Re: [FRsAG] Gérer sa communauté d'ip RBL (fail2ban et consorts)

2012-10-23 Par sujet cam.la...@azerttyu.net 
Ciao

> hahha  le null route c'est efficace mais faut quand même maitriser son
> IGP :)  et là c'est plus forcément aussi courant :) Par contre remplacer
> le null route par un iptables sur les frontaux ça doit aussi efficace
> avec la même technique  ...

Merci pour vos retours. Effectivement pour ma part cela se jouera
plutôt au niveau d'iptables mais cela ne change pas grand chose dans
le principe.

Bon maintenant y a plus qu'à 

Km
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Gérer sa communauté d'ip RBL (fail2ban et consorts)

2012-10-23 Par sujet Xavier Beaudouin 

Salut,

Vu qu'une liaison fai, un loueur de serveur, ... ne sont pas sensé
te donner moins que /64 c'est que tu as forcément à faire à une
seule et même entité.


Je plussoie sur ce point. Le minimum à bloquer est le /64. C'est le
plus grand préfixe pour lequel on puisse supposer qu'il est géré par
une entité administrative unique. Si un administrateur réseau ne sait
pas contrôler ce qu'il se passe sur son réseau, c'est son problème.
On peut même dire que l'on met généralement un /64 IPv6 là où en IPv4
on met une adresse IPv4 unique (connexion résidentielle NATée par
exemple). Certains opérateurs attribuent des plus petits préfixes
(/127 pour l'interco ou des liaisons point-à-point), dans ce cas ce
sont des préfixes qui n'auraient jamais dû se retrouver dans les
internets. Bloquer au /128 reviendrait à flooder son propre parefeu
et on va pouvoir transformer un simple bruteforce SSH en une
magnifique attaque DoS à moindre coût.


Je vais me faire l'avocat du diable en tant que LIR.

Pour avoir du SLAAC un /64 est obligatoire. Mais dans le cas d'une IP 
fixe traditionnelle tu peux te mettre un /128 (type routage anycast) 
voire du /127 cas de liaison PtP :)


Et c'est pas parce que on utilise des /128 ou /127 (en ipv6) qu'ils vont 
se trouver dans les internets (sic). Regarde ce qu'il se fait

avec l'ipv4...

Donc un /64 n'est pas le plus grand prefixe que peux avoir dans un
réseau.

Et on parlais de RBL donc de protection "logicielle" Pas de 
protection firewall (en passant il y a des firewalls qui se 
demerdent bien avec /128 en ACL...).


Xavier
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Gérer sa communauté d'ip RBL (fail2ban et consorts)

2012-10-23 Par sujet Emmanuel Thierry 
Bonjour,

Le 23 oct. 2012 à 14:48, Xavier Beaudouin a écrit :

>> 
>> Je plussoie sur ce point. Le minimum à bloquer est le /64. C'est le
>> plus grand préfixe pour lequel on puisse supposer qu'il est géré par
>> une entité administrative unique. Si un administrateur réseau ne sait
>> pas contrôler ce qu'il se passe sur son réseau, c'est son problème.
>> On peut même dire que l'on met généralement un /64 IPv6 là où en IPv4
>> on met une adresse IPv4 unique (connexion résidentielle NATée par
>> exemple). Certains opérateurs attribuent des plus petits préfixes
>> (/127 pour l'interco ou des liaisons point-à-point), dans ce cas ce
>> sont des préfixes qui n'auraient jamais dû se retrouver dans les
>> internets. Bloquer au /128 reviendrait à flooder son propre parefeu
>> et on va pouvoir transformer un simple bruteforce SSH en une
>> magnifique attaque DoS à moindre coût.
> 
> Je vais me faire l'avocat du diable en tant que LIR.
> 
> Pour avoir du SLAAC un /64 est obligatoire. Mais dans le cas d'une IP fixe 
> traditionnelle tu peux te mettre un /128 (type routage anycast) voire du /127 
> cas de liaison PtP :)
> 
> Et c'est pas parce que on utilise des /128 ou /127 (en ipv6) qu'ils vont se 
> trouver dans les internets (sic). Regarde ce qu'il se fait
> avec l'ipv4...
> 
> Donc un /64 n'est pas le plus grand prefixe que peux avoir dans un
> réseau.

Je suis d'accord, ce n'est pas le plus grand préfixe possible. Moi même pour 
fournir de la connectivité IPv6 à des VMs sur un serveur j'ai redécoupé un /64 
en plusieurs réseaux. Par contre on peut considérer raisonnablement que j'étais 
l'administrateur de ce /64 et que j'étais responsable de ce qui se passait sur 
mon /64.

Concernant les /127 utilisés pour les interco ou les liens PtP, ce sont des IPs 
dédiées à l'opération de ton service d'opérateur et ne sont pas sensées sortir 
de ton AS, ou pour des cas très spécifiques liées à l'opération du réseau, 
est-ce que je me trompe ? Je ne vois justement pas de cas concret dans lequel 
un client pourrait utiliser de toute bonne foi son /128 attribué par son 
opérateur pour envoyer un mail. C'est pour cela que si je reçois un spam venant 
d'une IPv6 j'ai bien envie de bannir le /64 parce que:
- si le client final a reçu un /64 de son opérateur il est responsable de ce 
qui se passe dessus
- si le client final a reçu un /128 de son opérateur il n'était pas sensé 
l'utiliser pour ce genre de choses (?)
Est-ce que j'ai raté un bout de ton explication sur l'utilisation des /128 dans 
la vraie vie ?

> 
> Et on parlais de RBL donc de protection "logicielle" Pas de protection 
> firewall (en passant il y a des firewalls qui se demerdent bien avec /128 
> en ACL...).

Cela dépend de ce que tu entends par "se démerder avec des /128". Je veux bien 
admettre que les firewall acceptent des règles définies sur des adresses /128, 
mais que ce soit une protection logicielle ou un firewall je ne pense pas 
qu'ils supportent que l'on ajoute successivement à leur banlist tous les /128 
d'un /64 (parce que l'attaquant aura changé d'interface ID entre chaque scan). 
C'est pour cela que ça me paraissait assez inenvisageable de bannir sur la base 
du /128, rien que la quantité de mémoire nécessaire pour stocker cette 
information est faramineuse. C'est en cela que filtrer sur la base du /128 
donnerait à mon sens une capacité de nuisance faramineuse à un attaquant.

Cordialement
Emmanuel Thierry

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Mini PC fanless

2012-10-23 Par sujet Guillaume Genty 

Hello,

Le 19/10/2012 18:48, Dominique Martinet a écrit :

Salut,

Manuel OZAN wrote on Fri, Oct 19, 2012 :

Ps : la dernière solution consisterait à faire le PC "à la mano", un
boitier mini-ITX et roulez jeunesse..

J'ai tenté ta dernière solution pour la maison, j'ai pris une asus
fanless (pour ne pas le citer: Asus E35M1-I SI White Box, un peu plus
chère que les autres mais je voulais les beaucoup de ports sata), avec
une alim, un peu de ram et un boitier. J'ai mis des disques mais ça
pourrait completement se faire en boot par réseau, si tu veux qu'un
navigateur web graphique, y'a ça au moins sur les system rescue CD qui
font du bootp, je suis certain que ça existe ailleurs aussi :)
Pour les mêmes raisons (monitoring) j'ai commencé à monter une debian en 
squashfs qui bootait en PXE avec juste un navigateur en plein écran !
Je commence à avoir quelque-chose d'un peu fonctionnel, mais je suis 
bloqué sur le fait de lancer un navigateur en mode "kiosk" (plein écran) 
dès le démarrage de X sans aucun wm ni dm.
Et j'avoue ne pas avoir eu le temps de m'y repencher depuis un petit 
moment...


Si ça intéresse quelqu'un, je peux filer les sources et/ou image squashfs !



Résultat:
  - Pas de carte SD comme tu le souhaites, et c'est un peu du gachi de
mettre un ssd la dedans, donc faut voir comment tu l'installe
  - C'est quand même plus cher qu'un plug-computer ou autre truc du genre
au final
  - C'est pas completement fanless parce que l'alim de PC fanless, c'est
pas donné :( Niveau chaleur, du coup j'ai les ventillateurs du boitier
qui tournent à peine et ça tient plutôt pas mal. Sans ventillation du
tout ça monte un peu trop haut à mon goût si le cpu tourne à fond
pendant un moment, ça va sinon; avec un boitier qui laisse passer de
l'air c'est mieux :) (après je peux vraiment pas me plaindre niveau
bruit non plus)
Pas besoin d'installer du SSD, tu met une clé USB et le tour est joué. 
Tout bios un peu récent saura booter dessus...
Et si tu veux que rien ne dépasse, t'a toujours un connecteur DIL avec 
de l'USB qui traine sur le carte mère, et tu colle une prise USB à 
l'intérieur du boîtier.

Après, côté positif, c'est que c'est un ordi normal, lrgement assez
puissant, et je crois me souvenir de 14W sans les disques (probablement
un peu plus en charge, j'ai plus les chiffres en tête)

(sinon y'a toujours la possibilité du netbook avec écran/clavier/souris
externe, mais c'est tout aussi overkill)


Bref, y'a des pour et des contres, pour le fun je regarderai du côté des
systèmes plus petits/embarqués parce que si c'est vraiment qu'un
navigateur ça se fait bien à mon avis... Par contre c'est effectivement
un peu plus de boulot, faut voir quel est l'objectif principal :)

Et pour la Raspberry-Pi, je confirme, on peut installer une Debian 
dessus (Raspbian http://www.raspbian.org/) et faire des trucs pas mal 
avec, et surtout le chip graphique monte assez haut dans les résolutions 
(ça reste faible pour de la HD, mais pas mal pour une carte ARM à $25).


--
Guillaume Genty
Directeur Technique Adjoint
Tel: +33 1 41 44 83 00
Fax: +33 1 41 44 00 22
Waycom International, 2-6 rue des Bourets, 92150 Suresnes.

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Mini PC fanless

2012-10-23 Par sujet babounx baboun 
Bonjour.
Googleise : Fitpcii ou fitpc2i je ne sais plus le nom. Minuscule et grande
possibilité... j en ai 1 qui tourne depuis 1 ans sans aucun problème.
Le 19 oct. 2012 14:06, "Jean Baptiste Favre"  a écrit :

> Bonjour,
> Tu as *vraiment* besoin d'un gestionnaire de fenêtre sous X pour
> visualiser le monitoring ?
> Pour quoi pas un navigateur avec Xvfb ?
>
> Mes 2 cents,
> JB
>
> On 10/19/12 1:55 PM, Manuel OZAN wrote:
>
>> Bonjour,
>> J'ai bien sur pensé assez rapidement au Raspberry-PI mais les
>> problèmes sont multiples :
>> - Architecture CPU ARM (pas vraiment un pbm mais on s'éloigne de mes
>> objectifs) ;
>> - 512Mo de RAM et un CPU de 700 MHz me parait un peut léger quand il
>> s'agit d'une édition GNU/Linux orienté desktop (je me trompe
>> peut-être) ;
>> - Pas de sortie VGA ;
>>
>> Je n'exclue pas totalement le Raspberry dailleur, si vous avez un
>> boitier sympa (compatible VESA) à me conseiller... :)
>>
>> Le 19 octobre 2012 12:42, Nicolas CARTRON  a écrit
>> :
>>
>>> Hello,
>>>
>>> 2012/10/19 Fabien LEBRET 
>>>

 Bonjour,

 Je n'ai pas testé mais j'en ai entendu du bien :
 http://www.raspberrypi.org/

 Le Rapsberry, c'est de l'Arm, ca doit consommer quelques Watts et ça à
 512
 Mo de ram maintenant. Un port ethernet et 2 ports USB. Ca démarre sur
 du SD.

 Ca doit coûter dans les 50/60 euros avec le boitier et l'alimentation
 qui
 sont vendus séparément.

 Une actu récente sur le sujet :
 http://www.pcinpact.com/news/**74625-raspberry-pi-deux-fois-**
 plus-memoire-pour-meme-prix.**htm

>>>
> __**_
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Mini PC fanless

2012-10-23 Par sujet frederic ollivier 
2012/10/24 babounx baboun :
> Bonjour.
> Googleise : Fitpcii ou fitpc2i je ne sais plus le nom. Minuscule et grande
> possibilité... j en ai 1 qui tourne depuis 1 ans sans aucun problème.

à 413.82€ la bête, ça fait un peu cher non ?





-- 
Frédéric Ollivier

Envoyé depuis mon ipigeon voyageur télétypiste
___
Liste de diffusion du FRsAG
http://www.frsag.org/