Re: [FRnOG] [TECH] Vlan native sur trunk dot1q cisco

[Radu-Adrian Feurdean]

On Fri, Feb 22, 2019, at 21:10, Michel Py wrote:
> Oui, mais il n'y a pas que dot1q à prendre en considération. Vieilles 

De nos jours, si. Sauf si tu as a faire avec quelqu'un qui parle couramment le 
grec ancien.

> versions de VTP, le fantôme d'ISL, les flash sont pleines de 

VTP ca peut deja etre une source d'emmerdes en lui-meme.
ISL on le commemore le 1er novembre (+/- 1 jour selon traditions). Ca n'existe 
plus dans une prod geree par un etre humain.

> mort-vivants qui ressortent les nuits de vendredi de pleine lune. S'il 

Malhereusement bon nombre d'entreprises n'ont pas grand chose en commun avec la 
hygiene... d'ou les cadavres au bout des cables.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Vlan native sur trunk dot1q cisco

[anto29]

> Déjà je crois que le mismatch de native vlan n’est pas recommandé.
> Donc essaie de repasser en 2010 de chaque côté.
Je n'ai pas compris ce que tu veux dire/faire ?

> Si tu fais un sh int vlan2010 sur le cat, il est bien up ?
Oui !

> Si non, tu es en mode vtp transparent donc as-tu bien ajouté le vlan 2010 
> dans la VLAN database du Cat ?
system mtu routing 1500
vtp mode transparent
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 10
 name VLAN10
!
vlan 20
 name VLAN20
!
vlan 30
 name VLAN30
!
vlan 2001

> Dernier point tu n’es pas obligé de faire un allowed sur le native vlan, mais 
> je ne pense pas que ça soit bloquant.
Avec ou sans cela ne change rien, j'avais déjà essayé.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Vlan native sur trunk dot1q cisco

[Lifo]

Hello la liste!

> vlan 30
> name VLAN30
> !
> vlan 2001

Je dis ca, je dis rien, mais 2001!=2010

Une piste?

—
Lifo.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Vlan native sur trunk dot1q cisco

[anto29]

Non... J'ai essayé plusieurs vlan 2001,2010... J'ai même poussé a faire 
200,201,11 mais le problème reste identique !!!

Le 23-Feb-2019 10:36:45 +0100, l...@lifo.fr a écrit:
> Hello la liste!
> 
> > vlan 30
> > name VLAN30
> > !
> > vlan 2001
> 
> Je dis ca, je dis rien, mais 2001!=2010
> 
> Une piste?
> 
> —
> Lifo.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Vlan native sur trunk dot1q cisco

[David Ponzone]

Tu peux renvoyer les morceaux de conf actuelle pertinents ?

David Ponzone



> Le 23 févr. 2019 à 10:39, ant...@mail.fr a écrit :
> 
> Non... J'ai essayé plusieurs vlan 2001,2010... J'ai même poussé a faire 
> 200,201,11 mais le problème reste identique !!!
> 
> Le 23-Feb-2019 10:36:45 +0100, l...@lifo.fr a écrit:
>> Hello la liste!
>> 
>>> vlan 30
>>> name VLAN30
>>> !
>>> vlan 2001
>> 
>> Je dis ca, je dis rien, mais 2001!=2010
>> 
>> Une piste?
>> 
>> —
>> Lifo.
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Vlan native sur trunk dot1q cisco

[anto29]

Voici la configuration avec un vlan native inférieur à 1000 (même si je ne 
crois que cela peut avoir une incidence...).
J'ai essayé toutes les combinaisons sur le switch et le router avec native sans 
native...

Switch :
vtp mode transparent
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 10
 name VLAN10
!
vlan 20
 name VLAN20
!
vlan 30
 name VLAN30
!
vlan 200,2010
!
interface GigabitEthernet0/1
 switchport trunk native vlan 200
 switchport trunk allowed vlan 10,20,30,200
 switchport mode trunk
 switchport nonegotiate
!
interface Vlan1
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip route-cache
 shutdown
 ntp disable
!
interface Vlan200
 ip address 192.168.200.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip route-cache
!

Router 
#Test 1 :
interface GigabitEthernet0/0.200
 encapsulation dot1Q 200 native
 ip address 192.168.200.200 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip route-cache
!

#Test 2:
interface GigabitEthernet0/0
 ip address 192.168.200.200 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip route-cache
!
interface GigabitEthernet0/0.10
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip route-cache
!
interface GigabitEthernet0/0.20
 encapsulation dot1Q 20 
ip address 192.168.20.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip route-cache


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Vends plateaux.

[Philippe Marrot]

Suite à un déménagement, vends ensemble de 17 plateaux 19" 1U de
différentes profondeurs.
80 € l'ensemble.
Enlevement Paris sud (Porte de Versailles).

PM.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Attaque sur les DNS ?

[Vincent Duvernet]

Bonjour,

Je viens de voir passer cet article :
https://www.ouest-france.fr/high-tech/internet/des-attaques-informatiques-massives-contre-des-noms-de-domaine-internet-6233756
Certains ont vu passer des faits concrets ?

Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Attaque sur les DNS ?

[Arnaud G.]

ils en parlent aussi ici :
https://www.huffingtonpost.fr/2019/02/22/une-vague-dattaques-informatiques-inedite-en-cours-dans-le-monde-entier_a_23676257/

pas d'info concrete pour le moment.

Le sam. 23 févr. 2019 à 14:30, Vincent Duvernet 
a écrit :

> Bonjour,
>
> Je viens de voir passer cet article :
>
> https://www.ouest-france.fr/high-tech/internet/des-attaques-informatiques-massives-contre-des-noms-de-domaine-internet-6233756
> Certains ont vu passer des faits concrets ?
>
> Vincent
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Attaque sur les DNS ?

[Romain]

Pour moi rien d'inhabituel si ce n'est l’envergure. Les journaux essaient
de faire cliquer.

Le sam. 23 févr. 2019 à 14:29, Vincent Duvernet 
a écrit :

> Bonjour,
>
> Je viens de voir passer cet article :
>
> https://www.ouest-france.fr/high-tech/internet/des-attaques-informatiques-massives-contre-des-noms-de-domaine-internet-6233756
> Certains ont vu passer des faits concrets ?
>
> Vincent
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Attaque sur les DNS ?

[Willy MANGA]

Bonjour,

Le 23/02/2019 à 14:29, Vincent Duvernet a écrit :
> Bonjour,
> 
> Je viens de voir passer cet article :
> https://www.ouest-france.fr/high-tech/internet/des-attaques-informatiques-massives-contre-des-noms-de-domaine-internet-6233756
> Certains ont vu passer des faits concrets ?

Cet article [1] en anglais présentent les différentes attaques/menaces
recensées à ce sujet.

L'ICANN à ce sujet recommande à tout le monde de déployer DNSSEC [2]. Ce
n'est bien sur par l'outil ultime mais ça permet de rendre plus
difficile ces attaques...

1.
https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns-hijacking-attacks/

2. https://www.icann.org/news/announcement-2019-02-22-en


-- 
Willy Manga
@ongolaboy
https://ongola.blogspot.com/



signature.asc
Description: OpenPGP digital signature

[FRnOG] Re: [TECH] Attaque sur les DNS ?

[Stephane Bortzmeyer]

On Sat, Feb 23, 2019 at 04:09:39PM +0100,
 Willy MANGA  wrote 
 a message of 73 lines which said:

> Cet article [1] en anglais présentent les différentes attaques/menaces
> recensées à ce sujet.
> 
> L'ICANN à ce sujet recommande à tout le monde de déployer DNSSEC [2]. Ce
> n'est bien sur par l'outil ultime mais ça permet de rendre plus
> difficile ces attaques...

Merci d'apporter des éléments concrets et précis à une affaire sur
laquelle le grand n'importe quoi sensationnaliste règne, en effet

Je recommande moi aussi l'article de Krebs. Et je cite Heat Miser :
« c’est la merde mais pas plus que d’habitude ».

Leçons à en tirer :

- le problème est connu depuis au moins 2013 (attaque SEA sur le New
York Times) mais personne n'a rien fait (classique en sécurité)

- après des années passées à dormir, tout le monde se réveille en mode
panique (classique en sécurité)

- DNSSEC est dépoyé depuis plus de dix ans mais il y a toujours des
gens qui ne l'ont pas déployé (classique en sécurité)

- les gens ne se réveillent pas quand on argumente de façon posée mais
quand on raconte en mode film hollywoodien (le communiqué de l'ICANN),
ça marche (classique en sécurité)

Allez, des lectures positives, vous m'implémenterez toutes ces
recommandations la semaine prochaine :

https://www.ssi.gouv.fr/guide/bonnes-pratiques-pour-lacquisition-et-lexploitation-de-noms-de-domaine/

https://www.afnic.fr/fr/ressources/publications/dossiers-thematiques/securiser-la-gestion-des-noms-de-domaine.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Attaque sur les DNS ?

[Bill Woodcock]

> On Feb 23, 2019, at 8:33 AM, Stephane Bortzmeyer  wrote:
> 
> Merci d'apporter des éléments concrets et précis à une affaire sur
> laquelle le grand n'importe quoi sensationnaliste règne, en effet
> 
> Je recommande moi aussi l'article de Krebs.

Bien que la plupart des cibles de l'attaque ne soient pas en mesure d'en 
parler, je peux parler au nom de PCH, si quelqu'un a des questions à propos de 
ces attaques.

-Bill



signature.asc
Description: Message signed with OpenPGP

[FRnOG] [JOBS] Ça recrute chez Orange

[Pierre Emeriaud]

Hello

Un poste[0] d'admin réseau confirmé est ouvert dans mon équipe de 20
personnes chez Orange, à Cesson-Sévigné à coté de Rennes, pour
remplacer un départ.

Il s'agit d'exploiter le réseau backbone français d'Orange Business
Services, réseau entreprise orienté services, avec de forts
engagements sur la QS et la sécurité.

Au niveau techno, forcément le combo classique mpls/isis/ldp/bgp pour
fournir du l2 et l3vpn, avec un peu de rsvp pour le TE en attendant
SR, du PCE, de l'ORR et du vRR, le tout principalement sur du Junos
MX, avec du XR et de l'ios pour faire tenir le tout. Des gw options A,
B et C, je crois qu'il n'y a que D que nous n'avons pas, rajouter
quelques centaines de lns, du cgn et un bon paquet de catalyst pour
aggréger tout ça, on a de quoi s'amuser.

Il y a du legacy (atm, frame, xot) , comme on peut s'imaginer dans une
boite comme Orange, mais il ne sera pas demandé aux nouveaux arrivants
de monter en compétence sur ces technos, il y a déjà suffisamment à
faire sur l'actuel, sans parler du futur proche. Le poste est en
évolution constante, la preuve en est qu'un certain nombre de
collègues sont là depuis pas mal d'années (10+) vu qu'on ne s'ennuie
pas.

L'astreinte, une fois monté en compétence, tourne toutes les 7
semaines environ, avec deux personnes d'astreinte en //. Les deux
astreintes ont leur domaine de spécialité (backbone, service, etc),
mais peuvent se backuper mutuellement.

Sinon, NON y'a pas le salaire. J'y peux rien, si vous avez quelque
chose à y redire, postulez et venez le dire aux RH de visu. Si ça
troll sur le sujet, Philippe usera du banhammer (ou Juniper repair
tool - au choix).

Il n'est pas obligatoire d'avoir des RFC à son nom pour postuler, mais
si le coeur vous en dit, le poste le permet (genre [1] - Stéphane est
un ancien de mon équipe). Donc oui c'est de l'exploitation, mais on
est très proche de l'ingénierie, et il est clairement possible
d'influer sur le futur de votre job :)

Pas de full remote possible, mais télétravail occasionnel sans soucis.

N'hésitez pas à revenir vers moi si vous avez des questions, et pour
postuler, c'est en ligne en bas de l'annonce.


[0] https://orange.jobs/jobs/offer.do?joid=79281
[1] https://www.arkko.com/tools/allstats/stephanelitkowski.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] Cherche poste admin/ingé réseau

[Jonathan Roulé]

Bonjour,

Je suis actuellement en recherche d'un poste d'ingénieur ou
d'administrateur réseau dans le 29 (Finistère) voir dans le 22. J'occupe
actuellement un poste de chargé d'études infra dans une boîte de
comptabilité. Grosso modo, je fais de l'administration système (W7,
W2012R2, AD, SCCM...), de l'administration réseau (sonde IPANEMA, switch
Alcatel, Cisco et 3com, routeurs et points d'accès Wi-Fi Meraki...) ainsi
qu'un peu de gestion de projets (gestion de la partie informatique du
déménagement d'agences) et de prestations.

Je cherche à revenir vers le domaine qui m'intéresse le plus : le réseau au
sens large avec un intérêt pour le routage même si mon expérience est
encore faible en entreprise a ce niveau.

Ce serait plutôt pour un poste junior et je suis prêt à passer les
certifications (CCNA ou autres) si nécessaires avant prise de fonction.

C'est un peu une bouteille à la mer mais je me dis qu'il doit bien y avoir
quelques bretons sur cette liste ^^

Cordialement,

Jonathan Roulé

https://www.linkedin.com/in/jonathan-roulé-817971a8/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Vlan native sur trunk dot1q cisco

[anto29]

Problem solved !! 

1) changement de quelques patch RJ douteux 
2) write erase + maj IOS sur tous les switch + maj IOS router
3) reboot de tous les équipements sur le chemin réseau 
4) reconf des switch
5) ping-pong OK ! 

Par contre je suis obligé de laisser le numéro de vlan dans le switchport trunk 
allowed vlan.

Sur le router que j'utilise l'interface ge0/0 ou ge0/0.xxx avec native cela 
fonctionne aussi. 

Et merci à vous tous...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Vlan native sur trunk dot1q cisco

[Michel Py]

> ant...@mail.fr
> Problem solved !! 
> 1) changement de quelques patch RJ douteux 
> 2) write erase + maj IOS sur tous les switch + maj IOS router

Il y a des gens sur cette liste qui ne croient pas les conneries que je raconte 
(à leur décharge, ils ont parfois raison).

Donc je répète :

> Michel Py a écrit :
> il n'y a pas que dot1q à prendre en considération. Vieilles versions de VTP, 
> le fantôme d'ISL,
> les flash sont pleines de mort-vivants qui ressortent les nuits de vendredi 
> de pleine lune.
> S'il n'y a pas besoin de 100 VLANs, c'est prudent de rester en-dessous de 
> 1000.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Vlan native sur trunk dot1q cisco

[Radu-Adrian Feurdean]

On Fri, Feb 22, 2019, at 21:10, Michel Py wrote:
> Oui, mais il n'y a pas que dot1q à prendre en considération. Vieilles 

De nos jours, si. Sauf si tu as a faire avec quelqu'un qui parle couramment le 
grec ancien.

> versions de VTP, le fantôme d'ISL, les flash sont pleines de 

VTP ca peut deja etre une source d'emmerdes en lui-meme.
ISL on le commemore le 1er novembre (+/- 1 jour selon traditions). Ca n'existe 
plus dans une prod geree par un etre humain.

> mort-vivants qui ressortent les nuits de vendredi de pleine lune. S'il 

Malhereusement bon nombre d'entreprises n'ont pas grand chose en commun avec la 
hygiene... d'ou les cadavres au bout des cables.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Vlan native sur trunk dot1q cisco

[anto29]

> Déjà je crois que le mismatch de native vlan n’est pas recommandé.
> Donc essaie de repasser en 2010 de chaque côté.
Je n'ai pas compris ce que tu veux dire/faire ?

> Si tu fais un sh int vlan2010 sur le cat, il est bien up ?
Oui !

> Si non, tu es en mode vtp transparent donc as-tu bien ajouté le vlan 2010 
> dans la VLAN database du Cat ?
system mtu routing 1500
vtp mode transparent
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 10
 name VLAN10
!
vlan 20
 name VLAN20
!
vlan 30
 name VLAN30
!
vlan 2001

> Dernier point tu n’es pas obligé de faire un allowed sur le native vlan, mais 
> je ne pense pas que ça soit bloquant.
Avec ou sans cela ne change rien, j'avais déjà essayé.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Vlan native sur trunk dot1q cisco

[Lifo]

Hello la liste!

> vlan 30
> name VLAN30
> !
> vlan 2001

Je dis ca, je dis rien, mais 2001!=2010

Une piste?

—
Lifo.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Vlan native sur trunk dot1q cisco

[anto29]

Non... J'ai essayé plusieurs vlan 2001,2010... J'ai même poussé a faire 
200,201,11 mais le problème reste identique !!!

Le 23-Feb-2019 10:36:45 +0100, l...@lifo.fr a écrit:
> Hello la liste!
> 
> > vlan 30
> > name VLAN30
> > !
> > vlan 2001
> 
> Je dis ca, je dis rien, mais 2001!=2010
> 
> Une piste?
> 
> —
> Lifo.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Vlan native sur trunk dot1q cisco

[David Ponzone]

Tu peux renvoyer les morceaux de conf actuelle pertinents ?

David Ponzone



> Le 23 févr. 2019 à 10:39, ant...@mail.fr a écrit :
> 
> Non... J'ai essayé plusieurs vlan 2001,2010... J'ai même poussé a faire 
> 200,201,11 mais le problème reste identique !!!
> 
> Le 23-Feb-2019 10:36:45 +0100, l...@lifo.fr a écrit:
>> Hello la liste!
>> 
>>> vlan 30
>>> name VLAN30
>>> !
>>> vlan 2001
>> 
>> Je dis ca, je dis rien, mais 2001!=2010
>> 
>> Une piste?
>> 
>> —
>> Lifo.
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Vlan native sur trunk dot1q cisco

[anto29]

Voici la configuration avec un vlan native inférieur à 1000 (même si je ne 
crois que cela peut avoir une incidence...).
J'ai essayé toutes les combinaisons sur le switch et le router avec native sans 
native...

Switch :
vtp mode transparent
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 10
 name VLAN10
!
vlan 20
 name VLAN20
!
vlan 30
 name VLAN30
!
vlan 200,2010
!
interface GigabitEthernet0/1
 switchport trunk native vlan 200
 switchport trunk allowed vlan 10,20,30,200
 switchport mode trunk
 switchport nonegotiate
!
interface Vlan1
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip route-cache
 shutdown
 ntp disable
!
interface Vlan200
 ip address 192.168.200.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip route-cache
!

Router 
#Test 1 :
interface GigabitEthernet0/0.200
 encapsulation dot1Q 200 native
 ip address 192.168.200.200 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip route-cache
!

#Test 2:
interface GigabitEthernet0/0
 ip address 192.168.200.200 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip route-cache
!
interface GigabitEthernet0/0.10
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip route-cache
!
interface GigabitEthernet0/0.20
 encapsulation dot1Q 20 
ip address 192.168.20.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip route-cache


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Vends plateaux.

[Philippe Marrot]

Suite à un déménagement, vends ensemble de 17 plateaux 19" 1U de
différentes profondeurs.
80 € l'ensemble.
Enlevement Paris sud (Porte de Versailles).

PM.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Attaque sur les DNS ?

[Vincent Duvernet]

Bonjour,

Je viens de voir passer cet article :
https://www.ouest-france.fr/high-tech/internet/des-attaques-informatiques-massives-contre-des-noms-de-domaine-internet-6233756
Certains ont vu passer des faits concrets ?

Vincent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Attaque sur les DNS ?

[Arnaud G.]

ils en parlent aussi ici :
https://www.huffingtonpost.fr/2019/02/22/une-vague-dattaques-informatiques-inedite-en-cours-dans-le-monde-entier_a_23676257/

pas d'info concrete pour le moment.

Le sam. 23 févr. 2019 à 14:30, Vincent Duvernet 
a écrit :

> Bonjour,
>
> Je viens de voir passer cet article :
>
> https://www.ouest-france.fr/high-tech/internet/des-attaques-informatiques-massives-contre-des-noms-de-domaine-internet-6233756
> Certains ont vu passer des faits concrets ?
>
> Vincent
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Attaque sur les DNS ?

[Romain]

Pour moi rien d'inhabituel si ce n'est l’envergure. Les journaux essaient
de faire cliquer.

Le sam. 23 févr. 2019 à 14:29, Vincent Duvernet 
a écrit :

> Bonjour,
>
> Je viens de voir passer cet article :
>
> https://www.ouest-france.fr/high-tech/internet/des-attaques-informatiques-massives-contre-des-noms-de-domaine-internet-6233756
> Certains ont vu passer des faits concrets ?
>
> Vincent
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Attaque sur les DNS ?

[Willy MANGA]

Bonjour,

Le 23/02/2019 à 14:29, Vincent Duvernet a écrit :
> Bonjour,
> 
> Je viens de voir passer cet article :
> https://www.ouest-france.fr/high-tech/internet/des-attaques-informatiques-massives-contre-des-noms-de-domaine-internet-6233756
> Certains ont vu passer des faits concrets ?

Cet article [1] en anglais présentent les différentes attaques/menaces
recensées à ce sujet.

L'ICANN à ce sujet recommande à tout le monde de déployer DNSSEC [2]. Ce
n'est bien sur par l'outil ultime mais ça permet de rendre plus
difficile ces attaques...

1.
https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns-hijacking-attacks/

2. https://www.icann.org/news/announcement-2019-02-22-en


-- 
Willy Manga
@ongolaboy
https://ongola.blogspot.com/



signature.asc
Description: OpenPGP digital signature

[FRnOG] Re: [TECH] Attaque sur les DNS ?

[Stephane Bortzmeyer]

On Sat, Feb 23, 2019 at 04:09:39PM +0100,
 Willy MANGA  wrote 
 a message of 73 lines which said:

> Cet article [1] en anglais présentent les différentes attaques/menaces
> recensées à ce sujet.
> 
> L'ICANN à ce sujet recommande à tout le monde de déployer DNSSEC [2]. Ce
> n'est bien sur par l'outil ultime mais ça permet de rendre plus
> difficile ces attaques...

Merci d'apporter des éléments concrets et précis à une affaire sur
laquelle le grand n'importe quoi sensationnaliste règne, en effet

Je recommande moi aussi l'article de Krebs. Et je cite Heat Miser :
« c’est la merde mais pas plus que d’habitude ».

Leçons à en tirer :

- le problème est connu depuis au moins 2013 (attaque SEA sur le New
York Times) mais personne n'a rien fait (classique en sécurité)

- après des années passées à dormir, tout le monde se réveille en mode
panique (classique en sécurité)

- DNSSEC est dépoyé depuis plus de dix ans mais il y a toujours des
gens qui ne l'ont pas déployé (classique en sécurité)

- les gens ne se réveillent pas quand on argumente de façon posée mais
quand on raconte en mode film hollywoodien (le communiqué de l'ICANN),
ça marche (classique en sécurité)

Allez, des lectures positives, vous m'implémenterez toutes ces
recommandations la semaine prochaine :

https://www.ssi.gouv.fr/guide/bonnes-pratiques-pour-lacquisition-et-lexploitation-de-noms-de-domaine/

https://www.afnic.fr/fr/ressources/publications/dossiers-thematiques/securiser-la-gestion-des-noms-de-domaine.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Attaque sur les DNS ?

[Bill Woodcock]

> On Feb 23, 2019, at 8:33 AM, Stephane Bortzmeyer  wrote:
> 
> Merci d'apporter des éléments concrets et précis à une affaire sur
> laquelle le grand n'importe quoi sensationnaliste règne, en effet
> 
> Je recommande moi aussi l'article de Krebs.

Bien que la plupart des cibles de l'attaque ne soient pas en mesure d'en 
parler, je peux parler au nom de PCH, si quelqu'un a des questions à propos de 
ces attaques.

-Bill



signature.asc
Description: Message signed with OpenPGP

[FRnOG] [JOBS] Ça recrute chez Orange

[Pierre Emeriaud]

Hello

Un poste[0] d'admin réseau confirmé est ouvert dans mon équipe de 20
personnes chez Orange, à Cesson-Sévigné à coté de Rennes, pour
remplacer un départ.

Il s'agit d'exploiter le réseau backbone français d'Orange Business
Services, réseau entreprise orienté services, avec de forts
engagements sur la QS et la sécurité.

Au niveau techno, forcément le combo classique mpls/isis/ldp/bgp pour
fournir du l2 et l3vpn, avec un peu de rsvp pour le TE en attendant
SR, du PCE, de l'ORR et du vRR, le tout principalement sur du Junos
MX, avec du XR et de l'ios pour faire tenir le tout. Des gw options A,
B et C, je crois qu'il n'y a que D que nous n'avons pas, rajouter
quelques centaines de lns, du cgn et un bon paquet de catalyst pour
aggréger tout ça, on a de quoi s'amuser.

Il y a du legacy (atm, frame, xot) , comme on peut s'imaginer dans une
boite comme Orange, mais il ne sera pas demandé aux nouveaux arrivants
de monter en compétence sur ces technos, il y a déjà suffisamment à
faire sur l'actuel, sans parler du futur proche. Le poste est en
évolution constante, la preuve en est qu'un certain nombre de
collègues sont là depuis pas mal d'années (10+) vu qu'on ne s'ennuie
pas.

L'astreinte, une fois monté en compétence, tourne toutes les 7
semaines environ, avec deux personnes d'astreinte en //. Les deux
astreintes ont leur domaine de spécialité (backbone, service, etc),
mais peuvent se backuper mutuellement.

Sinon, NON y'a pas le salaire. J'y peux rien, si vous avez quelque
chose à y redire, postulez et venez le dire aux RH de visu. Si ça
troll sur le sujet, Philippe usera du banhammer (ou Juniper repair
tool - au choix).

Il n'est pas obligatoire d'avoir des RFC à son nom pour postuler, mais
si le coeur vous en dit, le poste le permet (genre [1] - Stéphane est
un ancien de mon équipe). Donc oui c'est de l'exploitation, mais on
est très proche de l'ingénierie, et il est clairement possible
d'influer sur le futur de votre job :)

Pas de full remote possible, mais télétravail occasionnel sans soucis.

N'hésitez pas à revenir vers moi si vous avez des questions, et pour
postuler, c'est en ligne en bas de l'annonce.


[0] https://orange.jobs/jobs/offer.do?joid=79281
[1] https://www.arkko.com/tools/allstats/stephanelitkowski.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] Cherche poste admin/ingé réseau

[Jonathan Roulé]

Bonjour,

Je suis actuellement en recherche d'un poste d'ingénieur ou
d'administrateur réseau dans le 29 (Finistère) voir dans le 22. J'occupe
actuellement un poste de chargé d'études infra dans une boîte de
comptabilité. Grosso modo, je fais de l'administration système (W7,
W2012R2, AD, SCCM...), de l'administration réseau (sonde IPANEMA, switch
Alcatel, Cisco et 3com, routeurs et points d'accès Wi-Fi Meraki...) ainsi
qu'un peu de gestion de projets (gestion de la partie informatique du
déménagement d'agences) et de prestations.

Je cherche à revenir vers le domaine qui m'intéresse le plus : le réseau au
sens large avec un intérêt pour le routage même si mon expérience est
encore faible en entreprise a ce niveau.

Ce serait plutôt pour un poste junior et je suis prêt à passer les
certifications (CCNA ou autres) si nécessaires avant prise de fonction.

C'est un peu une bouteille à la mer mais je me dis qu'il doit bien y avoir
quelques bretons sur cette liste ^^

Cordialement,

Jonathan Roulé

https://www.linkedin.com/in/jonathan-roulé-817971a8/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Vlan native sur trunk dot1q cisco

[anto29]

Problem solved !! 

1) changement de quelques patch RJ douteux 
2) write erase + maj IOS sur tous les switch + maj IOS router
3) reboot de tous les équipements sur le chemin réseau 
4) reconf des switch
5) ping-pong OK ! 

Par contre je suis obligé de laisser le numéro de vlan dans le switchport trunk 
allowed vlan.

Sur le router que j'utilise l'interface ge0/0 ou ge0/0.xxx avec native cela 
fonctionne aussi. 

Et merci à vous tous...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Vlan native sur trunk dot1q cisco

[Michel Py]

> ant...@mail.fr
> Problem solved !! 
> 1) changement de quelques patch RJ douteux 
> 2) write erase + maj IOS sur tous les switch + maj IOS router

Il y a des gens sur cette liste qui ne croient pas les conneries que je raconte 
(à leur décharge, ils ont parfois raison).

Donc je répète :

> Michel Py a écrit :
> il n'y a pas que dot1q à prendre en considération. Vieilles versions de VTP, 
> le fantôme d'ISL,
> les flash sont pleines de mort-vivants qui ressortent les nuits de vendredi 
> de pleine lune.
> S'il n'y a pas besoin de 100 VLANs, c'est prudent de rester en-dessous de 
> 1000.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/