Auteur Sujet: Reverse Engineering : Nouveau système de génération de l'option 90 DHCP (Lu 220244 fois)

dmfr · « **Réponse #144 le:** 01 octobre 2018 à 23:57:13 »

Citation de: xavierg le 01 octobre 2018 à 23:35:32

- d'algorithmes inconnus server-side
- de données difficilement extractibles livebox-side (certificat client, clé privée, ...)
- de communications entre les infrastructures d'Orange et la Livebox ("eh, livebox #345215, voici ton nouveau certificat client valable une semaine seulement")

Un bon délire technologique pour emm... les quelques technophiles du dimanche qui utilisent leur propre équipement.
Leur intérêt concret dans la manip ? A part frustrer gratuitement quelques clients.
Ou bien installer dans chaque LB quelque bigbrother qu'il serait trop lourd de placer sur le backbone ?

Désolé pour le mode bistrot

Catalyst · « **Réponse #145 le:** 02 octobre 2018 à 00:06:15 »

Citation de: xavierg le 01 octobre 2018 à 23:08:31

Je ne nie pas la nécessité d'une période de transition hein... je dis juste qu'une période de transition durant laquelle on transmet des informations (ici : le salt) juste pour le fun, ça n'a pas de sens.
Ce qui aurait le plus de sens c'est :
- on commence par transmettre les informations, on les vérifie côté serveur mais on ne refuse pas de répondre aux requêtes si la vérification échoue.
- quand les stats indiquent qu'on reçoit un pourcentage significatif de requêtes DHCP comportant ces informations, on passe la vérification à la vitesse supérieure et on commence à refuser de répondre.
Donc je tablerais sur une stabilisation des informations envoyées et, dans quelques semaines/mois, un contrôle de ces informations.

Il me semble que Orange est bien plus avancé dans son plan de déploiement. qu'on peut le penser.

* Les LB envoient ces options 90 avec les champs random etc depuis plus d'un an, sans qu'ils soient contrôlés, tant en terme de format que de validité du hash, par leurs seveurs DHCP. Le temps de mettre à jour le parc, finaliser les devs et préparer la mise en production.

* Orange décide comme ça la semaine dernière de bloquer les requêtes n'étant pas à ce nouveau format :

il y a de fortes chances qu'ils soient maintenant prêts à contrôler le contenu, au delta de temps près pour effectivement identifier et patcher les dernières rebelles

xavierg · « **Réponse #146 le:** 02 octobre 2018 à 08:06:37 »

Citation de: Hugues le 01 octobre 2018 à 23:56:54

L'auth DHCP va se complexifier, y'aura de l'anti rejeu. J'en sais pas plus, mais mon interlocuteur était assez pessimiste sur la possibilité de bypass le futur système.

Je pense que c'est là où les informations apportées sont trop parcellaires : l'ajout d'« anti-rejeu » ne réduit pas spécialement « la possibilité de bypass le futur système », à la regrettable exception toutefois de ceux qui n'ont pas les moyens de mettre à jour le code de leur client DHCP. Pour que le « futur système » soit vraiment difficile à bypasser, il faudrait de la crypto, beaucoup plus de crypto que ce MD5. Wait & See donc.

Citation de: dmfr le 01 octobre 2018 à 23:57:13

Un bon délire technologique pour emm... les quelques technophiles du dimanche qui utilisent leur propre équipement.
Leur intérêt concret dans la manip ? A part frustrer gratuitement quelques clients.
Ou bien installer dans chaque LB quelque bigbrother qu'il serait trop lourd de placer sur le backbone ?

Aucune idée... je suis trop habitué aux délires incessants des technos propriétaires, du Not Invented Here et du Théâtre de la Sécurité pour me poser la question.

Citation de: Catalyst le 02 octobre 2018 à 00:06:15

Il me semble que Orange est bien plus avancé dans son plan de déploiement. qu'on peut le penser.

Oui, tout à fait, on approche clairement de la dernière phase avec contrôle complet.

Vincent13 · « **Réponse #147 le:** 02 octobre 2018 à 09:34:18 »

En ce qui me concerne, résiliation demandée hier.

Je n'arrive pas à comprendre cette stratégie stupide.

L'herbe sera certainement plus verte ailleurs avec une box gérant le bridge!

hoyohoyo · « **Réponse #148 le:** 02 octobre 2018 à 09:38:13 »

Citation de: Vincent13 le 02 octobre 2018 à 09:34:18

En ce qui me concerne, résiliation demandée hier.

Je n'arrive pas à comprendre cette stratégie stupide.

L'herbe sera certainement plus verte ailleurs avec une box gérant le bridge!

Je ne vois pas ce qui est de meilleur avoir une box gérant le bridge .... consommer plus ?

ONT -> Box -> Routeur Franchement je ne trouve pas top , c'est mieux avoir ONT - > Routeur sauf si t'aime avoir pleins d'appareil

nivek1612 · « **Réponse #149 le:** 02 octobre 2018 à 09:45:13 »

Citation de: Vincent13 le 02 octobre 2018 à 09:34:18

En ce qui me concerne, résiliation demandée hier.

Je n'arrive pas à comprendre cette stratégie stupide.

L'herbe sera certainement plus verte ailleurs avec une box gérant le bridge!

À quel fournisseur allez-vous vous déplacer?

Vincent13 · « **Réponse #150 le:** 02 octobre 2018 à 09:48:19 »

Citation de: hoyohoyo le 02 octobre 2018 à 09:38:13

Je ne vois pas ce qui est de meilleur avoir une box gérant le bridge .... consommer plus ? ONT -> Box -> Routeur Franchement je ne trouve pas top , c'est mieux avoir ONT - > Routeur sauf si t'aime avoir pleins d'appareil

J'ai juste besoin d'une connexion stable, sans devoir trembler à chaque renew DHCP...
J'utilise l'edgerouter pour faire de la redondance entre deux connexions, du VPN entre deux sites. Être suspendu à ce type de changement ne m'enchante pas tellement

Citation de: nivek1612 le 02 octobre 2018 à 09:45:13

À quel fournisseur allez-vous vous déplacer?

Je vais tester Free, j'ai toujours SFR coax 400/40 en backup si cela ne me convient pas, le temps de tester autre chose.
Je crois qu'il n'est pas possible à ce jour de remplacer le FBX par un edge, en ZTD ?

nonosch · « **Réponse #151 le:** 02 octobre 2018 à 10:13:01 »

Citation de: Vincent13 le 02 octobre 2018 à 09:48:19

Je crois qu'il n'est pas possible à ce jour de remplacer le FBX par un edge, en ZTD ?

non ce n'est pas possible actuellement.

et d’expérience avec une freebox en bridge, la connexion est plus rapide et stable en double nat qu'en bridge.............

Il me semble que ce n'est pas le bon moment de passer de Bouygues à Orange pour avoir un meilleur support sur routeur Openwrt ?

Vincent13 · « **Réponse #152 le:** 02 octobre 2018 à 10:29:34 »

Citation de: nonosch le 02 octobre 2018 à 10:13:01

Il me semble que ce n'est pas le bon moment de passer de Bouygues à Orange pour avoir un meilleur support sur routeur Openwrt ?

Si l'on écoute Hugues, effectivement, il vaut peut-être mieux patienter quelques temps...

zoc · « **Réponse #153 le:** 02 octobre 2018 à 10:32:15 »

Citation de: Vincent13 le 02 octobre 2018 à 09:48:19

J'ai juste besoin d'une connexion stable, sans devoir trembler à chaque renew DHCP...

Idem.

D'ailleurs, en parlant de ça, je vois ce matin (mon premier RENEW a eu lieu hier soir, donc je ne sais pas si c'est lié à ça...) que je ne dépasse plus les 120 Mbits/sec. en débit descendant (Sur une offre Jet), aussi bien e IPv6 qu'en IPv4. J'ai par contre toujours les 300 Mbits/sec. montants... Je ne sais pas si c'est juste moi ou une nouvelle fourberie d'Orange (et malheureusement chez moi en FTTH c'est soit Orange soit rien).

testé avec iperf3

lmn69 · « **Réponse #154 le:** 02 octobre 2018 à 10:40:58 »

Le plus propre serait de demander aux mainteneurs des clients DHCP (udhcpc pour IPv4, odhcp6c pour IPv6 sous OpenWrt) de mettre en place un mécanisme de hook/callback pour faire appel à un programme ou un script externe pour générer dynamiquement une option à chaque requête envoyée par le client.
Les clients DHCP utilisent déjà l’appel d’un script pour mettre à jour le système (adresse IP des interfaces, routes, serveurs DNS …) en fonction des réponses du serveur DHCP.

Le procédé reste assez générique et on pourra fournir facilement un bout de script pour générer dynamiquement l’option 90 (ou 11 en DHCPv6) en changent le challenge random à chaque fois.

Certains FAI (hors de France) collaborent intelligemment avec les fabriquant de Routeurs et les mainteneurs de firmware Open Source (exemple ajout de l’option "noserverunicast" pour le DHCPv6 pour assurer la compatibilité des routeurs OpenWrt avec Fibre7)

Dans le pire des cas, le lease est de 3 jours, on peut se contenter de redémarrer le client DHCP avec une nouvelle chaîne d’authentification toutes les 63 heures...

Florian · « **Réponse #155 le:** 02 octobre 2018 à 10:44:30 »

Citation de: zoc le 02 octobre 2018 à 10:32:15

Idem.

D'ailleurs, en parlant de ça, je vois ce matin (mon premier RENEW a eu lieu hier soir, donc je ne sais pas si c'est lié à ça...) que je ne dépasse plus les 120 Mbits/sec. en débit descendant (Sur une offre Jet), aussi bien e IPv6 qu'en IPv4. J'ai par contre toujours les 300 Mbits/sec. montants... Je ne sais pas si c'est juste moi ou une nouvelle fourberie d'Orange (et malheureusement chez moi en FTTH c'est soit Orange soit rien).

testé avec iperf3

J'ai eu aussi un renew hier soir, et pas de soucis de débit ici (toujours les 94x mb en down, zone avec CoS nécessaire, je précise au cas où ça aussi viendrait à avoir une incidence dans tout le bordel qu'est orange... Question, remplace la sfr box, c'est plus simple qu'Orange ?

)