La Fibre

Télécom => Télécom => télécom Événements télécoms => Discussion démarrée par: vivien le 21 août 2019 à 15:14:28

Titre: FRnOG 33 le 13/09/2019
Posté par: vivien le 21 août 2019 à 15:14:28
Le FRnOG 33 aura lieu le 13 septembre 2019 aprés-midi

(https://lafibre.info/images/logo/logo_frnog.jpg)

C'est comme toujours à l'Hotel Intercontinental, entrée 1 Rue Auber (place de l'Opéra) ou 2 Rue Scribe, 75009 Paris
RER A - station Auber Métro 3/7/8 Opéra

Les inscriptions sont ouvertes :
http://www.frnog.org/index.php?page=frnog33

Le FRench Network Operators Group (FRnOG http://www.frnog.org/ (http://www.frnog.org/)) est une réunion d'experts réseaux.

Elle est organisée bénévolement par Philippe Bourcier.
Des sponsors financent la location de la salle et l’apéritif
FRnOG n'est pas une entité légale, c'est une association de fait, il n'y a ni bureau, ni cotisation, ni statuts.



Edit :
(https://lafibre.info/images/presse/201909_frnog33_programme.png)
Titre: FRnOG 33 le 13/09/2019
Posté par: Hugues le 21 août 2019 à 16:23:30
J'en suis :-)
Titre: FRnOG 33 le 13/09/2019
Posté par: vivien le 21 août 2019 à 17:18:22
Moi aussi (j'ai oublié de le préciser)
Titre: FRnOG 33 le 13/09/2019
Posté par: doctorrock le 22 août 2019 à 14:57:50
Présent (mais je bosse la journée, donc début de soirée, pour l'apéro quoi  :D)
Titre: FRnOG 33 le 13/09/2019
Posté par: Nh3xus le 22 août 2019 à 19:49:49
Je vais poser des congés.

Cela fait un moment que je n'ai pas croisé Hugues et Galak :)
Titre: FRnOG 33 le 13/09/2019
Posté par: Ballast le 22 août 2019 à 20:32:59
C'est possible que je passe  8)
Titre: FRnOG 33 le 13/09/2019
Posté par: PhilippeMarques le 13 septembre 2019 à 13:32:23
Il y a retransmission vidéo ?

Bon FRnOG à tous :)
Titre: FRnOG 33 le 13/09/2019
Posté par: vivien le 13 septembre 2019 à 14:22:58
Oui : (Je viens de vérifier : retard de 10 secondes)

https://www.dailymotion.com/embed/video/x5zsrr8

14h30 - 14h35    Cyberstructure   Stéphane Bortzmeyer

14h35 - 14h45    AOTA Update David Marciano - AOTA

14h45 - 15h00    Gérer, Monitorer automatiquement un réseau de 300 pops : Mal de crane ? Alexandre Legrix - BSO

15h00 - 15h25    OpenStreetMap pour cartographier vos infras physiques François Lacombe

15h25 - 15h40    How to put a bird on a docker container on arista Arnaud Fenioux - Hopus

15h40 - 15h55    3 ans de MMR à TH2, retour d’expérience Sami Slim - TeleHouse

15h55 - 16h00    BCP-162 : logs, CGNAT et cybercriminalité Vivien Guéant - LaFibre.info

16h00 - 16h30    == Pause café / Coffee break ==

16h40 - 17h05    Scaleway Approach to VXLAN EVPN Fabric Adrien Delbecq - Scaleway

17h05 - 17h20    Modern Day Network Data for Data-driven Peering Decisions Greg Villain - Kentik

17h20 - 17h45    2 ans de SONiC, retour d’expérience Michel Moriniaux - Criteo

17h45 - 18h15    Table-ronde : DoH dans les browsers, nouvelle arme anti-souveraineté numérique ?
- Pierre Beyssac (Eriomem / eu.org)
- Stéphane Bortzmeyer (AFNIC)
- Radu-Adrian Feurdean (FranceIX)
- Bruno Spiquel (SCANI)
- Nicolas Cartron (PowerDNS)
Titre: FRnOG 33 le 13/09/2019
Posté par: Nh3xus le 16 septembre 2019 à 10:04:55
Concernant la table ronde sur DoH, les constructeurs commencent tout doucement à proposer des signatures pour détecter ce type de trafic.

Exemple expérimental chez Palo Alto : https://live.paloaltonetworks.com/t5/Blogs/App-IDs-for-April-2019/ba-p/256535
Titre: FRnOG 33 le 13/09/2019
Posté par: vivien le 16 septembre 2019 à 13:28:53
Comme il y a déjà 20 messages sur le sujet "BCP-162: logs, CGNat et cybercriminalité", je l'ai déplacé dans un sujet à part, dans la section TCP/IP : https://lafibre.info/tcpip/bcp-162-logs-cgnat-et-cybercriminalite/

Pour ceux qui ne pourront pas se déplacer, voici ma présentation au FRnOG 33 :

(cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/ipv6/201919_frnog33_logs_cgnat_cybercriminalite.png) (https://lafibre.info/images/ipv6/201919_frnog33_logs_cgnat_cybercriminalite.pdf)
Titre: FRnOG 33 le 13/09/2019
Posté par: Ilyazam le 17 septembre 2019 à 20:04:39
Pour info la rediff est là :
[modération: vidéo en contenu privé]

Pratique pour ceux comme moi qui n'étaient pas sur place et ont oublié de le mettre en fond au boulot vendredi dernier
Vous pouvez passer les 55 première minutes.
Titre: FRnOG 33 le 13/09/2019
Posté par: Nh3xus le 20 septembre 2019 à 13:48:18
Contenu privé...  ::)
Titre: FRnOG 33 le 13/09/2019
Posté par: vivien le 20 septembre 2019 à 13:59:14
FRnOG 33 - David Marciano : AOTA Update

https://www.dailymotion.com/video/x7lb285


FRnOG 33 - François Lacombe : Les infrastructures sur OpenStreetMap

https://www.dailymotion.com/video/x7lb289
Titre: FRnOG 33 le 13/09/2019
Posté par: vivien le 20 septembre 2019 à 14:00:31
FRNOG 33 - Vivien Guéant : BCP-162, logs, CGNAT et cybercriminalité

https://www.dailymotion.com/video/x7lb287


FRNOG 33 - Adrien Delbecq : Scaleway Approach to VXLAN EVPN Fabric

https://www.dailymotion.com/video/x7lb286
Titre: FRnOG 33 le 13/09/2019
Posté par: vivien le 20 septembre 2019 à 14:01:48
FRNOG 33 - Michel Moriniaux : 2 ans de SONiC, retour d’expérience

https://www.dailymotion.com/video/x7lb28a


FRNOG 33 - Table-ronde : DoH dans les browsers, nouvelle arme anti-souveraineté numérique ?
(avec Pierre Beyssac, Stéphane Bortzmeyer, Radu-Adrian Feurdean, Bruno Spiquel, Nicolas...)


https://www.dailymotion.com/video/x7lb2kr
Titre: FRnOG 33 le 13/09/2019
Posté par: Hugues le 20 septembre 2019 à 16:30:22
FRNOG 33 - Adrien Delbecq : Scaleway Approach to VXLAN EVPN Fabric

Cette prez était juste dingue, ils ont une fabric de malade mental, je suis complètement amoureux !
Titre: FRnOG 33 le 13/09/2019
Posté par: Nh3xus le 21 septembre 2019 à 20:46:09
J'avoue que je suis venu de Luxembourg presque uniquement pour cette présentation.

Une bonne source d'inspiration pour l'éventuel DC à monter dans ma boîte.

Je me demande si on peut simuler un truc équivalent au contenu de la présentation dans Eve-NG.
Titre: FRnOG 33 le 13/09/2019
Posté par: renaud07 le 22 septembre 2019 à 03:23:16
La conf sur le DoH me fait penser à un autre usage qui n'est presque pas sécurisé non plus : la VoIP.

Vu que toute la téléphonie y bascule, je vois là un moyen très facile pour écouter les conversations.

A quand un coup de pied dans la fourmilière pour que les fournisseurs acceptent le SRTP ?
Titre: FRnOG 33 le 13/09/2019
Posté par: Catalyst le 22 septembre 2019 à 03:39:01
Je n'ai pas encore vu toutes les pres' mais celle de FranceIX sur leur brassage, instructive ++. Bon, je retourne à ma mini-baie de ouf ...
Titre: FRnOG 33 le 13/09/2019
Posté par: kgersen le 22 septembre 2019 à 09:26:37
Intéressant la "Table-ronde : DoH dans les browsers". Je trouve curieux qu'ils n'abordent meme pas le prémisse n°1 : est-ce bien a un navigateur de faire DoH et pas plutôt a l'OS ou une application tiers spécifique (comme fait Intra (https://play.google.com/store/apps/details?id=app.intra) sur ChromeOS/Android par exemple - c'est comme un VPN mais que pour les flux DNS).

Autant DoH et DoT me paraissent bien, autant ca me choque que ce soit directement dans le navigateur. Ca n'a rien a y faire.
Titre: FRnOG 33 le 13/09/2019
Posté par: raf le 22 septembre 2019 à 10:38:42
Autant DoH et DoT me paraissent bien, autant ca me choque que ce soit directement dans le navigateur. Ca n'a rien a y faire.
C'est aussi ce que de plus en plus de gens dans la comunnaute commencent a se dire. Et a ce sujet, DoT c'est sufissant.
Titre: FRnOG 33 le 13/09/2019
Posté par: kgersen le 22 septembre 2019 à 13:08:21
Et a ce sujet, DoT c'est sufissant.

oui mais lors de la table ronde, quelqu'un évoquait que DoT pouvait être bloqué contrairement a DoH.
Titre: FRnOG 33 le 13/09/2019
Posté par: vivien le 22 septembre 2019 à 14:24:38
Tout à fait de nombreux hot spot wifi bloquent les reuêtes sur des ports autre que 80/443 + leur DNS maison (même POP3 / IMAP est bloqué).

C'est également le cas en entreprise, je connais peu d'entreprises qui laissent tous les ports ouvert en open bar.
Titre: FRnOG 33 le 13/09/2019
Posté par: raf le 22 septembre 2019 à 14:36:30
oui mais lors de la table ronde, quelqu'un évoquait que DoT pouvait être bloqué contrairement a DoH.
Oui, mais pour aller plus loin, faut peut-etre penser a un VPN over HTTPS. Pas la peine de bordeliser l'ecosysteme.
D'ailleurs, bloquer HTTPS vers 1.1.1.1 et 1.0.0.1, ca ne coute rien non plus.
Titre: FRnOG 33 le 13/09/2019
Posté par: Thornhill le 22 septembre 2019 à 14:48:13

C'est également le cas en entreprise, je connais peu d'entreprises qui laissent tous les ports ouvert en open bar.

Si tout est fermé vers Internet comme c'est le cas chez bon nombre de grosses entreprises, et que les accès passent par un proxy, quid de DoH ?
Titre: FRnOG 33 le 13/09/2019
Posté par: PhilippeMarques le 22 septembre 2019 à 14:59:51
La vrai question actuellement, c'est si Mozilla prends une tournure pro CloudFare et venait à imposer, au nom de "l'amélioration" cette option par défaut, enfouie dans des paramètres difficilement modifiables par la majorité. Les autres navigateurs emboîtant le pas et dirigent chez des "alliés". (on en est pas encore là)
Si tous les navigateurs (ayant une part de marché importante) implèmentent directement une résolution de noms au navigateur,je n'ose imaginer ce qui peut en suite en devenir des libertés individuelles.
Titre: FRnOG 33 le 13/09/2019
Posté par: hwti le 22 septembre 2019 à 16:13:18
Oui, mais pour aller plus loin, faut peut-etre penser a un VPN over HTTPS. Pas la peine de bordeliser l'ecosysteme.
D'ailleurs, bloquer HTTPS vers 1.1.1.1 et 1.0.0.1, ca ne coute rien non plus.
Firefox utilise mozilla.cloudflare-dns.com (104.16.248.249, 104.16.249.249), donc ça ferait deux IP à bloquer en plus (voire bloquer la résolution DNS initiale de cloudflare-dns.com, parce que ces IP ne sont pas forcèment fixes).
Le "VPN over HTTPS", dans le contexte du navigateur, c'est un peu ce que Mozilla propose avec Firefox Private Network (avec Cloudflare encore).

Il y a un cas de DoH, certes pas supporté par Firefox, qui n'est pas blocable : Google, car le domain fronting fonctionne !
$ curl -H 'Host: dns.google.com' 'https://www.google.com/resolve?name=example.com&type=A'
{"Status": 0,"TC": false,"RD": true,"RA": true,"AD": true,"CD": false,"Question":[ {"name": "example.com.","type": 1}],"Answer":[ {"name": "example.com.","type": 1,"TTL": 3684,"data": "93.184.216.34"}]}

Si tout est fermé vers Internet comme c'est le cas chez bon nombre de grosses entreprises, et que les accès passent par un proxy, quid de DoH ?
Ca passe comme du HTTPS, à part si le proxy bloque certains noms de domaine.
CONNECT mozilla.cloudflare-dns.com:443 HTTP/1.1
Titre: FRnOG 33 le 13/09/2019
Posté par: renaud07 le 22 septembre 2019 à 18:40:16
Je confirme que bloquer le domaine mozilla.cloudflare-dns.com via le DNS normal suffit à ce que firefox fasse toujours des requêtes classiques. Et cerise sur le gâteau ça ne ralenti même pas la résolution des noms (en tout cas je n'ai rien remarqué).

Merci bind et le RPZ :)

dig mozilla.cloudflare-dns.com

; <<>> DiG 9.11.3-1ubuntu1.9-Ubuntu <<>> mozilla.cloudflare-dns.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 51854
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 5a4e035f7025ce6e1977656d5d87a5e25070696f40d2693b (good)
;; QUESTION SECTION:
;mozilla.cloudflare-dns.com. IN A

;; ADDITIONAL SECTION:
blocked.lpa.lan. 3600 IN SOA blocked.lpa.lan. root.lpa.lan.blocked.lpa.lan. 2011031800 7200 1800 2592000 3600

;; Query time: 34 msec
;; SERVER: 192.168.1.10#53(192.168.1.10)
;; WHEN: Sun Sep 22 18:48:34 CEST 2019
;; MSG SIZE  rcvd: 147


Par contre, il y va, à demander 4 fois d'affilé un domaine qui n’existe pas  :P
Titre: FRnOG 33 le 13/09/2019
Posté par: vivien le 22 septembre 2019 à 22:28:27
En entreprise, cas général, les ports inutiles sont bloqués mais DoH fonctionne bien.
Toutefois cela sera peut-être autrement dans quelques années, si DoH se généralise et qu'il n'y a pas un grand choix de serveurs DoH.

Et pour ceux qui s’inquiètent pour les requêtes vers l'intranet : pas de problème, si DoH ne connais pas il fait une requête local.
Titre: FRnOG 33 le 13/09/2019
Posté par: hwti le 22 septembre 2019 à 23:36:20
Et pour ceux qui s’inquiètent pour les requêtes vers l'intranet : pas de problème, si DoH ne connais pas il fait une requête local.
Il y a quand même des cas où ça peut poser problème, quand le réseau n'est pas très bien configuré.
Par exemple à mon travail :
 - La résolution des noms de domaines internes via un DNS public retourne une IP bidon au lieu d'échouer (ça semble être une "fonction" de Nordnet, dont les DNS ns*.lerelaisinternet.com renvoient 194.51.85.76, qui redirige vers leurs offres de DNS/hébergement, pour les sous-domaines inconnus...)
 - au moins un des serveurs est accessible aussi depuis l'extérieur, mais utiliser l'IP publique depuis le réseau interne renvoie sur un autre service (donc erreur SSL)
J'ai donc signalé ça par anticipation, pour éviter des problèmes si jamais le DoH se retrouve activé par défaut dans les navigateurs en France.