[FRnOG] [BIZ] Revendeur de licences Broadcom

[Benoit Garcia]

Bonjour à tous,

Je cherche un revendeur Broadcom capable de répondre à des questions sur le
logiciel MegaRaid SafeStore, et potentiellement capable de me vendre des
licences derrière.
Le but est de faire de l'encryption at rest et de la destruction de données
sur des contrôleurs LSI 9260-8i.

Si vous vendez ça, ou si vous connaissez quelqu'un qui en vend, n'hésitez
pas à me contacter hors liste.
Je prend également les retours d'expérience sur le sujet.

Merci d'avance.
-- 
Cordialement,
Benoit Garcia

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ISCSI à travers fibre opérateur

[Benoit Garcia]

2017-09-13 10:34 GMT+02:00 Aladin FABIOUX :
> Bonjour,
Bonjour,

> Suite à une remarque pertinente d'un de nos consultants, nous remettons en 
> cause un montage ISCSI à travers une fibre opérateur. Je vous explique:
> Nous avons 2 sites reliés en fibre 1Gb chez Celeste (environ 8km). Cela 
> permet l'extension parfaite de notre réseau sur le site secondaire.
> A travers cette fibre transit la totalité de nos VLAN, ainsi qu'un réseau de 
> stockage ISCSI.
> Ce réseau de stockage nous sert à monter la baie SAN du site principal sur 
> l'ESX (de secours) du site secondaire. Ce réseau de stockage n'est utilisé 
> qu'en cas d'incident sur l'ESX principal, dans le cas où il faut démarrer les 
> VM à partir de l'ESX secondaire (donc à travers la fibre). Ma question est la 
> suivante:
Il n'y a pas de stockage sur le site de secours?

> * Est-ce que ce montage est sans risque ? Quelles incidences (négatives) ?
Est-ce que vous utilisez un MTU différent sur le réseau de stockage?
Si oui, il faut peut-être vérifier si les équipements réseaux savent
gérer plusieurs MTU.

Si non, il faudrait y songer. De mon expérience, les perfs sont
meilleures avec un MTU à 9000 et tous les paramètres qui vont bien
(tcp offload, redondance de liens, etc).
Mais ça fait quelques années que je n'y ai pas touché.

>
> Merci, j'espère que c'est assez clair.
>
> Concernant l'état de cet infra, évidement 2 ESX sur le site principal 
> règleraient le problème, mais ce n'est pas l'objet de ma question ;-)
Pourquoi ne pas mettre une réplique de la baie de stockage sur le site
de secours et configurer l'ESX de secours pour utiliser la réplique?
Au moins si le site principal tombe, le site de secours se suffit à
lui même, au moins de ce point de vue la.

>
> Aladin.

Benoit


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Obligation de notification des incidents de sécurité

[Benoit Garcia]

Bonjour,

2012/7/25 Guillaume Barrot guillaume.bar...@gmail.com:
 Donc même si Madame Michu ne sera pas concernée directement, son hébergeur
 si ...
Je pense que les opérateurs d'importance vitale visés par cette règle
sont ceux offrant des services _indispensables_ au fonctionnement du
pays ou à la survie des habitants.
J'en déduis que ces règles devraient s'appliquer aux distributeurs
d'eau ou d'électricité, aux banques (ainsi qu'aux plates-formes
d'échanges inter-bancaire) ou aux société possédant ou exploitant des
liaisons indispensable aux précédentes plutôt qu'aux hébergeurs grand
public.

-- 
Cdlt,
B. Garcia


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

[Benoit Garcia]

Bonjour,

2011/7/3 e-t172 e-t...@akegroup.org
 Il est un peu facile cet argument. Si les attaques ne se font pas par 
 connexion IP directe c'est justement parce que le pékin moyen (ou plutôt 
 devrais-je dire « victime moyenne ») a une box de FAI qui, justement, fait du 
 NAT et ne laisse donc pas passer par défaut les connexions entrantes.

Il est possible de bloquer les connexions entrantes sans faire du NAT.
Ca s'appelle du filtrage.
Voir à ce sujet la RFC 6204 (Basic Requirements for IPv6 Customer Edge
Routers) présentée ici il y a une paire de mois.


 À l'époque ou la plupart des gens avaient une adresse publique sur leur PC, 
 les attaques se faisaient bien par connexion directe (exemple : Blaster). Si, 
 avec IPv6, tout le monde récupère à nouveau des adresses publiques non 
 protégées, je te parie ma chemise que la vermine va de nouveau exploiter ce 
 vecteur de transmission.

La plupart des systèmes modernes (supportant IPv6) utilisés par des
particuliers fournissent en standard un pare-feu qui bloque par défaut
les connexions entrantes.
Quoique j'imagine qu'en IPv6 certains ports (partage de fichiers?)
vont être ouvert sur le lien local ou aux connexions provenant du même
préfixe.


 Le principal problème est que, apparemment, il subsiste des gens qui ne 
 comprennent pas qu'un simple pare-feu qui filtre les connexions entrantes 
 offre une sécurité exactement identique à un NAT IPv4 typique, mais avec des 
 inconvénients en moins.

Parce que même si le NAT permet de filtrer les connexions entrantes,
le pare-feu offre des avantages en plus?


 Personnellement, je suis un fervent partisan du End-to-End Principle, et par 
 conséquent, je milite pour que ce genre de filtrage de connexions se fasse 
 sur la machine finale, pas sur un nœud du réseau, parce que ça permet 
 d'utiliser un pare-feu applicatif qui est bien mieux placé pour prendre ces 
 décisions qu'une boite noire branchée sur un câble. Et qu'on ne vienne pas me 
 dire que c'est pas Michu-compliant : la configuration par défaut du pare-feu 
 de Windows depuis XP SP2 offre une sécurité au moins équivalente à un NAT. 
 Mais j'imagine que c'est là encore une idée à ranger dans le monde des 
 bisounours.

Comment peut-on être partisan du End-to-End Principle *et* du NAT?
Est-ce que ce n'est pas antinomique?


--
Cdlt
B. Garcia
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: IPv4 Exhaustion: RIPE NCC Update

[Benoit Garcia]

Bonsoir,

2011/2/8 Rémi Bouhl remibo...@gmail.com

 Bonsoir,

 Je ne comprends pas qu'on puisse fournir des IP NATées, du
 sous-Internet, sous prétexte que c'est destiné à des sous-ordinateurs
 et qu'il n'y a pas assez d'IP pour tout le monde, alors qu'IPv6 semble
 fait pour permettre à chaque terrien de se balader avec dix terminaux
 connectés à Internet.

Est-ce que ça ne serait pas en rapport avec le modèle économique actuel ou
le volume de données joue un rôle important sur le montant des bénéfices de
l'opérateur (comme il a été dit par Julien Richer en réduisant les marges
car vendu à perte)?

Même si une table de NAT reste piratable, on peut partir du principe que le
volume de données échangé par le client correspond bien au volume souhaité
et donc facturé. Au pire quelques personnes piratées râleront et pourront
toujours essayer de se faire rembourser.

Si on attribue une IP routable à chaque téléphone, on prend le risque de
recevoir du trafic entrant non désirable par le client (portscan, ICMP flood
ou autre) et donc plus difficilement facturable.

-- 
Cdlt,
Benoit.

[FRnOG] Re: [FRnOG] Talking Bots with Japan’s ‘Cyber Cle an Center’

[Benoit GARCIA]

On Tue, Mar 2, 2010 at 8:36 PM, jul jul_...@yahoo.fr wrote:


 Article intéressant sur la gestion des botnets par les ISP japonais.

 http://www.krebsonsecurity.com/2010/03/talking-bots-with-japans-cyber-clean-center/

 Je me demande si ce genre de chose serait possible en France/Europe ?


Oui c'est possible.
Un système équivalent est d'ailleurs déjà en place aux Pays-Bas (voir
http://www.mail-archive.com/frnog@frnog.org/msg07258.html ou directement
http://www.darkreading.com/blog/archives/2009/09/dutch_isps_sign.html ).

Cela a clairement le mérite de circonscrire la pandémie. Maintenant est-ce
que ça ne risquent pas de dé-responsabiliser encore d'avantage les
possesseurs d'ordinateurs en leur donnant l'image que quoiqu'ils fassent
avec leur machine, quelqu'un se chargera de leur signaler ce qui ne va pas?

--
Benoit Garcia

Re: [FRnOG] Minitel 2.0 : la toile continue de se tisser

[Benoit GARCIA]

2009/4/17 Pierre Col p...@9online.fr

  Tiens à propos de LOPSI 2, extrait de cet article

 http://www.lefigaro.fr/actualite-france/2009/04/03/01016-20090403ARTFIG7-facebook-ou-myspace-une-mine-d-or-pour-la-police-.php


J'aime beaucoup cette citation:
A quoi bon multiplier les fichiers de police, puisque les individus étalent
aujourd'hui leur vie et leurs penchants sur la Toile, sans même imaginer que
ces informations vont devenir numériquement indélébiles

A quand l'obligation de créer un compte sur facebook pour remplacer les
fiches d'Etat Civil et autres livrets de famille?

-- 
Cdlt,
Benoit

[FRnOG] Re: [FRnOG] Re: [FRnOG] Règles sur les envois de ma il en masse

[Benoit GARCIA]

2009/4/1 supp...@skiwebcenter.fr

 Mais qui sont les conseillers techniques de la ministre de la culture
 ?... des noms des noms !

 Il faut les inviter et leurs decerner la palme au prochain Frnog...


C'est carrément un prix Nobel qu'il faut leur décerner: Ces gens sont en
train de prouver de manière scientifique que le ridicule ne tue pas!

-- 
Cdlt,
Benoit

[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Le filtrage d'In ternet est-il inéluctable ?

[Benoit GARCIA]

Bonjour,

2009/2/15 Jérôme Nicolle jer...@ceriz.fr


 2009/2/15 Radu-Adrian Feurdean r...@ftml.net

 L'argument du gouvernement c'estait le fait de tomber *ACCIDENTALEMENT*
 sur les sites indesirables.


 C'est là que je me rends compte que je suis une brèle sur Internet, même en
 cherchant (un peu), j'ai jamais réussi à tomber accidentellement sur ce
 genre de saloperies. Je crois que les cellules de la gendarmerie font
 suffisamment bien leur boulot à ce niveau. La pédophilie comme prétexte au
 filtrage, ce n'est qu'une excuse purement démagogique.


Autant en profiter alors:

Il suffit d'aller voir les médias ainsi que les différentes associations qui
se battent contre la pédophilie et de leur expliquer que l'Etat va dépenser
une somme substantielle (quelqu'un est capable de chiffrer ce montant au
passage?) pour du vent quelle sera leur réaction?
D'autant plus que cette argent pourrait être dépensé de manière plus utile
et plus constructive. En vrac la recherche, la prévention, l'éducation, le
traitement des pédophiles avérés et la coopération internationale.

-- 
Cdlt,
Benoit