View previous topic :: View next topic |
Author |
Message |
xaviermiller Bodhisattva
Joined: 23 Jul 2004 Posts: 8708 Location: ~Brussels - Belgique
|
Posted: Sat Sep 17, 2011 2:58 pm Post subject: |
|
|
Oui juste, j'ai lu de travers. _________________ Kind regards,
Xavier Miller |
|
Back to top |
|
|
El_Goretto Moderator
Joined: 29 May 2004 Posts: 3169 Location: Paris
|
Posted: Thu Sep 22, 2011 9:22 am Post subject: |
|
|
Un peu off, mais la nouvelle petite soekris est enfin sortie (modèles et tarifs)... quoi que légèrement pas tout à fait disponible en masse
Quelques mois de retard pour la bestiole quand même.
Vivement des benchs et mesures de conso.
(Pour les infos CPUs, j'ai trouvé çà). _________________ -TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT) |
|
Back to top |
|
|
Oupsman Veteran
Joined: 19 Jul 2004 Posts: 1042
|
Posted: Fri Oct 14, 2011 1:55 pm Post subject: |
|
|
http://fr.wikipedia.org/wiki/Dennis_Ritchie RIP Mr Ritchie. _________________ --
L'idéal de nouveauté semble avoir remplacé l'idéal de progrès. C'est bien triste.
----
Unix philosophy: "Do one thing and do it well."
systemd: "Try to do everything and do it wrong." |
|
Back to top |
|
|
truc Advocate
Joined: 25 Jul 2005 Posts: 3199
|
Posted: Thu Oct 20, 2011 9:51 pm Post subject: |
|
|
Salut tout le monde, y'a un poste de volontaire internationnal informatique(avec du linux, toussa toussa) en Centrafrique qui attend désespérement quelqu'un. C'est interessant, j'vous le conseil. Par contre, faut être disponible, car si le poste n'est pas pourvu d'ici décembre, il risque très fortement d'être supprimé. Bref, c'est vraiment dommage.
n'hésitez pas, parlez-en autour de vous... _________________ The End of the Internet! |
|
Back to top |
|
|
_Seth_ Guru
Joined: 15 Sep 2004 Posts: 539 Location: encore paumé dans un labo ;)
|
Posted: Fri Oct 28, 2011 8:30 pm Post subject: |
|
|
Bonne nouvelle : Nokia a annoncé son intention d'ouvrir la gouvernance de QT façon open source et en garantissant que le code sera maintenu sous licence libre. C'est les devs de KDE qui sont heureux. _________________ no tears to cry, no feelings left
the species has amused itself to death
amused itself to death |
|
Back to top |
|
|
Biloute Guru
Joined: 03 Apr 2008 Posts: 369 Location: LENS
|
Posted: Sun Nov 20, 2011 12:43 pm Post subject: |
|
|
Quelqu'un a t il essayé le navigateur web uzbl ?
J'aimerais bien le remplacer par firefox _________________ Gentoo rocks |
|
Back to top |
|
|
Oupsman Veteran
Joined: 19 Jul 2004 Posts: 1042
|
Posted: Sun Nov 20, 2011 7:51 pm Post subject: |
|
|
p'tit plaisir : réussir à faire transiter les flux DLNA entre mon NAS (Synology DS110j) et mon boitier HD Freebox V5, sachant que j'ai un Linux en passerelle (debian )
C'est un bon arrachage de cheveux, mais ça marche, finalement. _________________ --
L'idéal de nouveauté semble avoir remplacé l'idéal de progrès. C'est bien triste.
----
Unix philosophy: "Do one thing and do it well."
systemd: "Try to do everything and do it wrong." |
|
Back to top |
|
|
El_Goretto Moderator
Joined: 29 May 2004 Posts: 3169 Location: Paris
|
Posted: Sun Nov 20, 2011 9:05 pm Post subject: |
|
|
Oupsman wrote: | p'tit plaisir : réussir à faire transiter les flux DLNA entre mon NAS (Synology DS110j) et mon boitier HD Freebox V5, sachant que j'ai un Linux en passerelle (debian )
C'est un bon arrachage de cheveux, mais ça marche, finalement. |
Ya des ports dynamiques comme avec l'uPnP/AV? Si oui, comment-tu t'y es pris? _________________ -TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT) |
|
Back to top |
|
|
Oupsman Veteran
Joined: 19 Jul 2004 Posts: 1042
|
Posted: Mon Nov 21, 2011 6:45 am Post subject: |
|
|
El_Goretto wrote: |
Ya des ports dynamiques comme avec l'uPnP/AV? Si oui, comment-tu t'y es pris? |
Point du tout, point du tout. Le secret, c'est juste le routage des paquets multicast, il n'y a pas de redirection de ports. C'est un démon upnp (linux-igd en l'occurence) qui s'occupe de l'ouverture ds flux sur le firewall. _________________ --
L'idéal de nouveauté semble avoir remplacé l'idéal de progrès. C'est bien triste.
----
Unix philosophy: "Do one thing and do it well."
systemd: "Try to do everything and do it wrong." |
|
Back to top |
|
|
El_Goretto Moderator
Joined: 29 May 2004 Posts: 3169 Location: Paris
|
Posted: Mon Nov 21, 2011 6:06 pm Post subject: |
|
|
Mmmm, alors c'est pas du tout, mais alors pas du tout comme les protocoles utilisés par uPnP/AV, veinard
Je ne comprends toujours pas comment on peut de nos jours faire le design d'un protocole où le serveur va, en réponse à une requête client, initier une connexion sur un port dynamique dudit client... ça m'échappe (oui, le port est donné dans la requête, pareil que du FTP, c'est dire).
Chuis sûr que c'est le même mec qui a commis le petit fil rouge autour des portions de fromage d'antan... _________________ -TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT) |
|
Back to top |
|
|
Oupsman Veteran
Joined: 19 Jul 2004 Posts: 1042
|
Posted: Mon Nov 21, 2011 7:55 pm Post subject: |
|
|
la doc de linux-igd wrote: |
NOTE: This program only creates DNAT (portmap) entries in you firewall on the external interface (public ip). Any other firewall code must be set to allow basically all tcp and udp through the FORWARD chain to your client machines, and the client machines must be able to contact the firewall using tcp and udp through the firewall's INPUT chain on it internal interface.
|
_________________ --
L'idéal de nouveauté semble avoir remplacé l'idéal de progrès. C'est bien triste.
----
Unix philosophy: "Do one thing and do it well."
systemd: "Try to do everything and do it wrong." |
|
Back to top |
|
|
_Seth_ Guru
Joined: 15 Sep 2004 Posts: 539 Location: encore paumé dans un labo ;)
|
Posted: Mon Nov 21, 2011 10:33 pm Post subject: |
|
|
El_Goretto wrote: | Je ne comprends toujours pas comment on peut de nos jours faire le design d'un protocole où le serveur va, en réponse à une requête client, initier une connexion sur un port dynamique dudit client... ça m'échappe (oui, le port est donné dans la requête, pareil que du FTP, c'est dire). |
Je suis pas bien réveillé, mais j'ai du mal à voir le problème que ça amène ? _________________ no tears to cry, no feelings left
the species has amused itself to death
amused itself to death |
|
Back to top |
|
|
guilc Bodhisattva
Joined: 15 Nov 2003 Posts: 3326 Location: Paris - France
|
Posted: Mon Nov 21, 2011 10:42 pm Post subject: |
|
|
Parce que pour la moindre chose à faire (NAT, filtrage, QoS, etc...) ça demande de parser le protocole au niveau 7 pour agir au niveau 3. C'est simplement une aberration... Et pour peut que tout ça passe par du SSL (tel le FTPS), bah c'est plus possible, impossible de remonter au niveau 7, tu l'as dans l'os.
En gros, c'est des protocoles inutilisables dans un environnement réseau un peu plus compliqué que la simple connexion directe. _________________ Merci de respecter les règles du forum.
Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing |
|
Back to top |
|
|
Oupsman Veteran
Joined: 19 Jul 2004 Posts: 1042
|
Posted: Tue Nov 22, 2011 6:48 am Post subject: |
|
|
sauf à avoir des firewalls évolués qui sont capable de décrypter les paquets SSL, et là, ça passe. _________________ --
L'idéal de nouveauté semble avoir remplacé l'idéal de progrès. C'est bien triste.
----
Unix philosophy: "Do one thing and do it well."
systemd: "Try to do everything and do it wrong." |
|
Back to top |
|
|
guilc Bodhisattva
Joined: 15 Nov 2003 Posts: 3326 Location: Paris - France
|
Posted: Tue Nov 22, 2011 7:11 am Post subject: |
|
|
Oupsman wrote: | sauf à avoir des firewalls évolués qui sont capable de décrypter les paquets SSL, et là, ça passe. |
Heu, ah ouais ? et ils la choppent où la clé privée RSA (parce que bon, si ça doit marcher que sur un service que tu administres où tu lui configures la clé privée, c'est de la triche, et c'est loin d'être le seul cas que tu vas rencontrer sur ton firewall) ? Le but du SSL c'est quand même entre-autre d'éviter le MITM hein... Et si tu as une appliance qui sait faire ça sur un flux réseau (sans connaître la clé privée), je veux bien avoir une référence :p _________________ Merci de respecter les règles du forum.
Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing |
|
Back to top |
|
|
Oupsman Veteran
Joined: 19 Jul 2004 Posts: 1042
|
|
Back to top |
|
|
guilc Bodhisattva
Joined: 15 Nov 2003 Posts: 3326 Location: Paris - France
|
Posted: Tue Nov 22, 2011 7:20 pm Post subject: |
|
|
Ouais ben c'est ça, ces appliances ne cassent absolument pas le SSL hein. Ca c'est de l'enfumage marketing...
Si tu creuses c'est :
1) Je me mets en proxy transparent
2) Je détecte une connexion SSL
3) Je fake le client en lui présentant un certificat à moi (dont j'ai la clé privée) valide et qui ne va pas balancer des alertes partout, dans le même temps j'établis la connexion à la cible.
4) Je déchiffre le trafic du client (avec ma clé privée), j'inspecte, je chiffre avec la clé publique du serveur cible et je rebalance. Opération inverse pour la réponse.
Bref, je n'ai besoin que d'une bonne puissance de calcul en SSL (AES-NI powa ?).
Si tu veux une démo : tu te connectes à un SSH de chez toi que tu connais. Puis tu te places derrière une telle machine espionne, et pouf, ssh va te gueuler dessus avec un "offending key".
Si le client fait bien attention à quel certificat il a trusté en établissant sa connexion SSL, il verra que "OH ! ce n'est pas le certificat de la cible !"
Bref, c'est tout simplement du man in the middle facilité par la maîtrise du réseau du client, et un client qui ne sait pas lire un certificat SSL et se connecte n'importe ou sans vérifier la signature... (brefn un client mal éduqué en matière de sécurité)...
Mais en aucun cas ces appliances ne déchiffrent de SSL sans avoir la clé privée hein, RSA a encore quelques jours de vie devant lui !
Bref, si le client vérifie ses certificats et n'établit la connexion que si le certificat est vraiment légitime, tu pourras mettre tous les firewall évolués du monde, tu ne pourras pas lire le port dynamique du FTP dans les paquets à la couche 7 (non non, j'ai pas oublié le sujet).
Effectivement, si le client est peu regardant, ça pourra par contre passer (mais dieu que ces appliances sont crades ! et je parle même pas des limites légales de ces pratiques, entre violation de la correspondance et usurpation d'identité...).
[EDIT]
Juste pour l'image : en gros, ils pratique en mode "normal" ce qui est arrivé à Comodo il y a 6 mois de ça avec ses faux certificats google/skype/yahoo. Rien d'honnête quoi, juste jouer sur la crédulité et la non-initiation/vigilance des utilisateurs. _________________ Merci de respecter les règles du forum.
Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing |
|
Back to top |
|
|
Oupsman Veteran
Joined: 19 Jul 2004 Posts: 1042
|
Posted: Wed Nov 23, 2011 10:50 am Post subject: |
|
|
Pour avoir testé, je peux te garantir que le netasq n'a pas ce comportement Mais je ne veux pas briser tes certitudes _________________ --
L'idéal de nouveauté semble avoir remplacé l'idéal de progrès. C'est bien triste.
----
Unix philosophy: "Do one thing and do it well."
systemd: "Try to do everything and do it wrong." |
|
Back to top |
|
|
kwenspc Advocate
Joined: 21 Sep 2003 Posts: 4954
|
Posted: Wed Nov 23, 2011 2:29 pm Post subject: |
|
|
Oupsman wrote: | Pour avoir testé, je peux te garantir que le netasq n'a pas ce comportement Mais je ne veux pas briser tes certitudes |
Y a pas moyen qu'il en soit autrement. À moins qu'ils aient pétés rsa... et ça ça remettrait en cause allez ~80% de la sécurité des donnés/flux informatiques. |
|
Back to top |
|
|
El_Goretto Moderator
Joined: 29 May 2004 Posts: 3169 Location: Paris
|
Posted: Wed Nov 23, 2011 3:47 pm Post subject: |
|
|
+1 guilc & kwenspc
La seule astuce est que le certificat sur l'équipement MITM soit issu d'une CA bien connue, pour que cela passe (presque) inaperçu.
Ou alors on va tous avoir de sérieux problèmes pour l'année à venir et finalement la crise financière à côté ce sera peanuts... ^^ _________________ -TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT) |
|
Back to top |
|
|
boozo Advocate
Joined: 01 Jul 2004 Posts: 3193
|
|
Back to top |
|
|
El_Goretto Moderator
Joined: 29 May 2004 Posts: 3169 Location: Paris
|
Posted: Thu Nov 24, 2011 10:13 am Post subject: |
|
|
El_Goretto wrote: | Juste le temps de vous faire une petit retour d'expérience sur la routerboard 450G dont je parlais un poil plus haut.
C'est "en prod" chez moi, et le plus gros de la configuration a été fait (en fait, il y a encore du boulot pour remplacer à 100% un livebox côté TV et téléphone (chouette )).
[...]
|
Bon, un dernier feedback sur la durée (utilisation depuis avril 2011), pour ce produit (routeurboard 450G, routeur "gigabit") et le suivi/support de la marque (mikrotik)...
Alors je me suis bien amusé, ok, mais je ne recommande pas du tout à l'achat (même pour du perso, ou alors vraiment pour s'amuser avec de l'exotique mais sans utilisation sérieuse):
- Le produit n'est pas stable (sans utiliser aucune feature avancée qui plus est) je me suis retrouvé 2 fois en carafe de réseau parce qu'il avait décidé que c'était terminé le réseau c'est has been (reboot manuel obligatoire). Autre exemple, j'ai galéré pendant qq mois à avoir un script dyndns qui ne plante pas le shell, certaines commandes fonctionnant mal en mode script quand une interface n'est pas complètement up. Sans compter les bugs de l'OS qui vont et viennent suivant les versions.
- Certaines fonctionnalités sont "annoncées" mais ne sont plus maintenues par les devs. Genre on peine à croire que leur "implémentation" openvpn ne supporte pas udp. Pareil pour leur serveur ssh qui ne supportent pas clés ET password à la fois pour un user. On dirait de vieux forks sans suivi des projets upstream depuis des lustres. Donc pour la confiance en la sécurité de ces services, on repassera (exposer un ssh sur internet tient de la déclaration de fois). Pour rappel, c'est un OS basé sur Linux, et même avec des CPU MIPS, ya des gens qui ont des version à jour (ahem, genre openWRT au hasard).
- Certains "choix" sont contre-productifs et "violent" les standards. Genre pour une authentification via certificat, à un moment donné ils ont imposé de spécifier l'adresse IP de la machine supposée présenter le certificat. En gros, ils disaient que c'était plus "sûr"... sauf que des certificats basés sur un FQDN, on ne l'attache pas forcément sur une seule machine avec une seule IP...
- Amateurisme complet du suivi qualité et des tickets/rapports de bugs. On est dans une logique "espérons que c'est corrigé dans la prochaine release, sinon la suivante, sinon celle d'après, etc". A moins qu'un nouveau bug bien grossier et facilement visible avec un minimum de QA ne viennent s'ajouter à la liste des tares de cette fameuse "prochaine version". Imaginez un peu un processus dhcp-server qui mange 100% du CPU, c'est plutôt grossier non? Ben ça date de l'avant dernière release pour exemple. Bien sûr, le changelog réel et complet n'est pas dispo. Il a fallu attendre quelques semaines que ce soit corrigé (hors downgrade).
Pourtant, le matos est sympathique, la communauté dynamique, mais frustrée par cet amateurisme (y compris les "anciens" qui ont du vécu sur leur forum) qu'on excuserait volontiers pour un projet OSS si on pouvait participer efficacement à son debugging. Sauf que non. Quand on rajoute en plus que les lignes de développements ne tiennent aucun compte des souhaits des utilisateurs...
Le produit logiciel lui même est bien fichu... mais sans stabilité, je n'en vois pas l'intérêt.
Bref, pour moi, la porte de sortie se nomme OpenWRT dont je ferai un test quand j'aurai qq jours de vacances (c'est le problème d'expérimenter des trucs sur un équipement central de votre infra perso ). _________________ -TrueNAS & jails: µ-serv Gen8 E3-1260L, 16Go ECC + µ-serv N40L, 10Go ECC
-Réseau: APU2C4 (OpenWRT) + GS726Tv3 + 2x GS108Tv2 + Archer C5v1 (OpenWRT) |
|
Back to top |
|
|
truc Advocate
Joined: 25 Jul 2005 Posts: 3199
|
|
Back to top |
|
|
jcTux Apprentice
Joined: 29 Dec 2009 Posts: 276 Location: Tours, France
|
Posted: Mon Jan 02, 2012 5:34 pm Post subject: |
|
|
Bonne année à tous ! |
|
Back to top |
|
|
xaviermiller Bodhisattva
Joined: 23 Jul 2004 Posts: 8708 Location: ~Brussels - Belgique
|
Posted: Mon Jan 02, 2012 8:40 pm Post subject: |
|
|
Bonne année à tous, et une petite pensée émue à ceux qui bossent sur Windows _________________ Kind regards,
Xavier Miller |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|