Bonsoir Jeremy,
J'ai fait tourner mon réseau avec des solutions open source pendant des années,
et on peut des fois s'en sortir sans un boitier hors de prix, je l'ai fait, tu
l'as fait et d'autres aussi.
je suis content que tu ai réussi a t'en sortir dans ton cas spécifique sans
lâcher un zillion d'euros, cela prouve qu'en étant intelligent et compétent on
peut faire des choses, et c'est toute la beauté du métier d’ingénieur.
Ce qui me gène beaucoup dans ton discours, c'est que tu fais de ton cas
particulier un cas général.
Je pourrais te citer pleins de cas ou ta solution (que j'ai bien écoutée lors
du dernier Frnog) ne sera pas efficace la ou un boitier
Arbor/Corero/Radware/XXX le sera.
Dire ou sous entendre qu'on peut s'en sortir dans tous les cas avec une
solution maison (la tienne ou une autre) est totalement faux.
Dans la vraie vie, on a pas le droit de couper 3 jours le temps d’écrire un truc, dans la
vraie vie si l'attaquant est motivé il attaque de pleins de façons différentes, et le
cout d'une attaque réussie peut vite couter plus cher que le prix d'une appliance amortie
sur 3 ans (120K/36mois cela ne fait "que" 3333€/mois).
Cordialement,
Salim
Le 14/10/2013 21:13, Jérémy Martin a écrit :
Comme je l'explique en privé, c'est clairement trop cherpour notre bourse.
Attention, je ne dénigre pas, c'est une super bécane bien huilée qui fonctionne
et fait son taf, avec des barbu qui répondent au téléphone derrière.
Mais quand tu as la possibilité d'avoir un opérateur Tier-2 comme Cogent qui te dit
"ok, je t'amène les tuyaux que tu veux pour t'aider à ma manière), je dis que
ma solution fonctionne pour les besoins que j'en ai.
Et ça m'évite de facturer une solution qui me parait normal d'inclure de base
dans mes tarifs.
A chacun son budget comme on dit. Mais à la vue des attaques qu'on peut voir de
nos jours, il est clairement irréaliste de demander à 95 % des AS français de
mettre 1 an (ou plus) de CA dans un boitier de mitigation fait pour ça.
Après, ça plait, ça ne plait pas. On est sur une mailing d'échange. J'ai un
truc qui marche pas trop mal, je le partage, et à ma connaissance, ça a aidé
pas mal de barbus.
Cordialement,
Jérémy Martin
Le 14/10/2013 21:08, Guillaume Barrot a écrit :
Faudra m'expliquer avec des mots simples en quoi une solution de type UTM
peut empecher un tuyau de se remplir jusqu'à étouffement du trafic ...
Arbor est hors de prix?
Soit, mais en même temps c'est justement une solution opérateur qui se
place en amont.
Acheter de l'Arbor quand on ne maitrise pas le backbone jusqu'aux IX ...
oui. Y a des moyens plus simples de bruler des billets, mais pourquoi pas.
120k, divisé par le nombre de mecs que tu proteges = une offre
commerciale...
Bref, Arbor et UTM, c'est aussi comparable que switchs et bottes de
poireaux.
Si tu as des contentieux avec Arbor, attention à ne pas dénigrer
publiquement en plus...
Le 14 octobre 2013 20:38, Jérémy Martin <li...@freeheberg.com> a écrit :
Bonsoir,
Arbor est hors de prix.
Pour tout ce qui est attaques applicatives, on a testé les solutions
Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a
pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer
dans plusieurs boitiers.
Ce sont au final de simples firewall L7 mais en général, c'est efficace
pour un budget maitrisé.
Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au
dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre
du rate-limit sur Layer 3, et un peu de tuning au niveau BGP.
Cette solution revient à moins de 1500 € par équipement, contre minimum
120 k€ pour du ArborTMS / Peak Flow (prix publics).
Me contacter en PV pour plus d'infos.
Cordialement,
Jérémy Martin
Directeur Technique FirstHeberg.com
Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30)
Standard : 09 72 125 539 (tarif local)
Ligne directe : 03 66 72 03 42
Mail : j.martin AT freeheberg.com
Web : http://www.firstheberg.com
Le 14/10/2013 13:53, pierre a écrit :
Bonjour Messiers,
Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante
pour
3 reelement utile.
Nous avons actuellement un peakflow pour la visibilité (qui fonctionne
parfaitement) et nous voudrions nettoyer le trafic sans blackhole.
Le type d'attaque à nettoyer serait :
TCP SYN Flood
TCP SYN-ACK Reflection Flood (DRDoS)
TCP Spoofed SYN Flood
TCP ACK Flood
TCP IP Fragmented Attack
ICMP Echo Request Flood
UDP Flood Attack
DNS Amplification Attacks
....
Je cherche une solution opérateur, avez vous testé et comparé les produits
de corero, radware, 6cure, arbor ... ?
Merci d'avance pour vos retours
Pierre
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
--
Salim Gasmi -- Directeur Technique -- SdV Plurimedia
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
