Auteur Sujet: Reverse Engineering : Nouveau système de génération de l'option 90 DHCP (Lu 220572 fois)

konki · « **Réponse #204 le:** 03 octobre 2018 à 13:53:12 »

Citation de: zoc le 02 octobre 2018 à 10:32:15

Idem.

D'ailleurs, en parlant de ça, je vois ce matin (mon premier RENEW a eu lieu hier soir, donc je ne sais pas si c'est lié à ça...) que je ne dépasse plus les 120 Mbits/sec. en débit descendant (Sur une offre Jet), aussi bien e IPv6 qu'en IPv4. J'ai par contre toujours les 300 Mbits/sec. montants... Je ne sais pas si c'est juste moi ou une nouvelle fourberie d'Orange (et malheureusement chez moi en FTTH c'est soit Orange soit rien).

testé avec iperf3

Bonjour

Je fonctionne dans configuration avec livebox pour le tel/tv et Erl 3 en DHCP avec br0/1 et ipv4 seulement. J'en suis à au moins 3 renew depuis le bound du 28/9/18 18h58, peut-être car mon router exécute le script watchdog de zoc? La chaine hexa send rfc3118-auth est toujours celle que j'ai copier dans les infos cachés de la livebox (livebox info onglet Mibs données DHCP V4 Sent option 90) pour avoir le bound. J'avais conservé la chaine complète et j'étais passé par l'interface Config Tree du router pour l'injecter (interfaces / ethernet / eth1 / vif / 832 / dhcp-options : DHCP client (IPv4) options ).

Pas de modification des débits (up 950 Mbps, down 300 Mbps en test rapide sur speedtest.net avec bouygues).

Il y a peut-être eu une déconnexion car le dernier renew est de ce matin à 1h00 alors que les premiers que j'ai constaté étaient toujours à 18h58.

Konki

Jeyriku · « **Réponse #205 le:** 03 octobre 2018 à 13:55:33 »

=> Donc à mon sens il y a une raison : Une certaine segmentation commerciale, avec en fond l'idée de ne "pas trop" laisser de possibilités aux offres les moins chères, de peur que les presta ouvrent des lignes FTTH (ou VDSL2) et placent leur offres par-dessus, avec des routeurs capable de faire du multiwan ou de la 4G pour éviter de prendre des liens avec GTR.

Tout à fait d'accord, il y a, je pense, effectivement un enjeu commercial. Et l'industrialisation des déploiements quand on lance une nouvelle offre pro (ici sur le FTTH) devient un enjeu important. Si en plus cela fait taire les quelques geeks qui souhaitaient bypasser la livebox (là j'entends Orange glousser)...Donc à moins qu'Orange distingue les chaines de provisionning PRO/GP sur le FTTH, on devrait tous être soumis aux même règles, vous ne croyez pas ?
On devrait etre fixé prochainement (ou pas) de toute manière ;-)

gregouille · « **Réponse #206 le:** 03 octobre 2018 à 14:02:56 »

Pour l'IPv6
c'est bien de
raw-option 11 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:65:77:74:FF:AB:XX:XX
à
raw-option 11 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:65:77:74:FF:AB:1a:09:00:00:05:58:01:03:41:01:0d:XX:XX

?

zoc · « **Réponse #207 le:** 03 octobre 2018 à 14:56:36 »

Citation de: konki le 03 octobre 2018 à 13:53:12

Pas de modification des débits (up 950 Mbps, down 300 Mbps en test rapide sur speedtest.net avec bouygues).

Fausse alerte chez moi, pour une raison qui m'échappe encore une VM ESXi qui atteignait le Gb depuis l'extérieur avant ne l'atteint plus, et de loin, sauf vers les autres machines de mon LAN (Pas le temps d'investiguer plus).

Par contre mon iMac tout neuf atteint bien le Gb depuis l'extérieur.

zoc · « **Réponse #208 le:** 03 octobre 2018 à 14:57:45 »

Citation de: gregouille le 03 octobre 2018 à 14:02:56

Pour l'IPv6
c'est bien de
raw-option 11 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:65:77:74:FF:AB:XX:XX
à
raw-option 11 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:65:77:74:FF:AB:1a:09:00:00:05:58:01:03:41:01:0d:XX:XX

Non.

La chaine pour l'option 11 est strictement identique à celle de l'option 90. Donc:

00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx

(suivi éventuellement du challenge + hash du mot de passe).

xavierg · « **Réponse #209 le:** 03 octobre 2018 à 15:08:39 »

Citation de: zoc le 03 octobre 2018 à 06:57:28

Et moi mon petit doigt m'a dit qu'il ne serait pas question d'anti rejeu mais uniquement de logging du challenge pour éventuellement détecter les usages anormaux. Et si anti rejeu il y a, ce ne sera pas basé sur la RFC mais du propriétaire orange.

Comme déjà dit, il y a plusieurs scénarios possibles ; celui que tu mentionnes me paraitrait assez inefficace de la part d'Orange parce que :
- de leur côté, ils devraient se faire ch*** à stocker/logger les challenges, avec toutes les contraintes qui vont avec ce genre de choses (surtout avec du stockage persistent en tête)
- de notre côté, à partir du moment où on doit calculer dynamiquement le contenu de l'option 90, que ce doit pour injecter le timestamp de la RFC 3118 ou pour générer aléatoirement un nouveau salt (à mon sens, on ne peut parler de challenge que s'il est fourni par le côté serveur) et hasher le mot de passe avec, ça ne change rien.

Bref, de mon côté, je vais prendre mes dispositions pour être en mesure de générer cette option 90 dynamiquement ; je ne sais pas si ça servira un jour, mais ça me fera une geekerie amusante en attendant

gregouille · « **Réponse #210 le:** 03 octobre 2018 à 16:03:21 »

Citation de: xavierg le 03 octobre 2018 à 15:08:39

de mon côté, je vais prendre mes dispositions pour être en mesure de générer cette option 90 dynamiquement

nague · « **Réponse #211 le:** 03 octobre 2018 à 17:43:31 »

Citation de: obinou le 03 octobre 2018 à 10:07:20

=> Donc à mon sens il y a une raison : Une certaine segmentation commerciale, avec en fond l'idée de ne "pas trop" laisser de possibilités aux offres les moins chères, de peur que les presta ouvrent des lignes FTTH (ou VDSL2) et placent leur offres par-dessus, avec des routeurs capable de faire du multiwan ou de la 4G pour éviter de prendre des liens avec GTR.

+1
C'est le principe même du SD-WAN...

doctorrock · « **Réponse #212 le:** 03 octobre 2018 à 22:39:51 »

Wait'n see donc ;-)

Je fais parti de ceux qui doivent porter les IP publiques sur du matos dédiés, donc si Orange bloque ... Je partirais ^^

xavierg · « **Réponse #213 le:** 04 octobre 2018 à 08:10:47 »

Citation de: doctorrock le 03 octobre 2018 à 22:39:51

Wait'n see donc ;-)

Je fais parti de ceux qui doivent porter les IP publiques sur du matos dédiés, donc si Orange bloque ... Je partirai ^^

Oui, wait & see. Nous n'avons pas d'éléments nous prouvant formellement qu'Orange va empêcher la réutilisation effective d'un même salt. Peut-être qu'ils vont simplement les logger (par opposition à stocker), ça ne leur coûterait pas grand chose. Là tout de suite, il me paraît prématuré de changer de fournisseur d'accès juste pour ça.

kgersen · « **Réponse #214 le:** 04 octobre 2018 à 08:22:44 »

Citation de: xavierg le 04 octobre 2018 à 08:10:47

Oui, wait & see. Nous n'avons pas d'éléments nous prouvant formellement qu'Orange va empêcher la réutilisation effective d'un même salt. Peut-être qu'ils vont simplement les logger (par opposition à stocker), ça ne leur coûterait pas grand chose. Là tout de suite, il me paraît prématuré de changer de fournisseur d'accès juste pour ça.

Ca depend. Ce coup ci on a eu de la chance car la modification ne nécessite pas de changement de code donc l'impact a été limité a quelques heures/jours.

La prochaine fois ca risque d'être différent et bien plus complexe voir impossible pour certains routeurs alternatifs.

Le souci c'est donc le downtime et les frais que ca risque de générer.
Et je vois mal Orange changer ses habitudes et prévenir a l'avance ses clients de la date et des détails...

Franchement vu la tournure que ca prend la sagesse pour ceux qui ne veulent prendre aucun risque est d 'aller chez un autre opérateur si c'est possible.

Ceux qui restent ou n'ont pas le choix d'un autre opérateur devraient préparer un plan B de leur config ou prévoir rapidement de changer leur routeur alternatif pour un équipement dont on peut rapidement modifier le code du client dhcp...

obinou · « **Réponse #215 le:** 04 octobre 2018 à 09:30:47 »

Citation de: kgersen le 04 octobre 2018 à 08:22:44

Franchement vu la tournure que ca prend la sagesse pour ceux qui ne veulent prendre aucun risque est d 'aller chez un autre opérateur si c'est possible.

Le problème est toujours le même - lorsque le but est de bénéficier du plus de débit possible (quel qu’en soit la raison), bahh bien souvent Orange est le seul FAI dispo.
En FTTH la promesse de la mutualisation se concrétise parfois après des années, et en VDSL2 , surtout en MED campagnarde, ben c'est même pas une possibilité, les autres FAI restent en ADSL 1Mbps, ils équipent pas les armoires de rues. Déjà que bien souvent ils sont même pas présent au NRA de rattachement...

Quand tu entends le *maire* lui-même au moment de l'inauguration faire l'éloge de "France Télécom" et expliquer à ses administrés qu'il faut s'abonner chez Orange pour les "remercier" d'avoir pris en charge le "THD" (oubliant qu'il a été financé par le conseil régional).... La comm' institutionnelle marche bien :-)