Pages: 1 2 3 4 5 [6] 7 8 9 10 11 ... 89   En bas

Auteur Sujet: Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet  (Lu 159898 fois)

0 Membres et 1 Invité sur ce sujet

simon

  • Abonné Orange Fibre
  • *
  • Messages: 935
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #60 le: 01 décembre 2022 à 11:49:21 »
Citation de: doctorrock le 01 décembre 2022 à 10:17:20
A priori d'après levieuxatorange, ils ne sont pas près de vérifier le caractère aléatoire qui change à chaque renew, heureusement car ça mettrait pas mal de monde dans le caca  ;D

Je pense que ca aurait peu d'intérêt pour eux. Il faudrait stocker les salts vus par le DHCP en base, et vu que les clients DHCP actuels ne supportent déjà pas tous les chaînes statiques, ce serait probablement percu comme une action claire envers l'interopérabilité.

J'ai déjà du mal à comprendre pourquoi ils valident le user + password au niveau DHCP... L'OLT doit de toute facon être déclaré comme actif dans des bases chez Orange pour passer en O5, et je serai vraiment surpris si les OLT n'ajoutaient pas aux requêtes DHCP le numéro de série de l'ONT qui a transmis la requête (par le biais d'un DHCP agent ou autre).

Ce n'est pas comme si on pouvait obtenir des baux DHCP avec nos login+password depuis n'importe quel ONT ou ligne DSL.
IP archivée

iMarco27

  • Abonné Orange Fibre
  • *
  • Messages: 1 421
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #61 le: 01 décembre 2022 à 12:01:01 »
Déjà il serait interessant d’avoir une explication sur l’intérêt de cette complexité

Il y a tant de monde qui pollue le réseau sur la patte WAN de l’infra GP d’Orange au point de poser un risque de sécurité ou qui fait apparaître des problèmes de performances ?

Ou c’est simplement pour décourager le « geek » moyen de brancher n’importe quoi et de limiter les appels hotline pour des problèmes liés à du matériel « tiers » ?
IP archivée

levieuxatorange

  • Expert Orange
  • Expert
  • *
  • Messages: 169
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #62 le: 01 décembre 2022 à 12:07:33 »
Citation de: iMarco27 le 01 décembre 2022 à 12:01:01
Déjà il serait interessant d’avoir une explication sur l’intérêt de cette complexité

Il y a tant de monde qui pollue le réseau sur la patte WAN de l’infra GP d’Orange au point de poser un risque de sécurité ou qui fait apparaître des problèmes de performances ?

Ou c’est simplement pour décourager le « geek » moyen de brancher n’importe quoi et de limiter les appels hotline pour des problèmes liés à du matériel « tiers » ?

Il y a un intérêt réel à faire ce genre de chose dans notre configuration. Et pas "juste pour décourager les Geek (moyen ou pas) "

Si vous voulez lancer un long débat là dessus (générique à d'autres opérateurs d'ailleurs), merci de le faire dans un autre thread. Ici l'objectif est de vous aider à faire marcher les configurations.

LeVieux


IP archivée

simon

  • Abonné Orange Fibre
  • *
  • Messages: 935
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #63 le: 01 décembre 2022 à 12:47:41 »
Citation de: levieuxatorange le 01 décembre 2022 à 12:07:33
Ici l'objectif est de vous aider à faire marcher les configurations.

Et encore une fois merci, c'est vraiment top.
IP archivée

Tarkok

  • Abonné Orange Fibre
  • *
  • Messages: 209
  • Dunkerque (59)
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #64 le: 01 décembre 2022 à 13:22:48 »
Bonjour à tous,

Merci @levieuxatorange pour ces précieuses informations qui devraient j'espère nous éviter des coupures de réseau quand l'upgrade deviendra national.

Si je comprends bien, en regardant le script qui génère l'option 90 longue, (corrigez moi si je me trompe), on fournit dans l'option 90 l'identifiant (fti/) en clair et le mot de passe salée + hashée en md5, avec un sel aléatoire.

Concrètement, avec les durcissements à venir, il faudra changer le sel à chaque renew ? Le sel sera imposé par Orange ? (si oui, comment le sel sera communiqué au client dhcp ?)

Ou alors il s'agit simplement d'utiliser une option 90 longue et le même sel en IPv4 et v6, avec possibilité de réutilisation du sel ?
IP archivée

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 932
  • Draguignan 83
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #65 le: 01 décembre 2022 à 13:50:47 »
Citation de: Tarkok le 01 décembre 2022 à 13:22:48
Concrètement, avec les durcissements à venir, il faudra changer le sel à chaque renew ? Le sel sera imposé par Orange ? (si oui, comment le sel sera communiqué au client dhcp ?)

Ou alors il s'agit simplement d'utiliser une option 90 longue et le même sel en IPv4 et v6, avec possibilité de réutilisation du sel ?

On vient de dire, 3 ou 4 topics plus haut, qu'on peut tout réutiliser sans problème
IP archivée

iznogoud

  • Abonné Orange Fibre
  • *
  • Messages: 40
  • Essonne
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #66 le: 01 décembre 2022 à 21:29:18 »
Citation de: N3o le 15 novembre 2022 à 19:16:51
Je pense avoir compris, le SALT c'est la serie de caractères qui sert à MD5 le password.

Pas tout à fait.
Le « salt » est une valeur aléatoire unique ajoutée à la fin du mot de passe avant l'application d'un hash.
Le hash est un algorithme (md5 par exemple) qui fait correspondre une chaîne de caractères de longueur fixe (32 pour md5) à une donnée de longueur quelconque.
En clair avec l'algorithme md5 :
mot de passe + salt =
1) mot2passe + 1234ABCD = 5050bc6caf8d129cc500216a86cacb6b
ou
2) mot2passe + xcfgytrezaqsdwbvrzTZR12334576u = 4bac5d43d21925f1e1b62099739f0308
Le hash est une chaîne de caractères de longueur fixe, quelle que soit la longueur du mot de passe plus le salt.

Si on retire ou modifie un seul caractère, le hash change :
motpasse + 1234ABCD = 6f112217692244227d689cefc6718288

Le hash est différent par rapport au premier en supprimant le '2' de 'mot2passe'

« Modifié: 01 décembre 2022 à 21:59:15 par iznogoud »
IP archivée

nitro

  • Abonné Orange Fibre
  • *
  • Messages: 67
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #67 le: 01 décembre 2022 à 22:25:25 »
Hello,

Ca s’applique aussi aux livebox pro ?

IP archivée

iznogoud

  • Abonné Orange Fibre
  • *
  • Messages: 40
  • Essonne
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #68 le: 02 décembre 2022 à 00:24:35 »
Citation de: nitro le 01 décembre 2022 à 22:25:25
Ca s’applique aussi aux livebox pro ?

Orange ne fait qu'appliquer la RFC 3118 sur l'authentification des messages DHCP.
https://www.rfc-editor.org/rfc/rfc3118

Donc livebox pro ou livebox amateur, les deux appliquent la RFC3118 et doivent savoir authentifier les demandes de connexion au serveur dhcp de Orange pour éviter une attaque éventuelle envers les clients dhcp de type « denial of service » ou « man in the middle » ou tout simplement pour éviter que quelqu'un se fasse passer pour celui qu'il n'est pas.
IP archivée

levieuxatorange

  • Expert Orange
  • Expert
  • *
  • Messages: 169
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #69 le: 02 décembre 2022 à 08:53:58 »
Citation de: nitro le 01 décembre 2022 à 22:25:25
Ca s’applique aussi aux livebox pro ?
Les lignes Pro sont portée par les lignes grand public donc oui pour tout ce qui est Livebox Pro (qq soit la génération)
Ce sont les lignes entreprises (subtile différence, même si les Pro sont souvent des entreprises) qui sont sur un système différent.

Si vous avez votre LB Pro sur la ligne c'est elle qui gère (comme toutes les LiveBox). Si vous avez remplacé la LBPro par un routeur, ce qui est dans ce thread s'applique

LeVieux
IP archivée

cyayon

  • Abonné Orange Fibre
  • *
  • Messages: 648
  • Cordon 74 - Orange Fibre Pro
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #70 le: 02 décembre 2022 à 11:36:41 »
Hello,

C'est vraiment très sympa de venir partager les infos Orange ici, MERCI !

J'ai une question au sujet de la COS6 des packets DHCP.
Pourquoi dans certaines régions il faut une COS6 et ce n'est pas national ? Quelle est la raison technique ? Cela va t-il changer ?

merci
IP archivée

levieuxatorange

  • Expert Orange
  • Expert
  • *
  • Messages: 169
Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire
« Réponse #71 le: 02 décembre 2022 à 14:19:22 »
Citation de: cyayon le 02 décembre 2022 à 11:36:41

J'ai une question au sujet de la COS6 des packets DHCP.
Pourquoi dans certaines régions il faut une COS6 et ce n'est pas national ? Quelle est la raison technique ? Cela va t-il changer ?

Bonjour

La COS6 sert à prioriser les pkts DHCP(4/6), ARP et ICMP NS/NA entre la boxe et la BNG (premier routeur qui gère les IPs)  qui gère le contexte client.

Normalement, une COS0 sur ces paquets ne devrait pas marcher, mais un bug de certain équipement le permet.

Comme vous ne pouvez pas savoir sur quel équipement vous êtes ni si vous allez rester dessus (upgrade / changement / réaménagement) je conseille fortement de passer la conf en COS6

La COS6 ne va pas plus loin que le BNG et est remplacé par une COS0 à ce point, il ne sert donc à rien de taguer tous vos paquets en COS6. De plus le trafic en COS6 est fortement limité en débit, donc là aussi, si vous pouvez limiter proprement uniquement aux paquets ci dessus, c'est nettement mieux.

La COS6 jusqu'au BNG sert à protéger le trafic d'établissement et de maintient de la connexion en cas de surcharge sur le segment client <-> BNG. Plein de cas possible.

LeVieux
IP archivée
Pages: 1 2 3 4 5 [6] 7 8 9 10 11 ... 89   En haut