[FRnOG] sécuriser session BGP peer et transit
Bonjour à tous, Je profite de ce temps radieux, pour faire appel à votre expérience et conseils, je dois prochainement monter une session BGP de peering alors que j'ai déjà sur mon routeur 2 sessions avec des transitaires (Orange et TATA pour ne pas les citer), je voudrais connaitre vos avis sur la sécurité et les filtres à appliquer à ces sessions afin qu'aucun des transitaires et du peer ne puissent m'utiliser pour faire passer un traffic que je ne voudrais pas. Y a t-il des règles spécifiques? des filtres à ne pas oublier lorsqu'on se connecte à un point de peering ? comment être tout à fait certain que personne du point de perring pourra utiliser mes liens vers mes transit ? Merci à tous de vos eclaircissements et de vos retours d'expériences. -- Ray
Re: [FRnOG] sécuriser session BGP peer et transit
At 18:12 27/07/2008, Raymond Caracatamatere wrote: Bonjour à tous, Je profite de ce temps radieux, pour faire appel à votre expérience et conseils, je dois prochainement monter une session BGP de peering alors que j'ai déjà sur mon routeur 2 sessions avec des transitaires (Orange et TATA pour ne pas les citer), je voudrais connaitre vos avis sur la sécurité et les filtres à appliquer à ces sessions afin qu'aucun des transitaires et du peer ne puissent m'utiliser pour faire passer un traffic que je ne voudrais pas. Y a t-il des règles spécifiques? des filtres à ne pas oublier lorsqu'on se connecte à un point de peering ? comment être tout à fait certain que personne du point de perring pourra utiliser mes liens vers mes transit ? A partir du moment ou on se connecte a un point d'echange, on accepte de faire partie de cette grande communauté qui sait rester responsable et ne pas faire n'importe quoi. Cela etant, physiquement, a part interdire le trafic venant d'adresses MAC avec qui tu ne peer pas, tu n'est pas a l'abri de quelqu'un qui dirige des routes vers toi a la main. Ensuite, pour les gens avec qui tu peer, * En BGP : - Mettre un max-prefix a une valeur raisonnable (nous, on a opté pour 500, avec une valeur plus haute au cas par cas pour les quelques peers qui dépassent ce seuil). Le gros des membres d'un IX utilise cette simple protection qui empeche de recevoir l'internet entier quand un peer bave (ce qui arrive assez regulierement, en fait :)) - (mode parano) mettre des access-list BGP précises avec la listes des préfixes déclarés au RIR de l'AS et les tenir a jour. A ma connaissance, tres peu le font sur les points de peerings. * En layer3 : - (mode ultra parano) mettre des ACL par avec ces memes access-list pour empecher tout autre trafic, mais tu risque de te retrouver avec des effets de bord plus qu'indésirable (par exemple quand un AS écoule le trafic d'un autre derriere lui sans pour autant que les enregistrements soient a jour au RIR), et tu aura besoin de routeurs tres costaud :) Cette derniere option est plausible techniquement mais jamais utilisée, a ma connaissance. De maniere générale (et ca m'etonne toujours que la presse ne se soit pas emparée du sujet pour faire un bel article bien parano) l'internet (en tout cas au niveau BGP) reste une histoire de confiance mutuelle qui, a quelques exceptions près, fonctionne bien (voir l'affaire youtube v.s. pakistan d'il y'a quelques mois) 'Spyou' - www.spyou.org - [EMAIL PROTECTED] ircnet.nerim.net - UIN : 6871374 Don't dream it, Be it. (RHPS) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation)
On Saturday 26 July 2008 00:20:00 Rani Assaf wrote: > En quoi c'est le rôle de l'opérateur de s'occuper de ça? Moi, je verrais > plutôt Microsoft et Apple: à eux 2, ils représentent 99% du marché de > l'OS installé chez Monsieur tout le monde. > > Donc, on a qu'à leur demander de mettre en dur dans leur OS les filtres > qui vont bien. Une objection est que la liste de sites bannis ne peut être diffusée à des millions d'exemplaires, que ce soit dans les boxes, ou sur les postes des abonnés. Le filtrage des sites pédos ne peut se faire côté abonné sans risques importants de diffusion de la liste ... et comme il ne peut se faire de l'autre côté pour d'autres raisons, nous voilà bien avancé ;) Sinon je profite de cette réouverture du fil pour donner les nouvelles en ma possession à ceux qui n'en ont pas par ailleurs : - la note a été remise au ministère de l'intérieur lors d'un rdv où je me suis rendu avec Benjamin Bayart qui représentait FDN (en plus d'apporter plus généralement sa vision "salle machine"). - par ailleurs, j'ai participé à quelques réunions de "co-régulation" réunissant FAI (les juristes), pouvoirs publics, assos, .. J'ai réitéré les remarques sur le filtrage hybride et le filtrage DNS, et appris à l'occasion qu'aucune étude technique n'avait été réalisée jusqu'à présent, pas même sur les impacts en terme de sécurité ; - ceci étant le travail d'évaluation technique se poursuit désormais directement entre l'intérieur et les FAI où un groupe de travail a été mis sur pied. Sur le plan juridique, qui est loin d'être trivial vu les demandes, des consultations auraient été lancées (chancellerie, conseil d'état,...). Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation)
On Saturday 26 July 2008 00:53:18 Rani Assaf wrote: > On Mon, Jun 16, 2008 at 07:33:21PM +0200, [EMAIL PROTECTED] wrote: > > dispositifs de filtrage par les FAI dans les boîtiers de connexion des > > abonnés (les boxes). Pour les professionnels qui se sont exprimés, cette > > solution serait la seule envisageable sur le plan architectural. > > Avis d'un amateur ayant travaillé sur ces boitiers: c'est une belle > connerie. Une box, c'est de l'embarqué c'est pas fait pour faire du DPI. NB : la note finale a justement subi une modification de ce passage suite notamment aux commentaires d'Alexandre Archambault (*) qui ont suivi mon appel à commentaires « Pour --les--++certains++ professionnels qui se sont exprimés, cette solution serait la seule envisageable sur le plan architectural. » Christophe (*) http://www.mail-archive.com/frnog@frnog.org/msg03002.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présen tation)
On Mon, Jul 28, 2008 at 08:20:23AM +0200, [EMAIL PROTECTED] wrote: > - ceci étant le travail d'évaluation technique se poursuit désormais > directement entre l'intérieur et les FAI où un groupe de travail a été mis > sur pied. c'est bizare on a même pas été consulté sur le plan technique sur ce sujet la. je me demande qui va donner l'avis technique ? une cabit d'audit conseil mendater par les ayant droits ? peut être ? ;) >Sur le plan juridique, qui est loin d'être trivial vu les demandes, > des consultations auraient été lancées (chancellerie, conseil d'état,...). > > > Christophe > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- GANDER Frédéric [EMAIL PROTECTED] - http://www.free.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
