Auteur Sujet: RENATERIX / SFINX, le GIX de RENATER est laissé à l'Abandon !  (Lu 1231 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 29 535
    • Twitter LaFibre.info
RENATERIX, le GIX de RENATER est laissé à l'Abandon !

https://www.sfinx.fr/ le site de RENATERIX :
- a une IPv6 (qui répond au ping) mais qui ne répond plus sur le port 80 ou 443.
- a un certificat https qui est expiré depuis 21 jours. Le site n'étant pas disponible en http, il n'est plus possible d'y accéder sans accepter manuellement le certificat
- est hébergé sur un serveur Ubuntu 10.04 LTS, sans aucune mise à jour de sécurité depuis le 30 avril 2015
- utilise le serveur Web Apache 2.2.14 qui a de nombreuses failles de sécurité
- Ne propose pas de protocole de TLS récent : le serveur ne propose ni TLS 1.1, ni TLS 1.2

Il y a pourtant encore du trafic : 6 Gb/s lors dupic du dimanhce soir :




RENATERIX a une IPv6 (qui répond au ping) mais qui ne répond plus sur le port 80 ou 443.

$ telnet -6 www.sfinx.fr 443
Trying 2001:660:3001:4002::5...
telnet: Unable to connect to remote host: Permission denied

$ telnet -6 www.sfinx.fr 80
Trying 2001:660:3001:4002::5...
telnet: Unable to connect to remote host: Permission denied

Il est donc impossible d'accéder au site en IPv6.

L'IPv6 répond bien au ping :

$ mtr -zrwc100 www.sfinx.fr
Start: Mon May 21 16:19:42 2018
HOST: lafibre                                                        Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. AS43142 bgp1.adeli.biz                                           0.0%   100    0.3   1.0   0.2  34.6   3.8
  2. AS43142 bgpcontroles17.maxnod.com                                0.0%   100    0.2   0.1   0.1   0.2   0.0
  3. AS???   renater.equinix-ix.fr                                    0.0%   100    6.7   7.8   6.5  36.4   4.0
  4. AS2200  xe0-1-2-paris1-rtr-131.noc.renater.fr                    0.0%   100    6.2   7.0   6.0  45.2   4.3
  5. AS2200  te3-8-paris1-rtr-021.noc.renater.fr                     69.0%   100    6.1   7.8   5.9  50.0   8.1
  6. AS2200  gip-renater-vl300-gi8-15-paris1-rtr-021.noc.renater.fr   1.0%   100    6.0   6.1   6.0   9.3   0.4
  7. AS2200  gip-paris1-swi-021.renater.fr                            0.0%   100    7.3   9.7   6.3  81.8   9.7
  8. AS2200  2001:660:3001:1170::1                                    0.0%   100    6.3   6.2   6.1  10.4   0.4
  9. AS2200  2001:660:3001:4002::5                                    0.0%   100    6.3   6.3   6.2   8.4   0.2




RENATERIX est hébergé sur un serveur Ubuntu 10.04 LTS

Ubuntu server 10.04 est sorti en avril 2010, il y a plus de 8 ans...



Dans le meilleur des cas, ce serveur ne reçois strictement plus aucune mise à jour de sécurité depuis le 30 avril 2015.

vivien

  • Administrateur
  • *
  • Messages: 29 535
    • Twitter LaFibre.info
RENATERIX, le GIX de RENATER est laissé à l'Abandon !
« Réponse #1 le: 21 mai 2018 à 17:00:52 »
RENATERIX un certificat https qui est expiré depuis 21 jours.

Le site n'étant pas disponible en http, il n'est plus possible d'y accéder sans accepter manuellement le certificat.

Pour le grand public, le site est inaccessible en IPv4 :




Le certificat installé sur le serveur :


vivien

  • Administrateur
  • *
  • Messages: 29 535
    • Twitter LaFibre.info
RENATERIX, le GIX de RENATER est laissé à l'Abandon !
« Réponse #2 le: 21 mai 2018 à 17:12:55 »
RENATERIX ne propose pas de protocole de TLS récent : le serveur ne propose ni TLS 1.1, ni TLS 1.2


Voici l'analyse de SSL Labs sur la version IPv4 de RENATERIX, la version IPv6 étant totalement inaccessible :



Je ne ferais aucun commentaire.

vivien

  • Administrateur
  • *
  • Messages: 29 535
    • Twitter LaFibre.info
RENATERIX, le GIX de RENATER est laissé à l'Abandon !
« Réponse #3 le: 21 mai 2018 à 17:17:40 »
Le site https://ip6.nl/ teste si les DNS ont de l'IPv6, mais ils ne vérifient même pas si les IP déclarées sont joignables...

RENATERIX y obtient 5 étoiles, alors que le site est inaccessible en IPv6.



underground78

  • Expert
  • Client Free fibre
  • *
  • Messages: 5 363
  • Orsay (91)
    • FreePON : suivi géographique du déploiement fibre EPON chez Free
RENATERIX / SFINX, le GIX de RENATER est laissé à l'Abandon !
« Réponse #4 le: 21 mai 2018 à 20:06:13 »
De ce que j'ai cru comprendre, Renater serait en sous-effectif chronique, ceci expliquant peut-être cela...

doctorrock

  • Client Orange Fibre
  • *
  • Messages: 181
  • Courbevoie 92
RENATERIX / SFINX, le GIX de RENATER est laissé à l'Abandon !
« Réponse #5 le: 29 mai 2018 à 19:30:44 »
Le certificat semble avoir été renouvelé là

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 5 397
  • FTTH 1Gb/s sur Paris (75)
RENATERIX / SFINX, le GIX de RENATER est laissé à l'Abandon !
« Réponse #6 le: 29 mai 2018 à 19:49:29 »
c'est que le site web et le domaine non ? sans doute pas une priorité pour eux.

vivien

  • Administrateur
  • *
  • Messages: 29 535
    • Twitter LaFibre.info
RENATERIX / SFINX, le GIX de RENATER est laissé à l'Abandon !
« Réponse #7 le: 29 mai 2018 à 20:25:47 »
J'ai relevé 4 problèmes :

1/ RENATERIX a une IPv6 (qui répond au ping) mais qui ne répond plus sur le port 80 ou 443.
=> résolut, merci aux équipes Renater

2/ RENATERIX est hébergé sur un serveur Ubuntu 10.04 LTS
Je ne sais pas si c'est résolut, en tout cas, apache n'expose plus sa version, il faudrait scanner pour voir si c'est un Apache 2.2 ou un Apache 2.4
Même si c'est toujours Ubuntu 10.04 LTS, c'est déjà mieux de ne pas exposer directement une version vulnérable.

3/ RENATERIX un certificat https qui est expiré depuis 21 jours.
=> résolut le 23 mai 2018, merci aux équipes Renater

4/ RENATERIX ne propose pas de protocole de TLS récent : le serveur ne propose ni TLS 1.1, ni TLS 1.2

Aucun changement, voici les version proposées :
TLS 1.3    No
TLS 1.2    No
TLS 1.1    No
TLS 1.0    Yes
SSL 3    No
SSL 2    No

SSL Labs liste toujours de nombreux problèmes de sécurité :
- This server supports weak Diffie-Hellman (DH) key exchange parameters. Grade capped to B.
- The server supports only older protocols, but not the current best TLS 1.2. Grade capped to C.
- This server accepts RC4 cipher, but only with older protocols. Grade capped to B.
- This server does not support Forward Secrecy with the reference browsers. Grade capped to B.
- This server does not support Authenticated encryption (AEAD) cipher suites. Grade capped to B.

iwa

  • Client SFR sur réseau Numericable
  • *
  • Messages: 38
  • Lille (59)
RENATERIX / SFINX, le GIX de RENATER est laissé à l'Abandon !
« Réponse #8 le: 30 mai 2018 à 12:47:49 »
Hello,

Pour info, je me suis permis d'envoyer le lien du topic au support RENATER le soir de ton premier post.
Je ne sais pas si c'est ce qui a déclenché les choses, mais c'est agréable de voir qu'ils sont réactifs !

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 5 397
  • FTTH 1Gb/s sur Paris (75)
RENATERIX / SFINX, le GIX de RENATER est laissé à l'Abandon !
« Réponse #9 le: 30 mai 2018 à 17:25:48 »
J'insiste mais le titre porte vraiment a confusion. C'est le site web pas le GIX lui meme est laissé à l'abandon...

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 6 456
  • Paris (15ème)
    • MilkyWan
RENATERIX / SFINX, le GIX de RENATER est laissé à l'Abandon !
« Réponse #10 le: 30 mai 2018 à 17:46:45 »
Si si, le GIX aussi...

 

Mobile View