Radu,
Le 09/03/2016 14:13, Radu-Adrian Feurdean a écrit :
> Concernant le fait d'annoncer le supernet (contrairement au subnet
> precis de l'IXP), je vois pas beaucoup de problemes avec ca. Ca doit
> etre une malhereuse combination de plusieurs mauvaises choses pour que
> la presence du supernet dans la GRT pose des problemes.
Subnet précis ou supernet, l'un comme l'autre, posent les problèmes
suivants :
- Exposition des interfaces de routeurs pas nécessairement simples à
protéger, sur lesquelles on est certain d'avoir au moins un speaker BGP,
si ce n'est plein de backdoors (La NSA vous remercie de tout bien
exposer sur un préfixe bien identifié)
- Possible hijack d'un more-specific depuis l'extérieur qui perturberait
à minima du monitoring, et dans de rares cas l'établissement de tunnels
au travers des IX (IPSec tunnel mode pour BGP, anyone ?)
-> cas moins probable de résolution du next-hop vers un transit plutôt
que l'IX
- Possible hijack d'un more-specific depuis l'intérieur : si un membre
annonce, par session directe mal filtrée en face, un /24 (ou plus long)
du /23 de la zone, alors il détournera le trafic de son pair vers tous
les membres de ce /24
Tout ça même avec la meilleur hygiène possible sur l'IXP (filtres
stricts en RS, filtrage L2, aucun bout d'IGP qui traine), sachant qu'il
y aura toujours des membres dans l'impossibilité de monter de leur coté
l'ensemble des filtres requis.
Bref, voir un préfixe de LAN d'IXP dans la DFZ, même si je peux trouver
ça pratique dans de rares cas, je trouve ça globalement flippant.
@+
--
Jérôme Nicolle
06 19 31 27 14
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
