Surprise en retrant -tard- du boulot ce soir : l'électricité est coupée dans la moitiée de ma rue... Des camions EDF partout, des ouvriers qui ouvrent le sol a coup de pelleteuse, des groupes électrogènes.

Tout à coup, je comprends mieux pourquoi ma connexion ssh est tombée dans l'après-midi...

Ca fait un moment que j'avais un petit onduleur Nitram Elite 2002 1000VA, qui me servait uniquement de "lisseur de courant". C'était donc l'occasion de s'en servir vraiment en protection des filesystems, à coups de NUT: Network UPS Tools.

Après une config rapide, premier test, ca fonctionne bien, sauf que... l'onduleur ne tient pas plus de 2 minutes avec la charge suivante :

• un PPro datant de 1996
• un athlon 1800+
• un athlon 2500+

L'interêt est donc relativement faible. Bon, ca nous aura au moins donné l'occasion de manger une bonne raclette au Serpent Qui Danse :)

Update de ma wishlist : achat d'un onduleur de forte capacité et monitorable correctement (APC?).

mise à jour du 12 février : après un passage du plombier, qui a tout fait sauter, mon onduleur a tenu mes deux serveurs online pendant 10 secondes. Il a crié bien fort ses bipbips, mais il a tenu.

Les réseaux Wifi avaient depuis longtemps la réputation d'être difficiles à sécuriser. Les normes successives de chiffrement se sont fait casser les unes après les autres... Jusqu'à l'apparition de la norme WEP : elle s'est fait casser aussi, mais l'attaque n'était pas pratique : il fallait collecter _beaucoup_ de traffic réseau pour ensuite faire tourner un logiciel de cassage de clé (airsnort par exemple) pendant plusieurs heures (bruteforce).

Ca n'était donc pas une attaque "sur le champ" : difficile d'imaginer rester des dizaines d'heures dans des hotels ou aérogares avant de pouvoir se connecter à leur réseau.

Mais les temps ont changés, et de nouveaux logiciels de cassage de clés sont apparus en août 2004 (aircrack et WEPlab), utilisant des algorithmes statistiques qui ont besoin de 1000 à 10.000 fois moins de traffic réseau pour préparer l'attaque, qui dure souvent moins d'une minute ! Qui a dit que les maths ne servaient à rien ?

A ceux interessés par le sujet, je conseille la lecture de l'article original de Michael Ossmann. En attendant ses articles suivants...

Ah ! et pour ceux qui pensent utiliser les protocoles LEAP et/ou PPTP pour leur réseau Wifi, il sont cassés aussi : voir le logiciel asleap et l'article décrivant la vulnérabilité.

update du 18 mars 2005 : la deuxieme partie de l'article de Michael Ossman est online

update du 19 aout 2006 : on peut maintenant attaquer WEP en quelques secondes... voir l'article sur linuxfr

Tout le monde a besoin de garder son ordinateur a l'heure. Sous Unix, on utilise en général le logiciel ntp ou ntpdate. (et pas clockspeed/taiclock de Bernstein qui est une véritable horreur !).

Sous windows, jusqu'à maintenant j'utilisais un freeware, mais il fallait prendre le temps de le télécharger, de l'installer et de le configurer. Puis, surprise, j'ai récemment découvert qu'il existe un service ntp sous windows depuis au moins win2000 ! Dans la liste des services, il se nomme : "Horloge Windows".

Pour le configurer, suivez les étapes suivantes :

1- Aller dans le Gestionnaire des Services et mettre le service "Horloge Windows" en automatique

2- Insertion du ou des serveurs ntp :

* net time /setsntp:serveur
(en remplacant "serveur" par "ntp.univ-lyon1.fr" par exemple)

ou

* net time /setsntp:"serveur1 serveur2 .... "
(si vous souhaitez utiliser plusieurs serveurs)

3- Arrêt et démarrage du service ntp :

* net stop w32time
* net start w32time
* C'est au redémarrage du service que la mise à jour se fait.

Avec la démocratisation des accès internet à haut débit (merci Free et ses 8Mbit/s), on arrive à un constat étonnant : la copie de fichiers par SSH ou SCP reste souvent relativement lente (de l'ordre de 2Mbit/s), quelle que soit la puissance des machines encodant et décodant le flux.

Chris Rapier et Michael Stevens ont analysé le problème (taille des buffers d'Openssh), et proposent un patch ainsi que des mises à jour, sur leur site : High Performance Enabled SSH/SCP. Pour aller encore plus loin, on peut coupler leur patch à l'utilisation du protocole Blowfish, plus rapide (mais moins sécure ?) que le protocole par défaut.

Merci à Frank pour avoir trouvé cette info !

J'en profite pour parler d'un de mes vieux patchs contre une vieille (forcément) version d'openssh (trouée, ne l'utilisez plus). Il s'agissait d'envoyer des paquets keepalive pour maintenir le flux quand on souhaitait faire passer du ssh à travers un proxy http, en utilisant corkscrew.

La bonne nouvelle, c'est qu'il semble que les developpeurs d'openssh aient enfin repris l'idée : application layer keep alive (options: ServerAliveInterval ServerAliveCountMax). Ca n'a pas encore l'air parfait d'après mes tests, mais d'ici quelques releases, ca devrait marcher.

Et tant que j'y suis, je vous rappelle que depuis peu, openssh intègre un système de multiplexage de connexions ssh. Il s'agit d'avoir une seule authentification et une seule paire de ports ouverts, et de créer et faire passer plusieurs nouveaux flux quand on le souhaite.

Depuis un moment, j'ai un soucis de téléphonie avec ma freebox : un bourdonnement constant, dès le décroché... Va pour contacter la hotline Free, pour leur demander de régler le problème. Elle n'a pas une bonne réputation, mais je pars sans préjugé. Histoire d'une petite galère.

Tout d'abord, lutter un peu pour trouver le numéro de téléphone. Il n'est pas si évident à dénicher sur leur site web. Tellement bien caché que je ne parviens pas à le retrouver pour mettre l'info dans ce post. Si : 3244 ou le 08 92 13 51 51 (0,34 euros/min). Après l'avoir trouvé, une première bonne surprise : les horaires d'ouvertures sont étonnament larges : la Hotline est disponible du lundi au vendredi de 08h00 à 22h30, samedis, dimanches et jours fériés de 09h à 20h. Bien, ca va être facile de les joindre.

Sauf que non, pas du tout. Ca a commencé par X appels aboutissants sur un message expliquant que la hotline était tellement surchargée qu'elle n'acceptait plus d'appels. Je n'ai même pas le droit d'attendre mon tour. Je raccroche donc, ce qui n'empêche pas France Telecom de me facturer les 34 centimes d'euros pour rien.

Enfin, un appel en milieu de journée parvient à passer dans la file d'attente : l'ordinateur qui répond au téléphone prévoit une attente de "5 minutes". Je patiente donc en écoutant Barry White samplé/massacré en 8kHz. Les cinq premières minutes d'attente passent assez vite... 10 minutes... Barry White commence a être un peu saoulant... 15 minutes pffff.... vers la 16ème minute d'attente, quelques clic-bip-bip se font entendre, qui me font espérer une réponse... mais non...

Enfin, un hotliner répond après 19 minutes et 35 secondes. Sympa, compétent, il me propose de vérifier si mes prises téléphoniques comportent un condensateur (ça n'est pas le cas, j'ai vérifié) et m'informe que les techniciens connaissent le problème et vont envoyer un firmware modifié sur ma freebox, adapté au problème.

Reboot de freebox quelques jours plus tard : Ca marche ! Plus de bourdonnement, la ligne était claire. Heureux, mais 8.16€ plus pauvre. Sauf que ca n'a duré que quelques jours, et depuis, ca recommence. Mais je n'ai pas le courage de repasser 20 minutes à écouter du Barry White à 34 cents la minute.