Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 01/08/2012 08:53, Greg Villain a écrit : Plus sérieusement, j'ai tendance à croire qu'une partie de la faute incombe aux RIRs et aux équipementiers: On connait tous (enfin j'eu connu….) les best practices de filtrages, quelle est la raison pour laquelle elles sont parfois pas en place? Mes 2cents: - on trouve difficilement une info uniforme sur l'ensemble des registriez - pour chaque registry on a pas le même accès ni le même output - pour la plupart des équipementiers, c'est la misère d'automatiser de telles mises à jour. Je ne distribuerai pas les mauvais points, mais du point de vue service-provider, c'est aussi très compliqué. J'ai bossé quelques mois en fond sur des hypothèses de procédures et projets pour remettre d'équerre les contacts et déclarations de quelques dizaines de milliers d'inetnum et de domaines. J'ai pris pour ça un échantillon de quelques centaines d'entrées pour lesquelles on avait grosso modo 20% de données à jour (mais j'ai biaisé le truc, j'ai pris surtout de vielles entrées, il me fallait un résultat pessimiste ;) ) La conclusion est sans appel : dans le meilleur des cas, on arriverai à : -30% d'entrées à jour avec 2 années/homme de travail -50% à jour avec 30 années/homme de travail -65% à jour avec 120 années/homme de travail. Pour grosso modo 12 ans d’arriérés. Sur les échantillons considérés on a 35% de contacts qui n'ont pu être joints en trois mois ou dont les entités avaient disparues. Sur les PA et PI client de /24 ou plus, c'est encore plus problématique. On a détecté environ 40% d'inetnum sans route-records, et un bon 35% avec des routes invalides (plus clients chez nous ou encore déclarés chez leurs précédents upstreams). Tout ça uniquement dans la zone RIPE, qui est sensée être de très loin la mieux gérée. La conclusion de cette petite étude a été claire et sans appel : ma réponse initial au thread est inapplicable à cet AS sans un travail long et coûteux ainsi qu'une refonte de nombreux process et moules du SI. La cause principale en est un certain laxisme du à l'absence de considération de l'importance du travail d'administration de ces ressources. Ca coût des gens, donc de l'argent, et du SI. Ca impose d'éduquer un peu les clients et d'avoir des clauses contractuelles strictes quant à la destitution des allocations en cas d'absence de mise à jour. Sauf que pour la plupart des clients, les inetnums ont été achetés une bonne fois pour toute et la question ne se pose plus. Pour rendre le suivi administratif obligatoire il faut changer le modèle commercial en imposant des frais administratifs récurrents sans quoi la gestion de ces ressources serait une pure perte. Et même comme ça, on voit (sur les domaines) que ça ne marche pas forcement, surtout pour ceux qui ont été packagés avec une autre offre et qui n'ont pas d’existence propre dans le SI comptable. La deuxième conclusion que je tire de tout ça : si ce n'est pas déjà fait, faites le ménage tant que c'est possible, au bout d'un moment ça devient juste plus envisageable. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Mince alors… Gueudou et Frouny. …gros gros coup de mal du pays tout d'un coup. Plus sérieusement, j'ai tendance à croire qu'une partie de la faute incombe aux RIRs et aux équipementiers: On connait tous (enfin j'eu connu….) les best practices de filtrages, quelle est la raison pour laquelle elles sont parfois pas en place? Mes 2cents: - on trouve difficilement une info uniforme sur l'ensemble des registriez - pour chaque registry on a pas le même accès ni le même output - pour la plupart des équipementiers, c'est la misère d'automatiser de telles mises à jour. Aujourd'hui, n'importe quel apprenti hipster peut faire un mashup de 10 sites en même temps grâce à leurs APIs - qu'est-ce qui empêche les RIRs de fournir une API unifiée pour que les fautifs n'aient plus d'excuse technique valable ? (qui plus est mettre à jour des objets RIR est toujours un truc assez bancal et dev par des PERL-addicts et expect-dinosaurs d'un autre siècle…). En gros, si une API était fournie avec une lib pour les langages principaux ça serait quand même plus simple. Au même titre: pourquoi on est toujours obligé d'utiliser des mécanismes de conf antédiluviens pour automatiser l'admin d'un réseau? De mon temps, seuls Juniper proposaient un accès API XML (ok, xml…) pour conf leurs équipements de manière programmatique. Pourquoi on devrait se fader des heures de snmpwalk ou du expect de mathusalem pour automatiser ses confs? My 2 cents. (d'un coup je suis pris de panique, j'ai pas lu tout le thread… si ça se trouve ça a rien a voir avec la compote ce que je raconte). -- Greg On Jul 26, 2012, at 3:09 AM, Jérôme Nicolle jer...@ceriz.fr wrote: Le 26/07/2012 10:46, Raphael MAUNIER a écrit : heu, non J'en profite pour rappeler à votre liste de lecture le papier que Sarah à préparé avec l'ANSSI, et qui porte justement sur l'impact qu'auraient eu le respect des best practices sur les derniers incidents notables liés au BGP. https://www.sstic.org/media/SSTIC2012/SSTIC-actes/influence_des_bonnes_pratiques_sur_les_incidents_b/SSTIC2012-Article-influence_des_bonnes_pratiques_sur_les_incidents_bgp-contat_valadon_nataf_2.pdf Max prefix : check. IRR filters : difficile vu le nombre de routes, mais pas impossible. AS_Path filter : bha évidement, tu peux savoir qu'un gros AS qui fait une part visible de ton trafic va pas arriver par un peer ou client comme ça... Raphael Donc non, tu n'utilises pas de filtre. Ca ne veut pas dire que ça n'aurait pas un impact positif sur ce cas de figure. Vu le temps qu'il va falloir pour déployer RPKI+ROA sur une part significative des AS, ce serait bien d'implémenter quelques contrôles d'ici là. Stephane LM tu as autre chose à proposer ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Franchement j'étais pas passé dans cet établissement depuis longtemps, les clients étaient plus avenants jadis :) Ca devient chaud de séparer le bruit du payload quand on est pas dedans régulièrement, du coup de loin on voit que le bruit et les insultes. Je +1000 le papier PAS QUE DE SARAH (et frouny et guedou) fortement, c'est bien le genre de trucs que j'aurais tendance à attendre de FrNOG. Après je suis pas certain d'être représentatif des abonnés de la liste. -- Greg On Jul 26, 2012, at 4:33 AM, Guillaume Barrot guillaume.bar...@gmail.com wrote: +1. A force d'avoir des reactions aussi constructives, ca va se finir que plus personne n'osera poster sur la ML, sauf les masochistes qui posteront par esprit de contradictions. Nan mais relisez le thread, c'est juste énorme : Je vous previens qu'il y a eu un flap BGP ce matin, du à un probleme externe booouuuh tu sais meme pas configurer correctement tes routeurs pour pas avoir de flap Seul point positif : le pdf de Sarah sur les best-practices envoyé par mail, ça évite d'avoir à le rechercher. Ca fait leger comme point positif ! Le 26 juillet 2012 13:25, Raphael MAUNIER rmaun...@neotelecoms.com a écrit : Y a un moment, il faut cessez d'avoir un avis sur tout, sans savoir de quoi on parle et donner des conseils qui ne veulent mais rien dire ! Est-ce que je donne mon avis sur du dns, du Linux, du ftth ? Non, alors, quand on sait pas , on dit/fait pas OU on apprend. C'est pénible de systématiquement se prendre des mails de conseils ou on se fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 ! Raphael On Jul 26, 2012, at 13:12, Jérôme Nicolle jer...@ceriz.fr wrote: Le 26/07/2012 12:57, Raphael Maunier a écrit : Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment dire Passez votre chemin. Bha, écoutes, libre à toi de prendre la communauté de haut parce que tu as le plus gros réseau, tout ça, mais en attendant c'est celui là qui s'est taulé ce matin. Pas les miens. C'est pas un reproche, pas une critique, on a tous des problèmes d'exploitation. Mais voilà, il se pourrait que les best-practices comme le filtrage sur prefix-list et as-path sur certaines sessions aident à limiter l'impact de ce genre de merdes. Et plutôt que de me prendre pour un con, j'aurais vraiment apprécié que tu expliques pourquoi ça marche pas et donc pourquoi tu ne l'as pas fait, et ce que tu aurais pu faire pour éviter le problème, si tant est que ce soit possible. Après si tu ne veux pas jouer le cercle vertueux de l'échange au sein du FRnOG, c'est ton problème. N'en soit pas insultant pour autant, s'il te plaît. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Bonjour, au risque de me prendre 1 ou 2 remarques désobligeantes je suis d'accord avec les remarques ci-dessous. Les échanges quasi létals entre les pseudo-gourou du réseau tuent le Forum, du coup personnellement je n'ose pas participer aux discussions même sur le petit nombre de sujet que je maitrise à peu prêt. On a l'impression que l'on se doit d'écouter qq prophètes ayant la connaissance absolue... (je noircis à peine le tableau) Retenue et sang-froid devrait être de rigueur. Chacun peut avoir sa position et son point de vu. Je suis un peu sarcastique mais le coté court d’école ne me parrait pas convenir à un espace ou des échanges technico-professionnels pointus devraient avoir lieu ++ Le 1 août 2012 09:22, Greg Villain fr...@tadcons.net a écrit : Franchement j'étais pas passé dans cet établissement depuis longtemps, les clients étaient plus avenants jadis :) Ca devient chaud de séparer le bruit du payload quand on est pas dedans régulièrement, du coup de loin on voit que le bruit et les insultes. Je +1000 le papier PAS QUE DE SARAH (et frouny et guedou) fortement, c'est bien le genre de trucs que j'aurais tendance à attendre de FrNOG. Après je suis pas certain d'être représentatif des abonnés de la liste. -- Greg On Jul 26, 2012, at 4:33 AM, Guillaume Barrot guillaume.bar...@gmail.com wrote: +1. A force d'avoir des reactions aussi constructives, ca va se finir que plus personne n'osera poster sur la ML, sauf les masochistes qui posteront par esprit de contradictions. Nan mais relisez le thread, c'est juste énorme : Je vous previens qu'il y a eu un flap BGP ce matin, du à un probleme externe booouuuh tu sais meme pas configurer correctement tes routeurs pour pas avoir de flap Seul point positif : le pdf de Sarah sur les best-practices envoyé par mail, ça évite d'avoir à le rechercher. Ca fait leger comme point positif ! Le 26 juillet 2012 13:25, Raphael MAUNIER rmaun...@neotelecoms.com a écrit : Y a un moment, il faut cessez d'avoir un avis sur tout, sans savoir de quoi on parle et donner des conseils qui ne veulent mais rien dire ! Est-ce que je donne mon avis sur du dns, du Linux, du ftth ? Non, alors, quand on sait pas , on dit/fait pas OU on apprend. C'est pénible de systématiquement se prendre des mails de conseils ou on se fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 ! Raphael On Jul 26, 2012, at 13:12, Jérôme Nicolle jer...@ceriz.fr wrote: Le 26/07/2012 12:57, Raphael Maunier a écrit : Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment dire Passez votre chemin. Bha, écoutes, libre à toi de prendre la communauté de haut parce que tu as le plus gros réseau, tout ça, mais en attendant c'est celui là qui s'est taulé ce matin. Pas les miens. C'est pas un reproche, pas une critique, on a tous des problèmes d'exploitation. Mais voilà, il se pourrait que les best-practices comme le filtrage sur prefix-list et as-path sur certaines sessions aident à limiter l'impact de ce genre de merdes. Et plutôt que de me prendre pour un con, j'aurais vraiment apprécié que tu expliques pourquoi ça marche pas et donc pourquoi tu ne l'as pas fait, et ce que tu aurais pu faire pour éviter le problème, si tant est que ce soit possible. Après si tu ne veux pas jouer le cercle vertueux de l'échange au sein du FRnOG, c'est ton problème. N'en soit pas insultant pour autant, s'il te plaît. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Hello, Si votre support explose car vos clients n'arrivent plus à joindre une partie de AS3215, c'est normal Un opérateur US vient de leaker une partie des routes Orange ( pas beaucoup, c'est pour ça que c'est passé ) , et ça a fait un peu de dégats. L'impact pour nous était 25 minutes de soucis de routage. Certains opérateurs n'ont pas encore résolu de leur coté. -- Raphaël Maunier NEO TELECOMS CTO / Directeur Ingénierie AS8218 PS : Et c'est parti pour un troll avec RPKI :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 10:32, Raphael MAUNIER a écrit : PS : Et c'est parti pour un troll avec RPKI :) bha non, des filtres auraient suffit... -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 10:46, Raphael MAUNIER a écrit : heu, non Dans ce cas là, il faut prendre rendez-vous l'ANSSI, il devrait être capable de vous expliquer où est le SPOF de votre conf BGP via à vis de 3215. Envoyez un Cisco en Chocolat à cet opérateur pour le remercier de vous montrer. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 26/07/12 10:53, Stephane Le Men wrote: Le 26/07/2012 10:46, Raphael MAUNIER a écrit : heu, non Dans ce cas là, il faut prendre rendez-vous l'ANSSI, il devrait être capable de vous expliquer où est le SPOF de votre conf BGP via à vis de 3215. C'est quoi le rapport ? Envoyez un Cisco en Chocolat à cet opérateur pour le remercier de vous montrer. --- Liste de diffusion du FRnOG http://www.frnog.org/ - -- Nicolas STRINA Jaguar Network Switzerland 5 route de Chene Case Postale 6298 CH - 1211 Geneva 6 More Than Your Hosting Company Tel : +33 4 88 00 65 16 Gsm : +33 6 18 20 49 55 Std : +41 8 40 65 61 11 Fax : +33 4 88 00 65 25 URL: http://www.jaguar-network.ch/ Support 24+7 : supp...@jaguar-network.ch -BEGIN PGP SIGNATURE- Version: GnuPG/MacGPG2 v2.0.17 (Darwin) Comment: GPGTools - http://gpgtools.org Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iEYEARECAAYFAlARBn4ACgkQhVupqbmzosfVLQCfS3PGvTseETXmKkzAtwfWBR8Q aLYAnjUUnzehkLPrq3w3h/xpXZKjITrV =aMvb -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
On Jul 26, 2012, at 10:53 AM, Stephane Le Men wrote: Le 26/07/2012 10:46, Raphael MAUNIER a écrit : heu, non Dans ce cas là, il faut prendre rendez-vous l'ANSSI, Deja vu :) il devrait être capable de vous expliquer où est le SPOF de votre conf BGP Bah non via à vis de 3215. Je n'ai pas 3215 en direct Envoyez un Cisco en Chocolat à cet opérateur pour le remercier de vous montrer. Un depeering notice est largement suffisant --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Hello, 2012/7/26 Raphael MAUNIER rmaun...@neotelecoms.com: Hello, Si votre support explose car vos clients n'arrivent plus à joindre une partie de AS3215, c'est normal Un opérateur US vient de leaker une partie des routes Orange ( pas beaucoup, c'est pour ça que c'est passé ) , et ça a fait un peu de dégats. L'impact pour nous était 25 minutes de soucis de routage. Certains opérateurs n'ont pas encore résolu de leur coté. Les premières alertes d'injoignabilité de préfixes 3215 sont tombées vers 9h44. A priori erreur de conf de l'AS4565 (We had a mis-configuration (...) We apologize for any problems/inconvenience that this caused.) Un grand grand merci à Neo pour votre réactivité. PS : Et c'est parti pour un troll avec RPKI :) [... SVP n'oubliez pas de modifier le titre du mail pour les trolls habituels...] Cdt, sarah --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 10:57, Nicolas Strina a écrit : Dans ce cas là, il faut prendre rendez-vous l'ANSSI, il devrait être capable de vous expliquer où est le SPOF de votre conf BGP via à vis de 3215. C'est quoi le rapport ? Le rapport c'est qu'il vient de prendre le service de circuit sur l’Internet avec 3215. Avant d'être un incident de sécurité, c'est un incident de service, de résilience. Alors, je repose ma question, c'est quoi l'AS canonique d'une conf BGP résiliente, votre référence, votre mètre étalon de la résilience ? On choisit ce que l'on veut pour répondre à cette question, et si on choisit les bonnes définitions, on a les bonnes conditions à réunir pour se prémunir. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Wow, Stéphane, tu as fumé quoi ce matin ? :) Cordialement, Jérémy Martin Le 26/07/2012 11:16, Stephane Le Men a écrit : Le 26/07/2012 10:57, Nicolas Strina a écrit : Dans ce cas là, il faut prendre rendez-vous l'ANSSI, il devrait être capable de vous expliquer où est le SPOF de votre conf BGP via à vis de 3215. C'est quoi le rapport ? Le rapport c'est qu'il vient de prendre le service de circuit sur l’Internet avec 3215. Avant d'être un incident de sécurité, c'est un incident de service, de résilience. Alors, je repose ma question, c'est quoi l'AS canonique d'une conf BGP résiliente, votre référence, votre mètre étalon de la résilience ? On choisit ce que l'on veut pour répondre à cette question, et si on choisit les bonnes définitions, on a les bonnes conditions à réunir pour se prémunir. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 11:16, Stephane Le Men a écrit : Alors, je repose ma question, c'est quoi l'AS canonique d'une conf BGP résiliente, votre référence, votre mètre étalon de la résilience ? c'est bien évidemment l'AS42 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 11:22, Jérémy Martin a écrit : Wow, Stéphane, tu as fumé quoi ce matin ? :) C'est peut être vrai. Je suis nul en français et je m'en excuse auprès de mes lecteurs. Le rapport c'est qu'il vient de prendre le service de circuit sur l’Internet avec 3215. Avant d'être un incident de sécurité, c'est un incident de service, de résilience. il fallait perdre pas prendre, je lis et me relis tres mal je me reconnais cette faiblesse, si vous arrivez à me l'excuser. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 10:46, Raphael MAUNIER a écrit : heu, non J'en profite pour rappeler à votre liste de lecture le papier que Sarah à préparé avec l'ANSSI, et qui porte justement sur l'impact qu'auraient eu le respect des best practices sur les derniers incidents notables liés au BGP. https://www.sstic.org/media/SSTIC2012/SSTIC-actes/influence_des_bonnes_pratiques_sur_les_incidents_b/SSTIC2012-Article-influence_des_bonnes_pratiques_sur_les_incidents_bgp-contat_valadon_nataf_2.pdf Max prefix : check. IRR filters : difficile vu le nombre de routes, mais pas impossible. AS_Path filter : bha évidement, tu peux savoir qu'un gros AS qui fait une part visible de ton trafic va pas arriver par un peer ou client comme ça... Raphael Donc non, tu n'utilises pas de filtre. Ca ne veut pas dire que ça n'aurait pas un impact positif sur ce cas de figure. Vu le temps qu'il va falloir pour déployer RPKI+ROA sur une part significative des AS, ce serait bien d'implémenter quelques contrôles d'ici là. Stephane LM tu as autre chose à proposer ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/