Auteur Sujet: Reverse Engineering : Nouveau système de génération de l'option 90 DHCP (Lu 220527 fois)

xavierg · « **Réponse #132 le:** 01 octobre 2018 à 22:36:06 »

Citation de: Flo_77 le 01 octobre 2018 à 22:17:10

Oui c'est l'info qu'on avait au début, et avec tout cela on a tout pour pouvoir "forger" soi-même les requetes et ainsi bypasser la box tranquillement.
Maintenant l'ami Hugues nous apporte d'autres informations...

D'autres informations floues, vagues, et peu cohérentes avec le contenu actuel des requêtes... une période de transition durant laquelle les nouvelles données transmises ne sont pas vérifiées a du sens. Mais pourquoi s'emmerder avec une période de transition durant laquelle le salt et le random byte sont transmis si c'est pour les enlever plus tard ?

Flo_77 · « **Réponse #133 le:** 01 octobre 2018 à 22:40:22 »

Peut-être qu'il leur faut encore implèmenter la gestion des salts, dans la box, la vérification côté serveurs, etc...
Mise en place prématurée de ce système avant mise en prod, probablement $:-\$

xavierg · « **Réponse #134 le:** 01 octobre 2018 à 22:44:37 »

Franchement, vu la transmission actuelle toute moisie du mot de passe, je ne m'attends pas à un mécanisme qui casse trois pattes à un canard...

alarig · « **Réponse #135 le:** 01 octobre 2018 à 22:58:32 »

Citation de: xavierg le 01 octobre 2018 à 22:36:06

D'autres informations floues, vagues, et peu cohérentes avec le contenu actuel des requêtes... une période de transition durant laquelle les nouvelles données transmises ne sont pas vérifiées a du sens. Mais pourquoi s'emmerder avec une période de transition durant laquelle le salt et le random byte sont transmis si c'est pour les enlever plus tard ?

Parce que passer brutalement d’un système à l’autre, ça veut dire mettre à jour exactement en même temps toutes les liveboxes et également tous les routeurs de bordures. Dans les deux cas de figure, c’est complètement impossible.

xavierg · « **Réponse #136 le:** 01 octobre 2018 à 23:08:31 »

Je ne nie pas la nécessité d'une période de transition hein... je dis juste qu'une période de transition durant laquelle on transmet des informations (ici : le salt) juste pour le fun, ça n'a pas de sens.
Ce qui aurait le plus de sens c'est :
- on commence par transmettre les informations, on les vérifie côté serveur mais on ne refuse pas de répondre aux requêtes si la vérification échoue.
- quand les stats indiquent qu'on reçoit un pourcentage significatif de requêtes DHCP comportant ces informations, on passe la vérification à la vitesse supérieure et on commence à refuser de répondre.
Donc je tablerais sur une stabilisation des informations envoyées et, dans quelques semaines/mois, un contrôle de ces informations.

Hugues · « **Réponse #137 le:** 01 octobre 2018 à 23:16:46 »

Le LFBN, l'impèmentation actuelle de DHCP et compagnie chez Orange, est une architecture de transition. Et des infos que j'ai de la nouvelle, ça m'inquiète, voilà tout

petrus · « **Réponse #138 le:** 01 octobre 2018 à 23:28:15 »

LFBN c'est dans les reverses dns uniquement, c'est "FBN" le projet

Hugues · « **Réponse #139 le:** 01 octobre 2018 à 23:29:22 »

Ah merci, j'avais un doute ^^

Catalyst · « **Réponse #140 le:** 01 octobre 2018 à 23:33:40 »

Citation de: Nexius2 le 01 octobre 2018 à 20:52:45

j'ai egalement eu le soucis.
la modification a bien jouer sont role, mias du coup, je me pose egalement la question du bridge.
pour ceux qui ont testé, la partie DMZ joue pas un role equivalent et suffisant?

La DMZ marche correctement de mon expérience mais il y a des inconvénients :

double NAT,

plus d'internet quand la boiboîte a décidé toute seule de maj son firmware ou pire de se planter comme une grande, cela te rend dépendant d'un truc dont on se passait bien pour accéder au net.

cela ne résoud pas le problème de la TV,

et on n'est pas à l'abri des gags du genre impossible de joindre 1.1.1.1, comme en avril

xavierg · « **Réponse #141 le:** 01 octobre 2018 à 23:35:32 »

Citation de: Hugues le 01 octobre 2018 à 23:16:46

Le LFBN, l'impèmentation actuelle de DHCP et compagnie chez Orange, est une architecture de transition. Et des infos que j'ai de la nouvelle, ça m'inquiète, voilà tout

As-tu moyen de nous transmettre un maximum d'informations techniques objectives et fiables ? Il nous faut idéalement savoir quel genre de challenge nous attend pour mieux nous y préparer. Personnellement, je suis parfaitement préparé à devoir patcher isc-dhclient (ou à trouver un client DHCP alternatif plus facile à personnaliser) et à partager le code ainsi produit, mais ce qui m'intéresse le plus, c'est à quel point les échanges DHCP dépendront :
- d'algorithmes inconnus server-side
- de données difficilement extractibles livebox-side (certificat client, clé privée, ...)
- de communications entre les infrastructures d'Orange et la Livebox ("eh, livebox #345215, voici ton nouveau certificat client valable une semaine seulement")

kgersen · « **Réponse #142 le:** 01 octobre 2018 à 23:43:35 »

Franchement il vaut mieux se taire et rien dire que de dire 'j'ai des infos' et rien plus. Ca n'apporte rien a la discussion. Si vous avez besoin de flatter votre égo, ouvrez un sujet dans le bistro , ca sert a ca.

Hugues · « **Réponse #143 le:** 01 octobre 2018 à 23:56:54 »

Trop drôle.

Les infos que j'ai eues elles sont simples : L'auth DHCP va se complexifier, y'aura de l'anti rejeu. J'en sais pas plus, mais mon interlocuteur était assez pessimiste sur la possibilité de bypass le futur système (et il est dans un service bien informé).