[FRnOG] [TECH] TLS 1.3

[Jean-Francois Billaud]

Ça se précise :

https://www.ietf.org/mail-archive/web/tls/current/msg25837.html

The IESG has approved the following document:
- 'The Transport Layer Security (TLS) Protocol Version 1.3'
  (draft-ietf-tls-tls13-28.txt) as Proposed Standard

Characterization of Proposed Standards : https://tools.ietf.org/html/rfc7127

Les derniers drafts amélioraient la compatibilité avec les middleboxes 
(pare-feux
et autres équipements qui rejettent tout ce qu'ils ne connaissent pas ou ne 
peuvent
pas déchiffrer), il risque d'y avoir encore quelques mises à jour à faire.

Openssl en est au draft 26 (après les 18 et 23) avec openssl-1.1.1-pre3, mais ça
devrait aller vite :

https://www.openssl.org/policies/releasestrat.html

Pour le moment on a des navigateurs qui ne connaissent que les drafts 18 ou 23.
Pour le reste...


JFB


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] RFC 8367 et 8369

[Jean-Francois Billaud]

Pour ceux qui n'auraient pas vu passer :

8367 Wrongful Termination of Internet Protocol (IP) Packets. T. Mizrahi,
 J. Yallouz. 1 April 2018. (Format: TXT=11450 bytes) (Status:
 INFORMATIONAL) (DOI: 10.17487/RFC8367)

https://www.rfc-editor.org/rfc/rfc8367.txt


8369 Internationalizing IPv6 Using 128-Bit Unicode. H. Kaplan. 1 April
 2018. (Format: TXT=24429 bytes) (Status: INFORMATIONAL) (DOI:
 10.17487/RFC8369)

https://www.rfc-editor.org/rfc/rfc8369.txt


JFB


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] TLS etc.

[Jean-Francois Billaud]

Bonjour,

Des recommandations pour TLS StartTLS PFS etc.

https://www.m3aawg.org/sites/default/files/m3aawg-forward-secrecy-recommendations-2016-01.pdf
https://www.m3aawg.org/sites/maawg/files/news/M3AAWG_TLS_Initial_Recommendations-2014-12.pdf
https://bettercrypto.org/static/applied-crypto-hardening.pdf
https://wiki.mozilla.org/Security/Server_Side_TLS


JFB

-- 
Pour la nouvelle année j'ai pris la résolution de ne plus prendre
de résolution que je ne pourrai pas tenir.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] TLS etc.

[Jean-Francois Billaud]

Trolldi 2016-02-052T12:09:00+01:00"

On 03/02/2016 11:59, Jean-Francois Billaud wrote:
> Des recommandations pour TLS StartTLS PFS etc.

J'avais oublié :
https://www.iad.gov/iad/library/ia-guidance/ia-solutions-for-classified/algorithm-guidance/cnsa-suite-and-quantum-computing-faq.cfm

Ça couine un peu avec les certificats en sha1, l'agence doit manquer
de compétences (tout le monde est pour le chiffrement fort, il y a un
peu de monde pour le mettre en place et plus personne pour la maintenance
et les mises à jour.)


JFB

-- 
Pour la nouvelle année j'ai pris la résolution de ne plus prendre
de résolution que je ne pourrai pas tenir.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC]Certificats pop.orange.fr expirés

[Jean-Francois Billaud]

On 24/12/2014 11:00, Manu wrote:

> Sinon y'a frsag. Join us, on vous aime.

Y'a pas TLS sur www.frsag.org


JFB

-- 
Exceptionnellement ce mercredi 24/12 tombe un vendredi.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC]Certificats pop.orange.fr expirés

[Jean-Francois Billaud]

On 24/12/2014 13:50, Stephane Bortzmeyer wrote:

>> Y'a pas TLS sur www.frsag.org

> Tandis que sur www.frnog.org, ya de la sécurité à faire peur à Kim
> Jong Un :
> 
> www.frnog.org uses an invalid security certificate. The certificate is not 
> trusted because it is self-signed. The certificate is only valid for 
> murder1.absolight.net 


À l'ISC https://www.isc.org/ le problème n'est peut-être pas le certificat.

Qu'est-ce qui est le pire, avoir un site sous WordPress ou mettre en ligne une 
page « composée » avec Word 14 (142 Errors, 1 warning(s)) ?


JFB

-- 
As far as we know, our computer has never had an undetected error.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC]Certificats pop.orange.fr expirés

[Jean-Francois Billaud]

On 27/12/2014 10:38, Refuznikster wrote:

[https://www.isc.org/ WordPress et Word 14]

> Ca faisait longtemps que j'avais pas vu ce type de code html.
> 
> Nan le pire c'est de s'être fait infecté par un malware parce que l'on a pas 
> mis à jour son site, son routeur, son serveur, etc et que ce
> soit du wordpress ou n'importe quoi d'autres.

C'est pas parce que Drupal est pire que WordPress est bien (voir les stats 
d'alertes par exemple sur CERT RENATER
https://services.renater.fr/ssi/cert/index )
La plaie de l'informatique c'est le commercial ou le communicant qui veut 
absolument le CMS avec les derniers plugins à la mode pour « son » site.
Même si le système dessous est à jour, il y a toujours un plugin troué.

Tiens, à propos de CERT RENATER, dans le style faites ce que je dis, pas ce que 
je fais :
https://www.ssllabs.com/ssltest/analyze.html?d=services.renater.fr
(ça permet quand même de montrer tout ce qu'il ne faut pas faire.)


JFB

-- 
ssl_ciphers ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256;


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] TLS 1.3

[Jean-Francois Billaud]

On 9/2/18 9:53 AM, Stephane Bortzmeyer wrote:

>> Tls 1.3 a été finalisé vers le 10 aout dans la RFC 8446. Sur la
>> liste Openssl user, il a été annoncé officieusement un objectif de
>> sortie d'openssl 1.1.1 au alentour de la mi septembre

> TLS 1.3 est déjà dans GnuTLS, pas besoin d'attendre.

Tests en cours, petite synthèse à venir.

JFB

-- 
Cette phrase n'est pas auto-référente.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Tests TLS 1.3 (version finale RFC 8446)

[Jean-Francois Billaud]

Tests TLS 1.3 (version finale RFC 8446)
---


TROLON;PALU sommaire : La version 1.3 finale de TLS (RFC 8446) a été publiée
le 13 août 2018 ; on a de la documentation, des bibliothèques pour tester et
une vague idée de la manière de configurer les serveurs.

Version 2018-09-24
Conditions opératoires : Debian 8, 9, 10 avec des bouts de testing et de
instable dedans, Slackware current, Saccharomyces cerevisiae.


Documentation
-

Le RFC 8446 (The Transport Layer Security (TLS) Protocol Version 1.3) :
https://www.rfc-editor.org/rfc/rfc8446.txt

Un article de Eric Rescorla (alias EKR), l'auteur du RFC :
TLS 1.3 Published: in Firefox Today
https://blog.mozilla.org/security/2018/08/13/tls-1-3-published-in-firefox-today/
(avec le joli logo)

Les commentaires de Stéphane Bortzmeyer :
http://www.bortzmeyer.org/8446.html

En complément pour les autres versions de TLS :

RFC 8447 (IANA Registry Updates for TLS and DTLS)
précisant les chiffrements (section 8) et groupes (section 9) recommandés :
https://www.rfc-editor.org/rfc/rfc8447.txt

RFC 8422 (Elliptic Curve Cryptography (ECC) Cipher Suites
  for Transport Layer Security (TLS) Versions 1.2 and Earlier)
avec des précisions sur ECDH(E) RSA ECDSA EdDSA :
https://www.rfc-editor.org/rfc/rfc8422.txt

Sur l'abandon de TLS 1.0 et 1.1 (Deprecating TLSv1.0 and TLSv1.1 - 
draft-ietf-tls-oldversions-deprecate :
https://tools.ietf.org/html/draft-ietf-tls-oldversions-deprecate-00
Voir https://www.ietf.org/mail-archive/web/tls/current/maillist.html pour les 
avis.


Les bibliothèques et autres logiciels
-

Trois bibliothèques classiques :

openssl https://www.openssl.org/
openssl 1.1.1 (LTS) incluant TLS 1.3 final disponible depuis le 11/9/2018 :
https://www.openssl.org/blog/blog/2018/09/11/release111/
Si l'ordre par défaut ne vous plaît pas, ou si voulez rajouter les suites CCM, 
il faut éditer openssl-1.1.1/include/openssl/ssl.h lignes 176 et
suivantes.

gnutls https://gnutls.org/
Les versions stables et previous ne parlent pas le TLSv1.3, il faut utiliser la 
version next branch 3.6.3 :
https://www.gnupg.org/ftp/gcrypt/gnutls/v3.6/gnutls-3.6.3.tar.xz

NSS https://developer.mozilla.org/fr/docs/NSS
version 3.39
https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/NSS_3.39_release_notes
https://ftp.mozilla.org/pub/security/nss/releases/NSS_3_39_RTM/src/


Serveurs HTTPS
--

Nginx
https://nginx.org/
https://nginx.org/en/download.html
version 1.15.3 (mainline, pas stable) avec openssl 1.1.1
A partir des sources (à adapter) :
./configure --with-http_ssl_module --with-http_v2_module \
--with-http_stub_status_module --with-http_gzip_static_module \
--with-http_geoip_module --prefix=/usr/local/nginx \
--add-module=../ngx-fancyindex --with-openssl-opt=no-shared \
--with-stream --with-stream_ssl_module --with-mail --with-mail_ssl_module \
--add-dynamic-module=/usr/src/nginx-ct-master/ \
--with-openssl=/usr/src/openssl-1.1.1
nginx.conf :
  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers
TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA;
Il manque juste la configuration spécifique des suites TLS 1.3.
Ça a l'air stable et utilisable (sous réserve de tests adaptés à la situation)


Apache
https://github.com/apache/httpd
version 2.5.x (dev) avec openssl 1.1.1, pas envisageable en production
Pas facile à installer si openssl 1.1.1 n'est pas installé par défaut
On y arrive quand même :
[02/Sep/2018:08:11:25 +] 192.168.1.253 TLSv1.3 TLS_AES_256_GCM_SHA384 "GET 
/image.php HTTP/1.1" 353

openssls s_server
openssl-1.1.1
utilisable pour des tests
./openssl s_server -accept 443 -www -status -serverpref \
-key privkey13.pem -cert cert13.pem -chainCAfile fullchain13.pem \
-CAfile DST_Root_CA_X3.pem -dhparam dh4096.pem \
-curves X448:X25519:P-521:P-384:P-256 \
-cipher
TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256


Clients HTTPS
-

openssls s_client
openssl-1.1.1
utilisable pour des tests
openssl s_client -connect  monserveur:443 -curves X25519 -ciphersuites 
TLS_CHACHA20_POLY1305_SHA256
SSL-Session:
Protocol  : TLSv1.3
Cipher: TLS_CHACHA20_POLY1305_SHA256

nss
version 3.39 ou suivante
./nss/dist/Debug/bin/tstclnt -h monserveur -p 443 -b -v -V tls1.3:
LD_LIBRARY_PATH=/usr/src/nss/dist/Debug/lib/ 
/usr/src/nss/dist/Debug/bin/tstclnt -h monserveur -p 443 -b -v -V tls1.3:
tstclnt: SSL version 3.4 using 256-bit CHACHA20POLY1305 with 128-bit AEAD MAC
tstclnt: Server A

[FRnOG] [TECH] Tests TLS 1.3 (version finale RFC 8446) - Errata 1

[Jean-Francois Billaud]

Tests TLS 1.3 (version finale RFC 8446) - Errata 1
--

1. Versions de gnutls utilisables

Remplacer « 3.6.3 » par « 3.6.4 » dans le texte.
On peut utiliser la version 3.6.4 ou la version git, mais pas la version 3.6.3 :

$ ./gnutls-3.6.3/src/gnutls-cli example.org
Processed 133 CA certificate(s).
Resolving 'example.org:443'...
Connecting to '2a01:e34:...:443'...
|<1>| Detected downgrade to TLS 1.2 from TLS 1.3
*** Fatal error: An illegal parameter has been received.
*** handshake has failed: An illegal parameter has been received.

$ ./gnutls-3.6.4/src/gnutls-cli example.org
- Using curve: SECP256R1
- Curve size: 256 bits
- Version: TLS1.3
- Server Signature: ECDSA-SECP384R1-SHA384
- Cipher: CHACHA20-POLY1305

$ ./gnutls/src/gnutls-cli example.org
- Using curve: SECP256R1
- Curve size: 256 bits
- Version: TLS1.3
- Server Signature: ECDSA-SECP384R1-SHA384
- Cipher: CHACHA20-POLY1305


2. Nom des serveurs dans la documentation

Les noms des exemples ne sont pas conformes au RFC 2606
https://tools.ietf.org/html/rfc2606
Remplacer dans le texte « monserveur » par « example.org ».
Remplacer également « coincoin »  par « example.org ».


3. Licence

À rajouter au début.
Licence CC-Zero
https://fr.wikipedia.org/wiki/Licence_Creative_Commons


JFB


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Jean-Francois Billaud]

On 23/11/2018 21:19, Stephane Bortzmeyer wrote:

> La vie privée sur l'Internet fait aujourd'hui l'objet d'innombrables
> attaques et l'une des techniques de défense les plus efficaces contre
> ces attaques est le chiffrement des données. Il protège également
> contre une autre menace, la modification des données en transit, comme
> le font certaines FAI. Il y a de nombreuses campagnes de
> sensibilisation pour promouvoir le chiffrement , avec des bons
> résultats. Évidemment, ce chiffrement gène ceux qui voudraient
> espionner et modifier le trafic, et il fallait donc s'attendre à voir
> une réaction. Ce RFC est l'expression de cette réaction, du côté de
> certains opérateurs réseaux, qui regrettent que le chiffrement empêche
> leurs mauvaises pratiques.
> 
> https://www.bortzmeyer.org/8404.html

En attendant la disparition complète des protocoles non chiffrés :
https://tools.ietf.org/html/draft-ietf-tls-oldversions-deprecate-01
Deprecating TLSv1.0 and TLSv1.1
draft-ietf-tls-oldversions-deprecate-01
K. Moriarty - S. Farrell

Ça serait aussi une bonne idée que l'ANSSI mette son guide à jour :
https://www.ssi.gouv.fr/uploads/2016/09/guide_tls_v1.1.pdf
(ajout de TLSv1.3, X25519, CHACHA20, suppression de brainpool, camellia, aria)


JFB (pour la fermeture du port 80)

-- 
If you think the problem is bad now, just wait until we've solved it.
-- Arthur Kasspe


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Re: RFC 8404: Effects of Pervasive Encryption on Operators

[Jean-Francois Billaud]

On 26/11/2018 08:08, Xavier Beaudouin wrote:

>> Je plussoie : j'ai tellement de warnings que le certificate est pas bon 
>> qu'on ne
>> regarde même plus; en plus maintenant avec les certificats limités à 2 and 
>> pour
>> les publics, çà devient un travail à plein temps rien que pour renouveler ces
>> trucs

>>> Donc tant qu'on ne pourras pas faire facilement "letsencrypt fout moi ton 
>>> certif
>>> sur cet netgear/juncisco/huatik/..." alors voila...

S'il y a des trucs merdiques dans les réseaux, c'est un peu parce qu'il y a des 
gens
qui en vendent, et beaucoup parce qu'il y a d'autres gens qui en achètent (le 
plus
souvent pas ceux qui travaillent avec).

>> La meilleure chance d'avoir un MITM qui marche, d'avoir tellement de 
>> certificats
>> incorrects que tout le monde s'en fout.

> Et bien là on est bien partit pour... Je passe mon temps a faire accept et 
> oublie que
> l'effet "positif" des trucs en chiffré est en fait de la poudre aux yeux.

Il ne faut pas croire les vendeurs. HTTPS ne garantit pas grand chose si on ne 
l'intègre
pas dans une infrastructure avec CAA, CT, preload, DANE etc.

> Donc à force, il est clair qu'un jour, un opérateur vas se faire 0wn3d par un 
> MiTM à cause
> de ces conneries (interface equiment réseau, ipmi, applet java ikvm non 
> signée, ...),
> clairement on arrive donc a saturation et on ne lis plus ces warnings...

Avec un rapport d'incident public honnête et détaillé pour que ça serve de 
leçon.

J.-F. B.

-- 
If you think the problem is bad now, just wait until we've solved it.
-- Arthur Kasspe


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Jean-Francois Billaud]

On 23/11/2018 21:19, Stephane Bortzmeyer wrote:

> La vie privée sur l'Internet fait aujourd'hui l'objet d'innombrables
> attaques et l'une des techniques de défense les plus efficaces contre
> ces attaques est le chiffrement des données. Il protège également
> contre une autre menace, la modification des données en transit, comme
> le font certaines FAI. Il y a de nombreuses campagnes de
> sensibilisation pour promouvoir le chiffrement , avec des bons
> résultats. Évidemment, ce chiffrement gène ceux qui voudraient
> espionner et modifier le trafic, et il fallait donc s'attendre à voir
> une réaction. Ce RFC est l'expression de cette réaction, du côté de
> certains opérateurs réseaux, qui regrettent que le chiffrement empêche
> leurs mauvaises pratiques.
>> https://www.bortzmeyer.org/8404.html

Un bon chiffrement est un chiffrement mort. (Général ETSI)

Vu dans Feisty Duck Bulletproof TLS Newsletter 47 - 29 November 2018 :

ETSI has standardized Enterprise TLS (eTLS), a variant of TLS 1.3 that allows 
passive interception with knowledge of a static Diffie-Hellman
key. Similar proposals have been made in the IETF in the past but were always 
rejected due to concerns that they would compromise the security
of TLS or allow for abuse of mass surveillance.

https://www.etsi.org/news-events/news/1358-2018-11-press-etsi-releases-standards-for-enterprise-security-and-data-centre-management

La liste des membres de l'ETSI est intéressante :
https://www.etsi.org/membership/current-members

Ça en discute à l'IETF depuis le 1er décembre.
https://www.ietf.org/mail-archive/web/tls/current/maillist.html
Fils de discussion :
- ETSI releases standards for enterprise security and data centre management
- draft-dkg-tls-reject-static-dh

JFB

-- 
If you think the problem is bad now, just wait until we've solved it.
-- Arthur Kasspe


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Attaque sur les DNS ?

[Jean-Francois Billaud]

On 23/02/2019 17:33, Stephane Bortzmeyer wrote:

> Allez, des lectures positives, vous m'implémenterez toutes ces
> recommandations la semaine prochaine :
> 
> https://www.ssi.gouv.fr/guide/bonnes-pratiques-pour-lacquisition-et-lexploitation-de-noms-de-domaine/
> 
> https://www.afnic.fr/fr/ressources/publications/dossiers-thematiques/securiser-la-gestion-des-noms-de-domaine.html

À rajouter :

https://www.francetvinfo.fr/internet/securite-sur-internet/une-attaque-identifiee-et-pratiquee-depuis-des-annees-pourquoi-la-vague-de-piratage-en-cours-sur-internet-ne-doit-pas-nous-faire-paniquer_3204117.html
(24/02/2019, auteur bien connu)

JFB

-- 
Les mises à jour servent à trois choses : rajouter de nouveaux bugs,
apporter de nouvelles fonctions inutiles, et corriger des erreurs
que personne n'avait remarquées.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Attaque sur les DNS ?

[Jean-Francois Billaud]

> C'est le claoud v2 : avant le claoud, il y avait le CAPEX. Le miracle du 
> claoud, c'était qu'on transformait le CAPEX en OPEX.
> Maintenant, on a le SD-WAN : CAPEX plus OPEX à tout les coups on se fait 
> empapaouter; faut payer le matos ET le louer.

Une autre :
« On n'a plus les compétences en interne, on va externaliser. En plus ça 
coûtera moins cher. »
(Comment perdre la main sur l'infrastructure, les serveurs, les logiciels et 
les données.
Dans certains cas on peut encore choisir le modèle des postes de travail.)

JFB

-- 
If you think the problem is bad now, just wait until we've solved it.
-- Arthur Kasspe


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Panneau accoustique pour bruit ventilation equipement

[Jean-Francois Billaud]

On 25/05/2019 13:02, Maxime DERCHE wrote:

> Une couche de liège sur la paroi, et des barquettes d’œufs de poule vides 
> (sans les
> œufs) ?

Monter les blancs en neige, faire une plaque de 1 cm d'épaisseur et passer 1h 
au four à 120°C.
Ça fera une excellente mousse isolante pour les hautes fréquences.

Pour les basses fréquences il faut un matériau dense non rigide (fibreux, 
mousse) en grande épaisseur
(genre matelas en laine), ça peut aussi marcher pour les hautes fréquences.


JFB

-- 
La loi de Moore, c'est le doublement du nombre de bits dans un octet
tous les 18 mois.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Panneau accoustique pour bruit ventilation equipement

[Jean-Francois Billaud]

On 25/05/2019 14:59, Philippe Bourcier wrote:

>> Existe t'il un revêtement acoustique (sorte de mousse ou panneau) pouvant 
>> être collé sur le
>> mur/porte afin de diminuer le bruit des équipements ?
> 
> Il y a tous les prix et beaucoup de choix dans le monde du son : 
> https://www.thomann.de/fr/absorbeurs_standards.html
> Les salles 0dB sont blindées de ce genre de mousses : 
> https://www.thomann.de/fr/the_takustik_nook_set_144.htm
> Donc ça doit être le mieux pour piéger le son/bruit, si t'as la place...
> 
> Le type de surface (mousse, bois, etc) peut aussi être un critère si t'as 
> beaucoup de circulation d'air et donc potentiellement beaucoup de poussière 
> qui va se déposer...
> 
> Par contre, attention au classement no feu (M1/M2), les assurances peuvent 
> être exigeantes sur ce genre de choses...

Si c'est possible poser les équipements bruyants sur des isolants assez épais, 
ça limitera la propagation
par les supports et les résonances (mais comme personne n'utilise d'étagères 
métalliques...)


JFB

-- 
Vous avez du nouveau courrier dans /dev/urandom


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] RE: Liaison point à point 5Ghz (question perso)

[Jean-Francois Billaud]

On 30/08/2019 13:40, Michel Py wrote:

>> Si je prend l'image bete d'une lampe de poche et d'un laser : la lampe de 
>> poche
>> peut aveugler mon voisin même s'il n'est pas en face, pas le laser...

> Faux. S'il est vraiment en face, il risque non seulement d'être aveuglé mais 
> aussi de perdre un oeil. Problème très connu de ceux qui font de la fibre.

Faut mettre des lunettes, c'est pas du lux, et c'est la classe (3).


JFB

-- 
Ne jamais se refuser un calembour, surtout s'il est mauvais.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] FRnOG 33.0 - Table-Ronde

[Jean-Francois Billaud]

On 04/09/2019 14:16, Philippe Bourcier wrote:

[La table-ronde de la réunion du 13 Septembre sera sur le sujet : DoH/DoT, 
nouvelle arme anti-souveraineté numérique ?]

> Je me permets de re-poster ça ici... vu que personne n'a répondu.
> 
> Il est nul mon sujet, tout le monde s'en fout ? Ou bien personne ne se sent 
> légitime ?

Bonjour,

Ah tiens, j'ai justement un projet de RFC sur DoH/DoT pour fin mars (à quelques 
jours près).

Les points essentiels :
- IPv6 DEVRA être utilisé exclusivement ;
- les noms des serveurs DEVRONT commencer par doh/dot (p. ex. doh.example.com 
ou dot.example.com),
  ça facilitera le filtrage par les middleboxes ;
- l'adresse IPv6 DEVRA se terminer par :D0D (p. ex. 2001:DB8::D0D), comme dans 
"Department of DNS".

Les certificats EdDSA DEVRONT être utilisés dès que le CA/B forum aura validé 
leur utilisation
(ce qui ne saurait tarder).

JFB

-- 
Vous avez du nouveau courrier dans /dev/urandom


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Retours d'expérience pour présentation sur IPv4/IPv6

[Jean-Francois Billaud]

On 05/09/2019 16:45, Raphael Jacquot wrote:

> On 9/5/19 4:41 PM, Xavier Claude wrote:
>> Personnellement, et malheureusement, le champ IP, je le vois plus
>> souvent stocké dans un varchar(15) que dans un champ dédié.
> 
> suffit d'agrandir a 40

~$ echo -n fe80:1234:1234:1234:1234:1234:1234:1234%eth0 | wc -c
44

JFB

-- 
La loi de Moore, c'est le doublement du nombre de bits dans un octet
tous les 18 mois.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Pylône de téléphonie mobile et élagage d'arbres gênants ?

[Jean-Francois Billaud]

On 11/09/2019 20:56, Michel Py wrote:

> Demander aux jeunes d'abattre l'arbre pour faire un banc sur lequel le vieux 
> peuvent s'assoir ? :P

Ne pas négliger les méthodes de lutte biologique :

- introduire https://inpn.mnhn.fr/espece/cd_nom/61212 en Corse ;
- https://inpn.mnhn.fr/espece/cd_nom/12336 : faire des petits trous à la 
perceuse  et mettre des larves dedans ;
- https://inpn.mnhn.fr/espece/cd_nom/54674 ? (statut en Corse inconnu)

JFB

-- 
Good evening, gentlemen.  I am a HAL 9000 computer.  I became operational
at the HAL plant in Urbana, Illinois, on January 11th, nineteen hundred
ninety-five.  My supervisor was Mr. Langley, and he taught me to sing a
song.  If you would like, I could sing it for you.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] RE: [FRnOG] [MISC] Pylône de téléphonie mobile et élagage d'arbres gênants ?

[Jean-Francois Billaud]

On 13/09/2019 11:15, David Ponzone wrote:

>> Le 13/09/2019 à 11:02, David Ponzone a écrit :
>>> T’as pas dit que c’était pout de la 4G ?
>>> Dans quelle bande ?
>>> En sub-1000Mhz, tu t’en fous de l’arbre non ?
>>
>> Non confirmé, mais cela devrait être du 700 ou 800. Je n'ai pas d'expérience 
>> sur ces bandes, mais j'en ai sur des bandes inférieures. Et çà dit que les 
>> arbres denses comme les pins, on ne s'en fout pas vraiment :-)
>>
>> De plus, le support a vocation à être utilisé par la suite pour d'autres 
>> réseaux communaux, qui utiliseront des faisceaux en 5 GHz.

> Ok et en mode écolo utopiste, ça coûterait combien de déraciner un arbre pour 
> le replanter là où il gêne pas ? :)

À la louche, pour un arbre de 15m de haut, 4000 ou 5000 euros (HT).

Sauf qu'il n'est pas du tout certain qu'un pin plus tout jeune (20 ans pour 
15m) veuille bien reprendre après déplacement.

JFB

-- 
La loi de Moore, c'est le doublement du nombre de bits dans un octet
tous les 18 mois.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] La taxe sur IPv4

[Jean-Francois Billaud]

On 08/10/2019 17:23, Michel Py wrote:

> Tant qu'il y a de la demande, il y a de l'offre. J'ai des IPv4 pour 20 ans, 
> j'aurai Google ou quelqu'un d'autre pour me vendre de la pub en IPv4 pour 20 
> ans aussi.

Les petits malins qui planquent des adresses IPv4 sous le capot de leurs 
routeurs,
ça me fait penser aux écureuils qui stockent des noix pour l'hiver.

https://www.lanouvellerepublique.fr/a-la-une/des-ecureuils-ont-stocke-des-centaines-de-noix-sous-son-capot

JFB

-- 
If you think the problem is bad now, just wait until we've solved it.
-- Arthur Kasspe


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] La Fille de Vercingétorix

[Jean-Francois Billaud]

On 25/10/2019 16:58, Stephane Bortzmeyer wrote:

> On Thu, Oct 24, 2019 at 08:42:42AM +,
>  Philippe Bourcier  wrote 
>  a message of 49 lines which said:
> 
>> Pas de rapport avec le réseau, pas de rapport avec le réseau...
> 
> Bon, alors, faisons du réseau le vendredi.
> 
> Le domaine de promotion de l'album est apparemment asterix.com
> 
> 
> Un .com, c'est ennuyeux pour notre héros national. Au moins, le
> domaine est enregistré chez Gandi, BE gaulois. asterix.fr a été
> réservé par le même titulaire (les éditions Albert René) mais n'est
> pas utilisé.
> 
> En revanche, le site Web est bien gaulois, chez OVH. Pas de trucs DNS,
> une seule adresse IP. À l'époque où tant de sites Web se sentent
> obligés d'utiliser un CDN pour trois pages, c'est bien de voir de
> l'hébergement classique sur une machine virtuelle chez Octave. Pas
> d'IPv6, hélas, un petit village gaulois résiste encore et toujours à
> cette technologie.
> 
> À noter que la même machine héberge le blog de Jean-Luc Mélenchon,
> autre héros gaulois.
> 
> Le certificat est un Let's Encrypt, donc pas une AC gauloise. Manque
> de sesterces pour payer une AC commerciale ?

Ou de statères d'argent coriosolites ?
https://fr.wikipedia.org/wiki/Coriosolites#Monnayage

Voyons la configuration HTTPS :
https://www.ssllabs.com/ssltest/analyze.html?d=www.asterix.com
  TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
  TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
Parfait pour les navigateurs qui utilisent CAMELLIA (comme openssl s_client)
  Supported Named Groupssecp256r1, secp521r1, brainpoolP512r1, 
brainpoolP384r1,secp384r1,
  brainpoolP256r1, secp256k1, sect571r1, sect571k1, sect409k1, sect409r1, 
sect283k1, sect283r1
Le n'importe quoi par défaut habituel. (ssl_ecdh_curve 
secp521r1:secp384r1:prime256v1 ;)

Le code :
https://validator.w3.org/nu/?doc=https%3A%2F%2Fwww.asterix.com%2F
127 avertissements et erreurs. Probablement un amateur de nombres premiers de 
Mersenne.

JFB

-- 
All syllogisms have three parts, therefore this is not a syllogism.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [BRUIT] La Fille de Vercingétorix

[Jean-Francois Billaud]

On 25/10/2019 17:58, Fx wrote:

> On 24 Oct 2019, at 7:44 , Erwan DAVID  wrote:
>> Le 24 octobre 2019 01:51:41 Michel Py  a 
>> écrit :
>>
>>> Je c'est que c'est pas encore trolldi, mais c'est pas tous les jours qu'un 
>>> nouvel Astérix sort.
>>>
>>> Qu'est-ce que ca vaut ?
>>
>> Je ne sais pas. Ça parle d'ipévésix ?
> 
> Non, mais il y a son frère ainé Ipéfix, celui qui gère les noms de dolmen.
> 
> /me va au coin.

Maintenant parlons un peu des menhirs et des réseaux de l'époque.

Il y a des menhirs foncés (en schiste) et des clairs (en quartz, plus 
difficiles à tailler).
Il est évident quels les menhirs foncés correspondent à des 0 et les clairs à 
des 1
(les 1 sont statistiquement moins nombreux, on économise sur la difficulté de 
la taille).

Le réseau de l'époque, c'est la livraison de menhirs clairs et foncés.
En cas d'arrêt du réseau, l'information se conserve sans consommation d'énergie.
Très astucieux.

http://sd-2.archive-host.com/membres/images/43540579257315774/moulin01_580.jpg

JFB

-- 
Cette signature n'est pas auto-référente.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Vent fort DNS secteur Singapour

[Jean-Francois Billaud]

Bonjour,

Vu sur mon serveur de bureau|garage|cuisine :

[...]
Nov 24 10:46:21 mervent named[20792]: client @0x7f3ef4001aa0 
157.230.247.29#29605 (canal-plus.com): query (cache) 'canal-plus.com/ANY/IN' 
denied
Nov 24 10:46:21 mervent named[20792]: client @0x7f3f04138430 178.128.50.4#10532 
(boeing.com): query (cache) 'boeing.com/ANY/IN' denied
Nov 24 10:46:21 mervent named[20792]: client @0x7f3ef4026430 
128.199.188.4#37613 (whattoexpect.com): query (cache) 'whattoexpect.com/TXT/IN' 
denied
Nov 24 10:46:21 mervent named[20792]: client @0x7f3efc043440 
167.71.195.234#60574 (pigedit.com): query (cache) 'pigedit.com/TXT/IN' denied
Nov 24 10:46:21 mervent named[20792]: client @0x7f3f047671d0 
157.230.255.25#61883 (boeing.com): query (cache) 'boeing.com/ANY/IN' denied
Nov 24 10:46:21 mervent named[20792]: client @0x7f3f04138430 
167.71.195.235#50977 (irs.gov): query (cache) 'irs.gov/A/IN' denied
Nov 24 10:46:21 mervent named[20792]: client @0x7f3ef8072ca0 
188.166.217.218#16899 (pigedit.com): query (cache) 'pigedit.com/TXT/IN' denied
Nov 24 10:46:21 mervent named[20792]: client @0x7f3ef8072ca0 
167.71.195.238#39616 (whattoexpect.com): query (cache) 
'whattoexpect.com/TXT/IN' denied

Provenance une centaine d'adresses de Singapour, depuis 10h18 (CET).

Calme plat local depuis que j'ai filé de l'huile : :
/usr/sbin/iptables -I INPUT -m geoip --src-cc SG -p udp --dport 53 -j DROP

DDOS en cours ?

JFB


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Incident Free depuis 1h du matin

[Jean-Francois Billaud]

On 27/11/2019 10:23, Stéphane Rivière wrote:

> Mais avec la nouvelle archi 4rd et leurs nouvelles boxs (qu'on ne peut
> plus virer et qui ne sont pas fiables), je pose de l'OVH en collecte...

Il y a un truc pour avoir une réponse d'un technicien OVH en moins de 4 jours ?

JFB


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Incident Free depuis 1h du matin

[Jean-Francois Billaud]

On 27/11/2019 10:33, Stéphane Rivière wrote:

> Ici, en attendant la fibre qui arrive dans quelques mois on a freebox
> vdsl, OVH adsl en collecte et un red adsl à 8,99 par mois de secours
> qu'on jettera un peu avant la fin des 12 mois pour prendre autre chose
> dans le même style (ou la fibre si elle est arrivée)...

Pourquoi pas une box 4G ? Il n'y a pas de pelleteuse dans le bocage 
deux-sévrien ?
Ou alors il y a des pelleteuses mais pas la 4G ?

JFB


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fake or note Fake

[Jean-Francois Billaud via frnog]

On 19/02/2020 11:52, Daniel via frnog wrote:

>> et pour pouvoir fonctionner en https, il faudrait l'atteindre avec un FQDN.

> Ah ? Mes sites sont accessibles en http (qui fait redirection vers https) via 
> l'IP et cela renvoit vers un forbidden

Il va falloir penser à abandonner HTTP et a n'utiliser que HTTPS :
authentification garantie, et accessoirement nettement moins de cochonneries 
dans les logs.

>> lorsque l'on est scanné par une IP, on a aucune idée du FQDN du site pour la 
>> requêter.

> Pour le certificat OK, il y aura erreur.

Pour ceux qui veulent éviter ce genre d'erreur sur leurs serveurs : certificats 
avec les FQDN et les IP publiques
(bientôt chez Letsencrypt : https://letsencrypt.org/upcoming-features/ )

Dans openssl.cnf :
[ alt_names ]
DNS.1 = example.net
DNS.2 = www.example.net
IP.1 = 198.51.100.1
IP.2 = 2001:db8::1

JFB

-- 
Ne croyez pas ce que vous lisez, ni ce que vous écrivez.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Fake or note Fake

[Jean-Francois Billaud via frnog]

On 19/02/2020 12:32, Julien Escario wrote:

> Houlà, ils se donnent du mal pour ressembler à des scripts kiddies alors.

Pour une administration, il n'y a pas grand chose dans les en-têtes de la page.

JFB

-- 
On-line, adj.:
The idea that a human being should always be accessible to a computer.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] HAProxy multi DC

[Jean-Francois Billaud via frnog]

On 04/03/2020 23:04, Philippe Bourcier wrote:

> Bof, il y a des certifs sur IP chez Let's Encrypt...

Pas encore :

https://letsencrypt.org/upcoming-features/
Last updated: Feb 20, 2020
IP Addresses in Certificates
We are planning to add support for validating and including IP addresses in 
certificates.

JFB

PS : RFC 8738 Automated Certificate Management Environment (ACME) IP Identifier 
Validation Extension.

-- 
Cette signature n'est pas auto-référente.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Profitons bien de l'épidémie pour violer un peu la neutralité

[Jean-Francois Billaud via frnog]

On 16/03/2020 13:29, Stephane Bortzmeyer wrote:

> « Au moment où l’on se parle, nous avons plus 15.000 techniciens et
> ingénieurs qui sont mobilisés » Moins ceux et celles qui bavardent sur
> FRnog.

Ces personnes ne bavardent pas, elles font de la veille technologique.

JFB

-- 
Technological progress has merely provided us
with more efficient means for going backwards.
-- Aldous Huxley


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] ANSSI Recommandations de sécurité relatives à TLS - v1.2

[Jean-Francois Billaud via frnog]

ANSSI Agence nationale de la sécurité des systèmes d'information
Recommandations de sécurité relatives à TLS - Version 1.2 - 26/03/2020
https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-tls/
Licence ouverte / Open Licence (Etalab v1) : 
https://www.etalab.gouv.fr/licence-ouverte-open-licence

Pas de surprises dans ces recommandations.
La version précédente 1.1 datait du 19/08/2016.

Les protocoles recommandés :
TLS v1.2, TLS v1.3
RSA ECDSA
ECDHE secp256r1,secp384r1,secp521r1 (NIST), x25519, x448, 
brainpoolP256r,brainpoolP384r, brainpoolP512r1
DHE 2048 bits 3072 bits ou plus
AES ChaCha20 Camellia ARIA
GCM, CCM, CBC (sous condition)
SHA256 SHA384
Pas de compression
...

Suites recommandées en annexe A

Exemples d'application en annexe B
- Application à la compilation de OpenSSL
- Application à la configuration de modules applicatifs pour Apache [orienté 
serveur public] et NGINX [client maîtrisé]

Pas de recommandation pour le mail (SMTP + StartTLS) ni DOH ni DOT

Pas de lien vers des outils de test.


Avis personnel pour tout ce qui suit :
- brainpool Camellia ARIA inutiles si l'on ne maîtrise pas serveur et client 
maison (ces protocoles ne sont pas implémentés
  dans les navigateurs courants)
- CCM est à réserver pour l'Internet des objets (pas implémenté dans les 
navigateurs courants)
- on peut privilégier x25519, x448 sur les courbes du NIST (question de 
confiance)
- x448 peut servir dans le cas de serveurs mandataires
- dans le cas de SMTP + StartTLS, on observe qu'il y a toujours des acteurs 
majeurs qui sont restés à TLS 1.0, il est
  donc difficile de ne garder que TLS v1.2 et TLS v1.3

Pour HTTPS une configuration pourrait être :
TLS v1.2, v1.3
certificats ECDSA - RSA 4096 bits
paramètres DH ffdhe4096.pem
courbes X448:X25519:secp521r1:secp384r1:prime256v1
suites
TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256;
(à adapter selon les goûts personnels)

Pour SMTP + StartTLS une configuration pourrait être :
TLS v1, v1.1, v1.2, v1.3
certificats ECDSA - RSA 4096 bits
paramètres DH ffdhe4096.pem
courbes X448:X25519:secp521r1:secp384r1:prime256v1
suites
TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256;
(à adapter si pas besoin de TLS v1 et v1.1)

Les outils de test :
Qualys SSL Server Test : https://www.ssllabs.com/ssltest/index.html
Internet.nl : https://internet.nl/
Hardenize.com : https://www.hardenize.com/
STARTTLS Everywhere : https://starttls-everywhere.org/
CryptCheck : https://tls.imirhil.fr/

Pour les enregistrements DANE TLSA (3 1 1 et 2 1 1 recomandés) :
chaingen de Viktor Dukhovni : https://go6lab.si/DANE/chaingen
hash-slinger : https://github.com/letoams/hash-slinger


JFB

PS Message sous licence CC0, règles de Croker applicables.

-- 
"We can't return to normal, because the normal that we had was precisely
the problem."


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] [TROLL] Tentatives de destruction de matériel

[Jean-Francois Billaud via frnog]

J'ai assisté deux fois cette semaine à des tentatives de destruction par 
percussion d'un boîtier
de raccordement téléphonique extérieur situé sur un poteau en bois.

Le malfaiteur a été identifié, il s'appelle Dendrocopos major.

À qui dois-je signaler ces faits révoltants ?


JFB


PS Notes et bibliographie :

Le tambourinage des pics est caractéristique d'une manifestation territoriale
(comme le chant des oiseaux, quoique ce chant puisse aussi procéder de la 
parade nuptiale
sans notion de territoire, ou comme suggéré plus récemment simplement du 
plaisir de chanter).
Le pic peut tambouriner sur des poteaux en bois, en béton, en métal (vu/entendu 
un pic
faire de la concurrence aux Tambours du Bronx sur un réflecteur métallique de 
lampadaire).

Les pics utilisent le plus souvent leur bec pour attraper des bestioles à 
l'intérieur du bois :
on peut voir dans les réserves naturelles des arbres morts criblés de trous.

La fiche du Pic épeiche Dendrocopos major sur oiseaux.net :
https://www.oiseaux.net/oiseaux/pic.epeiche.html

Prix Ig-Nobel 2006 d'ornithologie : Ivan R. Schwab et Philip R.A. May, 
université de Californie,
pour leurs travaux expliquant pourquoi les pic verts ne sont pas sujets aux 
maux de tête.
Liens vers les articles sur :
https://improbable.com/ig/ig-pastwinners.html#ig2006

Les prix Prix Ig-Nobel sur Wikipedia :
https://fr.wikipedia.org/wiki/Prix_Ig-Nobel

Habiter en oiseau de Vinciane DESPRET :
https://www.actes-sud.fr/catalogue/nature-et-environnement/habiter-en-oiseau



smime.p7s
Description: S/MIME Cryptographic Signature

[FRnOG] [MISC] [TROLL] Pose de fibre optique

[Jean-Francois Billaud via frnog]

Il y a des gens qui posent de la fibre d'une manière étrange :
http://www7.inra.fr/opie-insectes/images/charanconrouge.jpg

L'explication :
https://www.nature.com/articles/s41598-020-60171-7

Signalé par :
http://www7.inra.fr/opie-insectes/epingle20.htm


JFB

PS Sujet plus ou moins voisin, « Réseaux de capteurs sans fils étendus dédiés 
aux collectes de données environnementales » :
https://tel.archives-ouvertes.fr/tel-01330755/document (179 pages)

-- 
Quelqu'un a un adaptateur USB/série pour la nouvelle cafetière ?



smime.p7s
Description: S/MIME Cryptographic Signature

Re: [FRnOG] [MISC] L'ANSSI "recentrée" et création de l'OSIIC

[Jean-Francois Billaud via frnog]

On 22/05/2020 10:01, Stéphane Rivière wrote:

> Un projet de restructuration de la sous-direction est en cours.
>
> Ce projet vise à rapprocher à horizon 2021 les équipes de la SDN avec
> les équipes du centre de transmissions gouvernemental (CTG) au sein
> d’une entité unique. Les compétences et ressources disponibles et
> complémentaires des deux entités existantes seront ainsi mutualisées et
> permettront de fluidifier le traitement des demandes interministérielles.
> Par ailleurs, la nouvelle structure sera directement rattachée au
> Secrétariat de la défense et de la sécurité nationale (SGDSN) ce qui lui
> permettra d’assoir son rôle de DSI du SGDSN et d’accompagner sa
> transformation numérique.

Doit-on comprendre que les capacités opérationnelles du SGDSN sont actuellement 
insuffisantes ?

> Qui nous mène sur le site du SGDN (non https) :
>
> http://www.sgdsn.gouv.fr/evenement/creation-de-loperateur-des-systemes-dinformation-interministeriels-classifies-osiic

Non https, ça confirmerait l'hypothèse précédente.

Il y a peut-être des compétences inexploitées en IPv6 et DNSSEC au SGDSN qui 
pourraient être utilisées par l'ANSSI :
https://internet.nl/site/www.ssi.gouv.fr/876195/


JFB

-- 
Quelqu'un a un adaptateur USB/série pour la nouvelle cafetière ?



smime.p7s
Description: S/MIME Cryptographic Signature

Re: [FRnOG] Re: [MISC] L'ANSSI "recentrée" et création de l'OSIIC

[Jean-Francois Billaud via frnog]

On 22/05/2020 14:56, Stephane Bortzmeyer wrote:

> Contre-troll : par contre, NXNSattack est une bonne raison de signer
> avec DNSSEC, puisque cela permet aux résolveurs de synthétiser les
> réponses négatives sans passer par les serveurs faisant autorité
>  

Il vaut mieux trop de CVE que pas assez :

https://www.securityweek.com/nxnsattack-new-dns-vulnerability-allows-big-ddos-attacks
 :
Various CVE identifiers have been assigned by the impacted vendors, including 
CVE-2020-8616 (BIND),
CVE-2020-12662 (Unbound), CVE-2020-12667 (Knot) and CVE-2020-10995 (PowerDNS)

JFB

-- 
Quelqu'un a un adaptateur USB/série pour la nouvelle cafetière ?



smime.p7s
Description: S/MIME Cryptographic Signature

Re: [MISC] RE: [FRnOG] [MISC] Fibre optique, antennes, pylônes... L’inquiétante hausse des actes de vandalisme

[Jean-Francois Billaud via frnog]

Bonjour,

> Après les émissions électromagnétiques ne sont pas négligeables non plus...
> 
> D'ailleurs, je suis tjrs O_o quand je vois les mini pc sans connection a la 
> terre malgré le blindage plus ou moins bien réussit... (Spoiler, si le wifi 
> n'as pas d'antenne extérieure, alors... le blindage est plus ou moins 
> merdique).

Oui pour le spoiler.
Pour les mesures : 
http://www.inrs.fr/risques/champs-electromagnetiques/evaluer-risques.html
Essayé un champ-mètre pas cher : bof. Voir les modèles sérieux dans les 
rapports de mesure de cartoradio.

La mise à la terre c'est plutôt contre l'électrocution, en combinaison avec un 
disjoncteur différentiel
(ou pour éliminer des charges statiques de surface).

Pour le rayonnement, la cage de Faraday n'a pas a être reliée à la terre.


Si le blindage n'est pas pas très efficace, on peut protéger directement les 
personnes, avec un matériau conducteur enveloppant, 
par exemple pour la tête un objet de ce genre : 
https://www.jardindeco.com/seau-a-champagne-tete-de-cerf-en-aluminium-F-866,26339


JFB

-- 
Quelqu'un a un adaptateur USB/série pour la nouvelle cafetière ?



smime.p7s
Description: S/MIME Cryptographic Signature

Re: [FRnOG] [MISC] Le Resp Informatique pendant le confinement

[Jean-Francois Billaud via frnog]

On 25/05/2020 17:46, Nico CARTRON wrote:

> On 25-May-2020 16:46 CEST,  wrote:
> 
>> J’ai ri, donc je fais suivre:
>>
>> https://twitter.com/BertrandUsclat/status/1263544339025838081?s=20 
>> 
> 
> Broute / Usclat, toujours très bon :-)
> 
> "Le Digital, c'est des gens qui travaillent dans l'informatique mais qui
> ne savent pas se servir d'un ordinateur" ahahahah 

Il ne faut pas confondre le digital et le numérique.

Le numérique, c'est des gens qui se servent d'un ordinateur
mais qui ne savent pas ce qu'est l'informatique.

JFB (pentarotopodosellaphile)

-- 
Quelqu'un a un adaptateur USB/série pour la nouvelle cafetière ?



smime.p7s
Description: S/MIME Cryptographic Signature

Re: [FRnOG] [BIZ] Contact Free

[Jean-Francois Billaud via frnog]

On 12/06/2020 09:16, Toussaint OTTAVI wrote:

> L'aérien, en bord de route au dessus du maquis, c'est pratique en cas > 
> d'incendie. Depuis, on remplace les poteaux bois par des poteaux en galva 
> encore plus disgrâcieux, car ils ne brûlent pas. C'est logique ;-)

Le poteau en acier galvanisé, c'est bien contre les incendies et plus encore 
contre les redoutables castors corses 🦫

Mais ça ne règle pas tous les problèmes :
https://www.begeek.fr/les-ecureuils-premiere-cause-de-dommage-a-la-fibre-aerienne-318064
 🐿


JFB

-- 
Q:  Why do ducks have flat feet?
A:  To stamp out forest fires.

Q:  Why do elephants have flat feet?
A:  To stamp out flaming ducks.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'Arcep cherche de l'expertise en certificat

[Jean-Francois Billaud via frnog]

On 20/11/2020 10:46, David Ponzone wrote:

> Cisco ?
> 
> Ils sont en A+ chez Qualys.
> Tu peux détailler (parce que c’est vendredi) ? :)

Dans le genre « les certificats sont valides, pour le reste on n'a pas eu le 
temps »,
Cisco c'est mieux qu"une certaine agence gouvernementale :

https://www.hardenize.com/report/ssi.gouv.fr/1605866376
https://internet.nl/site/ssi.gouv.fr/1037013/
https://internet.nl/mail/ssi.gouv.fr/444860/

Faites ce que je dis, pas ce que je fais.

payto://void/?amount=EUR:0.02&sender-name="me" (version RFC 8905 de « mes 2 
cents »)

JFB

-- 
Vous avez du nouveau courrier dans /dev/urandom


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] L'Arcep cherche de l'expertise en certificat

[Jean-Francois Billaud via frnog]

On 20/11/2020 11:43, David Ponzone wrote:

>> payto://void/?amount=EUR:0.02&sender-name="me" (version RFC 8905 de « mes 2 
>> cents »)
> 
> C’est dommage, il marche pas ton lien.

La plus mauvaise explication du monde sur la différence entre URL et URI :
https://waytolearnx.com/2018/09/difference-entre-uri-et-url.html

payto://void/?amount=CAD:0.02&sender-name="me"

JFB

-- 
All parts should go together without forcing.  You must remember that the
parts you are reassembling were disassembled by you.  Therefore, if you
can't get them together again, there must be a reason.  By all means, do
not use a hammer.
-- IBM maintenance manual, 1925


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Le MWh à 1k€ ça donne quoi pour nous ?

[Jean-Francois Billaud via frnog]

On 27/08/2022 14:51, Vincent Habchi wrote:


Salut,

je risque d’enfoncer des portes ouvertes, mais à la lecture des différents 
mails j’ai l’impression que deux faits ne sont pas clairs pour tout le monde :

1. La dérégulation du secteur de l’énergie a été imposé par la Communauté 
européenne. Je suis profondément européen en général, mais je dois bien 
reconnaître qu’il s’agit là d’une grossière erreur. On ne peut pas déléguer la 
production d’un bien fondamental, sur lequel, c’est évident, l’ensemble de la 
société actuelle est construite, à des entreprises privées à but lucratif. Et 
ce d’autant que la production alternative, « verte » montre clairement ses 
limites.

2. L’électricité, à l’heure actuelle, s'échange au coût dit « marginal ». 
Autrement dit on n’achète pas le kilowatt-heure au prix réel de production, 
mais à un prix qui serait le sien s’il fallait augmenter la production (par 
exemple en démarrant une centrale jusqu’ici arrêtée) pour produire ce kWh. Or, 
comme la plupart des centrales « d’appoint » fonctionnent soit au fuel, soit au 
gaz…

Vincent


De la spéculation qui fait augmenter les prix dans un marché dérégulé.

C'est à peine croyable.


JFB

--
Pour un exemple de récursivité indirecte voyez à l'autre porte.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC][TROLL] version.bind et NAPTR de saison

[Jean-Francois Billaud via frnog]

dig version.bind ch txt @ns2.billaud.eu.org +short

dig naptr dispositif.billaud.eu.org +short | sort | cut -c 12-35


JFB

--
Pour un exemple de récursivité indirecte voyez à l'autre porte.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] SDN (Software Defined Networking): Bullshit ou réalité ?

[Jean-Francois Billaud via frnog]

On 21/05/2021 07:09, Michel Py via frnog wrote:

> Question pour Cécile : quand on est une nana, comment on dit "plein les 
> couilles" ?

Les autres aussi peuvent répondre ?

GONADE, subst. fém.
BIOL. Glande génitale qui produit les gamètes et sécrète des hormones 
sexuelles. Gonade femelle (synon. ovaire), gonade mâle (synon. testicule).

Donc gonadoclaste = qui casse les gonades

et gonadoclastophobe = qui n'aime pas les gonadoclastes.


JFB (inclusif gonadoclastophobe ampélidophile xyloglotte)


PS https://www.cledut.net/xylo.htm

-- 
   __  _
   .-.'  `; `-._  __  _
  (_, .-:'  `; `-._
,'o"((_,   )
   (__,-'  ,'o"()>
  (   (__,-')
   `-'._.--._( )
  |||  |||`-'._.--._.-'
 |||  |||
(Bob Allison)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le protocole QUIC désormais normalisé

[Jean-Francois Billaud via frnog]

On 28/05/2021 08:41, Michel Py via frnog wrote:

>> Stephane Bortzmeyer a écrit :
>> Les quatre RFC sur QUIC viennent d'être publiés.
> 
> Est-ce qu'il n'aurait pas fallu écrire : Les quatre RFC sur QUIC viennent 
> d'être publiées ?
> 
> Est-ce qu'on dit un RFC, ou une RFC ? Littéralement, c'est une requête (ou 
> une demande), donc j'aurais tendance à pencher du coté féminin de la chose.
> 
> Contrairement à une croyance répandue, même en anglais les noms ont un genre. 
> Ce n'est pas aussi prononcé ni précis qu'en Français, mais ça existe quand 
> même.
> 
> Par exemple, quand un pilote parle d'un avion ou d'un navire et propose 
> "allons voir ce qu'il a dans le ventre", en anglais on dit "let's see what 
> she's got".
> En anglais, un avion ou un navire, c'est féminin. La logique n'est pas 
> meilleure qu'en Français, d'ailleurs.
> 
> Michel.

Avant de répondre il faut toujours voir d'abord si la question a été traitée 
sur le site de Stéphane :

https://www.bortzmeyer.org/rfc-masculin.html

JFB

-- 
   __  _
   .-.'  `; `-._  __  _
  (_, .-:'  `; `-._
,'o"((_,   )
   (__,-'  ,'o"()>
  (   (__,-')
   `-'._.--._( )
  |||  |||`-'._.--._.-'
 |||  |||
(Bob Allison)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le protocole QUIC désormais normalisé

[Jean-Francois Billaud via frnog]

Copie -> FRsAG

On 28/05/2021 07:23, Stephane Bortzmeyer wrote:

> Les quatre RFC sur QUIC viennent d'être publiés. Ce nouveau protocole
> de transport, concurrent de TCP, pourrait bien devenir le transport
> majoritaire sur l'Internet, et changer certaines choses (par exemple,
> la mécanique de la couche transport est désormais chiffrée et n'est
> plus visible par un observateur indiscret, ce qui fera peut-être râler
> certains).
> 
> https://www.bortzmeyer.org/quic.html

On peut tester avec nginx-quic qui utilise boringssl.

https://quic.nginx.org/
https://boringssl.googlesource.com/boringssl/


JFB


PS Testé avec Debian 10 (on peut se passer de ngx-fancyindex et de 
nginx-ct-master) :

### boringssl
# https://boringssl.googlesource.com/boringssl/
cd /usr/src
git clone https://boringssl.googlesource.com/boringssl
cd boringssl
mkdir build
cd build
cmake ..
make

### nginx-quic
# https://quic.nginx.org/
# https://hg.nginx.org/nginx-quic/shortlog/quic
cd /usr/src
hg clone -b quic https://hg.nginx.org/nginx-quic
cd nginx-quic
# README
./auto/configure --with-debug --with-http_v3_module \
--with-cc-opt="-I../boringssl/include" \
--with-ld-opt="-L../boringssl/build/ssl -L../boringssl/build/crypto" \
--prefix=/usr/local/nginx-quic \
--with-http_ssl_module --with-http_v2_module \
--with-http_stub_status_module --with-http_gzip_static_module \
--with-http_geoip_module \
--with-openssl-opt=no-shared \
--with-stream --with-stream_ssl_module --with-mail 
--with-mail_ssl_module \
--add-dynamic-module=/usr/src/nginx-ct-master 
--add-module=../ngx-fancyindex \
--user=www-data --group=www-data

make
make install

### /usr/local/nginx-quic/conf/nginx.conf
# (1)
events {}

http {
log_format quic '$remote_addr - $remote_user [$time_local] '
'"$request" $status $body_bytes_sent '
'"$http_referer" "$http_user_agent" "$quic" "$http3"';

access_log logs/access.log quic;

server {
# for better compatibility it's recommended
# to use the same port for quic and https
listen 443 http3 reuseport;
listen 443 ssl;

ssl_certificate fullchain.pem;
ssl_certificate_key privkey.pem;
ssl_protocols   TLSv1.3;

location / {
# required for browsers to direct them into quic port
add_header Alt-Svc '$http3=":443"; ma=86400';
add_header QUIC-Status $quic;
root   /var/www/html/;
index  index.html index.htm;

}
}
}



-- 
   __  _
   .-.'  `; `-._  __  _
  (_, .-:'  `; `-._
,'o"((_,   )
   (__,-'  ,'o"()>
  (   (__,-')
   `-'._.--._( )
  |||  |||`-'._.--._.-'
 |||  |||
(Bob Allison)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] dns court (était: Un CDN Down ?)

[Jean-Francois Billaud via frnog]

On 10/06/2021 18:20, Stephane Bortzmeyer wrote:

> On Thu, Jun 10, 2021 at 04:12:32PM +0200,
>  Jean-Francois Maeyhieux  wrote 
>  a message of 30 lines which said:
> 
>> Pourquoi pas utiliser plusieurs NS de fournisseurs différents pour
>> servir la zone ?
> 
> C'est en effet une bonne idée, et c'est ainsi que fonctionne .fr (ou,
> beaucoup plus modestement, bortzmeyer.org).
> 
> Malheureusement, beaucoup d'hébergeurs DNS « pour entreprise » ne
> permettent pas de faire des transferts de zones avec la méthode
> normalisée (AXFR), il faut passer par leur interface Web ou leur
> API. Si on veut synchroniser le contenu de sa zone sur les différents
> hébergeurs, il faut se faire un script appelant leurs API.

Bientôt xfr-over-tls DNS Zone Transfer-over-TLS :
https://datatracker.ietf.org/doc/draft-ietf-dprive-xfr-over-tls/
Discussion là :
https://mailarchive.ietf.org/arch/browse/dns-privacy/

Côté déploiement, xfr-over-tls va être à axfr ce que IPv6 est à IPv4.


JFB

-- 
Pourquoi pas le transfert de zone par des kangourous ?

  |\\._
  |   66__
   \_.P
   ,`) (
   )\   / __\__
  / /  / -._);_)
 |  `\/  \ __|\
  \  ;)  / )
   `\|   /__/ /__
jgs  `\__)___)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Bizarrerie des From sur la liste depuis aujourd'hui

[On behalf of Jean-Francois Billaud]

On 15/01/2020 00:34, Philippe Bourcier wrote:

> Bonsoir,

Bonsoir,

> Laurent à rajouté une modif... ca va faire "On behalf of...".
> Vous verrez avec les prochains DMARCeux.

Voyons donc (signature adaptée).

JFB
-- Arthur Kasspe

-- 
If you think the problem is bad now, just wait until we've solved it.
-- Arthur Kasspe


---
Liste de diffusion du FRnOG
http://www.frnog.org/