Salut Jérôme,
Le 02/10/2013 13:55, Jerome Durand (jerduran) a écrit :
http://tools.ietf.org/html/draft-ietf-opsec-bgp-security-01
Ah j'aime beaucoup le next-hop filtering.
Note, ça peut aussi s'utiliser sur un IXP : si le route-server se prend
pour un next hop, tu sais que tu peux droper la route.
Bon, pour le peering, je suis plus en train d'expérimenter avec des VRF
dédiées afin d'éviter tout hijack et d'affiner des politiques de routage
un peu complexe. Ca pourrait faire partie des recommandations, non ?
Une autre pratique que j'ai déjà tenté sans problème opérationnel, mais
pour laquelle je suis preneur de feedback : quand les interfaces
d'intercos sont capables de le traiter en 100% hardware, j'applique une
ACL qui filtre, pour tout paquet à destination des préfixes utilisés
dans l'adressage du backbone, et provenant de l'extérieur de mon réseau,
les paquets IP et IPv6 TCP à destination des ports 22, 23 et 179.
C'est peut être un peu parano, mais ça m'a pas semblé être une mauvaise
idée sur le coup. Vos avis ?
Est ce que des sources de bogons comme cymru sont aussi susceptibles
d'être référencés dans les best-practices ? Là encore, vous avez des
retours opérationnels ?
@+
--
Jérôme Nicolle
06 19 31 27 14
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
