C'est pour cela qu'il me semble sain de s'appuyer sur une offre de service opérateur spécialisé qui donne un engament de SLA associé.
Des opérateurs proposent ce type de service et s'appuient pour cela sur une structure type SoC mettant à disposition des outils et des experts dans le domaine. Les outils sont toujours intéressants pour nourrir le débat technique … mais ils ne font pas tout … fort heureusement ! On Dec 26, 2011, at 2:58 PM, Alexis Savin wrote: Flow spec, c'est bien beau, mais tant que le client ne peut pas activer seul le filtrage il est difficile de l'exploiter de façon efficace, les attaquant étant généralement très réactifs et les services opérateurs lents à la détente... Enfin, quels sont les opérateurs à l'exploiter réellement ? Et à le proposer à leurs clients ? 2011/12/26 Texier, Matthieu <mtex...@arbor.net<mailto:mtex...@arbor.net>> Voila un réponse qui me semble faire preuve d'expérience :-) ! Sans compter que nos amis attaquants font souvent preuve d'une malice certaine et emmenant les administrateurs réseaux dans une direction afin de masquer une autre action mené en parallèle au niveau L7. Les attaques sont de plus en plus polymorphe. A bon entendeur ... Enfin, moi ce que je dis … je suis un peu vieux pour toutes ces choses la ! Du reste ma mémoire flanche un peu, je ne me rappelle plus bien comment activer flow spec sur tous les routeurs de nos chers industriels ? On Dec 26, 2011, at 2:35 PM, Thomas Mangin wrote: > Cela dépend surtout du profil de l'attaque. Pour un UDP flood sur un serveur > web, un fournisseur qui peux ajouter un filtre flowspec sur ses connections > EBGP ça aide surement beaucoup. > Face a une attaque sur le L7 - la vie devient très dure ... > > Thomas > > On 26 Dec 2011, at 13:08, Texier, Matthieu wrote: > >> L'ideal de ce genre de situation serait d'avoir souscrit à un service de >> détection et de mitigation d'attaque auprès de ses fournisseurs d'accès >> Internet. >> >> Le blackhole BGP étant techniquement une approche valide mais donnant raison >> aux attaquants. BGP flow spec n'est applicable que rarement sur les attaques >> distribuées ou à base d'IP spoofées. Je n'ai bien peur que seul un boitier >> de mitigation placé dans l'infrastructure du carrier ne puisse vous sortir >> de cette situation sans casse. >> >> Cordialement, >> Matthieu. >> >> >> On Dec 26, 2011, at 1:29 PM, Thomas Mangin wrote: >> >>> On 26 Dec 2011, at 11:27, Alexis Savin wrote: >>> >>>> Quelques techniques sont pourtant intéressantes à étudier, la plus >>>> intéressante étant celle du "remote triggered black-hole" pour peu que >>>> l'opérateur le supporte (http://tools.ietf.org/html/rfc5635). >>> >>> Au cas ou vous auriez rate la présentation - puisque c'est d'actualité. >>> >>> http://perso.nautile.fr/prez/fgabut-flowspec-frnog-final.pdf >>> >>> Thomas >>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> Cheers Matt. >> >> Matthieu Texier >> Consulting engineer EMEA >> mtex...@arbor.net<mailto:mtex...@arbor.net> >> +33 6 85 83 66 89<tel:%2B33%206%2085%2083%2066%2089> >> > Cheers Matt. Matthieu Texier Consulting engineer EMEA mtex...@arbor.net<mailto:mtex...@arbor.net> +33 6 85 83 66 89<tel:%2B33%206%2085%2083%2066%2089> -- Alexis Savin Ingénieur Systèmes/Réseaux/Sécurité Cheers Matt. Matthieu Texier Consulting engineer EMEA mtex...@arbor.net<mailto:mtex...@arbor.net> +33 6 85 83 66 89 --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
