[FRnOG] Re: [FRnOG] Re: [FRnOG] IPv6 et multiples accès opérateur

2011-03-16 Par sujet Daniel STICKNEY

Le 16/03/2011 17:39, Thomas Mangin a écrit :



Voici un document (en anglais) intéressant sur les moyens proposés de
faire du multihoming avec IPv6, y compris pour les particuliers et
petites sociétés sans une plage PI:

The Paths Towards IPv6 Multihoming, IEEE Communications Surveys and
Tutorials, Vol.8 No.2, 2006
(http://www.shim6.org/path-to-mh.pdf)

Je crois que tu trouveras une solution pour ta situation là dedans.


Bon papier mais il faudra garder a l'esprit en le lisant que
presque aucun ISP va accepter :
 - d'annoncer un /48 d'un autre FAI.
 - une session BGP sur de l'ADSL.

Thomas


Oui, je suis d'accord avec ça. C'est pour ça que dans la conclusion ils
disent que le IETF promeut le "host-centric multihoming" pour IPv6 (pour
ce qui n'ont pas des adresses PI et BGP), donc les solutions dans la
Table 2 sont les plus intéressantes. Après avoir comparé les solutions
dans Table 2 ils disent:

"A look at this table shows that SHIM and CB64 are the most promising
solutions, due to their security features and their low infrastructure
requirements."

Plus d'info sur Shim6 est dispo sur www.shim6.org.

Daniel

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] IPv6 et multiples accès opérateur

2011-03-16 Par sujet Daniel STICKNEY

Le 16/03/2011 10:00, Nicolas V a écrit :

Bonjour,

Je me posais une petite question sur IPv6 et comme je sais que c'est
un sujet aimé de tous, j'en profite :)

Disons que je suis un particulier ou une petite entreprise. J'ai
actuellement 2 accès internet adsl en ipv4 que je sélectionne
aléatoirement (répartition de charge) pour surfer sur internet. Ces
accès effectuent un NAT des mes IP privées vers des IP publiques qui
dépendent du FAI en question.

Un jour viendra où tous les services que j'utilise sur internet sont
en IPv6. Je décide donc de passer en IPv6 natif, et par défaut mes 2
FAI me donneront chacun un /48 afin d'adresser mon réseau et mes
différentes DMZ. Comment dois je alors faire pour adresser mon réseau
interne afin de pouvoir profiter de mes 2 connexions internet vu qu'il
n'y a pas de mécanisme de NAT en IPv6 ?
Dois je obligatoirement demander une plage PI auprès du ripe et si tel
est le cas, est ce que cela sera compatible avec une offre adsl FAI ?

Merci
Nicolas


Bonjour,

Voici un document (en anglais) intéressant sur les moyens proposés de
faire du multihoming avec IPv6, y compris pour les particuliers et
petites sociétés sans une plage PI:

The Paths Towards IPv6 Multihoming, IEEE Communications Surveys and
Tutorials, Vol.8 No.2, 2006
(http://www.shim6.org/path-to-mh.pdf)

Je crois que tu trouveras une solution pour ta situation là dedans.

Daniel


Re: [FRnOG] Sécurité - Scan d'ip publique

2010-12-08 Par sujet Daniel STICKNEY

Bonjour,

Voici trois liens qui sont utiles:

http://www.symantec.com/connect/articles/introduction-nessus
http://www.symantec.com/connect/articles/nessus-part-2-scanning
et bien sûr http://www.nessus.org/documentation/

J'espère que ça aide.

Daniel


Le 06.12.2010 23:01, Guy CARRÉ a écrit :

   Au passage, question de noob : avez-vous des liens pour les bonnes pratiques 
de scans avec des outils comme Nessus par exemple ?
  Merci

Guy CARRÉ

"Free Your Mind. Think Open Source"

- Mail Original -----
De: "Daniel STICKNEY"
À: "hugo deprez"
Cc: frnog@FRnOG.org
Envoyé: Lundi 6 Décembre 2010 11h10:54 GMT +01:00 Amsterdam / Berlin / Berne / 
Rome / Stockholm / Vienne
Objet: Re: [FRnOG] Sécurité - Scan d'ip publique

Le 04.12.2010 17:59, Hugo Deprez a écrit :

Bonjour à tous,


je subis comme je l'imagine 99% des équipements connectés à internet
des scan de port sur mon firewall depuis diverses IP.
Je ne sais pas trop comment traiter ce genre de risques, surtout que
j'ai remarqué que beaucoup de scan sont effectués depuis un proxy
cache03.msr.oleane.net...
Je ne peux donc pas dropper  tous les paquets provenant de cette IP.

Comment réagissez vous devant ces scans ? Quelles sont les bonnes
pratiques ?

D'avance merci pour votre retour d'expérience !

Hugo

Bonjour,

Je dirais que les bonnes pratiques sont:
a) Scanner vos propres adresses depuis un réseau distant pour contrôler
quels ports sont accessibles. J'utilise NMAP et Nessus, mais il y a
pleins de choix. Si vous trouvez des ports inattendus vous pouvez faire
le nécessaire.
b) Inscrivez vous au mailing list sécurité pour le logiciel ou système
d'exploitation vous utilisez pour vos services publics. Quand il y a un
exploit vous saurez. Et bien sûr gardez vos logiciels publics mis à jour.

C'est une bonne idée de faire des scans régulièrement, disons chaque
trimestre par exemple. J'ai l'habitude de garder un record pour chaque
scan et des notes sur ce qui a changé depuis le dernier scan, et des
changements appliqués.

Daniel

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Sécurité - Scan d'ip pu blique

2010-12-06 Par sujet Daniel STICKNEY

Le 04.12.2010 17:59, Hugo Deprez a écrit :

Bonjour à tous,


je subis comme je l'imagine 99% des équipements connectés à internet
des scan de port sur mon firewall depuis diverses IP.
Je ne sais pas trop comment traiter ce genre de risques, surtout que
j'ai remarqué que beaucoup de scan sont effectués depuis un proxy
cache03.msr.oleane.net...
Je ne peux donc pas dropper  tous les paquets provenant de cette IP.

Comment réagissez vous devant ces scans ? Quelles sont les bonnes
pratiques ?

D'avance merci pour votre retour d'expérience !

Hugo


Bonjour,

Je dirais que les bonnes pratiques sont:
a) Scanner vos propres adresses depuis un réseau distant pour contrôler
quels ports sont accessibles. J'utilise NMAP et Nessus, mais il y a
pleins de choix. Si vous trouvez des ports inattendus vous pouvez faire
le nécessaire.
b) Inscrivez vous au mailing list sécurité pour le logiciel ou système
d'exploitation vous utilisez pour vos services publics. Quand il y a un
exploit vous saurez. Et bien sûr gardez vos logiciels publics mis à jour.

C'est une bonne idée de faire des scans régulièrement, disons chaque
trimestre par exemple. J'ai l'habitude de garder un record pour chaque
scan et des notes sur ce qui a changé depuis le dernier scan, et des
changements appliqués.

Daniel

---
Liste de diffusion du FRnOG
http://www.frnog.org/