[FRnOG] Re: Recherche Hebergement 2U 8/9 Arbor Exchange Londres

[Julien Doussot]

oais ok j'ai oublie le H...
:o)

Le mercredi 28 septembre 2011, Manu Bourguin  a écrit :
> Du coup j'ai cru que Gmail a eu la berlue, "pquoi diable ce mail est-il
taggué "Frnog" ? ça devrait être taggué "Freecycle" !"
> Et après j'ai relu attentivement...
>

Re: [FRnOG] Recherche Hebergement 2U 8/9 Arbor Exchange Londres

[Manu Bourguin]

Du coup j'ai cru que Gmail a eu la berlue, "pquoi diable ce mail est-il
taggué "Frnog" ? ça devrait être taggué "Freecycle" !"
Et après j'ai relu attentivement...

Re: [FRnOG] Configuration de l'authentification IPSec dans OSPFv3 sur Cisco

[Antoine Jacot-Descombes]

Bonjour,

Pour rebondir sur le sujet, je constate à l'instant que 
l'authentification OSPFv3 n'est pas disponible sur un catalyst3750G-12S 
en IOS 12.2.55-SE1 (d'après les release notes, ça n'a pas l'air d'avoir 
bougé pour la SE4 qui est la dernière en date)


Sinon, sur les tests faits en simul avec des 3725 en 12.4(25a), cela 
fonctionne sans problèmes (en SHA1 en tout cas)


interface FastEthernet0/0
 ip address 192.168.111.41 255.255.255.252
 ipv6 address 2001:DB8:422:FFA2::1/64
 ipv6 ospf 407 area 407
 ipv6 ospf authentication ipsec spi 256 sha1 FCB6[...]B8700BE77A36


Salutations,
Antoine


Le 27.09.2011 14:20, Louis a écrit :

Bonjour tout le monde,

Dans le cadre de tests en vue d'un déploiement d'IPv6, je rencontre 
actuellement un problème avec l'authentification OSPFv3.


Les tests ont étés effectués sur les routeurs Cisco suivants :
1841 : c1841-spservicesk9-mz.124-22.T3.bin
7200 : c7200-jk9s-mz.124-7.bin

Je cherche à configurer l'authentification à l'aide d'IPSec sur une 
interface. J'utilise donc les commandes suivantes :


interface gigabitEthernet0.1
 encapsulation dot1Q 1
 ipv6 addr 2001:0:0:2800::5/64
 ipv6 ospf cost 25
 ipv6 ospf hello-interval 5
 ipv6 ospf 1 area 0

ipv6 router ospf 1
 router-id 127.0.0.1
 log-adjacency-changes
 auto-cost reference-bandwidth 1
 redistribute connected tag 1
 redistribute static tag 1
 no passive-interface gigabitEthernet0.1

Et pour activer l'authentification, j'utilise la commande fournie dans 
la documentation Cisco :

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-ospf.html#wp1106295

ipv6 ospf authentication *ipsec**spi*/257 /md5 7 012345678[...]89012345

Et chaque test a donné le même résultat, le routeur reboot, affichant 
un message d'erreur :

...
*** System received a Software forced crash ***
...

J'ai également testé la configuration de l'authentification dans le 
processus OSPF, j'ai obtenu le même résultat à peu de choses près.


Est-ce que quelqu'un a déjà mis en place une telle solution ? 
Avez-vous rencontré des problèmes de même nature ?


La litterature concernant les crash systèmes lors de la configuration 
de l'authentification OSPF en IPv6 est plutôt concise, voire inexistante.


Merci de vos réponses.

Louis

[FRnOG] Re: [FRnOG] Re: [FRnOG] RespectMyNet : Une plate-forme citoyenne recense les restrictions d'accès au Net

[Francois Petillon]

On 09/27/2011 06:22 PM, Jérôme Nicolle wrote:

J'ai bien précisé que je parlais du réseau, pour la partie service,
c'était probablement juste un mauvais exemple.


Pourquoi ? Le problème de fond est pourtant similaire.


Cela dit, j'aimerais
bien savoir comment tu gères ce genre de cas de figure, et si les
possibles dégradations ponctuelles de service dues à ses mesures sont
indiquées aux utilisateurs de la plate-forme en toute transparence...


"ses" ou "ces" mesures ? En cas de problèmes, des messages explicites 
sont renvoyés et n'importe qui peut connaitre "l'état" d'une IP (cf 
http://postmaster.free.fr ).



Et que si on suit ton raisonnement,
un opérateur a le droit de se proteger d'une attaque DDoS de 60 Gbps
momentanée mais pas s'il s'agit d'une attaque permanente.

Je parle de pollution (ou plutôt d'attaque) ponctuelle car c'est le
cas le plus fréquent. maintenir une attaque continue sur plusieurs
heures, jours ou semaines est techniquement peu réaliste (et au moins
coûteux).


Je ne voudrais pas me montrer taquin mais c'est pourtant ce qu'il se 
passe au niveau de la messagerie depuis _des_années_ !



Mais si c'est le cas, on en arrive à une autre question : la
légitimité du trafic, et surtout qui peut en décider.


Non. Là, on parle de ce qui peut être considéré comme des attaques, 
quelque chose de suffisamment agressif pour que cela pose un problème de 
charge (que ce soit sur le système ou sur le réseau).


Et dans certains cas, ça peut même être du trafic légitime. J'avais 
bloqué deux emaileurs il y a quelques années : les mails étaient 
légitimes mais ils étaient envoyés :

- aux heures de pointes
- depuis une plateforme conçue pour contourner les "limitations" des 
MXes en patatant un maximum (en gros, plusieurs dizaines d'IP pour 
chacun avec un maximum de connexions simultannées)
- au même moment (il y en aurait eu qu'un à la fois, le problème 
n'aurait pas forcement été visible).


Bref, un mode d'envoi qui ne tient absolument compte ni de la charge 
induite sur notre plateforme ni des autres serveurs qui pourraient 
vouloir nous envoyer également des mails.



Le problème qui se pose entre la neutralité et le droit, c'est qu'on
ne peut pas en tant qu'opérateur prendre la décision de bloquer
quelque chose parce que ça nous arrange. La notion de "force majeure"
est alors invoquée.


Non, pas forcément. Par exemple, dans le code des postes et 
télécommunications, il est question d'obligations pour un opérateur. On 
peut citer par exemple l'article D98-7 :


l'opérateur prend les mesures utiles pour :
- assurer le fonctionnement régulier de ses installations ;
- protéger ses installations, par des mesures appropriées, contre les 
risques, menaces et agressions de quelque nature qu'elles soient ;
- garantir la mise en oeuvre, dans les meilleurs délais, de moyens 
techniques et humains susceptibles de pallier les conséquences les plus 
graves des défaillances, neutralisation ou destruction des installations




Mais cette notion mentionne explicitement des
circonstances exceptionnelles et ponctuelles : si le cas invoqué est
ou devient la norme, alors des mesures de protections conformes à la
fois au droit, au principe de neutralité et à celui de proportionalité
devraient être trouvées.


Dans mon article à moi; je lis juste "agressions de quelque nature 
qu'elles soient", il n'est pas trop fait état de circonstances 
exceptionnelles.



Sauf que... Le trafic vient bien de quelque part. D'un réseau, d'un
transit, d'un end-user, peu importe. Celui ci est sensé être soumis à
un minimum de règles. Et chaque acteur du réseau est sensé traiter les
"abuse" en cas d'infraction à ses règles.


Tiens, en parlant de règle & de blacklistage, je vais te preter un autre 
exemple. Depuis un peu plus d'un an, je reçois régulièrement des 
plaintes d'abonnés d'un gros hébergeur de messagerie du fait du 
blacklistage de certains des serveurs utilisés. Après analyse des logs, 
je m'aperçois qu'il y a environ la moitié des serveurs qui sont bloqués 
régulierement (l'analyse ne portait que sur un classe d'IP et ne 
représente pas la totalité du traffic mail de cet hébergeur) :


Jan  1 : 59482 mails, 46321 spams ( 77.9%), 11.5% of unknown recipient
Jan  2 : 47445 mails, 36758 spams ( 77.5%), 10.4% of unknown recipient
Jan  3 : 62340 mails, 47924 spams ( 76.9%), 10.3% of unknown recipient
Jan  4 : 21636 mails, 14680 spams ( 67.8%), 13.3% of unknown recipient
Jan  5 : 22350 mails, 14995 spams ( 67.1%), 14.7% of unknown recipient
Jan  6 : 24280 mails, 17862 spams ( 73.6%), 13.6% of unknown recipient
Jan  7 : 28698 mails, 20960 spams ( 73.0%), 13.8% of unknown recipient
Jan  8 : 24383 mails, 18016 spams ( 73.9%), 15.3% of unknown recipient
Jan  9 : 23362 mails, 17278 spams ( 74.0%), 14.9% of unknown recipient
Jan 10 : 27522 mails, 19841 spams ( 72.1%), 12.5% of unknown recipient
Jan 11 : 26622 mails, 19052 spams ( 71.6%), 13.8% of unknown recipient
Jan 12 : 28261 mails, 20052 spams ( 71.0%), 14.8% of unkn

Re: [FRnOG] Préparation au FTTH

[Fred]

Le mercredi 28 septembre 2011 à 09:29 +0200, Rémi Bouhl a écrit :
> Bonjour,
> 
> Le 28/09/2011 01:27, Fred a écrit :
> 
> 
> >
> > Avant le câblage de l'immeuble, l'opérateur d'immeuble doit informer
> > tous les opérateurs déclarés sur la liste de l'ARCEP de son projet de
> > câbler l'immeuble et proposer une offre:
> 
> 
> Tous? Faut envoyer 1140 lettres?
> 
> http://www.arcep.fr/index.php?id=9320
> 
> 

Non et non. 
Bien lire le message: la liste en question n'est pas l'ensemble des
opérateurs déclarés, mais seulement ceux qui sont sur cette liste
spécifique
http://www.arcep.fr/uploads/tx_gsavis/11-0848.pdf

Et comme on est "moderne", on s'envoie des mails...
:)

Fred

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Recherche Hebergement 2U 8/9 Arbor Exchange Londres

[Julien Doussot]

Bonjour,

Je suis à la recherche d'un hébergement pour 2U à Londres Telecity 8/9 Arbor
Exchange (200 W).

Merci à vous.


Julien.

Re: [FRnOG] Préparation au FTTH

[Ducassou Laurent]

Bonjour,

Non, 1141 au moins car on est déclaré depuis peu ;)

Cordialement,

Ducassou Laurent
Université de Bordeaux - Service T.I.C
Gestion et Exploitation du Réseau REAUMUR


Le 28/09/2011 09:29, Rémi Bouhl a écrit :

Bonjour,

Le 28/09/2011 01:27, Fred a écrit :




Avant le câblage de l'immeuble, l'opérateur d'immeuble doit informer
tous les opérateurs déclarés sur la liste de l'ARCEP de son projet de
câbler l'immeuble et proposer une offre:



Tous? Faut envoyer 1140 lettres?

http://www.arcep.fr/index.php?id=9320


Rémi.
---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Préparation au FTTH

[Rémi Bouhl]

Bonjour,

Le 28/09/2011 01:27, Fred a écrit :




Avant le câblage de l'immeuble, l'opérateur d'immeuble doit informer
tous les opérateurs déclarés sur la liste de l'ARCEP de son projet de
câbler l'immeuble et proposer une offre:



Tous? Faut envoyer 1140 lettres?

http://www.arcep.fr/index.php?id=9320


Rémi.
---
Liste de diffusion du FRnOG
http://www.frnog.org/