RE: [FRnOG] [TECH] RPKI and BGP: our path to securing Internet Routing

[Michel Py]

>> Michel Py a écrit :
>> Supposément Cloudflare va bientôt ignorer les préfixes invalides, je dis 
>> bravo.

> Julien Escario a écrit :
> Mouais, enfin quand je vois le nombre de préfixes que je filtre depuis 
> quelques semaines juste rajoutant
> une clause sur la présence d'AS privés, j'ai bien peur que la route soit 
> encore longue sur ces sujets.

Hélas...


> Jérôme Fleury a écrit :
> Si "petit AS" veut se proteger d'un hijack, alors il leur suffira de signer 
> leurs routes, ce qui est suffisamment trivial chez la plupart
> des RIR, et devrait meme etre fait automatiquement a la creation d'un object 
> route pour peu que la communaute le veuille.

+1. Même pas besoin d'avoir un AS, d'ailleurs.

> Mais pour ponderer mes propos, nous n'avons pas besoin que tout le monde 
> deploie RPKI pour securiser les architectures critiques.
> Le but est d'atteindre un point ou "petit AS" est protege par son fournisseur 
> de transit (qui j'espere a un ingénieur backbone pour cela).

C'est bien là ou est le problème : aucun fournisseur de transit de veut le 
faire, parce que çà leur coute du temps, de l'argent (le traffic de merde, 
c'est facturable pareil que le légitime), et des emmerdements d'avoir à 
expliquer aux clients pourquoi ils bloquent le traffic :-(


> Julien Escario
> Maintenant, le filtrage sur la base du RPKI, c'est quand même une autre paire 
> de manches. Et les transitaires ne sont pas tous bien 'propres' là dessus.

Hélas.

> J'aime bien ne pas refiler mes merdes aux autres. Ca m’énerve assez quand un 
> dev demande
> 8Go de RAM pour faire tourner un pauvre script PHP pour ne pas faire subir ça 
> aux autres.

Dans un IX ou une colo digne de ce nom, il devrait y avoir un validateur RPKI.


Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RPKI and BGP: our path to securing Internet Routing

[Solarus]

Le 2018-09-20 09:57, Julien Escario a écrit :


Ca sent de plus en plus le sapin pour les petits AS.


Je suis pas trop d’accord avec toi là dessus. Quand on voit le travail 
fait par certains petits AS qui font l’effort de prendre un ASN en 32 
bits, qui font l’effort de se dimensionner pour recevoir une vraie full 
table, qui font l’effort de peerer avec un maximum de monde en IPv4 et 
en IPv6, y’a de quoi applaudir.


Par contre le petit ou le gros AS qui fait encore de la traduction avec 
l’AS23456, qui fait du filtrage à /24 ou /23 parce que son frontal 
fonctionne encore au charbon, qui n’est disponible qu’au travers d’un 
seul transitaire et qui ne fait que de l’IPv4 et du X25 (je blague), ça 
m’étonne pas que celui là il fasse la tronche quand arrive RPKI.


La sécurité et la résilience d’Internet est un sujet où nous avons 
accumulé 10 ans de retard, il est temps de laisser les retardataires 
derrière et d’avancer avec les bonnes volontés.


Solarus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RPKI and BGP: our path to securing Internet Routing

[Julien Escario]

Le 20/09/2018 à 11:05, Jérôme Fleury a écrit :
> On Thu, Sep 20, 2018 at 9:58 AM Julien Escario  > wrote:
>  
> 
> DNSSEC, RPKI et autres, ça touche tout de suite à la crypto et ça tend un 
> peu
> plus vers une métier de spécialiste. Fini les adminsys comme moi qui 
> s'amusent
> avec un peu de BGP, même en étant rigoureux et volontaire, j'ai bien peur 
> que ce
> ne fasse plus la maille.
> 
> 
> Oui effectivement l'idee c'est que ca devienne un peu plus un metier de
> specialiste qu'un metier de bidouilleur avec tous les risques inclus.

C'pas faux. Certains bidouilleurs avec un peu d'aide de la communauté et un
chouilla d'intérêt s'en sortent pas trop mal, enfin, j'espère : on est quand
même quelque uns à bidouiller et à ne pas trop propager de merdouilles, y
compris en ipv6.

> Déjà, suivre l'actualité RIPE, IETF et consorts, c'est chaud.
> 
> Combien d'AS disposent d'un véritable ingé backbone qui maîtrise toute la 
> chaîne
> (avec son backup parce que le mec a quand même le droit d'être malade) ? 
> Combien
> coûte un tel profil et combien ont les moyens de se payer ça ? (en 
> interne ou en
> presta)
> 
> Ca sent de plus en plus le sapin pour les petits AS.
> 
> 
> Mais pour ponderer mes propos, nous n'avons pas besoin que tout le monde 
> deploie
> RPKI pour securiser les architectures critiques. Le but est d'atteindre un 
> point
> ou "petit AS" est protege par son fournisseur de transit (qui j'espere a un
> ingénieur backbone pour cela).
> 
> Si "petit AS" veut se proteger d'un hijack, alors il leur suffira de signer
> leurs routes, ce qui est suffisamment trivial chez la plupart des RIR, et
> devrait meme etre fait automatiquement a la creation d'un object route pour 
> peu
> que la communaute le veuille.

Je confirme : le RIPE a fait tout le taf nous concernant. J'ai voté pour que ce
soit filtré sur France-IX, utilisé les outils mis à disposition, 4 clics sur
l'outil du RIPE et c'était validé.

Maintenant, le filtrage sur la base du RPKI, c'est quand même une autre paire de
manches. Et les transitaires ne sont pas tous bien 'propres' là dessus.
J'aime bien ne pas refiler mes merdes aux autres. Ca m’énerve assez quand un dev
demande 8Go de RAM pour faire tourner un pauvre script PHP pour ne pas faire
subir ça aux autres.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RPKI and BGP: our path to securing Internet Routing

[Alarig Le Lay]

On jeu. 20 sept. 11:05:05 2018, Jérôme Fleury wrote:
> Si "petit AS" veut se proteger d'un hijack, alors il leur suffira de signer
> leurs routes, ce qui est suffisamment trivial chez la plupart des RIR, et
> devrait meme etre fait automatiquement a la creation d'un object route pour
> peu que la communaute le veuille.

« Petit AS » n’est pas forcément LIR, donc n’a pas accès à son RIR pour
signer ses préfixes dans ce cas.

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RPKI and BGP: our path to securing Internet Routing

[Jérôme Fleury]

On Thu, Sep 20, 2018 at 9:58 AM Julien Escario 
wrote:


> DNSSEC, RPKI et autres, ça touche tout de suite à la crypto et ça tend un
> peu
> plus vers une métier de spécialiste. Fini les adminsys comme moi qui
> s'amusent
> avec un peu de BGP, même en étant rigoureux et volontaire, j'ai bien peur
> que ce
> ne fasse plus la maille.
>

Oui effectivement l'idee c'est que ca devienne un peu plus un metier de
specialiste qu'un metier de bidouilleur avec tous les risques inclus.


>
> Déjà, suivre l'actualité RIPE, IETF et consorts, c'est chaud.
>
> Combien d'AS disposent d'un véritable ingé backbone qui maîtrise toute la
> chaîne
> (avec son backup parce que le mec a quand même le droit d'être malade) ?
> Combien
> coûte un tel profil et combien ont les moyens de se payer ça ? (en interne
> ou en
> presta)
>
> Ca sent de plus en plus le sapin pour les petits AS.
>

Mais pour ponderer mes propos, nous n'avons pas besoin que tout le monde
deploie RPKI pour securiser les architectures critiques. Le but est
d'atteindre un point ou "petit AS" est protege par son fournisseur de
transit (qui j'espere a un ingénieur backbone pour cela).

Si "petit AS" veut se proteger d'un hijack, alors il leur suffira de signer
leurs routes, ce qui est suffisamment trivial chez la plupart des RIR, et
devrait meme etre fait automatiquement a la creation d'un object route pour
peu que la communaute le veuille.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RPKI and BGP: our path to securing Internet Routing

[Julien Escario]

Le 19/09/2018 à 21:36, Michel Py a écrit :
>> Stephane Bortzmeyer a écrit :
>> Très intéressant article sur un déploiement RPKI (signature *et* 
>> validation). 
>> https://blog.cloudflare.com/rpki-details/
> 
> +1
> 
> Pour ceux qui ne lisent pas nanog (il y a un fil à propos de nettoyer les 
> préfixes invalides) je pense que la seule manière d'y arriver est de 
> commencer à les ignorer ou les bloquer. Aujourd'hui, tout le monde s'en fout 
> car personne ou presque ne les bloque.
> 
> Supposément Cloudflare va bientôt ignorer les préfixes invalides, je dis 
> bravo.

Mouais, enfin quand je vois le nombre de préfixes que je filtre depuis quelques
semaines juste rajoutant une clause sur la présence d'AS privés, j'ai bien peur
que la route soit encore longue sur ces sujets.

DNSSEC, RPKI et autres, ça touche tout de suite à la crypto et ça tend un peu
plus vers une métier de spécialiste. Fini les adminsys comme moi qui s'amusent
avec un peu de BGP, même en étant rigoureux et volontaire, j'ai bien peur que ce
ne fasse plus la maille.

Déjà, suivre l'actualité RIPE, IETF et consorts, c'est chaud.

Combien d'AS disposent d'un véritable ingé backbone qui maîtrise toute la chaîne
(avec son backup parce que le mec a quand même le droit d'être malade) ? Combien
coûte un tel profil et combien ont les moyens de se payer ça ? (en interne ou en
presta)

Ca sent de plus en plus le sapin pour les petits AS.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RPKI and BGP: our path to securing Internet Routing

[Michel Py]

> Stephane Bortzmeyer a écrit :
> Très intéressant article sur un déploiement RPKI (signature *et* validation). 
> https://blog.cloudflare.com/rpki-details/

+1

Pour ceux qui ne lisent pas nanog (il y a un fil à propos de nettoyer les 
préfixes invalides) je pense que la seule manière d'y arriver est de commencer 
à les ignorer ou les bloquer. Aujourd'hui, tout le monde s'en fout car personne 
ou presque ne les bloque.

Supposément Cloudflare va bientôt ignorer les préfixes invalides, je dis bravo.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] RPKI and BGP: our path to securing Internet Routing

[Stephane Bortzmeyer]

Très intéressant article sur un déploiement RPKI (signature *et* validation). 

https://blog.cloudflare.com/rpki-details/


---
Liste de diffusion du FRnOG
http://www.frnog.org/