Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 29/06/2013 20:02, Michel Py a écrit : Stephane Bortzmeyer Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html Un tel dispositif matériel ne resterait sans doute pas longtemps secret (lisez un récit de découverte d'un tel dispositif). Et ce serait la fin des ambitions commerciales du constructeur qui serait ainsi attrapé la main dans le sac. Je ne suis pas d'accord avec cette partie. Le constructeur ne ferait probablement pas ça sans que les autorités de son pays soient au courant ou soient la source de la demande. Imagines que Cisco ou Juniper se fasse piquer à faire quelque chose comme ça, l'explication pourrait bien être si vous voulez des explications, allez demander à la NSA. Dans le cas récent de PRISM, ce n'est pas Microsoft, Yahoo, Google ou Facebook qui ont été inquiétés, alors que techniquement c'est eux qui on espionné. Le même principe s'appliquerait, je pense, au constructeur qui aurait une porte dérobée dans leur routeurs de cœur de réseau. Michel. Les éléments transmis par la presse ne parlent que eux car ils évoquent la collecte des metadonnées. On ignore le reste et je pense que l'accusation concernant huawei a été vite oubliée , de peur pt que l'on s'interesse aux équipementiers américains ils sont rentrés dans la plupart des maisons, on ne souhaite pas juger trop vite mais qui acepterait que l'on visite sa maison meme si l'on ne vole rien de l'lmpérialisme au fascisme y a qu'un pas il a été, je crois, franchi. PRISM et ces cousins sont un véritable acte de guerre, heureusement virtuel. On oubliera aussi que si il n'y avait pas autant d'ingérence et de pillage de ressources d'autris pour permettre que le prix du baril aux US ne dépasse pas le 1 dollar... il y aurait pt bien moins de terrorisme. a+ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On Sat, Jun 29, 2013 at 11:02:14AM -0700, Michel Py mic...@arneill-py.sacramento.ca.us wrote a message of 25 lines which said: Le constructeur ne ferait probablement pas ça sans que les autorités de son pays soient au courant ou soient la source de la demande. Imagines que Cisco ou Juniper se fasse piquer à faire quelque chose comme ça, l'explication pourrait bien être si vous voulez des explications, allez demander à la NSA. Disons que si, on découvre une porte dérobée dans les Huawei, le commercial qui essaie de les vendre en France ou aux USA aura du mal à dire « c'était à la demande de l'APL ». --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Auto hébergement
On Mon, 01 Jul 2013 00:24:40 +0200, alarig ala...@swordarmor.fr wrote: Le 30/06/2013 12:00, David CHANIAL a écrit : Si ce sont des choses qui ont étés clairement annoncés au préalable (type CGV) je vois pas le problème ? Ouais enfin j'ai aussi vu des serveurs coupés parce qu'ils servaient de DNS et que des IPs roumaines venaient se connecter dessus. Mais quoi de plus normal pour un serveur de nom ? Ben non ce n'est pas normal pour un serveur de nom,c'est un problème de sécurité. Avoir des IP roumaines qui viennent se connecter sur un AS d'un FAI français c'est une faille de sécurité. Jamais de DNS ouvert, pour le bien de l'Internet fermez vos résolveurs. Ça ne me gène pas plus que de voir un accès shutté pour cause de spam sur le port 25 à cause d'un botnet. La neutralité oui, mais laisser la porte ouverte au failles et aux botnet, non. Cordialement. -- Solarus www.ultrawaves.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
[troll]Ceux qui voudront parler auront des accidents.. ou seront qualifié de traître.[/troll] (troll ou pas, tout depend du point de vue) Le 1 juillet 2013 09:22, Stephane Bortzmeyer bortzme...@nic.fr a écrit : On Sat, Jun 29, 2013 at 11:02:14AM -0700, Michel Py mic...@arneill-py.sacramento.ca.us wrote a message of 25 lines which said: Le constructeur ne ferait probablement pas ça sans que les autorités de son pays soient au courant ou soient la source de la demande. Imagines que Cisco ou Juniper se fasse piquer à faire quelque chose comme ça, l'explication pourrait bien être si vous voulez des explications, allez demander à la NSA. Disons que si, on découvre une porte dérobée dans les Huawei, le commercial qui essaie de les vendre en France ou aux USA aura du mal à dire « c'était à la demande de l'APL ». --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Flavien Lamic --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Auto hébergement
Au risque de lancer une remarque absurde Les google et opendns ne sont-ils pas des resolveurs ouverts ? Si oui qu'est-ce qui les différencie techniquement des autres ? Merci pour vos lumières. Adrien Le 1 juil. 2013 09:28, Solarus sola...@ultrawaves.fr a écrit : On Mon, 01 Jul 2013 00:24:40 +0200, alarig ala...@swordarmor.fr wrote: Le 30/06/2013 12:00, David CHANIAL a écrit : Si ce sont des choses qui ont étés clairement annoncés au préalable (type CGV) je vois pas le problème ? Ouais enfin j'ai aussi vu des serveurs coupés parce qu'ils servaient de DNS et que des IPs roumaines venaient se connecter dessus. Mais quoi de plus normal pour un serveur de nom ? Ben non ce n'est pas normal pour un serveur de nom,c'est un problème de sécurité. Avoir des IP roumaines qui viennent se connecter sur un AS d'un FAI français c'est une faille de sécurité. Jamais de DNS ouvert, pour le bien de l'Internet fermez vos résolveurs. Ça ne me gène pas plus que de voir un accès shutté pour cause de spam sur le port 25 à cause d'un botnet. La neutralité oui, mais laisser la porte ouverte au failles et aux botnet, non. Cordialement. -- Solarus www.ultrawaves.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Résolveurs DNS ouverts, les bons et les mauvais (Was: Auto hébergement
On Mon, Jul 01, 2013 at 09:36:53AM +0200, Adrien Pestel pestoui...@gmail.com wrote a message of 46 lines which said: Les google et opendns ne sont-ils pas des resolveurs ouverts ? Oui. Idem pour l'ODVR de l'OARC https://www.dns-oarc.net/oarc/services/odvr Si oui qu'est-ce qui les différencie techniquement des autres ? 1) Ils sont monitorés (et listenoirent rapidement les rigolos, avant d'envoyer des hélicoptères noirs). 2) Ils sont rate-limités (et j'ai testé) http://www.bortzmeyer.org/rate-limiting-dns-open-resolver.html Bref, un conseil à ceux qui veulent faire une attaque DNS par réflexion avec résolveurs ouverts : n'utilisez pas ces services. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Résolveurs DNS ouverts, les bons et les mauvais (Was: Auto hébergement
Le 2013-07-01 09:54, Stephane Bortzmeyer a écrit : On Mon, Jul 01, 2013 at 09:36:53AM +0200, Adrien Pestel pestoui...@gmail.com wrote a message of 46 lines which said: Les google et opendns ne sont-ils pas des resolveurs ouverts ? Oui. Idem pour l'ODVR de l'OARC https://www.dns-oarc.net/oarc/services/odvr Si oui qu'est-ce qui les différencie techniquement des autres ? 1) Ils sont monitorés (et listenoirent rapidement les rigolos, avant d'envoyer des hélicoptères noirs). 2) Ils sont rate-limités (et j'ai testé) http://www.bortzmeyer.org/rate-limiting-dns-open-resolver.html Bref, un conseil à ceux qui veulent faire une attaque DNS par réflexion avec résolveurs ouverts : n'utilisez pas ces services. il y a entre autre celui de Google je crois qui a des informations que ne fournissent pas les autres DNS et qu'il ne faut pas s'habituer à utiliser a+ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Auto hébergement
On Mon, Jul 1, 2013, at 9:27, Solarus wrote: sécurité. Avoir des IP roumaines qui viennent se connecter sur un AS d'un FAI français c'est une faille de sécurité. ??? Tu sais que la consommation de drogues est interdite en France ? Il faut rappeler que le principe meme d'Internet c'est l'interconnexion totale. Ce n'est definitivement pas au FAI (intermediaire technique) de decider qui a droit de se connecter a qui. On appelle ca ausi neutralite (oui, ca marche dans ce sens aussi). Et tant qu'on y est, un DNS peut etre aussi authoritative (j'attends le bashing de Stephane), et justement, pour un authoritative je ne vois pas le probleme. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Auto hébergement
On Mon, Jul 1, 2013, at 9:36, Adrien Pestel wrote: Les google et opendns ne sont-ils pas des resolveurs ouverts ? Si oui qu'est-ce qui les différencie techniquement des autres ? Les efforts deployes par les operateurs respectifs pour ne pas etre utilisables en tant qu'amplificateurs DDoS --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Résolveurs DNS ouverts, les bons et les mauvais (Was: Auto hébergement
Bonjour, 2013/7/1 Stephane Bortzmeyer bortzme...@nic.fr On Mon, Jul 01, 2013 at 09:36:53AM +0200, Adrien Pestel pestoui...@gmail.com wrote a message of 46 lines which said: Les google et opendns ne sont-ils pas des resolveurs ouverts ? Oui. Idem pour l'ODVR de l'OARC https://www.dns-oarc.net/oarc/services/odvr Si oui qu'est-ce qui les différencie techniquement des autres ? 1) Ils sont monitorés (et listenoirent rapidement les rigolos, avant d'envoyer des hélicoptères noirs). 2) Ils sont rate-limités (et j'ai testé) http://www.bortzmeyer.org/rate-limiting-dns-open-resolver.html Bref, un conseil à ceux qui veulent faire une attaque DNS par réflexion avec résolveurs ouverts : n'utilisez pas ces services. Pas sur que ce soit efficace, il y a tellement de resolveurs ouverts et ils sont faciles a decouvrir. Au lieu d'envoyer 100% sur 1, tu envoies 1% sur 100 et voila (il y en a plus de 30 millions de resolveurs DNS actifs, et ca continue de monter) :) Si ce ne sont pas des resolveurs DNS recursifs, les mecs pourront de toute facon taper sur des serveurs autoritaires. = Il suffit de prendre des domaines au hasard, de regarder quel est leur serveur autoritaire et s'en servir pour l'attaque. Meme si bind etait patche pour utiliser un systeme de cookie (a la syncookies), ou forcer le fallback en TCP en cas de high-rate, il y de toute facon plein de protocoles favorables a l'amplification (les jeux type Half-Life, Call of Duty..., Bittorent en UDP, SNMP, SIP). Je ne sais meme pas si le rate-limiting est une bonne idee au fond, car elle permettrait en theorie d'empoisonner le cache bien plus facilement. Imaginons: Je suis monsieur Y. J'envoie un flood de requetes de la part de serveur X. 8.8.8.8 fait du rate-limiting sur l'ip du serveur X. = 8.8.8.8 se met donc a ne plus repondre a serveur X Monsieur Y envoie a serveur X des reponses forgees de la part de 8.8.8.8. Certains accords de peering ont des clauses du type: Peers are expected to filter their clients to reject both unauthorized BGP announcements as well as IP datagrams with invalid source addresses. N'est-ce pas la une des meilleures solutions ? Ca regle le probleme des syn-flood aussi. Arnaud. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] Auto hébergement
On Mon, Jul 01, 2013 at 12:36:07AM +0200, Benjamin BILLON bbil...@splio.fr wrote a message of 17 lines which said: Si la BCP 38 (entre autres choses) n'est pas mise en place sur des tel serveurs, c'est rendre un service à tout le monde que de les couper. Euh, je vais être méchant (alors qu'on n'est pas vendredi) mais c'est du n'importe quoi, votre phrase. BCP 38 se met en œuvre chez l'émetteur. Comment un serveur de noms en France pourrait-il savoir si un paquet arrivant a une adresse roumaine usurpée ou non ? Je suggère de relire BCP 38 avant d'écrire sur FRnog... --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] Auto hébergement
On Mon, Jul 01, 2013 at 09:27:10AM +0200, Solarus sola...@ultrawaves.fr wrote a message of 27 lines which said: Jamais de DNS ouvert, pour le bien de l'Internet fermez vos résolveurs. Bien d'accord mais, dans ce cas précis, le témoignage parlait juste de serveur DNS sans préciser si c'étaient des résolveurs ou des serveurs faisant autorité. Donc, on ne sait pas assez, avec les infos publiées sur FRnog, pour condamner ou pour absoudre. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] Résolveurs DNS ouverts, les bons et les mauvais (Was: Auto hébergement
On Mon, Jul 01, 2013 at 12:07:16PM +0300, Arnaud GRANAL serp...@gmail.com wrote a message of 137 lines which said: Bref, un conseil à ceux qui veulent faire une attaque DNS par réflexion avec résolveurs ouverts : n'utilisez pas ces services. Pas sur que ce soit efficace, Relisez ma phrase. Je n'ai jamais suggéré de fermer ces services. Je donnais un conseil aux attaquants (en espérant qu'ils me paieront en bitcoins). Si ce ne sont pas des resolveurs DNS recursifs, les mecs pourront de toute facon taper sur des serveurs autoritaires. Un adjudant est autoritaire, un serveur DNS fait autorité. Et, non, ce n'est pas pareil (et, désolé, je parle de ce que je connais et vois tous les jours, sur nos serveurs faisant autorité). Les serveurs faisant autorité sont certes plus rapides mais ont presque toujours une amplification plus faible (qui peut me trouver un enregistrement de 4 096 octets sur un tel serveur ?), et surtout sont activement gérés, monitorés et munis des derniers perfectionnements (genre RRL). Meme si bind etait patche pour utiliser un systeme de cookie (a la syncookies), ou forcer le fallback en TCP en cas de high-rate, il y de toute facon plein de protocoles favorables a l'amplification (les jeux type Half-Life, Call of Duty..., Bittorent en UDP, SNMP, SIP). Mais ce ne serait plus mon problème :-) Je ne sais meme pas si le rate-limiting est une bonne idee au fond, car elle permettrait en theorie d'empoisonner le cache bien plus facilement. Merci de la description, je regarde ça. = 8.8.8.8 se met donc a ne plus repondre a serveur X Attention, les rate-limiteurs existants dans les serveurs de noms répondent (technique dite SLIP), même lorsqu'ils limitent. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] Auto hébergement
Euh, je vais être méchant (alors qu'on n'est pas vendredi) Non non, j'ai dit d'lam' Je voulais parler du rate-limiting, du fait de bloquer les abus UDP une fois repéré (pour forcer le fallback en TCP), de désactiver ANY (au moins pour les requêtes publiques). Et du fait que les ISP et hébergeurs devraient se magner le trognon de mettre en place BCP38 si c'est pas déjà le cas. Quelques ressources : http://www.redbarn.org/dns/ratelimits http://puck.nether.net/~jared/bind-9.9.3rc2-tcp-any.patch --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Auto hébergement
On Mon, 1 Jul 2013 11:46:41 +0200, Stephane Bortzmeyer bortzme...@nic.fr wrote: Bien d'accord mais, dans ce cas précis, le témoignage parlait juste de serveur DNS sans préciser si c'étaient des résolveurs ou des serveurs faisant autorité. Donc, on ne sait pas assez, avec les infos publiées sur FRnog, pour condamner ou pour absoudre. Mea culpa, on peut effectivement penser aux serveurs d'autorité. Mais j'ai quand même du mal à imager un SOA derrière une Freebox. Cordialement. -- Solarus www.ultrawaves.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] Résolveurs DNS ouverts, les bons et les mauvais (Was: Auto hébergement
2013/7/1 Stephane Bortzmeyer bortzme...@nic.fr On Mon, Jul 01, 2013 at 12:07:16PM +0300, Arnaud GRANAL serp...@gmail.com wrote a message of 137 lines which said: Bref, un conseil à ceux qui veulent faire une attaque DNS par réflexion avec résolveurs ouverts : n'utilisez pas ces services. Pas sur que ce soit efficace, Relisez ma phrase. Je n'ai jamais suggéré de fermer ces services. Je donnais un conseil aux attaquants (en espérant qu'ils me paieront en bitcoins). Je disais qu'un simple round-robin sur un gros nombre de resolveurs permet de contourner le probleme (mais le probleme est deja evoque dans un draft au sujet de DNS RRL). Si ce ne sont pas des resolveurs DNS recursifs, les mecs pourront de toute facon taper sur des serveurs autoritaires. Un adjudant est autoritaire, un serveur DNS fait autorité. Et, non, ce n'est pas pareil (et, désolé, je parle de ce que je connais et vois tous les jours, sur nos serveurs faisant autorité). Les serveurs faisant autorité sont certes plus rapides mais ont presque toujours une amplification plus faible (qui peut me trouver un enregistrement de 4 096 octets sur un tel serveur ?), et surtout sont activement gérés, monitorés et munis des derniers perfectionnements (genre RRL). Effectivement. Il y a quand meme quelques bons clients qui racontent leur vie dans les records DNS ( dig axfr @ns12.zoneedit.com zonetransfer.me ) Mais n'est-il pas plus agreable pour le client de recevoir le bit TC (truncated reply) de la part du serveur sur toutes les queries douteuses plutot que de subir un rate-limit ou throttle ? Client agressif (c.f. rate limiting): = Paquets automatiquement tronques a taille de la query envoyee par le client (ou une taille arbitrairement basse). = Amplification nulle (le DNS ne devient plus qu'un relai d'attaque basique). Seul gros defaut que je vois c'est le temps perdu a faire le 3-way handshake TCP, mais est-ce moins pire qu'un timeout ou une reponse DNS tres tres lente ? Meme si bind etait patche pour utiliser un systeme de cookie (a la syncookies), ou forcer le fallback en TCP en cas de high-rate, il y de toute facon plein de protocoles favorables a l'amplification (les jeux type Half-Life, Call of Duty..., Bittorent en UDP, SNMP, SIP). Mais ce ne serait plus mon problème :-) Les problemes des hommes sont plus grand que l'humanite :o) Je ne sais meme pas si le rate-limiting est une bonne idee au fond, car elle permettrait en theorie d'empoisonner le cache bien plus facilement. Merci de la description, je regarde ça. = 8.8.8.8 se met donc a ne plus repondre a serveur X Attention, les rate-limiteurs existants dans les serveurs de noms répondent (technique dite SLIP), même lorsqu'ils limitent. Effectivement, quelques dig ANY isc.org @8.8.8.8 +edns=0 (3 ou 4) suffisent a trigger le rate-limiting. Mais visiblement, comme vous dites, le serveur ne timeout pas reellement comme semble le faire croire queryperf, mais il sleep (sans mauvais jeux de mots). Arnaud. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] Résolveurs DNS ouverts, les bons et les mauvais (Was: Auto hébergement
2013/7/1 Arnaud GRANAL serp...@gmail.com 2013/7/1 Stephane Bortzmeyer bortzme...@nic.fr On Mon, Jul 01, 2013 at 12:07:16PM +0300, Arnaud GRANAL serp...@gmail.com wrote [...] Effectivement. Il y a quand meme quelques bons clients qui racontent leur vie dans les records DNS ( dig axfr @ns12.zoneedit.com zonetransfer.me ) === robinwood.zonetransfer.me. 302 IN TXT Robin Wood A. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] Auto hébergement
On Mon, Jul 01, 2013 at 01:35:09PM +0200, Solarus sola...@ultrawaves.fr wrote a message of 21 lines which said: Mais j'ai quand même du mal à imager un SOA derrière une Freebox. Pas besoin d'imagination. Jusqu'en 2001 (2003 ?) plusieurs serveurs DNS de la racine étaient derrière des routeurs bien moins performants qu'une Freebox v6 :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] Résolveurs DNS ouverts, les bons et les mauvais (Was: Auto hébergement
On Mon, Jul 01, 2013 at 02:35:54PM +0300, Arnaud GRANAL serp...@gmail.com wrote a message of 198 lines which said: Mais n'est-il pas plus agreable pour le client de recevoir le bit TC (truncated reply) de la part du serveur sur toutes les queries douteuses plutot que de subir un rate-limit ou throttle ? Si. C'est exactement ce que fait SLIP :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Auto hébergement
2013/7/1 Solarus sola...@ultrawaves.fr Mais j'ai quand même du mal à imager un SOA derrière une Freebox. Surtout si il est accessible en IPv6, parce que depuis hier ou avant hier les abonnés Free ne peuvent plus se parler via leur IPv6.. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Auto hébergement
2013/7/1 MulX m...@aplu.fr 2013/7/1 Solarus sola...@ultrawaves.fr Mais j'ai quand même du mal à imager un SOA derrière une Freebox. Surtout si il est accessible en IPv6, parce que depuis hier ou avant hier les abonnés Free ne peuvent plus se parler via leur IPv6.. Ca fait un moment que l'IPv6 entre abonnés free ne passe pas... je l'ai constaté il y a près d'un an et demi déjà. Jérémy --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Auto hébergement
2013/7/1 Jeremy Monnet jmon...@gmail.com 2013/7/1 MulX m...@aplu.fr 2013/7/1 Solarus sola...@ultrawaves.fr Mais j'ai quand même du mal à imager un SOA derrière une Freebox. Surtout si il est accessible en IPv6, parce que depuis hier ou avant hier les abonnés Free ne peuvent plus se parler via leur IPv6.. Ca fait un moment que l'IPv6 entre abonnés free ne passe pas... je l'ai constaté il y a près d'un an et demi déjà. Jérémy Ah bon ? Chez moi ça fonctionnais encore très bien en début de semaine dernière, maintenant ça ne passe plus la révolution. Aymeric. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] IPv6 entre clients Free (Was: Auto hébergement
On Mon, Jul 01, 2013 at 02:37:52PM +0200, MulX m...@aplu.fr wrote a message of 34 lines which said: Chez moi ça fonctionnais encore très bien en début de semaine dernière, maintenant ça ne passe plus la révolution. Ça marche, entre mon accès Free à Paris 15 et un autre à Paris 19. FUD ? Problème temporaire ? 43 packets transmitted, 43 received, 0% packet loss, time 42065ms rtt min/avg/max/mdev = 24.508/26.134/47.536/3.421 ms --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Auto hébergement
2013-07-01T14:37:52+02:00, MulX m...@aplu.fr wrote: ../.. Chez moi ça fonctionnais encore très bien en début de semaine dernière, maintenant ça ne passe plus la révolution. De Freebox V5 à Freebox V5, ça refonctionne au moins depuis ce midi. :-) (Sud-Est ←→ Sud-Ouest) Salutations, -- Thibaud CANALE thican [at] thican [dot] net http://thican.net/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] IPv6 entre clients Free (Was: Auto hébergement
On Mon, Jul 01, 2013 at 03:37:36PM +0200, Stephane Bortzmeyer bortzme...@nic.fr wrote a message of 17 lines which said: Ça marche, entre mon accès Free à Paris 15 et un autre à Paris 19. FUD ? Problème temporaire ? Testé aussi avec des adresses quelconques trouvées par un collègue en utilisant Google (moi, je ne sais pas m'en servir). Elles marchent toutes. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] IPv6 entre clients Free (Was: Auto hébergement
On Mon, Jul 01, 2013 at 03:50:45PM +0200, Stephane Bortzmeyer bortzme...@nic.fr wrote a message of 15 lines which said: Testé aussi avec des adresses quelconques trouvées par un collègue en utilisant Google (moi, je ne sais pas m'en servir). Elles marchent toutes. Bon, en creusant davantage, il y a bien des adresses IPv6 chez Free (dans le 2a01:e00::/26) qui sont joignables depuis l'extérieur de Free mais pas depuis Free :-( Le traceroute stoppe immédiatement après la Freebox. Reste plus qu'à trouver le « pattern » commun à ces adresses... --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Re: IPv6 entre clients Free (Was: Auto hébergement
On Mon, Jul 1, 2013 at 3:37 PM, Stephane Bortzmeyer bortzme...@nic.frwrote: On Mon, Jul 01, 2013 at 02:37:52PM +0200, MulX m...@aplu.fr wrote a message of 34 lines which said: Chez moi ça fonctionnais encore très bien en début de semaine dernière, maintenant ça ne passe plus la révolution. Ça marche, entre mon accès Free à Paris 15 et un autre à Paris 19. FUD ? Problème temporaire ? 43 packets transmitted, 43 received, 0% packet loss, time 42065ms rtt min/avg/max/mdev = 24.508/26.134/47.536/3.421 ms Je suis sur Lyon, et ça ne fonctionne pas vers plein d'IPv6 free, nous venons de refaire un essai... non, pas du FUD Môssieur ! :-) Jérémy --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] IPv6 entre clients Free (Was: Auto hébergement
Le 1 juil. 2013 à 16:03, Stephane Bortzmeyer a écrit : On Mon, Jul 01, 2013 at 03:50:45PM +0200, Stephane Bortzmeyer bortzme...@nic.fr wrote a message of 15 lines which said: Testé aussi avec des adresses quelconques trouvées par un collègue en utilisant Google (moi, je ne sais pas m'en servir). Elles marchent toutes. Bon, en creusant davantage, il y a bien des adresses IPv6 chez Free (dans le 2a01:e00::/26) qui sont joignables depuis l'extérieur de Free mais pas depuis Free :-( Le traceroute stoppe immédiatement après la Freebox. Reste plus qu'à trouver le « pattern » commun à ces adresses... Même diagnostique, sur une 2a01:e35::/32 Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Vends : Cisco 2970G, Foundry, Dell PE2900
Bonjour la liste, J'ai quelques équipements dont je ne me sers plus. Si ça peut intéresser quelqu'un ? - 2 switches Gigabit : Cisco Catalyst 2970G (24 ports Gb) - 1 switch Gigabit : Foundry EdgeIron EIF-24G-A (24 ports Gb) - 2 x Serveurs Dell : PE2900 (8 emplacements Sata, Xeon, 4 Gb de RAM, raid-hard) Dispo par email pour toute question. Cordialement, Gaëtan Nexylan --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Stephane Bortzmeyer a écrit: Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html Il y a deux façons d'espionner le trafic : analyser sur le routeur et envoyer au maître espion une synthèse. Ou bien transmettre la totalité du trafic au maître qui pourra alors l'analyser. Il y a plus que deux façons. Dans ton article, il y a un sous-entendu que le routeur qui analyse les données est également celui qui les copie et qui les envoie au maître espion. Le problème de ça, c'est que à la périphérie tu as la puissance CPU (comparée à la bande passante à analyser) mais pas de bande passante et plus proche du cœur tu as la bande passante mais pas de CPU à sa taille. L'analyse et la transmission sont deux fonctions distinctes. On peut très bien imaginer un système ou l'analyse de fait à la périphérie (y compris jusqu'au niveau de la machinbox) et donne l'ordre à un autre routeur au niveau cœur ou distribution de transmettre les données. Ainsi on a accès à un grand nombre de processeurs (certes pas terribles, mais la somme de milliers d'entre eux est considérable) qui peuvent détecter la phrase Hey pt j'ai du plutonium enrichi, t'en veux et également à une bande passante plus proche du cœur, ou son utilisation se fait moins remarquer. De même, le déclencheur peut être d'une autre technologie que l'analyse en profondeur du paquet (visite de site web, etc). Dans ce cas (typique PRISM) il est encore plus intéressant de pourvoir capturer le flux IP complet et non pas seulement l'email. Dans l'espionnage de grand-papa, l'agent secret qui prend la photo du machin ultra confidentiel n'est pas forcément le même que celui qui passe le microfilm à la frontière du pays espionné. Je suggère que la question suivante serait plus appropriée: Dans quelle mesure un routeur de cœur de réseau peut-il participer à un système qui espionne le trafic ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Ca ne sert à rien d'expliquer à Stéphane. Il a sa petite idée dans la tête et rien ne lien en fera démordre. Pourtant je lui ai bien dit tout de suite après son premier mail que non seulement cela était possible, mais j'ai vu que cela se faisait. La solution consiste tout simplement à rajouter (à l'insu de l'utilisateur) dans la table de routage un masque d'adresse (le masque à surveiller) et le renvoyer vers une interface virtuelle qui forwarde tout le traffic reçu vers une adresse de collecte. Sur un routeur de coeur qui gère de l'ordre de quelque milliers de flots en parallèle, un tel flot additionnel passe totalement inaperçu et ça ne coupe pas cher en CPU. De plus l'interface virtuelle n'est compatibilisé ni dans le SNMP ni dans le netflow. Le rajout du masque d'adresse ce fait par un paquet ICMP oui un no de port qui trigger dans l'ASIC la backdoor. En réponse à cela je n'en ai récolté qu'une insinuation comme quoi je frimais. Comme si à mon âge j'ai encore besoin de frimer :-). troll Donc, répétons en choeur, oui le grand Stéphane Botzmeyer, a toujours raison, surtout quand il a tord :-) . Il n'ya pas plus sourd que les gens qui ne veulent pas entendre et qui sont persuadé qu'ils ont raison. Kv Le 1 juil. 2013 à 19:45, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Stephane Bortzmeyer a écrit: Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html Il y a deux façons d'espionner le trafic : analyser sur le routeur et envoyer au maître espion une synthèse. Ou bien transmettre la totalité du trafic au maître qui pourra alors l'analyser. Il y a plus que deux façons. Dans ton article, il y a un sous-entendu que le routeur qui analyse les données est également celui qui les copie et qui les envoie au maître espion. Le problème de ça, c'est que à la périphérie tu as la puissance CPU (comparée à la bande passante à analyser) mais pas de bande passante et plus proche du cœur tu as la bande passante mais pas de CPU à sa taille. L'analyse et la transmission sont deux fonctions distinctes. On peut très bien imaginer un système ou l'analyse de fait à la périphérie (y compris jusqu'au niveau de la machinbox) et donne l'ordre à un autre routeur au niveau cœur ou distribution de transmettre les données. Ainsi on a accès à un grand nombre de processeurs (certes pas terribles, mais la somme de milliers d'entre eux est considérable) qui peuvent détecter la phrase Hey pt j'ai du plutonium enrichi, t'en veux et également à une bande passante plus proche du cœur, ou son utilisation se fait moins remarquer. De même, le déclencheur peut être d'une autre technologie que l'analyse en profondeur du paquet (visite de site web, etc). Dans ce cas (typique PRISM) il est encore plus intéressant de pourvoir capturer le flux IP complet et non pas seulement l'email. Dans l'espionnage de grand-papa, l'agent secret qui prend la photo du machin ultra confidentiel n'est pas forcément le même que celui qui passe le microfilm à la frontière du pays espionné. Je suggère que la question suivante serait plus appropriée: Dans quelle mesure un routeur de cœur de réseau peut-il participer à un système qui espionne le trafic ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 01/07/2013 20:01, Kavé Salamatian a écrit : Ca ne sert à rien d'expliquer à Stéphane. Il a sa petite idée dans la tête et rien ne lien en fera démordre. Pourtant je lui ai bien dit tout de suite après son premier mail que non seulement cela était possible, mais j'ai vu que cela se faisait. La solution consiste tout simplement à rajouter (à l'insu de l'utilisateur) dans la table de routage un masque d'adresse (le masque à surveiller) et le renvoyer vers une interface virtuelle qui forwarde tout le traffic reçu vers une adresse de collecte. Sur un routeur de coeur qui gère de l'ordre de quelque milliers de flots en parallèle, un tel flot additionnel passe totalement inaperçu et ça ne coupe pas cher en CPU. De plus l'interface virtuelle n'est compatibilisé ni dans le SNMP ni dans le netflow. Le rajout du masque d'adresse ce fait par un paquet ICMP oui un no de port qui trigger dans l'ASIC la backdoor. En réponse à cela je n'en ai récolté qu'une insinuation comme quoi je frimais. Comme si à mon âge j'ai encore besoin de frimer :-). troll Donc, répétons en choeur, oui le grand Stéphane Botzmeyer, a toujours raison, surtout quand il a tord :-). Il n'ya pas plus sourd que les gens qui ne veulent pas entendre et qui sont persuadé qu'ils ont raison. Kv c'est bien bo. Quel marque le coeur de réseau ? cisco ? a+ Le 1 juil. 2013 à 19:45, Michel Pymic...@arneill-py.sacramento.ca.us a écrit : Stephane Bortzmeyer a écrit: Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html Il y a deux façons d'espionner le trafic : analyser sur le routeur et envoyer au maître espion une synthèse. Ou bien transmettre la totalité du trafic au maître qui pourra alors l'analyser. Il y a plus que deux façons. Dans ton article, il y a un sous-entendu que le routeur qui analyse les données est également celui qui les copie et qui les envoie au maître espion. Le problème de ça, c'est que à la périphérie tu as la puissance CPU (comparée à la bande passante à analyser) mais pas de bande passante et plus proche du cœur tu as la bande passante mais pas de CPU à sa taille. L'analyse et la transmission sont deux fonctions distinctes. On peut très bien imaginer un système ou l'analyse de fait à la périphérie (y compris jusqu'au niveau de la machinbox) et donne l'ordre à un autre routeur au niveau cœur ou distribution de transmettre les données. Ainsi on a accès à un grand nombre de processeurs (certes pas terribles, mais la somme de milliers d'entre eux est considérable) qui peuvent détecter la phrase Hey pt j'ai du plutonium enrichi, t'en veux et également à une bande passante plus proche du cœur, ou son utilisation se fait moins remarquer. De même, le déclencheur peut être d'une autre technologie que l'analyse en profondeur du paquet (visite de site web, etc). Dans ce cas (typique PRISM) il est encore plus intéressant de pourvoir capturer le flux IP complet et non pas seulement l'email. Dans l'espionnage de grand-papa, l'agent secret qui prend la photo du machin ultra confidentiel n'est pas forcément le même que celui qui passe le microfilm à la frontière du pays espionné. Je suggère que la question suivante serait plus appropriée: Dans quelle mesure un routeur de cœur de réseau peut-il participer à un système qui espionne le trafic ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On 1 Jul 2013, at 19:01, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Pourtant je lui ai bien dit tout de suite après son premier mail que non seulement cela était possible, IMHO - l'interception que tu décris est possible, et en pratique ne causerait que quelques bugs a de plus dans l'OS du routeur :-) mais j'ai vu que cela se faisait. Mais la', tu en as dit trop ou pas assez ... Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
bon dsl si je dis des bétise, je ss encore au lycéé, donc bon je connai pas tout ce que vs parlez, mais sa m'étonerai que vs en sachiez bcp + que moi. franchemant, fo au moins étre ingénieur pour savoir ce ke fait un routeur, alors arréter de vous la pétez a tt conanitre, lol. en fait, ya stéphane blogmeyer ki a eu des info anonymous (jadore ces mecs lol, mon réve c'st de les rejoindre si je suis assez bon, fo faire quels études pour ça? X)) enfin comme wikipedia vous savez, le site de julien assange le chef des anonymous, donc il a eu des infos top secrétes kom koi les routeurs nous espionnaint pour le fbi ou jsé pas koi, et personne le croit. vs saver ce que je crois? vs etes juste jaloux, lol! jvous laisse, ma mère fait chiez pour ke je laisse l'ordi a ma seur. Le 1 juillet 2013 20:01, Kavé Salamatian kave.salamat...@univ-savoie.fr a écrit : Ca ne sert à rien d'expliquer à Stéphane. Il a sa petite idée dans la tête et rien ne lien en fera démordre. Pourtant je lui ai bien dit tout de suite après son premier mail que non seulement cela était possible, mais j'ai vu que cela se faisait. La solution consiste tout simplement à rajouter (à l'insu de l'utilisateur) dans la table de routage un masque d'adresse (le masque à surveiller) et le renvoyer vers une interface virtuelle qui forwarde tout le traffic reçu vers une adresse de collecte. Sur un routeur de coeur qui gère de l'ordre de quelque milliers de flots en parallèle, un tel flot additionnel passe totalement inaperçu et ça ne coupe pas cher en CPU. De plus l'interface virtuelle n'est compatibilisé ni dans le SNMP ni dans le netflow. Le rajout du masque d'adresse ce fait par un paquet ICMP oui un no de port qui trigger dans l'ASIC la backdoor. En réponse à cela je n'en ai récolté qu'une insinuation comme quoi je frimais. Comme si à mon âge j'ai encore besoin de frimer :-). troll Donc, répétons en choeur, oui le grand Stéphane Botzmeyer, a toujours raison, surtout quand il a tord :-) . Il n'ya pas plus sourd que les gens qui ne veulent pas entendre et qui sont persuadé qu'ils ont raison. Kv Le 1 juil. 2013 à 19:45, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Stephane Bortzmeyer a écrit: Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html Il y a deux façons d'espionner le trafic : analyser sur le routeur et envoyer au maître espion une synthèse. Ou bien transmettre la totalité du trafic au maître qui pourra alors l'analyser. Il y a plus que deux façons. Dans ton article, il y a un sous-entendu que le routeur qui analyse les données est également celui qui les copie et qui les envoie au maître espion. Le problème de ça, c'est que à la périphérie tu as la puissance CPU (comparée à la bande passante à analyser) mais pas de bande passante et plus proche du cœur tu as la bande passante mais pas de CPU à sa taille. L'analyse et la transmission sont deux fonctions distinctes. On peut très bien imaginer un système ou l'analyse de fait à la périphérie (y compris jusqu'au niveau de la machinbox) et donne l'ordre à un autre routeur au niveau cœur ou distribution de transmettre les données. Ainsi on a accès à un grand nombre de processeurs (certes pas terribles, mais la somme de milliers d'entre eux est considérable) qui peuvent détecter la phrase Hey pt j'ai du plutonium enrichi, t'en veux et également à une bande passante plus proche du cœur, ou son utilisation se fait moins remarquer. De même, le déclencheur peut être d'une autre technologie que l'analyse en profondeur du paquet (visite de site web, etc). Dans ce cas (typique PRISM) il est encore plus intéressant de pourvoir capturer le flux IP complet et non pas seulement l'email. Dans l'espionnage de grand-papa, l'agent secret qui prend la photo du machin ultra confidentiel n'est pas forcément le même que celui qui passe le microfilm à la frontière du pays espionné. Je suggère que la question suivante serait plus appropriée: Dans quelle mesure un routeur de cœur de réseau peut-il participer à un système qui espionne le trafic ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On 01/07/2013 20:15, Thomas Mangin wrote: On 1 Jul 2013, at 19:01, Kavé Salamatiankave.salamat...@univ-savoie.fr wrote: Pourtant je lui ai bien dit tout de suite après son premier mail que non seulement cela était possible, IMHO - l'interception que tu décris est possible, et en pratique ne causerait que quelques bugs a de plus dans l'OS du routeur :-) mais j'ai vu que cela se faisait. Mais la', tu en as dit trop ou pas assez ... bonsoir est ce que cela a un sens dans la discussion ? http://en.wikipedia.org/wiki/Steganography#Network (lecteur novice) j Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
We've got a winner here! Ca tombe plutôt bien que tu sois encore au lycée, tu peux encore rattraper ta grammaire et ton orthographe Pour ne faire que lire les échanges de ce groupe, je lis de l'intelligence et de la connaissance à chaque échange! (quand ca ne troll pas :) ) Le 1 juillet 2013 21:49, J34n K3v1n j34nk3...@gmail.com a écrit : bon dsl si je dis des bétise, je ss encore au lycéé, donc bon je connai pas tout ce que vs parlez, mais sa m'étonerai que vs en sachiez bcp + que moi. franchemant, fo au moins étre ingénieur pour savoir ce ke fait un routeur, alors arréter de vous la pétez a tt conanitre, lol. en fait, ya stéphane blogmeyer ki a eu des info anonymous (jadore ces mecs lol, mon réve c'st de les rejoindre si je suis assez bon, fo faire quels études pour ça? X)) enfin comme wikipedia vous savez, le site de julien assange le chef des anonymous, donc il a eu des infos top secrétes kom koi les routeurs nous espionnaint pour le fbi ou jsé pas koi, et personne le croit. vs saver ce que je crois? vs etes juste jaloux, lol! jvous laisse, ma mère fait chiez pour ke je laisse l'ordi a ma seur. Le 1 juillet 2013 20:01, Kavé Salamatian kave.salamat...@univ-savoie.fr a écrit : Ca ne sert à rien d'expliquer à Stéphane. Il a sa petite idée dans la tête et rien ne lien en fera démordre. Pourtant je lui ai bien dit tout de suite après son premier mail que non seulement cela était possible, mais j'ai vu que cela se faisait. La solution consiste tout simplement à rajouter (à l'insu de l'utilisateur) dans la table de routage un masque d'adresse (le masque à surveiller) et le renvoyer vers une interface virtuelle qui forwarde tout le traffic reçu vers une adresse de collecte. Sur un routeur de coeur qui gère de l'ordre de quelque milliers de flots en parallèle, un tel flot additionnel passe totalement inaperçu et ça ne coupe pas cher en CPU. De plus l'interface virtuelle n'est compatibilisé ni dans le SNMP ni dans le netflow. Le rajout du masque d'adresse ce fait par un paquet ICMP oui un no de port qui trigger dans l'ASIC la backdoor. En réponse à cela je n'en ai récolté qu'une insinuation comme quoi je frimais. Comme si à mon âge j'ai encore besoin de frimer :-). troll Donc, répétons en choeur, oui le grand Stéphane Botzmeyer, a toujours raison, surtout quand il a tord :-) . Il n'ya pas plus sourd que les gens qui ne veulent pas entendre et qui sont persuadé qu'ils ont raison. Kv Le 1 juil. 2013 à 19:45, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Stephane Bortzmeyer a écrit: Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html Il y a deux façons d'espionner le trafic : analyser sur le routeur et envoyer au maître espion une synthèse. Ou bien transmettre la totalité du trafic au maître qui pourra alors l'analyser. Il y a plus que deux façons. Dans ton article, il y a un sous-entendu que le routeur qui analyse les données est également celui qui les copie et qui les envoie au maître espion. Le problème de ça, c'est que à la périphérie tu as la puissance CPU (comparée à la bande passante à analyser) mais pas de bande passante et plus proche du cœur tu as la bande passante mais pas de CPU à sa taille. L'analyse et la transmission sont deux fonctions distinctes. On peut très bien imaginer un système ou l'analyse de fait à la périphérie (y compris jusqu'au niveau de la machinbox) et donne l'ordre à un autre routeur au niveau cœur ou distribution de transmettre les données. Ainsi on a accès à un grand nombre de processeurs (certes pas terribles, mais la somme de milliers d'entre eux est considérable) qui peuvent détecter la phrase Hey pt j'ai du plutonium enrichi, t'en veux et également à une bande passante plus proche du cœur, ou son utilisation se fait moins remarquer. De même, le déclencheur peut être d'une autre technologie que l'analyse en profondeur du paquet (visite de site web, etc). Dans ce cas (typique PRISM) il est encore plus intéressant de pourvoir capturer le flux IP complet et non pas seulement l'email. Dans l'espionnage de grand-papa, l'agent secret qui prend la photo du machin ultra confidentiel n'est pas forcément le même que celui qui passe le microfilm à la frontière du pays espionné. Je suggère que la question suivante serait plus appropriée: Dans quelle mesure un routeur de cœur de réseau peut-il participer à un système qui espionne le trafic ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[TECH] Re: [FRnOG] [MISC] Un routeur de cur de réseau peut-il espionner le trafic ?
Unsub peut être ? On Mon, 2013-07-01 at 21:49 +0200, J34n K3v1n wrote: bon dsl si je dis des bétise, je ss encore au lycéé, donc bon je connai pas tout ce que vs parlez, mais sa m'étonerai que vs en sachiez bcp + que moi. franchemant, fo au moins étre ingénieur pour savoir ce ke fait un routeur, alors arréter de vous la pétez a tt conanitre, lol. en fait, ya stéphane blogmeyer ki a eu des info anonymous (jadore ces mecs lol, mon réve c'st de les rejoindre si je suis assez bon, fo faire quels études pour ça? X)) enfin comme wikipedia vous savez, le site de julien assange le chef des anonymous, donc il a eu des infos top secrétes kom koi les routeurs nous espionnaint pour le fbi ou jsé pas koi, et personne le croit. vs saver ce que je crois? vs etes juste jaloux, lol! jvous laisse, ma mère fait chiez pour ke je laisse l'ordi a ma seur. Le 1 juillet 2013 20:01, Kavé Salamatian kave.salamat...@univ-savoie.fr a écrit : Ca ne sert à rien d'expliquer à Stéphane. Il a sa petite idée dans la tête et rien ne lien en fera démordre. Pourtant je lui ai bien dit tout de suite après son premier mail que non seulement cela était possible, mais j'ai vu que cela se faisait. La solution consiste tout simplement à rajouter (à l'insu de l'utilisateur) dans la table de routage un masque d'adresse (le masque à surveiller) et le renvoyer vers une interface virtuelle qui forwarde tout le traffic reçu vers une adresse de collecte. Sur un routeur de coeur qui gère de l'ordre de quelque milliers de flots en parallèle, un tel flot additionnel passe totalement inaperçu et ça ne coupe pas cher en CPU. De plus l'interface virtuelle n'est compatibilisé ni dans le SNMP ni dans le netflow. Le rajout du masque d'adresse ce fait par un paquet ICMP oui un no de port qui trigger dans l'ASIC la backdoor. En réponse à cela je n'en ai récolté qu'une insinuation comme quoi je frimais. Comme si à mon âge j'ai encore besoin de frimer :-). troll Donc, répétons en choeur, oui le grand Stéphane Botzmeyer, a toujours raison, surtout quand il a tord :-) . Il n'ya pas plus sourd que les gens qui ne veulent pas entendre et qui sont persuadé qu'ils ont raison. Kv Le 1 juil. 2013 à 19:45, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Stephane Bortzmeyer a écrit: Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html Il y a deux façons d'espionner le trafic : analyser sur le routeur et envoyer au maître espion une synthèse. Ou bien transmettre la totalité du trafic au maître qui pourra alors l'analyser. Il y a plus que deux façons. Dans ton article, il y a un sous-entendu que le routeur qui analyse les données est également celui qui les copie et qui les envoie au maître espion. Le problème de ça, c'est que à la périphérie tu as la puissance CPU (comparée à la bande passante à analyser) mais pas de bande passante et plus proche du cœur tu as la bande passante mais pas de CPU à sa taille. L'analyse et la transmission sont deux fonctions distinctes. On peut très bien imaginer un système ou l'analyse de fait à la périphérie (y compris jusqu'au niveau de la machinbox) et donne l'ordre à un autre routeur au niveau cœur ou distribution de transmettre les données. Ainsi on a accès à un grand nombre de processeurs (certes pas terribles, mais la somme de milliers d'entre eux est considérable) qui peuvent détecter la phrase Hey pt j'ai du plutonium enrichi, t'en veux et également à une bande passante plus proche du cœur, ou son utilisation se fait moins remarquer. De même, le déclencheur peut être d'une autre technologie que l'analyse en profondeur du paquet (visite de site web, etc). Dans ce cas (typique PRISM) il est encore plus intéressant de pourvoir capturer le flux IP complet et non pas seulement l'email. Dans l'espionnage de grand-papa, l'agent secret qui prend la photo du machin ultra confidentiel n'est pas forcément le même que celui qui passe le microfilm à la frontière du pays espionné. Je suggère que la question suivante serait plus appropriée: Dans quelle mesure un routeur de cœur de réseau peut-il participer à un système qui espionne le trafic ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On Mon, Jul 01, 2013 at 09:59:07PM +0200, Gregory Bruneau gregory.brun...@gmail.com wrote a message of 337 lines which said: Ca tombe plutôt bien que tu sois encore au lycée, tu peux encore rattraper ta grammaire et ton orthographe Attention, Jean-Kevin est un pseudo (dit autrement, il joue un rôle, ne le prenez pas au premier degré). Dans la réalité, il est prof d'université, expert en réseaux, avec plein de publications, et il écrit dans le Monde. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [TECH] Re: [FRnOG] [MISC] Un routeur de cœur de réseau peut-il espionner le trafic ?
Clement Cavadore a écrit : Unsub peut être ? Boarf , il nous fait bien marrer ... On peut pas dire que JeanKev flood la liste. Une petite intervention de sa part de temps en temps, ca donne du baume au cœur ;) Ce que j'ai un peu plus de mal à déterminer , c'est combien de temps il met pour écrire ses conneries : non parce que c'est tout un art quand même ;) . @+ Christophe. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Ah ben désolé alors j'ai du mal avec le kikoolol :/ (écrire dans le Monde est une ref btw??? (désolé)) Le 1 juillet 2013 22:10, Stephane Bortzmeyer bortzme...@nic.fr a écrit : On Mon, Jul 01, 2013 at 09:59:07PM +0200, Gregory Bruneau gregory.brun...@gmail.com wrote a message of 337 lines which said: Ca tombe plutôt bien que tu sois encore au lycée, tu peux encore rattraper ta grammaire et ton orthographe Attention, Jean-Kevin est un pseudo (dit autrement, il joue un rôle, ne le prenez pas au premier degré). Dans la réalité, il est prof d'université, expert en réseaux, avec plein de publications, et il écrit dans le Monde. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
il est surtout très fatigué... a+ Le 01/07/2013 22:10, Stephane Bortzmeyer a écrit : On Mon, Jul 01, 2013 at 09:59:07PM +0200, Gregory Bruneau gregory.brun...@gmail.com wrote a message of 337 lines which said: Ca tombe plutôt bien que tu sois encore au lycée, tu peux encore rattraper ta grammaire et ton orthographe Attention, Jean-Kevin est un pseudo (dit autrement, il joue un rôle, ne le prenez pas au premier degré). Dans la réalité, il est prof d'université, expert en réseaux, avec plein de publications, et il écrit dans le Monde. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Quelqu'un de chez Online sur la ml ?
C'est pour du perso, désolé pour les autres. Un pote sysadmin a (au moins) 2 serveurs persos chez Online. Il a demandé la résiliation d'un des 2 serveurs et les 2 l'ont été. Le second étant une machine de backup, il a perdu toutes ses données (pas de backup offline :\). Le support lui a répondu que tout avait déjà été effacé. L'effacement à J+1 me surprend, je pense plutôt que le SC n'a pas envie de se prendre la tête. -- Guillaume Hilt --- Liste de diffusion du FRnOG http://www.frnog.org/