Re: [FRnOG] [TECH] Protection contre les attaques DDoS en IPv6

2018-08-01 Par sujet Vincent Bernat 
 ❦  1 août 2018 21:58 +0200, Matthieu Texier :

> De manière générale, une attaque ciblée IPv6 n’a pas beaucoup de sens
> dans la situation actuelle du déploiement. L’essentielles des
> plateformes et des fournisseurs d’accès, font utilisation de
> l’approche dual-stack. Cette approche rend une attaque IPv6 peu ou pas
> efficace. Les machines dual-stack mettant en oeuvre le happy eyeball
> (RFC 6555, RFC 8305), un client ne joignant pas une ressource en IPv6,
> basculera sur IPv4 dans les 250 ms rendant une telle attaque
> inopérante.

IPv6 passe généralement par les mêmes équipements et tuyaux qu'IPv4.
L'intérêt d'attaquer en IPv6, c'est de profiter du fait que l'outillage
pour se protéger est moins abouti que pour IPv4.
-- 
Use the fundamental control flow constructs.
- The Elements of Programming Style (Kernighan & Plauger)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Protection contre les attaques DDoS en IPv6

2018-08-01 Par sujet Matthieu Texier 
Bonjour,

Après analyse de cet article, je ne pense que l’on puisse véritablement parler 
d’une attaque DDoS IPv6. L’article est, du reste, relativement vague et laisse 
place à l’interpretation du lecteur. Il semble que ce soit plutôt un artefact 
qu’une réelle attaque IPv6 de volumétrie et de sophistication sérieuse.

Il ne s’agit pas de la négligée mais la prendre pour ce qu’elle est vraiment et 
ne pas tomber dans la logique de propagande de la peur.

De manière générale, une attaque ciblée IPv6 n’a pas beaucoup de sens dans la 
situation actuelle du déploiement. L’essentielles des plateformes et des 
fournisseurs d’accès, font utilisation de l’approche dual-stack. Cette approche 
rend une attaque IPv6 peu ou pas efficace. Les machines dual-stack mettant en 
oeuvre le happy eyeball (RFC 6555, RFC 8305), un client ne joignant pas une 
ressource en IPv6, basculera sur IPv4 dans les 250 ms rendant une telle attaque 
inopérante. En ajoutant à cela, la problématique de lever suffisamment de 
machines émettrices d’attaque niveau 3-4 et de manière encore plus difficile 
des machines émettant des attaques L7, je ne pense pas qu’il faille surestimer 
le risque.

Ceci étant dit, nous travaillons sur le support d’IPv6 sur nos infrastructures 
que nous considérerons vraisemblablement comme une offre “beta”. Si l’on 
considère le niveau d’implémentation d’IPv6 chez les industriels de routeurs, 
le niveau d’implémentation chez les transitaires (y compris tier 1), il nous 
est impossible de fournir un niveau de SLA comparable à IPv4 sur IPv6 tout au 
moins à court terme. Il nous semble donc raisonnable d’approcher IPv6 sous 
cette angle.

My 2 cents,
Matthieu.

Matthieu Texier,
Founder,
PRAGMA SECURITY.
Mob: +33 6 85 83 66 89.



> On 24 Jul 2018, at 16:41, zoubida.touz...@bnpparibas.com wrote:
> 
> Bonjour à tous,
> 
> Internet a connu récemment la 1ère attaque DDoS en 
> IPv6 et ce n'est que le 
> début.
> 
> Nous implémentons la solution Prolexic 
> d'Akamai
>  basée sur les annonces BGP pour la protection de nos infrastructures contre 
> les attaques DDoS en IPv4. Nous souhaitons répliquer le même modèle de 
> protection DDoS pour le trafic en IPv6.
> 
> Connaissez-vous des acteurs qui offrent des solutions de protection DDoS en 
> IPv6 ?
> 
> Merci !
> 
> Zoubida TOUZANI
> 
> 
> This message and any attachments (the "message") is
> intended solely for the intended addressees and is confidential.
> If you receive this message in error,or are not the intended recipient(s),
> please delete it and any copies from your systems and immediately notify
> the sender. Any unauthorized view, use that does not comply with its purpose,
> dissemination or disclosure, either whole or partial, is prohibited. Since 
> the internet
> cannot guarantee the integrity of this message which may not be reliable, BNP 
> PARIBAS
> (and its subsidiaries) shall not be liable for the message if modified, 
> changed or falsified.
> Do not print this message unless it is necessary, consider the environment.
> 
> --
> 
> Ce message et toutes les pieces jointes (ci-apres le "message")
> sont etablis a l'intention exclusive de ses destinataires et sont 
> confidentiels.
> Si vous recevez ce message par erreur ou s'il ne vous est pas destine,
> merci de le detruire ainsi que toute copie de votre systeme et d'en avertir
> immediatement l'expediteur. Toute lecture non autorisee, toute utilisation de
> ce message qui n'est pas conforme a sa destination, toute diffusion ou toute
> publication, totale ou partielle, est interdite. L'Internet ne permettant pas 
> d'assurer
> l'integrite de ce message electronique susceptible d'alteration, BNP Paribas
> (et ses filiales) decline(nt) toute responsabilite au titre de ce message 
> dans l'hypothese
> ou il aurait ete modifie, deforme ou falsifie.
> N'imprimez ce message que si necessaire, pensez a l'environnement.
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



signature.asc
Description: Message signed with OpenPGP

Re: [FRnOG] [TECH] Protection contre les attaques DDoS en IPv6

2018-07-24 Par sujet Sameh El Tawil 


Télécharger Outlook pour Android<https://aka.ms/ghei36>


From: frnog-requ...@frnog.org  on behalf of Nedjar, 
Reda 
Sent: Tuesday, July 24, 2018 6:06:37 PM
To: zoubida.touz...@bnpparibas.com; frnog-t...@frnog.org
Subject: Re: [FRnOG] [TECH] Protection contre les attaques DDoS en IPv6

Bonjour

Ce n'est pas vraiment la première attaque IPv6 enregistrée, Arbor Networks a 
déjà enregistré une attaque IPv6 en 2012 !

https://www.zdnet.com/article/first-ipv6-distributed-denial-of-service-internet-attacks-seen/

Notre service Arbor Cloud offre une protection IPv6 basée sur la redirection 
BGP.

Cordialement,
--
Reda Nedjar | Consulting Engineer | rned...@arbor.net
Arbor Networks: The security division of NETSCOUT
+33 6 75007958 (mobile)
www.arbornetworks.com<http://www.arbornetworks.com> 
<http://www.arbornetworks.com/>
Please be advised that this email may contain confidential information. If you 
are not the intended recipient, please notify us by email by replying to the 
sender and delete this message. The sender disclaims that the content of this 
email constitutes an offer to enter into, or the acceptance of, any agreement; 
provided that the foregoing does not invalidate the binding effect of any 
digital or other electronic reproduction of a manual signature that is included 
in any attachment.

On 24/07/2018 16:41, "frnog-requ...@frnog.org on behalf of 
zoubida.touz...@bnpparibas.com"  wrote:

[EXTERNAL EMAIL]

Bonjour à tous,

Internet a connu récemment la 1ère attaque DDoS en 
IPv6<https://urldefense.proofpoint.com/v2/url?u=https-3A__www.theregister.co.uk_2018_03_03_ipv6-5Fddos_=DwIFAw=Hlvprqonr5LuCN9TN65xNw=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ=ogwEDBmJnbITo6_zCXwMuYIJH7uLg_LnYAoqgXLlY6g=BAH4EBDlw4FMr6KpkJg3_zPqagZSUdH6Q7TKrZJtLYk=>
 et ce n'est que le début.

Nous implémentons la solution Prolexic 
d'Akamai<https://urldefense.proofpoint.com/v2/url?u=https-3A__www.akamai.com_fr_fr_multimedia_documents_product-2Dbrief_prolexic-2Drouted-2Dproduct-2Dbrief.pdf=DwIFAw=Hlvprqonr5LuCN9TN65xNw=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ=ogwEDBmJnbITo6_zCXwMuYIJH7uLg_LnYAoqgXLlY6g=XenzjVtozPJqxoXKHgrSLDQKqZHYUvCscCiknojhssE=>
 basée sur les annonces BGP pour la protection de nos infrastructures contre 
les attaques DDoS en IPv4. Nous souhaitons répliquer le même modèle de 
protection DDoS pour le trafic en IPv6.

Connaissez-vous des acteurs qui offrent des solutions de protection DDoS en 
IPv6 ?

Merci !

Zoubida TOUZANI


This message and any attachments (the "message") is
intended solely for the intended addressees and is confidential.
If you receive this message in error,or are not the intended recipient(s),
please delete it and any copies from your systems and immediately notify
the sender. Any unauthorized view, use that does not comply with its 
purpose,
dissemination or disclosure, either whole or partial, is prohibited. Since 
the internet
cannot guarantee the integrity of this message which may not be reliable, 
BNP PARIBAS
(and its subsidiaries) shall not be liable for the message if modified, 
changed or falsified.
Do not print this message unless it is necessary, consider the environment.


--

Ce message et toutes les pieces jointes (ci-apres le "message")
sont etablis a l'intention exclusive de ses destinataires et sont 
confidentiels.
Si vous recevez ce message par erreur ou s'il ne vous est pas destine,
merci de le detruire ainsi que toute copie de votre systeme et d'en avertir
immediatement l'expediteur. Toute lecture non autorisee, toute utilisation 
de
ce message qui n'est pas conforme a sa destination, toute diffusion ou toute
publication, totale ou partielle, est interdite. L'Internet ne permettant 
pas d'assurer
l'integrite de ce message electronique susceptible d'alteration, BNP Paribas
(et ses filiales) decline(nt) toute responsabilite au titre de ce message 
dans l'hypothese
ou il aurait ete modifie, deforme ou falsifie.
N'imprimez ce message que si necessaire, pensez a l'environnement.

---
Liste de diffusion du FRnOG

https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frnog.org_=DwIFAw=Hlvprqonr5LuCN9TN65xNw=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ=ogwEDBmJnbITo6_zCXwMuYIJH7uLg_LnYAoqgXLlY6g=3TV989i5LJlwPhYPLJUrt-bRSym2Jm0L2Atxv9zJxfk=



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Protection contre les attaques DDoS en IPv6

2018-07-24 Par sujet Nedjar, Reda 
Bonjour

Ce n'est pas vraiment la première attaque IPv6 enregistrée, Arbor Networks a 
déjà enregistré une attaque IPv6 en 2012 !

https://www.zdnet.com/article/first-ipv6-distributed-denial-of-service-internet-attacks-seen/

Notre service Arbor Cloud offre une protection IPv6 basée sur la redirection 
BGP.

Cordialement,
-- 
Reda Nedjar | Consulting Engineer | rned...@arbor.net
Arbor Networks: The security division of NETSCOUT
+33 6 75007958 (mobile)
www.arbornetworks.com 
Please be advised that this email may contain confidential information. If you 
are not the intended recipient, please notify us by email by replying to the 
sender and delete this message. The sender disclaims that the content of this 
email constitutes an offer to enter into, or the acceptance of, any agreement; 
provided that the foregoing does not invalidate the binding effect of any 
digital or other electronic reproduction of a manual signature that is included 
in any attachment.

On 24/07/2018 16:41, "frnog-requ...@frnog.org on behalf of 
zoubida.touz...@bnpparibas.com"  wrote:

[EXTERNAL EMAIL]

Bonjour à tous,

Internet a connu récemment la 1ère attaque DDoS en 
IPv6
 et ce n'est que le début.

Nous implémentons la solution Prolexic 
d'Akamai
 basée sur les annonces BGP pour la protection de nos infrastructures contre 
les attaques DDoS en IPv4. Nous souhaitons répliquer le même modèle de 
protection DDoS pour le trafic en IPv6.

Connaissez-vous des acteurs qui offrent des solutions de protection DDoS en 
IPv6 ?

Merci !

Zoubida TOUZANI


This message and any attachments (the "message") is
intended solely for the intended addressees and is confidential. 
If you receive this message in error,or are not the intended recipient(s), 
please delete it and any copies from your systems and immediately notify
the sender. Any unauthorized view, use that does not comply with its 
purpose, 
dissemination or disclosure, either whole or partial, is prohibited. Since 
the internet 
cannot guarantee the integrity of this message which may not be reliable, 
BNP PARIBAS 
(and its subsidiaries) shall not be liable for the message if modified, 
changed or falsified. 
Do not print this message unless it is necessary, consider the environment.


--

Ce message et toutes les pieces jointes (ci-apres le "message") 
sont etablis a l'intention exclusive de ses destinataires et sont 
confidentiels.
Si vous recevez ce message par erreur ou s'il ne vous est pas destine,
merci de le detruire ainsi que toute copie de votre systeme et d'en avertir
immediatement l'expediteur. Toute lecture non autorisee, toute utilisation 
de 
ce message qui n'est pas conforme a sa destination, toute diffusion ou 
toute 
publication, totale ou partielle, est interdite. L'Internet ne permettant 
pas d'assurer
l'integrite de ce message electronique susceptible d'alteration, BNP 
Paribas 
(et ses filiales) decline(nt) toute responsabilite au titre de ce message 
dans l'hypothese
ou il aurait ete modifie, deforme ou falsifie. 
N'imprimez ce message que si necessaire, pensez a l'environnement.

---
Liste de diffusion du FRnOG

https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frnog.org_=DwIFAw=Hlvprqonr5LuCN9TN65xNw=LIwH7hh6v_748AK22vvVJ8XCrEVAzrhzkqnz6B4hfZQ=ogwEDBmJnbITo6_zCXwMuYIJH7uLg_LnYAoqgXLlY6g=3TV989i5LJlwPhYPLJUrt-bRSym2Jm0L2Atxv9zJxfk=



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Protection contre les attaques DDoS en IPv6

2018-07-24 Par sujet zoubida.touz...@bnpparibas.com 
Bonjour à tous,

Internet a connu récemment la 1ère attaque DDoS en 
IPv6 et ce n'est que le 
début.

Nous implémentons la solution Prolexic 
d'Akamai
 basée sur les annonces BGP pour la protection de nos infrastructures contre 
les attaques DDoS en IPv4. Nous souhaitons répliquer le même modèle de 
protection DDoS pour le trafic en IPv6.

Connaissez-vous des acteurs qui offrent des solutions de protection DDoS en 
IPv6 ?

Merci !

Zoubida TOUZANI


This message and any attachments (the "message") is
intended solely for the intended addressees and is confidential. 
If you receive this message in error,or are not the intended recipient(s), 
please delete it and any copies from your systems and immediately notify
the sender. Any unauthorized view, use that does not comply with its purpose, 
dissemination or disclosure, either whole or partial, is prohibited. Since the 
internet 
cannot guarantee the integrity of this message which may not be reliable, BNP 
PARIBAS 
(and its subsidiaries) shall not be liable for the message if modified, changed 
or falsified. 
Do not print this message unless it is necessary, consider the environment.

--

Ce message et toutes les pieces jointes (ci-apres le "message") 
sont etablis a l'intention exclusive de ses destinataires et sont confidentiels.
Si vous recevez ce message par erreur ou s'il ne vous est pas destine,
merci de le detruire ainsi que toute copie de votre systeme et d'en avertir
immediatement l'expediteur. Toute lecture non autorisee, toute utilisation de 
ce message qui n'est pas conforme a sa destination, toute diffusion ou toute 
publication, totale ou partielle, est interdite. L'Internet ne permettant pas 
d'assurer
l'integrite de ce message electronique susceptible d'alteration, BNP Paribas 
(et ses filiales) decline(nt) toute responsabilite au titre de ce message dans 
l'hypothese
ou il aurait ete modifie, deforme ou falsifie. 
N'imprimez ce message que si necessaire, pensez a l'environnement.

---
Liste de diffusion du FRnOG
http://www.frnog.org/