At 18:12 27/07/2008, Raymond Caracatamatere wrote:
Bonjour à tous,
Je profite de ce temps radieux, pour faire appel
à votre expérience et conseils, je dois
prochainement monter une session BGP de peering
alors que j'ai déjà sur mon routeur 2 sessions
avec des transitaires (Orange et TATA pour ne
pas les citer), je voudrais connaitre vos avis
sur la sécurité et les filtres à appliquer à ces
sessions afin qu'aucun des transitaires et du
peer ne puissent m'utiliser pour faire passer un
traffic que je ne voudrais pas.
Y a t-il des règles spécifiques? des filtres à
ne pas oublier lorsqu'on se connecte à un point
de peering ? comment être tout à fait certain
que personne du point de perring pourra utiliser mes liens vers mes transit ?
A partir du moment ou on se connecte a un point
d'echange, on accepte de faire partie de cette
grande communauté qui sait rester responsable et ne pas faire n'importe quoi.
Cela etant, physiquement, a part interdire le
trafic venant d'adresses MAC avec qui tu ne peer
pas, tu n'est pas a l'abri de quelqu'un qui
dirige des routes vers toi a la main.
Ensuite, pour les gens avec qui tu peer,
* En BGP :
- Mettre un max-prefix a une valeur
raisonnable (nous, on a opté pour 500, avec une
valeur plus haute au cas par cas pour les
quelques peers qui dépassent ce seuil). Le gros
des membres d'un IX utilise cette simple
protection qui empeche de recevoir l'internet
entier quand un peer bave (ce qui arrive assez regulierement, en fait :))
- (mode parano) mettre des access-list BGP
précises avec la listes des préfixes déclarés au
RIR de l'AS et les tenir a jour. A ma
connaissance, tres peu le font sur les points de peerings.
* En layer3 :
- (mode ultra parano) mettre des ACL par avec
ces memes access-list pour empecher tout autre
trafic, mais tu risque de te retrouver avec des
effets de bord plus qu'indésirable (par exemple
quand un AS écoule le trafic d'un autre derriere
lui sans pour autant que les enregistrements
soient a jour au RIR), et tu aura besoin de routeurs tres costaud :)
Cette derniere option est plausible techniquement
mais jamais utilisée, a ma connaissance.
De maniere générale (et ca m'etonne toujours que
la presse ne se soit pas emparée du sujet pour
faire un bel article bien parano) l'internet (en
tout cas au niveau BGP) reste une histoire de
confiance mutuelle qui, a quelques exceptions
près, fonctionne bien (voir l'affaire youtube
v.s. pakistan d'il y'a quelques mois)
________________________________________
'Spyou' - www.spyou.org - [EMAIL PROTECTED]
ircnet.nerim.net - UIN : 6871374
Don't dream it,
Be it.
(RHPS)
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
