La Fibre
Télécom => Télécom => Événements télécoms => Discussion démarrée par: vivien le 21 août 2019 à 15:14:28
-
Le FRnOG 33 aura lieu le 13 septembre 2019 aprés-midi
(https://lafibre.info/images/logo/logo_frnog.jpg)
C'est comme toujours à l'Hotel Intercontinental, entrée 1 Rue Auber (place de l'Opéra) ou 2 Rue Scribe, 75009 Paris
RER A - station Auber Métro 3/7/8 Opéra
Les inscriptions sont ouvertes :
http://www.frnog.org/index.php?page=frnog33
Le FRench Network Operators Group (FRnOG http://www.frnog.org/ (http://www.frnog.org/)) est une réunion d'experts réseaux.
Elle est organisée bénévolement par Philippe Bourcier.
Des sponsors financent la location de la salle et l’apéritif
FRnOG n'est pas une entité légale, c'est une association de fait, il n'y a ni bureau, ni cotisation, ni statuts.
Edit :
(https://lafibre.info/images/presse/201909_frnog33_programme.png)
-
J'en suis :-)
-
Moi aussi (j'ai oublié de le préciser)
-
Présent (mais je bosse la journée, donc début de soirée, pour l'apéro quoi :D)
-
Je vais poser des congés.
Cela fait un moment que je n'ai pas croisé Hugues et Galak :)
-
C'est possible que je passe 8)
-
Il y a retransmission vidéo ?
Bon FRnOG à tous :)
-
Oui : (Je viens de vérifier : retard de 10 secondes)
https://www.dailymotion.com/embed/video/x5zsrr8
14h30 - 14h35 Cyberstructure Stéphane Bortzmeyer
14h35 - 14h45 AOTA Update David Marciano - AOTA
14h45 - 15h00 Gérer, Monitorer automatiquement un réseau de 300 pops : Mal de crane ? Alexandre Legrix - BSO
15h00 - 15h25 OpenStreetMap pour cartographier vos infras physiques François Lacombe
15h25 - 15h40 How to put a bird on a docker container on arista Arnaud Fenioux - Hopus
15h40 - 15h55 3 ans de MMR à TH2, retour d’expérience Sami Slim - TeleHouse
15h55 - 16h00 BCP-162 : logs, CGNAT et cybercriminalité Vivien Guéant - LaFibre.info
16h00 - 16h30 == Pause café / Coffee break ==
16h40 - 17h05 Scaleway Approach to VXLAN EVPN Fabric Adrien Delbecq - Scaleway
17h05 - 17h20 Modern Day Network Data for Data-driven Peering Decisions Greg Villain - Kentik
17h20 - 17h45 2 ans de SONiC, retour d’expérience Michel Moriniaux - Criteo
17h45 - 18h15 Table-ronde : DoH dans les browsers, nouvelle arme anti-souveraineté numérique ?
- Pierre Beyssac (Eriomem / eu.org)
- Stéphane Bortzmeyer (AFNIC)
- Radu-Adrian Feurdean (FranceIX)
- Bruno Spiquel (SCANI)
- Nicolas Cartron (PowerDNS)
-
Concernant la table ronde sur DoH, les constructeurs commencent tout doucement à proposer des signatures pour détecter ce type de trafic.
Exemple expérimental chez Palo Alto : https://live.paloaltonetworks.com/t5/Blogs/App-IDs-for-April-2019/ba-p/256535
-
Comme il y a déjà 20 messages sur le sujet "BCP-162: logs, CGNat et cybercriminalité", je l'ai déplacé dans un sujet à part, dans la section TCP/IP : https://lafibre.info/tcpip/bcp-162-logs-cgnat-et-cybercriminalite/
Pour ceux qui ne pourront pas se déplacer, voici ma présentation au FRnOG 33 :
(cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/ipv6/201919_frnog33_logs_cgnat_cybercriminalite.png) (https://lafibre.info/images/ipv6/201919_frnog33_logs_cgnat_cybercriminalite.pdf)
-
Pour info la rediff est là :
[modération: vidéo en contenu privé]
Pratique pour ceux comme moi qui n'étaient pas sur place et ont oublié de le mettre en fond au boulot vendredi dernier
Vous pouvez passer les 55 première minutes.
-
Contenu privé... ::)
-
FRnOG 33 - David Marciano : AOTA Update
https://www.dailymotion.com/video/x7lb285
FRnOG 33 - François Lacombe : Les infrastructures sur OpenStreetMap
https://www.dailymotion.com/video/x7lb289
-
FRNOG 33 - Vivien Guéant : BCP-162, logs, CGNAT et cybercriminalité
https://www.dailymotion.com/video/x7lb287
FRNOG 33 - Adrien Delbecq : Scaleway Approach to VXLAN EVPN Fabric
https://www.dailymotion.com/video/x7lb286
-
FRNOG 33 - Michel Moriniaux : 2 ans de SONiC, retour d’expérience
https://www.dailymotion.com/video/x7lb28a
FRNOG 33 - Table-ronde : DoH dans les browsers, nouvelle arme anti-souveraineté numérique ?
(avec Pierre Beyssac, Stéphane Bortzmeyer, Radu-Adrian Feurdean, Bruno Spiquel, Nicolas...)
https://www.dailymotion.com/video/x7lb2kr
-
FRNOG 33 - Adrien Delbecq : Scaleway Approach to VXLAN EVPN Fabric
Cette prez était juste dingue, ils ont une fabric de malade mental, je suis complètement amoureux !
-
J'avoue que je suis venu de Luxembourg presque uniquement pour cette présentation.
Une bonne source d'inspiration pour l'éventuel DC à monter dans ma boîte.
Je me demande si on peut simuler un truc équivalent au contenu de la présentation dans Eve-NG.
-
La conf sur le DoH me fait penser à un autre usage qui n'est presque pas sécurisé non plus : la VoIP.
Vu que toute la téléphonie y bascule, je vois là un moyen très facile pour écouter les conversations.
A quand un coup de pied dans la fourmilière pour que les fournisseurs acceptent le SRTP ?
-
Je n'ai pas encore vu toutes les pres' mais celle de FranceIX sur leur brassage, instructive ++. Bon, je retourne à ma mini-baie de ouf ...
-
Intéressant la "Table-ronde : DoH dans les browsers". Je trouve curieux qu'ils n'abordent meme pas le prémisse n°1 : est-ce bien a un navigateur de faire DoH et pas plutôt a l'OS ou une application tiers spécifique (comme fait Intra (https://play.google.com/store/apps/details?id=app.intra) sur ChromeOS/Android par exemple - c'est comme un VPN mais que pour les flux DNS).
Autant DoH et DoT me paraissent bien, autant ca me choque que ce soit directement dans le navigateur. Ca n'a rien a y faire.
-
Autant DoH et DoT me paraissent bien, autant ca me choque que ce soit directement dans le navigateur. Ca n'a rien a y faire.
C'est aussi ce que de plus en plus de gens dans la comunnaute commencent a se dire. Et a ce sujet, DoT c'est sufissant.
-
Et a ce sujet, DoT c'est sufissant.
oui mais lors de la table ronde, quelqu'un évoquait que DoT pouvait être bloqué contrairement a DoH.
-
Tout à fait de nombreux hot spot wifi bloquent les reuêtes sur des ports autre que 80/443 + leur DNS maison (même POP3 / IMAP est bloqué).
C'est également le cas en entreprise, je connais peu d'entreprises qui laissent tous les ports ouvert en open bar.
-
oui mais lors de la table ronde, quelqu'un évoquait que DoT pouvait être bloqué contrairement a DoH.
Oui, mais pour aller plus loin, faut peut-etre penser a un VPN over HTTPS. Pas la peine de bordeliser l'ecosysteme.
D'ailleurs, bloquer HTTPS vers 1.1.1.1 et 1.0.0.1, ca ne coute rien non plus.
-
C'est également le cas en entreprise, je connais peu d'entreprises qui laissent tous les ports ouvert en open bar.
Si tout est fermé vers Internet comme c'est le cas chez bon nombre de grosses entreprises, et que les accès passent par un proxy, quid de DoH ?
-
La vrai question actuellement, c'est si Mozilla prends une tournure pro CloudFare et venait à imposer, au nom de "l'amélioration" cette option par défaut, enfouie dans des paramètres difficilement modifiables par la majorité. Les autres navigateurs emboîtant le pas et dirigent chez des "alliés". (on en est pas encore là)
Si tous les navigateurs (ayant une part de marché importante) implèmentent directement une résolution de noms au navigateur,je n'ose imaginer ce qui peut en suite en devenir des libertés individuelles.
-
Oui, mais pour aller plus loin, faut peut-etre penser a un VPN over HTTPS. Pas la peine de bordeliser l'ecosysteme.
D'ailleurs, bloquer HTTPS vers 1.1.1.1 et 1.0.0.1, ca ne coute rien non plus.
Firefox utilise mozilla.cloudflare-dns.com (104.16.248.249, 104.16.249.249), donc ça ferait deux IP à bloquer en plus (voire bloquer la résolution DNS initiale de cloudflare-dns.com, parce que ces IP ne sont pas forcèment fixes).
Le "VPN over HTTPS", dans le contexte du navigateur, c'est un peu ce que Mozilla propose avec Firefox Private Network (avec Cloudflare encore).
Il y a un cas de DoH, certes pas supporté par Firefox, qui n'est pas blocable : Google, car le domain fronting fonctionne !
$ curl -H 'Host: dns.google.com' 'https://www.google.com/resolve?name=example.com&type=A'
{"Status": 0,"TC": false,"RD": true,"RA": true,"AD": true,"CD": false,"Question":[ {"name": "example.com.","type": 1}],"Answer":[ {"name": "example.com.","type": 1,"TTL": 3684,"data": "93.184.216.34"}]}
Si tout est fermé vers Internet comme c'est le cas chez bon nombre de grosses entreprises, et que les accès passent par un proxy, quid de DoH ?
Ca passe comme du HTTPS, à part si le proxy bloque certains noms de domaine.
CONNECT mozilla.cloudflare-dns.com:443 HTTP/1.1
-
Je confirme que bloquer le domaine mozilla.cloudflare-dns.com via le DNS normal suffit à ce que firefox fasse toujours des requêtes classiques. Et cerise sur le gâteau ça ne ralenti même pas la résolution des noms (en tout cas je n'ai rien remarqué).
Merci bind et le RPZ :)
dig mozilla.cloudflare-dns.com
; <<>> DiG 9.11.3-1ubuntu1.9-Ubuntu <<>> mozilla.cloudflare-dns.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 51854
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 2
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 5a4e035f7025ce6e1977656d5d87a5e25070696f40d2693b (good)
;; QUESTION SECTION:
;mozilla.cloudflare-dns.com. IN A
;; ADDITIONAL SECTION:
blocked.lpa.lan. 3600 IN SOA blocked.lpa.lan. root.lpa.lan.blocked.lpa.lan. 2011031800 7200 1800 2592000 3600
;; Query time: 34 msec
;; SERVER: 192.168.1.10#53(192.168.1.10)
;; WHEN: Sun Sep 22 18:48:34 CEST 2019
;; MSG SIZE rcvd: 147
Par contre, il y va, à demander 4 fois d'affilé un domaine qui n’existe pas :P
-
En entreprise, cas général, les ports inutiles sont bloqués mais DoH fonctionne bien.
Toutefois cela sera peut-être autrement dans quelques années, si DoH se généralise et qu'il n'y a pas un grand choix de serveurs DoH.
Et pour ceux qui s’inquiètent pour les requêtes vers l'intranet : pas de problème, si DoH ne connais pas il fait une requête local.
-
Et pour ceux qui s’inquiètent pour les requêtes vers l'intranet : pas de problème, si DoH ne connais pas il fait une requête local.
Il y a quand même des cas où ça peut poser problème, quand le réseau n'est pas très bien configuré.
Par exemple à mon travail :
- La résolution des noms de domaines internes via un DNS public retourne une IP bidon au lieu d'échouer (ça semble être une "fonction" de Nordnet, dont les DNS ns*.lerelaisinternet.com renvoient 194.51.85.76, qui redirige vers leurs offres de DNS/hébergement, pour les sous-domaines inconnus...)
- au moins un des serveurs est accessible aussi depuis l'extérieur, mais utiliser l'IP publique depuis le réseau interne renvoie sur un autre service (donc erreur SSL)
J'ai donc signalé ça par anticipation, pour éviter des problèmes si jamais le DoH se retrouve activé par défaut dans les navigateurs en France.