Re: [FRnOG] [TECH]: Audit temps réel d'un Active Directory
Bonjour, sinon il y a aussi l’outil que l’ANSSI a releasé en open-source : https://github.com/ANSSI-FR/AD-permissions Bonne journée, Matthieu 2014-12-23 10:02 GMT+01:00 Nicolas Girardi nicolas.gira...@virginmobile.fr : Bonjour, ManageEngine aussi fait des produits autour de l'AD. Cdlt. -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Stéphane Jourdain Envoyé : mardi 23 décembre 2014 10:02 À : frnog-t...@frnog.org Objet : RE: [FRnOG] [TECH]: Audit temps réel d'un Active Directory Merci pour vos différents retours.Si je résume, j'ai pour l'instant côté éditeurs:NetwrixVaronisWindows Sysinternals Et côté script des solution à base de Powershell et .NET. Nous allons commencer nos tests et je ferai un retour des résultats à la liste. Cdt, Stéphane. Date: Tue, 23 Dec 2014 08:17:14 + Subject: Re: [FRnOG] [TECH]: Audit temps réel d'un Active Directory From: caillaud.jonat...@gmail.com To: jourdain_steph...@hotmail.com Salut, Pour des tests 'Ad Insight' de sys internals est sans doute une bonne solution: ADInsight is an LDAP (Light-weight Directory Access Protocol) real-time monitoring tool aimed at troubleshooting Active Directory client applications. Use its detailed tracing of Active Directory client-server communications to solve Windows authentication, Exchange, DNS, and other problems. ADInsight uses DLL injection techniques to intercept calls that applications make in the Wldap32.dll library, which is the standard library underlying Active Directory APIs such ldap and ADSI. Unlike network monitoring tools, ADInsight intercepts and interprets all client-side APIs, including those that do not result in transmission to a server. ADInsight monitors any process into which it can load it's tracing DLL, which means that it does not require administrative permissions, however, if run with administrative rights, it will also monitor system processes, including windows services. http://technet.microsoft.com/en-us/sysinternals/bb897539 Regards. Le 22 décembre 2014 21:20, Stéphane Jourdain jourdain_steph...@hotmail.com a écrit : Bonjour,Je suis à la recherche d'une solution permettant d'auditer les changements dans un AD.L'objectif est de suivre les évolutions de l'AD en temps réel, exemple:J'ai 4 utilisateurs définit dans le groupe Domain Admin, si jamais ajout d'un autre compte le pôle sécu reçoit une alerte.Modification du mot de passe du compte administratorEvolution du nombre de compte utilisateur. J'ai un Adminsys qui fait des merveilles en PowerShell, mais les tests que nous avons fait deviennent vite des usines à gaz. L'idée est d'avoir un truc simple à mettre en place et à maintenir. Bon je rêve peut-être un peu (en même temps c'est bientôt Noël...) mais si jamais vous aviez des pistes ou retours d'expériences, je suis preneur. Cdt, Stéphane. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] PRA et ISO
Bonjour, pour les notions de PRA, il y a la norme ISO 22301 mais il ne me semble pas que la norme aille dans ce niveau de détail. On est plus dans la recherche d’une métrique acceptable par rapport au risques identifiées que dans l’imposition d’une valeur brute lorsque que l’on entre dans cette démarche norme ISO pour ce type de sujet. Cordialement, Matthieu 2014-10-14 9:50 GMT+02:00 Florian Cristina florian.crist...@gmail.com: Bonjour, Est-ce qu'il existe une norme/livre blanc/iso qui recommande/impose une distance minimum entre 2 datacenters dans le cadre d'un PRA ? On me souffle que oui dans le domaine bancaire, mais je n'ai rien trouvé en documentation publique. C'est pourquoi je me demande si m'on interlocuteur n'a pas confondu PCA et PRA. Cordialement, Florian CRISTINA. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] PRA et ISO
Ca a du sens pour les réplications synchrones qui peuvent très mal supporter la latence. Matthieu 2014-10-14 11:53 GMT+02:00 thomas.lorenz...@orange.fr: max 30km ?? Comment c'est possible de définir un max ? Thomas Message du 14/10/14 10:50 De : Fedotova, Claire Svetlana Four A : Florian Cristina , frnog@frnog.org Copie à : Objet : RE: [FRnOG] [TECH] PRA et ISO Bonjour, Avec modeste expérience de quelques RFP dans ce domainbe - min 5, 10 km - Max 30 km. Dépend de besoins des clients concernant réplications synchrones et de ses équipements, ainsi que le mode de fonctionnement actif/actif ou actif/passif... Chaque RFP est une surprise...dépend aussi du cabinet de consulting qui le rédige, ainsi que des prestataires d'infogérance, car ils ne veulent pas envoyer leurs équipes loin et à un budget significatif. Donc parfois, il y a des restrictions qui n'ont rien avoir avec les contraintes techniques. Cdt, Claire -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Florian Cristina Envoyé : mardi 14 octobre 2014 09:50 À : frnog@frnog.org Objet : [FRnOG] [TECH] PRA et ISO Bonjour, Est-ce qu'il existe une norme/livre blanc/iso qui recommande/impose une distance minimum entre 2 datacenters dans le cadre d'un PRA ? On me souffle que oui dans le domaine bancaire, mais je n'ai rien trouvé en documentation publique. C'est pourquoi je me demande si m'on interlocuteur n'a pas confondu PCA et PRA. Cordialement, Florian CRISTINA. --- Liste de diffusion du FRnOG http://www.frnog.org/ [Colt Disclaimer] This email is from an entity of the Colt group of companies. Colt Group S.A., K2 Building, Forte 1, 2a rue Albert Borschette, L-1246 Luxembourg, R.C.S. B115679. Corporate and contact information for our entities can be found at http://colt.net/uk/en/Colt-Group-of-Companies/index.htm. Internet communications are not secure and Colt does not accept responsibility for the accurate transmission of this message. Content of this email or its attachments is not legally or contractually binding unless expressly previously agreed in writing by Colt --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Les DC Neo sous patriot act [was: Rachat sur Paris :)]
En meme temps, y’a tellement peu de différence entre le Patriot Act et la dernière LPM que le changement dans les faits reste marginal. 2014-05-02 18:54 GMT+02:00 Raphael Maunier raph...@maunier.net: Je ne suis pas juriste, mais ça depend de ton contrat imo. Je ne crois pas qu’un changement de “nationalité” est un cas de rupture de contrat ( sauf cas rare ) Par contre, si c’est stipulé dans ton contrat qu’en cas de changement de propriétaire tu as le droit de partir, c’est autre chose. Donc les clients doivent relire leurs contrats :) Raphael On 02 May 2014, at 12:26, Sylvain Vallerot sylv...@gixe.net wrote: On 02/05/2014 12:22, Sylvain Vallerot wrote: Et hop, 10 datacenter qui passent sous patriot act. D'ailleurs je me demande si, en soi, ça ne vaut pas rupture de contrat puisque indirectement, les termes varient assez significativement du point de vue d'une boite française hébergée ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
Bonjour, alors déjà, il faut bien voir qu’en FWSM tu as un produit plus simpliste au niveau features qu’en ASA. Si le but reste de faire du firewalling L4 en entrée de DC, ça reste tout à fait acceptable car la souplesse d’utilisation des contextes compensera les petits soucis quotidiens du type “comment faire ci qui était simple sur ASA et nécessite une policy longue à configurer sur FWSM”. Au niveau tenue en charge, FWSM marche bien, j’ai quand même une fois sur un très gros DDoS sur un contexte des impacts sur les autres contextes (la configuration du FWSM n’était pas parfaite, peut être qu’une meilleure configuration aurait aidé) Sur du PF/IPtables, tu auras un mal fou à atteindre les 10G sans mettre les mains dans le cambouis (tuning poussé de l’OS et des conf firewall), ça peut néanmoins être une solution intéressante pour peu que des personnes calées en système soient dispo en interne. 2013/11/26 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net Je commence par le fait que les FWSM est EoS depuis 2012 (announce - mars 2012, last order date - Sept 2012) On Tue, Nov 26, 2013, at 11:55, Gaëtan Allart wrote: Nos besoins : connections 10 Gbps Mauvaise choix pour du 10G. Les FWSM ont une connexion vers le chassis 6x1G via le backplane, donc exit les (Nx)10Gbps. Meme comme ca, atteindre les 6Gbps c'est du reve. Autre chose, ils partagent l'alimentation avec le chassis et rien d'autre; ils fonctionnent avec leur propre code. Ca synchronize strictement rien avec le chassis. Quelqu’un utilise-t-il ce genre de produit déjà ? Que cela donne-t-il ? (souplesse de gestion, fiabilité, stabilité) Bof, ca rappelle un hybride entre du vieux PIX et ASA. Sachant que nous hésitons entre les solutions suivantes : - FWSM mutualisé sur les 6500 pour tous les clients - Chassis ASA 552x pour chaque client Vu comme ca, regarde eventuellement les modules ASA pour 6k5 (heritiers des FWSM). Si les 10Gbps sont cote client, oublie les 5520 aussi, pas assez puissant. - Firewall typé open-source (PF/IPtables) mutualisé - autre ? Si tu veux vraiment du 10Gbps, surtout Nx10G, regarde du cote de Fortinet. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Tout le monde a bien jeté ses routeurs Huawei à la poubelle ?
Il faut pas oublier que le talk DEFCON et les recherche associées se sont limitées à du matériel SOHO. On pourrait donc se contenter de comparer ce matériel à des équivalents occidentaux comme ce que peux faire par exemple un Netgear ou Linksys. Dans ce cas, c'est pas la joie : Netgear est un nid à bugs plus ou moins pourris et tout les modem/routeurs numericable sont backdoorés sans que ça semble être un enjeu national de cyberdéfense. D'un autre côté, si on lit bien ne serait-ce que les slides, on voit qu'en dehors de ça, les chercheur ont mis en évidence un ensemble de mauvaises pratiques d'un point de vue responsible disclosure mais surtout code (mauvaise approche/compréhension pour les session IDs, recodage de briques standard pour réinventer la roue en version carrée) qui sont bien plus inquiétantes et concernent l'ensemble des gammes. De toute manière, si des gens utilisent *vraiment* du matériel Huawei sur leur réseau opérateur et qu'ils ont une politique de sécurité avec un minimum de cohérence, ils les ont déjà audité en interne et en externe. Ca pourrait être sympa de partager les résultats de tels audits. Matthieu 2012/8/2 Fabien V. list-fr...@beufa.net +1, ceux qui croient à travers une démo à la DEFCON et le FUD que cela crée que Huawei est plus crade que les autres se trompent sur la conclusion la plus intéressante de cette préz' : Huawei n'a pas de process de remontée et de correction de vulns à la manière de Microsoft (avec leur avancée importante sur le MAPP ces dernières années) ou Cisco avec son système d'alerte. Question: y a-t-il ca chez Alcatel, Juniper ou Apple ? (je pose la question sérieusement pour les 2 premiers, pour le dernier c'est presque trolldi). Et que dire des IPS ou des WAFs qui se font déborder tous les jours ? Quand Eugène K dit qu'Apple c'est pourri, c'est pas le produit qu'il critiquait, mais le manque de prise en compte des failles dans un vrai process organisé et structuré. Donc les autres, comme Huawei, préfèrent jouer à la politique de l'autruche, c'est bien ce qui a été mis en avant (si on tient pas compte des 300 articles de FUD par heure apparus sur la toile). Le problème est que l'autruche ça a toujours les fesses à l'air, et quand 2 gars qui ont décidé de s'y attaquer titille ce qu'il faut, la tête sort vite du sol ;) PS : on fait beaucoup moins de cas (en nombre d'articles bidons) de F5 qui laissent trainer des clés SSH partout dans les TMM/SCCP... Mais eux encore une fois, on eu une réaction structurée Celui qui se fait péter avec ça lors d'un audit est pleinement responsable vu la comm' bien gérée qu'il y a sur cette faille bien crados elle aussi ! --- Fabien VINCENT --- Twitter : beufanet Le 2012-08-02 22:13, 3pr0m.pt a écrit : Alcatel ? J'ai pas pas compris Sous OMCR, meme les BTS ou BCS T'as aucun interface web, tout est codé par des roumains et indiens... C'est pas franchement mieux, mais au moins c'est pas chinois et c'est quand même plus stable :) Sent from my iPhone On 2 Aug 2012, at 20:19, Jérôme Nicolle jer...@ceriz.fr wrote: Le 01/08/2012 14:40, Adrien Pestel a écrit : Show must go on : http://www.computerworld.com/s/article/9229785/Hackers_reveal_critical_vulnerabilities_in_Huawei_routers_at_Defcon [1] Voilà ! La c'est clair, net et sans bavure : ça prouve qu'on doit se méfier de ce matos car, au moins sur cette gamme, les developpeurs d'Huawei bossent comme des porcs. Beaucoup plus recevable que les attaques en l'air des lobbyistes d'Alcatel. Question maintenant : est ce que Huawei va corriger le tir, et sous quel délai ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ [2] --- Liste de diffusion du FRnOG http://www.frnog.org/ Links: -- [1] http://www.computerworld.com/s/article/9229785/Hackers_reveal_critical_vulnerabilities_in_Huawei_routers_at_Defcon [2] http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] 2012, fin du monde, Anonymous, racine du DNS et autres mots-clés
Attention je parle de load-balancing au niveau 4 de la couche OSI donc normalement aucune ingérence dans le contenu des paquets : tout paquet UDP/TCP arrivant sur le port 53 est balancé sur un des serveurs du pool. J'avais du paquet 512 octets sur mes tests et ça n'a pas posé de problèmes. J'avais pas d'ipv6 ni de DNSSEC par contre. J'ai changé de job entre temps donc n'ai plus ce type de matériel. J'ai peut être loupé quelque chose mais un bon load-balancer niveau 4 (ie qui ne met pas le net dans le contenu des paquets et qui n'essaye pas de saturer ses ressources en inventant des notions de sessions UDP alambiquées) devrait être tout aussi capable de s'en sortir. Matthieu 2012/2/27 Stephane Bortzmeyer bortzme...@nic.fr On Mon, Feb 27, 2012 at 04:59:34PM +0100, Matthieu BOUTHORS matth...@labs.fr wrote a message of 116 lines which said: On m'avait aussi donné les même a priori négatifs avant la mise en place de la solution et finalement ce n'était que des a priori qui ne sont plus valables sur les appliances plus ou moins récentes. Je serais intéressé de savoir si cette appliance fonctionne avec : - EDNS0 et notamment paquets 512 octets - DNSSEC (problème précédent + nouveaux types) - NSID - IPv6 L'expérience (pas les a priori négatifs) montrent que toutes les appliances DNS fonctionnent avec des paquets sans EDNS0, sans DNSSEC, sans NSID et en IPv4, évidemment. C'est après que cela se complique. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Man in the middle SSL proxy
Bonjour, ça n'a pas grand chose à voir avec un sslstrip qui intercepte les redirections et lien HTTPS pour les downgrader en HTTP. Si on devait comparer à un outil existant, ça sera plutôt sslsniff qui pour le coup est beaucoup plus complet. My 2 cents, Matthieu 2012/2/6 Colin Brigato co...@brigato.fr Bin euh, Rien de neuf sous le soleil depuis sslstrip qui a déja quelques années ... Le 6 févr. 2012 à 22:00, William Gacquer a écrit : c'est Claude Guéant qui l'a codé? très fort ce truc. William Gacquer Le 6 févr. 2012 à 12:08, Meessen Christophe a écrit : Voici un proxy SSL très pratique pour déboguer des applications SSL. http://mitmproxy.org/index.html -- Bien cordialement, Ch. Meessen --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Colin Brigato co...@brigato.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] MegaUpload - whois
2012/1/25 Michel Py mic...@arneill-py.sacramento.ca.us - Vu que le bureau d'enregistrement en question est situé aux USA, est-ce que quelqu'un pourrait suggérer une raison technique pour le court-circuit? Une raison technique, y'en pas de bonne par contre d'un point de vue juridique, ça devait etre plus simple d'assigner Verisign qui est localisée en Virginie comme l'action judiciaire que DotRegistar qui est dans l'état de Wahington. Quand on voit que la coopération internationale n'a pu se faire que sur la base de racket qui semble un peu sorti du chapeau, on se dit qu'il devait être plus facile d'effectuer la saisie sans changer d'état. Par contre, ça repose le problème de gouvernance des DNS, si demain un juge de Virginie lance une injonction sur un domaine .com d'un registar non-US, hebergé en dehors des US et édité par des individus en dehors des US, Verisign coopérera-t-il pour couper un site qui devrait normalement l'être uniquement par les autoritées locales ? Matthieu --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] MegaUpload
2012/1/22 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net On Sat, 21 Jan 2012 19:03:22 +0100, Jérôme Benoit jerome.ben...@grenouille.com said: seule question qui importe pour stimuler la création : Comment on rémunère le *créateur* (et non le gros et gras intermédiaire qui veut vider les poches du créateur) à l’ère du numérique ? le tout avec Il y en a une deuxieme qui arrive naturellement : qui est le *createur* ? De memoire, dans la plupart des legislations, la creation dans le cadre d'un travail salarie est attribue a l'employeur et non pas a l'employe. Encore de memoire, c'est exactement ce que font les ayant-droits (les artistes sont des salaries ou similaire). C'est pas vraiment ça dans le monde artistique (en particulier pour la musique que je connais pas trop mal), il n'y généralement pas une relation de type employeur / employé entre l'artiste et sa maison de disque mais des contrats qui donnent des droits d'exploitation généralement exclusif sur des oeuvres existantes ou a venir. Ex : un nouvel artiste arrivera avec un album et signera souvent un contrat d'exclusivité pour les 2 albums suivant dont il n'a pas encore la moindre idée de la date de réalisation. La conséquence de ce mode de fonctionnement est double : l'artiste n'a ni la stabilité d'un contrat de travail, ni la pleine jouissance de l'exploitation du fruit de son travail. Côté mec qui veut utiliser la musique, c'est encore pire : les droits sont généralement par pays ce qui est totalement inadapté au monde numérique. Ensuite pour des usages innovant (ex: streaming on demand, track gratuites pour encourager les ventes de places de concert), seul l'ayant-droit peut via son contrat d'exclu autoriser ou non l'usage et imposer ces conditions. L'artiste ne peut même pas imposer son choix, on en arrive donc à des situations kafkaienne ou un artiste comme @skrillex encourage ses fans à le télécharger illégalement. Au sens strict la création appartient donc à son créateur qui n'a pas beaucoup d'autres alternatives que de mandaté un ayant droit pour mal l'exploiter. De base, le concept de propriete intellectuelle contient deux termes incompatibles entre eux, et le deploiement massif des technologies numeriques (dont l'Internet) ne fait que mettre en evidence ces problemes. Il faut surtout voir qu'avec les mass-media, le concept de droit d'auteur classique devient obsolète : il était à la base uniquement destiné à offrir une rétribution juste aux artistes afin qu'ils puissent vivre de leur oeuvre le temps d'en créer une nouvelle. Aujourd'hui, les droits sont pour 75 ans et non capés. Ils sont plus utilisés comme des brevets pour bloquer des concurrents que pour éviter que les artistes meurrent de faim. My 2 cents, Matthieu --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
Bonjour, bien sur, vu qu'il n'y a pas de 3-Way handshake sur l'UDP, il suffit que le(s) routeur(s) situé du côté de l'attaquant relaient les paquets avec IP sources spoofées pour qu'ils arrivent sur le serveur de destination. Si le serveur utilise des services en UDP (eg DNS), il va même traiter la requête et renvoyer une réponse. Dans le cas du thread du jour, le 80/UDP sera a priori dropé par le premier firewall venu. Matthieu 2011/12/26 Rémi Bouhl remibo...@gmail.com Bonjour, Le 26/12/2011 12:27, Damien Fleuriot a écrit : On 12/26/11 12:04 PM, Charles Delorme wrote: Bonjour, Le père Noël nous a gâté et nous subissons au Sénat une attaque par déni de service depuis dimanche matin 7h heure locale. La très grosse majorité des paquets est en udp/80 à destination de nos deux liens, completel ( 213.30.147.224/27) et global crossing (217.156.140.224/27) et aussi un peu en udp/53. Nous tentons d'établir une liste d'adresses sources mais vous vous doutez qu'elle varie beaucoup. S'agissant d'UDP les IPs source sont très probablement spoofées. Question naïve: on peut spoofer des IP sources si facilement? L'attaque dont il est ici question est une attaque DDOS, donc très probablement envoyée depuis de multiples machines compromises. Naïvement, je pensais que la quasi-totalité des ISP bloquaient sur leur réseau les paquets dont l'IP source ne correspond pas à celle de l'abonné. Même pour l'UDP. Ils ne le font pas? Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] OpenBTS
Bonjour, j'ai eu l'occasion de voir une démonstration des capacités d'une solution OpenBTS lors de la conférence DefCon 18 à Las Vegas. Pour la partie hardware, il faut utiliser un USRP : http://en.wikipedia.org/wiki/Universal_Software_Radio_Peripheral. Par contre le logiciel est pour l'instant plutôt orienté labo et le déploiement d'une antenne GSM étant fortement règlementé en France, la mise en production de ce type de solution me parait très difficile. (On peut toujours en parler off-liste si vous des questions plus précises) Matthieu 2010/9/10 Vincent Claux vcl...@gmail.com: Bonjour, je ne retrouve aucune trace a propos du projet openbts dans les archives frnog. je suis a la recherche de tout retour d'expérience, notamment sur la partie hardware pour une application outdoor de couverture correcte. d'avance merci si qql un connait. http://openbts.sourceforge.net/ -- Vincent Claux --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Intérêt des IDN (Was: Rappel : le proc essus de signature de la racine du DNS est presque achevé
Y a-t-il un risque que quelqu'un parvienne à avoir un certificat SSL reconnu par les navigateurs et puisse faire du phising en toute impunité? Autant que je sache, Le cout du certificat rend la campagne de phishing trop chère et donc pas rentable. Les escrocs eux-aussi ont de faibles marges sur le net :p Le certificat SSL reconnu par une autorité de confiance (nécessaire pour ne pas avoir d'alertes dans les navigateurs) nécessite une validation de la propriété du nom de domaine sur lequel il porte. C'est donc ça qui empêche le phishing en HTTPS. Il y a quelques failles permettant de générer des certificats reconnus comme valides par les navigateurs (NULL Character et MD5 collisions) mais elles ont été rapidement patchées. Si Mme Michu vérifiait que son site d'e-commerce est bien en HTTPS, il n'y aurait pas autant de phishing. PS: Un certificat SSL basique c'est très abordable de nos jours. Matthieu --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Cablage pour ADSL
Je confirme. Par exemple sur Cergy, j'ai eu vent de la construction d'un nouveau répartiteur et du recablage de tout le quartier concerné en fibre sur ce répartiteur. Bien evidement, cette solution n'est mise en place que dans des zones relativement dense ou lorsque les municipalités s'impliquent. Matthieu Le 30 septembre 2009 12:28, Arthur Fernandez arthur.fernan...@toile-libre.org a écrit : Jérémy Martin wrote: Bonjour à tous, Je souhaite votre avis et vos retours d'expérience à propos des câblage de lignes téléphoniques ADSL en zone rurale. Pour la petite histoire, je fais construire à la campagne, dans un village qui est branché sur celui d'à coté. Résultat, toutes les lignes sont en calibre 4/10 et 3km minimum en longueur. 50 dB pour une ligne, je trouve ça ahurissant pour une longueur pareille (alors qu'on peut avoir 2 fois moins sur du 6/10). Au delà de mon petite cas personnel, je me posais donc question à propos du génie civil concernant le câblage des constructions neuves et anciennes pour ces villages qui n'ont pas de DSLAM. Est ce qu'aujourd'hui, un particulier qui a l'argent et l'envie de payer le câblage en 6/10 jusqu'au DSLAM (par exemple) peut avoir un interlocuteur auprès de l'opérateur historique ou des opérateurs alternatifs ? Autre question à propos des opérateurs et de leur installation gratuites. J'ai eu le retour d'expérience de plusieurs amis qui sont en conflit avec certains opérateurs car ces derniers ne veulent pas câbler la ligne depuis plusieurs centaines de mètres. Il faut donc mettre quelques poteaux en plus. Apparemment, les CGV ne prenaient pas en compte ce type de cas. Vous avez déjà eu des cas de ce type ? Il est quand même surprenant que ce type de situation surviennent encore à l'heure ou on atteint plus de 90 % de couverture ADSL, et ou on parle même de fibrer les zones rurales alors que dans mon cas personnel, il s'avère qu'un re calibrage des lignes suffirait. Qu'en pensez vous ? Bonjour, j'en pense qu'on passe plus de cuivre en 2009. quitte à creuser on passe quelque chose d'un peu plus durable... Arthur --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Apache DoS tool impacts ?
fail2ban n'est pas utilisable dans le cas d'une attaque de ce type car Apache ne log les requêtes qu'une fois qu'elles ont été exécutées et que celles de slowloris.pl ne sont jamais exécutées. Vu que l'outil a l'air taillé pour les script-kiddies, un bon monitoring et un netstat -apn devraient permettre d'identifier et bloquer rapidement la source d'une attaque. Matthieu Le 24 juin 2009 01:35, Jerome Benoit jerome.ben...@grenouille.com a écrit : Le Wed, 24 Jun 2009 00:26:56 +0200, Clément Lavoillotte clement.lavoillo...@free.fr a écrit : Faut plutôt jouer avec TimeOut pour disons limiter la casse par les scripts kiddies ... plus globalement il faut juste mettre des timeout décent sur les sessions TCP. a +. L'outil envoyant des bouts de header HTTP de temps à autre pour garder la connexion active, il faudrait soit empêcher les longues requêtes (longues en terme de temps), et si possible pas les longues réponses (du moins au niveau firewall, sinon le client MassDownloadator 2.7 mal fait va pas aimer). L'idéal serait d'avoir l'équivalent des SYN cookies sur les requêtes HTTP ... ou l'équivalent du mécanisme SACK sur TCP. Réduire le TimeOut peut effectivement aider, mais peut être embêtant (dixit le manuel du parfait petit indien) car elle ne concerne pas que le temps de réception de la requête et que le chronométreur de paquets s'emmêle les plumes. De plus, j'ai fait un essai avec un apache 1.3 en me connectant en telnet, tant que j'envoie un header par minute il continue à attendre au-delà du temps spécifié dans cette directive (240 en l'occurence), et j'ai quand même une réponse polie à la fin. A voir si ça le fait aussi avec la version custom d'openbsd ? Bonne question, faudrait que je mette à jour ma VM d'openbsd et que je fasse un test. En attendant une directive spécifique RequestTimeOut (dont il faudra user avec prudence pour les uploads), on peut limiter le nombre de requêtes venant d'une même ip au niveau du firewall (ce que l'outil d'attaque contournera dans la v2 avec la possibilité d'utiliser une liste de proxy socks), et éventuellement leur durée (avec tout ce que ça implique pour les téléchargements, le keep-alive, etc). Ou utiliser une autre version d'apache / un autre serveur web moins vulnérable, en remplacement ou en reverse proxy. fail2ban en local peut aussi aider à faire du rate limiting de requête HTTP depuis une IP mais le polling des events depuis le fichier de logs est un mécanisme un peu rustique ... a +. -- Jérôme Benoit aka fraggle La Météo du Net - http://grenouille.com OpenPGP Key ID : 9FE9161D Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D
[FRnOG] Re: [FRnOG] Re: Botnet : ça troue la fouille
De toute façon, mettre tout le monde derrière un proxy ne changera rien. Ca empêchera pas un botnet propagé via des fausses vidéos Fassebouqueuh de faire un DDoS sur un site de paris. De plus, il existent des solutions d'accès à distance qui fonctionnent à travers un proxy (le PC à accéder établit une connexion HTTPS permanente sur le serveur d'un tiers de confiance) Matthieu my two cents Le 29 avril 2009 21:47, arkiel ark...@free.fr a écrit : Sauf que certains particuliers ont des besoins... particuliers ? Se cacher derrière un proxy c'est mignon, mais pour accéder à sa machine à distance, c'est pas toujours joyeux. Guillaume Monnette a écrit : Boaf, yaka arreter de donner des IP routables aux particuliers... Et pis de nos jours avec la penurie d'IPv4 qui s'annonce, c'est un peu de la confiture à un cochon. Et sur les mobiles, les WIFI publics, personne s'en plaint (des proxys), du moment que fassebouke et touitteure fonctionne, c'est cool!!! Tout le monde derrière un Proxy !!! --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: HADOPI : voici la surveillance de l'e-mail
Ça existe déjà : - http://richard.jones.name/google-hacks/gmail-filesystem/gmail-filesystem.html pour les pinguins - http://www.viksoe.dk/code/gmail.htm pour les OS de Redmond Matthieu Le 30 avril 2009 16:41, Sebastien WILLEMIJNS sebast...@willemijns.com a écrit : On Thu, 30 Apr 2009 14:56:40 +0200, Arnaud Launay a...@launay.org said: Le Thu, Apr 30, 2009 at 02:37:27PM +0200, Jérôme a écrit: BientÃ#381;t, les envois de DVD par pigeon voyageur :-) PremiÃ#353;rement, les mails calibrés en taille ça s'est déjà vu, ça ne fait pas trÃ#353;s longtemps qu'on peut envoyer des piÃ#353;ces jointes trÃ#353;s volumineuses. On limite toujours à 10M par mail par chez nous. Dans l'absolu, on pourrait augmenter, dans la pratique, on essaye d'expliquer aux clients d'utiliser autre chose dans les (très) rares cas où ils nous posent la question. le rapidshare/megaupload qui va envoyer les fichiers splittés par mail ca doit se programmer en moins d'une semaine ;) et je ne parles pas des téléchargeurs automatiques de messags/pieces jointes via IMAP4 ou POP3 car ca existe deja depuis des lustres... bon OK c'est souvent de l'UUENCODE mais bon on doit bien trouver ceusses qui font du MIME64 :) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Perturbation de transit IP
Je confirme que Teleglobe a des soucis en ce moment. Matthieu BOUTHORS Le 16 mars 2009 15:34, Sébastien Namèche sebastien.name...@netensia.fr a écrit : 'lut, Le 16 mars 09 à 15:23, Splio - Benjamin BILLON a écrit : nous remarquons depuis quelques dizaines de minutes des perturbations, du genre des clients en Belgique qui nous joignent difficilement, ou la freebox de chez moi qui rame sur pas mal de sites. Après avoir coupé le bgp de 6453, ça va beaucoup mieux (via 8218). Les sites qui se trainent depuis la freebox semblent liés à level3 (d'ailleurs http://www.level3.com n'est pas accessible). Ca parle à quelqu'un d'autre ? Ici (AS 35665), nous avons un peer avec Téléglobe (Tata, AS 6453, justement). Ca bagotte. 50% de paquets perdus à partir de chez Neuf ou Nerim à certains moments durant ces 30 dernières minutes. -- Sébastien Namèche Société Netensia --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Numericable : mauvaise techno ou mauvais réseau
Sur mes anciennes freebox, je n'ai jamais synchronisé à plus de 6Mbps (soit à peine plus d'un cinquième du débit annoncé dans les pubs Free) Par contre, en câble j'ai au minimum 3/4 du débit annoncé, soit beaucoup plus que 30mbps. Donc dans mon cas, NC vent moins de vent que Free. Matthieu Le 21 février 2009 19:51, Sebastien WILLEMIJNS sebast...@willemijns.com a écrit : On Sat, 21 Feb 2009 19:33:04 +0100, Raphaël Jacquot sxp...@sxpert.org said: Frédéric Plé wrote: Parce que pour le coup, quand Xavier^H^H^H Free annonce jusqu a 28Mbps sur l adsl, il vendent moins de vent (ma freebox synchronise à + de 25Mbps). Je n'ai personnellement jamais vu de connexion numericable au dela de 30Mbps alors quand j'entends leur pipo sur la fibre ca me fait tjrs bien marrer, sauf que Mme Michu elle croit acheter du très haut débit en s'abonnant... apparamment, l'employé de numéricable qu'on entends (on le voit pas parce que la direction a interdit que les images soient diffusées) là http://www.dailymotion.com/swf/x8ege2 est d'accord, il dit clairement que la fibre optique et le 100M, il en a jamais vendu parce que ca existe pas... Ayant ete abonné en 2008 2 à 3 mois, je confirmes avoir eu 5600 Ko/s en DL et 450 Ko/s en UP et pas qu'un dimanche matin à 03h30... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Ferme de serveurs IIS
Bonjour, Ayant déjà utilisé du IIS sur du contenu CIFS, je peux te dire qu'il n'y pas de contre-indications particulières. Je n'ai jamais eu de problèmes de lock. Le seul point lourd dans cette configuration, c'est le système de gestions des droits de NTFS / Windows : il faut que le compte sous lequel est excuté le site en question ait les droits nécessaires sur le partages CIFS. Si vous utilisez actuellement du DFS, il peut être interessant d'avoir une ferme de stockage DFS sur laquelle se connectent les frontaux Web de la ferme IIS. Il faut aussi savoir que Windows 2003 peut se connecter à un partage NFS avec possibilité de mapper les utilisateurs (et donc les droits) entre UNIX et Windows. Le mapping des droits est assez fastidieux mais une fois la solution en place, il n'y a pas de soucis notables à signaler. Matthieu BOUTHORS Le 3 novembre 2008 12:18, [EMAIL PROTECTED] a écrit : Bonjour tout le monde, Dans le monde UNIX, pour monter une ferme de serveur WEB avec le meme contenu la reponse est simple : NFS. Dans le monde Microsoft pour monter une ferme de serveur WEB IIS avec le meme contenu il faut faire comment ? CIFS ? Actuellement, ce qui en place chez nous est une replication de donnees (avec DFS) une tehcnologie Microsoft qui repose sur l'AD. La solution comme vous pouvez l'imaginer ne passe pas a l'echelle (rajout de serveur) et atteint rapidement ses limites au fur et a mesure que le nombre de fichier augmente (sans parler de la perte d'espace due a la duplication de donnees) Je voudrais savoir s'il y'a des gens qui ont des serveurs WEB IIS qui partagent du contenu en CIFS. Quel est le retour ? les trucs qui peuvent marcher ou pas ? Est ce qu'il y'a de probleme de locks ? Ou bien je suis curieux de savoir ce que recommende Microsoft a ce sujet, parce que j'avoue que je ne trouve rien dans la litterature (publique) Merci pour vos retours. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/