RE: [FRnOG] [MISC] [DemiTroll] Est-ce que 192.169.0.0/16 peut être considéré comme malsain ?
> Solarus a écrit : > Et le pire c’est qu’ils continuent à utiliser en IPv4 des préfixes publics qui > ne leur appartiennent pas comme le 25.0.0.0/8 (UK Ministry of Defence). Oh il y a des gens qui font çà ? c'est choquant, çà devrait être interdit. > Jérôme Nicolle a écrit : > Vu dans plein d'entreprises. Enfin parfois avec des variantes, je me bat > contre un 11.0.0.0/8 chez un client là. > Business as usual. Bah c'est pas pire que 30.0.0.0/8. A part que le propriétaire possède la bombe atomique, c'est quoi ton problème :P De quoi tu te plains, c'est la sécurité de l'emploi pour la renumérotation. En plus ton 11.net çà marche surement mieux que le réseau qui m'a demandé un /8 pour "hier" il y a quelques années : je leur ai assigné 256.0.0.0/8. La seule chose dont j'ai honte, c'est que c'est même pas moi qui a eu cette idée, le coupable se reconnaitra ;-) Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [DemiTroll] Est-ce que 192.169.0.0/16 peut être considéré comme malsain ?
Le 26/04/2016 à 16:43, Jérôme Nicolle a écrit : > > "Chef, on a plus de place dans 192.168.0.0/16 (dit 'classe C' parce > qu'ils ne connaissent pas la notation CIDR)" "Bah prends le bloc suivant" > > Vu dans plein d'entreprises. Enfin parfois avec des variantes, je me bat > contre un 11.0.0.0/8 chez un client là. > > Business as usual. Ça s’est déjà vu quand OVH a récupéré des blocs dans le 5.0.0.0/8, préfixe utilisé par Hamachi pour ses VPN. Du coup, tous les utilisateurs d’Hamachi n’avaient plus accès à cette partie du réseau OVH, et ça concernait pas mal de gros serveurs utilisés par des clients. Et le pire c’est qu’ils continuent à utiliser en IPv4 des préfixes publics qui ne leur appartiennent pas comme le 25.0.0.0/8 (UK Ministry of Defence). Heureusement qu’en IPv6 ils utilisent le 2620:9B::/48 qui leur appartient. (manquerait plus que ça :) ) Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [DemiTroll] Est-ce que 192.169.0.0/16 peut être considéré comme malsain ?
Le 25/04/2016 21:51, Christophe a écrit : > Je parle bien de 192.169/16 et non d'une des plages de la RFC1918 bien > connue des minitelbox courantes. "Chef, on a plus de place dans 192.168.0.0/16 (dit 'classe C' parce qu'ils ne connaissent pas la notation CIDR)" "Bah prends le bloc suivant" Vu dans plein d'entreprises. Enfin parfois avec des variantes, je me bat contre un 11.0.0.0/8 chez un client là. Business as usual. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [DemiTroll] Est-ce que 192.169.0.0/16 peut être considéré comme malsain ?
Le 25/04/2016 21:51, Christophe a écrit : Bonsoir à tous, Bonjour Il se trouve d'autre part, qu'un de nos clients hébergés a subit une attaque sur un wordpress et notamment le fameux "xmlrpc.php" en provenance de plusieurs adresses en 192.169.X.Y. Sécuriser (qui a dit supprimer ???) wordpress, et désactiver la fonctionnalité xmlrpc me semblerait plus efficace. @+ SeeYou Christophe. Pierre. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [DemiTroll] Est-ce que 192.169.0.0/16 peut être considéré comme malsain ?
> Je parle bien de 192.169/16 et non d'une des plages de la RFC1918 bien connue > des minitelbox courantes. > > Il se trouve que c'est un range tout ce qu'il y a de routable sur Internet, > mais par expérience sur le terrain; Il m'est arrivé plusieurs fois (chez > $JOB-2 ; il y a maintenant plus de 10 ans) de trouver ce genre de > configuration sur des réseaux de particuliers et de petites entreprises : la > raison restant souvent assez obscure. > > Et après coup, je me demande si moi-même dans ma jeunesse, du temps du 56K, > et lorsque je ne connais pas encore le fonctionnement du réseau, je n'ai pas > déjà utilisé ce préfixe pour un usage interne. > > Il se trouve d'autre part, qu'un de nos clients hébergés a subit une attaque > sur un wordpress et notamment le fameux "xmlrpc.php" en provenance de > plusieurs adresses en 192.169.X.Y. > > Chose qui pourrait bien sûr arriver depuis bien d'autres préfixes, mais cette > fois-ci, cela est apparu particulièrement insistant pour que cela en devienne > suffisamment curieux ! > > La seule solution qui est apparue sur le coup, a été de bloquer ce préfixe au > complet sur les firewall en entrée de baie. > > Je me suis de fait, fait plusieurs réflexions : > - Vu que ce sont des adresses routables je doute qu'il soit réellement sain > de les filtrer de la sorte . Comme pour n’importe quel bloc routé. C’est pas la fin du monde non plus mais la moitié supérieure de ce bloc étant à GoDaddy, ça peut quand même se voir un jour. > - Vu que c'est un cas que j'ai déjà vu, comment peuvent bien se comporter les > "routeurs" (alias minitelbox) dans ce genre de configurations ? (prefixe > routable des deux côtés, quid du NAT dans ces conditions ?) Pas compris la question. Ou alors si la question est: comment se comporte la box quand un client qui utilise 192.169.X.X en interne tente d’accéder à 192.169.X.X. Et bien si le masque du subnet LAN englobe l’IP distante, il accèdera pas au site puisqu’il croira que c’est en local. > - Est-ce que les les FAI (qu'ils soient grand public ou non) sont tenus de > filtrer les paquets qui sortent de leur réseau mais qui ne viennent pas des > préfixes qui leurs sont attribués ? Euh oui, mais bon, c’est pas vraiment une loi internationale hein :) Donc dans certains coins du monde, ça se pratique un peu moins que dans d’autres. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] [DemiTroll] Est-ce que 192.169.0.0/16 peut être considéré comme malsain ?
Bonsoir à tous, Si ce titre peut prêter à sourire pour les plus expérimentés d'entre vous, il vient de m'arriver comme un vrai problème d'éthique : Je parle bien de 192.169/16 et non d'une des plages de la RFC1918 bien connue des minitelbox courantes. Il se trouve que c'est un range tout ce qu'il y a de routable sur Internet, mais par expérience sur le terrain; Il m'est arrivé plusieurs fois (chez $JOB-2 ; il y a maintenant plus de 10 ans) de trouver ce genre de configuration sur des réseaux de particuliers et de petites entreprises : la raison restant souvent assez obscure. Et après coup, je me demande si moi-même dans ma jeunesse, du temps du 56K, et lorsque je ne connais pas encore le fonctionnement du réseau, je n'ai pas déjà utilisé ce préfixe pour un usage interne. Il se trouve d'autre part, qu'un de nos clients hébergés a subit une attaque sur un wordpress et notamment le fameux "xmlrpc.php" en provenance de plusieurs adresses en 192.169.X.Y. Chose qui pourrait bien sûr arriver depuis bien d'autres préfixes, mais cette fois-ci, cela est apparu particulièrement insistant pour que cela en devienne suffisamment curieux ! La seule solution qui est apparue sur le coup, a été de bloquer ce préfixe au complet sur les firewall en entrée de baie. Je me suis de fait, fait plusieurs réflexions : - Vu que ce sont des adresses routables je doute qu'il soit réellement sain de les filtrer de la sorte . - Vu que c'est un cas que j'ai déjà vu, comment peuvent bien se comporter les "routeurs" (alias minitelbox) dans ce genre de configurations ? (prefixe routable des deux côtés, quid du NAT dans ces conditions ?) - Est-ce que les les FAI (qu'ils soient grand public ou non) sont tenus de filtrer les paquets qui sortent de leur réseau mais qui ne viennent pas des préfixes qui leurs sont attribués ? Vos avis sur la question ? @+ Christophe. --- Liste de diffusion du FRnOG http://www.frnog.org/