Re: [FRnOG] [TECH] ARP Negative Caching

2022-06-30 Par sujet Pierre LANCASTRE 
Hello

Je savais pas trop où répondre dans le thread mais chez Arista/Jun/Cisco en
jouant avec des vrf et evpn (ou pas) tu as des commandes pour générer des
IP /32 pour chaque entrée arp apprise par une svi.
Du coup tu peux imaginer avoir deux vrf : une "front" connectée au reste du
monde dans laquelle tu leak les /32 générées par ta ou tes vrf client.
Ensuite tes routes vers les différents subnets publiques pointant vers
null0 se chargeront de drop les scan des Kev1n :)

++

Pierre

Le jeu. 30 juin 2022 à 20:03, David Ponzone  a
écrit :

> Je viens d’entrer en guerre contre le broadcast inutile, juste pour le fun.
> J’en ai marre de me taper un broadcast sur tout le LAN à chaque fois qu’un
> Kevin quelque part envoie un paquet SYN ou autre vers une IP non-utilisée
> sur mon réseau.
>
> Donc je me demandais si des constructeurs avaient eu l’idée d’implémenter
> du negative caching dans la table ARP de leurs routeurs.
> Evidemment, ça a des effets secondaires pénibles le jour où on veut se
> mettre à utiliser l’IP, mais avec un cache à 60/120/180s, c’est acceptable
> (ça dépend des usages évidemment).
> Je vais appeler Cisco pour leur dire d’ajouter ça dans l’IOS pour le mois
> prochain, mais avant, je me demande si je dis une connerie parce qu’il y a
> une conséquence pas du tout acceptable sur un réseau en prod.
>
> Sinon y a une autre solution à laquelle je pense pas ?
> J’ai bien pensé ajouter des entrées statiques dans mes routeurs, mais ça
> va rien changer.
> Le routeur va envoyer un unicast, qui va devenir un broadcast sur le
> premier switch. Et pareil pour les paquets suivants.
>
> Idées ingénieuses (encore une fois, juste pour le principe) ?
>
> David
>
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ARP Negative Caching

2022-06-30 Par sujet Vincent Bernat 

On 6/30/22 21:41, David Ponzone wrote:

Hmm donc ils ont 2 IPs, une privée dans un /24 ou autre pour monter le iBGP et 
un alias à /32 qui va être annoncé ?


Pas forcément, tu peux enlever entièrement le L2. /31 avec le switch en 
face. Ou simplement utiliser le link-local IPv6 pour la session BGP et 
annoncer ta /32 dedans.



Mais je vois 2 problèmes:
-tu maitrises pas l’OS et donc tu peux pas mettre Quagga/Bird/autre


Après, ce qui est possible sur les hyperviseurs est aussi possible sur 
les switchs. GW en anycast sur chaque port en /24 avec proxy ARP, route 
statique vers le host et redistribute des statiques en question en BGP, 
relai DHCP. Il te manque à trouver comment éviter que le faux /24 sur 
chaque port ne génère de l'ARP quand le client scanne son propre /24. 
Sur des switchs Linux type Cumulus, cela est possible en indiquant de ne 
pas installer la route connected qui correspond.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ARP Negative Caching

2022-06-30 Par sujet David Ponzone 
Hmm donc ils ont 2 IPs, une privée dans un /24 ou autre pour monter le iBGP et 
un alias à /32 qui va être annoncé ?
J’ai des gens qui font des trucs très classiques, genre on a que du Linux et 
Apache, je veux bien.
Mais je vois 2 problèmes:
-tu maitrises pas l’OS et donc tu peux pas mettre Quagga/Bird/autre
-tu as une application dessus qui va s’embrouiller les pinceaux pour décider 
sur quelle IP elle va binder
Je pronostique beaucoup d’emmerdes ou d’exceptions (dans mon métier) donc pas 
possible.

Mais j’approuve sur la papier, c bien entendu le bonheur total.

> Le 30 juin 2022 à 21:16, Vincent Bernat  a écrit :
> 
> 
> 
> On 6/30/22 21:01, David Ponzone wrote:
>> Si tu veux dire: construire une table de /32 à blackholer que j’envoie en 
>> iBGP à mes routeurs BGP avec blackhole comme NH, pour bloquer les paquets en 
>> ingress grâce à uRPF, j’aurais bien aimé, mais mes routeurs BGP ont un bug 
>> au niveau uRPF et ça marche pas comme prévu.
>> Faut que je vois si un upgrade récent corrige ça.
> 
> Non, je veux dire que tu ne fais plus de L2, mais que tu laisses tes serveurs 
> annoncer leur IP en BGP en /32. Un serveur qui n'existe pas n'a pas de route 
> et son trafic est blackholé. Tu peux filtrer les annonces pour n'accepter que 
> le "/24" du LAN et tu as une sécurité équivalente à du L2.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ARP Negative Caching

2022-06-30 Par sujet Vincent Bernat 

On 6/30/22 21:16, Vincent Bernat wrote:

Si tu veux dire: construire une table de /32 à blackholer que j’envoie 
en iBGP à mes routeurs BGP avec blackhole comme NH, pour bloquer les 
paquets en ingress grâce à uRPF, j’aurais bien aimé, mais mes routeurs 
BGP ont un bug au niveau uRPF et ça marche pas comme prévu.

Faut que je vois si un upgrade récent corrige ça.


Non, je veux dire que tu ne fais plus de L2, mais que tu laisses tes 
serveurs annoncer leur IP en BGP en /32. Un serveur qui n'existe pas n'a 
pas de route et son trafic est blackholé. Tu peux filtrer les annonces 
pour n'accepter que le "/24" du LAN et tu as une sécurité équivalente à 
du L2.


Je réponds au mauvais message... Désolé.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ARP Negative Caching

2022-06-30 Par sujet Vincent Bernat 




On 6/30/22 21:01, David Ponzone wrote:

Si tu veux dire: construire une table de /32 à blackholer que j’envoie en iBGP 
à mes routeurs BGP avec blackhole comme NH, pour bloquer les paquets en ingress 
grâce à uRPF, j’aurais bien aimé, mais mes routeurs BGP ont un bug au niveau 
uRPF et ça marche pas comme prévu.
Faut que je vois si un upgrade récent corrige ça.


Non, je veux dire que tu ne fais plus de L2, mais que tu laisses tes 
serveurs annoncer leur IP en BGP en /32. Un serveur qui n'existe pas n'a 
pas de route et son trafic est blackholé. Tu peux filtrer les annonces 
pour n'accepter que le "/24" du LAN et tu as une sécurité équivalente à 
du L2.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ARP Negative Caching

2022-06-30 Par sujet David Ponzone 
Si tu veux dire: construire une table de /32 à blackholer que j’envoie en iBGP 
à mes routeurs BGP avec blackhole comme NH, pour bloquer les paquets en ingress 
grâce à uRPF, j’aurais bien aimé, mais mes routeurs BGP ont un bug au niveau 
uRPF et ça marche pas comme prévu.
Faut que je vois si un upgrade récent corrige ça.

> Le 30 juin 2022 à 20:51, Richard Klein  a écrit :
> 
> Plutôt que le honeypot c'est faire un blackhole 
> 
> Le jeu. 30 juin 2022 à 20:48, David Ponzone  > a écrit :
> Ben à la limite, carrément une VM qui porte vraiment toutes mes IP 
> non-utilisées. Comme ça, elle devient pot de miel, et je peux même m’en 
> servir pour collecter des belles IP à blacklister pour 3 mois.
> 
> > Le 30 juin 2022 à 20:16, Paul Rolland (ポール・ロラン)  > > a écrit :
> > 
> > Hello,
> > 
> > On Thu, 30 Jun 2022 20:02:37 +0200
> > David Ponzone mailto:david.ponz...@gmail.com>> 
> > wrote:
> > 
> >> Idées ingénieuses (encore une fois, juste pour le principe) ?
> > 
> > Un serveur "proxy arp" qui a une liste d'IP pour lesquelles repondre, avec
> > une MAC "a la con" qui n'existe pas ?
> > 
> > Paul
> > 
> > 
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/ 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/ 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ARP Negative Caching

2022-06-30 Par sujet Vincent Bernat 

On 6/30/22 20:02, David Ponzone wrote:

Je viens d’entrer en guerre contre le broadcast inutile, juste pour le fun.
J’en ai marre de me taper un broadcast sur tout le LAN à chaque fois qu’un 
Kevin quelque part envoie un paquet SYN ou autre vers une IP non-utilisée sur 
mon réseau.

Donc je me demandais si des constructeurs avaient eu l’idée d’implémenter du 
negative caching dans la table ARP de leurs routeurs.
Evidemment, ça a des effets secondaires pénibles le jour où on veut se mettre à 
utiliser l’IP, mais avec un cache à 60/120/180s, c’est acceptable (ça dépend 
des usages évidemment).
Je vais appeler Cisco pour leur dire d’ajouter ça dans l’IOS pour le mois 
prochain, mais avant, je me demande si je dis une connerie parce qu’il y a une 
conséquence pas du tout acceptable sur un réseau en prod.

Sinon y a une autre solution à laquelle je pense pas ?
J’ai bien pensé ajouter des entrées statiques dans mes routeurs, mais ça va 
rien changer.
Le routeur va envoyer un unicast, qui va devenir un broadcast sur le premier 
switch. Et pareil pour les paquets suivants.

Idées ingénieuses (encore une fois, juste pour le principe) ?


Passe en full L3, default route en blackhole.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ARP Negative Caching

2022-06-30 Par sujet Richard Klein 
Plutôt que le honeypot c'est faire un blackhole

Le jeu. 30 juin 2022 à 20:48, David Ponzone  a
écrit :

> Ben à la limite, carrément une VM qui porte vraiment toutes mes IP
> non-utilisées. Comme ça, elle devient pot de miel, et je peux même m’en
> servir pour collecter des belles IP à blacklister pour 3 mois.
>
> > Le 30 juin 2022 à 20:16, Paul Rolland (ポール・ロラン)  a
> écrit :
> >
> > Hello,
> >
> > On Thu, 30 Jun 2022 20:02:37 +0200
> > David Ponzone  wrote:
> >
> >> Idées ingénieuses (encore une fois, juste pour le principe) ?
> >
> > Un serveur "proxy arp" qui a une liste d'IP pour lesquelles repondre,
> avec
> > une MAC "a la con" qui n'existe pas ?
> >
> > Paul
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ARP Negative Caching

2022-06-30 Par sujet David Ponzone 
Ben à la limite, carrément une VM qui porte vraiment toutes mes IP 
non-utilisées. Comme ça, elle devient pot de miel, et je peux même m’en servir 
pour collecter des belles IP à blacklister pour 3 mois.

> Le 30 juin 2022 à 20:16, Paul Rolland (ポール・ロラン)  a écrit 
> :
> 
> Hello,
> 
> On Thu, 30 Jun 2022 20:02:37 +0200
> David Ponzone  wrote:
> 
>> Idées ingénieuses (encore une fois, juste pour le principe) ?
> 
> Un serveur "proxy arp" qui a une liste d'IP pour lesquelles repondre, avec
> une MAC "a la con" qui n'existe pas ?
> 
> Paul
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ARP Negative Caching

2022-06-30 Par sujet Paul Rolland (ポール・ロラン) 
Hello,

On Thu, 30 Jun 2022 20:02:37 +0200
David Ponzone  wrote:

> Idées ingénieuses (encore une fois, juste pour le principe) ?

Un serveur "proxy arp" qui a une liste d'IP pour lesquelles repondre, avec
une MAC "a la con" qui n'existe pas ?

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] ARP Negative Caching

2022-06-30 Par sujet David Ponzone 
Je viens d’entrer en guerre contre le broadcast inutile, juste pour le fun.
J’en ai marre de me taper un broadcast sur tout le LAN à chaque fois qu’un 
Kevin quelque part envoie un paquet SYN ou autre vers une IP non-utilisée sur 
mon réseau.

Donc je me demandais si des constructeurs avaient eu l’idée d’implémenter du 
negative caching dans la table ARP de leurs routeurs.
Evidemment, ça a des effets secondaires pénibles le jour où on veut se mettre à 
utiliser l’IP, mais avec un cache à 60/120/180s, c’est acceptable (ça dépend 
des usages évidemment).
Je vais appeler Cisco pour leur dire d’ajouter ça dans l’IOS pour le mois 
prochain, mais avant, je me demande si je dis une connerie parce qu’il y a une 
conséquence pas du tout acceptable sur un réseau en prod.

Sinon y a une autre solution à laquelle je pense pas ?
J’ai bien pensé ajouter des entrées statiques dans mes routeurs, mais ça va 
rien changer.
Le routeur va envoyer un unicast, qui va devenir un broadcast sur le premier 
switch. Et pareil pour les paquets suivants.

Idées ingénieuses (encore une fois, juste pour le principe) ?

David




---
Liste de diffusion du FRnOG
http://www.frnog.org/