Re: [FRnOG] [TECH] Etude WAF hébergeur

[Philippe Bourcier]

Re,

Non, fausse route.
Ici on parle réseau et sécurité, je cite la charte "la sécurité, la 
recherche et le fonctionnement d'Internet".


Le load-balancing, firewalling et WAF, c'est bien en majorité les 
équipes réseau/sécurité qui s'en occupent.
Et puis de toute façon, les choses sont de plus en plus liées, là où 
autrefois on trouvait du hardware dédié avec une CLI proprio, de plus en 
plus on trouve des Linux/BSD avec plusieurs langages/API dispos. Donc il 
va falloir s'y faire, le réseau et la sécu, ça devient de plus en plus 
du système et du code...


Après, des hébergeurs qui font du WAF devant des fermes qui tournent 
tout et n'importe quoi, je ne sais pas s'il y en a beaucoup et j'ai peur 
que ça ne filtre pas grand chose... ou alors des trucs tellement laids 
que le serveur est déjà rooté depuis longtemps :)



Cordialement,
Philippe Bourcier


On 2015-01-26 16:17, Pierre DOLIDON wrote:

Salut.
Il me semble que FRsAG soit un meilleur endroit pour parler de WAF...
Puisqu'il s'agit plus de problématique système que réseau ;)

Pierre.

Le 26/01/2015 13:48, Léo a écrit :

Bonjour,

Il faut voir ici le WAF comme un serveur frontal à une application, 
il

ne s'agit pas d'inspection du trafic de navigation des utilisateurs
d'une entreprise (ça pourrait, mais il y a d'autres solutions 
dédiées

à cet usage). En fait, un WAF s'appelait simplement reverse-proxy
(filtrant), avant que le marketing passe par là (bon, en théorie, ça
devait effectivement fonctionner à l'image d'un firewall L4, mais en
pratique, je n'ai jamais vu que le mode de fonctionnement en RP).

Donc oui, le WAF se place en rupture de session TLS. C'est son
certificat (au nom de l'application protégée) qui est présenté au
client final (s'il n'y a pas d'autre élément interceptant le trafic
sur la route).

Le 26 janvier 2015 10:03, Nathan Anthonypillai
 a écrit :

Salut,

Déchiffrer du TLS (SSL, c'est tabou, on en viendra tous à bout), 
c'est
toujours une entreprise risquée. Il n'y a (à ma connaissance) pas 
d'option
éthiquement acceptable dans ce domaine, à moins d'avoir le 
consentement

informé de toutes les parties concernées.

Attention, l'application web dispose toujours des informations en
clair, simplement la session TLS s'arrête sur un nouveau composant 
de
l'infra d'hébergement. On peut remettre une couche TLS entre le 
WAF/RP

et le serveur applicatif final, ceci dit.


Donc soit le WAF a la clé privée du serveur et peut le

déchiffrer/rechiffrer à la volée,


Ce n'est pertinent que dans les cas où la communication est 
chiffrée avec

la clé publique du serveur derrière le WAF.
Tu compromets donc le sécurité des communications de TOUTES les 
machines

contactant le serveur de façon chiffrée.
Dans ce cas autant se faire directement passer pour le serveur 
destination
interne dès le début (ça sera plus facile au niveau de la gestion 
des clés).




ou le WAF possède un serveur SSL (celui
que le client voit) il décrypte les informations et les renvoient 
au

travers d'une connexion sécurisée ou non.

Là, le WAF se fait passer (MITM) pour le serveur destination 
externe (e.g.

mabanqueenligne.com) en présentant une *fausse* clé publique.
*Attention* : si l'entité en charge du certificat X.509 du serveur
destination externe emploie un mécanisme d'audit (i.e. Google + 
Chrome)
gare aux répercussions, car il va vite se rendre compte qu'une 
entité non

autorisée se fait passer pour lui.
En général, on prend le second choix. Le premier est utilisé quand 
le

WAF reçoit une copie des flux (placé en observation, pas en
interception), ce qui peut être utile notamment pour le calibrage 
des

règles de détection au plus juste d'une application.



 Sachant que si on opte pour la première solution cela 
voudrait dire que
le WAF possède toutes les clées SSL des clients derrières, 
personnellement

je suis pas bien fan de l'idée ( votre opinion? )


C'est bien comme ça que ça marche, donc oui, le WAF devenant la tête
de pont de l'application, c'est bien lui qui présente les 
certificats.


Si les utilisateurs finaux sont d'accords, ça peut passer, mais il 
me
semble qu'il y a tout de même certaines communications qu'on ne 
doit pas
déchiffrer (à vérifier), à moins d'être habilité de ce pouvoir par 
le

législateur (no troll intended).

Cordialement,
Nathan ANTHONYPILLAI

Sur les différents produits que j'ai pu apercevoir de près ou de 
loin,

je pense à :
— apache en RP avec mod_security,
— DenyAll/rWeb
— nginx en RP avec le module Naxsi 
(https://github.com/nbs-system/naxsi)


Ma préférence va vers le dernier pour sa facilité de configuration 
(un

système de scoring à la manière des antispams).

Léo


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/2298865


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Orange et le mystère de la fibre

[David Ponzone]

On s’inscrit à la DVI et on revend de la Fibre Pro ?

Le 26 janv. 2015 à 18:09, slesimple  a écrit :

> En presque 20 ans on l'a eu a chaque fois cette espérance.
> Pour ma part, j'ai arrêté d’espérer un régulateur qui ne soit pas biaisé par 
> des considérations politico-financières, de carrière ou autres.
> Faut faire avec les moyens du bord, c'est tout.
> 
> Le 26/01/2015 18:02, David Ponzone a écrit :
>> Bon, le nouveau patron de l’ARCEP est un petit jeune brillant, espérons 
>> qu’il va clarifier tout ça :)
>> 
>> Le 26 janv. 2015 à 17:57, slesimple  a écrit :
>> 
>>> Le 26/01/2015 17:32, Pierre Emeriaud a écrit :
 Le 26 janvier 2015 17:24, David Ponzone  a écrit :
> S’il peut forcer l’adduction fibre par la biais d’OBS (en payant) et 
> qu’en suite, il peut accéder aux offres « pro » à 45€/mois, c’est qu’il y 
> a vraiment un problème de régulation
> dans ce pays.
 C'est pas le cas. Offres différentes, ingénieries différentes. Le
 medium est le même mais ça s'arrete là.
 
 
 --
 petrus
>>> Ce sont les même fibres oui, et elles arrivent toutes a un PM (la taille 
>>> minimale d'un PM doit etre de 300 lignes dixit l'ARCEP) avant d’être 
>>> raccordées à un splitter.
>>> 
>>> Du PM;
>>> - Soit l'offre est basée sur du PON et auquel cas a la FO est raccordée sur 
>>> le splitter qui va bien (l'offre FTTH GP de base);
>>> - Soit l'offre est une offre Point a Point et la continuité sera construite 
>>> vers le premier équipent actif du réseau (CEE/CELAN par ex).
>>> 
>>> 
>>> -- 
>>> 
>> 
> 
> 
> -- 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Orange et le mystère de la fibre

[slesimple]

En presque 20 ans on l'a eu a chaque fois cette espérance.
Pour ma part, j'ai arrêté d’espérer un régulateur qui ne soit pas biaisé 
par des considérations politico-financières, de carrière ou autres.

Faut faire avec les moyens du bord, c'est tout.

Le 26/01/2015 18:02, David Ponzone a écrit :
Bon, le nouveau patron de l’ARCEP est un petit jeune brillant, 
espérons qu’il va clarifier tout ça :)


Le 26 janv. 2015 à 17:57, slesimple > a écrit :



Le 26/01/2015 17:32, Pierre Emeriaud a écrit :

Le 26 janvier 2015 17:24, David Ponzone  a écrit :

S’il peut forcer l’adduction fibre par la biais d’OBS (en payant) et qu’en 
suite, il peut accéder aux offres « pro » à 45€/mois, c’est qu’il y a vraiment 
un problème de régulation
dans ce pays.

C'est pas le cas. Offres différentes, ingénieries différentes. Le
medium est le même mais ça s'arrete là.


--
petrus
Ce sont les même fibres oui, et elles arrivent toutes a un PM (la 
taille minimale d'un PM doit etre de 300 lignes dixit l'ARCEP) avant 
d’être raccordées à un splitter.


Du PM;
- Soit l'offre est basée sur du PON et auquel cas a la FO est 
raccordée sur le splitter qui va bien (l'offre FTTH GP de base);
- Soit l'offre est une offre Point a Point et la continuité sera 
construite vers le premier équipent actif du réseau (CEE/CELAN par ex).



--
 






--
View Sebastien LESIMPLE ✔'s profile on LinkedIn 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Orange et le mystère de la fibre

[David Ponzone]

Bon, le nouveau patron de l’ARCEP est un petit jeune brillant, espérons qu’il 
va clarifier tout ça :)

Le 26 janv. 2015 à 17:57, slesimple  a écrit :

> Le 26/01/2015 17:32, Pierre Emeriaud a écrit :
>> Le 26 janvier 2015 17:24, David Ponzone  a écrit :
>>> S’il peut forcer l’adduction fibre par la biais d’OBS (en payant) et qu’en 
>>> suite, il peut accéder aux offres « pro » à 45€/mois, c’est qu’il y a 
>>> vraiment un problème de régulation
>>> dans ce pays.
>> C'est pas le cas. Offres différentes, ingénieries différentes. Le
>> medium est le même mais ça s'arrete là.
>> 
>> 
>> --
>> petrus
> Ce sont les même fibres oui, et elles arrivent toutes a un PM (la taille 
> minimale d'un PM doit etre de 300 lignes dixit l'ARCEP) avant d’être 
> raccordées à un splitter.
> 
> Du PM;
> - Soit l'offre est basée sur du PON et auquel cas a la FO est raccordée sur 
> le splitter qui va bien (l'offre FTTH GP de base);
> - Soit l'offre est une offre Point a Point et la continuité sera construite 
> vers le premier équipent actif du réseau (CEE/CELAN par ex).
> 
> 
> -- 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Orange et le mystère de la fibre

[slesimple]

Le 26/01/2015 17:32, Pierre Emeriaud a écrit :

Le 26 janvier 2015 17:24, David Ponzone  a écrit :

S’il peut forcer l’adduction fibre par la biais d’OBS (en payant) et qu’en 
suite, il peut accéder aux offres « pro » à 45€/mois, c’est qu’il y a vraiment 
un problème de régulation
dans ce pays.

C'est pas le cas. Offres différentes, ingénieries différentes. Le
medium est le même mais ça s'arrete là.


--
petrus
Ce sont les même fibres oui, et elles arrivent toutes a un PM (la taille 
minimale d'un PM doit etre de 300 lignes dixit l'ARCEP) avant d’être 
raccordées à un splitter.


Du PM;
- Soit l'offre est basée sur du PON et auquel cas a la FO est raccordée 
sur le splitter qui va bien (l'offre FTTH GP de base);
- Soit l'offre est une offre Point a Point et la continuité sera 
construite vers le premier équipent actif du réseau (CEE/CELAN par ex).



--
View Sebastien LESIMPLE ✔'s profile on LinkedIn 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Orange et le mystère de la fibre

[ML frnog]

Le 26/01/2015 16:52, slesimple a écrit :
C'est pas parce-que de la capacité a été posée qu'elle est déjà 
utilisable.
Je reviens sur cette ligne, j'imagine que la capacité correspond plus à 
l'armoire fibre du bout de la rue (entre 10 et 20m de chez moi), et donc 
si des particuliers sont branchés dessus, j'ose penser qu'elle est 
utilisable ou me mettais-je le doigt dans l’œil bien profond ?


Après ce sont bien des techniciens ORANGE qui m'ont dit mettre 2 fibres 
en attente dans le trottoir ...
Pour ma part, j'ai constaté une violente baisse de débit et surtout de 
stabilité de ma connexion orange depuis la mise en place de la fibre, 
chose totalement invisible sur ma ligne FREE connectée au même DSLAM ...


mais bon, l'heure est à la fibre ...

Stéphane

Orange déclare les bâtiments raccordés comme éligibles mais dans la 
mesure ou la fibre est toujours dans la rue, votre domicile n'est pas 
éligible aux offres FO.


L'astuce, mais je parle pour du B2B uniquement, c'est de demander 
l'adduction du bâtiment à Orange.
Un "Ingénieur" Technico-commercial viendra evaluer les travaux restant 
a effectuer et enverra un devis.
Si le devis est accepté, les travaux seront réalisés et le bâtiment 
deviendra éligible a toutes les offres a base de FO.

CQFD

Le 26/01/2015 16:44, ML frnog a écrit :

Bonjour,

d'abord veuillez m'excuser, c'est l'un de mes premiers posts ici et 
je ne suis pas sûr de respecter parfaitement votre "netiquette" mais 
il me semble que cette ML (en MISC limite philosophique) est le lieu 
ou je peux évoquer ma problématique.
Je suis en télétravail sur Bordeaux et bénéficie d'un abonnement ADSL 
ORANGE PRO via mon employeur, il y a quelques mois des employés 
ORANGE travaillant devant ma maison m'ont appris qu'ils mettaient 2 
fibres en attentes pour moi devant chez moi et que je serais contacté 
par les commerciaux orange pour une migration. Ayant vu et suivie les 
travaux fibre dans ma ville (BEGLES), je savais qu'une armoire fibre 
avait été posée à 2 maisons de chez moi et attendais avec impatience 
ce genre d'annonce.
Sans nouvelles d'orange, j'ai moi même appelé plusieurs fois leurs 
services, et j'ai réussi dernièrement à obtenir un document de 
"migration" à remplir ... la surprise vient d'arriver avec ce message 
de réponse :
"Suite à votre demande et d'après l'étude de faisabilité de la fibre 
optique :  non éligibleEn conséquence votre commande ne peut être 
prise en compte"


Effarent non ? pourquoi s'amusent-t-ils à mettre des fibres dans les 
trottoirs alors ?

que me conseillez-vous ?
de les relancer ?
de couper l'abonnement pro et de prendre un abonnement à titre 
personnel directement en fibre mais je suis même pas sûr de cette 
possibilité et ne peux pas couper l'accès pro sans certitudes ... 
(J'ai aussi une ADSL FREE a titre personnel essentiellement pour la 
TV sur une seconde ligne téléphonique)

pleurer à chaudes larmes dans une boutique orange ?
prier le dieu FREE pour qu'il fibre Bègles ?

Merci pour vos conseils ...

Stéphane FibroDéprimé ...


---
Liste de diffusion du FRnOG
http://www.frnog.org/









---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Orange et le mystère de la fibre

[David Ponzone]

Le plus intéressant dans cette discussion est qu’on ait du mal à savoir où se 
situe la vérité sur les pratiques d’Orange.
Dans le cadre d’un opérateur régulé, sur un segment particulièrement sensible 
où on voit une offre fibre arriver à un tarif 10 ou 20 fois inférieur à la 
vraie offre B2B existante, et sachant que le client final est incapable de 
faire la différence entre les 2 (et d’ailleurs, 99% du temps, il n’y aura pas 
de différence remarquable entre les 2), ce flou est complètement délirant.
On sort du cadre du fil, je m’en excuse.

Le 26 janv. 2015 à 17:31, slesimple  a écrit :

> Le 26/01/2015 17:26, Clement Cavadore a écrit :
>> Hello,
>> 
>> On Mon, 2015-01-26 at 17:20 +0100, slesimple wrote:
>>> Demande d'adduction n'est pas commande de services.
>>> Celle-ci peut etre effectuée sans qu'un service ne soit commandé et
>>> livré de façon concomitante.
>>> Du coups une fois le bâtiment raccordé, les offre GP ou Pro deviennent
>>> disponibles.
>>> 
>>> Il faut appeler OBS et demander un étude de raccordement FO dans le
>>> cadre d'une installation de locaux pro par exemple.
>> Ce qui sous-entendrait que les câbles utilisés pour le FTTH GP seraient
>> les mêmes que ceux utilisés pour les offres B2B ?
>> J'ai comme un doute... :)
> C'est les mêmes.
> Le PON ou le P2P est fonction de l'offre et c'est géré au niveau du PM.
>> 
>> Qu'on me corrige si je dis de la merde, mais IMHO, son logement
>> deviendra éligible aux offres OBS, mais certainement pas à la Fibre by
>> Wanadoo (c)(r)(tm)
>>  
> 
> 
> -- 
> View Sebastien LESIMPLE ✔'s profile on LinkedIn 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Orange et le mystère de la fibre

[Pierre Emeriaud]

Le 26 janvier 2015 17:24, David Ponzone  a écrit :
> S’il peut forcer l’adduction fibre par la biais d’OBS (en payant) et qu’en 
> suite, il peut accéder aux offres « pro » à 45€/mois, c’est qu’il y a 
> vraiment un problème de régulation
> dans ce pays.

C'est pas le cas. Offres différentes, ingénieries différentes. Le
medium est le même mais ça s'arrete là.


--
petrus


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Orange et le mystère de la fibre

[slesimple]

Le 26/01/2015 17:26, Clement Cavadore a écrit :

Hello,

On Mon, 2015-01-26 at 17:20 +0100, slesimple wrote:

Demande d'adduction n'est pas commande de services.
Celle-ci peut etre effectuée sans qu'un service ne soit commandé et
livré de façon concomitante.
Du coups une fois le bâtiment raccordé, les offre GP ou Pro deviennent
disponibles.

Il faut appeler OBS et demander un étude de raccordement FO dans le
cadre d'une installation de locaux pro par exemple.

Ce qui sous-entendrait que les câbles utilisés pour le FTTH GP seraient
les mêmes que ceux utilisés pour les offres B2B ?
J'ai comme un doute... :)

C'est les mêmes.
Le PON ou le P2P est fonction de l'offre et c'est géré au niveau du PM.


Qu'on me corrige si je dis de la merde, mais IMHO, son logement
deviendra éligible aux offres OBS, mais certainement pas à la Fibre by
Wanadoo (c)(r)(tm)
  



--
View Sebastien LESIMPLE ✔'s profile on LinkedIn 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Orange et le mystère de la fibre

[Phil]

Salut

A tout hasard sur ce forum on en parle, je le sais car je deploie de la  
fibre ftth et mes avancements y sont pistés au jour le jour.


https://lafibre.info/gironde/acceleration-du-deploiement-ftth-sur-la-cub/48/




Le Mon, 26 Jan 2015 17:20:10 +0100, slesimple  a  
écrit:



Le 26/01/2015 17:04, Clement Cavadore a écrit :

On Mon, 2015-01-26 at 16:59 +0100, ML frnog wrote:

c'est valable dans le cas d'un domicile puisque télétravail ?
a qui doit-on faire ce type de demande "d'adduction du bâtiment" ?

Si tu es prêt à payer pour une offre B2B, oui.

Après, il est clair que si tu te lançes dans cette voie-là, il ne faudra
pas t'attendre à payer une offre Orange/Wanadoo GP (voire même livebox
"pro"), à quelques dizaines d'euros/mois pour 100 à 500 Mbit/s...
Il faudra rajouter un ou deux zéros à la facture mensuelle :-)


Nop pas nécessairement...
Demande d'adduction n'est pas commande de services.
Celle-ci peut etre effectuée sans qu'un service ne soit commandé et  
livré de façon concomitante.
Du coups une fois le bâtiment raccordé, les offre GP ou Pro deviennent  
disponibles.


Il faut appeler OBS et demander un étude de raccordement FO dans le  
cadre d'une installation de locaux pro par exemple.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Orange et le mystère de la fibre

[slesimple]

Ho ben c'est pas nouveau ca.
Un peu comme les CG qui font des RIP sans être déclarés opérateur et qui 
sont conçu et utilisables uniquement par les copains a qui on file en 
plus des subventions...


Le 26/01/2015 17:24, David Ponzone a écrit :

S’il peut forcer l’adduction fibre par la biais d’OBS (en payant) et qu’en 
suite, il peut accéder aux offres « pro » à 45€/mois, c’est qu’il y a vraiment 
un problème de régulation
dans ce pays.

Le 26 janv. 2015 à 17:20, slesimple  a écrit :


Le 26/01/2015 17:04, Clement Cavadore a écrit :

On Mon, 2015-01-26 at 16:59 +0100, ML frnog wrote:

c'est valable dans le cas d'un domicile puisque télétravail ?
a qui doit-on faire ce type de demande "d'adduction du bâtiment" ?

Si tu es prêt à payer pour une offre B2B, oui.

Après, il est clair que si tu te lançes dans cette voie-là, il ne faudra
pas t'attendre à payer une offre Orange/Wanadoo GP (voire même livebox
"pro"), à quelques dizaines d'euros/mois pour 100 à 500 Mbit/s...
Il faudra rajouter un ou deux zéros à la facture mensuelle :-)


Nop pas nécessairement...
Demande d'adduction n'est pas commande de services.
Celle-ci peut etre effectuée sans qu'un service ne soit commandé et livré de 
façon concomitante.
Du coups une fois le bâtiment raccordé, les offre GP ou Pro deviennent 
disponibles.

Il faut appeler OBS et demander un étude de raccordement FO dans le cadre d'une 
installation de locaux pro par exemple.

--
View Sebastien LESIMPLE ✔'s profile on LinkedIn 


---
Liste de diffusion du FRnOG
http://www.frnog.org/



--
View Sebastien LESIMPLE ✔'s profile on LinkedIn 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Orange et le mystère de la fibre

[Clement Cavadore]

Hello,

On Mon, 2015-01-26 at 17:20 +0100, slesimple wrote:
> Demande d'adduction n'est pas commande de services.
> Celle-ci peut etre effectuée sans qu'un service ne soit commandé et 
> livré de façon concomitante.
> Du coups une fois le bâtiment raccordé, les offre GP ou Pro deviennent 
> disponibles.
> 
> Il faut appeler OBS et demander un étude de raccordement FO dans le 
> cadre d'une installation de locaux pro par exemple.

Ce qui sous-entendrait que les câbles utilisés pour le FTTH GP seraient
les mêmes que ceux utilisés pour les offres B2B ? 
J'ai comme un doute... :)

Qu'on me corrige si je dis de la merde, mais IMHO, son logement
deviendra éligible aux offres OBS, mais certainement pas à la Fibre by
Wanadoo (c)(r)(tm). 
-- 
Clément Cavadore



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Orange et le mystère de la fibre

[David Ponzone]

S’il peut forcer l’adduction fibre par la biais d’OBS (en payant) et qu’en 
suite, il peut accéder aux offres « pro » à 45€/mois, c’est qu’il y a vraiment 
un problème de régulation
dans ce pays.

Le 26 janv. 2015 à 17:20, slesimple  a écrit :

> Le 26/01/2015 17:04, Clement Cavadore a écrit :
>> On Mon, 2015-01-26 at 16:59 +0100, ML frnog wrote:
>>> c'est valable dans le cas d'un domicile puisque télétravail ?
>>> a qui doit-on faire ce type de demande "d'adduction du bâtiment" ?
>> Si tu es prêt à payer pour une offre B2B, oui.
>> 
>> Après, il est clair que si tu te lançes dans cette voie-là, il ne faudra
>> pas t'attendre à payer une offre Orange/Wanadoo GP (voire même livebox
>> "pro"), à quelques dizaines d'euros/mois pour 100 à 500 Mbit/s...
>> Il faudra rajouter un ou deux zéros à la facture mensuelle :-)
>> 
> Nop pas nécessairement...
> Demande d'adduction n'est pas commande de services.
> Celle-ci peut etre effectuée sans qu'un service ne soit commandé et livré de 
> façon concomitante.
> Du coups une fois le bâtiment raccordé, les offre GP ou Pro deviennent 
> disponibles.
> 
> Il faut appeler OBS et demander un étude de raccordement FO dans le cadre 
> d'une installation de locaux pro par exemple.
> 
> -- 
> View Sebastien LESIMPLE ✔'s profile on LinkedIn 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Orange et le mystère de la fibre

[slesimple]

Le 26/01/2015 17:04, Clement Cavadore a écrit :

On Mon, 2015-01-26 at 16:59 +0100, ML frnog wrote:

c'est valable dans le cas d'un domicile puisque télétravail ?
a qui doit-on faire ce type de demande "d'adduction du bâtiment" ?

Si tu es prêt à payer pour une offre B2B, oui.

Après, il est clair que si tu te lançes dans cette voie-là, il ne faudra
pas t'attendre à payer une offre Orange/Wanadoo GP (voire même livebox
"pro"), à quelques dizaines d'euros/mois pour 100 à 500 Mbit/s...
Il faudra rajouter un ou deux zéros à la facture mensuelle :-)


Nop pas nécessairement...
Demande d'adduction n'est pas commande de services.
Celle-ci peut etre effectuée sans qu'un service ne soit commandé et 
livré de façon concomitante.
Du coups une fois le bâtiment raccordé, les offre GP ou Pro deviennent 
disponibles.


Il faut appeler OBS et demander un étude de raccordement FO dans le 
cadre d'une installation de locaux pro par exemple.


--
View Sebastien LESIMPLE ✔'s profile on LinkedIn 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Etude WAF hébergeur

[Pierre DOLIDON]

Salut.
Il me semble que FRsAG soit un meilleur endroit pour parler de WAF... 
Puisqu'il s'agit plus de problématique système que réseau ;)


Pierre.

Le 26/01/2015 13:48, Léo a écrit :

Bonjour,

Il faut voir ici le WAF comme un serveur frontal à une application, il
ne s'agit pas d'inspection du trafic de navigation des utilisateurs
d'une entreprise (ça pourrait, mais il y a d'autres solutions dédiées
à cet usage). En fait, un WAF s'appelait simplement reverse-proxy
(filtrant), avant que le marketing passe par là (bon, en théorie, ça
devait effectivement fonctionner à l'image d'un firewall L4, mais en
pratique, je n'ai jamais vu que le mode de fonctionnement en RP).

Donc oui, le WAF se place en rupture de session TLS. C'est son
certificat (au nom de l'application protégée) qui est présenté au
client final (s'il n'y a pas d'autre élément interceptant le trafic
sur la route).

Le 26 janvier 2015 10:03, Nathan Anthonypillai
 a écrit :

Salut,

Déchiffrer du TLS (SSL, c'est tabou, on en viendra tous à bout), c'est
toujours une entreprise risquée. Il n'y a (à ma connaissance) pas d'option
éthiquement acceptable dans ce domaine, à moins d'avoir le consentement
informé de toutes les parties concernées.

Attention, l'application web dispose toujours des informations en
clair, simplement la session TLS s'arrête sur un nouveau composant de
l'infra d'hébergement. On peut remettre une couche TLS entre le WAF/RP
et le serveur applicatif final, ceci dit.


Donc soit le WAF a la clé privée du serveur et peut le

déchiffrer/rechiffrer à la volée,


Ce n'est pertinent que dans les cas où la communication est chiffrée avec
la clé publique du serveur derrière le WAF.
Tu compromets donc le sécurité des communications de TOUTES les machines
contactant le serveur de façon chiffrée.
Dans ce cas autant se faire directement passer pour le serveur destination
interne dès le début (ça sera plus facile au niveau de la gestion des clés).



ou le WAF possède un serveur SSL (celui
que le client voit) il décrypte les informations et les renvoient au
travers d'une connexion sécurisée ou non.


Là, le WAF se fait passer (MITM) pour le serveur destination externe (e.g.
mabanqueenligne.com) en présentant une *fausse* clé publique.
*Attention* : si l'entité en charge du certificat X.509 du serveur
destination externe emploie un mécanisme d'audit (i.e. Google + Chrome)
gare aux répercussions, car il va vite se rendre compte qu'une entité non
autorisée se fait passer pour lui.

En général, on prend le second choix. Le premier est utilisé quand le
WAF reçoit une copie des flux (placé en observation, pas en
interception), ce qui peut être utile notamment pour le calibrage des
règles de détection au plus juste d'une application.




 Sachant que si on opte pour la première solution cela voudrait dire que
le WAF possède toutes les clées SSL des clients derrières, personnellement
je suis pas bien fan de l'idée ( votre opinion? )


C'est bien comme ça que ça marche, donc oui, le WAF devenant la tête
de pont de l'application, c'est bien lui qui présente les certificats.


Si les utilisateurs finaux sont d'accords, ça peut passer, mais il me
semble qu'il y a tout de même certaines communications qu'on ne doit pas
déchiffrer (à vérifier), à moins d'être habilité de ce pouvoir par le
législateur (no troll intended).

Cordialement,
Nathan ANTHONYPILLAI


Sur les différents produits que j'ai pu apercevoir de près ou de loin,
je pense à :
— apache en RP avec mod_security,
— DenyAll/rWeb
— nginx en RP avec le module Naxsi (https://github.com/nbs-system/naxsi)

Ma préférence va vers le dernier pour sa facilité de configuration (un
système de scoring à la manière des antispams).

Léo


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Orange et le mystère de la fibre

[Clement Cavadore]

On Mon, 2015-01-26 at 16:59 +0100, ML frnog wrote:
> c'est valable dans le cas d'un domicile puisque télétravail ?
> a qui doit-on faire ce type de demande "d'adduction du bâtiment" ?

Si tu es prêt à payer pour une offre B2B, oui.

Après, il est clair que si tu te lançes dans cette voie-là, il ne faudra
pas t'attendre à payer une offre Orange/Wanadoo GP (voire même livebox
"pro"), à quelques dizaines d'euros/mois pour 100 à 500 Mbit/s... 
Il faudra rajouter un ou deux zéros à la facture mensuelle :-)

-- 
Clément Cavadore


signature.asc
Description: This is a digitally signed message part

Re: [FRnOG] [MISC] Orange et le mystère de la fibre

[ML frnog]

Bonjour,

Le 26/01/2015 16:52, slesimple a écrit :
C'est pas parce-que de la capacité a été posée qu'elle est déjà 
utilisable.
Orange déclare les bâtiments raccordés comme éligibles mais dans la 
mesure ou la fibre est toujours dans la rue, votre domicile n'est pas 
éligible aux offres FO.


L'astuce, mais je parle pour du B2B uniquement, c'est de demander 
l'adduction du bâtiment à Orange.
Un "Ingénieur" Technico-commercial viendra evaluer les travaux restant 
a effectuer et enverra un devis.
Si le devis est accepté, les travaux seront réalisés et le bâtiment 
deviendra éligible a toutes les offres a base de FO.

CQFD

c'est valable dans le cas d'un domicile puisque télétravail ?
a qui doit-on faire ce type de demande "d'adduction du bâtiment" ?

Merci pour votre réponse ;)

Stéphane




Le 26/01/2015 16:44, ML frnog a écrit :

Bonjour,

d'abord veuillez m'excuser, c'est l'un de mes premiers posts ici et 
je ne suis pas sûr de respecter parfaitement votre "netiquette" mais 
il me semble que cette ML (en MISC limite philosophique) est le lieu 
ou je peux évoquer ma problématique.
Je suis en télétravail sur Bordeaux et bénéficie d'un abonnement ADSL 
ORANGE PRO via mon employeur, il y a quelques mois des employés 
ORANGE travaillant devant ma maison m'ont appris qu'ils mettaient 2 
fibres en attentes pour moi devant chez moi et que je serais contacté 
par les commerciaux orange pour une migration. Ayant vu et suivie les 
travaux fibre dans ma ville (BEGLES), je savais qu'une armoire fibre 
avait été posée à 2 maisons de chez moi et attendais avec impatience 
ce genre d'annonce.
Sans nouvelles d'orange, j'ai moi même appelé plusieurs fois leurs 
services, et j'ai réussi dernièrement à obtenir un document de 
"migration" à remplir ... la surprise vient d'arriver avec ce message 
de réponse :
"Suite à votre demande et d'après l'étude de faisabilité de la fibre 
optique :  non éligibleEn conséquence votre commande ne peut être 
prise en compte"


Effarent non ? pourquoi s'amusent-t-ils à mettre des fibres dans les 
trottoirs alors ?

que me conseillez-vous ?
de les relancer ?
de couper l'abonnement pro et de prendre un abonnement à titre 
personnel directement en fibre mais je suis même pas sûr de cette 
possibilité et ne peux pas couper l'accès pro sans certitudes ... 
(J'ai aussi une ADSL FREE a titre personnel essentiellement pour la 
TV sur une seconde ligne téléphonique)

pleurer à chaudes larmes dans une boutique orange ?
prier le dieu FREE pour qu'il fibre Bègles ?

Merci pour vos conseils ...

Stéphane FibroDéprimé ...


---
Liste de diffusion du FRnOG
http://www.frnog.org/







---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Orange et le mystère de la fibre

[David Ponzone]

Sébastien,

ne penses-tu pas qu’il y a également un problème de régulation ?
Peut-être que tant que l’offre Bitstream pour l’accès à la Fibre « Pro » n’est 
pas disponible, ils n’ont pas le droit de la rendre disponible partout ?

Le 26 janv. 2015 à 16:52, slesimple  a écrit :

> C'est pas parce-que de la capacité a été posée qu'elle est déjà utilisable.
> Orange déclare les bâtiments raccordés comme éligibles mais dans la mesure ou 
> la fibre est toujours dans la rue, votre domicile n'est pas éligible aux 
> offres FO.
> 
> L'astuce, mais je parle pour du B2B uniquement, c'est de demander l'adduction 
> du bâtiment à Orange.
> Un "Ingénieur" Technico-commercial viendra evaluer les travaux restant a 
> effectuer et enverra un devis.
> Si le devis est accepté, les travaux seront réalisés et le bâtiment deviendra 
> éligible a toutes les offres a base de FO.
> CQFD
> 
> Le 26/01/2015 16:44, ML frnog a écrit :
>> Bonjour,
>> 
>> d'abord veuillez m'excuser, c'est l'un de mes premiers posts ici et je ne 
>> suis pas sûr de respecter parfaitement votre "netiquette" mais il me semble 
>> que cette ML (en MISC limite philosophique) est le lieu ou je peux évoquer 
>> ma problématique.
>> Je suis en télétravail sur Bordeaux et bénéficie d'un abonnement ADSL ORANGE 
>> PRO via mon employeur, il y a quelques mois des employés ORANGE travaillant 
>> devant ma maison m'ont appris qu'ils mettaient 2 fibres en attentes pour moi 
>> devant chez moi et que je serais contacté par les commerciaux orange pour 
>> une migration. Ayant vu et suivie les travaux fibre dans ma ville (BEGLES), 
>> je savais qu'une armoire fibre avait été posée à 2 maisons de chez moi et 
>> attendais avec impatience ce genre d'annonce.
>> Sans nouvelles d'orange, j'ai moi même appelé plusieurs fois leurs services, 
>> et j'ai réussi dernièrement à obtenir un document de "migration" à remplir 
>> ... la surprise vient d'arriver avec ce message de réponse :
>> "Suite à votre demande et d'après l'étude de faisabilité de la fibre optique 
>> :  non éligibleEn conséquence votre commande ne peut être prise en compte"
>> 
>> Effarent non ? pourquoi s'amusent-t-ils à mettre des fibres dans les 
>> trottoirs alors ?
>> que me conseillez-vous ?
>> de les relancer ?
>> de couper l'abonnement pro et de prendre un abonnement à titre personnel 
>> directement en fibre mais je suis même pas sûr de cette possibilité et ne 
>> peux pas couper l'accès pro sans certitudes ... (J'ai aussi une ADSL FREE a 
>> titre personnel essentiellement pour la TV sur une seconde ligne 
>> téléphonique)
>>pleurer à chaudes larmes dans une boutique orange ?
>>prier le dieu FREE pour qu'il fibre Bègles ?
>> 
>> Merci pour vos conseils ...
>> 
>> Stéphane FibroDéprimé ...
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> -- 
> View Sebastien LESIMPLE ✔'s profile on LinkedIn 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Orange et le mystère de la fibre

[slesimple]

C'est pas parce-que de la capacité a été posée qu'elle est déjà utilisable.
Orange déclare les bâtiments raccordés comme éligibles mais dans la 
mesure ou la fibre est toujours dans la rue, votre domicile n'est pas 
éligible aux offres FO.


L'astuce, mais je parle pour du B2B uniquement, c'est de demander 
l'adduction du bâtiment à Orange.
Un "Ingénieur" Technico-commercial viendra evaluer les travaux restant a 
effectuer et enverra un devis.
Si le devis est accepté, les travaux seront réalisés et le bâtiment 
deviendra éligible a toutes les offres a base de FO.

CQFD

Le 26/01/2015 16:44, ML frnog a écrit :

Bonjour,

d'abord veuillez m'excuser, c'est l'un de mes premiers posts ici et je 
ne suis pas sûr de respecter parfaitement votre "netiquette" mais il 
me semble que cette ML (en MISC limite philosophique) est le lieu ou 
je peux évoquer ma problématique.
Je suis en télétravail sur Bordeaux et bénéficie d'un abonnement ADSL 
ORANGE PRO via mon employeur, il y a quelques mois des employés ORANGE 
travaillant devant ma maison m'ont appris qu'ils mettaient 2 fibres en 
attentes pour moi devant chez moi et que je serais contacté par les 
commerciaux orange pour une migration. Ayant vu et suivie les travaux 
fibre dans ma ville (BEGLES), je savais qu'une armoire fibre avait été 
posée à 2 maisons de chez moi et attendais avec impatience ce genre 
d'annonce.
Sans nouvelles d'orange, j'ai moi même appelé plusieurs fois leurs 
services, et j'ai réussi dernièrement à obtenir un document de 
"migration" à remplir ... la surprise vient d'arriver avec ce message 
de réponse :
"Suite à votre demande et d'après l'étude de faisabilité de la fibre 
optique :  non éligibleEn conséquence votre commande ne peut être 
prise en compte"


Effarent non ? pourquoi s'amusent-t-ils à mettre des fibres dans les 
trottoirs alors ?

que me conseillez-vous ?
de les relancer ?
de couper l'abonnement pro et de prendre un abonnement à titre 
personnel directement en fibre mais je suis même pas sûr de cette 
possibilité et ne peux pas couper l'accès pro sans certitudes ... 
(J'ai aussi une ADSL FREE a titre personnel essentiellement pour la TV 
sur une seconde ligne téléphonique)

pleurer à chaudes larmes dans une boutique orange ?
prier le dieu FREE pour qu'il fibre Bègles ?

Merci pour vos conseils ...

Stéphane FibroDéprimé ...


---
Liste de diffusion du FRnOG
http://www.frnog.org/



--
View Sebastien LESIMPLE ✔'s profile on LinkedIn 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Orange et le mystère de la fibre

[ML frnog]

Bonjour,

d'abord veuillez m'excuser, c'est l'un de mes premiers posts ici et je 
ne suis pas sûr de respecter parfaitement votre "netiquette" mais il me 
semble que cette ML (en MISC limite philosophique) est le lieu ou je 
peux évoquer ma problématique.
Je suis en télétravail sur Bordeaux et bénéficie d'un abonnement ADSL 
ORANGE PRO via mon employeur, il y a quelques mois des employés ORANGE 
travaillant devant ma maison m'ont appris qu'ils mettaient 2 fibres en 
attentes pour moi devant chez moi et que je serais contacté par les 
commerciaux orange pour une migration. Ayant vu et suivie les travaux 
fibre dans ma ville (BEGLES), je savais qu'une armoire fibre avait été 
posée à 2 maisons de chez moi et attendais avec impatience ce genre 
d'annonce.
Sans nouvelles d'orange, j'ai moi même appelé plusieurs fois leurs 
services, et j'ai réussi dernièrement à obtenir un document de 
"migration" à remplir ... la surprise vient d'arriver avec ce message de 
réponse :
"Suite à votre demande et d'après l'étude de faisabilité de la fibre 
optique :  non éligibleEn conséquence votre commande ne peut être prise 
en compte"


Effarent non ? pourquoi s'amusent-t-ils à mettre des fibres dans les 
trottoirs alors ?

que me conseillez-vous ?
de les relancer ?
de couper l'abonnement pro et de prendre un abonnement à titre personnel 
directement en fibre mais je suis même pas sûr de cette possibilité et 
ne peux pas couper l'accès pro sans certitudes ... (J'ai aussi une ADSL 
FREE a titre personnel essentiellement pour la TV sur une seconde ligne 
téléphonique)

pleurer à chaudes larmes dans une boutique orange ?
prier le dieu FREE pour qu'il fibre Bègles ?

Merci pour vos conseils ...

Stéphane FibroDéprimé ...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Etude WAF hébergeur

[Léo]

Bonjour,

Il faut voir ici le WAF comme un serveur frontal à une application, il
ne s'agit pas d'inspection du trafic de navigation des utilisateurs
d'une entreprise (ça pourrait, mais il y a d'autres solutions dédiées
à cet usage). En fait, un WAF s'appelait simplement reverse-proxy
(filtrant), avant que le marketing passe par là (bon, en théorie, ça
devait effectivement fonctionner à l'image d'un firewall L4, mais en
pratique, je n'ai jamais vu que le mode de fonctionnement en RP).

Donc oui, le WAF se place en rupture de session TLS. C'est son
certificat (au nom de l'application protégée) qui est présenté au
client final (s'il n'y a pas d'autre élément interceptant le trafic
sur la route).

Le 26 janvier 2015 10:03, Nathan Anthonypillai
 a écrit :
> Salut,
>
> Déchiffrer du TLS (SSL, c'est tabou, on en viendra tous à bout), c'est
> toujours une entreprise risquée. Il n'y a (à ma connaissance) pas d'option
> éthiquement acceptable dans ce domaine, à moins d'avoir le consentement
> informé de toutes les parties concernées.

Attention, l'application web dispose toujours des informations en
clair, simplement la session TLS s'arrête sur un nouveau composant de
l'infra d'hébergement. On peut remettre une couche TLS entre le WAF/RP
et le serveur applicatif final, ceci dit.

>
> Donc soit le WAF a la clé privée du serveur et peut le
>> déchiffrer/rechiffrer à la volée,
>
>
> Ce n'est pertinent que dans les cas où la communication est chiffrée avec
> la clé publique du serveur derrière le WAF.
> Tu compromets donc le sécurité des communications de TOUTES les machines
> contactant le serveur de façon chiffrée.
> Dans ce cas autant se faire directement passer pour le serveur destination
> interne dès le début (ça sera plus facile au niveau de la gestion des clés).
>
>
>> ou le WAF possède un serveur SSL (celui
>> que le client voit) il décrypte les informations et les renvoient au
>> travers d'une connexion sécurisée ou non.
>>
>
> Là, le WAF se fait passer (MITM) pour le serveur destination externe (e.g.
> mabanqueenligne.com) en présentant une *fausse* clé publique.
> *Attention* : si l'entité en charge du certificat X.509 du serveur
> destination externe emploie un mécanisme d'audit (i.e. Google + Chrome)
> gare aux répercussions, car il va vite se rendre compte qu'une entité non
> autorisée se fait passer pour lui.

En général, on prend le second choix. Le premier est utilisé quand le
WAF reçoit une copie des flux (placé en observation, pas en
interception), ce qui peut être utile notamment pour le calibrage des
règles de détection au plus juste d'une application.

>
>
>> Sachant que si on opte pour la première solution cela voudrait dire que
>> le WAF possède toutes les clées SSL des clients derrières, personnellement
>> je suis pas bien fan de l'idée ( votre opinion? )
>>

C'est bien comme ça que ça marche, donc oui, le WAF devenant la tête
de pont de l'application, c'est bien lui qui présente les certificats.

>
> Si les utilisateurs finaux sont d'accords, ça peut passer, mais il me
> semble qu'il y a tout de même certaines communications qu'on ne doit pas
> déchiffrer (à vérifier), à moins d'être habilité de ce pouvoir par le
> législateur (no troll intended).
>
> Cordialement,
> Nathan ANTHONYPILLAI
>

Sur les différents produits que j'ai pu apercevoir de près ou de loin,
je pense à :
— apache en RP avec mod_security,
— DenyAll/rWeb
— nginx en RP avec le module Naxsi (https://github.com/nbs-system/naxsi)

Ma préférence va vers le dernier pour sa facilité de configuration (un
système de scoring à la manière des antispams).

Léo


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Etude WAF hébergeur

[Fedotova, Claire Svetlana Four]

Bonjour - pour moi - ca va très bien, j'adhère :) 

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Clement Cavadore
Envoyé : lundi 26 janvier 2015 11:03
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Etude WAF hébergeur

On Mon, 2015-01-26 at 10:52 +0100, David Touitou wrote:
> J'ai lu "Etude Woman Acceptance Factor hébergeur".
> Donc je n'ai rien compris...

Idem :-)

-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[Colt Disclaimer]
This email is from an entity of the Colt group of companies. Colt Group S.A.,
K2 Building, Forte 1, 2a rue Albert Borschette, L-1246 Luxembourg, R.C.S.
B115679.  Corporate and contact information for our entities can be found at
http://colt.net/uk/en/Colt-Group-of-Companies/index.htm. Internet
communications are not secure and Colt does not accept responsibility for the
accurate transmission of this message. Content of this email or its
attachments is not legally or contractually binding unless expressly
previously agreed in writing by Colt


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Etude WAF hébergeur

[Clement Cavadore]

On Mon, 2015-01-26 at 10:52 +0100, David Touitou wrote:
> J'ai lu "Etude Woman Acceptance Factor hébergeur".
> Donc je n'ai rien compris...

Idem :-)

-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Etude WAF hébergeur

[Nathan Anthonypillai]

David,

Non tu n'es pas seul, dans mon cas ce fut en premier lieu "Wife Acceptance
Factor".

Le réveil est difficile le lundi...

Cordialement,
Nathan ANTHONYPILLAI

Le 26 janvier 2015 10:52, David Touitou  a écrit :

> Bonjour,
>
> je sais, c'est lundi seulement.
>
> > Objet: [FRnOG] [TECH] Etude WAF hébergeur
>
> J'ai lu "Etude Woman Acceptance Factor hébergeur".
> Donc je n'ai rien compris...
>
> Suis-je le seul ?
>
> David
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Etude WAF hébergeur

[David Touitou]

Bonjour,

je sais, c'est lundi seulement.

> Objet: [FRnOG] [TECH] Etude WAF hébergeur

J'ai lu "Etude Woman Acceptance Factor hébergeur".
Donc je n'ai rien compris...

Suis-je le seul ?

David


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Etude WAF hébergeur

[Dominique Rousseau]

Le Mon, Jan 26, 2015 at 09:23:08AM +0100, Quentin Mollard 
[quentinmollard...@gmail.com] a écrit:
[...]
> Sachant que si on opte pour la première solution cela voudrait dire que
> le WAF possède toutes les clées SSL des clients derrières, personnellement
> je suis pas bien fan de l'idée ( votre opinion? )

Si c'est un service "intégré" de l'hébergeur, tu as de toute façon la
clef privée des sites que tu héberges. Qu'elle soit posée sur un frontal
faisant du firewall applicatif, un load-balancer, un reverse-proxy TLS,
ou whatever, ça ne change pas grand chose, àmha.
Le problème de circulation de la clef privée ne se pose, je pense, que
si tu te positionnes comme service tiers protégeant un accès existant
(genre ce que fait Cloudfare, dans son domaine).

-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
21 rue Frédéric Petit - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Etude WAF hébergeur

[Nathan Anthonypillai]

Salut,

Déchiffrer du TLS (SSL, c'est tabou, on en viendra tous à bout), c'est
toujours une entreprise risquée. Il n'y a (à ma connaissance) pas d'option
éthiquement acceptable dans ce domaine, à moins d'avoir le consentement
informé de toutes les parties concernées.

Donc soit le WAF a la clé privée du serveur et peut le
> déchiffrer/rechiffrer à la volée,


Ce n'est pertinent que dans les cas où la communication est chiffrée avec
la clé publique du serveur derrière le WAF.
Tu compromets donc le sécurité des communications de TOUTES les machines
contactant le serveur de façon chiffrée.
Dans ce cas autant se faire directement passer pour le serveur destination
interne dès le début (ça sera plus facile au niveau de la gestion des clés).


> ou le WAF possède un serveur SSL (celui
> que le client voit) il décrypte les informations et les renvoient au
> travers d'une connexion sécurisée ou non.
>

Là, le WAF se fait passer (MITM) pour le serveur destination externe (e.g.
mabanqueenligne.com) en présentant une *fausse* clé publique.
*Attention* : si l'entité en charge du certificat X.509 du serveur
destination externe emploie un mécanisme d'audit (i.e. Google + Chrome)
gare aux répercussions, car il va vite se rendre compte qu'une entité non
autorisée se fait passer pour lui.


> Sachant que si on opte pour la première solution cela voudrait dire que
> le WAF possède toutes les clées SSL des clients derrières, personnellement
> je suis pas bien fan de l'idée ( votre opinion? )
>

Si les utilisateurs finaux sont d'accords, ça peut passer, mais il me
semble qu'il y a tout de même certaines communications qu'on ne doit pas
déchiffrer (à vérifier), à moins d'être habilité de ce pouvoir par le
législateur (no troll intended).

Cordialement,
Nathan ANTHONYPILLAI

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Etude WAF hébergeur

[Quentin Mollard]

Bonjour,
Je suis aujourd'hui alternant dans une entreprise proposant des services
d'hébergement à ses clients,et dans la continuité de la certification
PCI-DSS nous étudions des solutions de WAF afin de proposer ce service à
nos clients,( Requirement 6.6 de la certification).

De ce fait je voulais savoir si quelqu'un avait des informations
complémentaires/fais une étude de cas pour ce genre de service.

J'ai commencé à faire mes devoirs et :
Le WAF serait à priori en frontal devant les serveurs (comme un load
balancer), le soucis c'est qu'il faudrait pouvoir s'occuper du chiffrement
SSL.
Donc soit le WAF a la clé privée du serveur et peut le
déchiffrer/rechiffrer à la volée, ou le WAF possède un serveur SSL (celui
que le client voit) il décrypte les informations et les renvoient au
travers d'une connexion sécurisée ou non.
Sachant que si on opte pour la première solution cela voudrait dire que
le WAF possède toutes les clées SSL des clients derrières, personnellement
je suis pas bien fan de l'idée ( votre opinion? )

A priori je valoriserais une whitelist plus qu'une blacklist, mais un
mélange des deux types de sécurité pourrait être intéressant.
Le blacklist protège du passé et le whitelist du présent.
Le blacklist est idéal pour les attaques connus et les bot, mais il faut
savoir les attaques possibles, et notre connaissance étant limité nous ne
pouvons restreindre tout type d'attaque, quand au whitelist si on a une
bonne connaissance de l'input que l'utilisateur devra mettre cela sera
efficace mais on peut toujours tenter de le bypasser.

​Sinon sur les WAF en eux-même:
Du côtés Open source, je ne pense pas partir sur mod-security suite à des
soucis de performances pour un hébergeur, et je m'orientais plus pour Naxsi
(mais sous un cas de traffic important cela ne me semble pas forcément le
plus adapté non plus)

Ensuite reste les solutions commerciales(pour ne citer qu'elle :)
imperva,sonicwall,baraccuda,citrix,fortinet,f5...
Mais avoir un retour objectif dessus est assez difficile, du fait que ce
sont des solutions commerciales...

Donc si certaines personnes peuvent débattre avec moi du sujet, ou on
conduit une recherche similaire par le passé et m'aider ou juste pointer
vers des documents ou papiers pouvant m'aider je serais grandement
reconnaissant !

Bonne journée,

-- 
Cordialement,
MOLLARD Quentin,
Etudiant en Master Informatique,
à l'IM2AG , Université Joseph Fourier.
​​

---
Liste de diffusion du FRnOG
http://www.frnog.org/