Le 27/11/2015 à 18h 32

Ce que je comprends :

Certains providers vpn permettent aux utilisateurs de définir un port forwarding (via une interface web) sur leur ip de sortie (1.2.3.4), qui va rediriger de manière statique par exemple le port 12345 vers leur machine (10.0.0.18 sur leur interface vitrtuelle). Ca permet à certains softs de mieux fonctionner (voire fonctionner tout court).



L’attaquant met en place une redirection du port 12345 vers sa machine. Ainsi toutes les connexions sur le port 12345 de l’ip 1.2.3.4 vont chez lui (10.0.0.18).



Si un autre utilisateur du même côté du VPN (10.0.0.42) que lui essaye d’y accéder, il ne va pas sortir par l’ip de sortie mais rester sur la partie privée du VPN, et la machine cible voit donc 10.0.0.42 en source.



Ce que je ne comprends pas :

L’attaquant devrait voir l’ip de l’interface virtuelle du client vpn, pas l’ip de l’interface publique.

Tous les softs de VPN que je connais permettent d’interdire aux machines du VPN de communiquer entre elles. Ce n’est pas activé par défaut (normal, un VPN sert à faire communiquer des machines entre elles à la base), et ils sont juste en train de dire qu’une partie des providers ne sont pas foutus de lire une doc (finalement ce point là je pense le comprendre).

Le 02/03/2015 à 09h 48

007sivade a écrit :



Et, vous proposez quoi du coup comme marque pour les entreprises ? 



Celle avec laquelle tu as les meilleurs contacts maintenance.

La qualité dépend plus des gammes/séries que des constructeurs, et sur le long terme tu auras des merdes avec tout le monde, donc autant privilégier la façon dont ces merdes vont être gérées.

Le 18/02/2015 à 10h 03

kypd a écrit :



Tout ça pour faire l’inverse de ce à quoi est normalement destiné un annuaire…



C’est pas comme si les FAI n’avaient jamais mis en place des DNS menteurs hein :‘)

Le 17/02/2015 à 18h 52

Chez moi, sous linux comme sous windows, avec une conf openvpn telle que tu la trouves dans les docs openvpn ou dans 99% des tutos que remonte google pour faire passer le trafic par le vpn (i.e. un push “redirect-gateway def1 bypass-dhcp” côté serveur, et rien concernant le routage dans la conf du client), on conserve les 2 routes :



route -n

Table de routage IP du noyau

Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface

0.0.0.0         10.8.0.5        128.0.0.0       UG    0      0        0 tun0

0.0.0.0         192.168.1.254   0.0.0.0         UG    0      0        0 eth0

[…]



Les add dans la table de routage sont le résultat du “redirect-gateway def1 bypass-dhcp”, rien n’est fait automatiquement.

Si tu as des modifs sur tes routes préexistantes, c’est qu’elles sont indiquées dans la conf.

Le 17/02/2015 à 10h 54

Ca fonctionne bien si ta passerelle a toujours la même IP.

Quand tu

utilises un VPN pour te protéger sur des wifi publics, ou pour

contourner des “optimisations” d’opérateurs téléphoniques quand tu fais

du tethering, il faut être capable de retrouver l’adresse de la

passerelle quand tu coupes le VPN. Ce n’est pas trivial (mais faisable par script appelé par le fichier de conf).



OpenVPN n’a pas à supprimer la route “inutile” (comment fait il pour savoir qu’elle est inutile ?) une fois lancé, il ne fait pas de routage. Les modifications de la table de routage sont faites par l’utilisateur (ou son admin) dans le fichier de conf qu’il a rédigé. Si il veut supprimer la route existante, il peut.

A la rigueur tu peux leur demander de fournir des fichiers d’exemple qui correspondent à ce type de besoin, mais ça ne corrigera pas le “problème”.

Le 14/02/2015 à 17h 08

De ce que j’en ai compris c’est surtout un problème de configuration du client VPN (si il n’y a pas de route vers la passerelle “publique” et uniquement vers la passerelle VPN, le test ne fonctionne pas).

Le 04/12/2013 à 16h 33

Shorter :

Les éditeurs feraient mieux d’arroser curse.

Renseignez-vous un peu sur le tarif des campagnes de pub chez eux (et leurs concurrents ofc) et sur les retombées en termes de métriques si chères aux community managers.

Le 22/07/2013 à 19h 20

Texas Ranger a écrit :



le SHA512 n’est pas un chiffrement non ? c’est “juste” un Hachage de haut niveau nan ?



un chiffrement pour moi ça serait AES 256 ou Serpent ou Blowfish/twofish etc



On ne stoque jamais de mot de passe chiffrés avec un algo symétrique (tu chopes la clé tous les pwd sont corrompus, gg), mais des empreintes.

Et sur le coup on ne peut pas reprocher grand chose à OVH sur ce point, sachant que contrairement à certaines boites ils ne se sont pas contentés d’un simple hash (sensible aux rainbow tables) mais qu’ils ont annoncés que les mdp sont saltés (http://fr.wikipedia.org/wiki/Fonction_de_hachage#Salage )

Le 19/04/2013 à 07h 22

nabalzbhf a écrit :



Justement là ça permet des commentaires privées. Tu maitrises la visibilité des commentaires (cercles etc.)



Et ça donne des trucs horribles niveau lisibilité (tu vois des réponses à des commentaires que toi tu ne vois pas si les gens ne sont pas foutu de configurer correctement la visibilité de leurs commentaires).

Le 15/04/2013 à 09h 37

“Il permet en effet à nos lecteurs de se passer de publicité sans Adblock”

Perso c’est l’inverse : ça permet de soutenir un site malgré l’utilisation de bloqueurs de pub.