Re: [FRnOG] [TECH] Serveur "proxy multi-protocoles" (HTTP, FTP, RDP, …) pour le staff en télétravail ?
Re Hello, bastion SSH avec tunnel SSH suffit. De mon point de vue NOP NOP NOP! Alors en ce moment penser que ceci est plus sécurisé qu'un VPN vous faite une grosse erreur stratégique. Dans nos métier la sécurité est importante. Le tunnel SSH est plus du dépannage de mon point de vue qu'un remote access securisé. Il va falloir des certificats et leur gestion est problématique et peu sécurisé surtout si vous finissait par vous les envoyer par email ou les stocké sur des PC Windows peu sécurisés... Bref hacker SSH surtout sur de l’itinérant est loin d’être difficile... Si vous passé par des WIFI publique vous risquez de changer d'avis rapidement sur les tunnels SSH. CDLT Hosman. - Mail original - De: "frnog" À: "frnog" Envoyé: Mercredi 29 Mars 2023 11:42:51 Objet: Re: [FRnOG] [TECH] Serveur "proxy multi-protocoles" (HTTP, FTP, RDP, …) pour le staff en télétravail ? Hello > J'ai peut être mal compris la problématique mais une solution simple > serait de fournir un vpn hébergé dans vos infras avec une IP fixe que > vous avez déjà fourni à vos clients. > > Chacun de tes collaborateur en remote se connecte donc via le vpn fourni > et default tout dedans. Soit ta 3eme solution. Cela me parait beaucoup > plus simple que d'essayer de mettre des proxy multi protocolaire. +1 pour cette solution (pourquoi se compliquer?). Accessoirement il y a aussi un point important... pourquoi tunneliser 0.0.0.0/0 (et soyons fous ::/0), alors qu'on peux juste annonce une DMZ (un /24? un /64) et les DNS qui vont bien pour tunneliser ça proprement ? Parce que TOUT tunneliser pose un autre problème, surtout l'ordinateur est un ordinateur n'appartenant pas au sous-traitant/employé... Quid du RGPD? De la collecte des trucs que font l'ordinateur du client VPN alors qu'il pourrais juste rebondir sur un client RDP ou bastion SSH (avec tunnels pour faire du remote desktop en plus)? Le concept du VPN qui fait tout m'as toujours rendu assez septique alors qu'un bastion SSH avec tunnel SSH suffit largement pour beaucoup de cas (on peux AUSSI ajouter un tunnel avec une techno X ou Y si ça fait plaisir, mais restons dans le KISS). Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ -- [ https://www.email-impact.com/group/redirect/company-logo/8cTWQxwXLK/313 ] Hosman BEYROUTI Administrateur Systèmes et Réseaux Mob Fixe [ tel:06 90 88 00 80 | 06 90 88 00 80 ] [ tel:06 90 88 00 80 | 05 90 77 40 80 ] Chez CDS Immo Impasse Vanterpool Maison Decaunes Concordia 97150 Saint-Martin [ http://www.dauphintelecom.com/#?utm_source=email_impact_medium=signature_campaign=nom_de_domaine | www.dauphintelecom.com ] [ https://www.facebook.com/dauphin.telecom/ ] [ https://www.youtube.com/channel/UCaa1IU36j9twokUC3NAjZfQ ] [ https://www.instagram.com/dauphin_telecom/ ] . --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Serveur "proxy multi-protocoles" (HTTP, FTP, RDP, …) pour le staff en télétravail ?
Bonjour, Regarde coté SOFTETHER en mettant des Bridges chez vos clients vous pouvez rebondir de façon sécurise via VPN IPSEC L2TP. Je t'invite a lire la DOC de Softether pour mieux comprendre, l'avantage c'est simple a mettre en place et tu as une gestion d’accès via utilisateur. De plus c'est gratuit: SoftEther VPN is one of the most powerful and easiest VPN software in the world. It is freeware, developed as an academic research project in University of Tsukuba, Japan. Bon VPN. - Mail original - De: "sofiane JALID" À: "DUVERGIER Claude" , "frnog-tech" Envoyé: Mercredi 29 Mars 2023 10:53:56 Objet: Re: [FRnOG] [TECH] Serveur "proxy multi-protocoles" (HTTP, FTP, RDP, …) pour le staff en télétravail ? Je dis cela d’avance car si vous avez une PSSI lideal est de faire de la rétention de logs chez vous avant même d’aller sur les serveurs de vos clients. Ce qui vous permets de faire un premier niveau de cloisonnement etc … Tu peux utiliser un ipsec plus du proxy ssl avec double authentification pour que les flux match avec un groupe ou un users par exemple et autoriser dans ton ipsec uniquement le bastion qui lui a les flux vers ton client. Le mer. 29 mars 2023 à 16:48, sofiane JALID a écrit : > Tu as plusieurs choix qui s’offrent à toi mais l’idée de faire du Split > tunneling et de fournir lip wan des users en délégation chez tes clients et > pas une bonne pratique > > La meilleure serait de faire de lip sec en mode gateway avec un premier > filtrage de la remediation du dns sec du proxy web et un bastion rdp qui > lui est comme en local chez vous et que votre client n’autorise que le > serveur netscaler ou Wallix derrière ou cyberhark > > > > Le mer. 29 mars 2023 à 16:43, DUVERGIER Claude < > frnog...@claude.duvergier.fr> a écrit : > >> Au vu des réponses, je comprends que j'ai mélangé différents points sans >> être totalement clair alors je reprends avec plus de contexte. >> >> Dans le cadre de nos prestations des collègues sont amenés à travailler >> (pendant quelques jours, semaines ou mois) sur les sites des clients >> (production ou préproduction) et notamment se connecter au backoffice >> web, ou serveur de stockage FTP. >> >> A. Parfois c'est un accès direct sans filtrage d'adresse IP. >> B. Parfois c'est un accès direct mais uniquement autorisé depuis des >> adresses IP préalablement déclarées. >> C. Parfois c'est via un serveur bastion du client (j'ai eu les cas d'un >> accès SSH et d'autres via RDP) dont l'accès et uniquement autorisé >> depuis des adresses IP préalablement déclarées. >> >> Pour le cas A : aucun problème (sauf à la limite quand notre staff >> télétravaille depuis des pays "exotiques" que le client aurait par >> défaut bloqué de son côté : mais c'est rare). >> >> Pour les cas B et C : on communique au client les adresses IP publiques >> qu'utilisent nos agences pour accéder à Internet, le client les autorise >> et tout fonctionne (généralement pas du premier coup il est vrai :P). >> >> Mais quand le collègue est en télétravail il surfe via sa connexion >> Internet personnelle et donc via une IP que le client ne connaît pas. >> >> Il pourrait communiquer son IP personnelle au client qui n'aurait qu'à >> la rajouter : mais ça prends généralement du temps (le client doit >> contacter son prestataire, etc.) et parfois le collègue n'a carrément >> pas d'adresse IP fixe (certains FAI, ou les clients nomades en connexion >> cellulaire). >> >> Alors, ce qu'on a fait dans un premier temps c'est mettre en place un >> serveur proxy HTTP (Squid) dont l'accès à Internet passe par une des >> adresses IP communiquées au client (le serveur est hébergé en local dans >> nos locaux). Ça fonctionne pour l'HTTP, pas pour le FTP, SSH, RDP qui >> sont des protocoles d'accès que certains clients nous demandent >> d'utiliser. >> >> Pour éviter d'ouvrir à tout vent ce serveur proxy, il n'est pas >> accessible sur Internet : pour le contacter alors qu'on est en >> télétravail/nomade on doit passer par notre service de VPN. >> >> Ce service VPN existait déjà avant ces problématique d'accès aux BO des >> clients et réponds à un tout autre besoin : permettre aux >> télétravailleurs/nomades d'accéder à certaines ressources locales (auto >> hébergées) du SI de notre société. Et il est configuré pour que seul le >> trafic destiné au LAN y arrive (avec l'exemple d'une vidéo YouTube >> consultée pendant le télétravail qui ne passerait donc pas via le VPN). >> >> Mes solutions envisagées : >> >> * Trouver un outil qui "sache" proxyfier de l'HTTP, FTP, SSH, RDP, etc. >> Un proxy en SOCKS5 peut faire tout ça ? >> * Mettre en place, en interne, un bastion sous la forme d'un bureau >> virtuel où l'utilisateur aurait navigateur web, client FTP/SSH/RDP >> * Capter tout le trafic réseau via le tunnel VPN : ainsi les >> collaborateurs apparaissent comme étant tout le temps "au bureau". >> >> Vu le nombre de prestation et la durée de celle-ci, je préfère avoir une >> solution qui
Re: [FRnOG] [TECH] [SMTP] outlook.com bloque online.net ?
Règle de base pour éviter ça: désactiver l’envoi d’auto-reply en cas de destinataire non-existant. C’est dommage pour l’expéditeur mais pas le choix. Ok mais cela c'est coté Hotmail smtp non? Merci de ta reponse je vais chercher comment bloquer cela! Merci! - Mail original - De: "David Ponzone" À: "Hosman Beyrouti" Cc: "list-frnog" , "frnog" Envoyé: Lundi 23 Août 2021 12:38:31 Objet: Re: [FRnOG] [TECH] [SMTP] outlook.com bloque online.net ? Règle de base pour éviter ça: désactiver l’envoi d’auto-reply en cas de destinataire non-existant. C’est dommage pour l’expéditeur mais pas le choix. > Le 23 août 2021 à 18:25, Hosman Beyrouti via frnog a écrit : > > Bonjour, > > J'ai un soucis avec HOTMAIL et Outlook. > > Nous subissons une attaque très chiante qui envoi des e-mail en demandant un > accusé vers un e-mail de notre domaine qui n’existe pas. > Hotmail outlook comprend pas... > > Du coup des millions de non l'email n'existe pas et nous somme blacklist a > cause du volume... > -- [ https://www.email-impact.com/group/redirect/company-logo/8cTWQxwXLK/313 ] Hosman BEYROUTI Administrateur Systèmes et Réseaux Mob Fixe [ tel:06 90 88 00 80 | 06 90 88 00 80 ] [ tel:06 90 88 00 80 | 05 90 77 40 80 ] Chez CDS Immo Impasse Vanterpool Maison Decaunes Concordia 97150 Saint-Martin [ http://www.dauphintelecom.com/#?utm_source=email_impact_medium=signature_campaign=nom_de_domaine | www.dauphintelecom.com ] [ https://www.facebook.com/dauphin.telecom/ ] [ https://www.youtube.com/channel/UCaa1IU36j9twokUC3NAjZfQ ] [ https://www.instagram.com/dauphin_telecom/ ] . --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [SMTP] outlook.com bloque online.net ?
Bonjour, J'ai un soucis avec HOTMAIL et Outlook. Nous subissons une attaque très chiante qui envoi des e-mail en demandant un accusé vers un e-mail de notre domaine qui n’existe pas. Hotmail outlook comprend pas... Du coup des millions de non l'email n'existe pas et nous somme blacklist a cause du volume... >> because Hotmail customers have reported email from this IP as >> unwanted. Et la mm réponse. J'ai réussi a gerer le blacklist mais pour truncate NOP... D’ailleurs si vous avez une idée pour bloqué ceci il me semble que Outlook devrai comprendre que l'email n'existe pas mais bon je vais chercher... Je pense qu'ils ont le soucis avec beaucoup de monde du coup. Le pire c'est qu'il devrait blacklist l'ip qui envoi des e-mail pas notre domaine car du coup c'est nous et non l'attaquant qui est blacklist... Les enregistrements et tous le reste sont bien vers notre IP et pas celle des cloud Americain... Leur system ou il faut mettre un nom de domaine a la place de l'ip je trouve pas cela FOU FOU... Pourquoi pas une IP de notre SMTP? Bref en ce moment facile d’être blacklist chez Outlook et Hotmail. - Mail original - De: "frnog" À: "frnog" Envoyé: Dimanche 22 Août 2021 15:44:32 Objet: Re: [FRnOG] [TECH] [SMTP] outlook.com bloque online.net ? Même soucis avec Scaleway il y a qq semaines/mois (même AS12876 qu'Online of course). Le truc débile dans ces cas là, je pense, c'est que les services qui se basent sur des RBL prennent le subnet complet annoncé / object route si une ou plusieurs IPs sont blacklistés. Bon bein si t'annonces un /16 ca fait 65000+ potentielles victimes d'un effet collatéral. J'ai hate de voir l'effet du passage à IPv6 pour la fin de vie des RBL ? :p Sinon, la fois dernière, j'ai fait le formulaire + appui du support Scaleway, ca a roulé, en moins de 5 jours c'était fixé. Bigup à SCW pour le fixe rapide et le bon échange côté support (c'est pas toujours le cas niveau suivi / compétence / rapidité du support pour tous ;) Le 22-08-2021 20:01, Archange a écrit : > Le 22/08/2021 à 21:44, Pavel Polyakov via frnog a écrit : >> Babz wrote: >> >>> Je lis pas très bien le language Microsoft, mais je crois que ça veux >>> dire "va te faire foutre" >> Non c'est bon tu peux répondre, un blaireau va prendre le relai et >> enlever l'IP de la blacklist. >> >> Ça marche très bien quand tu demandes pourquoi l'IP était dans la >> blacklist en premier lieu. :) > > Je suis passé par cette étape, j’ai eu le droit à : > >> because Hotmail customers have reported email from this IP as >> unwanted. > > J’ai répondu que ça n’était pas possible puisque je possédais l’IP > depuis plus d’un an et qu’elle n’envoyait pas de mail avant le mail > même où j’ai eu le problème (le premier envoi depuis cette IP > comprenait une adresse @outlook). C’est là qu’on m’a demandé une > facture prouvant depuis quand je louais le serveur, et que je n’ai > plus eu de retours depuis que je l’ai envoyée (mais le problème > persiste donc)… > > Et à chaque mail on a un nouveau mec en face (Varsha, Suresh, Anand…), > donc un bon suivi du ticket… > > Bref, de temps en temps il faut probablement faire la procédure > plusieurs fois avant que ça finisse par fonctionner. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ -- Fabien VINCENT _@beufanet_ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- [ https://www.email-impact.com/group/redirect/company-logo/8cTWQxwXLK/313 ] Hosman BEYROUTI Administrateur Systèmes et Réseaux Mob Fixe [ tel:06 90 88 00 80 | 06 90 88 00 80 ] [ tel:06 90 88 00 80 | 05 90 77 40 80 ] Chez CDS Immo Impasse Vanterpool Maison Decaunes Concordia 97150 Saint-Martin [ http://www.dauphintelecom.com/#?utm_source=email_impact_medium=signature_campaign=nom_de_domaine | www.dauphintelecom.com ] [ https://www.facebook.com/dauphin.telecom/ ] [ https://www.youtube.com/channel/UCaa1IU36j9twokUC3NAjZfQ ] [ https://www.instagram.com/dauphin_telecom/ ] . --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Retour sue mémoire compatible Crisco
C'est plus facile à dire qu'à faire. Effectivement c'est pas facile a faire et pas a la portée de tous le monde c'est pour cela qu'ils ont mis des puces. Dans ce cas CT les ingeieurs de pentagone qui ont finis par ce dire mais au faite nos FW sont fabriquer en chine... T'embaucherais pas un ingé réseau, des fois: Oui nous recherchons un Ingenieur Réseau et si possible DevOps avec un gros pententielle DBA pour les procedures SQL de notre base pour Auto conf et tous les cas particulier de FTTH PRO. Je sais pas si tu as vue mon autre reponse mais n'hesite pas a me contacter. hosman.beyro...@dauphintelecom.com hosman.beyro...@gmail.com Le 09/07/2021 à 09:41, Hosman Beyrouti a écrit : C'est plus facile à dire qu'à faire --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Retour sue mémoire compatible Crisco
Réponse rapide: Un prefix par pays. +1721 coté hollandais. Un prefix pour les deux iles du nord +590 et sinon comme en France un par iles cf région etc. Vous pouvez transmettre au gmail surtout a Michel avec qui j'aimerai beaucoup parler réseau de temps en temps :) Il faut peerer à la frontière: Nous somme interco BGP avec la plupart et notre Architecte réseau a bien bataillé pour cela. (respect éternel il a fait de la magie ici). De plus nous déployons notre propre réseau fibre et effectuons la plupart des raccords pour les autre provider's en fibre de transport. Accessoirement je passe souvent pour aider a la maintenance et au bon fonctionnement de la Fibre sous marine. (très intéressant ceci, mm si ca ma couté mon 1er janvier et certain week end, faut aimer ca). Nous avons aussi des liens backup fibre sous marine coté Hollandais après je ne peu pas tous vous dire comme ca et je suis très occupé en ce moment et je sais pas vraiment si j'ai le droit a vrai dire. Grace a notre architecte réseau nous somme interco avec les providers étranger et Français (pas encore tous pour être franc ici C des montagnes a la tête dure). Mais nous somme force de proposition et faisons avancer les choses autant que possible. ou les opérateurs desservent-ils les deux moitiés: Pays étranger du coup oui sans licence chacun de son coté a par pour certain services particulier. De mon point de vue l'une des plus grosse difficulté voir challenge c'est les intempéries et l’électricité. CF quand on prend un Cyclone il faut s'attendre a rencontrer beaucoup de challenge. Mais en terme Réseau c'est un super challenge! Je pense que si tu réussi ici tu pourra réussir partout dans le monde et cela te paraîtra simple... CF des amis ingénieur qui ont vue comment tous ce qui est simple ici peut être un challenge. FAUT AIMER LES CHALLENGE et pas forcément attendre de la reconnaissance des autres opérateur. Mon collègue a déjà dépanner Orange et beaucoup aider les autre opérateur mm étranger. Si vous venez vous intégrés la TEAM Irma qui a remis l'iles sur pied THE CHALLENGE TEAM :) Un petit coté MC Giver pour ceux qui sont vieux comme moi... Bref faut savoir remettre un POP complet rapidement en cas de PB. Pour ceux qui ont suivient un peu ce qui ce passe a Saint Barth c’était mon collègue dans le NRO qui a pris feu et moi mm a la porte qui l'attendais. Voila un autre challenge ont venaient de finir le POP complet de Gustavia et de réparer leur SI... Tous est partie en fumée au allentour de 8h30 après un nuit de taff. Merci a vous et bonne journée. Je suis très occupé les questions simple il y a google ;) Cordialement Hosman. - Mail original - De: "Vincent Habchi" À: "Hosman Beyrouti" Cc: "frnog" Envoyé: Vendredi 9 Juillet 2021 10:13:25 Objet: Re: [FRnOG] [TECH] Retour sue mémoire compatible Crisco > Dauphin Telecom est Français il y a un site internet ;) Ça se passe comment là-bas d’ailleurs ? Il n'y a qu'un seul préfixe téléphonique ou deux ? Une seul top-level Domain ? Il faut peerer à la frontière, ou les opérateurs desservent-ils les deux moitiés ? Vincent -- [ https://www.email-impact.com/group/redirect/company-logo/8cTWQxwXLK/313 ] Hosman BEYROUTI Administrateur Systèmes et Réseaux Mob Fixe [ tel:06 90 88 00 80 | 06 90 88 00 80 ] [ tel:06 90 88 00 80 | 05 90 77 40 80 ] Chez CDS Immo Impasse Vanterpool Maison Decaunes Concordia 97150 Saint-Martin [ http://www.dauphintelecom.com/#?utm_source=email_impact_medium=signature_campaign=nom_de_domaine | www.dauphintelecom.com ] [ https://www.facebook.com/dauphin.telecom/ ] [ https://www.youtube.com/channel/UCaa1IU36j9twokUC3NAjZfQ ] [ https://www.instagram.com/dauphin_telecom/ ] . --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Retour sue mémoire compatible Crisco
Dauphin Telecom est Français il y a un site internet ;) - Mail original - De: "Vincent Habchi" À: "Hosman Beyrouti" Cc: "Michel Py" , "Richard Klein" , "Rémy Duchet" , "Jérôme Nicolle" , "frnog" Envoyé: Vendredi 9 Juillet 2021 09:47:04 Objet: Re: [FRnOG] [TECH] Retour sue mémoire compatible Crisco Saint-Martin, la partie française ou hollandaise ? -- [ https://www.email-impact.com/group/redirect/company-logo/8cTWQxwXLK/313 ] Hosman BEYROUTI Administrateur Systèmes et Réseaux Mob Fixe [ tel:06 90 88 00 80 | 06 90 88 00 80 ] [ tel:06 90 88 00 80 | 05 90 77 40 80 ] Chez CDS Immo Impasse Vanterpool Maison Decaunes Concordia 97150 Saint-Martin [ http://www.dauphintelecom.com/#?utm_source=email_impact_medium=signature_campaign=nom_de_domaine | www.dauphintelecom.com ] [ https://www.facebook.com/dauphin.telecom/ ] [ https://www.youtube.com/channel/UCaa1IU36j9twokUC3NAjZfQ ] [ https://www.instagram.com/dauphin_telecom/ ] . --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Retour sue mémoire compatible Crisco
Bonjour, Nous recrutons sur Saint Martin un Ingénieur réseau dans un monde Idéal qui sait un peu tous faire DevOps et au top sur tous les services MPLS et surtout la compatibilités avec le Matériels. Nous cherchons aussi un ingénieur DBA pour nous aider a finir les procédures SQL. Surtout Pas php nous n'avons plus le temps d'expliquer a ces profil l'importance et le rôle d'une vrai base de donnée. Hélas il y a un peu de SAP et après demander un profile DBA je comprend que ca donne pas envie car eux aussi je pense ils ont pas compris comment fonctionne une base de donnée. Je suis méchant mais j'aime ce qui fonctionne et ce qui est ordonnés. Vraiment vraiment DBA pour améliorer nos requettes et nos procédures. Parcontre nous utilisons beaucoup php perl python C etc. Biensure Linux a tous les étages. A saint Martin tous les week end c'est un peu les vacances et effectivement c'est vraiment sympa de vivre ici. Pas de confinement ;) Ceci implique certain sacrifices attention. N’hésite pas a me contacter nous sommes très intéressés par ton profil surtout que j'ai lut hier sur le Multi-Homming ipv6 et effectivement j'ai bien dormis. Je suis désolé j'ai un soucis de mail vers gmail a cause d'un pb historique de nom de domaine que nous allons réglé semaine prochaine. Cordialement Hosman. hosman.beyro...@dauphintelecom.com hosman.beyro...@gmail.com - Mail original - De: "Michel Py" À: "Hosman Beyrouti" Cc: "Richard Klein" , "Rémy Duchet" , "Jérôme Nicolle" , "frnog" Envoyé: Jeudi 8 Juillet 2021 22:24:31 Objet: RE: [FRnOG] [TECH] Retour sue mémoire compatible Crisco >> Michel Py a écrit : >> Mais nan, les porte dérobées de la NSA elles sont installées dès le départ à >> l'usine en >> Chine. Sont pas racistes ces gens-là, ils espionnent tout le monde pareil. >> Par contre, >> si le client est soupçonné de les revendre sous le manteau à la Corée du >> Nord, bon là >> c'est sûr que la camionnette de FedEx elle va faire un détour pour le >> firmware spécial ;-) > Hosman Beyrouti a écrit : > Les admin ont compris que qd ca viens de chine faut démonter avant > d'installer. C'est plus facile à dire qu'à faire, en pratique il n'y a que les vendeurs qui peuvent faire ça. Sur un PC HPEll, tu commandes un jour et la même référence 2 jours après et tout à changé dedans : disque Western au lieu de Seagate, mémoire Samsung au lieu de Micron, chipset x ou y, plein d'emplacements de composants vides pour accommoder les variations, une chatte n'y retrouverait pas ses petits. Dans le domaine du matériel réseau c'est un peu moins le bazar, mais rien qu'avec les différentes révisions du matériel, un chip de plus ou de moins dedans c'est 99% de chances que ça soit légitime; faut vraiment être au top de son propre matos pour voir ce genre de chose. > 97150 Saint-Martin Ah ouais c'est sympa, les avions qui atterrissent sur la plage à Maho Beach, l'aéroport de Grand-Case l'Espérance pour garer le Cessna, plusieurs clubs de plongées, les alizés pour la glisse, le bureau à 200 mètres de l'océan (j'ai regardé sur Gougleu Maps). T'embaucherais pas un ingé réseau, des fois ;-) Michel. -- [ https://www.email-impact.com/group/redirect/company-logo/8cTWQxwXLK/313 ] Hosman BEYROUTI Administrateur Systèmes et Réseaux Mob Fixe [ tel:06 90 88 00 80 | 06 90 88 00 80 ] [ tel:06 90 88 00 80 | 05 90 77 40 80 ] Chez CDS Immo Impasse Vanterpool Maison Decaunes Concordia 97150 Saint-Martin [ http://www.dauphintelecom.com/#?utm_source=email_impact_medium=signature_campaign=nom_de_domaine | www.dauphintelecom.com ] [ https://www.facebook.com/dauphin.telecom/ ] [ https://www.youtube.com/channel/UCaa1IU36j9twokUC3NAjZfQ ] [ https://www.instagram.com/dauphin_telecom/ ] . --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Retour sue mémoire compatible Crisco
Michel a tellement raison :) Vous vous souvenez du Hack du Pentagone? Une puce ajouter a la fabrication des FW cisco. Maintenant les firmware maison :) Malin les Chinois beaucoup moins les admin du pentagone... Le pire ont les auraient jamais attrapés si un gars avais pas delete un fichier sur un PC... (boulette de hacker) Un peu comme le coup de clefs usb laisser tombé dans un parking, il y a toujours un gars curieux qui va la branché sur sont PC... Heureusement de nos jours c'est plus rare les utilisateurs ont compris que les cadeaux tombés du ciel ne sont pas forcément des cadeaux. Je me méfierai des chargeurs de téléphone aussi de nos jours ont y trouve des petits gadgets bien compromettant. Le raspberry a la nasa ca c'est plus recent aussi. Sur mon réseaux je check si je trouve des mac de Raspberry car c'est quand mm super efficace dans un réseau. Les admin ont compris que qd ca viens de chine faut démonter avant d'installer. D’ailleurs je recommande les FW assembler en France!!! Petit Troll du matin tous va bien! - Mail original - De: "frnog" À: "Richard Klein" , "Rémy Duchet" Cc: "Jérôme Nicolle" , "frnog" Envoyé: Mardi 6 Juillet 2021 16:37:24 Objet: RE: [FRnOG] [TECH] Retour sue mémoire compatible Crisco > Richard Klein a écrit : > Pour la livraison aléatoire il se dit que parfois dans le domaine de la > sécurité > il y a un bureau de reconditionnement/Flash des équipements avant re > expédition > vers le client final... Cela explique t'il le délais aléatoire :-) Mais nan, les porte dérobées de la NSA elles sont installées dès le départ à l'usine en Chine. Sont pas racistes ces gens-là, ils espionnent tout le monde pareil. Par contre, si le client est soupçonné de les revendre sous le manteau à la Corée du Nord, bon là c'est sûr que la camionnette de FedEx elle va faire un détour pour le firmware spécial ;-) Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- [ https://www.email-impact.com/group/redirect/company-logo/8cTWQxwXLK/313 ] Hosman BEYROUTI Administrateur Systèmes et Réseaux Mob Fixe [ tel:06 90 88 00 80 | 06 90 88 00 80 ] [ tel:06 90 88 00 80 | 05 90 77 40 80 ] Chez CDS Immo Impasse Vanterpool Maison Decaunes Concordia 97150 Saint-Martin [ http://www.dauphintelecom.com/#?utm_source=email_impact_medium=signature_campaign=nom_de_domaine | www.dauphintelecom.com ] [ https://www.facebook.com/dauphin.telecom/ ] [ https://www.youtube.com/channel/UCaa1IU36j9twokUC3NAjZfQ ] [ https://www.instagram.com/dauphin_telecom/ ] . --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] FAI aux Antilles, et les dernières techniques ?
Bonjour, Pour être précis l'IPv6 ne règle en rien le PB de sécurité c'est même plutôt totalement le contraire. Cependant les services MPLS réglerons une partie du PB. Le vrai PB est plus MPLS ici. Je suis sympa je vous donne le vrai PB. Nous somme encore en chantier mais sans fibre vous comprendrez que c'est plus long. Vous avez déjà travailler sans électricité? Ici le PB est électrique. Les pb des hacker vers les USA est historique. (CF le Mexique pour les Expert des attaques IoT). Sinon sur le terrain: A une époque ou les ont dit sont des preuves dans notre métier vous devaient pouvoir trouver des data? Moi j'ai mes Data Ipv6 pour vous répondre. Déjà nous avons déployer l'IPv6 autant ce faire ce peu car derrière il y a pas grand chose ici de compatible ou qui l'utilise. Les autres pour avoir entendu les déboires de canal+, Orange et Digicel sont certainement en Ipv6 ou en phase de test depuis un an ou plus. Pour connaitre le sujet tous ce trafic illégale passe essentiellement par des provider's qui ne sont pas Francais. Un exemple a Saint Martin. Le coté Hollandais est interco BGP directement avec la chine... hmm pourquoi? Cependant tous ceci est faux. Nous avons de gros soucis de sécurité car notre fibre sort directement a Porto Rico to USA. Historiquement les hacker passe par ici mais faut pas oublier que l'arrivée fibre USA et l'un des points les plus écoutés au monde après l'England. D’ailleurs pourquoi le Brésil ne passe plus par ici? :) Mais ceci est faux: technique particulière des FAI, qui ne déployaient ni IPv6, ni le RFC 6302. Cela nous intéressent au plus haut point c'est pas comme si nous avons le choix sur l'Ipv6. De notre coté il nous reste quelque machines a passer en ipv6 srv email et serveur NPERF. Mais nous allons migres les serveurs alors cela n'est pas une priorité. Mais sur tous notre FTTH tous est configuré et opérationnel IPV6 du radius, DHCP au DNS depuis un moment. Encore faut t'il que derrière les informaticiens l'utilisent ont est d'accord? Il n'est pas impossible et même très probable que nous routions des attaques vers les USA mais sans devenir ultra restrictif ont fait comment? Je pense que la Gendarmerie nous en veux d'avoir utilisé notre droit de veto sur les proxy qui sait? Désolé mais nous ne donnons que ce qui est légalement Autorisés par la loi et nous n'avons pas de proxy dédié pour surveiller nos utilisateurs. Encore moins d'espace disque pour tous logger. Comprenez qu'aux Antilles déjà avoir de l’électricité c'est bien alors de qualité jamais. Avoir des boucles opérateur fibre de transport déjà ont y travail et ici c'est dur. Mais je ne comprend pas votre demande veuillez reformuler. IpV6 et norme RFC6302. Merci d’être plus claire sur la demande car c'est deux choses font partie de norme tellement rien a voir avec la sécurité. Un dealer enverra un e-mail peu importe le provider's et le transport. Mais je sent venir la demande va falloir devenir policier aussi? In the wake of IPv4 exhaustion and deployment of IP address sharing techniques, this document recommends that Internet-facing servers log port number and accurate timestamps in addition to the incoming IP address. Ok j'ai capté j'ai capté... Cordialement Hosman. - Mail original - De: "Jean Cérien" À: "Stephane Bortzmeyer" Cc: "frnog-misc" Envoyé: Mercredi 7 Juillet 2021 09:27:39 Objet: Re: [FRnOG] [MISC] FAI aux Antilles, et les dernières techniques ? Coté antilles, il y a essentiellement 3 opérateurs : Orange, SFR, et Canalplus Telecom (et un mini, abee)- aucun des 3 ne propose l'IPV6, RFC 6302 je n'ai pas d'infos. En revanche j'ai du mal à saisir comment l'IPV6 aide à lutter contre le trafic de drogue. Je vois plutôt l'essor de Telegram / Signal & autres protocoles de cryptage à la disposition aisée du public comme un réel problème. Coté opérateurs, la qualité et rapidité des réponses aux Obligations Légales a toujours été critiquées par les forces de l'ordres J. On Wed, Jul 7, 2021 at 4:50 AM Stephane Bortzmeyer wrote: > Au webinaire ARCEP de ce matin (présentation du rapport sur l'état de > l'Internet en France), lors de la session de questions/réponses, un > policier, qui intervenait sur les enquêtes, et prônait donc le > déploiement d'IPv6 ou, à défaut, la journalisation du port source, a > particulièrement mis en cause les FAI aux Antilles en disant qu'il y > avait conjonction de beaucoup de trafic de drogue et faiblesse > technique particulière des FAI, qui ne déployaient ni IPv6, ni le RFC > 6302. > > Quelqu'un qui connait la situation aux Antilles pour témoigner à ce > sujet ? Ils sont vraiment en retard sur la métropole ? > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/ -- [ https://www.email-impact.com/group/redirect/company-logo/8cTWQxwXLK/313 ] Hosman BEYROUTI Administrateur Systèmes et Réseaux Mob
Re: [FRnOG] [MISC] SDN (Software Defined Networking): Bullshit ou réalité ?
Bonjour, " C'est à ça que j'identifie le SDN, une entité qui a la connaissance globale du réseau et qui peut intervenir instantanément sur les flux en fonction d'évènements, besoins, etc. " J'avoue la définition est vague et super marketing certainement pour vendre des solutions constructeurs. Si effectivement nous parlons de "Software Defined Networking" nous reprenons donc un terme déjà utilisé depuis longtemps. Bref si une Infra DevOps qui fait plus qu'ouvrir les portes aux IA. Le gain de temps est juste énorme. Pour déployer une technologie cela devient un gain de temps énorme. En terme de consommation d'Energie et donc des ressources utilisées, c'est juste incroyablement bien pensée. Une Infra Ansible Prometheus Grafana donc TSDB couplé a GITLAB, Openstack pour le code et démarrer des VM ou dockers au besoin d'une action. Génial. Tous cela commandé par API via une simple commande http et ce configurant via un fichier yaml ou jinja2 ou en faite un txt... Bref tu finis par modifier toujours les mm types de fichiers sur 10 technologies différentes qui s'intègrent facilement dans des dockers. Voila l'arrivée de l'IA car on viens de lui donner une ossature maintenant il faut le cerveau qui n'a qu'a modifier un fichier txt sur un GITLAB du coup cela devient très simple. Coupler a un systeme de LOG et de monitoring. Déployez 1 000 000 machines en 30 secondes configurées est opérationnels en un clique... Pouvoir revenir en arrière en un rien de temps ou appliquer une modification. En faire un bouton dans un SI rendant la tache IT compliqué accessible a un simple technicien. Qd tu voie le routeur sur ton SI tu clique configurer et hop tous est configurés en 15 secondes, Téléphonies complètes son monitoring, serveur web, serveur RDP etc en faite tous... Déployer un réseau complet operateur MPLS par exemple et revenir en arrière en un clique... Il est maintenant possible de le faire de façon graphique. Donc un directeur technique peut design son réseau de façon graphique et tester la solution sur un banc de test ou en production. Sans être bloquer par un soucis d'oubli de tel ou tel options sur tel routeur ou tel switch ou tel serveur DNS etc etc. Ca donne le pouvoir de mieux définir les architectures réseaux. Tu fait un POP et tu le réplique c'est juste énorme en gain de temps. Avec Centreon il était déjà possible d'automatiser des réponses a un PB sur un host ou un service. Du SDN dans ce cas? J'ai vue du DHCP dans le lot des réponses exemple est ce que l'API de KEA-DHCP a lui seul est un gros module de SDN? :) Si les technologies que je site sont du SDN dans ce cas pour nous cela est vital pour pouvoir allez a la plage le week-end et dormir la nuit... Par contre on fait déjà tous des choses déjà très proches depuis de nombreuses années. Je penses que maitriser son réseau justement rend la sécurité bien meilleur car tu dégage du temps pour la bichoter et tu as des rapports automatiser des changements sur des machines ou des switch. De type OSSEC pour linux. Accessoirement ton IA fait le tour de ton infra régulièrement en cas de changement elle répare la configuration et t'avertis. A tous les niveaux ce type d'infra est meilleur d'ailleurs adopter par tous ceux qui la test en ce moment. Mais la question de pourquoi on appel cela SDN maintenant? Personnellement j'appel cela une Infrastructure DevOps. Cordialement Hosman. - Mail original - De: "Gregory CAUCHIE" À: frnog@frnog.org Envoyé: Samedi 22 Mai 2021 17:34:52 Objet: Re: [FRnOG] [MISC] SDN (Software Defined Networking): Bullshit ou réalité ? > Le 21 mai 2021 à 10:59, Xavier Beaudouin a écrit : > > Après le jour où le machin se fracasse ou que la license est venue a > expiration, on peux très vite sortir le camion a popcorn et attendre qu'on > appelle un dino pour réparer le merdier. > > Le cote gênant, c'est surtout le coté privateur de cette mode aka vendor > locked. Je suis en phase avec l’argument du vendor-lock. On peut argumenter qu’aujourd’hui on a déjà du vendor-lock quand on utilise des fonctions type MC-LAG ou HA dans le BNG (PPP, DHCP, …), mais c’est un périmètre moins étendu que toute la solution SD-WAN, i.e. la totalité des équipements et du manager/orchestrateur. Aussi, il y a une solution OpenSource SD-WAN (cf. FLexiWAN) dont l’implémentation équipement est effectivement opensource mais dont le manager/orchestrateur est propriétaire. Le vendor lock est donc moindre du fait qu’on est dans un univers Linux où on peut compléter le SD-WAN « basique » avec ce qu’on veut d’autre. Reste toujours ce vendor-lock du manager/orchestrateur aujourd’hui inhérent au SD-WAN, sans de grosses chances que cela change dans le futur. Pour la partie licence en revanche, beaucoup de constructeur ont une solution où l’expiration de la licences ne provoque pas l’arrêt de la solution. Il n’y a simplement plus de support dans ces cas là. Pour d’autres en revanche, tout s’arrête et le hardware
