Journal Un switch beaucoup trop à l'écoute ...

Posté par Julien.D le 15 novembre 2022 à 09:00. Licence CC By‑SA.

Étiquettes :

nov.

2022

Sommaire

Introduction
Installation
Contact avec le support
Investigations
Les problèmes identifiés
Conclusion

Bonjour journal,

Introduction

Je viens ici vous raconter la petite histoire qu'il m'est arrivé la semaine dernière à la configuration d'un switch.
Souhaitant améliorer mon réseau domestique, je me suis mis à la recherche d'un petit switch 1 G (beaucoup d'entre vous ont des 2.5 G ou plus à la maison ?), 16 ports et manageable pour faire quelques VLANs pour la compartimentation et un poil de QoS pour le confort. Des besoins basiques en somme et c'est ainsi que je jette mon dévolu sur un TP-Link TL-SG1016DE.

Installation

Une fois reçu et déballé, arrive la phase de découverte de l'interface web de configuration. Toutes les options souhaitées sont là, quelques tests et tout fonctionne bien. Par curiosité et pour comparaison avec mon précédent petit Netgear je regarde les requêtes réseaux utilisées pour faire la modification de la configuration par l'interface Web. (Pourquoi ? Parce que ni l'ancien, ni le nouveau ne propose pas de SNMP, et que pour un ancien projet je voulais pouvoir activer/désactiver des ports de façon logiciel)

Et là je vois de simples requêtes HTTP en GET, cool ça sera un switch facilement scriptable si besoin !
D'ailleurs copions cette requête pour la passer à CURL.

curl "http://192.168.1.1/led_on_set.cgi?rd_led=1&led_cfg=Apply"
<!DOCTYPE html>
<script>
var led = 1
var tip = "Operation successful.";
</script>
<html> <head> <script>document.write(top.Abbrev);</script><script type=text/javascript>function doSubmit(){return!0}function ledInit(){led?$id("led_on").checked=!0:$id("led_off").checked=!0}incMeta(),incCss("main.css"),incCss("help.css"),incJs("tips.js"),incJs("ui.js"),incJs("help.js");</script><body> <div id=div_tip_mask class=TIP_MASK> <div id=div_tip_svr class=TIP><span id=sp_tip_svr class=TIP_CONTENT></span></div> </div> <div> <fieldset> <legend><span>LED On/Off</span></legend> <div id=div_sec_title> <form name=led_on_set action=led_on_set.cgi> <table width=85%> <tr> <td class=SBLANK> <td> <table class=FRAMEWORK> <tr> <td align=left><span class=NORMAL>LED:</span> <td class=SBLANK> <td> <input name=rd_led id=led_on type=radio value=1 class=NORMAL checked> <span class=NORMAL>On</span>  <td class=SBLANK> <td> <input name=rd_led id=led_off type=radio value=0 class="NORMAL"> <span class=NORMAL>Off</span>   </table>  <td> <table class=BTN_WRAPPER align=left> <tr> <td> <a class=BTN><input class=BTN_NORMAL_BTN type=submit value=Apply name=led_cfg></a>   </table>   </table> </form> <script type=text/javascript>ledInit();</script></div></fieldset></div><script>window.onload=function(){},""!=tip&&(ShowTips("sp_tip_svr",tip),startDownScroll("div_tip_svr"));</script>

Et voilà je peux activer/désactiver les LEDs de mon switch avec un script sur le réseau !
Mais attendez … Où ai-je passé mes cookies d'authentification de la session ?!
Ok, l'endpoint des LEDs n'est pas sécurisé, c'est curieux … Et les autres ?

curl "http://192.168.1.1/port_setting.cgi?portid=16&state=0&speed=1&flowcontrol=0&apply=Apply"
<!DOCTYPE html>
<script>
var max_port_num = 16;
var port_middle_num  = 16;
var all_info = {
state:[1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,0,0,0],
trunk_info:[0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0],
spd_cfg:[1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,0,0],
spd_act:[6,0,6,6,6,0,0,0,5,0,0,0,0,0,0,0,0,0],
fc_cfg:[0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0],
fc_act:[0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0]
};
var tip = "Operation successful.";
</script>
<html> <head> <meta charset="gb2312"> <script>document.write(top.Abbrev);</script><script type=text/javascript>incCss("main.css"),incCss("help.css"),incJs("ui.js"),incJs("tips.js"),incJs("help.js"),incJs("PortSetting.js"),incJs("tips.js");var trunk_info=new Array(""," (LAG1)"," (LAG2)"," (LAG3)"," (LAG4)"," (LAG5)"," (LAG6)"," (LAG7)"," (LAG8)"),state_info=new Array("Disabled","Enabled"),speed_info=new Array("Link Down","Auto","10MH","10MF","100MH","100MF","1000MF",""),flow_info=new Array("Off","On"),selState=new Array(0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0);</script><body> <div id=div_tip_mask class=TIP_MASK> <div id=div_tip_svr class=TIP><span id=sp_tip_svr class=TIP_CONTENT></span></div> </div> <form name=port_setting action=port_setting.cgi enctype=multipart/form-data> <fieldset> <legend>Port Setting</legend> <div id=div_sec_title> <table cellspacing=1 class=BORDER> <tbody> <tr class=TABLE_HEAD> <td class=TD_FIRST_ROW align=center>Port  <td class=TD_FIRST_ROW align=center width=66px>Status  <td class=TD_FIRST_ROW align=center>Speed/Duplex  <td class=TD_FIRST_ROW align=center>Flow Control   <tr align=center> <td><select name=portid id=portSel multiple size=5 overflow=scroll onclick=do_check(event)> <script>for(var index=1;index<=max_port_num;index++)docW("<option value="+index+">Port "+index);</script></select><td><select name=state style=width:71px> <option value=7> <option value=0>Disable <option value=1>Enable </select>  <td><select name=speed style=width:82px> <option value=7> <option value=1>Auto <option value=2>10MH <option value=3>10MF <option value=4>100MH <option value=5>100MF <option value=6>1000MF </select>  <td><select name=flowcontrol style=width:74px> <option value=7> <option value=0>Off <option value=1>On </select>    </table> <table class=BTN_WRAPPER align=center> <tr> <td class=BTN_WRAPPER> <a class=BTN> <input type=submit value=Apply name=apply class=BTN_NORMAL_BTN onclick="do_submit()"> </a> <td> <td class=BTN_WRAPPER> <a class=BTN> <input type=button class=BTN_NORMAL_BTN value=Help name=help onclick="doShowHelp(&quot;div_sec_title&quot;,&quot;div_help_lan_svr&quot;,&quot;PortSettingHelpRpm.htm&quot;)"> </a>   </table> </div> <div> <table class=BOTTOM_LINE> <tbody> <tr> <td class=BOTTOM_LINE>   </table> </div> <div> <table class=BORDER> <tr class=TABLE_HEAD> <td align=center width=85px>Port  <td align=center width=78px>Status  <td colspan=2 style=padding:0> <table class=INNER> <tr class=TABLE_HEAD> <td align=center colspan=2 class=INNER_TOP>Speed/Duplex  <tr class=TABLE_HEAD> <td align=center width=78px>Config <td align=center width=78px>Actual  </table>  <td class=TD_FIRST_COL colspan=2 style=padding:0> <table class=INNER> <tr class=TABLE_HEAD> <td align=center colspan=2 class=INNER_TOP>Flow Control   <tr class=TABLE_HEAD> <td align=center width=78px>Config  <td align=center width=78px>Actual   </table>   <script type=text/javascript>show_port_setting_all();</script></table></div><div> <table width=100%> <tbody> <tr> <td class=BOTTOM_LINE>   </table> </div> <div> <table width=100%> <tr> <td align=left><span id=t_note_title class=BOLDER>Note:</span>  <tr> <td align=left><span id=t_note_info class=NORMAL>The flow control function can be configured as ON and take effect when one port's Config of Speed/Duplex is Auto/1000MF and its Actual mode is 1000MF/100MF/10MF.</span>  </table> </div> </fieldset> </form> <script>ShowHelp('<span class="HELP_TITLE" id="t_help_title">Port Setting</span> ');</script><script>""!=tip&&(ShowTips("sp_tip_svr",tip),startDownScroll("div_tip_svr"));</script><script>window.onload=function(){new Drag("div_help_lan_svr","div_help_lan_svr")};</script>

Pareil pour désactiver un port ?! On peux donc passer outre l'authentification Web si on connait les endpoints pour lire et modifier la configuration du switch ?!

Contact avec le support

Pour moi, s'agissant déjà d'un problème et sachant que cela peut prendre du temps, je contacte le support de TP-Link par téléphone et en créant un ticket pour leur fournir les informations nécessaires : le nom du produit, sa version hardware, son numéro de firmware et les requêtes CURLs envoyées ainsi que leurs résultats.
Au téléphone, je tombe sur une personne qui ne comprend pas bien mon problème, les mots API et CURL posent problèmes, mais elle me met rapidement en attente pour un passage au support L2. Cette nouvelle personne écoute et comprends mon problème, mais ce switch n'est pas disponible dans le labo de test, le technicien me propose de faire un teamviewer pour mieux cerner le problème, malheureusement je n'avais pas pensé à cette proposition et mon organisation à ce moment là n'était pas prêt pour le faire. Il me dit qu'il va échanger avec l'équipe sécurité à propos de ce ticket et me recontactera prochainement.
Cela me semble curieux, je pensais que quelque chose m'avait échappé et que le support allait rapidement pointer mon erreur.

Investigations

Premiers pas

Pendant mon attente au téléphone, je continue mes tests pour bien cerner le problème.
J'essaye à partir d'un autre périphérique du réseau et les requêtes ne passent pas, la configuration du switch n'est donc pas accessible en lecture/écriture à tous, heureusement !
Je retourne sur mon navigateur et regarde les headers des requêtes et là, pas de cookies.
D'ailleurs le switch ne m'en a jamais envoyé et c'est là que je comprends qu'il s'agit juste d'une authentification par IP précédemment autorisée par liste blanche grâce à l'authentification web. Et en effet il suffit que je me déconnecte de l'interface d'administration pour que les requêtes CURL ne fonctionnent plus.
On notera également que cela à pour conséquence que l'ouverture de l'interface à partir d'un autre navigateur sur le même périphérique est d'office considéré comme authentifié.
(Heureusement qu'une restauration ou un reset redémarre le switch en coupant les connexions existantes et alerterait l'administrateur, sinon j'imagine qu'avec un peu d'ingénierie sociale on pourrait vite récupérer un accès permanent !)
Le problème est donc très localisé et difficile à exploiter pour un attaquant, mais il reste présent.

Hardware et firmwares

Renseignons-nous davantage sur ce TP-Link TL-SG1016DE.

Il existe en différentes révisions hardwares :

v1, premier firmware 2013-03-07, dernier firmware 2013-10-23
v2, premier firmware 2015-12-18, dernier firmware pareil
v3, premier firmware 2017-05-30, dernier firmware 2018-11-07
v4, premier firmware 2020-01-15, dernier firmware pareil
v4.20, premier firmware 2021-06-09, dernier firmware 2021-06-09 (mais numéro de version différent)
v4.26, firmwares non disponibles ?!
v6, premier firmware 2022-07-16, dernier firmware 2022-09-05

Le mien est un v4.20 et possède bien le dernier firmware disponible : TL-SG1016DE(UN) V4.2 20210512.

Utilitaires d'administration

Ce switch étant manageable uniquement par interface Web et ne fournissant pas de SNMP, peut-être que des gens ont développé un utilitaire pour le contrôler et aurait déjà rencontré ce problème ? Et je trouve en effet quelques projets en ce sens :

Vulnérabiliés

Et c'est donc le README.md du projet essstat qui me confirme l'existence de ce problème et son antériorité ! 2017 !

The Easy Smart Switch family has a number of unresolved vulnerabilities, including CVE-2017-17746. As described in https://seclists.org/fulldisclosure/2017/Dec/67, once a user from a given source IP address authenticates to the web-based management interface of the switch, any other user from that same source IP address is treated as authenticated.

The Python scripts in this project should be used only from a host that does not have general user access.

Voilà les ressources que j'ai pu trouvé sur des vulnérabilités trouvées sur certains switchs TP-Link:

On notera au passage quelques autres points, notamment :
- il n'y a pas de vérification coté backend sur la longueur du champ utilisateur, uniquement coté client.
- le mot de passe est limité à 16 caractères alphanumériques

Surface d'attaque et contre-mesures

A ce moment là, je réfléchis à la surface d'attaque que cela représente pour moi, simple particulier mais passionné. Un programme malveillant sur mon ordinateur pourrait modifier la configuration de mon switch à mon insu, sans même avoir besoin de récupérer mes cookies. Et si je configure mon switch à partir d'une ip NAT, j'ouvre également la porte à d'autres périphériques sur le réseau. Cela me semble désagréable, peut-être un poil risqué, mais il y a sûrement moyen d'améliorer ça.

Après tout, cela n'est possible qu'à partir des ports marqués comme faisant partie du VLAN d'administration. Il me suffit donc de bien configurer ce VLAN et les ports associés pour limiter les risques à un niveau disons acceptable.

Désillusion

Simplement je n'arrive à mettre la main sur ce paramètre dans l'interface, impossible de configurer le VLAN ID d'administration !
Et en effet, un commentaire sur Amazon confirme mes craintes.

tous les ports appartiennent d'office au VLAN d'administration 1. Il n'est pas possible de changer ce N° de VLAN d'admin. Et est considérée comme appartenant au VLAN d'administration, toute trame Ethernet véhiculant de l'IP appartenant au réseau sur lequel a été configuré l'interface IP d'administration du switch. Par défaut c'est 192.168.0.1/24. Il en résulte que tout PC configuré avec une IP sur ce même réseau IP 192.168.0.1/24, permet d'administrer le switch, qu'on l'ai branché sur les ports qui tagguent, ou sur les ports ordinaires de n'importe quel VLAN !!
Ce n'est pas très sécure, mais la séparation des VLAN, fonctionne bien pourvu qu'on n'utilise surtout pas d'adresses IP sur ces VLAN, qui seraient comme par "hazard" dans l'intervalle du réseau d'admin !!!!

En réalité, j'avais déjà lu ce commentaire avant mon achat, mais comme chacun devrait le savoir il est fortement déconseillé d'utiliser le VLAN 1 ou alors de le réserver pour l'administration de périphériques étant par défaut configuré sur celui-ci. Et donc, pour moi il suffisait de limiter les ports membres du VLAN 1 pour réduire la surface d'attaque, sauf que non. Cela n'a pas d'effet et tous les ports permettent de dialoguer en HTTP avec le switch sur son IP, il suffit à n'importe quel périphérique de configurer une ip statique appartenant au même réseau.

Les problèmes identifiés

interface d'administration uniquement accessible en HTTP
limitation de la longueur du mot de passe à 16 caractères
authentification basée sur l'IP après connexion, et non sur une session HTTP(s) par cookie
impossibilité de modifier le VLAN ID d'administration
impossibilité de configurer le switch de façon à répondre uniquement aux requêtes provenant de certains ports

Conclusion

Quoi retenir de tout ça ?

Sur ce produit

le switch fait globalement son travail et les points relevés ici ne posent peut-être pas problème à la clientèle ciblée par ce produit très accessible financièrement et techniquement et qui ouvre la voie à la gamme des switchs manageables
si vous voulez un switch très facilement scriptable par requête HTTP, c'est un excellent produit :D
honnêtement ce genre de problème sur un matériel vendu malgré tout pour des professionnels m'interpelle. Certes je doute que beaucoup de PME y voient un soucis, mais à l'heure où il y a de la double authentification partout, voir de l'authentification bricolée par simple IP avec une activation sur du HTTP (impossible de passer sur du HTTPS) me semble être une hérésie.
le problème est identifié depuis des années sur d'autres modèles de la gamme et n'est toujours pas corrigé !
je vais le remplacer par un Netgear GS724Tv4 pour le double du prix, totalement sur-dimensionné pour mon réseau et mes usages actuels, mais me propose beaucoup plus de fonctionnalités et de sécurité, notamment le HTTPS pour l'administration web, la configuration du VLAN d'administration, le SNMPv3, le RMON, le DHCP Snooping, les VLAN MAC, 2 ports SFP, la double gestion des firmwares, l'inspection ARP dynamique, etc.

De façon générale

se renseigner davantage sur les failles de sécurité avant l'achat d'un matériel aussi "sensible"
l'authentification c'est mieux quand elle est vérifiée correctement, partout et tout le temps
continuer à être curieux, voir comment les produits fonctionnent et toujours essayer de bricoler :p

Les questions que je me pose

est-ce que ça méritait vraiment un journal ? 😅
est-ce que vous faites la même analyse que moi ? Le réseau n'est pas vraiment mon cœur de métier après tout, je fais peut-être une erreur d'analyse du risque ou tout simplement de configuration ?
quelle est votre stack réseau à la maison ?

# À propos du http pas s

Posté par rycks le 15 novembre 2022 à 09:56. Évalué à 10.

Perso je râle de plus en plus contre les https only … qui ne passent plus avec TLS1.2+ et qui n'ont pas de mise à jour "constructeur" pour passer sur les TLS récents.

Donc pour une question de "pérennité" du matos à 15 ans + je dis "vive le http sans s".

J'ai bien mis "pérennité" entre guillemets, disons que aujourd'hui j'achète un vieux serveur HP et je ne peux pas me connecter sur son iLO à cause de https ça me "dépannerait" bien de pouvoir passer sur http sans S … et idem pour une interface de gestion d'un copieur réseau, d'un switch et autres "bricoles" qui "dans le fond" marchent (impriment, passent des paquets, etc.) même si du point de vue sécurité c'est pourris.

Il y a malheureusement beaucoup de situations où on est prêt à accepter de ne pas avoir de niveau de sécurité acceptable. Entre "nous n'avons aucun moyen d'impression" et "nous avons un copieur dont l'administration est hackable" je connaît la réponse (et c'est triste).

Ce commentaire ne sert à rien, c'était une humeur passagère :)

eric.linuxfr@sud-ouest.org
- [^] # Re: À propos du http pas s
  
  Posté par orfenor le 15 novembre 2022 à 14:54. Évalué à 4.
  
  Idem pour un onduleur… un comble, non ?
  Heureusement qu'on a des vieux live-CD pour aller paramétrer tout ça. Je connais un chef d'entreprise qui se pose beaucoup de questions sur [win/mac] depuis qu'il m'a vu le dépanner.
- [^] # Re: À propos du http pas s
  
  Posté par aiolos le 15 novembre 2022 à 16:14. Évalué à 4.
  
  Au pire, tu te bricoles un reverse proxy sur base de carte de type raspberry pi ou, plus technique, Arduino ou STM32 que tu met en coupure de tes équipements.
- [^] # Re: À propos du http pas s
  
  Posté par Thomas Debesse (site web personnel) le 15 novembre 2022 à 21:44. Évalué à 3.
  
  D’où le côté très pratique d’avoir dans un coin un très vieux Firefox pour Windows avec un vieux plugin Java (voire un vieux Silverlight, vous l’aviez oublié? et Flash, oh non pas lui…) dans un préfixe Wine au cas où…
  
  ce commentaire est sous licence cc by 4 et précédentes
  - [^] # Re: À propos du http pas s
    
    Posté par Perger le 09 décembre 2022 à 18:35. Évalué à 3.
    
    Sur Firefox, tu peux paramétrer la version de TLS que tu utilises.
    J'ai eu récemment le problème en tentant d'accéder à l'interface web du très regretté Zeroshell.
    about:config dans la barre d'adresse de Firefox pour accéder à la configuration avancée,
    puis passer le paramètre : security.tls.version.min de 3 à 1 pour pouvoir utiliser TLS 1.1
# Des switchs encore plus bavard (Cisco Meraki)

Posté par SpaceFox (site web personnel, Mastodon) le 15 novembre 2022 à 10:13. Évalué à 10.
Il y a quelques années je gérais (à temps partiel) l’infra interne de la PME dans laquelle je bossais. Un commercial avisé avait réussi à vendre au patron trois switchs Cisco Meraki (deux pour la production, un spare) aux fonctionnalités « cloud » totalement inutiles, parce quel les besoins de ces switches en administration étaient à peu près nuls (définir trois VLAN et une agrégation de ports à l’installation, puis plus rien).

La première surprise, c’est que « l’interface d’administration » de ces switchs se faisait sur une URL Internet (et non une URL locale), réellement accessible depuis n’importe où dans le monde.

La seconde, c’est la quantité hallucinante de données disponible depuis les serveurs de chez Cisco. En fait ces switchs font du DPI sur tout ce qui passe et, pour chacun des ports, sortent des statistiques détaillées sur les trafics en entrée et en sortie :
- La quantité de données reçue/envoyée (là c’est classique)
- La répartition par protocole de transport (TCP, UDP, autre…)
- La répartition par destination (quelle quantité de données sur quelle IP du réseau interne, quelle quantité de données routée vers l’extérieur…)
- La répartition par protocole application (HTTP, HTTPS, FTP…)
- La répartition par grands fournisseurs de données (Google, Facebook, Youtube, MàJ Microsoft…) (pratique pour taper sur un employé qui bouffe la bande passante en glandant au lieu de bosser !)
C’était avant le RGPD, je ne sais pas si cette famille de switchs fournit toujours autant d’informations à Cisco.

Je suppose qu’il y a une interface locale pour administrer ce switch directement sans passer par Internet, mais le gros de la doc fournie partait du principe que tu le faisait via leur cloud.

La connaissance libre : https://zestedesavoir.com
- [^] # Re: Des switchs encore plus bavard (Cisco Meraki)
  
  Posté par Ellendhel (site web personnel) le 15 novembre 2022 à 20:00. Évalué à 5.
  
  Il existe un accès local sur les commutateurs Meraki, mais les fonctions accessibles sont très limitées :
  
  https://documentation.meraki.com/General_Administration/Tools_and_Troubleshooting/Using_the_Cisco_Meraki_Device_Local_Status_Page
  
  Le point positif des Meraki, c'est qu'il est possible d'utiliser l'API pour gérer le matériel de manière automatique.
  
  Et c'est à peu près le seul avantage. Il n'y a pas d'accès possible en ligne de commande, il faut toujours payer une licence pour pouvoir utiliser le matériel et comparé avec des commutateurs 'classique' (Cisco ou autre) il n'y a pas tant d'avantages, à moins effectivement d'utiliser le matériel pour analyser le trafic réseau (et ne pas déployer un autre système dédié).
  
  Avis personnel : éviter Meraki autant que possible.
# Les téléphones IP sont aussi très bavards

Posté par SpaceFox (site web personnel, Mastodon) le 15 novembre 2022 à 10:16. Évalué à 10. Dernière modification le 15 novembre 2022 à 10:16.

Je ne sais pas si ça se fait encore beaucoup, mais il y a peu on trouvait beaucoup de téléphones IP dans les entreprises.

Ces téléphones ont souvent une interface web peu (pas) sécurisée par défaut, et qui peut être très bavarde (genre : l’intégralité du journal d’appels est lisible par quiconque trouve l’IP du téléphone). Il suffit que l’administration du réseau ne se soit pas méfié (après tout, qui soupçonne qu’un téléphone a une interface web ?) et ait laissé ces téléphones sur le même réseau que les machines pour que ça soit open bar.

La connaissance libre : https://zestedesavoir.com
# quid si tu te deconnectes de l'interface web ?

Posté par NeoX le 15 novembre 2022 à 10:23. Évalué à 4.

si tu te deconnectes de l'interface web peux-tu encore te connecter via l'API/curl ?
si ce n'est pas le cas, alors c'est un cas prevu, il faut ouvrir l'acces par une premiere connexion
- [^] # Re: quid si tu te deconnectes de l'interface web ?
  
  Posté par Julien.D le 15 novembre 2022 à 10:53. Évalué à 4.
  
  Comme expliqué dans le journal, en effet si je me deconnecte, le curl ne fonctionne plus ;)
  
  Mais il faut m'expliquer "le cas prévu", parce que là j'y vois un "That's not a bug, that's a feature!" :D Je ne m'attends pas à ce qu'un autre programme que mon navigateur puisse utiliser l'accès que je viens d'ouvrir en me connectant sur l'interface web du switch.
  - [^] # Re: quid si tu te deconnectes de l'interface web ?
    
    Posté par NeoX le 15 novembre 2022 à 17:39. Évalué à 3.
    
    ce n'est pas vraiment le cas prevu que l'absence de gestion du cookie,
    c'est le switch qui associe ta session à ton IP et ouvre une ACL
    
    si tu quittes proprement la session l'ACL se referme => c'est donc securisé d'apres le constructeur
    
    apres evidemment tu pourrais avoir un logiciel malveillant, qui scanne ton reseau, trouve le switch, et qui, parce que tu as ouvert une session sur le switch va pouvoir sniffer ou modifier la config de ce dernier… mais bon, tu as deja le logiciel malveillant sur ta machine, il peut sniffier ton login/pass avec le keylogger, simuler du https, etre man in the middle…
    - [^] # Re: quid si tu te deconnectes de l'interface web ?
      
      Posté par claudex le 16 novembre 2022 à 09:31. Évalué à 4.
      
      Sur un système avec un peu de permission et de sandboxing, tu peux très bien avoir un logiciel malveillant qui ne peut rien qu'avoir accès au réseau. Donc, non, je ne pense pas qu'on puisse comparer.
      
      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
      - [^] # Re: quid si tu te deconnectes de l'interface web ?
        
        Posté par NeoX le 16 novembre 2022 à 17:15. Évalué à 4.
        
        ne devrait-il alors pas avoir une IP differente de la machine "hote" ?
        
        [^] # Re: quid si tu te deconnectes de l'interface web ?
        
        Posté par claudex le 16 novembre 2022 à 18:05. Évalué à 3. Dernière modification le 16 novembre 2022 à 18:06.
        
        Ce serait bien, mais c'est difficile à généraliser, beaucoup de réseau vont activement lutter contre ça.
        
        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# Avec support OpenWRT ?

Posté par cg le 15 novembre 2022 à 10:45. Évalué à 10. Dernière modification le 15 novembre 2022 à 10:49.

Peut-être que tu devrais envisager un switch supporté par OpenWRT ? (exemple chez TP-Link : https://openwrt.org/toh/tp-link/tl-sg2452p)

Sinon en occasion, pour le même prix tu peux avoir du bon matériel (mais plus mis à jour), comme par exemple un Brocade FastIron Edge GS 648P-PoE 48-port 1GbE. (mais c'est bruyant)
- [^] # Re: Avec support OpenWRT ?
  
  Posté par Julien.D le 15 novembre 2022 à 11:18. Évalué à 1.
  
  J'y ai pensé à un moment, et je ne sais plus pourquoi c'est sorti de mes critères de choix … Probablement l'envie de voir un peu ce qui existe ailleurs (bien que propriétaire :/)
  En effet OpenWRT c'est bien sympa et c'est très personnalisable ! Merci de la suggestion !
  
  Ah oui, dès que c'est POE, ça souffle ces bêtes là :/
- [^] # Re: Avec support OpenWRT ?
  
  Posté par Walter le 15 novembre 2022 à 17:59. Évalué à 1.
  
  Tu peux changer les ventilateurs, noctua en fait pour les commutateurs.
  Ils font vraiment moins de bruit.
# Pour les vieux trucs

Posté par Moonz le 15 novembre 2022 à 11:15. Évalué à 3. Dernière modification le 15 novembre 2022 à 11:16.

Sinon, pour accéder aux vieux trucs, tu peux faire comme on faisait à un de mes anciens taf : une VM sous Windows XP/Debian 3.

De manière générale je n’aime pas la critique "machin X récent est nul, il peut pas communiquer avec machin Y vieux". Ben si tu veux communiquer avec machin Y vieux, tu prends machin X vieux au lieu de tout vouloir garder 10 ans en arrière.
- [^] # Re: Pour les vieux trucs
  
  Posté par Zenitram (site web personnel) le 15 novembre 2022 à 13:00. Évalué à 6.
  
  tu prends machin X vieux au lieu de tout vouloir garder 10 ans en arrière.
  
  Je remercie d'autres personnes à ne pas penser comme ça, par exemple mes périphérique USB1 fonctionnent toujours sur le dernier ordi en USB4 et c'est très bien comme ça.
  
  une VM sous Windows XP/Debian 3.
  
  Avec les trous de sécurité. Et ça c'est la version cloisonnée gentille, d'autres peuvent juste installer un vieux FF sur leur machine principale, car les nouvelles versions font juste chier.
  Est-ce que le "on désactive TLS 1.1 pour plus de sécurité" amène vraiment plus de sécurité? Je n'en suis pas si sur… L'avenir nous dira ce qu'il en est.
  - [^] # Re: Pour les vieux trucs
    
    Posté par NeoX le 15 novembre 2022 à 17:43. Évalué à 1.
    
    on a vu recemment que finalement avoir du retard c'etait pas si mal,
    y a eu une faille openSSL qui touchait les nouvelles versions, mais pas les anciennes
    bien content de pas avoir à refaire tout notre parc
# Switch @ ~

Posté par Skilgannon le 15 novembre 2022 à 11:40. Évalué à 2.

[…] switch 1 G (beaucoup d'entre vous ont des 2.5 G ou plus à la maison ?)

Odroid H2+ avec sa carte d'extention, donc en tout 6 ports 2,5G.

D'ailleurs si quelqu'un à une alternative à ce H2 je suis preneur; il n'est plus disponible à la vente.
- [^] # Re: Switch @ ~
  
  Posté par Glandos le 15 novembre 2022 à 11:59. Évalué à 3.
  
  Je plussoie ce genre de solutions.
  Un switch basique, c'est très bien. Quand on veut faire du managé, chez soit, finalement, un vrai ordinateur avec l'OS qu'on veut c'est mieux.
  - [^] # Re: Switch @ ~
    
    Posté par Skilgannon le 15 novembre 2022 à 19:44. Évalué à 2.
    
    Je ( plussoie )² :)
    Le seul problème c’est de trouver le matériel. Sans ce H2 et sa carte d’extension, je ne crois pas que j'aurais sauté le pas.
    
    Le Turris MOX, me tentait bien, mais j'avais besoin de au moins 2 (voir 3) ports 2.5G entre un serveur proxmox et un NAS … que j'ai finalement fusionnés.
- [^] # Re: Switch @ ~
  
  Posté par Astaoth le 15 novembre 2022 à 21:54. Évalué à 4.
  
  Plutôt un routeur maison, non ? Il manque la stack d'asic pour faire le switching à faible latence et à faible conso électrique. J'ai d'ailleurs un très gros doute que le CPU puisse tenir la charge pour router du 2.5Gbps en continue, est-ce que tu l'as testé ?
  Déjà qu'un PCEngine APU2 ne tient pas la charge pour router du 1Gbps entre seulement 2 ports 2 ports avec autre chose que du Linux.
  
  En switch low cost pour faire du 10Gbps, il y a les Force 10 S55 (L3, 48 ports 1G + possibilité d'ajouter 4 ports 10G, 2Tb de capacité de switching). J'ai pas trouvé de meilleur rapport "quantité"/prix sur ebay, mais c'est forcément un peu plus bruyant qu'un odroid et un peu différent à prendre en main qu'une webui ou qu'un linux.
  
  Sinon il y a aussi Microtiks et Netgear qui ont des switchs manageables pas chers pour faire du 10G, mais ca vaut ce que ca vaut quoi.
  
  Emacs le fait depuis 30 ans.
  - [^] # Re: Switch @ ~
    
    Posté par Skilgannon le 17 novembre 2022 à 20:21. Évalué à 1.
    
    Alors oui j'avais ! Il me semble bien que j'obtenais environ 2gb, mais je me souviens plus comment j'avais fait ces tests.
    
    Mais depuis j'ai changé d'organisation et là je m’aperçois que je ne dépasse pas le 1Gb entre le serveur et le switch et 1.5Gb en le pc et le switch. Problème de câble ? :(
    
    Tests fait avec iperf3 sur 1 minutes.
    - [^] # Re: Switch @ ~
      
      Posté par claudex le 18 novembre 2022 à 09:01. Évalué à 4. Dernière modification le 18 novembre 2022 à 09:01.
      
      Tu peux regarder avec ethtool quelle vitesse est négociée pour le port.
      
      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
      - [^] # Re: Switch @ ~
        
        Posté par Skilgannon le 19 novembre 2022 à 16:04. Évalué à 1. Dernière modification le 19 novembre 2022 à 16:04.
        
        Merci pour la commande, je l'avais oubliée.
        Pour le PC, c'est bon le 2.5 est bien supporté.
        Par contre pour le serveur, j'ai
        
        Supported link modes: 100baseT/Full; 1000baseT/Full; 10000baseT/Full; 2500baseT/Full; 5000baseT/Full
        Advertised link modes: 100baseT/Full; 1000baseT/Full; 10000baseT/Full
        
        Il n' y a pas de 2.5gb dans les liens annoncés.
        Quel pourrait être la raison ?
        
        [^] # Re: Switch @ ~
        
        Posté par claudex le 19 novembre 2022 à 16:36. Évalué à 4.
        
        Peut-être qu'il détecte mal un truc ? Tu peux toujours le forcer à mains avec ethtool advertise (pense à garder le gigabit dans les advertise, sinon il risque de couper). Tu peux aussi voir ce qu'il reçoit du switch dans l'affichage avec Link partner advertised link modes.
        
        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
        
        [^] # Re: Switch @ ~
        
        Posté par Skilgannon le 19 novembre 2022 à 18:50. Évalué à 1.
        
        Tu peux aussi voir ce qu'il reçoit du switch dans l'affichage avec Link partner advertised link modes.
        
        C'est justement une des chose que je ne comprends pas, je n'ai pas cette ligne sur le serveur au contraire du PC.
        
        Serveur (Proxmox):
        ethtool enp35s0f1 Settings for enp35s0f1: Supported ports: [ TP ] Supported link modes: 100baseT/Full 1000baseT/Full 10000baseT/Full 2500baseT/Full 5000baseT/Full Supported pause frame use: Symmetric Supports auto-negotiation: Yes Supported FEC modes: Not reported Advertised link modes: 100baseT/Full 1000baseT/Full 10000baseT/Full Advertised pause frame use: Symmetric Advertised auto-negotiation: Yes Advertised FEC modes: Not reported Speed: 1000Mb/s Duplex: Full Auto-negotiation: on Port: Twisted Pair PHYAD: 0 Transceiver: internal MDI-X: Unknown Supports Wake-on: umbg Wake-on: g Current message level: 0x00000007 (7) drv probe link Link detected: yesPC:
        Settings for enp4s0: Supported ports: [ TP MII ] Supported link modes: 10baseT/Half 10baseT/Full 100baseT/Half 100baseT/Full 1000baseT/Full 2500baseT/Full Supported pause frame use: Symmetric Receive-only Supports auto-negotiation: Yes Supported FEC modes: Not reported Advertised link modes: 10baseT/Half 10baseT/Full 100baseT/Half 100baseT/Full 1000baseT/Full 2500baseT/Full Advertised pause frame use: Symmetric Receive-only Advertised auto-negotiation: Yes Advertised FEC modes: Not reported Link partner advertised link modes: 10baseT/Half 10baseT/Full 100baseT/Half 100baseT/Full 1000baseT/Full 2500baseT/Full Link partner advertised pause frame use: Symmetric Receive-only Link partner advertised auto-negotiation: Yes Link partner advertised FEC modes: Not reported Speed: 2500Mb/s Duplex: Full Auto-negotiation: on master-slave cfg: preferred slave master-slave status: slave Port: Twisted Pair PHYAD: 0 Transceiver: external MDI-X: Unknown Supports Wake-on: pumbg Wake-on: d Link detected: yes
        
        [^] # Re: Switch @ ~
        
        Posté par claudex le 19 novembre 2022 à 19:10. Évalué à 4.
        
        Alors, j'ai trouvé un comportement similaire dans un bug lié à NetworkManager, il est possible qu'il y ait eu une config précédente qui soit toujours là. Donc, ça vaut la peine de tenter d'override les valeurs à la main: ethtool -s enp35s0f1 autoneg on par exemple pour voir si ça améliore les chose. Après, soit il y a des paramètres par défaut qui sont là d'une précédente config, soit il y a un truc au démarrage qui override et qu'il faudra configurer.
        
        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
        
        [^] # Re: Switch @ ~
        
        Posté par Skilgannon le 23 novembre 2022 à 18:47. Évalué à 2.
        
        Merci.
        Jsute pour information:
        ethtool -s enp35s0f1 autoneg on
        Ne fonctionnait pas, le debit max était toujours vers 1Mb/s
        J'ai du rajouter "speed 2500 duplex" pour avoir les 2.5G/s.
        ethtool -s enp35s0f1 speed 2500 duplex full autoneg on
        
        [^] # Re: Switch @ ~
        
        Posté par claudex le 23 novembre 2022 à 19:21. Évalué à 3.
        
        Par curiosité, tu as quand l'affichage maintenant avec ethtool ?
        
        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
    - [^] # Re: Switch @ ~
      
      Posté par Astaoth le 18 novembre 2022 à 20:28. Évalué à 5.
      
      Problème de nombre de paquets par seconde pouvant être traité sinon. Les CPU ne sont pas fait pour traiter un grand nombre de paquets d'un coup. C'est pour ca que les switchs ne font pas le routage avec du CPU, mais avec des asic, qui permettent de tenir le débit max en simultané sur tout les ports.
      
      Emacs le fait depuis 30 ans.
- [^] # Re: Switch @ ~
  
  Posté par Mimoza le 15 novembre 2022 à 22:26. Évalué à 4.
  
  Ils ont sorti le «H3(+)», qui embarque un CPU un peu plus puissant …
  https://www.hardkernel.com/shop/odroid-h3-plus/
# Réseau domestique

Posté par pamputt le 15 novembre 2022 à 12:33. Évalué à 3.

Je profite de ce journal pour demander quelques conseils. Je vais prochainement refaire une bonne partie du réseau électrique de ma maison, et quitte à passer des câbles, je voudrais en profiter pour passer du câble ethernet dans toute la maison.

Mon fournisseur d'accès à Internet me fournit une connexion entrante de presque 1 Gbit/s donc je me dit qu'il faut que je câble la maison avec de l'ethernet qui prend au minimum en charge ce débit mais je me pose la question de prendre des câbles qui peuvent supporter plus (10 Gbits/s). En effet, je ne prévoit pas de recabler ma maison tous les 5 ans donc autant prévoir les futures évolutions le plus amont possible. Mais mettre du câble 10 Gbits ne pose-t-il pas d'autres soucis, au niveau matériel réseau par exemple ?
- [^] # Re: Réseau domestique
  
  Posté par cg le 15 novembre 2022 à 13:30. Évalué à 5.
  
  Tu peux mettre du CAT6a pour faire passer du 10Gbps. Sur du CAT7 ou CAT8, tu peux aller jusque 40Gbps.
  
  Mais attention aux longueurs max !
  
  De mémoire les câbles CAT7/CAT8 sont un peu chers par-rapport au CAT6a, c'est à prendre en compte aussi.
  
  Tous ces câbles "paire torsadées" (BASE-T) sont rétrocompatibles, tu peux faire du 10Mbps sur un câble CAT8 ;).
- [^] # Re: Réseau domestique
  
  Posté par Julien Jorge (site web personnel) le 15 novembre 2022 à 13:40. Évalué à 9.
  
  Chez moi j'ai mis du Grade 3 qui supporte donc du 10 Gbits/s. C'est branché à un bout sur une prise Ethernet murale, et à l'autre bout sur le coffret VDI, qui est lui-même connecté à la box. Cette dernière prend le rôle du routeur.
  
  Pour l'instant je n'ai eu aucun souci avec cette config. Je me branche au mur dans le bureau, à l'autre bout du logement, et ça dépote. Ailleurs j'ai mis un petit routeur wifi sur une prise électrique, branché en Ethernet sur la prise à côté. Ça aussi ça fonctionne très bien :)
  
  Je devrais bientôt ajouter un switch dans le coffret pour pouvoir profiter de plus de prises.
  
  Pour info le câble que j'ai installé est celui-ci : https://www.123elec.com/gaine-prefilee-ftp-grade-3-sat-2200mhz-d20-couronne-de-100m.html
  - [^] # Re: Réseau domestique
    
    Posté par Julien L. le 15 novembre 2022 à 16:33. Évalué à 3.
    
    Je confirme !
    
    L'avantage du Grade 3 en réseau domestique c'est que, en plus de pouvoir être utilisé pour de la donnée "informatique", on peut aussi faire passer les signaux antenne TNT/Satellite suivant le type.
  - [^] # Re: Réseau domestique
    
    Posté par aiolos le 15 novembre 2022 à 16:57. Évalué à 5.
    
    J'ai également fait une installation en grade3 quand j'ai tiré des courants faibles dans la maison. Par contre, je n'ai pas installé de boitier VDI mais je l'ai remplacé par un boitier 4U de 10 pouces dans lequel j'ai callé un routeur, un amplificateur de signal d'antenne, un rapsberry pi et une prise que j'ai tirée directement depuis le coffret électrique. Je trouvais que les boitiers VDI, c'est peu flexible et super cher pour un routeur moyen/bas de gamme… Je me fiche un peu du côté tout intégré du VDI, je suis en maison, j'ai la place de mettre le boitier et les équipements électriques sont dans la buanderie.
    
    En faisant moi-même mon armoire, j'ai la place d'y caler d'autres équipements si j'ai envie (j'avais mis—en plus du raspberry pi—le routeur ADSL dedans quand j'étais chez Bouygues—maintenant que je suis chez Free, la FB révolution tiens pas :/ )
- [^] # Re: Réseau domestique
  
  Posté par barmic 🦦 le 15 novembre 2022 à 15:13. Évalué à 5.
  Tu peux avoir d'autres raisons pour câbler avec une meilleure qualité si tu as du trafic complètement interne à ton réseau. Par exemple :
  - backup locaux
  - upnp/dlna → mettre à disposition une vidéo depuis un ordinateur à un autre ou vers une télé
  - partage de fichier → entre membre d'une famille ou colocataire avoir un dossier partagé c'est très utile et partager une vidéo ou une archive aussi facilement que si c'était un fichier texte c'est appréciable
  https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
- [^] # Re: Réseau domestique
  
  Posté par dr191 le 15 novembre 2022 à 19:29. Évalué à 3.
  
  Salut,
  
  J'ai fait ca il y a qq années en ethernet cat6. Aujourd'hui que la fibre arrive dans mon coin perdu, je regrette de pas avoir ajouté qq gaines vides ( voir avec les jarretières) pour y passer de la fibre lan pour qq éléments clés ( routeur, nas). Le 10 Gbits en ethernet cuivre, ca marche mais ca impose pas mal de contraintes ( ca chauffe, le matos est plus cher …). Bien sur pas besoin de ca pour toutes les prises, mais qq gaines vides en plus, ca va pas couter bien cher.
  
  Si vous avez la place, le rack 19" qq U est aussi un bon choix pour y cacher tout le matos.
  - [^] # Re: Réseau domestique
    
    Posté par dr191 le 15 novembre 2022 à 19:46. Évalué à 2.
    
    et aussi une prise ondulée pour le nas
- [^] # Re: Réseau domestique
  
  Posté par lerat91 le 15 novembre 2022 à 21:21. Évalué à 3.
  
  Pourquoi ne pas tirer de la fibre ?
  Yves Rougy en parlait dans cette vidéo : https://youtu.be/jxdTxWqgrjI
  - [^] # Re: Réseau domestique
    
    Posté par Astaoth le 15 novembre 2022 à 22:22. Évalué à 6.
    
    Avec des jarretière faut y aller doucement quand on les tire, y a pas de kevelar (pour pouvoir tirer sur le cable sans casser la fibre) ni de vraie gaine de protection.
    T'as aussi des connecteurs qui peuvent être installés au bout des fibres sans soudures, mais la qualité de ce montage peut être aléatoire.
    Si une fibre casse, c'est impossible à réparer sans soudeuse, ou alors avec un fiberlock qui va mettre une énorme atténuation sur la ligne.
    
    Puis entre des transreceivers SR et LR, les fibres monomodes et multimodes, monobrin et bibrins et les connecteurs SC, LC FC et ST, c'est un peu moins accessible qu'un bête cable ethernet Cat6.
    
    Emacs le fait depuis 30 ans.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.