Auteur Sujet: Le forum est temporairement accessible uniquement en IPv6  (Lu 15734 fois)

0 Membres et 1 Invité sur ce sujet

mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 297
  • Chelles (77)
    • L'antre de la bête
Le forum est temporairement accessible uniquement en IPv6
« Réponse #84 le: 08 septembre 2020 à 15:17:15 »
Bref, on a perdu lafibre.info en IPv4 durant plusieurs heures.

Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 5 971
Le forum est temporairement accessible uniquement en IPv6
« Réponse #85 le: 09 septembre 2020 à 19:57:04 »
Un grand merci à Hugues qui a permis la mise en place d'un tunnel GRE sans passer par Internet, afin d'avoir une IPv4 protégée par Volterra en back-end
Du coup, tu as toujours ton interface Net-Syst sur le serveur, en 2ieme interface?

Donc le tunnel fait Lafibre-Netsyst-MilkyWan-Voltera, c'est bien ça? Ou alors il s'arrête chez MilkyWan?

Tu n'es pas obligé de répondre en public, si tu penses que ça peut donner trop d'infos à l'attaquant.

Leon.

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Le forum est temporairement accessible uniquement en IPv6
« Réponse #86 le: 09 septembre 2020 à 20:42:16 »
C'est bien ça.

Il y a une route statique via Lyonix entre Netsyst et MilkyWan pour un tunnel GRE qui annonce une IPv4 MilkyWan, protégée par Volterra contre des attaques volumétrique. Il y a ensuite la plateforme anti-ddos Volterra qui termine la connexion TLS et assure un anti-DDoS niveau 7.

Donc inutile d'attaquer les IPv4 Adeli, il n'y a plus le forum dessus en IPv4.

Les point de terminaison TLS en IPv4 et IPv6 étant a des endroits différents, on a des différences amusantes.

Sur SSL Labs, vous pouvez voir que l'IPv6 et l'IPv4 sont toutes les deux notées A+, mais :

- TLS 1.3 : Supporté en IPv4, mais pas en IPv6
- Session resumption (caching) : Supporté en IPv6, mais pas en IPv4
- OCSP stapling : Supporté en IPv6, mais pas en IPv4
- Supported Named Groups : x25519, secp256r1 en IPv4 et secp256r1, secp521r1, brainpoolP512r1, brainpoolP384r1, secp384r1, brainpoolP256r1, secp256k1, sect571r1, sect571k1, sect409k1, sect409r1, sect283k1, sect283r1 en IPv6.
- HTTP server signature : volt-adc en IPv4 et Apache en IPv6

Cipher Suites IPv4 :
# TLS 1.3 (server has no preference)
TLS_AES_128_GCM_SHA256 (0x1301)   ECDH x25519 (eq. 3072 bits RSA)   FS    128
TLS_AES_256_GCM_SHA384 (0x1302)   ECDH x25519 (eq. 3072 bits RSA)   FS    256
TLS_CHACHA20_POLY1305_SHA256 (0x1303)   ECDH x25519 (eq. 3072 bits RSA)   FS    256
# TLS 1.2 (suites in server-preferred order)
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)   ECDH x25519 (eq. 3072 bits RSA)   FS    128
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   ECDH x25519 (eq. 3072 bits RSA)   FS    256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8)   ECDH x25519 (eq. 3072 bits RSA)   FS

Cipher Suites IPv6 :
# TLS 1.2 (suites in server-preferred order)
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   ECDH secp256r1 (eq. 3072 bits RSA)   FS    256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)   ECDH secp256r1 (eq. 3072 bits RSA)   FS    128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   ECDH secp256r1 (eq. 3072 bits RSA)   FS   WEAK    256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)   ECDH secp256r1 (eq. 3072 bits RSA)   FS   WEAK    128

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Le forum est temporairement accessible uniquement en IPv6
« Réponse #87 le: 10 septembre 2020 à 11:23:34 »
PS: je viens de poster mon message en en IPv4, l'IP archivée n'est pas du tout la mienne  ::)
Qqn peut activer le X-Forwarded-For ? :)

EDIT : par contre je constate autre chose, c'est que les adresses IPs de mes posts, ce ne sont pas mes IPs, mais des IPs appartenant à "Acorus Networks".

C'est mis en prod. Ce sont maintenant vos IPv4 qui apparaissent (et toujours les IPv6 pour ceux qui sont en IPv6).

C'est surtout utile quand un message est suspecté de SPAM.
Je met sur ce sujet les plage IP utilisée par tous les SAPM du forum : https://lafibre.info/evolution/les-ip-des-spammeurs/

Mon fichier /etc/apache2/conf-enabled/remoteip.conf :
RemoteIPHeader X-Forwarded-For
RemoteIPTrustedProxy 5.182.212.0/22 84.54.61.0/25 103.135.56.0/23

Les IPv4 sont celles listées sur https://www.volterra.io/docs/reference/network-cloud-ref

J'ai ensuite fait un
a2enmod remoteip
a2enconf remoteip
service apache2 restart

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Le forum est temporairement accessible uniquement en IPv6
« Réponse #88 le: 10 septembre 2020 à 19:31:03 »
ca fuite toujours l'ipv4 ?
a l'instant:

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Le forum est temporairement accessible uniquement en IPv6
« Réponse #89 le: 10 septembre 2020 à 20:00:21 »
Non, plus d’attaque.

Je ne connais pas la raison de l'affichage de cet écran, car le serveur était bien disponible.

Je veut bien être informé, si cela se reproduit (je l'ai moi même observé une fois).

underground78

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 7 434
  • Orsay (91)
    • FreePON : suivi géographique du déploiement fibre EPON chez Free
Le forum est temporairement accessible uniquement en IPv6
« Réponse #90 le: 10 septembre 2020 à 20:05:28 »
Je pense que kgersen se demandait surtout si l'IPv4 affiché sur le message d'erreur était toujours accessible l'adresse réelle du serveur ?

En pratique (et si je me rappelle bien) l'adresse en question est derrière Acorus Network et est donc à priori protégé contre les DDoS mais le fait de laisser apparaitre l'adresse IP reste une mauvaise idée.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Le forum est temporairement accessible uniquement en IPv6
« Réponse #91 le: 10 septembre 2020 à 20:07:59 »
Je pense que kgersen se demandait surtout si l'IPv4 affiché sur le message d'erreur était toujours accessible l'adresse réelle du serveur ?

En pratique (et si je me rappelle bien) l'adresse en question est derrière Acorus Network et est donc à priori protégé contre les DDoS mais le fait de laisser apparaitre l'adresse IP reste une mauvaise idée.

oui c'est l'IPv4 chez Milkywan qui est affichée la...on ne devrait pas la connaitre.

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Le forum est temporairement accessible uniquement en IPv6
« Réponse #92 le: 10 septembre 2020 à 20:24:52 »
Ça ne sera plus affiché très bientôt, lors de la prochaine mise en prod Volterra.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 425
  • Lyon (69) / St-Bernard (01)
    • Twitter
Le forum est temporairement accessible uniquement en IPv6
« Réponse #93 le: 10 septembre 2020 à 20:26:30 »
C’est pas dramatique qu’elle soit connue, elle est bloquée en dehors de milkywan/Volterra :)

Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 5 971
Le forum est temporairement accessible uniquement en IPv6
« Réponse #94 le: 10 septembre 2020 à 23:17:44 »
C'est mis en prod. Ce sont maintenant vos IPv4 qui apparaissent (et toujours les IPv6 pour ceux qui sont en IPv6).
Comment ça fonctionne dans la pratique? Le proxy Voltera indique au serveur lafibre.info l'IPv4 du client dans une option particulière du header http, ou un truc dans le genre?

Leon.

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
Le forum est temporairement accessible uniquement en IPv6
« Réponse #95 le: 11 septembre 2020 à 09:03:59 »
Voici les informations qu'affiche Volterra pour chaque requête :



On voit que c'est rentré en anycast sur le point de présence d'Amsterdam de volterra.
C'est une IP Française (OVH)

Volterra rajoute des informations sur la requête, notamment le x_forwarded_for qui contient l'IPv4.

C'est ce champ qui est récupéré par Apache et qui est utilisé pour remplacer l'IPv4 source présenté au serveur, uniquement pour le range IP indiqué dans le fichier de configuration.