Re: [FRnOG] Re: Hijacked the Internet
Le 18/11/10, Stephane Bortzmeyerbortzme...@nic.fr a écrit : On Tue, Nov 16, 2010 at 11:02:00PM +0100, Nicolas MICHEL mcl.nico...@gmail.com wrote a message of 39 lines which said: Et vous avez vous vu quelque chose ? :) Pour rigoler un peu (on est presque vendredi), voici deux articles en français sur le sujet. Avantage : ils nous donnent une bonne idée de l'information dont disposent nos utilisateurs :-) http://www.cnis-mag.com/internet-plie-sous-le-poids-de-la-chine.html http://www.fansub-streaming.eu/blog/15-de-linternet-americain-detourne-par-la-chine.html Le deuxième est mort (404). Encore un coup des chinois! Le premier on le garde pour vendredi :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Hijacked the Internet
Le 17/11/10, Stephane Bortzmeyerbortzme...@nic.fr a écrit : Mais c'est apparemment l'exhumation de cette vieille info par la chaîne ultra-conservatrice FoxNews qui est responsable de ce soudain regain d'intérêt (cf. discussion sur Nanog). C'est donc 100 % politicien. Ça n'empêche pas l'info d'être intéressante, non? Il faudrait la transmettre aux gens qui croient que l'IP est fiable pour accuser quelqu'un de défaut de sécurisation ;+) Est-ce que le système de confiance sur lequel Internet est basé peut être considéré comme fiable dans le monde actuel? On a déjà eu le cas de Youtube black holé par le Pakistan.. Y'a pas une gouvernance pour taper sur les doigts des gens qui annoncent des fausses routes? On fait juste confiance et voilà? Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: Hijacked the Internet
Raphael Maunier a écrit: Les TP avec de l'eigrp ? Faut pas encore enterrer EIGRP, c'est loin d'être mort (en tout cas de mon coté de la lorgnette). J'ai de l'EIGRP sur 90% ou plus des réseaux sur lesquels je travaille. J'ai encore 10% d'IPX, certains dinosaures ont la peau dure. Question bête: En France, quand on peer avec (ou qu'on revend du transit à) un petit FAI, est-il courant de limiter le nombre de préfixes annoncés par le peer en question? (proportionnel à sa taille) Vu que AS23724 annonce environ 40 routes, on aurait pu espérer que: neighbor x.x.x.x remote-as 23724 neighbor x.x.x.x maximum-prefix 200 aurait limité le désastre. Rémi Bouhl a écrit: Y'a pas une gouvernance pour taper sur les doigts des gens qui annoncent des fausses routes? Stephane Bortzmeyer a écrit: L'ONU devrait envoyer des troupes à Pékin ? Le gouvernement chinois fait des choses bien pires que des fausses annonces BGP. C'est vrai que les options sont limitées. Dé-peerer China Telecom, peut-être ;-) En plus dans un cas comme ça, c'est difficile d'agir quand l'explication la plus probable est que quelqu'un en Chine a confondu le réseau de production et le labo pour comprendre comment marche la redistribution des routes ou la manière de configurer une route-map. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Hijacked the Internet
On Nov 17, 2010, at 6:10 PM, Michel Py wrote: Raphael Maunier a écrit: Les TP avec de l'eigrp ? Faut pas encore enterrer EIGRP, c'est loin d'être mort (en tout cas de mon coté de la lorgnette). J'ai de l'EIGRP sur 90% ou plus des réseaux sur lesquels je travaille. J'ai encore 10% d'IPX, certains dinosaures ont la peau dure. Oui, ok pour les Dino il en reste encore, et l'eigrp, c'est pas le plus complique a maintenir ( ou a migrer :) ) Pour l'ipx, heu, la franchement c'est plus du domaine de la paléontologie, mais du big-bang ! Question bête: En France, quand on peer avec (ou qu'on revend du transit à) un petit FAI, est-il courant de limiter le nombre de préfixes annoncés par le peer en question? (proportionnel à sa taille) Vu que AS23724 annonce environ 40 routes, on aurait pu espérer que: neighbor x.x.x.x remote-as 23724 neighbor x.x.x.x maximum-prefix 200 aurait limité le désastre. Chez nous on filtre pas les as-path, mais les préfixes. Si le client ne nous donne pas sa liste de préfixes, ca ne passe pas. On a des scripts qui tournent et qui (entre autre) nous indique les hidden par AS et on voit beaucoup de RFC-1918 ou meme des fois nos PA. La limite sur les sessions de peer sont a 1000 par défaut, et on augmente si besoin. Rémi Bouhl a écrit: Y'a pas une gouvernance pour taper sur les doigts des gens qui annoncent des fausses routes? Stephane Bortzmeyer a écrit: L'ONU devrait envoyer des troupes à Pékin ? Le gouvernement chinois fait des choses bien pires que des fausses annonces BGP. C'est vrai que les options sont limitées. Dé-peerer China Telecom, peut-être ;-) En plus dans un cas comme ça, c'est difficile d'agir quand l'explication la plus probable est que quelqu'un en Chine a confondu le réseau de production et le labo pour comprendre comment marche la redistribution des routes ou la manière de configurer une route-map. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: Hijacked the Internet
On Wed, 17 Nov 2010 09:10:24 -0800, Michel Py mic...@arneill-py.sacramento.ca.us said: Question bête: En France, quand on peer avec (ou qu'on revend du transit à) un petit FAI, est-il courant de limiter le nombre de préfixes annoncés par le peer en question? (proportionnel à sa taille) Vu que AS23724 annonce environ 40 routes, on aurait pu espérer que: neighbor x.x.x.x remote-as 23724 neighbor x.x.x.x maximum-prefix 200 aurait limité le désastre. Parmi les choses qu'on echange avec un futur peer on trouve presque systematiquement le max-prefix. Cote transitaires, tous mes 4 transitaires filtrent les prefixes annonces (au moins moi, ile me filtrent). Au moins un utilise les infos dans la base RIPE pour automatiquement mettre a jour ses filtres. C'est vrai que les options sont limitées. Dé-peerer China Telecom, peut-être ;-) Laissons ca aux expert(s) dans la matiere :) -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Hijacked the Internet
Hello, On Wed, 17 Nov 2010 18:15:41 +0100 Raphael Maunier rmaun...@neotelecoms.com wrote: Faut pas encore enterrer EIGRP, c'est loin d'être mort (en tout cas de mon coté de la lorgnette). J'ai de l'EIGRP sur 90% ou plus des réseaux sur lesquels je travaille. J'ai encore 10% d'IPX, certains dinosaures ont la peau dure. Oui, ok pour les Dino il en reste encore, et l'eigrp, c'est pas le plus complique a maintenir ( ou a migrer :) ) Pour l'ipx, heu, la franchement c'est plus du domaine de la paléontologie, mais du big-bang ! Ah... J'avais compris l'IP X, et je m'etonnais que Michel en ait si peu ;) Chez nous on filtre pas les as-path, mais les préfixes. Si le client ne nous donne pas sa liste de préfixes, ca ne passe pas. On a des scripts qui tournent et qui (entre autre) nous indique les hidden par AS et on voit beaucoup de RFC-1918 ou meme des fois nos PA. La limite sur les sessions de peer sont a 1000 par défaut, et on augmente si besoin. 1000, c'est de l'incitation a la de-agg de fou ! T'as trop de RAM dans tes routeurs ? A une epoque, je travaillais sur une base assez proche de : whois -h whois.ripe.net -- -T route -i origin AS2917 | grep ^route: | wc -l 30 et hop, max-pfx = 30 * 2 (marge genereuse) Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: Hijacked the Internet
Bonjour, Une petite question en marge de ce débat : avez-vous des peers qui en plus de filtrer les annonces BGP, vous font une ACL en entrée de leur réseau et n'acceptent que les réseaux que vous leur avez déclarés, pour ce qui est des flux de chez vous vers chez eux ? Moi j'ai un peer dans ce cas, à chaque nouveau préfixe ça me pose problème. Faudrait-il refuser le préfixe du nouveau client tant que les peers n'ont pas tous confirmé la prise en compte ? C'est ingérable si tout le monde fait ça. Et franchement, c'est difficile de les blâmer. Il me semble qu'il serait plus correct que chacun ait cette ACL d'antispoofing chez lui, mais ça je pense que c'est un voeu pieu... Bertrand -Message d'origine- De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de Thomas Mangin Envoyé : mercredi 17 novembre 2010 20:29 À : Michel Py Cc : Raphael Maunier; frnog Objet : Re: [FRnOG] Re: Hijacked the Internet Question bête: En France, quand on peer avec (ou qu'on revend du transit à) un petit FAI, est-il courant de limiter le nombre de préfixes annoncés par le peer en question? (proportionnel à sa taille) Soit tu bloques par une combinaison d' AS_PATH, de prefixes, ou de max-prefix . Les FAI qui font leur boulot génèrent des filtres depuis les bases des donnees des registrar (RIPE, ..). Mais dans la liste des choses que tout le monde devrait faire. En sortie: - bloquer les prefix plus petit qu'un /24 (evite de passer son IGP a son peer) - bloquer les block d'IP des RFC 1918 et autres - bloquer toutes les AS_PATH avec ses fournisseur de transit, ca évite le donner gratuitement a ses peers. - tagger toutes ses routes de transit en entree et les filtrer en sortie - tagger toutes ses routes de peers en entree et les filter en sortie - tagger toutes ses routes de CLIENTS en entree et les laisser passer en sortie. - ne pas envoyer les IP des LAN des IX En Entree : - refuser un route par default - bloquer les prefix plus petit qu'un /24 - bloquer les block d'IP des RFC 1918 et autres - bloquer toutes les AS_PATH avec un T1 en tete - un peer n'offre du transit gratuit que quand il a une fuite !! - utiliser max-prefix avec ses peers pour ne pas accepter une fuite de leur part - ne pas accepter les IP des LAN des IX Les configs Juniper qui font ca : http://thomas.mangin.com/data/pdf/Linx%2057%20-%20Mangin%20-%20BGP%20Leak.pdf Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Hijacked the Internet
Ce n'est pas une mauvaise pratique _SI_ c'est automatise via RIPE et mis a jour toutes les nuits sinon c'est juste bon pour null router le trafic. Les trucs que je donne ne nécessite pas de mise a jour journalière (seulement quand tu changes ton transit, ce qui n'est pas tous les jours) C'est comme uRPF, c'est tout simple et si tout le monde le faisait ... mais avec des si !! Thomas On 17 Nov 2010, at 19:44, Bertrand MAUJEAN wrote: Bonjour, Une petite question en marge de ce débat : avez-vous des peers qui en plus de filtrer les annonces BGP, vous font une ACL en entrée de leur réseau et n'acceptent que les réseaux que vous leur avez déclarés, pour ce qui est des flux de chez vous vers chez eux ? Moi j'ai un peer dans ce cas, à chaque nouveau préfixe ça me pose problème. Faudrait-il refuser le préfixe du nouveau client tant que les peers n'ont pas tous confirmé la prise en compte ? C'est ingérable si tout le monde fait ça. Et franchement, c'est difficile de les blâmer. Il me semble qu'il serait plus correct que chacun ait cette ACL d'antispoofing chez lui, mais ça je pense que c'est un voeu pieu... Bertrand -Message d'origine- De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de Thomas Mangin Envoyé : mercredi 17 novembre 2010 20:29 À : Michel Py Cc : Raphael Maunier; frnog Objet : Re: [FRnOG] Re: Hijacked the Internet Question bête: En France, quand on peer avec (ou qu'on revend du transit à) un petit FAI, est-il courant de limiter le nombre de préfixes annoncés par le peer en question? (proportionnel à sa taille) Soit tu bloques par une combinaison d' AS_PATH, de prefixes, ou de max-prefix . Les FAI qui font leur boulot génèrent des filtres depuis les bases des donnees des registrar (RIPE, ..). Mais dans la liste des choses que tout le monde devrait faire. En sortie: - bloquer les prefix plus petit qu'un /24 (evite de passer son IGP a son peer) - bloquer les block d'IP des RFC 1918 et autres - bloquer toutes les AS_PATH avec ses fournisseur de transit, ca évite le donner gratuitement a ses peers. - tagger toutes ses routes de transit en entree et les filtrer en sortie - tagger toutes ses routes de peers en entree et les filter en sortie - tagger toutes ses routes de CLIENTS en entree et les laisser passer en sortie. - ne pas envoyer les IP des LAN des IX En Entree : - refuser un route par default - bloquer les prefix plus petit qu'un /24 - bloquer les block d'IP des RFC 1918 et autres - bloquer toutes les AS_PATH avec un T1 en tete - un peer n'offre du transit gratuit que quand il a une fuite !! - utiliser max-prefix avec ses peers pour ne pas accepter une fuite de leur part - ne pas accepter les IP des LAN des IX Les configs Juniper qui font ca : http://thomas.mangin.com/data/pdf/Linx%2057%20-%20Mangin%20-%20BGP%20Leak.pdf Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Hijacked the Internet
On Nov 17, 2010, at 8:14 PM, Paul Rolland (ポール・ロラン) wrote: Hello, On Wed, 17 Nov 2010 18:15:41 +0100 Raphael Maunier rmaun...@neotelecoms.com wrote: Faut pas encore enterrer EIGRP, c'est loin d'être mort (en tout cas de mon coté de la lorgnette). J'ai de l'EIGRP sur 90% ou plus des réseaux sur lesquels je travaille. J'ai encore 10% d'IPX, certains dinosaures ont la peau dure. Oui, ok pour les Dino il en reste encore, et l'eigrp, c'est pas le plus complique a maintenir ( ou a migrer :) ) Pour l'ipx, heu, la franchement c'est plus du domaine de la paléontologie, mais du big-bang ! Ah... J'avais compris l'IP X, et je m'etonnais que Michel en ait si peu ;) :) Chez nous on filtre pas les as-path, mais les préfixes. Si le client ne nous donne pas sa liste de préfixes, ca ne passe pas. On a des scripts qui tournent et qui (entre autre) nous indique les hidden par AS et on voit beaucoup de RFC-1918 ou meme des fois nos PA. La limite sur les sessions de peer sont a 1000 par défaut, et on augmente si besoin. 1000, c'est de l'incitation a la de-agg de fou ! T'as trop de RAM dans tes routeurs ? C'est vrai que nous avons des vrais routeurs avec une vrai gestion de la mémoire :P La ou tu a raison , c'est que qu'on pourrait etre plus restrictif et passer a 500, mais bon après ca va faire des configs spécifique et a maintenir c'est ingerable :) De notre cote, si un peer leak trop souvent et que la cession ne cesse pas de faire up/down, ben on depeere, car c'est generalement pas bon signe A une epoque, je travaillais sur une base assez proche de : whois -h whois.ripe.net -- -T route -i origin AS2917 | grep ^route: | wc -l 30 et hop, max-pfx = 30 * 2 (marge genereuse) Ce qui compte c'est généralement ce qu'il y a derrière ton AS. whois -h whois.ripe.net -- -T route -i origin AS8218 | grep ^route: | wc -l 17 et au final ce que nous annonçons : Advertised prefixes: 937 Paul --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Hijacked the Internet
On 17 Nov 2010, at 20:21, Raphael Maunier wrote: A une epoque, je travaillais sur une base assez proche de : whois -h whois.ripe.net -- -T route -i origin AS2917 | grep ^route: | wc -l 30 et hop, max-pfx = 30 * 2 (marge genereuse) Ce qui compte c'est généralement ce qu'il y a derrière ton AS. whois -h whois.ripe.net -- -T route -i origin AS8218 | grep ^route: | wc -l 17 et au final ce que nous annonçons : Advertised prefixes: 937 Je suis encore plus paresseux, j'utilise le code de RAS: http://juniper.cluepon.net/index.php/OS_Auto_Tuning_Prefix_Limits Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Hijacked the Internet
Hello, A une epoque, je travaillais sur une base assez proche de : whois -h whois.ripe.net -- -T route -i origin AS2917 | grep ^route: | wc -l 30 et hop, max-pfx = 30 * 2 (marge genereuse) Ce qui compte c'est généralement ce qu'il y a derrière ton AS. whois -h whois.ripe.net -- -T route -i origin AS8218 | grep ^route: | wc -l 17 et au final ce que nous annonçons : Advertised prefixes: 937 Oui, c'est vrai... La version complete de l'epoque AS2917 etait plus riche : - AS et son AS-Macro - RIPE pour connaitre ce qui est dans l'AS-macro, avec une recuperation recursive de l'ensemble des AS dans la macro, - Recuperation de la liste des prefixes pour chacun des AS, - Dedoublonnage. Et en plus, je faisais le tour des RIPE, RA, et autres pour etre sur de tout prendre... mais comme RIPE semble aller vers du regroupement (a quand les reponses via whois ?), ca devrait pouvoir se simplifier ! Paul --- Liste de diffusion du FRnOG http://www.frnog.org/