Si tu as des exemples à citer, je pense que nombre d'entre nous sera preneur, ne serait-ce qu'à titre informatif.
2011/12/26 Texier, Matthieu <mtex...@arbor.net> > C'est pour cela qu'il me semble sain de s'appuyer sur une offre de service > opérateur spécialisé qui donne un engament de SLA associé. > > Des opérateurs proposent ce type de service et s'appuient pour cela sur > une structure type SoC mettant à disposition des outils et des experts dans > le domaine. > > Les outils sont toujours intéressants pour nourrir le débat technique … > mais ils ne font pas tout … fort heureusement ! > > > > On Dec 26, 2011, at 2:58 PM, Alexis Savin wrote: > > Flow spec, c'est bien beau, mais tant que le client ne peut pas activer > seul le filtrage il est difficile de l'exploiter de façon efficace, les > attaquant étant généralement très réactifs et les services opérateurs lents > à la détente... > > Enfin, quels sont les opérateurs à l'exploiter réellement ? Et à le > proposer à leurs clients ? > > 2011/12/26 Texier, Matthieu <mtex...@arbor.net> > >> Voila un réponse qui me semble faire preuve d'expérience :-) ! >> >> Sans compter que nos amis attaquants font souvent preuve d'une malice >> certaine et emmenant les administrateurs réseaux dans une direction afin de >> masquer une autre action mené en parallèle au niveau L7. >> >> Les attaques sont de plus en plus polymorphe. A bon entendeur ... >> >> Enfin, moi ce que je dis … je suis un peu vieux pour toutes ces choses la >> ! >> >> Du reste ma mémoire flanche un peu, je ne me rappelle plus bien comment >> activer flow spec sur tous les routeurs de nos chers industriels ? >> >> >> On Dec 26, 2011, at 2:35 PM, Thomas Mangin wrote: >> >> > Cela dépend surtout du profil de l'attaque. Pour un UDP flood sur un >> serveur web, un fournisseur qui peux ajouter un filtre flowspec sur ses >> connections EBGP ça aide surement beaucoup. >> > Face a une attaque sur le L7 - la vie devient très dure ... >> > >> > Thomas >> > >> > On 26 Dec 2011, at 13:08, Texier, Matthieu wrote: >> > >> >> L'ideal de ce genre de situation serait d'avoir souscrit à un service >> de détection et de mitigation d'attaque auprès de ses fournisseurs d'accès >> Internet. >> >> >> >> Le blackhole BGP étant techniquement une approche valide mais donnant >> raison aux attaquants. BGP flow spec n'est applicable que rarement sur les >> attaques distribuées ou à base d'IP spoofées. Je n'ai bien peur que seul un >> boitier de mitigation placé dans l'infrastructure du carrier ne puisse vous >> sortir de cette situation sans casse. >> >> >> >> Cordialement, >> >> Matthieu. >> >> >> >> >> >> On Dec 26, 2011, at 1:29 PM, Thomas Mangin wrote: >> >> >> >>> On 26 Dec 2011, at 11:27, Alexis Savin wrote: >> >>> >> >>>> Quelques techniques sont pourtant intéressantes à étudier, la plus >> >>>> intéressante étant celle du "remote triggered black-hole" pour peu >> que >> >>>> l'opérateur le supporte (http://tools.ietf.org/html/rfc5635). >> >>> >> >>> Au cas ou vous auriez rate la présentation - puisque c'est >> d'actualité. >> >>> >> >>> http://perso.nautile.fr/prez/fgabut-flowspec-frnog-final.pdf >> >>> >> >>> Thomas >> >>> >> >>> >> >>> --------------------------- >> >>> Liste de diffusion du FRnOG >> >>> http://www.frnog.org/ >> >> >> >> Cheers Matt. >> >> >> >> Matthieu Texier >> >> Consulting engineer EMEA >> >> mtex...@arbor.net >> >> +33 6 85 83 66 89 >> >> >> > >> >> Cheers Matt. >> >> Matthieu Texier >> Consulting engineer EMEA >> mtex...@arbor.net >> +33 6 85 83 66 89 >> >> > > > -- > Alexis Savin > Ingénieur Systèmes/Réseaux/Sécurité > > > Cheers Matt. > > Matthieu Texier > Consulting engineer EMEA > mtex...@arbor.net > +33 6 85 83 66 89 > > -- Alexis Savin Ingénieur Systèmes/Réseaux/Sécurité --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
