Mes Liens en Vrac
1297 shaares
218 résultats
taggé
network
Some physicists 28 years ago needed a way to easily share experimental data and thus the web was born. This was generally considered to be a good move. Unfortunately, everything physicists touch — from trigonometry to the strong nuclear force — eventually becomes weaponized and so too has the Hypertext Transfer Protocol.
Nous allons voir dans cet article qu’il est intéressant d’utiliser SPF pour permettre à vos correspondants de valider que vous êtes « légitimement » l’expéditeur d’un email.
Après mon premier article sur Morpheus, découvrez aujourd’hui un autre type d’attaque MitM. Ce type d’attaque vise particulièrement les pages d’authentification de routeurs. L’objectif de l’attaquant ici sera de créer une page Web clonée d’un routeur afin de récolter les logins que la victime aura insérés.
I've never used the equipment provided by my ISP and have always used my own. Previously that included Netgear, Linksys and Asus equipment but I've just made the switch to Ubiquiti and boy am I never going back!
Intervention de l'ANSSI au SSTIC 2017 sur le piratage de TV5 Monde en 2015
Centreon Upgrade
Après quatre ans à fréquenter des élus et fonctionnaires de ma nouvelle campagne d’adoption, et plus généralement toute personne avec qui je me suis entretenu à propos de numérique ou, plus généralement, de politique, la phrase que j’ai dû entendre le plus, c’est « mais de toute façon, qu’est-ce qu’on peut bien y faire ? »
Du 5 au 31 décembre, douze vidéos pédagogiques d’une minute ont été diffusées sur toutes les chaînes de France Télévisions. Ces « programmes courts » ont été réalisés par France TV avec le soutien du Ministère de l’Économie et des Finances.
Blog Stéphane Bortzmeyer: RFC 8005: Host Identity Protocol (HIP) Domain Name System (DNS) Extensions
Le protocole HIP n'avait pas à l'origine de mécanisme pour trouver l'identificateur d'une machine distante. Cela avait été fait dans le RFC 5205, qui permettait de trouver l'identificateur dans le DNS. Ce nouveau RFC remplace le RFC 5205.
Les adresses IPv6 sont virtuellement infinies : avec 2128 possibilités (les adresses font 128 bits de long), on peut coller, je cite Wikipédia, « 667 millions de milliards d'appareils connectés sur chaque millimètre carré de la surface de la Terre ». Ce qui veut par exemple dire qu'on pourrait affecter une adresse IPv6 à chaque transistor sans ne serait-ce que commencer à épuiser les adresse IPv6 disponibles.
Il est fréquent aujourd'hui sur l'Internet qu'une application cherche à accéder à un contenu (mettons un film, ou bien la mise à jour d'un gros logiciel) qui est disponible à plusieurs endroits. Dans ce cas (qui est notamment fréquent pour le téléchargement en pair-à-pair), quelle source utiliser ? La « meilleure », bien sûr, mais comment la connaître ? Le but du protocole ALTO est de permettre de distribuer de l'information sur la topologie du réseau, afin que les applications puissent choisir la source la plus proche d'elles.
Le 11 janvier 2016, Axelle Lemaire a saisi l'Arcep d'une demande d'avis sur l'état de déploiement du protocole d'adressage IPv6. L'Autorité rend aujourd'hui public son rapport au Gouvernement.
Philippe Distler et Jacques Stern, membres du Collège de l'Arcep, ont animé ce travail, réalisé avec le concours de l'Association française pour le nommage internet en coopération (Afnic). A cette occasion, l'Arcep tient à remercier les équipes de l'Afnic pour leur expertise technique précieuse.
Philippe Distler et Jacques Stern, membres du Collège de l'Arcep, ont animé ce travail, réalisé avec le concours de l'Association française pour le nommage internet en coopération (Afnic). A cette occasion, l'Arcep tient à remercier les équipes de l'Afnic pour leur expertise technique précieuse.
Dans un entretien avec son président, l'ARCEP nous explique le déploiement d'IPv6 a stagné en France, notamment du côté des opérateurs. Une machine que l'autorité envisage de relancer en impliquant plus l'État dans la migration, en montrant l'exemple et en coordonnant le secteur. Elle prépare aussi un futur observatoire régulier sur le sujet.
Ce document rédigé par l’ANSSI présente les « Recommandations pour la sécurisation d’un commutateur de desserte ». Il est téléchargeable sur le site www.ssi.gouv.fr. Il constitue une production originale de l’ANSSI. Il est à ce titre placé sous le régime de la « Licence ouverte » publiée par la mission Etalab (www.etalab.gouv.fr). Il est par conséquent diffusable sans restriction.
Il y a quelques années j’ai découvert Dropbox. C’est un service (génial !) d’hébergement et de partage de fichiers appuyé sur l’infrastructure d’Amazon. La société Dropbox a été créée en 2007 par Drew Houston et Arash Ferdowsi.
Le bullshit pour empêcher la migration vers IPv6
Près de 860 000 périphériques réseau de Cisco sont exposés à une vulnérabilité qui ressemble à celle qui a été exploitée par un groupe d'attaquants, peut-être proche de l'Agence de sécurité nationale (NSA) américaine. Cette faille pourrait permettre d'extraire des données des mémoires de ces équipements. Selon l'analyse effectuée par la Fondation Shadowserver, les Etats-Unis sont les plus touchés avec 259 249 systèmes vulnérables. La France en compte plus de 27 000.
L’éditeur de sécurité a dressé un état des lieux de l’underground de la cybercriminalité en France. Méfiance, bitcoins et forte orientation vers les falsifications des documents sont les maîtres mots.
In this post we’ll use GNU Radio’s Wi-Fi receiver, RFtap and Wireshark to detect Wi-Fi MAC spoofing by using the unique carrier offset frequency of each Wi-Fi packet.
Dans cet article, les mentions « pirate », « spammeur » ou « attaquant » sont relatifs à la personne opérant l’attaque de phishing. Ce mail cible visiblement les utilisateurs de la banque « LCL » (dont je ne suis pas client), j’ignore par quel moyen son créateur s’est procuré mon mail, mail qu’il n’est sûrement pas le seul à le détenir, passons.
Riffle: An Efficient Communication System With Strong Anonymity
Website speed test
SMTP STS is a mechanism enabling mail service providers to declare their ability to receive TLS-secured connections, to declare particular methods for certificate validation, and to request sending SMTP servers to report upon and/or refuse to deliver messages that cannot be delivered securely.
AsyncSSH is a Python package which provides an asynchronous client and server implementation of the SSHv2 protocol on top of the Python asyncio framework. It requires Python 3.4 or later and the Python cryptography library for some cryptographic functions.
For some reason, communications and power infrastructure fascinates me, especially the long-haul lines that move power and data over huge distances. There’s something about the scale of these projects that really gets to me, whether it’s a high-tension line marching across the countryside or a cell tower on some remote mountain peak.
TorFlow : le trafic du réseau TOR en temps réel
The IETF has just published RFC 7707, authored by Fernando Gont and Tim Chown. This RFC could probably be considered the "bible" of "IPv6 Network Reconnaissance", describing the state of the art in IPv6 Network Reconnaissance.
HAProxy is TCP/HTTP reverse proxy load-balancing software that is available as open source software for both community and enterprise users. HAProxy has become the standard in the load balancing and high-availability management industry because it is available in most Linux distributions and is also the reference load-balancer for cloud orchestrator projects such as OpenStack and CloudStack as well as container orchestrators such as Kubernetes.
You’ve got a blind date tonight and you want to find out more about the person you’re meeting. So you tap their name into Google to see if any red flags show up. But if you want to see the really juicy stuff and you live in the European Union, chances are better than ever you won’t find the links you’re looking for—unless you use the same kind of surreptitious service that lets people in China access banned websites.
Pendant longtemps, le problème technique posé à l'IETF par l'épuisement des adresses IPv4 était traité par la perspective d'une migration vers IPv6, et les efforts de l'IETF allaient vers la création de jolis mécanismes de transition vers ce nouveau protocole.
Pour accompagner la transition du réseau vers le protocole IPv6, Free déploie une nouvelle technique qui partage l'adresse IPv4 attribuée entre quatre abonnés, en utilisant des plages de ports réservées pour compléter l'adressage.
On va voir ici comment mettre en place une supervision distribuée en utilisant des relais SSH. Nous avons un serveur Centreon à blanc (CES3.3) et nous cherchons à superviser des machines sur un LAN distant. Nous avons un accès SSH sur un relais (Raspberrypi) via le port 60022.
how do I login over ssh without using password less RSA / DSA public keys? How do I use ssh in a shell script? How do I login non-interactivly performing password authentication with SSH and shell scripts?
Nmap is short for Network Mapper. It is an open source security tool for network exploration, security scanning and auditing. However, nmap command comes with lots of options that can make the utility more robust and difficult to follow for new users.
How do I setup primary dns name server using tinydns under FreeBSD operating systems?
Building an smtpd Mail Server using OpenBSD/OpenSMTPD
Now that you are able to create various forward or reverse SSH tunnels with lots of options and even simplify your live with ~/.ssh/config you probably also want to know how make a tunnel persistent. By persistent I mean, that it is made sure the tunnel will always run. For example, once your ssh connection times out (By server-side timeout), your tunnel should be re-established automatically.
The Intercept recently reported that Apple CEO Tim Cook, in a private meeting with White House officials and other technology leaders, criticized the federal government’s stance on encryption and technology back doors
netfilter is a set of hooks inside the Linux kernel that allows kernel modules to register callback functions with the network stack. A registered callback function is then called back for every packet that traverses the respective hook within the network stack.
Do you run Tor on Windows? Do you Google and Torrent on Tor? Here is a list of things you should NOT be doing while using Tor or else your privacy is as vulnerable as without Tor.
ufw, Uncomplicated FireWall
OverTheBox d'OVH, qui permet d'agréger la bande passante de plusieurs connexions à Internet et de créer un VPN sur les serveurs d'OVH, est désormais disponible pour tout le monde. Elle est proposée avec un abonnement mensuel, qui donne accès à quelques services maison.
Comme beaucoup de protocoles très utilisés sur l'Internet, le DNS est ancien. Très ancien (la première norme, le RFC 882, date de 1983). Les normes techniques vieillissent, avec l'expérience, on comprend mieux, on change les points de vue et donc, pour la plupart des protocoles, on se lance de temps en temps dans une révision de la norme.
The World Wide Web. You use it everyday. It might even be as old as you are (born in March of 1989). And it all runs over Hypertext Transfer Protocol.
Nous aborderons ici les principaux éléments nécessaires pour écrire son plugin de supervision.
Il m’est devenu de plus en plus agaçant d’entendre certains de mes étudiants ou même des (nouveaux) clients, parler du web, de l’internet, de Facebook, de leur PC, de leur Iphone comme d’un espèce de gros sac d’où sortir des généralités, souvent fausses, portant l’étiquette « Internet ». Quelques exemples de généralités abusives : le mythe du 2.0, l’innovation digitale, la gen Y digitale, le geek et bien d’autres encore …
Avec Vuvuzela, le MIT propose une messagerie qui génère un brouillard numérique pour réduire les risques d’espionnage.
Okay, maybe not everything you know about latency is wrong. But now that I have your attention, we can talk about why the tools and methodologies you use to measure and reason about latency are likely horribly flawed.
Ou : utilisons un logiciel dont c'est le taf de proxyfier :-)
Le Wi-Fi est une science complexe : les réseaux et les terminaux connectés se multiplient, occasionnant parfois des problèmes de connectivités ou de débit pour les utilisateurs. Mais plusieurs applications permettent d’analyser ces réseaux Wi-Fi afin d’en tirer le meilleur parti.
Des petits paquets dans le désordre, des tuyaux, non, pas des tuyaux, des cables, les Vrais Maître d'internet, comment couper l'information sur le réseau
Nous recevons Stéphane Bortzmeyer, ingénieur R&D pour l'AFNIC.
Nous recevons Stéphane Bortzmeyer, ingénieur R&D pour l'AFNIC.
Pendant ce temps, en Espagne, les entreprises ont jusqu'au 29 Janvier pour cesser d'utiliser Dropbox ou Google drive
La DLPAJ (Direction des Libertés Publiques et des Affaires Juridiques) vient de faire sa liste au père noël et autant dire qu’elle est chargée. Très chargée. Et qu’elle présage des jours encore plus sombres si le père noël débarque avec de tels cadeaux.
Les services du ministère de l'Intérieur envisagent de nombreuses mesures pour renforcer une nouvelle fois la sécurité au détriment des libertés. Coupure obligatoire de tout réseau Wi-Fi ouvert, blocage des réseaux d'anonymisation et fourniture des clés de chiffrement des messageries font partie des pistes soumises à arbitrage.
Il est d’usage de se dire qu’une des parades contre la Loi Renseignement est l’utilisation de Tor. Pourtant, en lisant les déclarations des ministres de la défense et de l’intérieur lors des débats à l’assembée on peut se demander si Tor sera une des cibles des fameuses boîtes noires.
Cet article est un petit mémo sur la commande dig, qui permet de tout savoir sur les resolveurs DNS. Pour rappel, un résolveur DNS est un serveur, qui va résoudre un nom d’hôte (ou un FQDN : Full Qualified Domaine Name) en adresse IP.
GoBGP is an open source BGP implementation designed from scratch for modern environment and implemented in a modern programming language, the Go Programming Language.
Retour vers le futur, la suite sur Internet ? Des chercheurs mettent en évidence les failles de NTP, le protocole de synchronisation des horloges d’Internet. Vulnérabilités qui ouvrent la porte à des attaques par DDoS, mais aussi à la mise en danger des communications chiffrées.
Demain, les eurodéputés s'exprimeront en session plénière sur le règlement sur les télécommunications, qui comprend un volet sur la neutralité du Net, plus d'un an après leur vote très positif sur ce texte en première lecture.
Le protocole GRE est le plus simple mécanisme de tunnel normalisé. Il est mis en œuvre sur d'innombrables systèmes, et très largement répandu. Pour reprendre la formule de James Raftery, GRE est « The AK-47 of guerrilla networking. Cheap, simple, gets all sorts of dirty jobs done. ». Il ne fonctionnait traditionnellement qu'avec IPv4 mais bien des mises en œuvre de GRE avaient été adaptées à IPv6 depuis longtemps. Ce RFC décrit cette adaptation.
The vulnerabilities reside in the Network Time Protocol, the widely used specification computers use to ensure their internal clocks are accurate.
Disponibles directement sur internet, utilisant de plus en plus du code partagé et traitant bien souvent des données sensibles (données bancaires, données clients…), les applications web sont devenues une cible privilégiée d’attaques pour les cybercriminels. Explications.
A list of XMPP servers available as hidden services for use with the Prosody server and mod_onions
Switching to systemd-networkd for managing your networking interfaces makes things quite a bit simpler over standard networking scripts or NetworkManager. Aside from being easier to configure, it uses fewer resources on your system, which can be handy for smaller virtual machines or containers.
Si vous êtes sous Linux et que vous voulez être absolument certain que l'intégralité de votre trafic passe par le réseau Tor, voici Nipe, un script Perl imaginé par Heitor Gouvea.
Attackers are infecting a widely used virtual private network product sold by Cisco Systems to install backdoors that collect user names and passwords used to log in to corporate networks, security researchers said.
Les entreprises plébiscitent la Voix sur IP, synonyme de réduction de coûts et de fonctions à valeur ajoutée pour l’utilisateur. Cependant, les hackers sont aussi de la partie. Voici un petit guide de survie en 20 conseils.
Le projet Tor vise à construire un réseau d’anonymisation, géré par la communauté et donc très robuste à la plupart des attaques courantes.
Own-Mailbox est une solution se présentant comme « La boîte mail 100% confidentielle ». Surf sur la vague de la vie privée, quitte à faire du bullshit ou vraie solution de protection, une petite analyse rapide de ce nouveau projet.
Le SSH tout le monde le sait, c’est magique. Mais malheureusement ça ne marche pas OOTB.
Similar to my test lab for OSPFv2, I am testing OSPFv3 for IPv6 with the following devices: Cisco ASA, Cisco Router, Fortinet FortiGate, Juniper SSG, Palo Alto, and Quagga Router.
Right now, the FCC is considering a proposal to require device manufacturers to implement security restricting the flashing of firmware. We posted something about this a few days ago, but completely missed out on a call to action.
Un peu de sécurité IPv6 sur le réseau local : comment protéger les pauvres machines IPv6 contre un méchant serveur DHCP, qui répond à la place du serveur légitime, et plus rapidement que lui ? Pas de surprise, la solution est la même qu'en IPv4 (DHCP snooping) et est détaillée dans ce RFC : le commutateur bloque les réponses DHCP qui viennent d'un port où aucun serveur DHCP n'est censé être présent.
HAProxy Starter Guide
No matter how tightly you restrict outbound access from your network, you probably allow DNS queries to at least one server.
We all are aware of what a botnet is, and most of us know the damage that it can cause when some bad actor takes over many of our corporate endpoints. But what we might not know is how easy it is to create botnets.
Le darknet a mauvaise réputation. Pourtant même si tu n’es pas un pedonazi, il y a plein de bonnes raisons d’aller y faire un tour cet été. Ni censure, ni fichage, passe des vacances en toutes libertés.
The TCP/IP Guide
Modern Windows versions add headaches to active VPN users. DNS resolver in earlier versions up to Windows 7 was predictable and made DNS requests in order according to DNS servers preference, just as all other OS. This could lead to DNS Leak only if the DNS server inside the tunnel didn’t reply in time or sent en error, which wasn’t that horrible.
Probably one of the smallest SSL MITM proxies you can make. Only using openssl, netcat and a couple of other standard command line tools.
Securing your IT infrastructure bysecuring your team
Cisco 2015 Midyear Security Report Infographic
The faster those of us in the security and network operator space can detect a new attack vector, the faster we can come up with ways to slow or stall the growth of that method.
Et revoici le "darknet" ! D'après France Inter, le réseau TOR, conçu pour protéger la vie privée des internautes, permettrait d'accéder à un "marché noir" fréquenté par des millions d'internautes venus y acheter de la drogue ou des faux papiers, mater des photos pédo-pornographiques ou encore recruter un tueur à gages. C'est vrai. Mais TOR n'en est pas moins, aussi, un système conçu par l'US Army pour pouvoir protéger l'anonymat des internautes, dont les valeurs et technologies sont recommandées par les Nations Unies, Amnesty, la FIDH et Reporters sans frontières (entre autres).
Using routing domains / routing tables in a production network with OpenBSD
Les réseaux sociaux font aujourd’hui partie de notre quotidien et prennent de plus en plus de place dans nos vies. Sur nos profils, nous exposons tout : expérience professionnelle, photos, position, opinion, humeur… C’est un moyen de partager sa vie avec ses amis et sa famille, mais également avec des inconnus. Il est donc important de connaître les risques liés aux réseaux sociaux.
RFC 7540 has been out for a month now. What should we expect with this new version?
Own-Mailbox is a home-plugged personal email server, with strong privacy protection measures integrated at its core. It provides self-hosted email addresses, or connects with your existing email address. In both cases you can seamlessly send and receive encrypted emails from anywhere in the world, through Own-Mailbox webmail, Smartphone app, or through an external email software (Thunderbird, Outlook, ...).
Le développement de l’IPv6 semble au point mort en France. Vous vous en fichez royalement ? C’est un peu dommage. Votre ordi ou votre smartphone doivent se voir attribuer une adresse IP pour pouvoir se connecter à Internet. Sans elle, votre ordi n’est pas « joignable » ; pareil pour une tablette ou tout autre gadget communicant. Et l’IPv6, c’est le successeur du protocole internet version 4 (IPv4), le plus utilisé aujourd’hui pour permettre à deux ordinateurs de « se parler ».
Le gouvernement a arrêté le nouveau plan de la mission France Très Haut Débit (France THD), pilotée par Bercy. Il fixe les priorités et les modalités d'un accès à très haut débit pour tous d'ici 2022.
Depuis quelques mois un nouveau projet est né dans le monde de la supervision open source, ce nouvel arrivant s’appelle Kaji. Kaji est un ensemble de paquets de supervision du même style que OMD (Open Source Monitoring Distribution) mais en mieux.
Analyse de flux réseaux.
Most IT people are somewhat familiar with Wireshark. It is a traffic analyzer, that helps you learn how networking works, diagnose problems and much more.
Voici un projet très intéressant : IPFS, The permanent Web. Son ambition est de créer un nouveau protocole (comme HTTP) permettant de décentraliser l'hébergement de sites web (ou de n'importe quelle ressource statique). Ce protocole se base sur BitTorrent et Git (gestionnaire de version). Chaque ressource est identifiée par son hash (une empreinte unique), et les nœuds du réseau hébergent chacun des copies de certaines ressources, de manière décentralisée.
Ce RFC vient remplacer le RFC 3177 et modifier assez sérieusement les recommandations en matière d'allocation d'adresses IPv6 aux sites situés aux extrêmités du réseau (entreprises, universités, particuliers, à l'exclusion des FAI et des opérateurs). Le RFC 3177 recommandait, en gros, de donner un préfixe de même longueur, un /48, à tout le monde. Ce nouveau RFC 6177 met un sérieux bémol à cette recommandation.
C'est vrai, ça, pourquoi 64 ? Les adresses du protocole IPv6 ont deux parties, une qui identifie le réseau et l'autre qui identifie la machine. Cette dernière est souvent considérée comme faisant forcément 64 bits. Est-ce vraiment une taille impérative ? Et, si oui, pourquoi ? (Si vous êtes pressé, les réponses du RFC sont « non, mais quand même oui » et « essentiellement en raison de la base installée ».)
Tout l'Internet repose sur le protocole BGP, qui permet l'échange de routes entre opérateurs Internet. (BGP est normalisé dans le RFC 4271.) La sécurité de BGP est donc cruciale pour l'Internet, et elle a fait l'objet de nombreux travaux. Ce nouveau RFC résume l'état actuel des bonnes pratiques en matière de sécurité BGP. Du classique, aucune révélation, juste la compilation de l'état de l'art. Ce RFC porte aussi bien sur la protection du routeur, que sur le filtrage de l'information (les routes) reçues et transmises.
Segment routing is a source routing mechanism which provides Traffic Engineering , Fast Reroute, MPLS VPNs without LDP or RSVP-TE.
myst (my snifing tool) est un petit outil ayant trois fonctions simples: Scanner le réseau pour savoir rapidement ce qui s'y trouve, Empêcher une machine donnée d'aller sur Internet, Suivre l'activité d'une machine et récupérer ce qu'elle fait transiter en clair.
Oui, je sais, c’est pas bien de contourner les systèmes de surveillance sécurité mis en place par une DSI pour faire plaisir au patron… Mais, dès fois, c’est très bloquant, donc on doit contourner.