[FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Feedback sur des switches L3
Bonjour tous, Merci pour vos rponses ! a m'aiguille beaucoup sur le choix faire. La BP grer est d'environ 10mb/s symtrique. Pour vous reprsenter globalement l'archi, on pense tablir une interco directe avec un oprateur tlcom sur ce switch. Le FW nous permettra de grer ces accs, le switch tant probablement reli nos LANs et notre DMZ. Un L2L sera mis en place entre 2 de nos sites (donc un deuxime switch sur le site distant). Idem, celui-ci sera reli une partie de nos LANs / DMZ. Diffrentes intercos pourront voir le jour sur ces switchs, qui pourrait galement nous servir simplement monter des VPN entre nos plateformes de prod. Donc d'un point de vue routage, on n'a pas un norme besoin (pas de BGP par exemple). Le Fortinet 100D semble rpondre nos besoin, je me trompe ? Je vais essayer d'appuyer dans cette direction. Idem, je vais comparer un Brocade. Pour l'open source c'est pas une mauvaise ide, je regarde un peu a. Pour le moment, on connait une boite qui en fait une utilisation plus ou moins similaire et utilise ce matos : http://routerboard.com/CCR1036-12G-4S http://routerboard.com/CCR1036-12G-4S (le webgui ressemble a : http://demo.mt.lv/webfig/ http://demo.mt.lv/webfig/ ) mais a ne m'inspire pas spcialement confiance, a semble cheap... nous faisons des tests de charge dessus pour voir s'il tient la route. L'un de vous connait ? Bref... merci ! De : mbesn...@gmail.com [mailto:mbesn...@gmail.com] De la part de michel besnard Envoy : mercredi 9 octobre 2013 18:29 : Sylvain Busson Cc : Guillaume Fort; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Feedback sur des switches L3 quel est la bande passante grer et nombre d'utilisateurs ou interco ? les lments qui feront la diffrence pour brancher ta boite magique ton softswitch : switch - support LAG avec bonne rpartition des paquets sur les diffrentes interfaces - support interface optique giga et10Ge routeur - routage statique et dynamique BGP, IS-IS - table de routage multiples - gestion QoS firewall / vpn gw - gestion d'IPv6 perf identque IPv4 - ALG FW (SIP , SIP-I ou autre trunk SIP) - filtrage statefull - vpn gw pour utilisateur finaux ou remote office ? perf - en fonction de ton modle de traffic ( priori voix donc paquet de 150 octects max) - bande passante - nombre des sessions - latence - PPM (paquet par seconde) pour le systme et par interface voir en fonction du sample rate et nombre d'utilisateur voix 20 ms de sample rate (chantillonnage voix) : 100 pps ! budget rduit et techniquement et dans l'ordre de prfrence : 1/ Fortinet OS 5.0.x peu couteux, trs petit, trs puissant, conso lectrique moindre : table de routage=VDOM, BGP/IS-IS, QoS, firewalling, Switching de base et plein de ports par dfaut, latence trs trs rduite ; le modle choisir dpend de la bande passante 2/ srx mais ca tient pas dans ton budget 3/ pouquoi pas l'open source ? un blade center ou un serveur puissant avec http://openvswitch.org/ http://openvswitch.org/ des VM Firewall openbsd / pf et VM de routage... voir en fonction de ton traffic si c'est possible Cdt, Le 9 octobre 2013 13:15, Sylvain Busson bus...@nic.fr mailto:bus...@nic.fr a crit : Bonjour, Si tu n'as pas peur de la cli srx (branch) y a plein de port par defaut. Et part l'IPSEC 6inx je ne vois pas bien ce qu'il ne sais pas faire. SBU Le 08/10/2013 14:46, Guillaume Fort a crit : Salut tous, J'tudie les possibilits d'achat d'une belle boite magique multi-fonction qui ferait routeur / switch / FW , entre autre pour avoir un peer solide en prvision d'une ou plusieurs intercos L2L avec diffrent(s) oprateur(s) tlcom (et galement une refonte de notre backbone). Il est indispensable aussi de pouvoir grer finement la QoS et il y a de fortes chances qu'on y branche un softswitch. Je me suis renseign sur de nombreuses marques diffrents tarifs (cisco et juniper videmment, mais aussi westermo, redfox, mikrotik...), mais le budget n'aidant pas (disons 3k max) et l'erreur n'tant pas permise je me permets de venir profiter de l'exprience de chacun(e). Avez-vous dj procd l'installation d'un tel routeur pour une utilisation vaguement similaire ? Si oui, puis-je connaitre la marque et l'utilisation que vous en faites ? Merci d'avance ! --- Liste de diffusion du FRnOG http://www.frnog.org/ http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] IOS Cisco 7206
Bonjour à tous, Quel IOS utilisez-vous/conseillez-vous sur cette machine ? Mon but est de terminer des liaisons DSL. J'utilise actuellement du 124-25 qui fonctionne très bien mais qui n'a pas toutes les OID SNMP dont j'aurais besoin. J'ai aussi testé du 151-4 qui possède une base SNMP plus à jour mais sur lequel la QoS via AVP Radius ne marche pas. Merci d'avance pour votre contribution Aurélien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Bonjour, ici on utilise la solution Arbor avec leur TMS et c'est pas mal du tout. Pour plus de détails, en off list. Cordialement, Salim Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Bonsoir, Arbor est hors de prix. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Oct 14, 2013, at 8:38 PM, Jérémy Martin li...@freeheberg.com wrote: Bonsoir, Salut, Arbor est hors de prix. On dira : Je n'ai pas les moyens de me le payer. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. On dira : J'ai pas acheté / testé le bon boitier Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. J'ai eu l'occasion de tester avec injecteur de trafic Breaking Point, du d/dos vers du Fortinet, Arbor, Stonesoft et bien sur Juniper, et c'est pas juste 1G vers le Fortinet, il ne faut pas non plus raconter n'importe quoi. Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Faudra m'expliquer avec des mots simples en quoi une solution de type UTM peut empecher un tuyau de se remplir jusqu'à étouffement du trafic ... Arbor est hors de prix? Soit, mais en même temps c'est justement une solution opérateur qui se place en amont. Acheter de l'Arbor quand on ne maitrise pas le backbone jusqu'aux IX ... oui. Y a des moyens plus simples de bruler des billets, mais pourquoi pas. 120k, divisé par le nombre de mecs que tu proteges = une offre commerciale... Bref, Arbor et UTM, c'est aussi comparable que switchs et bottes de poireaux. Si tu as des contentieux avec Arbor, attention à ne pas dénigrer publiquement en plus... Le 14 octobre 2013 20:38, Jérémy Martin li...@freeheberg.com a écrit : Bonsoir, Arbor est hors de prix. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Comme je l'explique en privé, c'est clairement trop cherpour notre bourse. Attention, je ne dénigre pas, c'est une super bécane bien huilée qui fonctionne et fait son taf, avec des barbu qui répondent au téléphone derrière. Mais quand tu as la possibilité d'avoir un opérateur Tier-2 comme Cogent qui te dit ok, je t'amène les tuyaux que tu veux pour t'aider à ma manière), je dis que ma solution fonctionne pour les besoins que j'en ai. Et ça m'évite de facturer une solution qui me parait normal d'inclure de base dans mes tarifs. A chacun son budget comme on dit. Mais à la vue des attaques qu'on peut voir de nos jours, il est clairement irréaliste de demander à 95 % des AS français de mettre 1 an (ou plus) de CA dans un boitier de mitigation fait pour ça. Après, ça plait, ça ne plait pas. On est sur une mailing d'échange. J'ai un truc qui marche pas trop mal, je le partage, et à ma connaissance, ça a aidé pas mal de barbus. Cordialement, Jérémy Martin Le 14/10/2013 21:08, Guillaume Barrot a écrit : Faudra m'expliquer avec des mots simples en quoi une solution de type UTM peut empecher un tuyau de se remplir jusqu'à étouffement du trafic ... Arbor est hors de prix? Soit, mais en même temps c'est justement une solution opérateur qui se place en amont. Acheter de l'Arbor quand on ne maitrise pas le backbone jusqu'aux IX ... oui. Y a des moyens plus simples de bruler des billets, mais pourquoi pas. 120k, divisé par le nombre de mecs que tu proteges = une offre commerciale... Bref, Arbor et UTM, c'est aussi comparable que switchs et bottes de poireaux. Si tu as des contentieux avec Arbor, attention à ne pas dénigrer publiquement en plus... Le 14 octobre 2013 20:38, Jérémy Martin li...@freeheberg.com a écrit : Bonsoir, Arbor est hors de prix. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
A priori ça ne t'a pas empêche d'en vendre jusqu'à y a pas si longtemps. Y avait même le beau logo Arbor dans les offres sur ton site. Donc soit il y a un manque d'honnêteté dans cette réponse, soit tu vendais du rêve, n'empêche que pour moi ça sent la rancœur tenace et la démarche pas super claire. Bref oui c'est un produit cher mais on est pas opérateur avec 10 euros en poche. La L33 ça fait bien longtemps que ça ne fait plus l'opérateur, le numéro d'AS non plus. Le lundi 14 octobre 2013, Jérémy Martin a écrit : Comme je l'explique en privé, c'est clairement trop cherpour notre bourse. Attention, je ne dénigre pas, c'est une super bécane bien huilée qui fonctionne et fait son taf, avec des barbu qui répondent au téléphone derrière. Mais quand tu as la possibilité d'avoir un opérateur Tier-2 comme Cogent qui te dit ok, je t'amène les tuyaux que tu veux pour t'aider à ma manière), je dis que ma solution fonctionne pour les besoins que j'en ai. Et ça m'évite de facturer une solution qui me parait normal d'inclure de base dans mes tarifs. A chacun son budget comme on dit. Mais à la vue des attaques qu'on peut voir de nos jours, il est clairement irréaliste de demander à 95 % des AS français de mettre 1 an (ou plus) de CA dans un boitier de mitigation fait pour ça. Après, ça plait, ça ne plait pas. On est sur une mailing d'échange. J'ai un truc qui marche pas trop mal, je le partage, et à ma connaissance, ça a aidé pas mal de barbus. Cordialement, Jérémy Martin Le 14/10/2013 21:08, Guillaume Barrot a écrit : Faudra m'expliquer avec des mots simples en quoi une solution de type UTM peut empecher un tuyau de se remplir jusqu'à étouffement du trafic ... Arbor est hors de prix? Soit, mais en même temps c'est justement une solution opérateur qui se place en amont. Acheter de l'Arbor quand on ne maitrise pas le backbone jusqu'aux IX ... oui. Y a des moyens plus simples de bruler des billets, mais pourquoi pas. 120k, divisé par le nombre de mecs que tu proteges = une offre commerciale... Bref, Arbor et UTM, c'est aussi comparable que switchs et bottes de poireaux. Si tu as des contentieux avec Arbor, attention à ne pas dénigrer publiquement en plus... Le 14 octobre 2013 20:38, Jérémy Martin li...@freeheberg.com a écrit : Bonsoir, Arbor est hors de prix. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
La L33 permet à n'importe qui de devenir opérateur, et je trouve que c'est la meilleure chose qui existe pour notre métier. La diversité est la force de l'internet, et je souhaites de tout mon cœur que nos confrères qui lisent ces lignes ne pensent pas comme toi et soient tout aussi choqué que moi. Et je n'ai jamais vendu d'Arbor, n'ayant jamais pu m'en acheter. Le devis est encore sur mon bureau. Bonne soirée. Cordialement, Jérémy Martin Le 14/10/2013 21:28, Guillaume Barrot a écrit : A priori ça ne t'a pas empêche d'en vendre jusqu'à y a pas si longtemps. Y avait même le beau logo Arbor dans les offres sur ton site. Donc soit il y a un manque d'honnêteté dans cette réponse, soit tu vendais du rêve, n'empêche que pour moi ça sent la rancœur tenace et la démarche pas super claire. Bref oui c'est un produit cher mais on est pas opérateur avec 10 euros en poche. La L33 ça fait bien longtemps que ça ne fait plus l'opérateur, le numéro d'AS non plus. Le lundi 14 octobre 2013, Jérémy Martin a écrit : Comme je l'explique en privé, c'est clairement trop cherpour notre bourse. Attention, je ne dénigre pas, c'est une super bécane bien huilée qui fonctionne et fait son taf, avec des barbu qui répondent au téléphone derrière. Mais quand tu as la possibilité d'avoir un opérateur Tier-2 comme Cogent qui te dit ok, je t'amène les tuyaux que tu veux pour t'aider à ma manière), je dis que ma solution fonctionne pour les besoins que j'en ai. Et ça m'évite de facturer une solution qui me parait normal d'inclure de base dans mes tarifs. A chacun son budget comme on dit. Mais à la vue des attaques qu'on peut voir de nos jours, il est clairement irréaliste de demander à 95 % des AS français de mettre 1 an (ou plus) de CA dans un boitier de mitigation fait pour ça. Après, ça plait, ça ne plait pas. On est sur une mailing d'échange. J'ai un truc qui marche pas trop mal, je le partage, et à ma connaissance, ça a aidé pas mal de barbus. Cordialement, Jérémy Martin Le 14/10/2013 21:08, Guillaume Barrot a écrit : Faudra m'expliquer avec des mots simples en quoi une solution de type UTM peut empecher un tuyau de se remplir jusqu'à étouffement du trafic ... Arbor est hors de prix? Soit, mais en même temps c'est justement une solution opérateur qui se place en amont. Acheter de l'Arbor quand on ne maitrise pas le backbone jusqu'aux IX ... oui. Y a des moyens plus simples de bruler des billets, mais pourquoi pas. 120k, divisé par le nombre de mecs que tu proteges = une offre commerciale... Bref, Arbor et UTM, c'est aussi comparable que switchs et bottes de poireaux. Si tu as des contentieux avec Arbor, attention à ne pas dénigrer publiquement en plus... Le 14 octobre 2013 20:38, Jérémy Martin li...@freeheberg.com a écrit : Bonsoir, Arbor est hors de prix. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com http://freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Dans le thread où Jérémy parlait de son suicide, Philippe Bourcier avait brièvement parlé de http://www.packetdam.com/ Est-ce que quelqu'un a un retour d'expérience sur le produit ? Concernant Arbor, celui doit obligatoirement se trouvé sur le réseau de l'opérateur ? Dans le cas d'un hébergeur ne disposant que de quelques transit IP, est-ce une solution pertinente ou est-ce aux opérateurs de transits de la mettre en place ? Le 14 octobre 2013 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Oct 14, 2013, at 10:21 PM, Jack alexandre.bruyel...@gmail.com wrote: On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D Alors, dans le cadre du ddos, on est pas dans un monde ou tu peux remplacer facilement un serveur www microsoft par un serveur sous linux Un boitier de protection ddos, ce n'est pas juste du hw ( quoique ) - Tu peux rajouter une carte d'interfaces dans ton châssis a la volée sans avoir à couper ton service - Les asics, ce n'est pas juste une rumeur, ça fonctionne et bien ! - Tu as un vrai support à n'importe quelle heure : Avec un mec en face qui est vraiment en mesure d'analyser ton trafic et te conseiller et appliquer le bon filtre si besoin - L'intégration avec les constructeurs comme Juniper ( et pas que les gros routeurs un MX80, c'est de l'entrée de gamme ), ALU - Un upgrade de software ce n'est pas radioactif - Joe n'est pas le seul qui maitrise la solution - Joe n'est pas le seul qui fait le support à 3h du mat - ... On est pas au même niveau d'une comparaison entre un routeur HW vs un routeur Linux/bsd sur un PC (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Kavé Salamatian (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Les transitaires le proposent de plus en plus en option pour un prix forfaitaire mensuel fixe (genre 750 Euros / mois) Ca se voit beaucoup sur les Tier-2, j'en ai vu chez un seul Tier-1 (pour le moment). C'est clair que pour un petit hébergeur, c'est hors sujet de penser claquer une fortune dans un Arbor, par contre c'est surement plus cohérent pour son fournisseur. Frédéric Le 10/14/13 10:32 PM, Romain GUICHARD a écrit : Dans le thread où Jérémy parlait de son suicide, Philippe Bourcier avait brièvement parlé de http://www.packetdam.com/ Est-ce que quelqu'un a un retour d'expérience sur le produit ? Concernant Arbor, celui doit obligatoirement se trouvé sur le réseau de l'opérateur ? Dans le cas d'un hébergeur ne disposant que de quelques transit IP, est-ce une solution pertinente ou est-ce aux opérateurs de transits de la mettre en place ? Le 14 octobre 2013 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Bonsoir, Le 14 oct. 2013 à 22:44, Kavé Salamatian a écrit : Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Il y a un article Wikipedia pour ça ! ;) http://fr.wikipedia.org/wiki/Prix_d'acceptabilité#D.C3.A9termination_du_prix_d.27acceptabilit.C3.A9 Le prix minimum, prix en dessous duquel le client pense que le produit ne peut pas être de bonne qualité. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Désolé Kavé, Mais sauf erreur de ma part, tu n'as jamais eu à opérer un backbone avec plusieurs centaines de giga. Tu es resté trop longtemps en université avec de la RD ou te la validation théorique. Dans la vrai vie, celle qui fait vraiment tourner Internet, tu ne peux pas mettre en péril ton backbone, juste pour faire mumuse avec la solution brillante de l'ingénieur. Le bricolage, c'est le fait de devoir passer 40 nuits pour upgrader ton soft qui est maintenu par 1 personne. Ce brillant ingénieur s'il se casse du jour au lendemain ( il gagne au loto, il déménage en Alaska ou xyz ), tu fais comment ? Il arrêter de dire et de faire croire que parce ce que c'est ouvert c'est simple et qu'il n'y a pas de soucis pour faire reprendre sa maintenance par les 40 000 ingénieurs dispo. C'est un leurre ! Pour ce qui l'ont fait tourner , pas juste pour faire mumuse, mais pour protéger des centaines de clients, tu comprends bien vite que les solutions commerciales sont nettement plus abouties que les solutions dites de bricolage Raphael On Oct 14, 2013, at 10:44 PM, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Kavé Salamatian (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Heu ... Je n ai pas de barbe ... Même plus de cheveux sur la tête :) ! Notre solution est positionnée pour être partagée entre plusieurs clients attachés à une infrastructure réseau dimensionnée en conséquence. Je pense que des opérateurs et hébergeurs ont pu démontrer récemment qu ils pouvaient décliner une offre très attractive sur nos solutions. Nous avons un grand respect pour tous les acteurs du Net et je pense et espère que nous essayons de toujours trouver le meilleur compromis entre la vente directe et les offres de nos partenaires. Maintenant nous ne sommes que des fournisseurs de solution et le gros du travail est mené par les services provider et hébergeurs pour rendre des services de sécurité et de haute disponibilité accessibles au plus grand nombre. Bonne soirée Matthieu. Sent from my iPhone On 14 oct. 2013, at 21:15, Jérémy Martin li...@freeheberg.com wrote: Comme je l'explique en privé, c'est clairement trop cherpour notre bourse. Attention, je ne dénigre pas, c'est une super bécane bien huilée qui fonctionne et fait son taf, avec des barbu qui répondent au téléphone derrière. Mais quand tu as la possibilité d'avoir un opérateur Tier-2 comme Cogent qui te dit ok, je t'amène les tuyaux que tu veux pour t'aider à ma manière), je dis que ma solution fonctionne pour les besoins que j'en ai. Et ça m'évite de facturer une solution qui me parait normal d'inclure de base dans mes tarifs. A chacun son budget comme on dit. Mais à la vue des attaques qu'on peut voir de nos jours, il est clairement irréaliste de demander à 95 % des AS français de mettre 1 an (ou plus) de CA dans un boitier de mitigation fait pour ça. Après, ça plait, ça ne plait pas. On est sur une mailing d'échange. J'ai un truc qui marche pas trop mal, je le partage, et à ma connaissance, ça a aidé pas mal de barbus. Cordialement, Jérémy Martin Le 14/10/2013 21:08, Guillaume Barrot a écrit : Faudra m'expliquer avec des mots simples en quoi une solution de type UTM peut empecher un tuyau de se remplir jusqu'à étouffement du trafic ... Arbor est hors de prix? Soit, mais en même temps c'est justement une solution opérateur qui se place en amont. Acheter de l'Arbor quand on ne maitrise pas le backbone jusqu'aux IX ... oui. Y a des moyens plus simples de bruler des billets, mais pourquoi pas. 120k, divisé par le nombre de mecs que tu proteges = une offre commerciale... Bref, Arbor et UTM, c'est aussi comparable que switchs et bottes de poireaux. Si tu as des contentieux avec Arbor, attention à ne pas dénigrer publiquement en plus... Le 14 octobre 2013 20:38, Jérémy Martin li...@freeheberg.com a écrit : Bonsoir, Arbor est hors de prix. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 14 oct. 2013 à 22:57, Raphael Maunier raph...@maunier.net a écrit : Désolé Kavé, Mais sauf erreur de ma part, tu n'as jamais eu à opérer un backbone avec plusieurs centaines de giga. Tu es resté trop longtemps en université avec de la RD ou te la validation théorique. Même si c'est le cas, ceci ne réduit pas la portée de mon propos. Il y'a bien sur des cas de figure ou des solutions commerciales sont les meilleures et des cas où ce ne sont pas les meilleurs. Dans l'absolu il n'y a pas de solution commerciale qui sont bonne pour tout les scénarios. Le travail de l'ingénieur consiste à évaluer en fonction de son scénario quelle est la solution la meilleure. Solution commerciale, ou faite maison. Je constate juste que dans mon activité (je fais aussi du consulting), le nombre de cas ou je vois personnes acheter une marque plutôt qu'une solution à leur problème est tout simplement effarant. Qui n'a pas vu un DSI rouge de plaisir montrer son routeur pro à 10 K€ qui connecte un lien de sortie de 2 Mbps avec trois entrées ethernet (ou scénario semblable), alors qu'il aurait pris une des machines de bureautique qui aurait très bien fait l'affaire Dans la vrai vie, celle qui fait vraiment tourner Internet, tu ne peux pas mettre en péril ton backbone, juste pour faire mumuse avec la solution brillante de l'ingénieur. Bas non un vrai ingénieur ne fait jamais mumuse, mais il se fait pas aussi rouler dans la farine par un commercial qui lui vend la solution du siècle. L'ingénieur brillant est l'ingénieur qui est capable de dépenser 100 k€ pour répondre à son besoin (ou au besoin de son entreprise) car il n'y a pas de solution moins cher qui répondrait à toutes les contraintes doit celle que tu décrit, mais qui est aussi capable d'implanter la solution à 500 € qui répond au besoin sans penser que cela réduira mon importance dans la boite (car fréquemment c'est le volume de fric que tu gaspille qui défini ton importance dans la boite). Ce n'est pas le prix d'une solution qui valide sa qualité technique. j'ai un peu l'impression qu'on a oublié dans la profession qu'on fait un boulot d'ingénieur, pas de chargé d'achat de matériel informatique. Le bricolage, c'est le fait de devoir passer 40 nuits pour upgrader ton soft qui est maintenu par 1 personne. Ce brillant ingénieur s'il se casse du jour au lendemain ( il gagne au loto, il déménage en Alaska ou xyz ), tu fais comment ? Il arrêter de dire et de faire croire que parce ce que c'est ouvert c'est simple et qu'il n'y a pas de soucis pour faire reprendre sa maintenance par les 40 000 ingénieurs dispo. C'est un leurre ! Et pas croire par ce que c'est du Juniper ou du Cisco ou parce que ça coute la peau des fesses que c'est la réponse au problème. Ca aussi c'est un leurre. La réalité c'est qu'il faut bosser et qu'aucun problème n'est facile à résoudre. Pour ce qui l'ont fait tourner , pas juste pour faire mumuse, mais pour protéger des centaines de clients, tu comprends bien vite que les solutions commerciales sont nettement plus abouties que les solutions dites de bricolage Je connais malheureusement tellement de solutions commerciales qui sont nulles alors que des solutions de bricolage équivalente réponde au besoin, et vice-versa. Ne pas oublier que beaucoup de solutions commerciales sont simplement des solutions de bricolage et même en grande majorité de l'open source qui a force de travail sont devenue fiable et facile à utiliser …. Moralité, il n'y a pas de solutions universelles. Personne ne fait mumuse, il faut (ré)apprendre à faire son boulot d'ingénieur avec méthode et rigueur. Kavé Raphael On Oct 14, 2013, at 10:44 PM, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute
RE: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
J'ai croisé hier des panneaux et des affiches ARBOR... http://arborcollective.com/ Ah ce n'est pas une filiale ? dommage ;) -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Texier, Matthieu Envoyé : lundi 14 octobre 2013 23:16 À : Jérémy Martin Cc : guillaume.bar...@gmail.com; pierre; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur Heu ... Je n ai pas de barbe ... Même plus de cheveux sur la tête :) ! Notre solution est positionnée pour être partagée entre plusieurs clients attachés à une infrastructure réseau dimensionnée en conséquence. Je pense que des opérateurs et hébergeurs ont pu démontrer récemment qu ils pouvaient décliner une offre très attractive sur nos solutions. Nous avons un grand respect pour tous les acteurs du Net et je pense et espère que nous essayons de toujours trouver le meilleur compromis entre la vente directe et les offres de nos partenaires. Maintenant nous ne sommes que des fournisseurs de solution et le gros du travail est mené par les services provider et hébergeurs pour rendre des services de sécurité et de haute disponibilité accessibles au plus grand nombre. Bonne soirée Matthieu. Sent from my iPhone On 14 oct. 2013, at 21:15, Jérémy Martin li...@freeheberg.com wrote: Comme je l'explique en privé, c'est clairement trop cherpour notre bourse. Attention, je ne dénigre pas, c'est une super bécane bien huilée qui fonctionne et fait son taf, avec des barbu qui répondent au téléphone derrière. Mais quand tu as la possibilité d'avoir un opérateur Tier-2 comme Cogent qui te dit ok, je t'amène les tuyaux que tu veux pour t'aider à ma manière), je dis que ma solution fonctionne pour les besoins que j'en ai. Et ça m'évite de facturer une solution qui me parait normal d'inclure de base dans mes tarifs. A chacun son budget comme on dit. Mais à la vue des attaques qu'on peut voir de nos jours, il est clairement irréaliste de demander à 95 % des AS français de mettre 1 an (ou plus) de CA dans un boitier de mitigation fait pour ça. Après, ça plait, ça ne plait pas. On est sur une mailing d'échange. J'ai un truc qui marche pas trop mal, je le partage, et à ma connaissance, ça a aidé pas mal de barbus. Cordialement, Jérémy Martin Le 14/10/2013 21:08, Guillaume Barrot a écrit : Faudra m'expliquer avec des mots simples en quoi une solution de type UTM peut empecher un tuyau de se remplir jusqu'à étouffement du trafic ... Arbor est hors de prix? Soit, mais en même temps c'est justement une solution opérateur qui se place en amont. Acheter de l'Arbor quand on ne maitrise pas le backbone jusqu'aux IX ... oui. Y a des moyens plus simples de bruler des billets, mais pourquoi pas. 120k, divisé par le nombre de mecs que tu proteges = une offre commerciale... Bref, Arbor et UTM, c'est aussi comparable que switchs et bottes de poireaux. Si tu as des contentieux avec Arbor, attention à ne pas dénigrer publiquement en plus... Le 14 octobre 2013 20:38, Jérémy Martin li...@freeheberg.com a écrit : Bonsoir, Arbor est hors de prix. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 14 oct. 2013 à 23:22, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Argument valable pour un truc que tu peux monter en ligne de code sur un Pc du coin. Exemple : Apache. Pas de soucis une communauté saura se former pour maintenir ta solution et le bricolage du début deviendra le standard libre et tout le monde sera content. Mais dans cette logique on oublie toujours qu'aussi beau que soit un projet comme Apache (par exemple) il continue à tourner sur du prof Intel, de la Ram Samsung et du disque Seagate. L'ingénieur malin à ses limites : il est obligé d'acheter du matos. Ou plutôt l'ingénieur très malin qui arrivera à sortir le cpu pour tous à photograver dans son garage n'est pas encore arrivé. Donc en attendant on acheté le hardware. Sauf que quand ce hardware c'est du FPGA ou de l'Asic c'est pas un guss dans son garage qui va pouvoir le fabriquer. Tout du moins pas encore. Donc en attendant, oui on a de la solution commerciale et on peut difficilement s'en passer. On peut tous espérer que dans dix ans, on aura tous de l'anti Ddos à base de packet dam over Tilera mais pour le moment, y a pas. On se demande ce qu'attende nos brillants pontes du libre pour en faire des projets de labo ... Ah ben oui : du budget. Pour se lancer la dedans, faut du budget. Arbor avant d'être un produit hors de prix c'était un projet de deux guss dans une Fac Américaine. Après ils ont eu des investisseurs, du budget et c'est devenu un produit. Les salopards ils ont même pas bosses pour la gloire, et en monstre capitalistes, ils ont voulu toucher des thunes pour avoir eu une idée. S'il était mort Stallman ferait la toupie sous terraine. La seule boîte qui a (à ma connaissance) bossé sur une solution maison digne de ce nom, c'est OVH avec Tilera. Faut voir le budget que met OVH dans la RD, tout le monde ne peut pas se le permettre ... Maintenant si tu connais un ingénieur qui code du snortlike en développant des FPGA de l'autre main, et qui a réussit à contredire le 3ème principe de la thermodynamique avec une solution qui remonte le cours du paquet pour arrêter le DDOS avant qu'il rentre dans les tuyaux, un conseil : met le sous verre… C'est ce qu'on essaye de faire :-) même en étant des nullards d'universitaire :-). HaiyangJiang, GaogangXie, Kavé Salamatian and Laurent Mathy. Scalable High-Performance Parallel Design for Network Intrusion Detection Systems on Many-Core Processors. the Nineth ACM/IEEE Symposium on Architectures for Networking and Communications Systems(ANCS), Hyatt Place, San Jose, USA , 2013, Kavé Salamatian Le lundi 14 octobre 2013, Kavé Salamatian a écrit : Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Kavé Salamatian (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Oct 14, 2013, at 10:57 PM, Raphael Maunier raph...@maunier.net wrote: Mais sauf erreur de ma part, tu n'as jamais eu à opérer un backbone avec plusieurs centaines de giga. Tu es resté trop longtemps en université avec de la RD ou te la validation théorique. Seul toi a la science infuse, et tout les autres sont des cons. t'en as pas marre de passer ton temps a réduire les autres au silence sous prétexte que seul toi a la vérité, parce que tu aurais managé des tas de gros réseaux, et que les autres non ? c'est pas la modestie qui de bouffe... signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 10/14/13 10:44 PM, Kavé Salamatian a écrit : La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. C'est assez triste de voir 2 extrêmes s'affronter sans nuance. OK les solutions commerciales sont parfois scandaleuses (les load balancers sont le premier exemple qui me vient en tête avant un certain volume et certaines fonctionnalités), mais il faut arrêter aussi de croire qu'avec un Linux/BSD on peut atteindre les niveaux de traitement d'une solution pure hardware. Déjà il faut bien séparer une solution hardware basée sur une architecture PC rebrandée et une vraie archi hardware avec ses processeurs spécialisés, ses puces dédiées, etc. Aussi les serveurs actuels sont parfois assez puissants pour faire des choses, parfois les gens documentent mieux que le petit ingénieur surdoué et permettent un suivi, mais il faut l'admettre, pour certaines fonctions les solutions hardware tiennent bien mieux. Quand on parle d'attaques, on parle en général de flux dont l'objectif est d'atteindre une saturation (de tuyaux, de connexions, de slots du services, ...). Dans ce cas avec la multitudes de sources et de flux, il est logique de voir des solutions matérielles plus adaptées à ce type de traitement. On peut discuter du support, on peut discuter de la fiabilité, on peut discuter de la capacité à régler soi même des problèmes sans être dépendant d'un support trop long à se bouger aussi en contreparite. Mais limiter le débât à C'est juste pour dire qu'on a la plus grosse qui coûte cher pour rassurer le client VS C'est de la bidouille de geek dans son coin inmaintenable, c'est vraiment noyer tout argumentaire constructif selon moi. Pour moi le problème c'est surtout de savoir à partir de quel volume une solution n'est plus adaptée et peser le pour et le contre en fonction du nombre de personnes pour s'en occuper versus le budget d'une solution toute faite avec support. Et également de calculer le risque en cas de problème et l'impact sur la santé financière de la société. Quand je vois quelqu'un parler de suicide dans un titre de sujet sur le FRnOG parce qu'il n'a aucune solution pour se protéger, ça me donne l'impression d'un mec qui n'a aucune assurance et qui voit sa boutique bruler, avec juste un verre d'eau à la main pour l'éteindre sans jamais s'être posé la question avant. Pour finir quand on a des clients derrière sa solution, on n'a pas le droit à l'erreur. Si on se plante et qu'on a fait le truc soi même, on se fait torpiller par ses clients. Quand on a un constructeur derrière, on gagne une certaine crédibilité et on n'est moins coupable si la solution est connue/réputée (ça n'empêche pas qu'il y a des gens très doués pour ne pas savoir les implémenter parfois). Alors faire joujou c'est sympa, mais faut être sûr de maitriser tous les cas, de tenir les pics et de pouvoir assumer face à ses clients. Bref, le débat est nuancé par l'activité à protéger, par l'impact, par l'équipe derrière la gestion de l'infra et par ce qu'on veut faire de sa boîte. Claquer des gros chèques chez un constructeur ça fonctionne souvent, ça ne sert à rien parfois aussi. Chercher à réinventer la roue quand on peut s'appuyer sur des fournisseurs/partenaires qui savent mieux le faire (techniquement ou financièrement), ça n'est pas forcément intelligent non plus. Bien s'entourer mène souvent bien plus loin qu'être intelligent tout seul. Pour autant l'argent n'est pas forcément gage de qualité. My 2 cents, Frederic --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
+1 C'est aussi mon propos. Kavé Le 14 oct. 2013 à 23:32, Frederic Dhieux frede...@syn.fr a écrit : Le 10/14/13 10:44 PM, Kavé Salamatian a écrit : La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. C'est assez triste de voir 2 extrêmes s'affronter sans nuance. OK les solutions commerciales sont parfois scandaleuses (les load balancers sont le premier exemple qui me vient en tête avant un certain volume et certaines fonctionnalités), mais il faut arrêter aussi de croire qu'avec un Linux/BSD on peut atteindre les niveaux de traitement d'une solution pure hardware. Déjà il faut bien séparer une solution hardware basée sur une architecture PC rebrandée et une vraie archi hardware avec ses processeurs spécialisés, ses puces dédiées, etc. Aussi les serveurs actuels sont parfois assez puissants pour faire des choses, parfois les gens documentent mieux que le petit ingénieur surdoué et permettent un suivi, mais il faut l'admettre, pour certaines fonctions les solutions hardware tiennent bien mieux. Quand on parle d'attaques, on parle en général de flux dont l'objectif est d'atteindre une saturation (de tuyaux, de connexions, de slots du services, ...). Dans ce cas avec la multitudes de sources et de flux, il est logique de voir des solutions matérielles plus adaptées à ce type de traitement. On peut discuter du support, on peut discuter de la fiabilité, on peut discuter de la capacité à régler soi même des problèmes sans être dépendant d'un support trop long à se bouger aussi en contreparite. Mais limiter le débât à C'est juste pour dire qu'on a la plus grosse qui coûte cher pour rassurer le client VS C'est de la bidouille de geek dans son coin inmaintenable, c'est vraiment noyer tout argumentaire constructif selon moi. Pour moi le problème c'est surtout de savoir à partir de quel volume une solution n'est plus adaptée et peser le pour et le contre en fonction du nombre de personnes pour s'en occuper versus le budget d'une solution toute faite avec support. Et également de calculer le risque en cas de problème et l'impact sur la santé financière de la société. Quand je vois quelqu'un parler de suicide dans un titre de sujet sur le FRnOG parce qu'il n'a aucune solution pour se protéger, ça me donne l'impression d'un mec qui n'a aucune assurance et qui voit sa boutique bruler, avec juste un verre d'eau à la main pour l'éteindre sans jamais s'être posé la question avant. Pour finir quand on a des clients derrière sa solution, on n'a pas le droit à l'erreur. Si on se plante et qu'on a fait le truc soi même, on se fait torpiller par ses clients. Quand on a un constructeur derrière, on gagne une certaine crédibilité et on n'est moins coupable si la solution est connue/réputée (ça n'empêche pas qu'il y a des gens très doués pour ne pas savoir les implémenter parfois). Alors faire joujou c'est sympa, mais faut être sûr de maitriser tous les cas, de tenir les pics et de pouvoir assumer face à ses clients. Bref, le débat est nuancé par l'activité à protéger, par l'impact, par l'équipe derrière la gestion de l'infra et par ce qu'on veut faire de sa boîte. Claquer des gros chèques chez un constructeur ça fonctionne souvent, ça ne sert à rien parfois aussi. Chercher à réinventer la roue quand on peut s'appuyer sur des fournisseurs/partenaires qui savent mieux le faire (techniquement ou financièrement), ça n'est pas forcément intelligent non plus. Bien s'entourer mène souvent bien plus loin qu'être intelligent tout seul. Pour autant l'argent n'est pas forcément gage de qualité. My 2 cents, Frederic --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Intention louable, mais comme Saint Thomas, je ne vois que ce que je vois tourner en lab. Si ça scalle le N x 10G sur du cpu du marché et que c'est déployable sans avoir à maintenir une équipe de 20 devops dans la boîte, la je serai vraiment surpris. Maintenant si ça marche, mea culpa, lancez votre startup, on sera tous très heureux d'être les premiers actionnaires, je pense. Le lundi 14 octobre 2013, Kavé Salamatian a écrit : Le 14 oct. 2013 à 23:22, Guillaume Barrot guillaume.bar...@gmail.comjavascript:_e({}, 'cvml', 'guillaume.bar...@gmail.com'); a écrit : Argument valable pour un truc que tu peux monter en ligne de code sur un Pc du coin. Exemple : Apache. Pas de soucis une communauté saura se former pour maintenir ta solution et le bricolage du début deviendra le standard libre et tout le monde sera content. Mais dans cette logique on oublie toujours qu'aussi beau que soit un projet comme Apache (par exemple) il continue à tourner sur du prof Intel, de la Ram Samsung et du disque Seagate. L'ingénieur malin à ses limites : il est obligé d'acheter du matos. Ou plutôt l'ingénieur très malin qui arrivera à sortir le cpu pour tous à photograver dans son garage n'est pas encore arrivé. Donc en attendant on acheté le hardware. Sauf que quand ce hardware c'est du FPGA ou de l'Asic c'est pas un guss dans son garage qui va pouvoir le fabriquer. Tout du moins pas encore. Donc en attendant, oui on a de la solution commerciale et on peut difficilement s'en passer. On peut tous espérer que dans dix ans, on aura tous de l'anti Ddos à base de packet dam over Tilera mais pour le moment, y a pas. On se demande ce qu'attende nos brillants pontes du libre pour en faire des projets de labo ... Ah ben oui : du budget. Pour se lancer la dedans, faut du budget. Arbor avant d'être un produit hors de prix c'était un projet de deux guss dans une Fac Américaine. Après ils ont eu des investisseurs, du budget et c'est devenu un produit. Les salopards ils ont même pas bosses pour la gloire, et en monstre capitalistes, ils ont voulu toucher des thunes pour avoir eu une idée. S'il était mort Stallman ferait la toupie sous terraine. La seule boîte qui a (à ma connaissance) bossé sur une solution maison digne de ce nom, c'est OVH avec Tilera. Faut voir le budget que met OVH dans la RD, tout le monde ne peut pas se le permettre ... Maintenant si tu connais un ingénieur qui code du snortlike en développant des FPGA de l'autre main, et qui a réussit à contredire le 3ème principe de la thermodynamique avec une solution qui remonte le cours du paquet pour arrêter le DDOS avant qu'il rentre dans les tuyaux, un conseil : met le sous verre… C'est ce qu'on essaye de faire :-) même en étant des nullards d'universitaire :-). HaiyangJiang, GaogangXie, Kavé Salamatian and Laurent Mathy. Scalable High-Performance Parallel Design for Network Intrusion Detection Systems on Many-Core Processors. the Nineth ACM/IEEE Symposium on Architectures for Networking and Communications Systems(ANCS), Hyatt Place, San Jose, USA , 2013, Kavé Salamatian Le lundi 14 octobre 2013, Kavé Salamatian a écrit : Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Kavé Salamatian (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT -- Cordialement, Guillaume BARROT
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Oct 14, 2013, at 11:21 PM, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Le 14 oct. 2013 à 22:57, Raphael Maunier raph...@maunier.net a écrit : Désolé Kavé, Mais sauf erreur de ma part, tu n'as jamais eu à opérer un backbone avec plusieurs centaines de giga. Tu es resté trop longtemps en université avec de la RD ou te la validation théorique. Même si c'est le cas, ceci ne réduit pas la portée de mon propos. Il y'a bien sur des cas de figure ou des solutions commerciales sont les meilleures et des cas où ce ne sont pas les meilleurs. Dans l'absolu il n'y a pas de solution commerciale qui sont bonne pour tout les scénarios. Le travail de l'ingénieur consiste à évaluer en fonction de son scénario quelle est la solution la meilleure. Solution commerciale, ou faite maison. Je constate juste que dans mon activité (je fais aussi du consulting), le nombre de cas ou je vois personnes acheter une marque plutôt qu'une solution à leur problème est tout simplement effarant. Qui n'a pas vu un DSI rouge de plaisir montrer son routeur pro à 10 K€ qui connecte un lien de sortie de 2 Mbps avec trois entrées ethernet (ou scénario semblable), alors qu'il aurait pris une des machines de bureautique qui aurait très bien fait l'affaire On parle d'opérateurs / d'hebergeurs dans ce cas bien précis. On parle d'Internet ( Jeremy parlait de sa solution supportant 30gig ) Un DSI, dans les grands groupe, ça lit décision réseau et micro et ça fait ses achats en fonction du meilleur déjeuner qu'il a fait avec son fournisseur préféré. Ce n'est pas représentatif de notre métier. Je fais également du consulting, je ne fais que ça d'ailleurs, et bien sur j'ai vu des clients acheter des équipements hors de prix pour faire la même chose que tu es en mesure de faire avec un HA-PROXY bien configuré, parce que le package global était très intéressant. Il arrivait pas à mettre en prod ses supers boitiers, du coup, pour temporiser en qq heures j'ai installé un HA proxy et c'était en prod pendant 3 semaines. Il y a eu un incident une nuit ( 3h du mat ) , et kiki s'est fait contacter , alors qu'il y avait la doc et que les mecs en interne maitrisent 100 fois mieux des linux que moi ? Au final, j'ai assisté la mise en prod de ces superbes boitiers ( que je n'avais jamais vu auparavant ) , et depuis ça juste marche la redondance fonctionne parfaitement et surtout, pas de soucis entre les mecs du système et les mecs du réseau. Dans la vrai vie d'Internet, il faut aussi prendre cette partie la en considération ! Dans la vrai vie, celle qui fait vraiment tourner Internet, tu ne peux pas mettre en péril ton backbone, juste pour faire mumuse avec la solution brillante de l'ingénieur. Bas non un vrai ingénieur ne fait jamais mumuse, mais il se fait pas aussi rouler dans la farine par un commercial qui lui vend la solution du siècle. L'ingénieur brillant est l'ingénieur qui est capable de dépenser 100 k€ pour répondre à son besoin (ou au besoin de son entreprise) car il n'y a pas de solution moins cher qui répondrait à toutes les contraintes doit celle que tu décrit, mais qui est aussi capable d'implanter la solution à 500 € qui répond au besoin sans penser que cela réduira mon importance dans la boite (car fréquemment c'est le volume de fric que tu gaspille qui défini ton importance dans la boite). Ce n'est pas le prix d'une solution qui valide sa qualité technique. j'ai un peu l'impression qu'on a oublié dans la profession qu'on fait un boulot d'ingénieur, pas de chargé d'achat de matériel informatique. Tu dois confondre entre l'ingénierie et la direction technique. L'ingénierie teste et valide les solutions des constructeurs ou opensource, et s'il y a le budget pour libérer du temps humain, des solutions interne et assume également la fonction de RD Le bricolage, c'est le fait de devoir passer 40 nuits pour upgrader ton soft qui est maintenu par 1 personne. Ce brillant ingénieur s'il se casse du jour au lendemain ( il gagne au loto, il déménage en Alaska ou xyz ), tu fais comment ? Il arrêter de dire et de faire croire que parce ce que c'est ouvert c'est simple et qu'il n'y a pas de soucis pour faire reprendre sa maintenance par les 40 000 ingénieurs dispo. C'est un leurre ! Et pas croire par ce que c'est du Juniper ou du Cisco ou parce que ça coute la peau des fesses que c'est la réponse au problème. Ca aussi c'est un leurre. La réalité c'est qu'il faut bosser et qu'aucun problème n'est facile à résoudre. Alors, un ddos de plusieurs 10aine de giga envoyé vers un Juniper, tu le bloques en 30 sec avec de simple filtres sur les interfaces externe. C'est traité en HW, c'est supporté, et les qq routeurs que j'administre ( entre 10 à 150 G ) il n'y a pas de boitiers de protection arbor, juste des junipers bien configurés. Je veux bien voir 100G avec des PC du Bird ... Pour ce qui l'ont fait tourner , pas juste
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Bonsoir Jeremy, J'ai fait tourner mon réseau avec des solutions open source pendant des années, et on peut des fois s'en sortir sans un boitier hors de prix, je l'ai fait, tu l'as fait et d'autres aussi. je suis content que tu ai réussi a t'en sortir dans ton cas spécifique sans lâcher un zillion d'euros, cela prouve qu'en étant intelligent et compétent on peut faire des choses, et c'est toute la beauté du métier d’ingénieur. Ce qui me gène beaucoup dans ton discours, c'est que tu fais de ton cas particulier un cas général. Je pourrais te citer pleins de cas ou ta solution (que j'ai bien écoutée lors du dernier Frnog) ne sera pas efficace la ou un boitier Arbor/Corero/Radware/XXX le sera. Dire ou sous entendre qu'on peut s'en sortir dans tous les cas avec une solution maison (la tienne ou une autre) est totalement faux. Dans la vraie vie, on a pas le droit de couper 3 jours le temps d’écrire un truc, dans la vraie vie si l'attaquant est motivé il attaque de pleins de façons différentes, et le cout d'une attaque réussie peut vite couter plus cher que le prix d'une appliance amortie sur 3 ans (120K/36mois cela ne fait que €/mois). Cordialement, Salim Le 14/10/2013 21:13, Jérémy Martin a écrit : Comme je l'explique en privé, c'est clairement trop cherpour notre bourse. Attention, je ne dénigre pas, c'est une super bécane bien huilée qui fonctionne et fait son taf, avec des barbu qui répondent au téléphone derrière. Mais quand tu as la possibilité d'avoir un opérateur Tier-2 comme Cogent qui te dit ok, je t'amène les tuyaux que tu veux pour t'aider à ma manière), je dis que ma solution fonctionne pour les besoins que j'en ai. Et ça m'évite de facturer une solution qui me parait normal d'inclure de base dans mes tarifs. A chacun son budget comme on dit. Mais à la vue des attaques qu'on peut voir de nos jours, il est clairement irréaliste de demander à 95 % des AS français de mettre 1 an (ou plus) de CA dans un boitier de mitigation fait pour ça. Après, ça plait, ça ne plait pas. On est sur une mailing d'échange. J'ai un truc qui marche pas trop mal, je le partage, et à ma connaissance, ça a aidé pas mal de barbus. Cordialement, Jérémy Martin Le 14/10/2013 21:08, Guillaume Barrot a écrit : Faudra m'expliquer avec des mots simples en quoi une solution de type UTM peut empecher un tuyau de se remplir jusqu'à étouffement du trafic ... Arbor est hors de prix? Soit, mais en même temps c'est justement une solution opérateur qui se place en amont. Acheter de l'Arbor quand on ne maitrise pas le backbone jusqu'aux IX ... oui. Y a des moyens plus simples de bruler des billets, mais pourquoi pas. 120k, divisé par le nombre de mecs que tu proteges = une offre commerciale... Bref, Arbor et UTM, c'est aussi comparable que switchs et bottes de poireaux. Si tu as des contentieux avec Arbor, attention à ne pas dénigrer publiquement en plus... Le 14 octobre 2013 20:38, Jérémy Martin li...@freeheberg.com a écrit : Bonsoir, Arbor est hors de prix. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi --
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 14/10/2013 23:28, Kavé Salamatian a écrit : Le 14 oct. 2013 à 23:22, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Argument valable pour un truc que tu peux monter en ligne de code sur un Pc du coin. Exemple : Apache. Pas de soucis une communauté saura se former pour maintenir ta solution et le bricolage du début deviendra le standard libre et tout le monde sera content. Mais dans cette logique on oublie toujours qu'aussi beau que soit un projet comme Apache (par exemple) il continue à tourner sur du prof Intel, de la Ram Samsung et du disque Seagate. L'ingénieur malin à ses limites : il est obligé d'acheter du matos. Ou plutôt l'ingénieur très malin qui arrivera à sortir le cpu pour tous à photograver dans son garage n'est pas encore arrivé. Donc en attendant on acheté le hardware. Sauf que quand ce hardware c'est du FPGA ou de l'Asic c'est pas un guss dans son garage qui va pouvoir le fabriquer. Tout du moins pas encore. Donc en attendant, oui on a de la solution commerciale et on peut difficilement s'en passer. On peut tous espérer que dans dix ans, on aura tous de l'anti Ddos à base de packet dam over Tilera mais pour le moment, y a pas. On se demande ce qu'attende nos brillants pontes du libre pour en faire des projets de labo ... Ah ben oui : du budget. Pour se lancer la dedans, faut du budget. Arbor avant d'être un produit hors de prix c'était un projet de deux guss dans une Fac Américaine. Après ils ont eu des investisseurs, du budget et c'est devenu un produit. Les salopards ils ont même pas bosses pour la gloire, et en monstre capitalistes, ils ont voulu toucher des thunes pour avoir eu une idée. S'il était mort Stallman ferait la toupie sous terraine. La seule boîte qui a (à ma connaissance) bossé sur une solution maison digne de ce nom, c'est OVH avec Tilera. Faut voir le budget que met OVH dans la RD, tout le monde ne peut pas se le permettre ... Maintenant si tu connais un ingénieur qui code du snortlike en développant des FPGA de l'autre main, et qui a réussit à contredire le 3ème principe de la thermodynamique avec une solution qui remonte le cours du paquet pour arrêter le DDOS avant qu'il rentre dans les tuyaux, un conseil : met le sous verre… C'est ce qu'on essaye de faire :-) même en étant des nullards d'universitaire :-). HaiyangJiang, GaogangXie, Kavé Salamatian and Laurent Mathy. Scalable High-Performance Parallel Design for Network Intrusion Detection Systems on Many-Core Processors. the Nineth ACM/IEEE Symposium on Architectures for Networking and Communications Systems(ANCS), Hyatt Place, San Jose, USA , 2013,* OK. Care to share details to list? Cheers, mh Kavé Salamatian Le lundi 14 octobre 2013, Kavé Salamatian a écrit : Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Kavé Salamatian (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On appelle cela l'expérience, un jour peut-être , tu comprendras. Raphael On Oct 14, 2013, at 11:28 PM, Raphael Jacquot sxp...@sxpert.org wrote: On Oct 14, 2013, at 10:57 PM, Raphael Maunier raph...@maunier.net wrote: Mais sauf erreur de ma part, tu n'as jamais eu à opérer un backbone avec plusieurs centaines de giga. Tu es resté trop longtemps en université avec de la RD ou te la validation théorique. Seul toi a la science infuse, et tout les autres sont des cons. t'en as pas marre de passer ton temps a réduire les autres au silence sous prétexte que seul toi a la vérité, parce que tu aurais managé des tas de gros réseaux, et que les autres non ? c'est pas la modestie qui de bouffe... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 14 oct. 2013 à 23:37, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Intention louable, mais comme Saint Thomas, je ne vois que ce que je vois tourner en lab. Si ça scalle le N x 10G sur du cpu du marché et que c'est déployable sans avoir à maintenir une équipe de 20 devops dans la boîte, la je serai vraiment surpris. C'est du Tilera. on fait du 15 Gbps en snortlike avec 2000 rules avec un proc Tilera. Ca scale jusqu'à 30 Gbps sur carte 2 Proc Tilera. Pas assez de budget pour acheter deux cartes 2 proc pour tester si ça va jusqu'à 60 Gbps. Maintenant si ça marche, mea culpa, lancez votre startup, on sera tous très heureux d'être les premiers actionnaires, je pense. Pas le temps. Je préfère rester pauvre et universitaire :-). Mais rien n'empêche les thésards de le faire. Kavé Le lundi 14 octobre 2013, Kavé Salamatian a écrit : Le 14 oct. 2013 à 23:22, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Argument valable pour un truc que tu peux monter en ligne de code sur un Pc du coin. Exemple : Apache. Pas de soucis une communauté saura se former pour maintenir ta solution et le bricolage du début deviendra le standard libre et tout le monde sera content. Mais dans cette logique on oublie toujours qu'aussi beau que soit un projet comme Apache (par exemple) il continue à tourner sur du prof Intel, de la Ram Samsung et du disque Seagate. L'ingénieur malin à ses limites : il est obligé d'acheter du matos. Ou plutôt l'ingénieur très malin qui arrivera à sortir le cpu pour tous à photograver dans son garage n'est pas encore arrivé. Donc en attendant on acheté le hardware. Sauf que quand ce hardware c'est du FPGA ou de l'Asic c'est pas un guss dans son garage qui va pouvoir le fabriquer. Tout du moins pas encore. Donc en attendant, oui on a de la solution commerciale et on peut difficilement s'en passer. On peut tous espérer que dans dix ans, on aura tous de l'anti Ddos à base de packet dam over Tilera mais pour le moment, y a pas. On se demande ce qu'attende nos brillants pontes du libre pour en faire des projets de labo ... Ah ben oui : du budget. Pour se lancer la dedans, faut du budget. Arbor avant d'être un produit hors de prix c'était un projet de deux guss dans une Fac Américaine. Après ils ont eu des investisseurs, du budget et c'est devenu un produit. Les salopards ils ont même pas bosses pour la gloire, et en monstre capitalistes, ils ont voulu toucher des thunes pour avoir eu une idée. S'il était mort Stallman ferait la toupie sous terraine. La seule boîte qui a (à ma connaissance) bossé sur une solution maison digne de ce nom, c'est OVH avec Tilera. Faut voir le budget que met OVH dans la RD, tout le monde ne peut pas se le permettre ... Maintenant si tu connais un ingénieur qui code du snortlike en développant des FPGA de l'autre main, et qui a réussit à contredire le 3ème principe de la thermodynamique avec une solution qui remonte le cours du paquet pour arrêter le DDOS avant qu'il rentre dans les tuyaux, un conseil : met le sous verre… C'est ce qu'on essaye de faire :-) même en étant des nullards d'universitaire :-). HaiyangJiang, GaogangXie, Kavé Salamatian and Laurent Mathy. Scalable High-Performance Parallel Design for Network Intrusion Detection Systems on Many-Core Processors. the Nineth ACM/IEEE Symposium on Architectures for Networking and Communications Systems(ANCS), Hyatt Place, San Jose, USA , 2013, Kavé Salamatian Le lundi 14 octobre 2013, Kavé Salamatian a écrit : Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Kavé Salamatian (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Je peux pas balancer papier sur la liste. Si des personnes intéressées qu'il me contactent. Kavé Le 14 oct. 2013 à 23:39, Michael Hallgren m.hallg...@free.fr a écrit : Le 14/10/2013 23:28, Kavé Salamatian a écrit : Le 14 oct. 2013 à 23:22, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Argument valable pour un truc que tu peux monter en ligne de code sur un Pc du coin. Exemple : Apache. Pas de soucis une communauté saura se former pour maintenir ta solution et le bricolage du début deviendra le standard libre et tout le monde sera content. Mais dans cette logique on oublie toujours qu'aussi beau que soit un projet comme Apache (par exemple) il continue à tourner sur du prof Intel, de la Ram Samsung et du disque Seagate. L'ingénieur malin à ses limites : il est obligé d'acheter du matos. Ou plutôt l'ingénieur très malin qui arrivera à sortir le cpu pour tous à photograver dans son garage n'est pas encore arrivé. Donc en attendant on acheté le hardware. Sauf que quand ce hardware c'est du FPGA ou de l'Asic c'est pas un guss dans son garage qui va pouvoir le fabriquer. Tout du moins pas encore. Donc en attendant, oui on a de la solution commerciale et on peut difficilement s'en passer. On peut tous espérer que dans dix ans, on aura tous de l'anti Ddos à base de packet dam over Tilera mais pour le moment, y a pas. On se demande ce qu'attende nos brillants pontes du libre pour en faire des projets de labo ... Ah ben oui : du budget. Pour se lancer la dedans, faut du budget. Arbor avant d'être un produit hors de prix c'était un projet de deux guss dans une Fac Américaine. Après ils ont eu des investisseurs, du budget et c'est devenu un produit. Les salopards ils ont même pas bosses pour la gloire, et en monstre capitalistes, ils ont voulu toucher des thunes pour avoir eu une idée. S'il était mort Stallman ferait la toupie sous terraine. La seule boîte qui a (à ma connaissance) bossé sur une solution maison digne de ce nom, c'est OVH avec Tilera. Faut voir le budget que met OVH dans la RD, tout le monde ne peut pas se le permettre ... Maintenant si tu connais un ingénieur qui code du snortlike en développant des FPGA de l'autre main, et qui a réussit à contredire le 3ème principe de la thermodynamique avec une solution qui remonte le cours du paquet pour arrêter le DDOS avant qu'il rentre dans les tuyaux, un conseil : met le sous verre… C'est ce qu'on essaye de faire :-) même en étant des nullards d'universitaire :-). HaiyangJiang, GaogangXie, Kavé Salamatian and Laurent Mathy. Scalable High-Performance Parallel Design for Network Intrusion Detection Systems on Many-Core Processors. the Nineth ACM/IEEE Symposium on Architectures for Networking and Communications Systems(ANCS), Hyatt Place, San Jose, USA , 2013,* OK. Care to share details to list? Cheers, mh Kavé Salamatian Le lundi 14 octobre 2013, Kavé Salamatian a écrit : Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Kavé Salamatian (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Bonsoir, DDOS oui mais de quoi parlons nous ? Syn flood est un DDOS et un FPGA peut le contrer .. Slow loris est un DDOS et il faut une CPU (je crois).. Tout cela pour dire qu'en fonction des tuyaux (taille) et des fonctions DDOS que l'on veut mettre en oeuvre, la solution PC open Source peut être valide et pour certain cas l'assistance d'un hardware est indispensable. Donc il n'y a pas de solution miracle. Que le client exprime correctement ses besoins et les ingénieurs pourront proposer des solutions Mes 2 cents. Cordialement Fabien Le 14 oct. 2013 à 23:36, Kavé Salamatian kave.salamat...@univ-savoie.fr a écrit : +1 C'est aussi mon propos. Kavé Le 14 oct. 2013 à 23:32, Frederic Dhieux frede...@syn.fr a écrit : Le 10/14/13 10:44 PM, Kavé Salamatian a écrit : La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. C'est assez triste de voir 2 extrêmes s'affronter sans nuance. OK les solutions commerciales sont parfois scandaleuses (les load balancers sont le premier exemple qui me vient en tête avant un certain volume et certaines fonctionnalités), mais il faut arrêter aussi de croire qu'avec un Linux/BSD on peut atteindre les niveaux de traitement d'une solution pure hardware. Déjà il faut bien séparer une solution hardware basée sur une architecture PC rebrandée et une vraie archi hardware avec ses processeurs spécialisés, ses puces dédiées, etc. Aussi les serveurs actuels sont parfois assez puissants pour faire des choses, parfois les gens documentent mieux que le petit ingénieur surdoué et permettent un suivi, mais il faut l'admettre, pour certaines fonctions les solutions hardware tiennent bien mieux. Quand on parle d'attaques, on parle en général de flux dont l'objectif est d'atteindre une saturation (de tuyaux, de connexions, de slots du services, ...). Dans ce cas avec la multitudes de sources et de flux, il est logique de voir des solutions matérielles plus adaptées à ce type de traitement. On peut discuter du support, on peut discuter de la fiabilité, on peut discuter de la capacité à régler soi même des problèmes sans être dépendant d'un support trop long à se bouger aussi en contreparite. Mais limiter le débât à C'est juste pour dire qu'on a la plus grosse qui coûte cher pour rassurer le client VS C'est de la bidouille de geek dans son coin inmaintenable, c'est vraiment noyer tout argumentaire constructif selon moi. Pour moi le problème c'est surtout de savoir à partir de quel volume une solution n'est plus adaptée et peser le pour et le contre en fonction du nombre de personnes pour s'en occuper versus le budget d'une solution toute faite avec support. Et également de calculer le risque en cas de problème et l'impact sur la santé financière de la société. Quand je vois quelqu'un parler de suicide dans un titre de sujet sur le FRnOG parce qu'il n'a aucune solution pour se protéger, ça me donne l'impression d'un mec qui n'a aucune assurance et qui voit sa boutique bruler, avec juste un verre d'eau à la main pour l'éteindre sans jamais s'être posé la question avant. Pour finir quand on a des clients derrière sa solution, on n'a pas le droit à l'erreur. Si on se plante et qu'on a fait le truc soi même, on se fait torpiller par ses clients. Quand on a un constructeur derrière, on gagne une certaine crédibilité et on n'est moins coupable si la solution est connue/réputée (ça n'empêche pas qu'il y a des gens très doués pour ne pas savoir les implémenter parfois). Alors faire joujou c'est sympa, mais faut être sûr de maitriser tous les cas, de tenir les pics et de pouvoir assumer face à ses clients. Bref, le débat est nuancé par l'activité à protéger, par l'impact, par l'équipe derrière la gestion de l'infra et par ce qu'on veut faire de sa boîte. Claquer des gros chèques chez un constructeur ça fonctionne souvent, ça ne sert à rien parfois aussi. Chercher à réinventer la roue quand on peut s'appuyer sur des fournisseurs/partenaires qui savent mieux le faire (techniquement ou financièrement), ça n'est pas forcément intelligent non plus. Bien s'entourer mène souvent bien plus loin qu'être intelligent tout seul. Pour autant l'argent n'est pas forcément gage de qualité. My 2 cents, Frederic --- Liste de
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Salim, Attention, loin de moi l'idée de vouloir imposer quoi que ce soit, je suis là en simple présentateur. Je dis voilà, je sais faire ça pour ce type d'attaques, et c'était le but de ma présentation. Si tu comprends autre chose, j'en suis désolé. Et attention, je ne travaille pas en opensource, uniquement en hardware, et en l’occurrence sur du Brocade. Ma solution a ses propres contraintes et limites, comme par exemple les attaques applicatives qu'on est obligé de gérer derrière. Et par ailleurs, j'apprécie la réponse de Matthieu (Arbor) qui est celle que j'ai eu lors de nos échanges avec eux. Ils s'adaptent effectivement à notre problématique et à notre budget. Le devis qui est sur mon bureau en témoigne. Le reste, ça se joue entre la banque et moi. Mais relativisons tout de même, je n'héberge pas 140 000 serveurs, juste 600 ! Bref, wait see, et merci pour ces échanges parfois très instructifs et constructifs. Bonne nuit. Cordialement, Jérémy Martin Le 14/10/2013 23:38, Salim Gasmi a écrit : Bonsoir Jeremy, J'ai fait tourner mon réseau avec des solutions open source pendant des années, et on peut des fois s'en sortir sans un boitier hors de prix, je l'ai fait, tu l'as fait et d'autres aussi. je suis content que tu ai réussi a t'en sortir dans ton cas spécifique sans lâcher un zillion d'euros, cela prouve qu'en étant intelligent et compétent on peut faire des choses, et c'est toute la beauté du métier d’ingénieur. Ce qui me gène beaucoup dans ton discours, c'est que tu fais de ton cas particulier un cas général. Je pourrais te citer pleins de cas ou ta solution (que j'ai bien écoutée lors du dernier Frnog) ne sera pas efficace la ou un boitier Arbor/Corero/Radware/XXX le sera. Dire ou sous entendre qu'on peut s'en sortir dans tous les cas avec une solution maison (la tienne ou une autre) est totalement faux. Dans la vraie vie, on a pas le droit de couper 3 jours le temps d’écrire un truc, dans la vraie vie si l'attaquant est motivé il attaque de pleins de façons différentes, et le cout d'une attaque réussie peut vite couter plus cher que le prix d'une appliance amortie sur 3 ans (120K/36mois cela ne fait que €/mois). Cordialement, Salim Le 14/10/2013 21:13, Jérémy Martin a écrit : Comme je l'explique en privé, c'est clairement trop cherpour notre bourse. Attention, je ne dénigre pas, c'est une super bécane bien huilée qui fonctionne et fait son taf, avec des barbu qui répondent au téléphone derrière. Mais quand tu as la possibilité d'avoir un opérateur Tier-2 comme Cogent qui te dit ok, je t'amène les tuyaux que tu veux pour t'aider à ma manière), je dis que ma solution fonctionne pour les besoins que j'en ai. Et ça m'évite de facturer une solution qui me parait normal d'inclure de base dans mes tarifs. A chacun son budget comme on dit. Mais à la vue des attaques qu'on peut voir de nos jours, il est clairement irréaliste de demander à 95 % des AS français de mettre 1 an (ou plus) de CA dans un boitier de mitigation fait pour ça. Après, ça plait, ça ne plait pas. On est sur une mailing d'échange. J'ai un truc qui marche pas trop mal, je le partage, et à ma connaissance, ça a aidé pas mal de barbus. Cordialement, Jérémy Martin Le 14/10/2013 21:08, Guillaume Barrot a écrit : Faudra m'expliquer avec des mots simples en quoi une solution de type UTM peut empecher un tuyau de se remplir jusqu'à étouffement du trafic ... Arbor est hors de prix? Soit, mais en même temps c'est justement une solution opérateur qui se place en amont. Acheter de l'Arbor quand on ne maitrise pas le backbone jusqu'aux IX ... oui. Y a des moyens plus simples de bruler des billets, mais pourquoi pas. 120k, divisé par le nombre de mecs que tu proteges = une offre commerciale... Bref, Arbor et UTM, c'est aussi comparable que switchs et bottes de poireaux. Si tu as des contentieux avec Arbor, attention à ne pas dénigrer publiquement en plus... Le 14 octobre 2013 20:38, Jérémy Martin li...@freeheberg.com a écrit : Bonsoir, Arbor est hors de prix. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail :
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On 14/10/2013 23:38, Raphael Maunier wrote: Je veux bien voir 100G avec des PC du Bird ... Bird, c'est surtout fait pour gérer une table de routage, faire des sessions BGP, du RA, du OSPF, du RIP etc Si tu veux faire du routage (router les paquets, au sens propre) sur un PC, regarde plutôt du côte de PacketShader. D'ailleurs, en parlant de PacketShader, si qqn a déjà fait des tests, ou s'il dispose d'un peu de temps, de motivation, et de quelque milliers d'euros, j'suis pas contre un retour d'expérience ! -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 14/10/2013 23:46, Kavé Salamatian a écrit : Je peux pas balancer papier sur la liste. Si des personnes intéressées qu'il me contactent. C'est fait : m...@xalto.net. Merci, avec plaisir. mh Kavé Le 14 oct. 2013 à 23:39, Michael Hallgren m.hallg...@free.fr a écrit : Le 14/10/2013 23:28, Kavé Salamatian a écrit : Le 14 oct. 2013 à 23:22, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Argument valable pour un truc que tu peux monter en ligne de code sur un Pc du coin. Exemple : Apache. Pas de soucis une communauté saura se former pour maintenir ta solution et le bricolage du début deviendra le standard libre et tout le monde sera content. Mais dans cette logique on oublie toujours qu'aussi beau que soit un projet comme Apache (par exemple) il continue à tourner sur du prof Intel, de la Ram Samsung et du disque Seagate. L'ingénieur malin à ses limites : il est obligé d'acheter du matos. Ou plutôt l'ingénieur très malin qui arrivera à sortir le cpu pour tous à photograver dans son garage n'est pas encore arrivé. Donc en attendant on acheté le hardware. Sauf que quand ce hardware c'est du FPGA ou de l'Asic c'est pas un guss dans son garage qui va pouvoir le fabriquer. Tout du moins pas encore. Donc en attendant, oui on a de la solution commerciale et on peut difficilement s'en passer. On peut tous espérer que dans dix ans, on aura tous de l'anti Ddos à base de packet dam over Tilera mais pour le moment, y a pas. On se demande ce qu'attende nos brillants pontes du libre pour en faire des projets de labo ... Ah ben oui : du budget. Pour se lancer la dedans, faut du budget. Arbor avant d'être un produit hors de prix c'était un projet de deux guss dans une Fac Américaine. Après ils ont eu des investisseurs, du budget et c'est devenu un produit. Les salopards ils ont même pas bosses pour la gloire, et en monstre capitalistes, ils ont voulu toucher des thunes pour avoir eu une idée. S'il était mort Stallman ferait la toupie sous terraine. La seule boîte qui a (à ma connaissance) bossé sur une solution maison digne de ce nom, c'est OVH avec Tilera. Faut voir le budget que met OVH dans la RD, tout le monde ne peut pas se le permettre ... Maintenant si tu connais un ingénieur qui code du snortlike en développant des FPGA de l'autre main, et qui a réussit à contredire le 3ème principe de la thermodynamique avec une solution qui remonte le cours du paquet pour arrêter le DDOS avant qu'il rentre dans les tuyaux, un conseil : met le sous verre… C'est ce qu'on essaye de faire :-) même en étant des nullards d'universitaire :-). HaiyangJiang, GaogangXie, Kavé Salamatian and Laurent Mathy. Scalable High-Performance Parallel Design for Network Intrusion Detection Systems on Many-Core Processors. the Nineth ACM/IEEE Symposium on Architectures for Networking and Communications Systems(ANCS), Hyatt Place, San Jose, USA , 2013,* OK. Care to share details to list? Cheers, mh Kavé Salamatian Le lundi 14 octobre 2013, Kavé Salamatian a écrit : Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Kavé Salamatian (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Oct 14, 2013, at 11:42 PM, Raphael Maunier raph...@maunier.net wrote: On appelle cela l'expérience, un jour peut-être , tu comprendras. Raphael non, on appelle ça prendre les autres pour des cons, avec un melon de la taille de la Géode , point barre. Raphaël signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Il faut juste comprendre que la méthode universitaire n'est pas du tout applicable dans notre monde. La méthode universitaire, ou tu passes 6 mois avant de commencer à valider un bout de solution qui sera en beta pendant 2 ans, ce n'est juste pas possible. C'est quoi la méthode universitaire. J'aimerai bien qu'on me l'apprenne :-). Peut être que Google n'est pas venu de Stanford ou Facebook de Harvard, ou la plupart des produits commerciaux ne sont pas issue à la base de travaux universitaire :-) Chacun a son utilité et ses objectifs. Il y'a de la complémentarité. Respectons nous les uns les autres. Une bonne ingénierie, c'est d'être a la pointe de l'innovation C'est ce qu'on demande aussi à un bon thésard et il y'en a. Kavé --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Ah bah, on va faire un truc simple Je vais voir avec les gens que je connais pour organiser un lab grandeur nature avec du ddos reel. Je vais trouver une salle, faire venir des constructeurs comme Juniper, Cisco, Fortinet and cie, trouver des serveurs pour faire la solution software. On met 2 ou 3 serveurs web et de jeux ( meme service derrière 2 as différents ) On balance un DDOS, avec du Ixia ( Breaking Point ) : - On sort les boitiers de la boites et on configure pour faire la mitigation. - On sort les serveurs de la boite et on fait l'installation. Ensuite on regardera le rapport pour comparer le downtime. Deuxième test : Tout est en place, et en regarde à combien ça tombe et surtout la qualité du service. Alors qui est intéressé ? Au moins on aura de vrai rapport et surtout un vrai élément de débat ! Raphael On Oct 14, 2013, at 11:32 PM, Frederic Dhieux frede...@syn.fr wrote: Le 10/14/13 10:44 PM, Kavé Salamatian a écrit : La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. C'est assez triste de voir 2 extrêmes s'affronter sans nuance. OK les solutions commerciales sont parfois scandaleuses (les load balancers sont le premier exemple qui me vient en tête avant un certain volume et certaines fonctionnalités), mais il faut arrêter aussi de croire qu'avec un Linux/BSD on peut atteindre les niveaux de traitement d'une solution pure hardware. Déjà il faut bien séparer une solution hardware basée sur une architecture PC rebrandée et une vraie archi hardware avec ses processeurs spécialisés, ses puces dédiées, etc. Aussi les serveurs actuels sont parfois assez puissants pour faire des choses, parfois les gens documentent mieux que le petit ingénieur surdoué et permettent un suivi, mais il faut l'admettre, pour certaines fonctions les solutions hardware tiennent bien mieux. Quand on parle d'attaques, on parle en général de flux dont l'objectif est d'atteindre une saturation (de tuyaux, de connexions, de slots du services, ...). Dans ce cas avec la multitudes de sources et de flux, il est logique de voir des solutions matérielles plus adaptées à ce type de traitement. On peut discuter du support, on peut discuter de la fiabilité, on peut discuter de la capacité à régler soi même des problèmes sans être dépendant d'un support trop long à se bouger aussi en contreparite. Mais limiter le débât à C'est juste pour dire qu'on a la plus grosse qui coûte cher pour rassurer le client VS C'est de la bidouille de geek dans son coin inmaintenable, c'est vraiment noyer tout argumentaire constructif selon moi. Pour moi le problème c'est surtout de savoir à partir de quel volume une solution n'est plus adaptée et peser le pour et le contre en fonction du nombre de personnes pour s'en occuper versus le budget d'une solution toute faite avec support. Et également de calculer le risque en cas de problème et l'impact sur la santé financière de la société. Quand je vois quelqu'un parler de suicide dans un titre de sujet sur le FRnOG parce qu'il n'a aucune solution pour se protéger, ça me donne l'impression d'un mec qui n'a aucune assurance et qui voit sa boutique bruler, avec juste un verre d'eau à la main pour l'éteindre sans jamais s'être posé la question avant. Pour finir quand on a des clients derrière sa solution, on n'a pas le droit à l'erreur. Si on se plante et qu'on a fait le truc soi même, on se fait torpiller par ses clients. Quand on a un constructeur derrière, on gagne une certaine crédibilité et on n'est moins coupable si la solution est connue/réputée (ça n'empêche pas qu'il y a des gens très doués pour ne pas savoir les implémenter parfois). Alors faire joujou c'est sympa, mais faut être sûr de maitriser tous les cas, de tenir les pics et de pouvoir assumer face à ses clients. Bref, le débat est nuancé par l'activité à protéger, par l'impact, par l'équipe derrière la gestion de l'infra et par ce qu'on veut faire de sa boîte. Claquer des gros chèques chez un constructeur ça fonctionne souvent, ça ne sert à rien parfois aussi. Chercher à réinventer la roue quand on peut s'appuyer sur des fournisseurs/partenaires qui savent mieux le faire (techniquement ou financièrement), ça n'est pas forcément intelligent non plus. Bien s'entourer mène souvent bien
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 14 oct. 2013 à 23:49, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 23:38, Raphael Maunier wrote: Je veux bien voir 100G avec des PC du Bird ... Bird, c'est surtout fait pour gérer une table de routage, faire des sessions BGP, du RA, du OSPF, du RIP etc Si tu veux faire du routage (router les paquets, au sens propre) sur un PC, regarde plutôt du côte de PacketShader. D'ailleurs, en parlant de PacketShader, si qqn a déjà fait des tests, ou s'il dispose d'un peu de temps, de motivation, et de quelque milliers d'euros, j'suis pas contre un retour d'expérience ! je connais bien packet shaker pour l'avoir implanté et connaitre perso les gens qui l'ont fait. Le problème principal de packet shader et que le délai est important (de l'ordre de la dizaine de msec). On atteint des perfs similaires avec du Tilera avec un conso d'énergie moindre (et même moins cher) avec en plus de la connectivité 10 G sur la carte. En fait la meilleur archi est une archi hybride Tilera+TCAM qui atteint des débits largement supérieur à packet shader. Quel retour d'expérience tu veux ? Kavé Salamatian -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Ce n'est pas ce qui se passait au CCC et dans d'autres endroits à l'époque ? Le Mon, 14 Oct 2013 23:59:13 +0200, Raphael Maunier raph...@maunier.net a écrit: Ah bah, on va faire un truc simple Je vais voir avec les gens que je connais pour organiser un lab grandeur nature avec du ddos reel. Je vais trouver une salle, faire venir des constructeurs comme Juniper, Cisco, Fortinet and cie, trouver des serveurs pour faire la solution software. On met 2 ou 3 serveurs web et de jeux ( meme service derrière 2 as différents ) On balance un DDOS, avec du Ixia ( Breaking Point ) : - On sort les boitiers de la boites et on configure pour faire la mitigation. - On sort les serveurs de la boite et on fait l'installation. Ensuite on regardera le rapport pour comparer le downtime. Deuxième test : Tout est en place, et en regarde à combien ça tombe et surtout la qualité du service. Alors qui est intéressé ? Au moins on aura de vrai rapport et surtout un vrai élément de débat ! Raphael On Oct 14, 2013, at 11:32 PM, Frederic Dhieux frede...@syn.fr wrote: Le 10/14/13 10:44 PM, Kavé Salamatian a écrit : La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. C'est assez triste de voir 2 extrêmes s'affronter sans nuance. OK les solutions commerciales sont parfois scandaleuses (les load balancers sont le premier exemple qui me vient en tête avant un certain volume et certaines fonctionnalités), mais il faut arrêter aussi de croire qu'avec un Linux/BSD on peut atteindre les niveaux de traitement d'une solution pure hardware. Déjà il faut bien séparer une solution hardware basée sur une architecture PC rebrandée et une vraie archi hardware avec ses processeurs spécialisés, ses puces dédiées, etc. Aussi les serveurs actuels sont parfois assez puissants pour faire des choses, parfois les gens documentent mieux que le petit ingénieur surdoué et permettent un suivi, mais il faut l'admettre, pour certaines fonctions les solutions hardware tiennent bien mieux. Quand on parle d'attaques, on parle en général de flux dont l'objectif est d'atteindre une saturation (de tuyaux, de connexions, de slots du services, ...). Dans ce cas avec la multitudes de sources et de flux, il est logique de voir des solutions matérielles plus adaptées à ce type de traitement. On peut discuter du support, on peut discuter de la fiabilité, on peut discuter de la capacité à régler soi même des problèmes sans être dépendant d'un support trop long à se bouger aussi en contreparite. Mais limiter le débât à C'est juste pour dire qu'on a la plus grosse qui coûte cher pour rassurer le client VS C'est de la bidouille de geek dans son coin inmaintenable, c'est vraiment noyer tout argumentaire constructif selon moi. Pour moi le problème c'est surtout de savoir à partir de quel volume une solution n'est plus adaptée et peser le pour et le contre en fonction du nombre de personnes pour s'en occuper versus le budget d'une solution toute faite avec support. Et également de calculer le risque en cas de problème et l'impact sur la santé financière de la société. Quand je vois quelqu'un parler de suicide dans un titre de sujet sur le FRnOG parce qu'il n'a aucune solution pour se protéger, ça me donne l'impression d'un mec qui n'a aucune assurance et qui voit sa boutique bruler, avec juste un verre d'eau à la main pour l'éteindre sans jamais s'être posé la question avant. Pour finir quand on a des clients derrière sa solution, on n'a pas le droit à l'erreur. Si on se plante et qu'on a fait le truc soi même, on se fait torpiller par ses clients. Quand on a un constructeur derrière, on gagne une certaine crédibilité et on n'est moins coupable si la solution est connue/réputée (ça n'empêche pas qu'il y a des gens très doués pour ne pas savoir les implémenter parfois). Alors faire joujou c'est sympa, mais faut être sûr de maitriser tous les cas, de tenir les pics et de pouvoir assumer face à ses clients. Bref, le débat est nuancé par l'activité à protéger, par l'impact, par l'équipe derrière la gestion de l'infra et par ce qu'on veut faire de sa boîte. Claquer des gros chèques chez un constructeur ça fonctionne souvent, ça ne sert à rien parfois aussi. Chercher à réinventer la roue quand on peut s'appuyer sur des fournisseurs/partenaires qui savent mieux le faire
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Ca ne répond pas forcément au débat et à tous les cas, mais c'est toujours très intéressant à faire (si toi et d'autres avez le temps à consacrer à monter un tel lab). Je pense que l'apport de la communauté universitaire pour les solutions softwares serait d'ailleurs très intéressant également pour le coup. Quel que soit le résultat, je pense qu'on y apprendra pas mal de choses et qu'on y trouveras des détails intéressants. Frédéric Le 10/14/13 11:59 PM, Raphael Maunier a écrit : Ah bah, on va faire un truc simple Je vais voir avec les gens que je connais pour organiser un lab grandeur nature avec du ddos reel. Je vais trouver une salle, faire venir des constructeurs comme Juniper, Cisco, Fortinet and cie, trouver des serveurs pour faire la solution software. On met 2 ou 3 serveurs web et de jeux ( meme service derrière 2 as différents ) On balance un DDOS, avec du Ixia ( Breaking Point ) : - On sort les boitiers de la boites et on configure pour faire la mitigation. - On sort les serveurs de la boite et on fait l'installation. Ensuite on regardera le rapport pour comparer le downtime. Deuxième test : Tout est en place, et en regarde à combien ça tombe et surtout la qualité du service. Alors qui est intéressé ? Au moins on aura de vrai rapport et surtout un vrai élément de débat ! Raphael On Oct 14, 2013, at 11:32 PM, Frederic Dhieux frede...@syn.fr wrote: Le 10/14/13 10:44 PM, Kavé Salamatian a écrit : La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. C'est assez triste de voir 2 extrêmes s'affronter sans nuance. OK les solutions commerciales sont parfois scandaleuses (les load balancers sont le premier exemple qui me vient en tête avant un certain volume et certaines fonctionnalités), mais il faut arrêter aussi de croire qu'avec un Linux/BSD on peut atteindre les niveaux de traitement d'une solution pure hardware. Déjà il faut bien séparer une solution hardware basée sur une architecture PC rebrandée et une vraie archi hardware avec ses processeurs spécialisés, ses puces dédiées, etc. Aussi les serveurs actuels sont parfois assez puissants pour faire des choses, parfois les gens documentent mieux que le petit ingénieur surdoué et permettent un suivi, mais il faut l'admettre, pour certaines fonctions les solutions hardware tiennent bien mieux. Quand on parle d'attaques, on parle en général de flux dont l'objectif est d'atteindre une saturation (de tuyaux, de connexions, de slots du services, ...). Dans ce cas avec la multitudes de sources et de flux, il est logique de voir des solutions matérielles plus adaptées à ce type de traitement. On peut discuter du support, on peut discuter de la fiabilité, on peut discuter de la capacité à régler soi même des problèmes sans être dépendant d'un support trop long à se bouger aussi en contreparite. Mais limiter le débât à C'est juste pour dire qu'on a la plus grosse qui coûte cher pour rassurer le client VS C'est de la bidouille de geek dans son coin inmaintenable, c'est vraiment noyer tout argumentaire constructif selon moi. Pour moi le problème c'est surtout de savoir à partir de quel volume une solution n'est plus adaptée et peser le pour et le contre en fonction du nombre de personnes pour s'en occuper versus le budget d'une solution toute faite avec support. Et également de calculer le risque en cas de problème et l'impact sur la santé financière de la société. Quand je vois quelqu'un parler de suicide dans un titre de sujet sur le FRnOG parce qu'il n'a aucune solution pour se protéger, ça me donne l'impression d'un mec qui n'a aucune assurance et qui voit sa boutique bruler, avec juste un verre d'eau à la main pour l'éteindre sans jamais s'être posé la question avant. Pour finir quand on a des clients derrière sa solution, on n'a pas le droit à l'erreur. Si on se plante et qu'on a fait le truc soi même, on se fait torpiller par ses clients. Quand on a un constructeur derrière, on gagne une certaine crédibilité et on n'est moins coupable si la solution est connue/réputée (ça n'empêche pas qu'il y a des gens très doués pour ne pas savoir les implémenter parfois). Alors faire joujou c'est sympa, mais faut être sûr de maitriser tous les cas, de tenir les pics et de pouvoir assumer face à ses clients.
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 2013-10-14 23:21, Kavé Salamatian a écrit : Le 14 oct. 2013 à 22:57, Raphael Maunier raph...@maunier.net a écrit : Pour ce qui l'ont fait tourner , pas juste pour faire mumuse, mais pour protéger des centaines de clients, tu comprends bien vite que les solutions commerciales sont nettement plus abouties que les solutions dites de bricolage Je connais malheureusement tellement de solutions commerciales qui sont nulles alors que des solutions de bricolage équivalente réponde au besoin, et vice-versa. Ne pas oublier que beaucoup de solutions commerciales sont simplement des solutions de bricolage et même en grande majorité de l'open source qui a force de travail sont devenue fiable et facile à utiliser …. Moralité, il n'y a pas de solutions universelles. Personne ne fait mumuse, il faut (ré)apprendre à faire son boulot d'ingénieur avec méthode et rigueur. Juste pour info lu dans : http://www.arbornetworks.com/docman-component/doc_download/157-peakflow-sp-tms-data-sheet-francais Système d’exploitation 1200/2500/3050/3110/4000 ArbOS/ArbUX, notre système d’exploitation propriétaire embarqué, basé sur des systèmes ouverts tels que Linux et Open BSD. tiens tiens tiens... -- Pascal Rullier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 2013-10-14 23:22, Guillaume Barrot a écrit : La seule boîte qui a (à ma connaissance) bossé sur une solution maison digne de ce nom, c'est OVH avec Tilera. Faut voir le budget que met OVH dans la RD, tout le monde ne peut pas se le permettre ... Pas sur à 100% à en voir : https://www.ovh.com/fr/anti-ddos/arbor.xml /me a pas de part dans les snowboards... ;) -- Pascal Rullier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Mon, 14 Oct 2013 23:43:03 +0200, Kavé Salamatian kave.salamat...@univ-savoie.fr said: Kavé C'est du Tilera. on fait du 15 Gbps en snortlike avec 2000 Kavé rules avec un proc Tilera. Ca scale jusqu'à 30 Gbps sur carte Kavé 2 Proc Tilera. Pas assez de budget pour acheter deux cartes 2 Kavé proc pour tester si ça va jusqu'à 60 Gbps. On a eu l'occasion d'avoir un rack de Tilera dans notre entreprise par le passé en prêt. Marrant. :-) Kavé Pas le temps. Je préfère rester pauvre et universitaire Kavé :-). Mais rien n'empêche les thésards de le faire. C'est peut-être l'occasion de demander gentiment à Kalray une carte avec leur MPPA à 256 cœurs. Grenoble, ce n'est pas si loin de chez toi... :-) -- Ronan KERYELL|\/ Phone: +1 650 386 6482 SILKAN Wild Systems |/) 4962 El Camino Real #201 Kronan.kery...@silkan.com Los Altos, CA 94022 |\ skype:keryell USA | \ http://silkan.com --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Guillaume Barrot a écrit: Intention louable, mais comme Saint Thomas, je ne vois que ce que je vois tourner en lab. Saint Thomas doit se retourner dans sa tombe. Moi aussi, j'ai un coté Saint Thomas. Il est un peu plus raide que le tien, d'ailleurs; je ne me fie pas au truc qui tourne en lab: les trucs qui marchaient à merveille dans le lab et qui se sont plantés en moins de 5 minutes en prod, j'en ai plein mes oubliettes. Tu veux un Cisco Centri firewall? Un bouchon de Stroh et il est à toi. Un vrai, avec la License et tout et tout. Windows 2000 SP2 non-upgradable. Truc pas testé en prod: faut me payer pour que je l'essaie. Raphael Maunier a écrit: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage (qui fonctionne dans une certaine limite) à des solutions pro pour les opérateurs. Il y a des fois ou Raphael a tort (et je lui dit) mais sur ce coup-là il a raison (comme souvent). Il ne faut pas prendre les gens qui font des DDOS à large échelle pour des cons. Ils ont du temps et du pognon, et ils savent très bien ce qu'ils font, et nettement mieux que ce que n'importe que bidouilleur même surdoué peut prendre en charge. Même si c'est vrai que les solutions pro coûtent la peau des coucougnettes (dont la moitié sert à payer les vendeurs de pompes usées qui, il y a 3 mois, vendaient des yaourts, des bagnoles, ou des pompes usées mais ils on une carte de crédit qui marche et invitent les décideurs à des bonnes bouffes bien arrosées et la nuit pour cuver avec l'oreiller garni bon bref) et que la solution pro en question ça peut être de la merde en boite certifiée ISO 9000, dans le tas il y en en quand même qui, après s'en aître foutu plein les fouilles, délivre quelque chose qui marche la plupart du temps. Le cul et le pognon, allô? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/