subject:"RE\: \[FRnOG\] \[MISC\] BGP Battleships"

RE: [FRnOG] [MISC] BGP Battleships

2018-05-25 Par sujet Michel Py

> Jean-Michel DILLY a écrit :
> Pour voir les drops uRPF. DU moins sur IOS 15.

c2851-michel#sh ip inte g0/1
[...]
  IP verify source reachable-via RX, allow default
   16266 verification drops
   0 suppressed verification drops
   0 verification drop-rate

Merci Jean-Michel ! dans ip interface, pas cef interface.
La preuve que çà marche !


> Pierre Emeriaud a écrit :
> C'est étrange car à lire ça on pourrait se dire que le allow-default
> va rendre ça inutile. Mais la doc semble dire que non :

Le allow-default je l'ai mis à l'origine à la maison (pas de full-feed) parce 
que sans çà pas de uRPF possible. Au bureau je l'ai gardé malgré le full-feed 
parce que je reçois aussi une route par défaut (juste au cas ou); la logique 
d'avoir allow-default est un peu floue, ceci dit je pense que d'être dans la 
DFZ c'est bien pour les tier-1 et les gens qui sont dans un IX, mais pas pour 
moi.

Au bureau avec une remise à zéro des compteurs récente, j'ai des millions de 
match dans uRPF, donc contre CBBC et fullbogons, donc çà sert à quelque chose.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] BGP Battleships

2018-05-25 Par sujet Pierre Emeriaud

Le 24 mai 2018 à 22:24, Michel Py  a écrit :
>> Pierre Emeriaud a écrit :
>> Je suis assez fan des détournements de bgp (hack, pas hijack hein !),
>> a la CBBC, bgp-spamd (http://bgp-spamd.net),


> Pour compléter ta liste, l'irremplaçable fullbogons de Team Cymru que le CBBC 
> ne redistribue pas.
> http://www.team-cymru.com/bogon-reference.html

Oui

>> ou mon bgp2fail2ban (https://paste.swordarmor.fr/rDUR pour les curieux).
>
> Je le prendrais bien ton feed pour compléter le mien, tu veux pairer ?

Oui, mais pas pour l'instant. Je vais monter un serveur de routes pour
faire que ça. Je te ferais signe.


>> A propos du CBBC Michel, tu utilises de l'urpf strick ou juste blackhole au 
>> retour ?
>
> uRPF.
> interface GigabitEthernet0/1
>  ip verify unicast source reachable-via rx allow-default
>
> C'est un peu futile aussi, car çà n'empêche pas le trafic indésirable 
> d'arriver; la différence étant qu'avec uRPF le paquet est perdu dès 
> réception, alors que si on se contente du blackhole il est routé vers null0. 
> Cà date de l'époque ou j'ai lu BCP38, probablement; je suis même pas sur que 
> çà marche, parce que à part çà :

> Je vois pas comment controler que le mécanisme fonctionne. "show ip verify 
> statistics" çà n'existe pas sur mon routeur, si quelqu'un a un remplacement 
> je prends.

C'est étrange car à lire ça on pourrait se dire que le allow-default
va rendre ça inutile. Mais la doc semble dire que non :

"Addresses that should never appear on a network can be dropped by
entering a route to a null interface. The following command will cause
all traffic received from the 10.0.0.0/8 network to be dropped even if
Unicast RPF is enabled in loose mode with the allow-default option: ip
route 10.0.0.0 255.0.0.0 Null0"
(https://www.cisco.com/c/en/us/about/security-center/unicast-reverse-path-forwarding.html)

Pour vérifier les effets, tu rajoutes une ip a toi dans tes filtres et
tu tcpdump pour vérifier que tout fonctionne bien ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] BGP Battleships

2018-05-25 Par sujet Michel Py

> David Ponzone a écrit :
> Moi je voudrais bien le faire sur Vyos, mais y un méchant bug (en 1.1.7 du 
> moins) qui fait qu’une
> route BGP, qui a comme next-hop une IP qui est routée statiquement vers 
> blackhole, n’est pas prise
> en compte par uRPF. J’ai ouvert un ticket il y a 2 ans, ça a jamais passionné 
> les foules.

Je me rappelle, çà t'avait gonflé a l'époque.


> C’est quoi l’ordre: uRPF en premier ou les ACL ?

Une ACL contenant quoi ? les 50K préfixes qui changent tout le temps ?


> Si uRPF est exécuté en premier, il te suffit de mettre une ACL pour voir si 
> elle est
> matchée ou pas. Mais je pense que tu vas me répondre qu’uRPF arrive après les 
> ACL :)

Ce qui est le cas avec Cisco. J'ai une ACL entrée sur l'interface externe qui 
dénie tout ce qui a comme adresse source RFC1918, et j'ai des match tout le 
temps. Si l'ACL était après uRPF, vu que RFC1918 est dans eBGP venant de Team 
Cymru fullbogons, je devrais jamais avoir de match. Bon çà c'est en supposant 
que uRPF marche, vu que je sais pas ou sons les compteurs s'il y en a, dans mon 
élevage de yàkà faut que je fasse un lab pour vérifier.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] BGP Battleships

2018-05-24 Par sujet David Ponzone

Michel,

> > A propos du CBBC Michel, tu utilises de l'urpf strick ou juste blackhole au 
> > retour ?
>
> uRPF.
> interface GigabitEthernet0/1
> ip verify unicast source reachable-via rx allow-default

Moi je voudrais bien le faire sur Vyos, mais y un méchant bug (en 1.1.7 du 
moins) qui fait qu’une route BGP, qui a comme next-hop une IP qui est routée 
statiquement vers blackhole, n’est pas prise en compte par uRPF.
J’ai ouvert un ticket il y a 2 ans, ça a jamais passionné les foules.

>  C'est un peu futile aussi, car çà n'empêche pas le trafic indésirable 
> d'arriver; la différence étant qu'avec uRPF le paquet est perdu dès 
> réception, alors que si on se contente du blackhole il est routé vers null0. 
> Cà date de l'époque ou j'ai lu BCP38, probablement; je suis même pas sur que 
> çà marche, parce que à part çà :
>
> #sh cef interface g0/1
> IP unicast RPF check is enabled
> Input features: Stateful Inspection, Virtual Fragment Reassembly, Access List,
> Virtual Fragment Reassembly After IPS Decryption, uRPF
>
> Je vois pas comment controler que le mécanisme fonctionne. "show ip verify 
> statistics" çà n'existe pas sur mon routeur, si quelqu'un a un remplacement 
> je prends.

C’est quoi l’ordre: uRPF en premier ou les ACL ?
Si uRPF est exécuté en premier, il te suffit de mettre une ACL pour voir si 
elle est matchée ou pas.
Mais je pense que tu vas me répondre qu’uRPF arrive après les ACL :)







---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] BGP Battleships

2018-05-24 Par sujet Michel Py

> Pierre Emeriaud a écrit :
> Je suis assez fan des détournements de bgp (hack, pas hijack hein !),
> a la CBBC, bgp-spamd (http://bgp-spamd.net),

D'ailleurs, CBBC redistribue bgp-spamd ;-)

Pour compléter ta liste, l'irremplaçable fullbogons de Team Cymru que le CBBC 
ne redistribue pas.
http://www.team-cymru.com/bogon-reference.html


> ou mon bgp2fail2ban (https://paste.swordarmor.fr/rDUR pour les curieux).

Je le prendrais bien ton feed pour compléter le mien, tu veux pairer ?


> A propos du CBBC Michel, tu utilises de l'urpf strick ou juste blackhole au 
> retour ?

uRPF.
interface GigabitEthernet0/1
 ip verify unicast source reachable-via rx allow-default

C'est un peu futile aussi, car çà n'empêche pas le trafic indésirable 
d'arriver; la différence étant qu'avec uRPF le paquet est perdu dès réception, 
alors que si on se contente du blackhole il est routé vers null0. Cà date de 
l'époque ou j'ai lu BCP38, probablement; je suis même pas sur que çà marche, 
parce que à part çà :

#sh cef interface g0/1
  IP unicast RPF check is enabled
  Input features: Stateful Inspection, Virtual Fragment Reassembly, Access List,
  Virtual Fragment Reassembly After IPS Decryption, uRPF

Je vois pas comment controler que le mécanisme fonctionne. "show ip verify 
statistics" çà n'existe pas sur mon routeur, si quelqu'un a un remplacement je 
prends.

Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] BGP Battleships

2018-05-24 Par sujet Michael Hallgren

Oui :-)
Cheers,
mh

Le 24 mai 2018 à 19:47, à 19:47, "r...@futomaki.net"  a 
écrit:
>Génial.
>
>Sent from my Huawei Mobile
>
>
>
> Original Message 
>Subject: [FRnOG] [MISC] BGP Battleships
>From: Michel Py
>To: frnog-m...@frnog.org 
>CC:
>
>
>Vu récemment sur NANOG :
>
>https://blog.benjojo.co.uk/post/bgp-battleships
>
>Un exercice de futilité, mais j'ai trouvé l'article intéressant. On
>connaissait IP transporté avec des pigeons voyageurs, la bataille
>navale sous BGP c'est intéressant aussi !
>
>Michel.
>
>
>---
>Liste de diffusion du FRnOG
>http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] BGP Battleships

2018-05-24 Par sujet Pierre Emeriaud

Le 24 mai 2018 à 19:27, Michel Py  a écrit :
> Vu récemment sur NANOG :
>
> https://blog.benjojo.co.uk/post/bgp-battleships
>
> Un exercice de futilité, mais j'ai trouvé l'article intéressant. On 
> connaissait IP transporté avec des pigeons voyageurs, la bataille navale sous 
> BGP c'est intéressant aussi !

Dans le même genre d'exercice futile il y avait le nyan cat de Job
Snijders 
(https://stat.ripe.net/widget/routing-history#w.resource=as15562=2017-01-15T00%3A00%3A00=2017-06-23T00%3A00%3A00=Maxmized).

Je suis assez fan des détournements de bgp (hack, pas hijack hein !),
a la CBBC, bgp-spamd (http://bgp-spamd.net), ou mon bgp2fail2ban
(https://paste.swordarmor.fr/rDUR pour les curieux).

A propos du CBBC Michel, tu utilises de l'urpf strick ou juste
blackhole au retour ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] BGP Battleships

2018-05-24 Par sujet r...@futomaki.net

Génial. Sent from my Huawei Mobile Original Message Subject: [FRnOG] [MISC] BGP BattleshipsFrom: Michel Py To: frnog-m...@frnog.orgCC: Vu récemment sur NANOG :https://blog.benjojo.co.uk/post/bgp-battleshipsUn exercice de futilité, mais j'ai trouvé l'article intéressant. On connaissait IP transporté avec des pigeons voyageurs, la bataille navale sous BGP c'est intéressant aussi !Michel.---Liste de diffusion du FRnOGhttp://www.frnog.org/

RE: [FRnOG] [MISC] BGP Battleships

Re: [FRnOG] [MISC] BGP Battleships

RE: [FRnOG] [MISC] BGP Battleships

RE: [FRnOG] [MISC] BGP Battleships

RE: [FRnOG] [MISC] BGP Battleships

Re: [FRnOG] [MISC] BGP Battleships

Re: [FRnOG] [MISC] BGP Battleships

Re: [FRnOG] [MISC] BGP Battleships

8 matches

Site Navigation

Mail list logo

Footer information