Mince alors… Gueudou et Frouny. …gros gros coup de mal du pays tout d'un coup.
Plus sérieusement, j'ai tendance à croire qu'une partie de la faute incombe aux RIRs et aux équipementiers: On connait tous (enfin j'eu connu….) les best practices de filtrages, quelle est la raison pour laquelle elles sont parfois pas en place? Mes 2cents: - on trouve difficilement une info uniforme sur l'ensemble des registriez - pour chaque registry on a pas le même accès ni le même output - pour la plupart des équipementiers, c'est la misère d'automatiser de telles mises à jour. Aujourd'hui, n'importe quel apprenti hipster peut faire un mashup de 10 sites en même temps grâce à leurs APIs - qu'est-ce qui empêche les RIRs de fournir une API unifiée pour que les fautifs n'aient plus d'excuse technique valable ? (qui plus est mettre à jour des objets RIR est toujours un truc assez bancal et dev par des PERL-addicts et expect-dinosaurs d'un autre siècle…). En gros, si une API était fournie avec une lib pour les langages principaux ça serait quand même plus simple. Au même titre: pourquoi on est toujours obligé d'utiliser des mécanismes de conf antédiluviens pour automatiser l'admin d'un réseau? "De mon temps", seuls Juniper proposaient un accès API XML (ok, xml…) pour conf leurs équipements de manière programmatique. Pourquoi on devrait se fader des heures de snmpwalk ou du expect de mathusalem pour automatiser ses confs? My 2 cents. (d'un coup je suis pris de panique, j'ai pas lu tout le thread… si ça se trouve ça a rien a voir avec la compote ce que je raconte). -- Greg On Jul 26, 2012, at 3:09 AM, Jérôme Nicolle <jer...@ceriz.fr> wrote: > Le 26/07/2012 10:46, Raphael MAUNIER a écrit : >> heu, non > > J'en profite pour rappeler à votre liste de lecture le papier que Sarah > à préparé avec l'ANSSI, et qui porte justement sur l'impact qu'auraient > eu le respect des best practices sur les derniers incidents notables > liés au BGP. > > https://www.sstic.org/media/SSTIC2012/SSTIC-actes/influence_des_bonnes_pratiques_sur_les_incidents_b/SSTIC2012-Article-influence_des_bonnes_pratiques_sur_les_incidents_bgp-contat_valadon_nataf_2.pdf > > Max prefix : check. > IRR filters : difficile vu le nombre de routes, mais pas impossible. > AS_Path filter : bha évidement, tu peux savoir qu'un gros AS qui fait > une part visible de ton trafic va pas arriver par un peer ou client > comme ça... > > Raphael > Donc non, tu n'utilises pas de filtre. Ca ne veut pas dire que > ça n'aurait pas un impact positif sur ce cas de figure. > > Vu le temps qu'il va falloir pour déployer RPKI+ROA sur une part > significative des AS, ce serait bien d'implémenter quelques contrôles > d'ici là. > > Stephane LM > tu as autre chose à proposer ? > > > -- > Jérôme Nicolle > 06 19 31 27 14 > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
