce qui 
est spam ou non. Je pense que cela vaut mieux de vérifier si les bonnes 
pratiques mailing sont respectées (rDNS, SPF, DKIM, ...) au lieu de se 
soucier de ce listing particulier. Par contre, oui OVH n'a pas une super 
bonne réputation au niveau de ses IPs, cela reste possible que cela soit 
en votre défaveur.

Cordialement,
Laurent

On 11.01.24 11:13, Merwan Zenati wrote:
> Bonjour a tous,
> 
> Ce matin un de mes collaborateurs m'a fait part du fait que ses invit teams
> se retrouvent dans les spams. Je vois que notre ndd est sur la
> blacklist UCEPROTECTL3, le serveur 51.91.60.233 est IPTWIN hosted OVH.
> Étrangement seuls les mails avec invitations sont flag en tant que SPAM par
> google, les mails normaux passent, et le Mxtoolbox Health Analyzer me dit
> que le domaine est plutôt en "bonne santé" sans me mentionner le blacklist
> ci-dessus.
> Sommes-nous les seuls dans cette situation ?
> 
> Merci,
> M
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Limitation de puissance Linky : concrètement, c'est quoi ?

2024-01-05 Par sujet Laurent Barme

J'ai envoyé ce matin à 07:45 le même message que celui ci-dessous mais en 
changeant de sujet (sujet initial remplacé par "Blocage par Cloudfront ?") et il 
ce message de 07:45 n'a pas été diffusé sur FRnOG alors que celui de 10:12, sans 
changer de sujet, a bien été transmis.


Est-ce bien le changement de sujet qui est bloqué par FRnOG ou est-ce un autre 
mécanisme à l'œuvre ?


Le 05/01/2024 à 10:12, Laurent Barme a écrit :
…
Comment Cloudfront pourrait-il bloquer ton accès à une page du site Enedis et 
pourquoi aurait-il pris une telle décision ?


Utilises-tu un blocage de cookies ou un autre dispositif intermédiaire entre 
toi et enedis.fr ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Limitation de puissance Linky : concrètement, c'est quoi ?

2024-01-05 Par sujet Laurent Barme




Le 04/01/2024 à 21:55, Julien Escario a écrit :

Le 04/01/2024 à 18:31, Paul Caranton via frnog a écrit :


…


Source : 
https://www.enedis.fr/faq/limitation-temporaire-de-puissance-electrique/comment-le-test-va-t-il-se-derouler


Alors, j'adorerais accéder à cette ressource mais Cloudfront semble avoir 
décidé que je n'étais plus digne de voir le site Enedis.


Comment Cloudfront pourrait-il bloquer ton accès à une page du site Enedis et 
pourquoi aurait-il pris une telle décision ?


Utilises-tu un blocage de cookies ou un autre dispositif intermédiaire entre toi 
et enedis.fr ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Limitation de puissance Linky : concrètement, c'est quoi ?

2024-01-04 Par sujet Ducassou Laurent


Hello,

Il y a bien un Organe de coupure (contacteur) dans le linky. La doc le 
confirme !


Comme tu le dis, la population générale ne sais pas faire la difference 
entre kW (puissance instantannée) et kWh (puissance "tiré sur une 
periode" facturé) et tu oublie le kVa qui a toute son importance ici ! 
Notre ami Cosphi le comeback avec la mesure du déphasage qui va avec !


Un radiateur electrique à un cosphi de 0.99/1  : 1kW consommé ) 1kVa !
Par contre... Une PAC c'est un moteur, donc des condensateurs ! Donc le 
Cosphi n'est pas de 1 ! mais on concidère 0.95 à pleine charge (et 
souvent entre 0.8 et 0.90 en "régulation inverter") donc une PAC de 2kW 
de puissance soutiré (pas restitué !) aura un tirage max de 2*0.95 => 
1.9kVa ! Max...
Un ordinateur... lui le cosphi moyen est vers 0.8  de mémoire... Donc 
0.200kW tiré = 0.160kVa...

(on va pas parler d'une ampoule LED qui tombe même à 0.6 de cosphi !)

Que ce passe t'il si on tira 4kVa sur un abonnement 3kVa? C'est 
possible!  Le fameux Puissance appliquée : "Pcoup"

Dans la documentation ENEDIS du linky est précisé les puissance de coupure :
1.1*Abonnement : Sans limite ==> jusqu'à 3.3 (3kVa abonnement)
1.4*Abonnement : pendant 250s ==> jusqu'à 4.2 (3kVa abonnement)
2.5*Abonnement : 40s ==> jusqu'à 7.5 (3kVa abonnement)

Un peu de doc : https://www.enedis.fr/media/2035/download+

Plus terre à terre, pour le délestage, les gens équipés de système "full 
électrique" on au moins un système de "domotisation autonome" (au moins 
les ancien logements en chauffage full elec !) qui fonctionnait sur un 
signale envoyé par ENEDIS sur le réseau (le même genre de trame que pour 
avoir la couleur du jours Tempo/EJP sur les bouliers ainsi que le 
contact HP/HC !).
En domotique de nos jours, ce signale est envoyé par la sortie "TIC" du 
linky (mode historique ou non) qui permet justement à un petit 
ordinateur de délestage de piloter différents contacteurs Normalement 
Ouvert (2F) lors du délestage.


Pour la PAC : Justement, la capacité des linky à "encaisser" pendant 40s 
x2.5 la puissance abonnement permet de soutiré pendant 40s jusqu'à 
7.5kVa (en 3kVa) ou 250s jusqu'à 4.2kVa (en 3kVa) suffit à "faire 
demarer" la PAC. En 6kVa tout electrique (dont PAC + chauffage sdb 
electrique en maison), j'ai jamais disjoncté en 6 ans et extremement 
rarissime sont mes pic à plus de 5kVa.


Voila mes 2cents ! :)

Laurent

Le 04/01/2024 à 16:37, Julien Escario a écrit :

Bonjour,
Permettez de rebondir sur un sujet pas mal évoqués fin 2022 quand il y 
avait des risques de blackout sur le réseau.


A priori, l'expérimentation consistant à limiter la puissance des 
Linky se précise puisque c'est le Puy-de-dôme qui s'y colle [1].


Je ne trouve cependant aucune info technique sur la façon dont c'est 
fait. Limitation à 3kVA, je veux bien, mais que se passe t'il si on 
tire 4 kVA ?
Je ne vois aucune autre solution que de couper. Hors, il m'avait 
semblé lire ici que le Linky n'avait pas d'organe de coupure.

Pourtant je lis ici [2] qu'il arrive de devoir réarmer le Linky.

Si effectivement ça coupe, cela signifie que l'on va avoir tout un tas 
de foyers dont l'électricité risque d'être coupée pendant de longues 
heures si c'est en plein milieu de la journée et qu'il n'y a personne.
Je pense notamment à ceux qui ont des PAC qui tirent au moins 2kW 
voire beaucoup plus pour certaines.
Encore mieux pour ceux qui sont absents (+72h) et risquent de se 
retrouver avec un élevage de champignons dans le frigo/congèlo.


Je doute que ceux là se contentent des 10 balles de prime (quoique, 
ils n'auront probablement pas le choix).


A toute fin utile, je rappelle qu'en population générale, une 
écrasante majorité de nos concitoyens ne fait pas la différence entre 
un kW et un kWh.


L'un de vous aurait-il un éclaircissement ?

Merci et bonne année (même si en un unixtime, ca ne signifie rien),
Julien

1: 
https://www.tomsguide.fr/linky-on-connait-enfin-le-departement-ou-aura-lieu-le-test-de-black-out-de-200-000-foyers/

2: https://www.kelwatt.fr/guide/compteur/electricite/rearmer-linky


---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Cet e-mail a été vérifié par le logiciel antivirus d'Avast.
www.avast.com
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Test du Plan de Continuité d'Activité des services de l'état le 31/12

2023-12-22 Par sujet Laurent Barme


Ma réponse en bref : https://www.iridium.com/Phones/

TL;DR;

Le 22/12/2023 à 12:30, Toussaint OTTAVI a écrit :

Bonjour,


…
On ne peut que se sentir révolté par tant d'iniquités au point d'en arriver 
presque à souhaiter qu'il y ait bientôt un événement (totalement fortuit, bien 
entendu) en corrélation avec cette histoire.



Toutes ces suppositions induisent donc les questions techniques suivantes :

- Dans une telle éventualité, comment informer tous les opérateurs (et leurs 
clients critiques) de tenir leurs équipes en alerte la nuit du 31/12 ?

Il me semble que ça, c'est fait.



- Il y a quelques temps, à propos des incidents fibre à répétition, j'avais 
posé la question de savoir si un administré de MONTCUQ pourrait toujours 
téléphoner au SAMU ou aux pompiers de MONTCUQ si les liens remontant vers 
Paris venaient à tomber. Quelqu'un se rappelle t-il si une réponse claire à 
cette question a été fournie ?

La meilleure alternative que je connaisse : https://www.iridium.com/Phones/



- Quelqu'un sait où se trouve le Raymond CROZE actuellement ? Combien de temps 
lui faut-il pour appareiller et se rapprocher de la zone supposée du test ?
Même s'il était sur zone, sa seule présence ne suffirait pas à remédier à la 
situation dans un délai raisonnable.





--
L'individu en question souhaite à tous un bon Vendredi, et un Joyeux Noël. 
Comme la prononciation de ces mots est désormais interdite, il est bien 
conscient que ceci pourrait le mener derrière les barreaux. Il suppose 
qu'avant de lui notifier sa mise sous écrou, un tribunal compétent (de 
préférence en un seul mot) sera bien obligé de lui délivrer, au préalable, une 
identité, et des droits.


;-)
;-(

Si le contexte n'était pas aussi tragique, ce serait très drôle. Quoiqu'il en 
soit, c'est très bien écrit. Merci Toussaint.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT]

2023-12-15 Par sujet Laurent Barme




Le 16/12/2023 à 00:04, Léa Gris a écrit :

Le 15/12/2023 à 19:35, Sébastien Lebourg via frnog écrivait :
>
>

Effectivement, il y a beaucoup de neige ; c'est tout blanc !


:-))


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] MTU sur switch Huawei CE

2023-12-15 Par sujet Laurent-Charles FABRE

Bonjour,

vendredi étant un bon jour pour passer pour une buse, j'ai une question
pour vous :-)

Switch 1 :
Route Port,The Maximum Transmit Unit is 9600,The Maximum Frame Length is
9216
IP Sending Frames' Format is PKTFMT_ETHNT_2,...
Internet Address is 10.0.61.75/31
Switch 2
Route Port,The Maximum Transmit Unit is 9600,The Maximum Frame Length is
9216
IP Sending Frames' Format is PKTFMT_ETHNT_2,...
Internet Address is 10.0.61.74/31

Les 2 ports sont reliés en direct, pas de vlan, vxlan vpn...  rien de rien
Le plus gros paquet que je passe:
ping -f -s 9170 10.0.61.75
  PING 10.0.61.75: 9170  data bytes, press CTRL_C to break
Reply from 10.0.61.75: bytes=9170 Sequence=1 ttl=254 time=1 ms

Y'a un truc qui m'échappe
Qui saurait me dire pourquoi 9170 ?
Merci de vos lumières !

Laurent FABRE

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Re: Orange Offre

2023-11-28 Par sujet Laurent S. via frnog

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA256

On 27.11.23 22:39, Jerome Marteaux wrote:
> Finalement le seul risque de démarrer ce projet c'est d'échouer !
> Et si échec, il n'y aura aucune conséquence, comme dirait l'autre: "Je
> ne dirais pas que c'est un échec : ça n'a pas marché" !

Mise à par le coût écologique, il est toujours bon de rappeler les 
risques du Syndrome de Kessler.

Voici en très court ce que wikipédia en dit:
> Le syndrome de Kessler est un scénario envisagé en 1978 par le consultant de 
> la National Aeronautics and Space Administration (NASA) Donald J. Kessler, 
> dans lequel le volume des débris spatiaux en orbite basse dû à la pollution 
> spatiale atteint un seuil au-dessus duquel les objets en orbite sont 
> fréquemment heurtés par des débris, et se brisent en plusieurs morceaux, 
> augmentant du même coup et de façon exponentielle le nombre des débris et la 
> probabilité des impacts. Au-delà d'un certain seuil, un tel scénario rendrait 
> quasi impossible l'exploration spatiale et même l'utilisation des satellites 
> artificiels pour plusieurs générations.

Je ne sais pas vous, mais moi, du coup, j'ai la boule au ventre à chaque 
fois que j'entends parler de Starlink et de la démesure du Musk.

-BEGIN PGP SIGNATURE-
Version: ProtonMail

wnUEARYIACcFAmVlv4cJEGrKMAvEr8lYFiEE7GCsX266hFD8sTLtasowC8Sv
yVgAAGIfAP9QkTRFk8vLdz7eBfMHwgHD5A8CZ3rRBzkJXyWhxUjl9wEAtpoK
1FQAJkrIzQ4QIHQ9SGDz2hUcizJQX7tBvcNSpwM=
=c4DN
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Domaines mails anonymes

2023-10-20 Par sujet Laurent Barme




Le 20/10/2023 à 16:28, Arnaud Launay a écrit :

Le Fri, Oct 20, 2023 at 04:15:55PM +0200, Thierry Chich a écrit:

Ouais, c'est une provoc pour les libertariens.

Tant que tu passes par franceconnect pour t'identifier avant la création du 
mail,
tout va bien. Promis: les données ne sortiront pas des bases du gouvernement.



:-))


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Recherche don Switch - (PoE si possible)

2023-10-10 Par sujet Sylvain Laurent

Bonjour FRnOG,

J'ai croisé une association en île-de-france qui héberge des familles
et qui est tombé en rade de switch fonctionnel pour maintenir leur
réseau, ils fonctionnent actuellement avec des petits DLink que des
gens ont apporté sur un réseau (environ une 50aines de câble à
brasser) qui contient du matériel pour certains PoE et qui ne peut
plus fonctionner.

Aussi je suis à la recherche de bonne âme si vous avez des switch si
possible avec PoE, je serai ravis de vous en débarrasser pour les
aider.

Merci,
Cordialement,

-- 
Sylvain `Magicking' Laurent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] "Récupération de vos documents"

2023-10-06 Par sujet Laurent Barme

Excellent ! Cela m'a encore plus fait rire que la réponse du docteur qui gère la 
messagerie d'un (gigantesque) hôpital.


Et avec tout ça, on oublie de parler de l'absence de confidentialité de mails. 
On imagine que le pièces jointes à destination d'un hôpital son sans doute 
pourvues de données à caractère personnel :-(


Le 06/10/2023 à 15:12, Stéphane Rivière a écrit :
…


Il faut laisser ça à ceux qui gèrent de petits serveurs de messageries 
personnels tels que :


SFR Mail : max 100 Go
GMX Caramail : max 50 Mo en émission
mail.com : max 50 Mo en émission
GoDaddy : max 30 Mo en émission et réception
Yandex : max 25 Mo en émission
Gmail : max 25 Mo/50 Mo en émission
AOL : max 25 Mo en émission et réception
Free : max 25 Mo en émission
Orange : max 25 Mo
Laposte.net : max 20 Mo
Zoho Mail : max 20 Mo
ProtonMail : max 15 Mo


^ j'adore la réponse bien documentée.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Je recherche un clavier...

2023-10-03 Par sujet Laurent Barme


Edit : "Votre message pour la liste frnog a été transmis au(x) modérateur(s)"

Image dispo en https://blog.nun.tf/media/2023/10/planck_olkb.jpg

Le 03/10/2023 à 14:01, Jacques Michau via frnog a écrit :

Ahah super !
Alors à quoi il ressemble ?
Voir image en pièce jointe (planck_olkb.asc) à renommer en .jpg ; il me semble 
que les images ne passent pas sur FRnOG alors je tente cette esquive au cas où 
seule l'extension serait prise en compte :-)



  Et est-ce que c'est le V7 qui permet de configurer à la volée sur une page web ou bien 
il faut toujours " compiler son clavier" en C et charger le firmware obtenu ?


Oui, c'est le v7. Il semble que l'on puisse aussi (comme pour les autres 
versions) le configurer depuis une page web mais j'ai trouvé la méthode en ligne 
de commande beaucoup plus accessible. En tout cas je n'ai pas eu de difficulté à 
le configurer comme je le voulais. C'est d'ailleurs un énorme avantage de ce 
clavier que de pouvoir mettre les caractères qu'on utilise le plus souvent à 
porter du moindre mouvement et du moins de doigt possible.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Je recherche un clavier...

2023-10-03 Par sujet Laurent Barme




Le 23/07/2023 à 18:32, Jacques MICHAU via frnog a écrit :

Bonjour,

Allez je m'y mets aussi.

Je suis parti sur un clavier 40% orthogonal chez drop.com (olkb planck v6, 
maintenant c'est v7) et là tu choisis tout (les switchs parmi les 15 
modèles existants, clicky ou pas, tu choisis la pression  etc, les keycaps - 
autant prendre noir ou un peu fantaisiste - car sur un 40% de toute manière tu 
multiplies les mappings avec des touches pour changer à la volée). Ça a l'air 
complètement con comme concept, mais une fois maitrisé, tu ne jures plus que 
par ça et tu le trimballes entre le boulot et la maison... tu bouges plus les 
mains, tu tapes à fond comme avant - perso même plus vite qu'avant, c'est 
totalement programmable à la touche près et là ça va bien plus loin que tout 
ce qu'offrent les razer & co, les lumières en moins). Alors certes c'est un 
peu extrêmiste et tu perds quelques semaines à te louper sur des touches 
(surtout les passwords...), mais après, quel bonheur.


In fine ça te coute une petite blinde, mais pas tellement pire que les grosses 
marques. Et en bonus tu passes pour un dingue :)


Jacques


Bonjour Jacques,

Merci de m'avoir fait découvrir le Planck !

J'ai trouvé le concept assez judicieux pour avoir envie de l'éprouver et je peux 
confirmer qu'après seulement une semaine d'utilisation, j'en suis déjà ravi.


Bonne journée,
Laurent Barme


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Abuse Scaleway/Online

2023-09-25 Par sujet Laurent Barme




Le 23/09/2023 à 19:27, David Ponzone a écrit :

Le 23 sept. 2023 à 18:47, Laurent Barme <5...@barme.fr> a écrit :

Cela dit, je doute qu'ils puissent faire grand chose au sujet du détournement 
de leur serveurs par les pirates et cela vaut pour d'autres hébergeurs.

Et s'il pouvaient, ce ne sont pas les seuls à servir de base d'attaque. Elles 
viennent du monde entier et en particulier de pays où on aura du mal à trouver 
un interlocuteur…


Oui mais sur certains services, il est simple de bloquer par geoip tout ce qui 
vient pas d’une liste explicite de pays, si le client n’a pas de raison 
d’accéder à son service depuis ailleurs.
Il y a deux problèmes dans ta proposition. Le premier est l'arbitraire de la 
géolocalisation des IP et le deuxième est la proposition de censure sous le 
contrôle de l'hébergeur.



Mais si ça vient de France…
En réalité on ne sait pas d'où ça vient vraiment, on peut juste connaître qui 
gère l'IP administrativement ce qui n'a rien à voir avec qui s'en sert.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Abuse Scaleway/Online

2023-09-23 Par sujet Laurent Barme




Le 21/09/2023 à 10:07, David Ponzone a écrit :

Bonjour,

Quelqu’un connait un moyen fiable de joindre la cellule abuse de 
Scaleway/Online ?
(autre moyen que leur formulaire en ligne qui est une vaste blague, puisqu’il 
aboutit à un rejet de demande parce que j’ai pas fourni des infos…que le 
formulaire ne demande pas)

Merci

David


Pour l'avoir expérimenté à propos des bugs apparus lors de l'évolution de 
l'Object Storage chez Scaleway, le plus efficace pour traiter un problème que 
l'on attribue à Scaleway et d'aller en parler sur Sclack :


https://www.scaleway.com/en/docs/tutorials/scaleway-slack-community/

Ou directement sur :

https://slack.scaleway.com/

Cela dit, je doute qu'ils puissent faire grand chose au sujet du détournement de 
leur serveurs par les pirates et cela vaut pour d'autres hébergeurs.


Et s'il pouvaient, ce ne sont pas les seuls à servir de base d'attaque. Elles 
viennent du monde entier et en particulier de pays où on aura du mal à trouver 
un interlocuteur…


C'est à traiter au niveau de chaque serveur.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Abuse Scaleway/Online

2023-09-23 Par sujet Laurent Barme




Le 22/09/2023 à 10:34, Alexandre Archambault a écrit :

Le 21/09/2023 à 21:49, Jeremy a écrit :


Bon, c'est vendredi dans 2h, je me lance.


Je me demande s'il y a des employeurs qui lisent cette liste et, le cas échéant, 
ce qu'il pensent de la coutume du vendredi ; comme si le weekend était de 3 
jours :-)


PS: cette réponse est opportuniste et ne s'adresse pas particulièrement à 
l'auteur du mail en question.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [France Inter] Les ratés de la fibre

2023-09-11 Par sujet Ducassou Laurent


Le 11/09/2023 à 13:08, David Ponzone a écrit :

Y a un intrus dans ta proposition:


Aller au bout du concept, c'est faire une appli qui quand tu change d'opérateur ça te 
déverrouille l'armoire pour que tu cable toi même "comme un grand (cochon)" 
dans le PM !


« Déverrouille »


C'est pas un intrus, c'est un semblant de sécurité sur le papier pour se 
couvrir alors qu'il n'y a même pas de serrure ! ;)


Laurent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] [France Inter] Les ratés de la fibre

2023-09-11 Par sujet Ducassou Laurent

Tu n'y est pas David !

Aller au bout du concept, c'est faire une appli qui quand tu change
d'opérateur ça te déverrouille l'armoire pour que tu cable toi même
"comme un grand (cochon)" dans le PM !

Comme ça, hop, même plus de sous-traitant IIbar ! Car ça sera une option
à 100€ de faire déplacer quelqu'un pour câbler comme un cochon à ta
place (bien trop souvent...)

Pardon, c'est que Lundi, je sais ! (Enfin, un certain homme du XXème
disait que le temps est relatif... Donc... C'est relatif le jours du
Trolldi !)

Laurent

Le 11/09/2023 à 11:12, David Ponzone a écrit :

Tu touches pas à l’uberisation du métier, c’est comme ça.
C’est le nouveau modèle ça: ça évite des embauches aux gros acteurs (pour
rester agile), et tous ces autoentrepreneurs ne sont plus sur les listes du
chômage, c’est Win-Win.

Par contre, pour aller au bout du concept, on pourrait peut-être sortir une app
appelée « Fiber » qui permet à un particulier de commander l’intervention d'un
tech fibre quelconque pour qu’il vienne lui régler son problème de FTTH, avec
obligation de résultat partielle ?

Le 11 sept. 2023 à 11:04, Hmaks Doe a écrit :

C'est très conciliant comme reportage j'ai trouvé manque d'intervenants à
charge ? ça remet pas en question le système pour deux sous, juste on va faire
des audits et former les techos pour s'améliorer mais sinon c'est nickel
changez rien. On a presque l'impression que les X niveau de sous-traitance
apportent sérieux et qualité. Personne pour dire que quand t'as X intermédiaire
qui prennent chacun 30% pour brasser du vent il reste pas grand chose pour le
pelé qui fait le job en bout de chaîne et qui torpille la presta pour rentrer
dans ses objectifs.

On Mon, Sep 11, 2023 at 9:17 AM David Ponzone mailto:david.ponz...@gmail.com>> wrote:
J’ai écouté 2 min.
Altitude doit être content de savoir qu’ils sont « un sous-traitant chargé le
déployer la fibre pour SFR ».

C’est dommage cette manière de chercher à simplifier les relations entre
opérateurs, qui ne sont pourtant pas très complexes.

Le 10 sept. 2023 à 13:54, Stephane Bortzmeyer mailto:bortzme...@nic.fr>> a écrit :

On Sun, Sep 10, 2023 at 10:53:21AM +0200,
Stephane Bortzmeyer mailto:bortzme...@nic.fr>> wrote
a message of 15 lines which said:

Bopnne explication pour le grand public des innombrables coupures et
du travail de cochon qui est fait :

https://www.radiofrance.fr/franceinter/podcasts/interception/interception-du-dimanche-10-septembre-2023-4299565

<https://www.radiofrance.fr/franceinter/podcasts/interception/interception-du-dimanche-10-septembre-2023-4299565>

Page supprimée par France Inter, désolé. Elle n'est plus dans la liste
de l'émission
<https://www.radiofrance.fr/franceinter/podcasts/interception
<https://www.radiofrance.fr/franceinter/podcasts/interception>>

---
Liste de diffusion du FRnOG
http://www.frnog.org/ <http://www.frnog.org/>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Passages de câble, voisinage et propriétés privés.

2023-09-06 Par sujet Ducassou Laurent


Bonjour,

Vu la configuration avec ce genre de problème, propose un passage façade 
(sauf si classement bâtiment de France...) voir avec proposition 
d'installation d'un cache câble au frais du client si il veux du "beau" 
(il existe des prépeint blanc, sablé, etc...).


Passer chez quelqu'un pour la maintenance à long terme, c'est juste à 
proscrire. Et tu explique à ce client qui veux la fibre que c'est "la 
seule solution possible vu que son voisin ne veux pas être sympas".


Sur une maison qui a été "séparé" on fait des trou pour adducter 
séparément par la facade sans soucis, c'est un cas plus que courant par 
chez moi surtout sur Bordeaux Centre qui dispose de maison unique qui 
ont été divisé en plusieurs appartements. Et puis, disons le, une maison 
séparé en 2 ou + d'appartement est une copropriété de fait si il y a 
plusieurs propriétaires ! Mais souvent ces micro copro sont géré un peu 
à la "va comme je te pousse" même niveau règlement et obligation


Laurent

Le 29/08/2023 à 12:28, Carroussel Informatique a écrit :

Bonjour à tous et toutes.

Je ne suis pas certain de la catégorie utilisé, à priori c'est plus du 
juridique que du technique...


J'ai un client particulier, qui veux passer de SFR à Orange. Orange 
lui a envoyé une box fibre, incompatible avec sa ligne actuelle, 
encore en cuivre.

Il faut donc virer le câble de cuivre et tirer une fibre à la place.
Problème : c'est un vieil immeuble, en fait je pense qu'il s'agissait 
d'une très grosse maison de village, qui a été coupé en deux, bref...
Et le fil de cuivre passe chez le voisin, avant d’atterrir "quelque 
part" chez mon client, en faisant au passage des boucles exotique dans 
les murs.
Problème 2 : Le voisin est un spécimen asser courant de grossus 
connardus vulgaris, qui ne fait rien pour aider. Cela fait trois fois 
que les techos se déplacent pour tirer la fibre et que le gros con 
n'est pas là, ou leur refuse l’accès au local.
SFR s'en fout, Orange... ne peu légalement pas forcer la porte du 
voisin, ni le ligoter à une chaise pendant que ses techniciens tire le 
câble.
D'un point de vue technique, ça résoudrait bien des problèmes, mais en 
terme d'image, il parait que ce n'est pas terrible.
Bref, Orange a envoyé un tas de papiers, mon client qui est âgé et peu 
patient, a tout envoyé bouler, et a fait un scandale à la mairie, la 
dessus, les assurances s'en sont mêlés, et mon clien t les a envoyé 
bouler aussi.

Bref, ça n'avance pas.
J'ai essayé de lui expliquer qu'il fallait faire un trou dans SA 
façade pour faire passer la fibre, mais je sort de ma zone de 
compétence (je répare les ordis sous windows moi madame !)


Question : A qui appartient le fil de cuivre ? à Orange ? Au voisin ?
Et si l'on décide de laisser tomber le remplacement du fil de Cuivre 
pour bypasser le voisin chiant, qui doit faire les travaux pour faire 
passer la fibre de la rue à la maison de mon client ?
Je vis en Cambrousse, dans un vieux village, et des cas tordus, j'en 
ai quelques un, et je ne suis pas forcément le plus compétent pour 
répondre à ces question.

Et l'aide grand public des FAI, ben c'est pas toujours ça non plus.

Si vous pouvez m'éclairer, ou m'orienter dans la bonne direction, 
merci d'avance.



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Passages de câble, voisinage et propriétés privés.

2023-09-06 Par sujet Ducassou Laurent




Le 05/09/2023 à 11:50, Erwan David a écrit :

Le 05/09/2023 à 08:52, Spyou a écrit :



De toute façon, il est interdit de déposer le cuivre (ou de s'en 
servir comme tire file) quand on pose la fibre. 


Ce qui peut poser problème quand un règlement de copropriété impose de 
réutiliser les fourreaux existant entre colonne montante et 
appartement...



Pas vraiment. Même si la goulotte entre l'appartement et la colonne à 
déjà un câble, pour respecter, tu "retire" vers la colonne montante 
depuis l'appartement le cable cuivre avec un guide câble, puis une fois 
dans la colone tu retire en même temps la fibre et le cuivre que tu 
recable en 10 seconde sur le DTI Cuivre.


Rien de méga sorcier !

Laurent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Distance MINIMUM pour utilisation fibre monomode et sfp 10G

2023-08-26 Par sujet Ducassou Laurent


Bonjour,

Il n'y a pas de règle spécifique vis à vis de ça à ma connaissance. J'ai 
déjà fait poser des rocades Mono en bâtiment sur 30m (plutôt que multi) 
entre deux salles machines. Aucun soucis.


Là où ça peux poser problème, c'est plus coté "optique" qui "envoi trop 
fort" par rapport à la capacité de l'optique en face qui fait que c'est 
"hors plage". Pour ça, on regardera la fiche technique avec les TX Range 
et RX Range (en dBm).


Dans le "pire des cas", si une optique envoie "trop fort" pour cette de 
réception, on met un atténuateur (de 5 db ça suffira largement là). Mais 
cette problématique à surtout lieu lors de lien en CWDM/DWDM passif où 
lors d'usage d'optique "longue distance sans ré-amplification" (ER/ZR) !


Généralement, les optiques Monomode type LR ont une puissance "maximale 
TX" (transmission) égale à la puissance "maximale RX" (réception) donc 
pas de soucis...


Pour l’anecdote, il existe des optiques dite LRM qui est "une sorte 
d'évolution de la norme SR" qui ont une capacité de fonctionner aussi 
bien en Multi que Mono (en 1G comme 10G, c'est une norme)... Avec une 
limitation de distance en mono de ~300m (c'est assez spécifique comme 
optique !)


La problématique est donc plus lié aux connaissances assez vieille des 
gens mais surtout au fait que encore il y a 10 ans, 30m de rocade Multi 
couté bien moins cher que 30m de mono ! (sans même parler des prix des 
optiques). Et ça, c'est resté comme idée ! Alors que maintenant, c'est 
limite l'inverse sur le prix de la fibre (merci le FTTx pour la baisse 
des prix !)


Laurent


Le 26/08/2023 à 12:47, Léo El Amri via frnog a écrit :

On 26/08/2023 08:36, Guillaume Roux wrote:

Bonjour à tous,

Existe-t-il une documentation claire sur les contrindications à 
l’utilisation de fibre monomode et 10G sur des courtes distances.
J’ai beau rappeler à mes collègues qu’en DC il n’y a que de la mono 
même pour de l’inter baie ou entre équipement intra baie on continue 
de me parler éblouissement et atténuateur et donc maintien de la 
multimode.


Et si je trouve moult documents sur débits max et longueur max, je 
trouve assez peu de chose sur la longueur minimum pour ne pas avoir 
besoin d’atténuateur.


Merci d’avance aux experts fibres pour leur partage d’info.

Guillaume


Avertissement : je n'avais jamais touché à de la fibre télécom avant 
le mois dernier, et je n'en ai installé qu'une seule pour mon homelab, 
mais j'ai fait plein de recherches à cette occasion, et j'ai fait 
appel à de vieilles connaissances acquises lors de mes cours de 
physique optique.


Je ne connais rien à la fibre en application télécom, mais dans la 
fibre de façon générale ça se calcule avec l'atténuation par unité de 
longueur et le nombre de raccords sur le chemin. Il se trouve que (sur 
le terrain, pas en laboratoire) les fibres "multimode" ont une plus 
forte atténuation par unité de distance que les fibres "monomode".


Il doit bien exister une "règle empirique", que tu dois connaître, sur 
l'affaiblissement aux raccords. Pour le reste j'ai l'impression que ça 
dépend beaucoup de l'équipement utilisé. Au niveau des modules SPF, je 
n'ai pas trouvé de "logique" sur les puissances d'émission/réception. 
J'en ai déduit que c'est du cas par cas. Personnellement je me suis 
simplement assuré que la puissance à la réception n'était pas 
supérieure à la valeur maximale admise par mon récepteur. Les modules 
SPF pour lesquels j'ai lu la fiche technique supportaient tous au 
moins leur puissance d'émission en réception. Dans mon cas j'ai juste 
eu à installer un atténuateur de 3dB parce que mon SFP Juniper 
émettait plus fort que ce que pouvait recevoir mon SFP Mikrotik.


Bref. La distance en DC étant négligeable, ce n'est qu'une question de 
comptabilité de matériel. Je ne vois pas trop ce que viennent faire 
des atténuateurs dans une infra pro, puisqu'on devrait s'attendre à 
voir exactement les mêmes modèles de SPF au bout des câbles dans la 
plupart des cas. Les cas où ce n'est pas possible (routeurs de marques 
différentes avec vendor-lock par exemple), je vois mal comment ça peut 
être autre-chose qu'une configuration sur-mesure. Il faudra sortir son 
cerveau.


En tous cas j'aimerais aussi une réponse à cette question.


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] itinérance et surprises

2023-08-03 Par sujet Laurent Guinchard

Hello,

Sans vouloir faire plus de pub que ça pour ma paroisse (ce n'est pas mon 
style), une des solutions pour la data si votre mobile dispose d'une eSIM c'est 
https://www.ubigi.com/fr/
Les tarifs sont différents suivant dans le pays où on va, mais une chose est 
sûre, on ne parle généralement pas de centaines d'Euro ... (sauf pour les US 
avec un bundle de 200Go)

A vous de voir.

Cordialement,

Laurent GUINCHARD



-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Richard 
Klein
Envoyé : jeudi 3 août 2023 08:28
À : Ge DUPIN 
Cc : l...@netc.fr; frnog-m...@frnog.org
Objet : Re: [FRnOG] [MISC] itinérance et surprises

/!\External/!\


Bonjour,

Y a un truc qui se nomme CGV qui va définir le périmètre de facturation et je 
crois que vous devez recevoir un sms (pas mms=data) qui va dans les grandes 
lignes définir la tarification du pays.
Ensuite vous avez sur votre mobile la possibilité de couper la data en roaming.
Même si je connais tous cela il y a 10ans entre la Grèce et la Turquie (hors 
Europe)je me suis pris 160 euros de hors forfait data.
Sur place il y avait pour 30euros des cartes prépayées avec data illimité.
Si la tarification est importante je vous recommande de vous prendre 1h pour 
relire votre contrat signé par une personne majeur et vacciné(ou pas) et de 
faire une étude pour voir si il n’y a pas un service de carte prépayée plus 
intéressant ou changer de forfait ou opérateur.
Nous devons aussi garder à l’esprit que la france est le pays où les forfaits 
mobiles sont les moins chère… même si les opérateurs se rattrapent en ce moment 
et les clients n’hésitent pas à dégainer le RIO pour trouver moins chère 
ailleurs.

Bonne journée à tous

Richard


Envoyé de mon iPhone

> Le 3 août 2023 à 08:10, Ge DUPIN  a écrit :
>
> Bonjour
> C’est sûr que si le roaming data n’est pas désactivé ça peut faire mal 
> Et les appels à 3€ la minute et 2€ en réception aussi !
> Ces tarifs sont juste scandaleux !
> Bonne journée
> Ge
>
>> Le 3 août 2023 à 06:55, l...@netc.fr a écrit :
>>
>>
>> bonjour la liste,
>>
>>
>>
>> est il normal de ressentir une incompréhension face à l'article :
>>
>>
>> «  La simple réactivation de votre portable à la descente de l'avion 
>> et la soudaine délivrance des SMS et autres alertes envoyées par vos 
>> contacts et stockés durant votre voyage, peuvent à elles seules vous 
>> coûter les 50 euros hors taxes en l'espace de quelques secondes.  »
>> https://www.lefigaro.fr/argent/telephone-mobile-comment-eviter-et-con
>> tester-les-surfacturations-quand-vous-partez-a-l-etranger-20230802
>>
>>
>>
>> de ce que des pros des telcos me soulignaient :
>>
>> a/ la réception des sms n'est jamais facturée (contrairement aux mms 
>> et au appels, on ne peut pas choisir d'éviter leur réception)
>>
>> b/ que l'article ne parle pas du plus couteux : les maritime services, qui 
>> font des fiévreux de la facture chaque année, meme sans sortir (ou si peu) 
>> d'europe...
>>
>> https://www.quechoisir.org/actualite-telephoner-en-zone-maritime-avis
>> -de-tempete-sur-les-factures-n10537/
>> https://zestedesavoir.com/billets/3267/comment-prendre-le-ferry-peut-
>> vous-couter-cher/
>>
>>
>>
>>
>>
>> my 2 cents
>>
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Renater Sud-Ouest

2023-07-20 Par sujet Laurent Gydé


Bonjour,

www.renater.fr ? ;-)

Laurent

Le 20/07/2023 à 14:46, Michel KOENIG a écrit :

Bonjour,

Quelqu'un a un contact chez Renater pour client sur Biarritz ?

Merci

Michel

---
Liste de diffusion du FRnOG
http://www.frnog.org/




smime.p7s
Description: Signature cryptographique S/MIME

Re: [FRnOG] [ALERT] Renater (et autres ?) Down ?

2023-07-12 Par sujet Laurent Gydé


Bonjour,

Origine de l'incident identifiée, mesure palliative et retour du service 
vers 18:20. Nous poursuivons les investigations sur la root cause.


Laurent

Le 12/07/2023 à 19:22, jehan procaccia INT a écrit :

Bonsoir,

confirmation coté NOC renater /
/

/--
N°Ticket  : 4965634
Type de ticket    : INCIDENT
Etat du ticket    : Ouvert
--
Emetteur  : NOC-RENATER
Elément concerné  : REN
Service(s) impacté(s) :
--
Début Incident    :  CET/CEST
--
Date/Heure Ouverture (du ticket)  : 12/07/2023 16:43:06 CET/CEST
--

Description de l'incident :
Perturbation sur l'ensemble du réseau Renater /


On 12/07/2023 16:30, jehan procaccia INT wrote:

Bonjour,

notre reseau (AS 2094) sur renater (AS 2200) et collecte (AS 2072) on 
un comportement erratique veres renater / Internet (ovh par exemple)


qq'un a t-il connaissance de pb en cours ?

apparement le NOC Renater signal un soucis, sans preciser lequel .

Jehan .


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/




smime.p7s
Description: Signature cryptographique S/MIME

Re: [FRnOG] [MISC] [Émeutes] Interdiction des réseaux sociaux ?

2023-07-09 Par sujet Laurent Barme




Le 09/07/2023 à 14:42, Stéphane _Rivière_ a écrit :

on pourrait parfois sortir de sa bulle pour voir comment c'est, de
l'autre coté de la _rivière_

:-)

Ah, si les sujets sur cette liste pouvaient rester, en partie du moins, sur le 
"sujet des telcos"…



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?




Le 04/07/2023 à 11:23, Stephane Bortzmeyer a écrit :


Mais rien à voir entre le fait de poser la question en IPv4 et de
recevoir une adresse IPv4 en réponse. (Cf. mon exemple avec dig.)


Tiens, un truc marrant : j'ai essayé dig +short  ovh.com : apparemment je ne 
suis pas le seul à ne pas mettre d' :-)

Et ça marche aussi avec  impots.gouv.fr ou urssaf.fr…


Et il faut plus de ressources pour filtrer jusqu'à 2^64 adresses que 0
(zéro) adresses.

Une ligne dans la conf, c'est davantage que zéro, on est
d'accord. Mentionner "2^64" est juste de la réthorique.
Ah mais développer un traitement c'est pas juste "ajouter des lignes dans la 
conf" :-\





Sans parler du fait que le traitement d'adresses de 128 bits, même
si on ignore les 64 bits de poids faible, est nécessairement plus
lourd que celui d'adresses de 32 bits seulement.

Euh, ça dépend complètement des processeurs/ASIC qu'on a. Sur un
processeur 16 bits, traiter 16 bits n'a jamais été plus long que d'en
traiter 8 :-)
Tout à fait : une IPv4 se traite tout entière dans un seul registre sur un 
processeur 64 bits (on pourrait même en traiter deux à la fois) mais une IPv6 
non. Et mes serveurs ne sont pas équipés de processeurs 128 bits.
Il n'y a pas que les traitements au niveau du processeur ; mémoriser les IPv6 
bloquées prend plus de place que pour des IPv4 (quelque soit le processeur).



Mais les pirates qui attaquent en IPv6 ont potentiellement
2^32 fois plus d'adresses IP à leur disposition que s'ils attaquent en IPv4.
D'autant plus qu'il reste peu d'adresses IPv4 disponibles, qu'elles sont de
plus en plus chères alors que les IPv6 sont abondantes et gratuites.

Donc traiter les IPv6 expose un serveur à plus d'attaques /potentielles/ et
va donc nécessiter d'avantages de ressources.

C'est de la pure théorie. La réalité des réseaux du vrai monde ne
montre pas ça (pirates paresseux et incompétents, qui ne se donnent
même pas la peine d'essayer en IPv6).


La réalité que j'observe est qu'il y a déjà des attaques en IPv6. Beaucoup 
moins, certes, mais il y en a, y compris des salves qui utilisent différents /64.


Je ne dois pas être dans le vrai monde :-(

Et sinon, je suis quand même conscient que l'avenir de l'IPv4 est très 
compromis.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?




Le 04/07/2023 à 11:17, Dominique Rousseau a écrit :

Le Tue, Jul 04, 2023 at 11:07:50AM +0200, Laurent Barme [5...@barme.fr] a écrit:
(...)

En fait, c'est moins l'adresse de transport de la requête qui
m'intéresse que son résultat. Celui-ci dépend bien sûr du DNS
sollicité mais aussi de l'adresse de transport de la requête.

Non, c'est faux.

Ah bon. Un poste qui n'a qu'une IPv4 va bien faire une requête en
IPv4, non ?
Et peu importe que le DNS sollicité (ou le résolveur final) ait aussi
une IPv6, il va bien recevoir une IPv4, non ?

Un poste qui n'a qu'une ipv4 va faire une requete sur ipv4 a son
resolveur.
Le resolveur, lui, peut tres bien faire la requete vers le serveur
faisant autorite sur ipv6.
Et il est fort probable que le poste n'ayant que de l'ipv4 va effectuer
une requete "A" pour obtenir une reponse contenant une ipv4, pour
l'usage courant.
Mais rien ne l'empecherait de faire une requete demandant un "" pour
obtenir une reponse contenant une ipv6, dont il ne saurait pas faire
grande chose pour la suite :)


Tout à fait d'accord !


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?




Le 04/07/2023 à 10:24, Stephane Bortzmeyer a écrit :
…

Non. Je répète : la famille de l'adresse retournée dépend de la
famille demandée (A pour IPv4 et  pour IPv6) et en aucun cas du
protocole de transport.
Ok mais pour un poste qui n'a qu'une IPv4, va-t-il demander une IPv6 ? Que 
pourrait-il faire d'une résolution qui lui retourne une IPv6 ?


…



En fait, c'est moins l'adresse de transport de la requête qui
m'intéresse que son résultat. Celui-ci dépend bien sûr du DNS
sollicité mais aussi de l'adresse de transport de la requête.

Non, c'est faux.

Ah bon. Un poste qui n'a qu'une IPv4 va bien faire une requête en IPv4, non ?
Et peu importe que le DNS sollicité (ou le résolveur final) ait aussi une IPv6, 
il va bien recevoir une IPv4, non ?



Il y a bien une résolution IPv4 ou IPv6 qui dépende des OS et ISP,
ce qui explique des comportements différents selon le contexte
(OS/ISP) lorsqu'un nom de domaine contacté a simultanément une
adresse IPv4 et une adresse IPv6.

Cela dépend entièrement du type de données demandé.
C'est ça et je parie qu'un poste qui n'a qu'une IPv4 va demander l'A du nom de 
domaine et pas l'.





…

(d'autant plus que le serveur en question n'a pas IPv6, ce qui lui épargne
potentiellement 2^64 sources d'attaques à filtrer).

Euh, quand vous voulez filtrer un /64, vous mettez 2^64 adresses dans
votre configuration ?


Cet argument a vraiment du mal à passer :-\
Ce n'est pas un problème de réseau mais de traitement.

Je reformule :

Un serveur qui traite de l'IPv6 va devoir filtrer /potentiellement/ jusqu'à 2^64 
adresses (par /64).

Jusque là, on est d'accord ?

Un serveur qui ne traite pas d'IPv6 n'a _aucune_ IPv6 à filtrer.
On est toujours d'accord ?

Et il faut plus de ressources pour filtrer jusqu'à 2^64 adresses que 0 (zéro) 
adresses.
Dis autrement, il faut plus de ressource pour un traitement qui fait quelque 
chose que pour pas de traitement du tout :-)


Sans parler du fait que le traitement d'adresses de 128 bits, même si on ignore 
les 64 bits de poids faible, est nécessairement plus lourd que celui d'adresses 
de 32 bits seulement.


Alors oui, dans les deux cas, on ne "met pas dans la configuration" 2^32 ni 2^64 
adresses. Mais les pirates qui attaquent en IPv6 ont potentiellement 2^32 fois 
plus d'adresses IP à leur disposition que s'ils attaquent en IPv4. D'autant plus 
qu'il reste peu d'adresses IPv4 disponibles, qu'elles sont de plus en plus 
chères alors que les IPv6 sont abondantes et gratuites.


Donc traiter les IPv6 expose un serveur à plus d'attaques /potentielles/ et va 
donc nécessiter d'avantages de ressources.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?




Le 02/07/2023 à 18:33, Stephane Bortzmeyer a écrit :

On Wed, Jun 28, 2023 at 04:28:24PM +0200,
  Laurent Barme <5...@barme.fr> wrote
  a message of 73 lines which said:


https://www.dnsleaktest.com/

Même pas d'IPv6 dans ces tests.

Effectivement, bgp.tools est mieux, merci Willy.



…

Autre rappel : il n'y a aucun rapport entre l'adresse de transport de
la requête DNS (IPv4 ou IPv6) et le type de données demandé (A ou
).



L'adresse de transport de la requête DNS dépend quand même de ce que peut faire 
le poste : s'il n'a pas d'IPv6, la requête se fera seulement en IPv4 et 
l'adresse retournée sera une IPv4 (heureusement).


En fait, c'est moins l'adresse de transport de la requête qui m'intéresse que 
son résultat. Celui-ci dépend bien sûr du DNS sollicité mais aussi de l'adresse 
de transport de la requête.


Il y a bien une résolution IPv4 ou IPv6 qui dépende des OS et ISP, ce qui 
explique des comportements différents selon le contexte (OS/ISP) lorsqu'un nom 
de domaine contacté a simultanément une adresse IPv4 et une adresse IPv6.


Depuis un mobile android/Free, je constate avec bgp.tools que je n'ai pas 
d'IPv6. Les requêtes DNS sont donc servies en IPv4 et le mobile peut accéder à 
un site pourvu d'une A et d'une  mais qui n'écoute que sur l'A.


Depuis un mobile iOS/Orange, je constate avec bgp.tools que j'ai une IPv4 et une 
IPv6. Les requêtes DNS sont donc a priori servies en IPv6 et le mobile ne peut 
pas accéder à un site pourvu d'une A et d'une  mais qui n'écoute que sur l'A.


Alors, on est d'accord, ce qui ne va pas c'est le site pourvu d'une A et d'une 
 mais qui n'écoute que sur l'A. Dans cette situation, la solution la plus 
simple pour moi est de supprimer l' pour le nom de domaine (d'autant plus 
que le serveur en question n'a pas IPv6, ce qui lui épargne potentiellement 2^64 
sources d'attaques à filtrer).




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] Re: [FRnOG] [MISC] [Émeutes] Interdiction des réseaux sociaux ?

2023-07-02 Par sujet Laurent Barme




Le 02/07/2023 à 19:56, Philippe ASTIER via frnog a écrit :
…

Au passage, ni Apple, ni Google ne sont en mesure de fournir les coordonnées 
GPS d’un téléphone, ça aussi c’est vraiment de la fake news à deux balles.


Témoignage :
J'ai la chance de connaître le responsable de la sécurité des pistes d'un des 
plus grand domaine de ski mondial. Il m'a expliqué qu'il disposait, pour ses 
fonctions de gestion de secours en montagne, d'une application sur son mobile 
qui lui permet de géolocaliser un téléphone portable dont il connait le numéro 
simplement au moyen de l'envoi d'un SMS. L'utilité pour lui est d'optimiser les 
secours ou d'éviter d'engager inutilement des moyens considérables de secours en 
montagne par exemple pour un mari annoncé comme en perdition par son épouse 
alors qu'il est au bar de la station avec sa maîtresse…
Je n'ai aucune raison de douter de son explication et la géolocalisation d'un 
mobile par triangularisation depuis les antennes avec lequel il est relié au 
réseau mobile me parait techniquement tout à fait plausible.
Les opérateurs (et donc l'état) n'aurait même pas besoin de recourir à Apple ou 
Google pour connaitre la position d'un téléphone mobile.

…



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] [Émeutes] Interdiction des réseaux sociaux ?

2023-07-02 Par sujet Laurent Barme




Le 02/07/2023 à 19:04, Stephane Bortzmeyer a écrit :

On Sun, Jul 02, 2023 at 06:57:13PM +0200,
  Laurent Barme <5...@barme.fr> wrote
  a message of 29 lines which said:


Bloquer l'accès 4G/5G à une zone géographique me semble impossible,

Pourquoi ? Éteindre toutes les stations de base du quartier ne
suffirait pas ?



Il faudrait avoir des propagations d'ondes qui fonctionnent comme le nuage de 
Tchernobyl :-)

Ou alors bloquer aussi toutes les stations des quartiers limitrophes.

De plus, des accès Wifi en local pourraient facilement se substituer aux réseaux 
mobiles.


Par ailleurs, un tel blocage aurait des effets de bords indésirables :

"Ils ont cependant tenu à préciser :


 qu’il ne serait sans doute plus possible d’appeler les secours, en cas 
d’urgence.


 que la plateforme très haut débit de la police et de la gendarmerie, PC Storm, 
ne fonctionnerait pas."



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [Émeutes] Interdiction des réseaux sociaux ?

2023-07-02 Par sujet Laurent Barme




Le 02/07/2023 à 17:59, Richard Klein a écrit :

Bonjour
Ils vont procéder comment pour le bloquage?
DNS comme d’hab?
Richard


Ou selon la "géolocalisation" de l'IP ; c'est ce qui se fait pour bloquer 
l'accès à rumble.com par exemple.


Bloquer l'accès 4G/5G à une zone géographique me semble impossible, sans parler 
de inefficacité d'une telle mesure.


Ce serait beaucoup plus simple d'exiger une identification pour tout accès à 
Internet pour censurer les communication "indésirables"…



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?

2023-06-28 Par sujet Laurent Barme




Le 28/06/2023 à 16:49, David Ponzone a écrit :

57.37.84.182 n’est pas dans la DFZ, mais c’est dans un bloc /15 qui appartient 
à la SITA, absorbé dans Suez.
Encore un beau /15 non routé…

Et c’est Orange qui utilise cette IP pour un résolveur interne ?

Sympa.

Par contre on s’y perd un peu.
Tu parles d’Orange, ensuite tu parles de 2 DNS configurés dans le modem qui 
sont des IP OVH.


Erratum, c'est 54.37.84.182 et pas 57.37.84.18 !

Sinon je parle d'Orange uniquement pour mes tests sur un mobile iOS.

Par ailleurs, j'ai testé dnsleaktest depuis une connexion ADSL OVH sur un poste 
fixe avec lequel j'ai plus de visibilité et moyen d'action sur la configuration 
des DNS.


Sur ce poste :

 * 91.121.161.147 et 87.98.149.171 sont les DNS configurés automatiquement au
   niveau du modem et attribués par DHCP à mon poste,
 * 54.37.84.182 est le DNS indiqué par dnsleaktest

Donc si je ne configure rien manuellement, les DNS attribués par DHCP sont bien 
ceux attribués par OVH mais celui qui est indiqué par dbsleaktest est une autre 
adresse qui appartient aussi à OVH.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?

2023-06-28 Par sujet Laurent Barme




Le 28/06/2023 à 14:11, Guy Larrieu a écrit :

Bonjour,


Question subsidiaire, sur un android aussi à jour que possible, le choix d'un
DNS privé se fait en indiquant … un nom de domaine ! Quel est alors le DNS
qui résout ce nom de domaine ?


Avec un peu de chance, ce site pourrait répondre à ta question :
https://www.dnsleaktest.com/

Guy.


Oh, super intéressant, merci !

Alors depuis un iOS/Orange, les DNS sollicités seraient :
80.10.203.45
90.84.9.[39|41|43|46]

Vous avez les mêmes ?

Par contre j'apprends, d'après dnsleaktest, que 57.37.84.182 reçoit toutes mes 
requêtes DNS faites depuis mon poste fixe bien que les DNS configurés dans les 
paramètres de connexion soient 91.121.161.147 et 87.98.149.171.
Je me demande bien pourquoi ce serveur (57.37.84.182) intercepterait mes 
requêtes DNS et comment il font pour savoir ça ?
Précisions : 91.121.161.147 et 87.98.149.171 sont les DNS configurés au niveau 
du modem et attribués par DHCP auxquels se substitue le 57.37.84.182 pour les 
requêtes DNS. Par contre si on force un autre DNS, il est bien sollicité.


Autre curiosité, sur un mobile iOS/Orange, alors que monip.ovh me donne une 
adresse IPv6 comme adresse publique de connexion à Internet, dnsleaktest 
m’indique une adresse IPv4, la même que celle indiquée par monip.org. Donc 
monip.ovh privilégierait l'IPv6 attribuée par Orange mais le DNS par défaut 
serait contacté en IPv4 :-/ Vous confirmez ?


Sinon sur un android/Free, les DNS sollicités seraient :
213.228.60.[129|133|134|137|141|142]

Vous avez les mêmes ?

Et sur l'android/Free, monip.ovh me retourne la même adresse que monip.org, une 
IPv4. A priori pas d'adresse IPv6 sur le réseau mobile Free. On est d'accord ?


Quoiqu'il en soit il y aurait donc bien une résolution IPv4 ou IPv6 qui dépende 
des OS et ISP, ce qui pourrait expliquer des comportements différents selon le 
contexte (OS/ISP) lorsqu'un nom de domaine contacté a simultanément une adresse 
IPv4 et une adresse IPv6.







---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Quel est le DNS utilisé par un mobile selon l'OS et l'ISP ?

2023-06-28 Par sujet Laurent Barme


Bonjour,

La question se pose bien sûr hors WiFi où l'on a la réponse disponible par 
ailleurs.

Question subsidiaire, sur un android aussi à jour que possible, le choix d'un 
DNS privé se fait en indiquant … un nom de domaine ! Quel est alors le DNS qui 
résout ce nom de domaine ?


Tout indice par rapport à cette question serait le bienvenu.

Laurent Barme


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail

2023-06-27 Par sujet Laurent Barme




Le 27/06/2023 à 08:33, Denis Fondras a écrit :

Le Mon, Jun 26, 2023 at 09:49:56PM +0200, Laurent Barme a écrit :

Effectivement, lorsque les visiteurs n'auront plus qu'un accès via une IPv6,
je n'aurai plus le choix que d'activer l'IPv6 sur le vhost et voir débouler
les attaques en IPv6 aussi.


Sans vouloir jouer les Cassandre, tu ne seras pas serein car tu auras repoussé
l'échéance au maximum. Tu te prendras des murs sur de la prod alors que tu
aurais pu anticiper à l'époque (c'était hier en fait) où il n'y avait aucune
criticité à avoir de l'IPv6 fonctionnel, tester tes règles de filtrage et tout
casser sans impacter tes clients.


T'inquiète, j'ai anticipé. Je comprends pas d'où tu sors l'idée que je ne m'y 
serai pas préparé alors même que j'ai écris le contraire !


C'est curieux comme il y a des concepts pourtant élémentaires qui ont du mal à 
passer sur des sujets sensibles qui relèvent d'avantage de l'idéologie que du 
pragmatisme… Revenons aux constats de base que j'ai énoncés dans mon premier 
message dans ce fil sous une forme qui a mis le feu bien malgré moi à cette 
discussion :


 * rajouter l'IPv6 est une source de problèmes supplémentaires,
 * il y a 2^32 fois plus IPv6/64 que d'IPv4,
 * on peut tracer beaucoup plus efficacement un poste en IPv6 qu'en IPv4.

Après chacun est libre d'en déduire et d'en faire ce qu'il en veut. Pour ma 
part, comme je l'ai déjà écrit et à lire tout simplement : je me suis préparé à 
passer à l'IPv6 mais je ne suis pas pressé.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail




Le 26/06/2023 à 17:38, Bertrand FRUCHET via frnog a écrit :

L'IPv6, ça nettoie aussi les "tuyaux" de toute la m***e car les pirates savent 
pas faire.


Si, si, ils apprennent ; j'observe (et bloque) déjà des attaques en IPv6, y 
compris sur le mail (pour rejoindre un peu le sujet initial de ce fil).


Cela dit, pour le moment, je vois nettement moins d'attaque en IPv6 qu'en IPv4. 
A ce propos, si on pouvait récupérer les IPv4 utilisées par les pirates, cela en 
ferait un paquet de disponible



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail




Le 26/06/2023 à 21:23, Léo El Amri via frnog a écrit :

Je ne comprend pas très bien comment c'est possible. Est-ce qu'on parle d'un 
serveur HTTP ? Si oui, est-ce que "le serveur non contacté" est derrière un 
reverse-proxy ? 
Il s'agit bien sûr d'un serveur HTTP (…non de domaine…). Il n'y avait pas de 
"reverse-proxy" (et je vois pas trop ce que cela vient faire ici).


Si non comment est-ce que le client peut avoir une erreur TLS si le serveur 
n'est jamais atteint ?
Le serveur n'est jamais atteint car il n'écoutait pas sur une IPv6. L'erreur de 
certificat est manifestement un bug (et une fausse piste qui m'a fait perdre du 
temps). Voici mon hypothèse : l'OS résout le nom de domaine en IPv6, le 
navigateur ne parvient pas à obtenir le certificat SSL pour cette IPv6 (pas de 
réponse du serveur) affiche une erreur TLS au lieu d'essayer de passer par 
l'IPv4 à moins que l'OS refuse de fournir une IPv4 puisqu'il a trouvé une IPv6 
pour le nom de domaine.




depuis un mobile via la 4G (quelque soit le navigateur utilisé) alors qu'il 
fonctionne bien par ailleurs ! Depuis le même mobile, toujours en 4G, un 
autre site sur le même serveur fonctionne pourtant sans souci. Le blocage se 
produit sur le réseau Orange et Bouygues mais pas sur Free ni en WiFi (via 
une ADSL).


La cause était une IPv6 aussi définie pour le nom de domaine alors que le 
serveur n’était pas configuré pour accepter les connexions IPv6. Comme Orange 
et Bouygues privilégient manifestement l'IPv6 quand il y en a une déclarée… 
évidemment ça coince.


Pour moi c'est un problème logiciel : Le happy eyeballs n'a pas été utilisé.
Ok le "happy eyeballs" n'a manifestement pas été utilisé mais il est impossible 
d'intervenir au niveau du logiciel/OS des visiteurs d'un site.


Je rappelle que ce sous-fil de discussion (désolé Louis pour la digression) part 
de mon témoignage à propos d'une intervention à faire impérativement sur le 
logiciel d'après une réponse de Bertrand.





La solution aura été de simplement supprimer l'entrée  de la zone DNS 
pour le nom de domaine. Configurer le serveur web pour de l'IPv6 aurait 
considérablement agrandi la surface d'attaques possibles.


Et un problème humain ! Si le serveur n'accepte pas l'IPv6, l'administrateur 
n'aurait jamais du renseigner de  dans la zone !


Tout à fait ; c'est toujours un problème humain si on remonte suffisamment la 
pile. D'ailleurs si l'humain n'avait pas inventé l'IPv6… :-))



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail




Le 26/06/2023 à 21:04, Mathieu Poussin a écrit :

"Comme Orange et Bouygues privilégient manifestement l'IPv6 quand il y en a une 
déclarée…"

C'est pas comme ca que ca marche.
Ton ISP ou intermédiaire réseau n'a aucun contrôle la dessus, si ton OS

Ah effectivement cela peut venir de l'OS !
Je ne me souviens plus avec certitude si avec le même mobile en passant par une 
connexion WiFi/ADSL (et donc le même OS) cela fonctionnait ou pas.



détecte que tu as une stack IPv6 fonctionnelle et que ton DNS résout IPv6 (et 
pour http, que ton serveur répond en IPv6, si non ca fallback en IPv4 au bout 
de quelques secondes

Bah là justement non, ça n'a pas "fallbacké". C'est bien là le problème !


), alors c'est toujours IPv6 qui sera utilisé, même si ca résout aussi en 
IPv4(IPv6 est toujours prioritaire sur IPv4).


Donc j'ai sans doute incriminé à tort le type de connexion au lieu de l'OS mais 
le résultat que je voulais illustrer est le même : le problème était lié à 
l'IPv6 et la solution la plus simple ne consistait pas à changer de logiciel 
mais à supprimer la . Je ne peux pas contrôler les logiciels qu'utilisent 
les visiteurs d'un site mais la DNS du site si.



Effectivement, lorsque les visiteurs n'auront plus qu'un accès via une IPv6, je 
n'aurai plus le choix que d'activer l'IPv6 sur le vhost et voir débouler les 
attaques en IPv6 aussi.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail




Le 26/06/2023 à 19:52, Vincent Bernat a écrit :

On 2023-06-26 19:18, Laurent Barme wrote:

Mon anti-ddos que j'ai payé une blinde gère pas ca correctement, alors j'ai 
désactivé IPv6



Je ne suis pas d'accord avec ta traduction mais intéressé par la solution que 
tu aurais appliquée.


Pourrais-tu éventuellement m'indiquer ton anti-ddos (si possible gratuit 
comme le mien) qui permet de parer jusqu'à 2^64 pirates sans solliciter 
solliciter d'avantage de ressource que de les ignorer en bloc ?


Bah facile, tu bloques les /64. L'assignement des /64 se fait par utilisateur 
(que ce soit côté serveur ou côté client). Tu blacklistes autant de monde sur 
un /64 IPv6 que sur une /32 IPv4.


Sauf qu'il y a 2^64 IPv6/64 et seulement 2^32 IPv4 et je doute qu'un pirate se 
contente d'un seul IPv6/64 (un et pas une car il s'agit d'un subnet) : il y a 
plus de potentiel d'attaque en IPv6 qu'en IPv4.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail




Le 26/06/2023 à 19:43, Maxime DERCHE a écrit :

Bonsoir,






=> Dans la mesure où IPv6 est activé par défaut partout côté serveur dans le 
noyau et pour tout ce qui existe au niveau 7 depuis des années, l'activer dans 
un vhost HTTP/HTTPS n'agrandit absolument pas la surface d'attaque : elle est 
/déjà/ là, cette surface d'attaque...



Tout à fait, elle est là mais elle se gère plus économiquement : si le vhost 
n'est pas configuré pour l'IPv6 alors toutes les requêtes en provenance d'une 
IPv6 sont simplement ignorées. Sinon, il faut filtrer pour trier les requêtes 
légitimes de celles qui ne le sont pas et ça demande plus de ressources, entre 
autres par ce que 2^64 est sensiblement plus grand que 2^32 :-)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail




Le 26/06/2023 à 18:39, Léo El Amri via frnog a écrit :

On 26/06/2023 17:23, Laurent Barme wrote:

Stephane (Borrtzmeyer) est prescripteur et pas acteur


Si Bortzmeyer n'est pas acteur, que faut-il faire pour l'être ?

Etre simplement confronté aux conséquences de la mise en œuvre de l'IPv6, en 
tant qu'administrateur de serveurs que l'on défend contre les pirates par exemple.


Cela dit, il n'y a aucune critique sous entendue par le fait d'être prescripteur 
plutôt qu'acteur, il en faut dans chaque catégorie. Et je me trompe aussi sans 
doute sur l'attention que Stephane porte sur les difficultés de mises en œuvre 
de l'IPv6…



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail




Le 26/06/2023 à 19:09, Raphaël Jacquot a écrit :

traduction:

Mon anti-ddos que j'ai payé une blinde gère pas ca correctement, alors j'ai 
désactivé IPv6



Je ne suis pas d'accord avec ta traduction mais intéressé par la solution que tu 
aurais appliquée.


Pourrais-tu éventuellement m'indiquer ton anti-ddos (si possible gratuit comme 
le mien) qui permet de parer jusqu'à 2^64 pirates sans solliciter solliciter 
d'avantage de ressource que de les ignorer en bloc ?




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail




Le 26/06/2023 à 18:50, Léo El Amri via frnog a écrit :

On 26/06/2023 18:32, Laurent Barme wrote:



…


Il ne me semble pas déraisonnable de bloquer des /64 (ou /56 voir /48 si on 
est vraiment pas content). Par contre je ne vois pas où est le danger. Si 
c'est une question de taille de table de blocage, tu ne peux de toute façon 
pas bloquer moins qu'un /64 dans un bloc IPv6, entre autre en raison du point 
suivant (les extensions de "vie privée" IPv6).


2^64 > 2^32 ; même en bloquant par /64, ça en fait potentiellement un peu plus 
quand même question taille de table de blocage.


Pour ce qui concerne la menace que je perçois pour la vie privée c'est lié à 
l'identification plus précise de l'utilisateur dont le poste n'est pas (un 
peu) masqué par une IP publique partagée.


Il me semble que jusqu'à très très récemment, la plupart des équipements dans 
une "maison" étaient tous derrière une unique IPv4 publique. Et je ne vois pas 
en quoi les extensions de vie privée de l'IPv6 (pour le SLAAC), qui émulent 
plus ou moins le même niveau de """protection""" que le type de NAT IPv4 
sus-mentionné, ne répondent pas au besoin. On peut certes mieux identifier une 
machine sur une session donnée, mais, pour Windows en tous cas, au prochain 
redémarrage l'adresse IPv6 aura changé. Je ne pense pas qu'on puisse faire 
mieux au niveau de la couche IP.
Tu as raison mais la ré-attribution d'une IPv6 par poste ça peut être désactivé, 
le NAT non. De plus, si entre deux redémarrage sous Windows, l'IPv6 reste 
constante alors, le port du NAT change à chaque nouvelle requête.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail




Le 26/06/2023 à 17:38, Bertrand FRUCHET via frnog a écrit :

Bonjour la liste,

C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut changer 
quand vous avez des dysfonctionnements.


Ce n'est pas toujours le logiciel qu'il suffit de changer. Voici un retour 
d'expérience comme exemple :


Les symptômes étaient sibyllins : un nouveau site sur un nouveau nom de domaine 
se prend une erreur SSL d'emblée (le serveur n'est même pas sollicité) depuis un 
mobile via la 4G (quelque soit le navigateur utilisé) alors qu'il fonctionne 
bien par ailleurs ! Depuis le même mobile, toujours en 4G, un autre site sur le 
même serveur fonctionne pourtant sans souci. Le blocage se produit sur le réseau 
Orange et Bouygues mais pas sur Free ni en WiFi (via une ADSL).


La cause était une IPv6 aussi définie pour le nom de domaine alors que le 
serveur n’était pas configuré pour accepter les connexions IPv6. Comme Orange et 
Bouygues privilégient manifestement l'IPv6 quand il y en a une déclarée… 
évidemment ça coince.


La solution aura été de simplement supprimer l'entrée  de la zone DNS pour 
le nom de domaine. Configurer le serveur web pour de l'IPv6 aurait 
considérablement agrandi la surface d'attaques possibles.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail




Le 26/06/2023 à 18:07, Léo El Amri via frnog a écrit :

On 26/06/2023 17:23, Laurent Barme wrote:
l'IPv6 est [...] un danger potentiel pour la sécurité et une menace pour la 
vie privée.


Comment ? Pourquoi ?

(On est pas vendredi, je demande vraiment)

Il n'y a pas de "vendredi" pour moi (je bosse tous les jours).

Si tu as des archives, tu peux retrouver la discussion suite à mon message sur 
le sujet le 26/04/21 08:45. Tiens, cela fait moins de 10 ans, Denis 
n'est pas encore complétement sorti de son hibernation :-).


Sinon, pour le danger potentiel c'est lié pour moi au nombre d'IP qu'il faudrait 
bloquer. En ce sens, l'échange cité ci-dessus m'a permis de prendre sereinement 
la décision de bloquer les IPv6 par /64.


Pour ce qui concerne la menace que je perçois pour la vie privée c'est lié à 
l'identification plus précise de l'utilisateur dont le poste n'est pas (un peu) 
masqué par une IP publique partagée.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail