> Emmanuel Thierry a écrit :
> Juste une précision : Il est où ton routeur ? Chez toi ou dans un DC ?
A la maison.
> Je ne comprends pas trop ton schéma. (si c'est chez toi, inutile de dire que
> je ne
> comprend pas l'utilité de filtrer par BGP vu que le goulot d'étranglement est
> en amont)
Précisément : la bonne manière de filtrer c'est précisément en amont, chez ton
FAI (ou le sien). Tout le monde te le dira, quand tu te prends une attaque dans
la gueule tu ne peux rien faire tout seul, if faut collaborer avec ton FAI et
la seule chose qu'il comprend c'est BGP. La meilleure manière de distribuer une
liste d'adresses IP qui te font chier, c'est BGP.
Bon en plus, petit routeur deviendra grand. Le réseau à la maison c'est sympa
pour alpha tester les bidouilles, abominations et autres monstruosités avant de
les béta tester en lab et de les mettre en prod.
Avec du vrai matos, l'utilité de filtrer par BGP est la suivante :
RPF dépend de CEF. Sur un vrai routeur tu as CEF ou dCEF en hard. Ma
connaissance limitée de Cisco internal (quelqu'un qui connait vraiment cette
partie, des détails croustillants?) me dit ceci: la merde arrive, lookup dans
la TCAM; si match, discard direct dans la linecard. Adios amigo, et pour pas
payer d'împots il faut naître à Monaco. Même si tu te prends une DDOS PPS dans
la gueule, ton routeur ne s'effondre pas tant que le PPS ne mets pas la TCAM à
genoux. J'ai tort ? quelqu'un qui traduit çà en Juniper ?
> Fabien Schwebel a écrit :
> internet ---- box opérateur en bridge, brainless ---- routeur portant l'IP
> publique et faisant le NAT ---- IPS ---- routeur Wi-Fi --- devices
Presque la même chose que moi, sauf que je ne veux pas de la box opérateur. Il
y en a pas une pour rattraper l'autre, c'est de la merde en plastique avec du
code écrit avec les pieds, SNMP de daube, pas de MIB, etc etc. C'est pour çà
que je mets du Cisco, c'est pas bon marché mais au moins on peut regarder ce
qui se passe sur le cuivre ou la fibre.
> Pour l'instant je filtre un lien ADSL 18Mbps avec un petit ordi portable i5
> sans brider aucunement la ligne.
Avec ta config, qu'est-ce que le pifomètre aiguisé dit si tu utilisais un
processeur Atom ?
> Zotac Z-Box ID92
Est-ce qu'elle est en bridge aussi? le même sous-réseau IP des 2 cotés ?
L'adresse IP de passerelle c'est celle du routeur ?
> Suricata sur distrib SELKS
Ca c'est la partie que je connais vraiment pas. Leçon "Suricata pour les nuls",
stp. Je veux un truc dont j'ai pas besoin de m'occuper, qu'est ce que Suricata
va me donner de plus que snort, et quels sont les avantages de la distro SELKS
par rapport à installer Suricata à la main ?
> Je ne comprends pas trop vos histoires de BGP et son utilité, là où Netfilter
> fait du bon boulot :)
Cà c'est la différence fondamentale entre ceux qui sont tombés dans un ordi
quand ils étaient petits et ceux qui sont tombés dans un routeur quand ils
étaient petits. Toi t'est tombé dans un ordi, moi dans un routeur.
BGP, c'est facile à distribuer à tes petits camarades. BGP, c'est une base de
données distribuée.
Toi, tu consolides les listes de merdasse dans ton IPS. Moi, je les consolide
dans mon routeur, et je partage avec les potes.
Dans ton réseau, la merdasse connue ou pas traverse ta box opérateur, ton
routeur, ton NAT, ressort de ton routeur, et rentre dans ton IPS ou finalement
tu la dégage. Dans mon réseau, la merdasse connue est dégagée à l'interface
extérieure. La détection et le filtrage ne sont pas (forcément) liées.
Michel.
___________ _______________
+---------------------------------/ Ze claoud \--+ +--/ Ze rézo local
\--------------------------------------------+
! ! !
!
! +-----+ +---+ +---+ ! !
+---+ +---------------+ !
! ! FAI ! ! x ! ! y ! ! ! Cafetière -----+
+- Serveur +---+ Switch Garage + !
! +--+--+ +-+-+ +-+-+ ! ! !
S ! ! +---------------+ !
! ! ! ! _______ !
W +- PCs +---+ !
! +--------+ +----+--------+------/ Cisco \----+ !
I ! ! +------ DVR !
! ! ! Tu100 Tu200 ! !
T +--------+ ! !
! ! ! NAT + Log ! +---------+ !
C ! +---+--+ !
! +--------------+ +---+ ATM0/0/0.35 Reflx ACL F0/0 +---+ Adtrap +--+
H +-------------+ Wifi +--- NeoTV !
! ! Team Cymru ! ! ! +---------+ !
! +-+-+--+ Netflix !
! ! FullBogon #1 +---+ ! eBGP eBGP eBGP iBGP ! !
+- Ooma ! ! !
! +--------------+ ! +----+------+------+-----------+--+ !
! ! +------ PC films !
! ! ! ! ! ! ! ! +--------+ !
+- Pi ! !
! +--------------+ +--------+ ! ! ! ! +------+ ExaBGP +---+
! ! !
! ! Team Cymru ! ! ! ! ! !--------+ !
! ! !
! ! FullBogon #2 +-------------------+ ! ! !
+-+-+ ((( o ))) (((geek))) !
! +--------------+ ! ! !
! !
! ! ! !
+---------------------+-----------------------------+ !
! +--------------+ ! ! ! ! Chiottes énablés
TCP/IP pour tirer la chasse avec ! !
! ! Bad IPs +--------------------------+ ! ! ! une app Android, et
générer un évenement syslog ! !
! ! BGP feed ! ! ! ! à chaque fois, çà
frime à mort avec les geeks. ! !
! +--------------+ ! !
+---------------------------------------------------+ !
! ! !
!
+------------------------------------------------+
+---------------------------------------------------------------+
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
