Re: [FRnOG] Ping: il n'y a plus personne ?
On Mon, Feb 25, 2008 at 11:55:41PM +0100, Jean-Claude MICHOT wrote: > > Le RIPE gere des informations "administratives"... Ensuite, il faut en faire > > des configurations... Et c'est la que le bat blesse ! > > A une époque lointaine (en temps Internet), Caribou Telecom aka > Tata Telecom avais une veille Sun dont c'etait l'unique job. Je > sais pas ce qu'il en est aujourd'hui, mais les techniques sont > toujours les meme, c'est donc plus une question de volonté/cout/facilité > et temps de déploiement qu'un gros probleme technique. C'est toujours le cas, le script s'est juste adapté/bonifié avec les années. Des prefix-lists sont générés automatiquement et régulièrement. Cela demande juste un peu de temps humain pour mettre à jour l'outil en fonction des différentes évolutions de réseau ou de base de données. -- Nicolas Hyvernat --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Ping: il n'y a plus personne ?
On Mon, Feb 25, 2008 at 07:46:08PM +0100, Paul Rolland said: > Bonsoir, > > On Mon, 25 Feb 2008 18:40:36 +0100 > Manuel Guesdon <[EMAIL PROTECTED]> wrote: > > > On Mon, 25 Feb 2008 17:55:20 +0100 > > Steven Le Roux <[EMAIL PROTECTED]> wrote: > > SLR >| Quelle est la solution... ? que rien ne soit distribué et qu'un "GIE" > > s'occupe des routes de la planetes ? je doute... > > > > Le RIPE gère déjà ca sur les IPs qu'ils attribuent: avec leur bases on peut > > savoir pour une route donnée qui est autorisé a l'annoncer. Au niveau des > > autres organismes, je ne sais pas s'ils ont le même type de rigueur et > > d'organisation... > > Le RIPE gere des informations "administratives"... Ensuite, il faut en faire > des configurations... Et c'est la que le bat blesse ! > Ensuite (lire Nanog), ce que fait RIPE sur le maintien d'une relation entre > les inetnum et les routes, ca ne se fait pas chez les autres RIRs. Donc, > en dehors de l'Europe, l'utilisation des equivalents RIPE pour faire du > filtrage est plutot un jeu dangereux... A une époque lointaine (en temps Internet), Caribou Telecom aka Tata Telecom avais une veille Sun dont c'etait l'unique job. Je sais pas ce qu'il en est aujourd'hui, mais les techniques sont toujours les meme, c'est donc plus une question de volonté/cout/facilité et temps de déploiement qu'un gros probleme technique. > > Après reste plus qu'à mouliner les infos pour faire des filtres. Au niveau > > des gros opérateurs c'est sur que ca risque de faire un gros packet de > > filtres > Et il est fort possible que la taille de la configuration au final ne rentre > pas dans les routeurs qui sont supposes les mettre en oeuvre ;) > > > En tout cas les upstream de beaucoup d'acteurs BGP lambda filtrent déjà > > les annonces de leurs clients... Ceux qui ne le font pas doivent avoir > Et pourtant, hier soir, YouTube disparaissait... et je doute que PCCW soit un > acteur "lambda"... Non mais comme c'est pas la premiere fois que des clients PCCW foute le boxon loin de chez eux un jour ou l'autre ca va mal finir. > > souvent des problemes, genre l'apprenti BGPien qui laisse passer des > > routes qui ne lui 'appartiennent' pas (enfin j'imagine)... > Helas, si les gens apprenaient un peu du passe ! La, ca a fait du bruit parce > que YouTube, mais ce n'est ni la premiere (ca, c'est de l'histoire), ni la > derniere (ca, c'est du realisme) fois que ca se produit ! > > Oui, l'Internet est capable de resister a beaucoup de pannes materielles, > mais la, c'est de l'utilisation d'Internet pour bloquer Internet... et ca > marche ! Oui, jusqu'a un certain point. JC -- "Je critique pas le côté farce mais pour le fair play y aurait quand même à dire" Audiard --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Ping: il n'y a plus personne ?
Jean-Michel Planche wrote: Tout le monde est en vacances ou encore sous le choc de la "rigolade" du WE ? http://www.jmp.net/wordpress/?p=872 Il n'y a rien a dire. Malgre tous les "tutorials", les seances de "hands-on", les presentations lors des evenements phares (NANOG, RIPE, APRICOT), cela demontre que les operateurs ne sont toujours pas tous a jours et ne n'ont toujours pas compris l'interet de filtrer les announces de leurs clients BGP. Ce qui me fait le plus rire ce sont les theories de conspirations de certains nos camarades operateurs bases en Amerique. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Ping: il n'y a plus personne ?
Oui, l'Internet est capable de resister a beaucoup de pannes materielles, mais la, c'est de l'utilisation d'Internet pour bloquer Internet... et ca marche ! Quand même, ça troue la fouille ! (c) Jesaisplusqui -- Pierre Col - Directeur Marketing et Business Développement [EMAIL PROTECTED] - 04 78 54 29 08 - 06 11 78 29 01 UbicMedia - 9 rue des Tuiliers - 69003 LYON - www.ubicmedia.com - www.pumit.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Ping: il n'y a plus personne ?
On Feb 25, 2008, at 6:40 PM, Manuel Guesdon wrote: On Mon, 25 Feb 2008 17:55:20 +0100 Steven Le Roux <[EMAIL PROTECTED]> wrote: SLR >| Quelle est la solution... ? que rien ne soit distribué et qu'un "GIE" s'occupe des routes de la planetes ? je doute... Le RIPE gère déjà ca sur les IPs qu'ils attribuent: avec leur bases on peut savoir pour une route donnée qui est autorisé a l'annoncer. Au niveau des autres organismes, je ne sais pas s'ils ont le même type de rigueur et d'organisation... Après reste plus qu'à mouliner les infos pour faire des filtres. Au niveau des gros opérateurs c'est sur que ca risque de faire un gros packet de filtres Et ? "With great powers comes great responsibility" ... ca a toujours fait partie de leur métier non ? En tout cas les upstream de beaucoup d'acteurs BGP lambda filtrent déjà les annonces de leurs clients... Ceux qui ne le font pas doivent avoir souvent des problemes, genre l'apprenti BGPien qui laisse passer des routes qui ne lui 'appartiennent' pas (enfin j'imagine)... Ca arrive régulièrement ( vous vous souvenez l'AS7007 ? http://www.merit.edu/mail.archives/nanog/1997-04/msg00444.html ), on n'en parle pas quand il s'agit d'un Micro AS, c'est une affaire d'état quand il s'agit de YouTube Vs Pakistan (surtout suite aux coupures récentes de fibres dans le golfe persique.) La seule chose que ça nous apprend c'est juste que TOUT AS (et pas seulement les carriers IPs) doivent soigneusement renseigner leurs imports et exports, surtout quand il a la chance de dépendre du RIPE (Pakistan Telekom) qui est de loin le RIR le plus rigoureux. Manuel Greg VILLAIN --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Ping: il n'y a plus personne ?
Le 25 févr. 08 à 17:55, Steven Le Roux a écrit : Une solution ne serait-elle pas d'amender l'opérateur pour les dégats occasionnés ? (si ce n'est pas fait) Amender, pourquoi pas, mais sur quelle base juridique ? Dans un pays donné, on pourrait porter l'affaire devant un tribunal civil, afin de récupérer des dommages et intérêts. Mais que faire quand c'est un pays lui même qui en est à l'origine ? Impossible de déposer plainte chez lui... Quand à imposer un blacklistage de l'opérateur en question (ou de lui faire payer une amende via une surfacturation de son interconnexion avec le reste du monde), c'est plutôt difficile à réaliser, cf l'affaire RBN. Quelle est la solution... ? que rien ne soit distribué et qu'un "GIE" s'occupe des routes de la planetes ? je doute... Peut-être, mais ne pas oublier qu'il est inconcevable de remplacer BGP dans le cœur de réseau avant quelques dizaines d'années. Il n'y a qu'à voir ce qui se passe avec la migration IPv4 vers IPv6. Ou alors, un GIE (ou autre type de groupement) qui met en place un moyen efficace de contre-carrer ce type d'attaques. La principale mesure de protection, c'est de contacter les opérateurs qui ont un peering avec l'opérateur/entreprise/état fautif, et de leurs demander de bloquer les annonces BGP falsifiées. Le top 100 des opérateurs mondiaux pourraient avoir des procédures facilitant ce types de demandes entre eux. Par exemple des procédures prévalidées que les NOC pourraient déclencher chez leurs homologues. Ils pourraient aussi créer des listes d'opérateurs à risques, une cartographie des interconnexions entre opérateurs... Reste qu'il y aura toujours un délai incompressible, même avec des procédures les plus huilées possible, je pense de l'ordre de 1 ou 2H. En revanche, et puisque c'est la mode des mesures débiles à base de fnac/dadvsi/etc... Si tu amendes un pays par le bloquage de ses plages à la suite de ce genre de comportement plus que douteux et arbitraire, je pense que leur activité économique va leur faire reconsidérer largement la question et on verrai bcp moins de joueur de flipper BGP. Ça devient de la diplomatie, chose qui ne relève généralement pas de la logique. Blacklister un pays d'internet, ça revient à faire un blocus. Ça n'est pas du tout neutre, et je pense que vu l'état des mécanismes de sécurité actuels des systèmes connectés à internet, il ne faut absolument pas donner l'idée à un pays de lancer une cyberguerre. Et puis, il y a des pays qui sont (restés) en blocus physique depuis pas mal de temps (cuba, iraq par exemple). Ce n'est pas ça qui a fait fléchir les gouvernements. -- Damien Bobillot --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Ping: il n'y a plus personne ?
On Mon, 25 Feb 2008 19:46:08 +0100 Paul Rolland (ポール・ロラン) <[EMAIL PROTECTED]> wrote: PR( >| Le RIPE gere des informations "administratives"... C'est justement l'interessant: le 'droit' d'annoncer des routes est administratif, non ? PR( >| Ensuite, il faut en PR( >| faire des configurations... Et c'est la que le bat blesse ! Oui :-) PR( >| Ensuite (lire Nanog), ce que fait RIPE sur le maintien d'une relation PR( >| entre les inetnum et les routes, ca ne se fait pas chez les autres PR( >| RIRs. Donc, en dehors de l'Europe, l'utilisation des equivalents RIPE PR( >| pour faire du filtrage est plutot un jeu dangereux... Cela dit, les autres RIRs pourraient s'y mettre (hum, ca va peut etre prendre quelques années...) PR( >| Et il est fort possible que la taille de la configuration au final ne PR( >| rentre pas dans les routeurs qui sont supposes les mettre en oeuvre ;) En meme temps, si on regarde http://www.cidr-report.org/as2.0/#General_Status on voit que le plus grand nombre de prefixes annoncés par un as est de 1582 actuellement (sous reserve de mesure a peu pres correcte). Chaque border ne gerant qu'un nombre limité de peer BGP, ca ne fait pas forcement enormement de filtres par routeur. Cela dit faut un mecanisme de mise a jour bien éprouvé :-) PR( >| > En tout cas les upstream de beaucoup d'acteurs BGP lambda filtrent PR( >| > déjà les annonces de leurs clients... Ceux qui ne le font pas PR( >| doivent avoir Et pourtant, hier soir, YouTube disparaissait... et je PR( >| doute que PCCW soit un acteur "lambda"... Dans ce cas précis, c'est plus une relation de 'gros' opérateur a 'gros' opérateur donc effectivement, ils ne filtrent (filtraient) peut etre pas (AS17557 semble balancer 300 et quelques prefixes dont un bon packet de /24). PR( >| > souvent des problemes, genre l'apprenti BGPien qui laisse passer des PR( >| > routes qui ne lui 'appartiennent' pas (enfin j'imagine)... PR( >| Helas, si les gens apprenaient un peu du passe ! La, ca a fait du PR( >| bruit parce que YouTube, mais ce n'est ni la premiere (ca, c'est de PR( >| l'histoire), ni la derniere (ca, c'est du realisme) fois que ca se PR( >| produit ! Oui, il n'y a qu'a voir les annonces de blocs non attribués... PR( >| Oui, l'Internet est capable de resister a beaucoup de pannes PR( >| materielles, mais la, c'est de l'utilisation d'Internet pour bloquer PR( >| Internet... et ca marche ! Oui :-( Idem il n'a pas été trop concu dans un cadre mercantil mais plutot collaboratif, du coup quand 2 opérateurs jouent au plus c*, ca pose probleme aussi... Manuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Ping: il n'y a plus personne ?
> Tout le monde est en vacances ou encore sous le choc de la "rigolade" > du WE ? > http://www.jmp.net/wordpress/?p=872 > Ca fait longtemps que je propose de faire le routage sur le couple : AS:IP source et AS:IP destination. CA nous debarasse du ripe et consors... (on reduit à la gestion d'une base d'AS). et de cette connerie d'ipv6 ;) a+ Frederic > > - > Jean-Michel Planche blog: > http://www.jmp.net > Chairman and co-founder Witbe web : > http://www.witbe.net > Follow me > http://www.twitter.com/jmplanche > --- > 2.0 Monitoring : relevant End to End monitoring for critical app. and > carrier class services > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Ping: il n'y a plus personne ?
Bonsoir, On Mon, 25 Feb 2008 18:40:36 +0100 Manuel Guesdon <[EMAIL PROTECTED]> wrote: > On Mon, 25 Feb 2008 17:55:20 +0100 > Steven Le Roux <[EMAIL PROTECTED]> wrote: > SLR >| Quelle est la solution... ? que rien ne soit distribué et qu'un "GIE" > s'occupe des routes de la planetes ? je doute... > > Le RIPE gère déjà ca sur les IPs qu'ils attribuent: avec leur bases on peut > savoir pour une route donnée qui est autorisé a l'annoncer. Au niveau des > autres organismes, je ne sais pas s'ils ont le même type de rigueur et > d'organisation... Le RIPE gere des informations "administratives"... Ensuite, il faut en faire des configurations... Et c'est la que le bat blesse ! Ensuite (lire Nanog), ce que fait RIPE sur le maintien d'une relation entre les inetnum et les routes, ca ne se fait pas chez les autres RIRs. Donc, en dehors de l'Europe, l'utilisation des equivalents RIPE pour faire du filtrage est plutot un jeu dangereux... > Après reste plus qu'à mouliner les infos pour faire des filtres. Au niveau > des gros opérateurs c'est sur que ca risque de faire un gros packet de > filtres Et il est fort possible que la taille de la configuration au final ne rentre pas dans les routeurs qui sont supposes les mettre en oeuvre ;) > En tout cas les upstream de beaucoup d'acteurs BGP lambda filtrent déjà > les annonces de leurs clients... Ceux qui ne le font pas doivent avoir Et pourtant, hier soir, YouTube disparaissait... et je doute que PCCW soit un acteur "lambda"... > souvent des problemes, genre l'apprenti BGPien qui laisse passer des > routes qui ne lui 'appartiennent' pas (enfin j'imagine)... Helas, si les gens apprenaient un peu du passe ! La, ca a fait du bruit parce que YouTube, mais ce n'est ni la premiere (ca, c'est de l'histoire), ni la derniere (ca, c'est du realisme) fois que ca se produit ! Oui, l'Internet est capable de resister a beaucoup de pannes materielles, mais la, c'est de l'utilisation d'Internet pour bloquer Internet... et ca marche ! Paul -- Paul RollandE-Mail : rol(at)witbe.net Witbe.net SATel. +33 (0)1 47 67 77 77 Les Collines de l'Arche Fax. +33 (0)1 47 67 77 99 F-92057 Paris La DefenseRIPE : PR12-RIPE Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un navigateur "Some people dream of success... while others wake up and work hard at it" "I worry about my child and the Internet all the time, even though she's too young to have logged on yet. Here's what I worry about. I worry that 10 or 15 years from now, she will come to me and say 'Daddy, where were you when they took freedom of the press away from the Internet?'" --Mike Godwin, Electronic Frontier Foundation --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Ping: il n'y a plus personne ?
On Mon, 25 Feb 2008 17:55:20 +0100 Steven Le Roux <[EMAIL PROTECTED]> wrote: SLR >| Quelle est la solution... ? que rien ne soit distribué et qu'un "GIE" s'occupe des routes de la planetes ? je doute... Le RIPE gère déjà ca sur les IPs qu'ils attribuent: avec leur bases on peut savoir pour une route donnée qui est autorisé a l'annoncer. Au niveau des autres organismes, je ne sais pas s'ils ont le même type de rigueur et d'organisation... Après reste plus qu'à mouliner les infos pour faire des filtres. Au niveau des gros opérateurs c'est sur que ca risque de faire un gros packet de filtres En tout cas les upstream de beaucoup d'acteurs BGP lambda filtrent déjà les annonces de leurs clients... Ceux qui ne le font pas doivent avoir souvent des problemes, genre l'apprenti BGPien qui laisse passer des routes qui ne lui 'appartiennent' pas (enfin j'imagine)... Manuel -- __ Manuel Guesdon - OXYMIUM <[EMAIL PROTECTED]> 14 rue Jean-Baptiste Clement - 93200 Saint-Denis - France Standard: 0 811 093 286 (Cout d'un appel local) Fax: +33 1 7473 3971 LD Support: +33 1 7473 3973 LD: +33 1 7473 3980 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Ping: il n'y a plus personne ?
On Mon, 25 Feb 2008 16:55:27 +0100, Jean-Michel Planche <[EMAIL PROTECTED]> wrote: > Tout le monde est en vacances ou encore sous le choc de la "rigolade" > du WE ? > http://www.jmp.net/wordpress/?p=872 > Une solution ne serait-elle pas d'amender l'opérateur pour les dégats occasionnés ? (si ce n'est pas fait) Sur un portail comme youtube... la somme devrait faire un peu peur à celui qui joue, mais ça n'enlève pas le caractère non sécuritaire dont tu parles : n'importe qui peut être routé n'importe où. Mais un "petit" n'aurait pas le même pouvoir dissuasif qu'un gros. Quelle est la solution... ? que rien ne soit distribué et qu'un "GIE" s'occupe des routes de la planetes ? je doute... En revenche, et puisque c'est la mode des mesures débiles à base de fnac/dadvsi/etc... Si tu amendes un pays par le bloquage de ses plages à la suite de ce genre de comportement plus que douteux et arbitraire, je pense que leur activité économique va leur faire reconsidérer largement la question et on verrai bcp moins de joueur de flipper BGP. Seulement... ce n'est pas faisable. Et même si ça l'était, personne n'aurait les burnes pour le faire. -- Steven Le Roux [EMAIL PROTECTED] xmpp:[EMAIL PROTECTED] --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Ping: il n'y a plus personne ?
Tout le monde est en vacances ou encore sous le choc de la "rigolade" du WE ? http://www.jmp.net/wordpress/?p=872 - Jean-Michel Planche blog: http://www.jmp.net Chairman and co-founder Witbe web : http://www.witbe.net Follow me http://www.twitter.com/jmplanche --- 2.0 Monitoring : relevant End to End monitoring for critical app. and carrier class services