Auteur Sujet: Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports  (Lu 427833 fois)

0 Membres et 2 Invités sur ce sujet

underground78

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 7 434
  • Orsay (91)
    • FreePON : suivi géographique du déploiement fibre EPON chez Free
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #720 le: 20 février 2016 à 12:15:57 »
Faudrait que ça touche juste certains OS, ça serait étrange...

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 168
  • Delta S 10G-EPON sur Les Ulis (91)
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #721 le: 20 février 2016 à 12:16:50 »
Parce qu'ils n'utiliseraient pas le même port source par défaut ?

P.S : j'ai retrouvé le post de Vivien. Il est en fait en lien en bas de page, après vous utilisez le 'Port XXXXX', plus d'information :
Citer
- Windows modernes (à partir de 2007) : du port 49152 au port 65535
...
 Linux à partir de 2015 (noyaux 3.19 et suivants) : du port 32768 au port 60999

https://lafibre.info/tcpip/local_port_range/msg289090/#msg289090

P.S 2 : l'utilisateur en question, toroyvaca, a les ports 32768 à 49151...
« Modifié: 20 février 2016 à 16:39:37 par alain_p »

corrector

  • Invité
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #722 le: 20 février 2016 à 12:36:24 »
Parce qu'ils n'utiliseraient pas le même port source par défaut ?
Qu'est-ce que ça pourrait changer?

corrector

  • Invité
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #723 le: 20 février 2016 à 12:41:20 »
Je rappelle quand même le message d'erreur que rapporte l'utilisateur sur l'ADUF, quand il rentre ses identifiants sur les sites de l'EDF, et hotmail, avec Linux, smartphone en WiFi, mais pas en 3G/4G, tablette android en WiFi, mais pas windows 7 :

Cela semble bien pointer vers un problème de 'Secure Connexion'. Maintenant, j'attends vos hypothèses.
Il faudrait afficher le message d'erreur détaillé avec l'erreur de certificat ou autre.

Et faire une capture de l'initiation de la connexion TLS.

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 168
  • Delta S 10G-EPON sur Les Ulis (91)
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #724 le: 20 février 2016 à 12:48:16 »
Qu'est-ce que ça pourrait changer?

Que l'un pourrait être translaté et pas l'autre. A priori sous Windows, il serait forcèment translaté avec la plage qu'a l'utilisateur.

corrector

  • Invité
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #725 le: 20 février 2016 à 12:52:33 »
Je n'y crois pas trop, mais il pourrait tester en changeant la page de ports sous Windows...

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 168
  • Delta S 10G-EPON sur Les Ulis (91)
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #726 le: 20 février 2016 à 14:09:21 »
Bon, je me suis connecté sur le site EDF, et j'ai fait une capture du trafic réseau, mais je ne l'ai pas encore analysée. C'est un peu complexe, d'autant que le site EDF semble aussi répondre en IPv6...

Mais j'ai regardé aussi avec l'outil de débuggage réseau de Firefox, et voici ce que j'observe des différentes connexions :

On commence par une première connexion en http, avant de basculer en https :
1ere adresse, en HTTP :
93.188.170.32:80

Puis passage en https

Puis, après authentification espace abonné :
109.26.73.27:443

Puis, chargement page privée :
163.116.9.13:443

Et autre connexion (que je n'ai pas identifiée) :
195.167.195.164:443

Donc, on passe, d'une façon qui se veut transparente d'une connexion en https à une autre, donc avec des certificats différents. Il est probable que le passage d'un certificat à un autre se passe mal sous Android/linux.

corrector

  • Invité
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #727 le: 20 février 2016 à 14:26:19 »
https://sslanalyzer.comodoca.com/?url=https://wcb.linkeo.com/

SSL v3.0   Supported   Vulnerable to SSLv3 POODLE attack    INSECURE

https://sslanalyzer.comodoca.com/?url=https://monagencepart.edf.fr/

SSL v3.0   Supported   Vulnerable to SSLv3 POODLE attack    INSECURE

corrector

  • Invité
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #728 le: 20 février 2016 à 14:35:46 »
https://www.ssllabs.com/ssltest/analyze.html?d=particulier.edf.fr

Citer
SSL Report: particulier.edf.fr (109.26.73.27)


Additional Certificates (if supplied)
Certificates provided   3 (3452 bytes)
Chain issues   Incorrect order, Contains anchor

Bon, j'ai pas tout compris à la chaine de certificats.

corrector

  • Invité
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #729 le: 20 février 2016 à 14:48:51 »
https://www.ssllabs.com/ssltest/analyze.html?d=monagencepart.edf.fr

Citer
SSL Report: monagencepart.edf.fr (163.116.9.13)

Additional Certificates (if supplied)
Certificates provided   3 (3333 bytes)
Chain issues   Contains anchor

Signature algorithm   SHA1withRSA   WEAK

   KEYNECTIS Extended Validation CA
Fingerprint SHA1: 258b0db31231d8e2a4eb9fbd4d8f67b37cf2261b
Pin SHA256: AZQG1XXPKFo8LYu/gTPgz65IOcmcwYFb3yREhyWefNI=
RSA 2048 bits (e 65537)   / SHA1withRSA
WEAK SIGNATURE

SSL 3   INSECURE   Yes

Secure Renegotiation   Not supported   ACTION NEEDED

HTTP forwarding   http://www-edf-particulier-ru1.bisystem.com   PLAINTEXT

"This server supports anonymous (insecure) suites (see below for details). Grade set to F."

Il va de soi que je ne suis PAS d'accord avec cette estimation.

MAIS QUAND MÊME :

Citer
This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C.   MORE INFO »
This server supports weak Diffie-Hellman (DH) key exchange parameters. Grade capped to B.   MORE INFO »
Intermediate certificate has a weak signature. Upgrade to SHA2 as soon as possible to avoid browser warnings.  MORE INFO »
The server supports only older protocols, but not the current best TLS 1.2. Grade capped to C.  MORE INFO »
There is no support for secure renegotiation.  MORE INFO »

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 168
  • Delta S 10G-EPON sur Les Ulis (91)
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #730 le: 20 février 2016 à 16:16:23 »
Oui, on de drôles de surprises quand on consultes les DNS. Par exemple, la première adresse appartient à SFR, sous le nom vippub :

$ nslookup particulier.edf.fr
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
particulier.edf.fr      canonical name = vippub73-27-num.sfr-sh.net.
Name:   vippub73-27-num.sfr-sh.net
Address: 109.26.73.27

$ whois 109.26.73.27
...
inetnum:        109.26.64.0 - 109.26.127.255
netname:        N9UF-INFRA
descr:          Infra
country:        fr
...
person:         Pedro Gasalho
address:        Campus SFR
address:        12 rue Jean-Philippe Rameau
address:        CS 80001
address:        93634 La-Plaine-Saint-Denis Cedex
address:        France

La deuxième adresse, 163.116.9.13, monagencepart.edf.fr, n'a pas de reverse DNS, et est enregistrée... en Australie :

$ nslookup 163.116.9.13
Server:         8.8.8.8
Address:        8.8.8.8#53

** server can't find 13.9.116.163.in-addr.arpa: NXDOMAIN

~$ nslookup monagencepart.edf.fr
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
Name:   monagencepart.edf.fr
Address: 163.116.9.13

$ whois 163.116.9.13
...
irt:            IRT-APNIC-AP
address:        Brisbane, Australia
e-mail:         helpdesk@apnic.net
abuse-mailbox:  security@apnic.net
admin-c:        HM20-AP
tech-c:         NO4-AP




Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 804
  • 73
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #731 le: 20 février 2016 à 16:28:57 »
Bon, je me suis connecté sur le site EDF, et j'ai fait une capture du trafic réseau, mais je ne l'ai pas encore analysée. C'est un peu complexe, d'autant que le site EDF semble aussi répondre en IPv6...

Mais j'ai regardé aussi avec l'outil de débuggage réseau de Firefox, et voici ce que j'observe des différentes connexions :
[...]

Je confirme que HTTPS est effectivement un protocole matérialisé par du transfert de données TLS sur le port 443.

Donc, on passe, d'une façon qui se veut transparente d'une connexion en https à une autre, donc avec des certificats différents. Il est probable que le passage d'un certificat à un autre se passe mal sous Android/linux.

Pourquoi ?
Juste pour info, 99 % des sites web chargent des ressources de différentes origines (généralement plus de deux).
Un navigateur est un logiciel multithreadé et complexe qui peut admettre des contextes OpenSSL différents.

Oui, on de drôles de surprises quand on consultes les DNS. Par exemple, la première adresse appartient à SFR, sous le nom vippub :

Ce n'est pas vraiment étonnant. SFR Business fait de l'hébergement, même si c'est une activité plutôt marginale (héritée de l'époque LDCom).
Il y a toujours une page dédiée sur leur site : https://www.sfrbusiness.fr/solutions-entreprises/infrastructure-it/#hebergement
Le plus gros site hébergé par SFR est Allociné. On peut le voir à l'adresse vers laquelle résolvent allocine.fr, allocine.com et www.allocine.com (www.allocine.fr pointe vers le CDN Akamai qui s'interpose au milieu).

La deuxième adresse, 163.116.9.13, monagencepart.edf.fr, n'a pas de reverse DNS, et est enregistrée... en Australie :

Ce n'est pas étonnant non plus, il est très rare que toute l'infrastructure informatique d'une boîte de cette taille (+150K employés) soit centralisée sur une même plateforme.