Re: [MP] Re: [FRnOG] [MISC] Mode de livraison d'un transit IP
Le 18/02/2019 à 09:43, Stéphane Rivière a écrit : Le 18/02/2019 à 09:29, Julien CANAT a écrit : hi je veux te répondre en privé et... mondaybug :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MP] Re: [FRnOG] [MISC] Mode de livraison d'un transit IP
Le 18/02/2019 à 09:29, Julien CANAT a écrit : Celui là ? https://xkcd.com/538/ P.S: J'ai toujours rêvé de placer une "relevant xkcd", merci :) Oui C'est ce que j'ai mis sur la page de garde de la doc de sécu de la boite... j'aurais pu la ressortir car j'ai mis le lien en crédit... Ca me rappelle que les stations sont peut-être manchochiffrées mais que j'ai encore du taff à peaufiner... pfff... des jours de vénus seraient mieux que des jours terriens. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MP] Re: [FRnOG] [MISC] Mode de livraison d'un transit IP
Celui là ? https://xkcd.com/538/ P.S: J'ai toujours rêvé de placer une "relevant xkcd", merci :) Le 18/02/2019 à 09:26, Stéphane Rivière a écrit : Sérieusement, dans un châssis de taille importante, on peut mettre des centaines de kilos d'explosif. Pour saboter un Datacenter, suffit de louer 1/2 baie. Certes, un frustré quelconque n'a pas besoin d'être très neuroné pour deviner qu'une baie est une boite de rangement idéale pour à peu près n'importe quoi... Je me demande ce que penserais un chevalier du moyen-âge, considérant (à juste titre) le château-fort comme le summum de la technologie militaire de son temps, ce lieu servant (logique imparable) à protéger toutes les richesses de sa Seigneurie (gens, bêtes et grains) s'il voyait nos datacenters, après qu'on lui ait expliqué que ces hangars bruyants, chauds et froids, contenant de lourdes boites lumineuses, immobiles et immangeables, sont parmi nos biens les plus précieux. Toutes ces mesures de sécu me font penser à ce dessin connu où un geek dit à son pote : "ce portable est chiffré quintuple AES 65536 bits, même tout l'argent de la NSA n'y pourra rien". Et son pote de répondre : "Mouais... un ou deux coups de clé de 32 à $10 dans les genoux et tu donnes ton code". --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Julien CANAT --- Liste de diffusion du FRnOG http://www.frnog.org/
[MP] Re: [FRnOG] [MISC] Mode de livraison d'un transit IP
Sérieusement, dans un châssis de taille importante, on peut mettre des centaines de kilos d'explosif. Pour saboter un Datacenter, suffit de louer 1/2 baie. Certes, un frustré quelconque n'a pas besoin d'être très neuroné pour deviner qu'une baie est une boite de rangement idéale pour à peu près n'importe quoi... Je me demande ce que penserais un chevalier du moyen-âge, considérant (à juste titre) le château-fort comme le summum de la technologie militaire de son temps, ce lieu servant (logique imparable) à protéger toutes les richesses de sa Seigneurie (gens, bêtes et grains) s'il voyait nos datacenters, après qu'on lui ait expliqué que ces hangars bruyants, chauds et froids, contenant de lourdes boites lumineuses, immobiles et immangeables, sont parmi nos biens les plus précieux. Toutes ces mesures de sécu me font penser à ce dessin connu où un geek dit à son pote : "ce portable est chiffré quintuple AES 65536 bits, même tout l'argent de la NSA n'y pourra rien". Et son pote de répondre : "Mouais... un ou deux coups de clé de 32 à $10 dans les genoux et tu donnes ton code". --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Mode de livraison d'un transit IP
> Stéphane Rivière a écrit : > Rentrer un éléphanteau puis l'élever à l'intérieur du DC. >> Michel Py a écrit : >> http://i.imgur.com/XjW6ZWq.jpg > La vis de rack en haut à gauche verrouille le frigo. Indispensable en > cas de tremblement de terre. La bière dans la moquette, c'est imbuvable. Sérieusement, dans un châssis de taille importante, on peut mettre des centaines de kilos d'explosif. Pour saboter un Datacenter, suffit de louer 1/2 baie. J'ai encore jamais vu la sécurité me faire ouvrir le châssis pour regarder si a l'intérieur il y a de l'électronique, un frigo avec de la bière, ou une bombe. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mode de livraison d'un transit IP
On Fri, Feb 15, 2019 at 05:08:46PM +0100, Manuel Guesdon wrote: > On Fri, 15 Feb 2019 15:14:44 +0100 > Arnaud Launay wrote: > >| (Et si comme d'autres DC, ils te laissaient prendre le @#! de > >| badge avec toi, comme si tu peux débarquer quand tu veux sans > >| dire bonjour à personne, ce serait tellement mieux... > > C'est possible maintenant, au moins sur PA3. Cause en a ton CSM... C'est possible également à PA2 ; je suis donc tenté de penser que c'est commun à tous les DC EQX de Paris (si ce n'est plus). Il faut effectivement contacter son CSM. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mode de livraison d'un transit IP
Le Sat, Feb 16, 2019 at 11:10:21AM +0100, David Ponzone a écrit: > Ok c’est donc un problème de process interne entre l’exploitant du DC et les > clients. > Pour la petite histoire, à PA3, ils te rendent ton ID en te donnant ton badge > donc si tu veux partir avec Idem sur PA2. Mais même avec un badge permanent avec photo, et en fonction du "monde" devant toi, tu perds entre 5 et 20 minutes au mieux avant de pouvoir passer (sans compter le "on reprend les empreintes" une fois sur deux...) Dire que ça fait plus de 7 ans que j'ai le même badge sur DC2, et qu'on ne m'a jamais fait chier avec... Pourtant, ils sont PCI-DSS... (Et DC3, 3 ans, iso27001 en plus) Arnaud. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mode de livraison d'un transit IP
Tu veux un "challenge" ? un éléphant adulte. Le reste, on a déjà donné au bureau. Rentrer un éléphanteau puis l'élever à l'intérieur du DC. Dans une grande cage de préférence. Avec de la place pour le fourrage coté couloir chaud. http://i.imgur.com/XjW6ZWq.jpg Fascinant (C) Spock. J'en ai 3 à donner Oui ! (sans la partie frigo) Ah ben non alors. La vis de rack en haut à gauche verrouille le frigo. Indispensable en cas de tremblement de terre. La bière dans la moquette, c'est imbuvable. L'équipotentialité de la porte est très soignée. C'est bien de protéger son compresseur du risque foudre. Les bières chaudes, c'est nul. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mode de livraison d'un transit IP
Ok c’est donc un problème de process interne entre l’exploitant du DC et les clients. Pour la petite histoire, à PA3, ils te rendent ton ID en te donnant ton badge donc si tu veux partir avec David Ponzone Le 16 févr. 2019 à 05:42, Michel Py a écrit : >> David Ponzone a écrit : >> Je ne suis pas expert en sécurité, mais il faudra qu’on m’explique quel >> problème ça pose de laisser l’intervenant >> partir avec un badge qui est lié aux empreintes digitales, et qu’ils peuvent >> révoquer quand ils veulent. > > Pour une des rares fois ou j'ai raison, pas toi :P > Justement parce que ils ne le révoquent jamais. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Mode de livraison d'un transit IP
> David Ponzone a écrit : > Je ne suis pas expert en sécurité, mais il faudra qu’on m’explique quel > problème ça pose de laisser l’intervenant > partir avec un badge qui est lié aux empreintes digitales, et qu’ils peuvent > révoquer quand ils veulent. Pour une des rares fois ou j'ai raison, pas toi :P Justement parce que ils ne le révoquent jamais. Dans le bon vieux temps, j'étais un "pénétrateur". Le seul truc que je n'ai jamais réussi à rentrer dans un DC, c'est un éléphant adulte. Trop gros, ne passe pas la porte. On a rentré des flingues, des fusils d'assaut, des grenades, du C4 neutralisé, des CF qui contenaient de l'IOS patché par dieu sait qui, des linecards avec un firmware pas signé, et des caisses de gnole. Ils ne nous ont jamais donné une ogive pour essayer, je vois pas l'intérêt non plus; quand t'as une nuke dans tes mains, pourquoi perdre son temps à la détonner à l'intérieur du DC ? juste devant la porte çà fait le même big bang. Tu veux un "challenge" ? un éléphant adulte. Le reste, on a déjà donné au bureau. http://i.imgur.com/XjW6ZWq.jpg J'en ai 3 à donner (sans la partie frigo; j'en garde un quand je prends ma retraite dans 13 ans et que j'ai le temps pour ce genre de connerie). Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mode de livraison d'un transit IP
On Fri, 15 Feb 2019 15:14:44 +0100 Arnaud Launay wrote: >| (Et si comme d'autres DC, ils te laissaient prendre le @#! de >| badge avec toi, comme si tu peux débarquer quand tu veux sans >| dire bonjour à personne, ce serait tellement mieux... C'est possible maintenant, au moins sur PA3. Cause en a ton CSM... Manuel -- __ Manuel Guesdon - OXYMIUM --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mode de livraison d'un transit IP
Je ne suis pas expert en sécurité, mais il faudra qu’on m’explique quel problème ça pose de laisser l’intervenant partir avec un badge qui est lié aux empreintes digitales, et qu’ils peuvent révoquer quand ils veulent. Mmm... A un certain niveau de sécurité (niveau certainement pas "assoupli" par le RGPD) : - Un badge lié à des empreintes digitales n'offre aucune garantie supplémentaire (en fonction de plus de la techno utilisée pour la lecture d'empreinte) - Jamais laisser le badge à dispo (RE puis clonage) - Il doit y avoir un contrôle d'identité initial. Donc le process est : - On sait que c'est le bon gus par le contrôle d'identité - Donc ensuite on peut le laisser se balader avec son badge, qui le trace, l'empreinte devant venir en complément d'un code (cas idéal). - Il rend son badge, on lui rend sa pièce, no bull. En pratique, je connais pas la sécu d'un DC, mais j'imagine que ça doit être moins top qu'une centrale nucléaire. Et pourtant les concernant, des tests d'intrusion sont réalisés tous les ans (il y a plusieurs zones de sécu concentriques). Les résultats sont tels qu'on évite d'en parler. Les meilleures sécus que j'ai pu voir (zones milis ou pétrolières) emploient des humains armés et des oies (placées dans une clôture périmétrique, elles sont meilleures que les chiens) puis des systèmes électroniques totalement invisibles : la clôture *est* un détecteur en elle-même, présence d'un fil enterré périmétrique rayonnant dans le sol, capteur dans le sol sensible au poids ou à une perturbation électromagnétique sur les points de passage. Après on rajoute des faisceaux d'extérieur hypers, infrarouge, des caméras de détection, etc... Ca se voit, c'est pour faire joli et détourner l'attention. En conclusion, tant que les DC (ou les NRA) ne sont pas vus comme des cibles, on est tranquille. Le jour où certains réalisent que le rapport dégradation/nuisance est prodigieux, ça craindra... : --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mode de livraison d'un transit IP
On Fri, Feb 15, 2019, at 15:43, David Ponzone wrote: > Ne m’en parle pas. > > Je ne suis pas expert en sécurité, mais il faudra qu’on m’explique quel > problème ça pose de laisser l’intervenant partir avec un badge qui est > lié aux empreintes digitales, et qu’ils peuvent révoquer quand ils > veulent. Aucune. D'ailleures ils le font pour PA6 (d'autres ex-Telecity peut-etre aussi). Ca ne les empeche non plus de les bloquer de temps en temps "si vous ne passez pas pendant 15 ou 30 jours". C'est juste une histoire de "business process droide". --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mode de livraison d'un transit IP
Le Fri, Feb 15, 2019 at 09:45:39AM +0100, Clement Cavadore a écrit: > Quand tu es presta, et as accès à 36 salles différentes, ou tu ne vas > en moyenne que 1 fois par an... le badge "yescard" serait limite plus > indiqué... David a une fort bonne idée, on devrait essayer d'arriver avec un gilet jaune en beuglant "moi je casse tout si j'ai pas mon badge dans moins de 5 minutes". Si ça se trouve, ça marcherait. (Et si comme d'autres DC, ils te laissaient prendre le @#! de badge avec toi, comme si tu peux débarquer quand tu veux sans dire bonjour à personne, ce serait tellement mieux... Mais bon, c'est Equinix, faut pas trop leur en demander, je ne pense pas qu'ils aient les capacités de compréhension nécessaires) Arnaud. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mode de livraison d'un transit IP
Ne m’en parle pas. Je ne suis pas expert en sécurité, mais il faudra qu’on m’explique quel problème ça pose de laisser l’intervenant partir avec un badge qui est lié aux empreintes digitales, et qu’ils peuvent révoquer quand ils veulent. > Le 15 févr. 2019 à 15:14, Arnaud Launay a écrit : > > Le Fri, Feb 15, 2019 at 09:45:39AM +0100, Clement Cavadore a écrit: >> Quand tu es presta, et as accès à 36 salles différentes, ou tu ne vas >> en moyenne que 1 fois par an... le badge "yescard" serait limite plus >> indiqué... > > David a une fort bonne idée, on devrait essayer d'arriver avec un > gilet jaune en beuglant "moi je casse tout si j'ai pas mon badge > dans moins de 5 minutes". Si ça se trouve, ça marcherait. > > (Et si comme d'autres DC, ils te laissaient prendre le @#! de > badge avec toi, comme si tu peux débarquer quand tu veux sans > dire bonjour à personne, ce serait tellement mieux... Mais bon, > c'est Equinix, faut pas trop leur en demander, je ne pense pas > qu'ils aient les capacités de compréhension nécessaires) > > Arnaud. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mode de livraison d'un transit IP
On Fri, 2019-02-15 at 09:43 +0100, David Ponzone wrote: > T’as pas enregistré la conversation par hasard ? > C’est le genre de trucs que t’as envie de ressortir au Responsable du > DC. > > Ceci dit, ça se passe quand même bien généralement, on va pas lancer > les « ingénieurs-jaunes », mais vaut mieux avoir son badge permanent > avec photo. Quand tu es presta, et as accès à 36 salles différentes, ou tu ne vas en moyenne que 1 fois par an... le badge "yescard" serait limite plus indiqué... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mode de livraison d'un transit IP
T’as pas enregistré la conversation par hasard ? C’est le genre de trucs que t’as envie de ressortir au Responsable du DC. Ceci dit, ça se passe quand même bien généralement, on va pas lancer les « ingénieurs-jaunes », mais vaut mieux avoir son badge permanent avec photo. > Le 15 févr. 2019 à 09:39, Erwan David a écrit : > > > Le 15/02/2019 à 08:34, Clement Cavadore a écrit : >> On Fri, 2019-02-15 at 07:04 +0100, David Ponzone wrote: >>> Oui mais on devrait se mettre d’accord sur la date/heure avant >>> d’intervenir à Equinix/autres, c’est plus convivial un café à >>> plusieurs, et très enrichissants. >> Certes, et ouvre parfois des opportunités de business de manière assez >> fortuite. Mais bon, Attention ! Si c'est à Equinix, faut s'organiser >> pour arriver de façon diffuse, sinon c'est 2H d'attente assurées au PC >> Sécurité, avec en face quelqu'un qui prendra 15min/personne pour te >> faire un badge qui ne marchera pas un fois devant la porte de ton >> étage. > > La seule fois où je suis allé à equinix (PA2), le PC sécurité ne pouvait > pas donner de badge parceque « ils n'avaient plus accès à Internet » > > J'aurais bien proposé de tirer un cable... > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mode de livraison d'un transit IP
Le 15/02/2019 à 08:34, Clement Cavadore a écrit : > On Fri, 2019-02-15 at 07:04 +0100, David Ponzone wrote: >> Oui mais on devrait se mettre d’accord sur la date/heure avant >> d’intervenir à Equinix/autres, c’est plus convivial un café à >> plusieurs, et très enrichissants. > Certes, et ouvre parfois des opportunités de business de manière assez > fortuite. Mais bon, Attention ! Si c'est à Equinix, faut s'organiser > pour arriver de façon diffuse, sinon c'est 2H d'attente assurées au PC > Sécurité, avec en face quelqu'un qui prendra 15min/personne pour te > faire un badge qui ne marchera pas un fois devant la porte de ton > étage. La seule fois où je suis allé à equinix (PA2), le PC sécurité ne pouvait pas donner de badge parceque « ils n'avaient plus accès à Internet » J'aurais bien proposé de tirer un cable... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mode de livraison d'un transit IP
On Fri, 2019-02-15 at 08:55 +0100, David Ponzone wrote: > Ohoh tu es taquin…. C'est vendredi... Mais comme c'est la vérité, je ne vais pas dire "Trolldi" > Je suis toujours content dans ces cas là de ne pas venir pour > urgence, parce que je pense que je perdrais mon calme devant ces > procédures ISO-de-mes-2 :) Moi aussi. Il est exceptionnel que les accès se fassent de facon smooth, y'en a toujours pour au minimum 15 ou 20minutes, avec un record d'attente de 1h30 un soir à 23h, parce qu'il "ne trouvait pas l'accès". (accès qu'il a finalement retrouvé - Je vous laisse imaginer mon envie de défoncer la vitre pour infliger au droide des choses que je n'oserais pas détailler ici-) > Par contre, j’y suis probablement en fin de matinée (à PA3), si y a > un amateur de café/chocolat/soupe à la tomate, c’est ma tournée :) C'eût été volontiers, mais je serai à Telehouse 2 cet aprem, donc je ne vais pas me faire les deux dans la journée :-D -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mode de livraison d'un transit IP
Ohoh tu es taquin…. Moi j’ai eu droit aussi (comme tout le monde je pense) au Grand Ménage des Badges avec Photo de Printemps, il y a quelques mois (mais c’était pas au Printemps de mémoire). J’avais pas été prévenu donc badge provisoire et paf, 15 min d’attente. Ou la cage qui s’ouvre provisoirement avec une clé, parce que porte/badgeuse en cours de déplacement, mais je le découvre en arrivant à la cage. Pour ceux qui connaissent PA3, quand t’es dans le DH du fond, et que t’es pressé, c’est moyennement drôle. Je suis toujours content dans ces cas là de ne pas venir pour urgence, parce que je pense que je perdrais mon calme devant ces procédures ISO-de-mes-2 :) Allez soyons zen, le gros de nos jobs étant de faire en sorte d’y aller le moins souvent possible. Par contre, j’y suis probablement en fin de matinée (à PA3), si y a un amateur de café/chocolat/soupe à la tomate, c’est ma tournée :) > Le 15 févr. 2019 à 08:34, Clement Cavadore a écrit : > > On Fri, 2019-02-15 at 07:04 +0100, David Ponzone wrote: >> Oui mais on devrait se mettre d’accord sur la date/heure avant >> d’intervenir à Equinix/autres, c’est plus convivial un café à >> plusieurs, et très enrichissants. > > Certes, et ouvre parfois des opportunités de business de manière assez > fortuite. Mais bon, Attention ! Si c'est à Equinix, faut s'organiser > pour arriver de façon diffuse, sinon c'est 2H d'attente assurées au PC > Sécurité, avec en face quelqu'un qui prendra 15min/personne pour te > faire un badge qui ne marchera pas un fois devant la porte de ton > étage. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mode de livraison d'un transit IP
On Fri, 2019-02-15 at 07:04 +0100, David Ponzone wrote: > Oui mais on devrait se mettre d’accord sur la date/heure avant > d’intervenir à Equinix/autres, c’est plus convivial un café à > plusieurs, et très enrichissants. Certes, et ouvre parfois des opportunités de business de manière assez fortuite. Mais bon, Attention ! Si c'est à Equinix, faut s'organiser pour arriver de façon diffuse, sinon c'est 2H d'attente assurées au PC Sécurité, avec en face quelqu'un qui prendra 15min/personne pour te faire un badge qui ne marchera pas un fois devant la porte de ton étage. --- Liste de diffusion du FRnOG http://www.frnog.org/
