Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Mon, Oct 14, 2013, at 22:44, Kavé Salamatian wrote: a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Disons juste que la solution pro n'a pas besoin de la personne qui l'a mise en place pour etre opere tous les week-ends et les nuits a 3h du mat. J'ai l'impression que dans la partie couts on oublie assez souvent la partie exploitation, qui malgre la croyance populaire n'est pas gratuite. Donc entre une solution qui coute bonbon pour la mise en prod mais pas grand chose cote exploitation, compare avec la solution qui coute pas grand chose cote mise en prod mais super-cher en exploitation, il faut faire un calcul sur la duree et arbitrer. Pour une solution anti-DDoS niveau operateur, faut aussi considere ce qu'on veut proteger : l'infra de l'operateur seule, ou les clients aussi. De mon cote, en tant que client d'une solution heberge chez l'operateur, je suis tres content du rapport prix/service, meme si ca sert uniquement quelques fois dans l'annee. Je ne paie pas enormement (malgre un impact assez sensible sur le cout du transit, en absolut ca reste plus que raisonnable), ca n'a pas (encore, au total, depuis plus de 2 ans) coute le prix d'une solution complete et ca a permis de nettoyer des attaques impossible a nettoyer avec une solution instalee chez nous. La meme solution chez nous n'aurait pas pu faire grand chose dans certains cas. Donc oui, la solution de notre up-stream est niveau operateur, et malgre le prix, le retour sur l'investissement doit etre la (de notre cote et aussi de leur). Il faut aussi preciser qu'il y a aussi des bricolages qui coutent extremement cher. J'ai trouve 4 boitiers dans cette categorie qui trainent depuis quelques annees arretees au fond d'une baie (c'etait la bricole extremement chere qui a pouse a utiliser le service de notre upstream). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Mon, Oct 14, 2013, at 22:57, Raphael Maunier wrote: solution brillante de l'ingénieur. Disons juste que si la solution en question est si brillante que ca, il y aura certainement quelqu'un pour embaucher l'inge en question pour la transformer dans une solution commerciale; s'attendre a un resultat a minimum 5 chiffres cote prix de vente, au moins a la sortie. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Mon, Oct 14, 2013, at 23:21, Kavé Salamatian wrote: Je connais malheureusement tellement de solutions commerciales qui sont nulles alors que des solutions de bricolage équivalente réponde au besoin, et vice-versa. Ne pas oublier que beaucoup de solutions commerciales sont simplement des solutions de bricolage et même en grande majorité de l'open source qui a force de travail sont devenue fiable et facile à utiliser …. Oui mais : un bricolage comemrcial (et effectivement, ca existe en grande quantite) donne a manger a des gens, alors qu'un bricolage interne empeche juste des gens de dormir... Un bon bricolage interne n'est d'ailleurs plus un bricolage, mais une solution proprieteire. Moralité, il n'y a pas de solutions universelles. La tout le monde est d'accord. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 15 oct. 2013 à 08:36, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Mon, Oct 14, 2013, at 22:44, Kavé Salamatian wrote: a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Disons juste que la solution pro n'a pas besoin de la personne qui l'a mise en place pour etre opere tous les week-ends et les nuits a 3h du mat. J'ai l'impression que dans la partie couts on oublie assez souvent la partie exploitation, qui malgre la croyance populaire n'est pas gratuite. Donc entre une solution qui coute bonbon pour la mise en prod mais pas grand chose cote exploitation, compare avec la solution qui coute pas grand chose cote mise en prod mais super-cher en exploitation, il faut faire un calcul sur la duree et arbitrer. Rentrons dans les détails. Ca coute combien un ingé pour configurer une bécane. Disons 5000 € par mois charges sociales comprises (c'est a peu près mon salaire) . Supposons qu'il passe 10% de son temps à configurer et bichonner sa machine. Ca fait 500€ par mois. Ne parlons pas de Ddos car en effet pour gérer une ddos massive il faut du HW, mais d'un parefeu classique. Il te faut 40 mois d'ingénieur pour arriver au 20-25 K€ de différentiel entre une solution commerciale et une solution de bricolage. Si tu ajoutes la maintenance … y'a plus photo. Un recrutement d'ingé ça réduit le chômage chez nous, améliore l'attractivité des formations en informatique (qui sont actuellement en crise de vocations), et fait vivre quelqu'un. Acheter du mathos ça engraisse des actionnaires aux states, augmente le salaire des commerciaux (qui avec moins d'effort que les techniques gagnent trois fois plus) , et opprime les petites mains chinoises. Bon je suis un brin extrême, mais pas si loin que ça de la réalité. Kavé --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 15 oct. 2013 à 08:54, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Mon, Oct 14, 2013, at 23:21, Kavé Salamatian wrote: Je connais malheureusement tellement de solutions commerciales qui sont nulles alors que des solutions de bricolage équivalente réponde au besoin, et vice-versa. Ne pas oublier que beaucoup de solutions commerciales sont simplement des solutions de bricolage et même en grande majorité de l'open source qui a force de travail sont devenue fiable et facile à utiliser …. Oui mais : un bricolage comemrcial (et effectivement, ca existe en grande quantite) donne a manger a des gens, alors qu'un bricolage interne empeche juste des gens de dormir… Non, la solution commerciale enlève de l'emploi car la solution commerciale elle vient presque toujours des states ou de la chine. Un bon bricolage interne n'est d'ailleurs plus un bricolage, mais une solution proprieteire. Moralité, il n'y a pas de solutions universelles. La tout le monde est d'accord. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Mon, Oct 14, 2013, at 23:47, Fabien Delmotte wrote: Bonsoir, DDOS oui mais de quoi parlons nous ? Syn flood est un DDOS et un FPGA peut le contrer .. Slow loris est un DDOS et il faut une CPU (je crois).. Tres bonne observation. Mon sous-entendu (et aussi celui d'autres personnes ici) c'etait du volume-based DDoS / remplir le tuyau. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Bonjour, Incidemment et juste à titre d'information, dans le dernier numéro d'« OVH News » il y a un article d'Octave Klaba sur le sujet, qui décrit leur réseau et comment ils font. Bonne journée. -- Laurent Bloch - http://www.laurentbloch.org - l...@laurentbloch.org Le ciel se rit des prières qu'on lui fait pour détourner de soi des maux dont on persiste à vouloir les causes. (B) signature.asc Description: PGP signature
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Slow Loris est tout sauf un D(pour Distributed)DOS justement ... C'est un DOS, mais dont le but est d'être lancé en solitaire depuis une machine peu puissante. C'est une attaque de couche 7, donc il faut un équipement capable de lire la couche 7. La CPU est le premier truc qui vient à l'esprit car assez agile pour adapter un code pour lire la couche 7, alors qu'un FPGA sera forcément spécialisé dans ce seul pattern d'attaque (et du coup pas utilisable pour d'autres attaques). Le 14 octobre 2013 23:47, Fabien Delmotte fdelmot...@mac.com a écrit : Bonsoir, DDOS oui mais de quoi parlons nous ? Syn flood est un DDOS et un FPGA peut le contrer .. Slow loris est un DDOS et il faut une CPU (je crois).. Tout cela pour dire qu'en fonction des tuyaux (taille) et des fonctions DDOS que l'on veut mettre en oeuvre, la solution PC open Source peut être valide et pour certain cas l'assistance d'un hardware est indispensable. Donc il n'y a pas de solution miracle. Que le client exprime correctement ses besoins et les ingénieurs pourront proposer des solutions Mes 2 cents. Cordialement Fabien Le 14 oct. 2013 à 23:36, Kavé Salamatian kave.salamat...@univ-savoie.fr a écrit : +1 C'est aussi mon propos. Kavé Le 14 oct. 2013 à 23:32, Frederic Dhieux frede...@syn.fr a écrit : Le 10/14/13 10:44 PM, Kavé Salamatian a écrit : La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. C'est assez triste de voir 2 extrêmes s'affronter sans nuance. OK les solutions commerciales sont parfois scandaleuses (les load balancers sont le premier exemple qui me vient en tête avant un certain volume et certaines fonctionnalités), mais il faut arrêter aussi de croire qu'avec un Linux/BSD on peut atteindre les niveaux de traitement d'une solution pure hardware. Déjà il faut bien séparer une solution hardware basée sur une architecture PC rebrandée et une vraie archi hardware avec ses processeurs spécialisés, ses puces dédiées, etc. Aussi les serveurs actuels sont parfois assez puissants pour faire des choses, parfois les gens documentent mieux que le petit ingénieur surdoué et permettent un suivi, mais il faut l'admettre, pour certaines fonctions les solutions hardware tiennent bien mieux. Quand on parle d'attaques, on parle en général de flux dont l'objectif est d'atteindre une saturation (de tuyaux, de connexions, de slots du services, ...). Dans ce cas avec la multitudes de sources et de flux, il est logique de voir des solutions matérielles plus adaptées à ce type de traitement. On peut discuter du support, on peut discuter de la fiabilité, on peut discuter de la capacité à régler soi même des problèmes sans être dépendant d'un support trop long à se bouger aussi en contreparite. Mais limiter le débât à C'est juste pour dire qu'on a la plus grosse qui coûte cher pour rassurer le client VS C'est de la bidouille de geek dans son coin inmaintenable, c'est vraiment noyer tout argumentaire constructif selon moi. Pour moi le problème c'est surtout de savoir à partir de quel volume une solution n'est plus adaptée et peser le pour et le contre en fonction du nombre de personnes pour s'en occuper versus le budget d'une solution toute faite avec support. Et également de calculer le risque en cas de problème et l'impact sur la santé financière de la société. Quand je vois quelqu'un parler de suicide dans un titre de sujet sur le FRnOG parce qu'il n'a aucune solution pour se protéger, ça me donne l'impression d'un mec qui n'a aucune assurance et qui voit sa boutique bruler, avec juste un verre d'eau à la main pour l'éteindre sans jamais s'être posé la question avant. Pour finir quand on a des clients derrière sa solution, on n'a pas le droit à l'erreur. Si on se plante et qu'on a fait le truc soi même, on se fait torpiller par ses clients. Quand on a un constructeur derrière, on gagne une certaine crédibilité et on n'est moins coupable si la solution est connue/réputée (ça n'empêche pas qu'il y a des gens très doués pour ne pas savoir les implémenter parfois). Alors faire joujou c'est sympa, mais faut être sûr de maitriser tous les cas, de tenir les pics et de pouvoir assumer face à ses clients. Bref, le débat est nuancé par l'activité à protéger, par
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Oct 15, 2013, at 9:04 AM, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Le 15 oct. 2013 à 08:54, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Mon, Oct 14, 2013, at 23:21, Kavé Salamatian wrote: Je connais malheureusement tellement de solutions commerciales qui sont nulles alors que des solutions de bricolage équivalente réponde au besoin, et vice-versa. Ne pas oublier que beaucoup de solutions commerciales sont simplement des solutions de bricolage et même en grande majorité de l'open source qui a force de travail sont devenue fiable et facile à utiliser …. Oui mais : un bricolage comemrcial (et effectivement, ca existe en grande quantite) donne a manger a des gens, alors qu'un bricolage interne empeche juste des gens de dormir… Non, la solution commerciale enlève de l'emploi car la solution commerciale elle vient presque toujours des states ou de la chine. Et dans d'autres circonstances, elle sauve de l'emploi car disponible de suite et si tu es sous le coup d'une demande de rançon , et ça existe, j'ai eu un client qui en a eu une cette semaine. Le gus envoie un mini ddos, puis envoie un mail : Mon ID Skype est X, merci de venir pour en discuter avant que j'envoie le vrai ddos et que je mets votre plateforme down pendant 3 jours. Si le mec n'avait pas justement acheté les bons routeurs et prévu le coup, il aurait subit le racket organisé de cette mafia en pleine expansion. Dans le cas Jérémy, il a été down plusieurs fois et longtemps. Il a également causé des effets de bords sur ces 2 transitaires. Il a peu de clients ( c'est lui qui l'a dit hier soir ) et surement plus indulgents. J'aurais eu un backbone aussi instable à l'époque, j'aurais pointé à Pole-emploi la semaine d'après, d'une part parce que mes patrons m'auraient viré, et très franchement ils auraient eu raison, car je suis embauché pour que ça juste marche Et d'autres parts, parce que avec autant d'incidents, on aurait probablement perdu beaucoup de clients et qu'il aurait fallu faire des coupes dans le personnel. Donc la solution commerciale, ne coute pas si cher que ça. Désolé Kavé, mais dans le monde de la production réseau, ce n'est pas toujours possible d'attendre la solution miracle qui sortira d'un laboratoire, il faut agir en fonction de plusieurs paramètres. Tu devrais vraiment faire un break de 2 ans et venir bosser 100% de ton temps chez un opérateur à l'ingénierie ou à la production. Tu constateras que ce n'est vraiment comme tu peux le voir aujourd'hui Je crois que le fond de la discussion est en train de dériver sur un sujet qui est lui tout aussi intéressant. Ça tombe bien Kavé, nous avions prévu d'en discuter et nous n'avons jamais eu le temps de le faire. La reconnaissance de l'universitaire dans notre monde Internet/Telecoms/Content est ton principal problème. Pour ma part, lorsque j'ai eu en face de moi des ingénieurs issue de la filière école et alternance, ils étaient très largement préférés pour plusieurs raisons : - Ils sont quasiment directement opérationnel - Ils ne confondent pas Datacenter neutre : Datacenter opéré par FT qui est obligé de louer une partie parce que L'ARCEP le demande ( si si on me l'a fait ) - Ils ne me parlent pas 99% du temps théorie et m'apportent des solutions concrètes. - Ils ont une expérience terrain validée - […] Je prendrais également un mec qui a zéro diplômes et qui a déjà bossé et qui est connu pour ce qu'il a fait et non pour ce qu'il annonce sur son CV Le soucis c'est la méthode d'enseignement universitaire en France qui est trop élitiste, qui pense qu'un bon bourrage de crâne à l'ancienne est ce qu'il faut faire. De ce que j'ai pu voir, et beaucoup de mes confères le confirmeront, un mec qui sort de 6 ans d'études en université est useless pour notre métier. A l'exception des gens comme Criteo par exemple, qui ont besoin de mecs qui lorsqu'ils te parlent tu ne comprends pas plus de 3 mots. Mais c'est 1 personne pour 100. Le monde universitaire doit s'adapter au monde , je déteste cette expression, du numérique. Pourquoi tu crois que des initiatives comme 42 existe ? Pourquoi tu crois que des gens comme ionis sont en constante évolution ? Tout simplement parce qu'il faut aussi fabriquer des gens directement opérationnel. C'est moche, mais c'est comme ça. L'université fabrique des cerveaux certes, mais inadapté pour nous ( informatique / réseau j'entends en histoire, il en faut des universitaires par ex ). Le jour ou ils iront en entreprise avant de valider leurs diplômes, on devrait enfin commencer à avoir des gens opérationnel rapidement. ( je ne parle pas des rares exceptions qui confirment la règle ) Un bon bricolage interne n'est d'ailleurs plus un bricolage, mais une solution proprieteire. Moralité, il n'y a pas de solutions universelles. La tout le monde est d'accord. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Tue, Oct 15, 2013, at 9:03, Kavé Salamatian wrote: Rentrons dans les détails. Ca coute combien un ingé pour configurer une bécane. Disons 5000 € par mois charges sociales comprises (c'est a peu près mon salaire) . Supposons qu'il passe 10% de son temps à configurer et bichonner sa machine. Ca fait 500€ par mois. Ne parlons pas de Ddos car en effet pour gérer une ddos massive il faut du HW, mais d'un parefeu classique. Il te faut 40 mois d'ingénieur pour arriver au 20-25 K€ de différentiel entre une solution commerciale et une solution de bricolage. Si tu ajoutes la maintenance … y'a plus photo. A Paris j'ai un probleme de qualite a ce niveau salarial (et pas qu'un petit probleme). Apres, comme le bonheur (DDoS) n'arrive que rarement dans la journee pendant la semaine, il faut que j'ajoute les majorations qui vont bien (je ne compte meme pas le temps de reccuperation). Et finalement, le grand element qui differenceie la bricole de la solution pro, la documentation et le transfer de competence, pour le jour ou l'inge en question part en vacance a Nullepart-sur-Mer (zone non couverte en 2G/3G/4G parce-que ...). C'est d'ailleurs le plus grand probleme, et le raison principal pour lequel ca fini en bricole et non pas solution pro. Un recrutement d'ingé ça réduit le chômage chez nous, Generalement ceux que j'essaye de recruter n'ont pas de probleme de chomage... améliore l'attractivité des formations en informatique (qui sont actuellement en crise de vocations), et fait vivre quelqu'un. Acheter du mathos ça engraisse des actionnaires aux states, augmente le salaire des commerciaux (qui avec moins d'effort que les techniques gagnent trois fois plus) , et opprime les petites mains chinoises. Bon je suis un brin extrême, mais pas si loin que ça de la réalité. Je t'epargne mon point de vue sur tout ca, au moins en public. Je peux te degouter en prive si tu veux :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Non, la solution commerciale enlève de l'emploi car la solution commerciale elle vient presque toujours des states ou de la chine. En meme temps la faute à qui ? Des qu'une équipe a une idée, ils veulent pas monter une startup et laissent ça aux thesards ... :) Bon attention, je jette pas la pierre, il y a des conditions en France (en Europe un peu moins) qui font que c'est pas aussi simple qu'aux US ou en Chine. A+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Hello Raphael, (...) On parle d'opérateurs / d'hebergeurs dans ce cas bien précis. On parle d'Internet ( Jeremy parlait de sa solution supportant 30gig ) Oui mais il y a aussi des petits opérateurs içi :) Tous aimeraient se payer des solution jolies et efficaces, après, il s'agit, comme tous de commencer petit et après arriver a se payer de beaux jouets. L'aspect des pères (ceux, comme toi qui ont de la chance de jouer avec des 100G de traffic), qui peuvent conseiller aux débutants des erreurs a ne pas faire est toujours intéressant, je pense que là est le débat... à mon avis. Xavier -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 14 oct. 2013 à 23:38, Raphael Maunier a écrit : On Oct 14, 2013, at 11:21 PM, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Dans la vrai vie, celle qui fait vraiment tourner Internet, tu ne peux pas mettre en péril ton backbone, juste pour faire mumuse avec la solution brillante de l'ingénieur. Bas non un vrai ingénieur ne fait jamais mumuse, mais il se fait pas aussi rouler dans la farine par un commercial qui lui vend la solution du siècle. L'ingénieur brillant est l'ingénieur qui est capable de dépenser 100 k€ pour répondre à son besoin (ou au besoin de son entreprise) car il n'y a pas de solution moins cher qui répondrait à toutes les contraintes doit celle que tu décrit, mais qui est aussi capable d'implanter la solution à 500 € qui répond au besoin sans penser que cela réduira mon importance dans la boite (car fréquemment c'est le volume de fric que tu gaspille qui défini ton importance dans la boite). Ce n'est pas le prix d'une solution qui valide sa qualité technique. j'ai un peu l'impression qu'on a oublié dans la profession qu'on fait un boulot d'ingénieur, pas de chargé d'achat de matériel informatique. Tu dois confondre entre l'ingénierie et la direction technique. L'ingénierie teste et valide les solutions des constructeurs ou opensource, et s'il y a le budget pour libérer du temps humain, des solutions interne et assume également la fonction de RD L'ingénieur réseau se contente de tester toute la journée ? C'est triste, quel gachis d'intelligence... A tel point qu'à ce que j'ai l'impression, si l'ingénieur réseau doit ne serait-ce qu'écrire une seule ligne de code il va appeler ça de la RD. Chez nous en informatique on appelle ça de l'intégration. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Oct 15, 2013, at 11:18 AM, Emmanuel Thierry m...@sekil.fr wrote: Le 14 oct. 2013 à 23:38, Raphael Maunier a écrit : On Oct 14, 2013, at 11:21 PM, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Dans la vrai vie, celle qui fait vraiment tourner Internet, tu ne peux pas mettre en péril ton backbone, juste pour faire mumuse avec la solution brillante de l'ingénieur. Bas non un vrai ingénieur ne fait jamais mumuse, mais il se fait pas aussi rouler dans la farine par un commercial qui lui vend la solution du siècle. L'ingénieur brillant est l'ingénieur qui est capable de dépenser 100 k€ pour répondre à son besoin (ou au besoin de son entreprise) car il n'y a pas de solution moins cher qui répondrait à toutes les contraintes doit celle que tu décrit, mais qui est aussi capable d'implanter la solution à 500 € qui répond au besoin sans penser que cela réduira mon importance dans la boite (car fréquemment c'est le volume de fric que tu gaspille qui défini ton importance dans la boite). Ce n'est pas le prix d'une solution qui valide sa qualité technique. j'ai un peu l'impression qu'on a oublié dans la profession qu'on fait un boulot d'ingénieur, pas de chargé d'achat de matériel informatique. Tu dois confondre entre l'ingénierie et la direction technique. L'ingénierie teste et valide les solutions des constructeurs ou opensource, et s'il y a le budget pour libérer du temps humain, des solutions interne et assume également la fonction de RD L'ingénieur réseau se contente de tester toute la journée ? C'est triste, quel gachis d'intelligence... A tel point qu'à ce que j'ai l'impression, si l'ingénieur réseau doit ne serait-ce qu'écrire une seule ligne de code il va appeler ça de la RD. Chez nous en informatique on appelle ça de l'intégration. Attention de ne pas interpréter mes propos. Il teste et valide les solutions en fonction des problématiques interne et des clients. C'est de l'ingénierie pure. Si pour automatiser qq éléments de conf, l'ingénieur est capable de le faire, et il est forcement invité à le faire, par contre Si tu veux du code, il faut un dev qui le fera proprement. Le code crado, non documenté parce que fait à l'arrache, c'est malheureusement bien trop souvent un soucis quand un mec se barre. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
le plus simple est de bosser avec un opérateur qui a déjà du Arbor sur son reseau où tu interconnectes ton peakflow avec leur infra. comme ça ils peuvent bloquer l'attaque pour toi. OTI AS5511 le propose et je crois que neotelecoms aussi. chez OTI on parle de 60Gbps de capa de filtrage ce qui est déjà pas mal. c'est la solution la plus simple/rapide car le vrai 1er probleme des attaques, ce n'est pas le boitier qui mitige mais disposer d'une belle capa pour pouvoir accepter l'attaque. le record chez nous c'est 200Gbps et chaque jour j'ai une attaque de 100Gbps. On Mon, Oct 14, 2013 at 01:53:39PM +0200, pierre wrote: Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 15 oct. 2013 à 11:29, Raphael Maunier a écrit : On Oct 15, 2013, at 11:18 AM, Emmanuel Thierry m...@sekil.fr wrote: Le 14 oct. 2013 à 23:38, Raphael Maunier a écrit : On Oct 14, 2013, at 11:21 PM, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Dans la vrai vie, celle qui fait vraiment tourner Internet, tu ne peux pas mettre en péril ton backbone, juste pour faire mumuse avec la solution brillante de l'ingénieur. Bas non un vrai ingénieur ne fait jamais mumuse, mais il se fait pas aussi rouler dans la farine par un commercial qui lui vend la solution du siècle. L'ingénieur brillant est l'ingénieur qui est capable de dépenser 100 k€ pour répondre à son besoin (ou au besoin de son entreprise) car il n'y a pas de solution moins cher qui répondrait à toutes les contraintes doit celle que tu décrit, mais qui est aussi capable d'implanter la solution à 500 € qui répond au besoin sans penser que cela réduira mon importance dans la boite (car fréquemment c'est le volume de fric que tu gaspille qui défini ton importance dans la boite). Ce n'est pas le prix d'une solution qui valide sa qualité technique. j'ai un peu l'impression qu'on a oublié dans la profession qu'on fait un boulot d'ingénieur, pas de chargé d'achat de matériel informatique. Tu dois confondre entre l'ingénierie et la direction technique. L'ingénierie teste et valide les solutions des constructeurs ou opensource, et s'il y a le budget pour libérer du temps humain, des solutions interne et assume également la fonction de RD L'ingénieur réseau se contente de tester toute la journée ? C'est triste, quel gachis d'intelligence... A tel point qu'à ce que j'ai l'impression, si l'ingénieur réseau doit ne serait-ce qu'écrire une seule ligne de code il va appeler ça de la RD. Chez nous en informatique on appelle ça de l'intégration. Attention de ne pas interpréter mes propos. Il teste et valide les solutions en fonction des problématiques interne et des clients. C'est de l'ingénierie pure. Si pour automatiser qq éléments de conf, l'ingénieur est capable de le faire, et il est forcement invité à le faire, par contre Si tu veux du code, il faut un dev qui le fera proprement. Le code crado, non documenté parce que fait à l'arrache, c'est malheureusement bien trop souvent un soucis quand un mec se barre. Quand tu vas voir le SDN arriver dans ton réseau, tu verras, ce n'est *que* du code. Il va falloir commencer à apprendre à coder justement ! ;) Du petit bout de ma lorgnette, je vois surtout qu'un ingé réseau qui ne sait pas coder ne saura se restreindre qu'à des solutions propriétaires (voire des environnements propriétaires, on le voit bien en sysadmin sur les environnements tout intégrés Microsoft). Il sera incapable de voir qu'avec un peu de script, ou de C (bouh, le gros mot ! ), il est capable d'adapter sa solution propriétaire pour qu'elle fasse *exactement* ce qu'il veut. Et il aura tendance à considérer ce manque comme un atout: si j'achète tout Cisco (y compris les DHCP, DNS cie), ce n'est pas parce que je ne sais pas intégrer autre chose à mon environnement, c'est parce que Cisco est le meilleur (en plus vu le prix auquel ils vendent ça ne peut qu'être top moumoute ! ;) ). Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Oct 15, 2013, at 11:50 AM, Emmanuel Thierry m...@sekil.fr wrote: Le 15 oct. 2013 à 11:29, Raphael Maunier a écrit : On Oct 15, 2013, at 11:18 AM, Emmanuel Thierry m...@sekil.fr wrote: Le 14 oct. 2013 à 23:38, Raphael Maunier a écrit : On Oct 14, 2013, at 11:21 PM, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Dans la vrai vie, celle qui fait vraiment tourner Internet, tu ne peux pas mettre en péril ton backbone, juste pour faire mumuse avec la solution brillante de l'ingénieur. Bas non un vrai ingénieur ne fait jamais mumuse, mais il se fait pas aussi rouler dans la farine par un commercial qui lui vend la solution du siècle. L'ingénieur brillant est l'ingénieur qui est capable de dépenser 100 k€ pour répondre à son besoin (ou au besoin de son entreprise) car il n'y a pas de solution moins cher qui répondrait à toutes les contraintes doit celle que tu décrit, mais qui est aussi capable d'implanter la solution à 500 € qui répond au besoin sans penser que cela réduira mon importance dans la boite (car fréquemment c'est le volume de fric que tu gaspille qui défini ton importance dans la boite). Ce n'est pas le prix d'une solution qui valide sa qualité technique. j'ai un peu l'impression qu'on a oublié dans la profession qu'on fait un boulot d'ingénieur, pas de chargé d'achat de matériel informatique. Tu dois confondre entre l'ingénierie et la direction technique. L'ingénierie teste et valide les solutions des constructeurs ou opensource, et s'il y a le budget pour libérer du temps humain, des solutions interne et assume également la fonction de RD L'ingénieur réseau se contente de tester toute la journée ? C'est triste, quel gachis d'intelligence... A tel point qu'à ce que j'ai l'impression, si l'ingénieur réseau doit ne serait-ce qu'écrire une seule ligne de code il va appeler ça de la RD. Chez nous en informatique on appelle ça de l'intégration. Attention de ne pas interpréter mes propos. Il teste et valide les solutions en fonction des problématiques interne et des clients. C'est de l'ingénierie pure. Si pour automatiser qq éléments de conf, l'ingénieur est capable de le faire, et il est forcement invité à le faire, par contre Si tu veux du code, il faut un dev qui le fera proprement. Le code crado, non documenté parce que fait à l'arrache, c'est malheureusement bien trop souvent un soucis quand un mec se barre. Quand tu vas voir le SDN arriver dans ton réseau, tu verras, ce n'est *que* du code. Déjà vu, dans Job -1, j'avais mis en place avec Matoa, la beta Contrail de Juniper dans le lab et sans pisser une ligne de code, ça juste fonctionnait ! Il va falloir commencer à apprendre à coder justement ! ;) Encore chez Job -1, il y a une équipe de codeur. Je ne sais pas pisser une ligne de code, mais je sais ce que je veux, et le responsable de l'équipe est la pour comprendre ce que l'ingénierie demande. C'est lui qui donne les dates de delivery et on est souvent sur des delais de 3/6 mois, rarement en dessous. C'est le prix à payer pour avoir un truc propre et documenté. Du petit bout de ma lorgnette, je vois surtout qu'un ingé réseau qui ne sait pas coder ne saura se restreindre qu'à des solutions propriétaires (voire des environnements propriétaires, on le voit bien en sysadmin sur les environnements tout intégrés Microsoft). C'est vrai et faux :) Car dans une petite boite en mode startup, le mec il saura bien souvent faire les deux , dans une grosse boite, tu as une équipe de dev, donc ce n'est pas son périmètre (®Sbol ) Il sera incapable de voir qu'avec un peu de script, ou de C (bouh, le gros mot ! ), il est capable d'adapter sa solution propriétaire pour qu'elle fasse *exactement* ce qu'il veut. Et il aura tendance à considérer ce manque comme un atout: si j'achète tout Cisco (y compris les DHCP, DNS cie), ce n'est pas parce que je ne sais pas intégrer autre chose à mon environnement, c'est parce que Cisco est le meilleur (en plus vu le prix auquel ils vendent ça ne peut qu'être top moumoute ! ;) ). API -- Dev -- J'veux ça et ça fonctionne :) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 15/10/2013 10:03, Raphael Maunier a écrit : La reconnaissance de l'universitaire dans notre monde Internet/Telecoms/Content est ton principal problème. Pour ma part, lorsque j'ai eu en face de moi des ingénieurs issue de la filière école et alternance, ils étaient très largement préférés pour plusieurs raisons : - Ils sont quasiment directement opérationnel - Ils ne confondent pas Datacenter neutre : Datacenter opéré par FT qui est obligé de louer une partie parce que L'ARCEP le demande ( si si on me l'a fait ) - Ils ne me parlent pas 99% du temps théorie et m'apportent des solutions concrètes. - Ils ont une expérience terrain validée - […] Je prendrais également un mec qui a zéro diplômes et qui a déjà bossé et qui est connu pour ce qu'il a fait et non pour ce qu'il annonce sur son CV Le soucis c'est la méthode d'enseignement universitaire en France qui est trop élitiste, qui pense qu'un bon bourrage de crâne à l'ancienne est ce qu'il faut faire. De ce que j'ai pu voir, et beaucoup de mes confères le confirmeront, un mec qui sort de 6 ans d'études en université est useless pour notre métier. A l'exception des gens comme Criteo par exemple, qui ont besoin de mecs qui lorsqu'ils te parlent tu ne comprends pas plus de 3 mots. Mais c'est 1 personne pour 100. Le monde universitaire doit s'adapter au monde , je déteste cette expression, du numérique. Pourquoi tu crois que des initiatives comme 42 existe ? Pourquoi tu crois que des gens comme ionis sont en constante évolution ? Tout simplement parce qu'il faut aussi fabriquer des gens directement opérationnel. C'est moche, mais c'est comme ça. L'université fabrique des cerveaux certes, mais inadapté pour nous ( informatique / réseau j'entends en histoire, il en faut des universitaires par ex ). Le jour ou ils iront en entreprise avant de valider leurs diplômes, on devrait enfin commencer à avoir des gens opérationnel rapidement. ( je ne parle pas des rares exceptions qui confirment la règle ) On dérive complétement du sujet initial; mais ce débat est très intéressant. (malheureusement cela va partir en flamewar.) Je penses que tu as raisons sur le fait qu'il faut avoir des gens directement opérationnels. Pour cela l'alternance, epitech, 42 whatever font leur taff. Mais je penses aussi que tu as en parti tord sur le fait que l'université produit des gens inadapté, mais c'est sans doute du à mon parcours 100% universitaire (DUT,licence,maitrise,DESS). Ces formations ne m'ont pas aidé à être opérationnel, cela je l'ai appris à coté (expérimentation perso, potes). En revanche mes formations m'ont permis d’acquérir les bases théoriques indispensables à la pratique de mon métier. J'ai pu appréhender toutes les technos que je voulais, et si aujourd'hui je fais pas mal de réseau, rien ne m’empêchera un jour de faire du dev si ca me chante, et j'ai le sentiment que c'est grâce à mes formations, et c'est ce que devrait apporter une formation, l'adaptabilité, et apprendre à apprendre. Le truc c'est qu'aujourd'hui on nous sort que notre système universitaire est obsolète, qu'il faut former des mecs opérationnels tout de suite. Fort bien. Mais ça les chinois et les indiens vont aussi savoir le faire. Quel plus value pour les ingénieur français ? C'est peut être ton besoin aussi et le besoin de pas mal de société. OK. Mais c'est un très mauvais pari sur le long terme à mon avis. En conclusion je crois surtout qu'il n'y a pas de règle générale et ce qui fait la différence c'est la passion de son métier. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 15 oct. 2013 à 10:03, Raphael Maunier raph...@maunier.net a écrit : On Oct 15, 2013, at 9:04 AM, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Le 15 oct. 2013 à 08:54, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Mon, Oct 14, 2013, at 23:21, Kavé Salamatian wrote: Je connais malheureusement tellement de solutions commerciales qui sont nulles alors que des solutions de bricolage équivalente réponde au besoin, et vice-versa. Ne pas oublier que beaucoup de solutions commerciales sont simplement des solutions de bricolage et même en grande majorité de l'open source qui a force de travail sont devenue fiable et facile à utiliser …. Oui mais : un bricolage comemrcial (et effectivement, ca existe en grande quantite) donne a manger a des gens, alors qu'un bricolage interne empeche juste des gens de dormir… Non, la solution commerciale enlève de l'emploi car la solution commerciale elle vient presque toujours des states ou de la chine. Et dans d'autres circonstances, elle sauve de l'emploi car disponible de suite et si tu es sous le coup d'une demande de rançon , et ça existe, j'ai eu un client qui en a eu une cette semaine. Le gus envoie un mini ddos, puis envoie un mail : Mon ID Skype est X, merci de venir pour en discuter avant que j'envoie le vrai ddos et que je mets votre plateforme down pendant 3 jours. Si le mec n'avait pas justement acheté les bons routeurs et prévu le coup, il aurait subit le racket organisé de cette mafia en pleine expansion. Dans le cas Jérémy, il a été down plusieurs fois et longtemps. Il a également causé des effets de bords sur ces 2 transitaires. Il a peu de clients ( c'est lui qui l'a dit hier soir ) et surement plus indulgents. J'aurais eu un backbone aussi instable à l'époque, j'aurais pointé à Pole-emploi la semaine d'après, d'une part parce que mes patrons m'auraient viré, et très franchement ils auraient eu raison, car je suis embauché pour que ça juste marche Et d'autres parts, parce que avec autant d'incidents, on aurait probablement perdu beaucoup de clients et qu'il aurait fallu faire des coupes dans le personnel. Donc la solution commerciale, ne coute pas si cher que ça. Je suis d'accord avec toi. C'est parfois le cas. Parfois ce n'est pas le cas. D'où mon biais peut-être académique, de ne jamais donner d'avis absolu. Non par défaut la solution commerciale n'est pas toujours la bonne, et non plus par défaut la solution non commerciale n'est pas toujours la bonne. Je garde mes oreilles et mes méninges bien ouvertes et j'écoute les retours d'expérience et je prend une décision en fonction de mes contraintes. Parfois, je met le paquet et j'achète la solution commerciale. Parfois, je met le paquet sur mes ressources internes et je déploie la solution opensource. Parfois je réussi et j'apprends. Parfois je me plante, et j'apprends encore plus. Tu me diras, et les clients ! ils sont un élément de l'équation avec un gros coefficient de weighting :-). Et puis il y'a les commerciaux qui vendent de la fiabilité 99.999 % ( 3 minutes de coupure par an :-) ce que tout les technique savent que c'est pas possible partout, tout le temps …. En résumé, et c'est d'ailleurs ce qu'on apprend à nos étudiants, il faut réfléchir avant d'agir. Bon parfois quand tu as une meute de loup qui te cours après t'as pas le temps de réfléchir, quoique parfois ça peut aider de réfléchir en courant …. Je répondrais plus longuement sur la second partie du mail. A+ Kavé --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Hello, (...) Je suis d'accord avec toi. C'est parfois le cas. Parfois ce n'est pas le cas. D'où mon biais peut-être académique, de ne jamais donner d'avis absolu. Non par défaut la solution commerciale n'est pas toujours la bonne, et non plus par défaut la solution non commerciale n'est pas toujours la bonne. Je garde mes oreilles et mes méninges bien ouvertes et j'écoute les retours d'expérience et je prend une décision en fonction de mes contraintes. Parfois, je met le paquet et j'achète la solution commerciale. Parfois, je met le paquet sur mes ressources internes et je déploie la solution opensource. Parfois je réussi et j'apprends. Parfois je me plante, et j'apprends encore plus. Tu me diras, et les clients ! ils sont un élément de l'équation avec un gros coefficient de weighting :-). Et puis il y'a les commerciaux qui vendent de la fiabilité 99.999 % ( 3 minutes de coupure par an :-) ce que tout les technique savent que c'est pas possible partout, tout le temps …. Un exemple parmi d'autres : le monitoring. Les solutions commerciales ou pas ont toutes une approche différentes et des fois, selon ce qu'on veux, on prends une version commerciale ou pas... :) Xavier -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 2013-10-15 14:53, Xavier Beaudouin a écrit : Hello, (...) Je suis d'accord avec toi. C'est parfois le cas. Parfois ce n'est pas le cas. D'où mon biais peut-être académique, de ne jamais donner d'avis absolu. Non par défaut la solution commerciale n'est pas toujours la bonne, et non plus par défaut la solution non commerciale n'est pas toujours la bonne. Je garde mes oreilles et mes méninges bien ouvertes et j'écoute les retours d'expérience et je prend une décision en fonction de mes contraintes. Parfois, je met le paquet et j'achète la solution commerciale. Parfois, je met le paquet sur mes ressources internes et je déploie la solution opensource. Parfois je réussi et j'apprends. Parfois je me plante, et j'apprends encore plus. Tu me diras, et les clients ! ils sont un élément de l'équation avec un gros coefficient de weighting :-). Et puis il y'a les commerciaux qui vendent de la fiabilité 99.999 % ( 3 minutes de coupure par an :-) ce que tout les technique savent que c'est pas possible partout, tout le temps …. Un exemple parmi d'autres : le monitoring. Les solutions commerciales ou pas ont toutes une approche différentes et des fois, selon ce qu'on veux, on prends une version commerciale ou pas... :) Pour le coup, pour du monitoring, y a pas photo :) Nagios = 14 ans d'existence donc forcement, entre Nagios / Observium / cacti … Payer pour du monitoring, c'est du gaspillage d'argent Cependant, pour faire du sflow proprement, je n'ai pas encore trouvé mon bonheur en intégration rapide et sans avoir besoin de dev. Et Peakflow SP, ça juste marche ( et je le concède, si c'est que pour cette fonction la, c'est hors budget ) Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 15 oct. 2013 à 15:41, Raphael Maunier raph...@maunier.net a écrit : Le 2013-10-15 14:53, Xavier Beaudouin a écrit : Hello, (...) Je suis d'accord avec toi. C'est parfois le cas. Parfois ce n'est pas le cas. D'où mon biais peut-être académique, de ne jamais donner d'avis absolu. Non par défaut la solution commerciale n'est pas toujours la bonne, et non plus par défaut la solution non commerciale n'est pas toujours la bonne. Je garde mes oreilles et mes méninges bien ouvertes et j'écoute les retours d'expérience et je prend une décision en fonction de mes contraintes. Parfois, je met le paquet et j'achète la solution commerciale. Parfois, je met le paquet sur mes ressources internes et je déploie la solution opensource. Parfois je réussi et j'apprends. Parfois je me plante, et j'apprends encore plus. Tu me diras, et les clients ! ils sont un élément de l'équation avec un gros coefficient de weighting :-). Et puis il y'a les commerciaux qui vendent de la fiabilité 99.999 % ( 3 minutes de coupure par an :-) ce que tout les technique savent que c'est pas possible partout, tout le temps …. Un exemple parmi d'autres : le monitoring. Les solutions commerciales ou pas ont toutes une approche différentes et des fois, selon ce qu'on veux, on prends une version commerciale ou pas... :) Pour le coup, pour du monitoring, y a pas photo :) Nagios = 14 ans d'existence donc forcement, entre Nagios / Observium / cacti … Payer pour du monitoring, c'est du gaspillage d'argent Cependant, pour faire du sflow proprement, je n'ai pas encore trouvé mon bonheur en intégration rapide et sans avoir besoin de dev. Et Peakflow SP, ça juste marche ( et je le concède, si c'est que pour cette fonction la, c'est hors budget ) Hors de prix .. ou pas. Tu peux faire un mix Pravail + opérateur qui sait faire du cloud signalling .. Ca diminue la facture. Après si tu veux le beurre et l'argent du beurre etc .. Alors oui c'est cher. Mais pour du petit opérateur ou entreprise c'est à mon sens largement suffisant (Pour en mettre en place régulièrement). A+ Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Sauf que tu ne peux pas te considérer comme un ingé purement universitaire. Tu fais partie d'une infime minorité de gens qui sont curieux au delà de la pure théorie ! Tu l'as mentionné : expérimentation perso / potes. Le nombre de mec que je vois encore tenter de faire des reseaux en eigrp, c'est juste une folie. Cisco ( comme Microsoft ) a bien réussi son matraquage en filant du matos / licences aux universités :) Cependant, lorsqu'on a un mec de formation universitaire, curieux et qui a plutot une vision technique ( et pas académique ), son approche au final sera plus structurée qu'un mec purement terrain, et bien souvent la combinaison des 2 est assez efficace :) Je reste cependant sur ma position qui est que un simple universitaire sans aucune expérience terrain n'est pas efficace. Et ce dont nous (lorsque l'on recrute ) avons besoin ce sont des gens efficaces. Et aussi, un dev qui se décide à faire du réseau aura une compétence plus large qu'un mec qui ne sait pas coder, sur ce point , je suis entièrement d'accord avec toi Raphael Le 2013-10-15 13:12, Raphael Mazelier a écrit : Le 15/10/2013 10:03, Raphael Maunier a écrit : La reconnaissance de l'universitaire dans notre monde Internet/Telecoms/Content est ton principal problème. Pour ma part, lorsque j'ai eu en face de moi des ingénieurs issue de la filière école et alternance, ils étaient très largement préférés pour plusieurs raisons : - Ils sont quasiment directement opérationnel - Ils ne confondent pas Datacenter neutre : Datacenter opéré par FT qui est obligé de louer une partie parce que L'ARCEP le demande ( si si on me l'a fait ) - Ils ne me parlent pas 99% du temps théorie et m'apportent des solutions concrètes. - Ils ont une expérience terrain validée - […] Je prendrais également un mec qui a zéro diplômes et qui a déjà bossé et qui est connu pour ce qu'il a fait et non pour ce qu'il annonce sur son CV Le soucis c'est la méthode d'enseignement universitaire en France qui est trop élitiste, qui pense qu'un bon bourrage de crâne à l'ancienne est ce qu'il faut faire. De ce que j'ai pu voir, et beaucoup de mes confères le confirmeront, un mec qui sort de 6 ans d'études en université est useless pour notre métier. A l'exception des gens comme Criteo par exemple, qui ont besoin de mecs qui lorsqu'ils te parlent tu ne comprends pas plus de 3 mots. Mais c'est 1 personne pour 100. Le monde universitaire doit s'adapter au monde , je déteste cette expression, du numérique. Pourquoi tu crois que des initiatives comme 42 existe ? Pourquoi tu crois que des gens comme ionis sont en constante évolution ? Tout simplement parce qu'il faut aussi fabriquer des gens directement opérationnel. C'est moche, mais c'est comme ça. L'université fabrique des cerveaux certes, mais inadapté pour nous ( informatique / réseau j'entends en histoire, il en faut des universitaires par ex ). Le jour ou ils iront en entreprise avant de valider leurs diplômes, on devrait enfin commencer à avoir des gens opérationnel rapidement. ( je ne parle pas des rares exceptions qui confirment la règle ) On dérive complétement du sujet initial; mais ce débat est très intéressant. (malheureusement cela va partir en flamewar.) Je penses que tu as raisons sur le fait qu'il faut avoir des gens directement opérationnels. Pour cela l'alternance, epitech, 42 whatever font leur taff. Mais je penses aussi que tu as en parti tord sur le fait que l'université produit des gens inadapté, mais c'est sans doute du à mon parcours 100% universitaire (DUT,licence,maitrise,DESS). Ces formations ne m'ont pas aidé à être opérationnel, cela je l'ai appris à coté (expérimentation perso, potes). En revanche mes formations m'ont permis d’acquérir les bases théoriques indispensables à la pratique de mon métier. J'ai pu appréhender toutes les technos que je voulais, et si aujourd'hui je fais pas mal de réseau, rien ne m’empêchera un jour de faire du dev si ca me chante, et j'ai le sentiment que c'est grâce à mes formations, et c'est ce que devrait apporter une formation, l'adaptabilité, et apprendre à apprendre. Le truc c'est qu'aujourd'hui on nous sort que notre système universitaire est obsolète, qu'il faut former des mecs opérationnels tout de suite. Fort bien. Mais ça les chinois et les indiens vont aussi savoir le faire. Quel plus value pour les ingénieur français ? C'est peut être ton besoin aussi et le besoin de pas mal de société. OK. Mais c'est un très mauvais pari sur le long terme à mon avis. En conclusion je crois surtout qu'il n'y a pas de règle générale et ce qui fait la différence c'est la passion de son métier. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Et sinon les solutions de mitigation DDOS ? 0:) OK, Arbor c'est cool, c'est la solution, ça coûte cher. Est-ce qu'il existe d'autres solutions ? Avec quels compromis ? Au passage Raphael, citer 42 c'était vraiment très drôle ;) Le 15 octobre 2013 15:56, Raphael Maunier raph...@maunier.net a écrit : Sauf que tu ne peux pas te considérer comme un ingé purement universitaire. Tu fais partie d'une infime minorité de gens qui sont curieux au delà de la pure théorie ! Tu l'as mentionné : expérimentation perso / potes. Le nombre de mec que je vois encore tenter de faire des reseaux en eigrp, c'est juste une folie. Cisco ( comme Microsoft ) a bien réussi son matraquage en filant du matos / licences aux universités :) Cependant, lorsqu'on a un mec de formation universitaire, curieux et qui a plutot une vision technique ( et pas académique ), son approche au final sera plus structurée qu'un mec purement terrain, et bien souvent la combinaison des 2 est assez efficace :) Je reste cependant sur ma position qui est que un simple universitaire sans aucune expérience terrain n'est pas efficace. Et ce dont nous (lorsque l'on recrute ) avons besoin ce sont des gens efficaces. Et aussi, un dev qui se décide à faire du réseau aura une compétence plus large qu'un mec qui ne sait pas coder, sur ce point , je suis entièrement d'accord avec toi Raphael Le 2013-10-15 13:12, Raphael Mazelier a écrit : Le 15/10/2013 10:03, Raphael Maunier a écrit : La reconnaissance de l'universitaire dans notre monde Internet/Telecoms/Content est ton principal problème. Pour ma part, lorsque j'ai eu en face de moi des ingénieurs issue de la filière école et alternance, ils étaient très largement préférés pour plusieurs raisons : - Ils sont quasiment directement opérationnel - Ils ne confondent pas Datacenter neutre : Datacenter opéré par FT qui est obligé de louer une partie parce que L'ARCEP le demande ( si si on me l'a fait ) - Ils ne me parlent pas 99% du temps théorie et m'apportent des solutions concrètes. - Ils ont une expérience terrain validée - […] Je prendrais également un mec qui a zéro diplômes et qui a déjà bossé et qui est connu pour ce qu'il a fait et non pour ce qu'il annonce sur son CV Le soucis c'est la méthode d'enseignement universitaire en France qui est trop élitiste, qui pense qu'un bon bourrage de crâne à l'ancienne est ce qu'il faut faire. De ce que j'ai pu voir, et beaucoup de mes confères le confirmeront, un mec qui sort de 6 ans d'études en université est useless pour notre métier. A l'exception des gens comme Criteo par exemple, qui ont besoin de mecs qui lorsqu'ils te parlent tu ne comprends pas plus de 3 mots. Mais c'est 1 personne pour 100. Le monde universitaire doit s'adapter au monde , je déteste cette expression, du numérique. Pourquoi tu crois que des initiatives comme 42 existe ? Pourquoi tu crois que des gens comme ionis sont en constante évolution ? Tout simplement parce qu'il faut aussi fabriquer des gens directement opérationnel. C'est moche, mais c'est comme ça. L'université fabrique des cerveaux certes, mais inadapté pour nous ( informatique / réseau j'entends en histoire, il en faut des universitaires par ex ). Le jour ou ils iront en entreprise avant de valider leurs diplômes, on devrait enfin commencer à avoir des gens opérationnel rapidement. ( je ne parle pas des rares exceptions qui confirment la règle ) On dérive complétement du sujet initial; mais ce débat est très intéressant. (malheureusement cela va partir en flamewar.) Je penses que tu as raisons sur le fait qu'il faut avoir des gens directement opérationnels. Pour cela l'alternance, epitech, 42 whatever font leur taff. Mais je penses aussi que tu as en parti tord sur le fait que l'université produit des gens inadapté, mais c'est sans doute du à mon parcours 100% universitaire (DUT,licence,maitrise,DESS). Ces formations ne m'ont pas aidé à être opérationnel, cela je l'ai appris à coté (expérimentation perso, potes). En revanche mes formations m'ont permis d’acquérir les bases théoriques indispensables à la pratique de mon métier. J'ai pu appréhender toutes les technos que je voulais, et si aujourd'hui je fais pas mal de réseau, rien ne m’empêchera un jour de faire du dev si ca me chante, et j'ai le sentiment que c'est grâce à mes formations, et c'est ce que devrait apporter une formation, l'adaptabilité, et apprendre à apprendre. Le truc c'est qu'aujourd'hui on nous sort que notre système universitaire est obsolète, qu'il faut former des mecs opérationnels tout de suite. Fort bien. Mais ça les chinois et les indiens vont aussi savoir le faire. Quel plus value pour les ingénieur français ? C'est peut être ton besoin aussi et le besoin de pas mal de société. OK. Mais c'est un très mauvais pari sur le long terme à mon avis. En conclusion je crois surtout qu'il n'y a pas de règle générale et ce qui fait la différence c'est la passion
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Bonjour, ici on utilise la solution Arbor avec leur TMS et c'est pas mal du tout. Pour plus de détails, en off list. Cordialement, Salim Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Bonsoir, Arbor est hors de prix. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Oct 14, 2013, at 8:38 PM, Jérémy Martin li...@freeheberg.com wrote: Bonsoir, Salut, Arbor est hors de prix. On dira : Je n'ai pas les moyens de me le payer. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. On dira : J'ai pas acheté / testé le bon boitier Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. J'ai eu l'occasion de tester avec injecteur de trafic Breaking Point, du d/dos vers du Fortinet, Arbor, Stonesoft et bien sur Juniper, et c'est pas juste 1G vers le Fortinet, il ne faut pas non plus raconter n'importe quoi. Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Faudra m'expliquer avec des mots simples en quoi une solution de type UTM peut empecher un tuyau de se remplir jusqu'à étouffement du trafic ... Arbor est hors de prix? Soit, mais en même temps c'est justement une solution opérateur qui se place en amont. Acheter de l'Arbor quand on ne maitrise pas le backbone jusqu'aux IX ... oui. Y a des moyens plus simples de bruler des billets, mais pourquoi pas. 120k, divisé par le nombre de mecs que tu proteges = une offre commerciale... Bref, Arbor et UTM, c'est aussi comparable que switchs et bottes de poireaux. Si tu as des contentieux avec Arbor, attention à ne pas dénigrer publiquement en plus... Le 14 octobre 2013 20:38, Jérémy Martin li...@freeheberg.com a écrit : Bonsoir, Arbor est hors de prix. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Comme je l'explique en privé, c'est clairement trop cherpour notre bourse. Attention, je ne dénigre pas, c'est une super bécane bien huilée qui fonctionne et fait son taf, avec des barbu qui répondent au téléphone derrière. Mais quand tu as la possibilité d'avoir un opérateur Tier-2 comme Cogent qui te dit ok, je t'amène les tuyaux que tu veux pour t'aider à ma manière), je dis que ma solution fonctionne pour les besoins que j'en ai. Et ça m'évite de facturer une solution qui me parait normal d'inclure de base dans mes tarifs. A chacun son budget comme on dit. Mais à la vue des attaques qu'on peut voir de nos jours, il est clairement irréaliste de demander à 95 % des AS français de mettre 1 an (ou plus) de CA dans un boitier de mitigation fait pour ça. Après, ça plait, ça ne plait pas. On est sur une mailing d'échange. J'ai un truc qui marche pas trop mal, je le partage, et à ma connaissance, ça a aidé pas mal de barbus. Cordialement, Jérémy Martin Le 14/10/2013 21:08, Guillaume Barrot a écrit : Faudra m'expliquer avec des mots simples en quoi une solution de type UTM peut empecher un tuyau de se remplir jusqu'à étouffement du trafic ... Arbor est hors de prix? Soit, mais en même temps c'est justement une solution opérateur qui se place en amont. Acheter de l'Arbor quand on ne maitrise pas le backbone jusqu'aux IX ... oui. Y a des moyens plus simples de bruler des billets, mais pourquoi pas. 120k, divisé par le nombre de mecs que tu proteges = une offre commerciale... Bref, Arbor et UTM, c'est aussi comparable que switchs et bottes de poireaux. Si tu as des contentieux avec Arbor, attention à ne pas dénigrer publiquement en plus... Le 14 octobre 2013 20:38, Jérémy Martin li...@freeheberg.com a écrit : Bonsoir, Arbor est hors de prix. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
A priori ça ne t'a pas empêche d'en vendre jusqu'à y a pas si longtemps. Y avait même le beau logo Arbor dans les offres sur ton site. Donc soit il y a un manque d'honnêteté dans cette réponse, soit tu vendais du rêve, n'empêche que pour moi ça sent la rancœur tenace et la démarche pas super claire. Bref oui c'est un produit cher mais on est pas opérateur avec 10 euros en poche. La L33 ça fait bien longtemps que ça ne fait plus l'opérateur, le numéro d'AS non plus. Le lundi 14 octobre 2013, Jérémy Martin a écrit : Comme je l'explique en privé, c'est clairement trop cherpour notre bourse. Attention, je ne dénigre pas, c'est une super bécane bien huilée qui fonctionne et fait son taf, avec des barbu qui répondent au téléphone derrière. Mais quand tu as la possibilité d'avoir un opérateur Tier-2 comme Cogent qui te dit ok, je t'amène les tuyaux que tu veux pour t'aider à ma manière), je dis que ma solution fonctionne pour les besoins que j'en ai. Et ça m'évite de facturer une solution qui me parait normal d'inclure de base dans mes tarifs. A chacun son budget comme on dit. Mais à la vue des attaques qu'on peut voir de nos jours, il est clairement irréaliste de demander à 95 % des AS français de mettre 1 an (ou plus) de CA dans un boitier de mitigation fait pour ça. Après, ça plait, ça ne plait pas. On est sur une mailing d'échange. J'ai un truc qui marche pas trop mal, je le partage, et à ma connaissance, ça a aidé pas mal de barbus. Cordialement, Jérémy Martin Le 14/10/2013 21:08, Guillaume Barrot a écrit : Faudra m'expliquer avec des mots simples en quoi une solution de type UTM peut empecher un tuyau de se remplir jusqu'à étouffement du trafic ... Arbor est hors de prix? Soit, mais en même temps c'est justement une solution opérateur qui se place en amont. Acheter de l'Arbor quand on ne maitrise pas le backbone jusqu'aux IX ... oui. Y a des moyens plus simples de bruler des billets, mais pourquoi pas. 120k, divisé par le nombre de mecs que tu proteges = une offre commerciale... Bref, Arbor et UTM, c'est aussi comparable que switchs et bottes de poireaux. Si tu as des contentieux avec Arbor, attention à ne pas dénigrer publiquement en plus... Le 14 octobre 2013 20:38, Jérémy Martin li...@freeheberg.com a écrit : Bonsoir, Arbor est hors de prix. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
La L33 permet à n'importe qui de devenir opérateur, et je trouve que c'est la meilleure chose qui existe pour notre métier. La diversité est la force de l'internet, et je souhaites de tout mon cœur que nos confrères qui lisent ces lignes ne pensent pas comme toi et soient tout aussi choqué que moi. Et je n'ai jamais vendu d'Arbor, n'ayant jamais pu m'en acheter. Le devis est encore sur mon bureau. Bonne soirée. Cordialement, Jérémy Martin Le 14/10/2013 21:28, Guillaume Barrot a écrit : A priori ça ne t'a pas empêche d'en vendre jusqu'à y a pas si longtemps. Y avait même le beau logo Arbor dans les offres sur ton site. Donc soit il y a un manque d'honnêteté dans cette réponse, soit tu vendais du rêve, n'empêche que pour moi ça sent la rancœur tenace et la démarche pas super claire. Bref oui c'est un produit cher mais on est pas opérateur avec 10 euros en poche. La L33 ça fait bien longtemps que ça ne fait plus l'opérateur, le numéro d'AS non plus. Le lundi 14 octobre 2013, Jérémy Martin a écrit : Comme je l'explique en privé, c'est clairement trop cherpour notre bourse. Attention, je ne dénigre pas, c'est une super bécane bien huilée qui fonctionne et fait son taf, avec des barbu qui répondent au téléphone derrière. Mais quand tu as la possibilité d'avoir un opérateur Tier-2 comme Cogent qui te dit ok, je t'amène les tuyaux que tu veux pour t'aider à ma manière), je dis que ma solution fonctionne pour les besoins que j'en ai. Et ça m'évite de facturer une solution qui me parait normal d'inclure de base dans mes tarifs. A chacun son budget comme on dit. Mais à la vue des attaques qu'on peut voir de nos jours, il est clairement irréaliste de demander à 95 % des AS français de mettre 1 an (ou plus) de CA dans un boitier de mitigation fait pour ça. Après, ça plait, ça ne plait pas. On est sur une mailing d'échange. J'ai un truc qui marche pas trop mal, je le partage, et à ma connaissance, ça a aidé pas mal de barbus. Cordialement, Jérémy Martin Le 14/10/2013 21:08, Guillaume Barrot a écrit : Faudra m'expliquer avec des mots simples en quoi une solution de type UTM peut empecher un tuyau de se remplir jusqu'à étouffement du trafic ... Arbor est hors de prix? Soit, mais en même temps c'est justement une solution opérateur qui se place en amont. Acheter de l'Arbor quand on ne maitrise pas le backbone jusqu'aux IX ... oui. Y a des moyens plus simples de bruler des billets, mais pourquoi pas. 120k, divisé par le nombre de mecs que tu proteges = une offre commerciale... Bref, Arbor et UTM, c'est aussi comparable que switchs et bottes de poireaux. Si tu as des contentieux avec Arbor, attention à ne pas dénigrer publiquement en plus... Le 14 octobre 2013 20:38, Jérémy Martin li...@freeheberg.com a écrit : Bonsoir, Arbor est hors de prix. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com http://freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Dans le thread où Jérémy parlait de son suicide, Philippe Bourcier avait brièvement parlé de http://www.packetdam.com/ Est-ce que quelqu'un a un retour d'expérience sur le produit ? Concernant Arbor, celui doit obligatoirement se trouvé sur le réseau de l'opérateur ? Dans le cas d'un hébergeur ne disposant que de quelques transit IP, est-ce une solution pertinente ou est-ce aux opérateurs de transits de la mettre en place ? Le 14 octobre 2013 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Oct 14, 2013, at 10:21 PM, Jack alexandre.bruyel...@gmail.com wrote: On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D Alors, dans le cadre du ddos, on est pas dans un monde ou tu peux remplacer facilement un serveur www microsoft par un serveur sous linux Un boitier de protection ddos, ce n'est pas juste du hw ( quoique ) - Tu peux rajouter une carte d'interfaces dans ton châssis a la volée sans avoir à couper ton service - Les asics, ce n'est pas juste une rumeur, ça fonctionne et bien ! - Tu as un vrai support à n'importe quelle heure : Avec un mec en face qui est vraiment en mesure d'analyser ton trafic et te conseiller et appliquer le bon filtre si besoin - L'intégration avec les constructeurs comme Juniper ( et pas que les gros routeurs un MX80, c'est de l'entrée de gamme ), ALU - Un upgrade de software ce n'est pas radioactif - Joe n'est pas le seul qui maitrise la solution - Joe n'est pas le seul qui fait le support à 3h du mat - ... On est pas au même niveau d'une comparaison entre un routeur HW vs un routeur Linux/bsd sur un PC (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Kavé Salamatian (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Les transitaires le proposent de plus en plus en option pour un prix forfaitaire mensuel fixe (genre 750 Euros / mois) Ca se voit beaucoup sur les Tier-2, j'en ai vu chez un seul Tier-1 (pour le moment). C'est clair que pour un petit hébergeur, c'est hors sujet de penser claquer une fortune dans un Arbor, par contre c'est surement plus cohérent pour son fournisseur. Frédéric Le 10/14/13 10:32 PM, Romain GUICHARD a écrit : Dans le thread où Jérémy parlait de son suicide, Philippe Bourcier avait brièvement parlé de http://www.packetdam.com/ Est-ce que quelqu'un a un retour d'expérience sur le produit ? Concernant Arbor, celui doit obligatoirement se trouvé sur le réseau de l'opérateur ? Dans le cas d'un hébergeur ne disposant que de quelques transit IP, est-ce une solution pertinente ou est-ce aux opérateurs de transits de la mettre en place ? Le 14 octobre 2013 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Bonsoir, Le 14 oct. 2013 à 22:44, Kavé Salamatian a écrit : Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Il y a un article Wikipedia pour ça ! ;) http://fr.wikipedia.org/wiki/Prix_d'acceptabilité#D.C3.A9termination_du_prix_d.27acceptabilit.C3.A9 Le prix minimum, prix en dessous duquel le client pense que le produit ne peut pas être de bonne qualité. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Désolé Kavé, Mais sauf erreur de ma part, tu n'as jamais eu à opérer un backbone avec plusieurs centaines de giga. Tu es resté trop longtemps en université avec de la RD ou te la validation théorique. Dans la vrai vie, celle qui fait vraiment tourner Internet, tu ne peux pas mettre en péril ton backbone, juste pour faire mumuse avec la solution brillante de l'ingénieur. Le bricolage, c'est le fait de devoir passer 40 nuits pour upgrader ton soft qui est maintenu par 1 personne. Ce brillant ingénieur s'il se casse du jour au lendemain ( il gagne au loto, il déménage en Alaska ou xyz ), tu fais comment ? Il arrêter de dire et de faire croire que parce ce que c'est ouvert c'est simple et qu'il n'y a pas de soucis pour faire reprendre sa maintenance par les 40 000 ingénieurs dispo. C'est un leurre ! Pour ce qui l'ont fait tourner , pas juste pour faire mumuse, mais pour protéger des centaines de clients, tu comprends bien vite que les solutions commerciales sont nettement plus abouties que les solutions dites de bricolage Raphael On Oct 14, 2013, at 10:44 PM, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Kavé Salamatian (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Heu ... Je n ai pas de barbe ... Même plus de cheveux sur la tête :) ! Notre solution est positionnée pour être partagée entre plusieurs clients attachés à une infrastructure réseau dimensionnée en conséquence. Je pense que des opérateurs et hébergeurs ont pu démontrer récemment qu ils pouvaient décliner une offre très attractive sur nos solutions. Nous avons un grand respect pour tous les acteurs du Net et je pense et espère que nous essayons de toujours trouver le meilleur compromis entre la vente directe et les offres de nos partenaires. Maintenant nous ne sommes que des fournisseurs de solution et le gros du travail est mené par les services provider et hébergeurs pour rendre des services de sécurité et de haute disponibilité accessibles au plus grand nombre. Bonne soirée Matthieu. Sent from my iPhone On 14 oct. 2013, at 21:15, Jérémy Martin li...@freeheberg.com wrote: Comme je l'explique en privé, c'est clairement trop cherpour notre bourse. Attention, je ne dénigre pas, c'est une super bécane bien huilée qui fonctionne et fait son taf, avec des barbu qui répondent au téléphone derrière. Mais quand tu as la possibilité d'avoir un opérateur Tier-2 comme Cogent qui te dit ok, je t'amène les tuyaux que tu veux pour t'aider à ma manière), je dis que ma solution fonctionne pour les besoins que j'en ai. Et ça m'évite de facturer une solution qui me parait normal d'inclure de base dans mes tarifs. A chacun son budget comme on dit. Mais à la vue des attaques qu'on peut voir de nos jours, il est clairement irréaliste de demander à 95 % des AS français de mettre 1 an (ou plus) de CA dans un boitier de mitigation fait pour ça. Après, ça plait, ça ne plait pas. On est sur une mailing d'échange. J'ai un truc qui marche pas trop mal, je le partage, et à ma connaissance, ça a aidé pas mal de barbus. Cordialement, Jérémy Martin Le 14/10/2013 21:08, Guillaume Barrot a écrit : Faudra m'expliquer avec des mots simples en quoi une solution de type UTM peut empecher un tuyau de se remplir jusqu'à étouffement du trafic ... Arbor est hors de prix? Soit, mais en même temps c'est justement une solution opérateur qui se place en amont. Acheter de l'Arbor quand on ne maitrise pas le backbone jusqu'aux IX ... oui. Y a des moyens plus simples de bruler des billets, mais pourquoi pas. 120k, divisé par le nombre de mecs que tu proteges = une offre commerciale... Bref, Arbor et UTM, c'est aussi comparable que switchs et bottes de poireaux. Si tu as des contentieux avec Arbor, attention à ne pas dénigrer publiquement en plus... Le 14 octobre 2013 20:38, Jérémy Martin li...@freeheberg.com a écrit : Bonsoir, Arbor est hors de prix. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 14 oct. 2013 à 22:57, Raphael Maunier raph...@maunier.net a écrit : Désolé Kavé, Mais sauf erreur de ma part, tu n'as jamais eu à opérer un backbone avec plusieurs centaines de giga. Tu es resté trop longtemps en université avec de la RD ou te la validation théorique. Même si c'est le cas, ceci ne réduit pas la portée de mon propos. Il y'a bien sur des cas de figure ou des solutions commerciales sont les meilleures et des cas où ce ne sont pas les meilleurs. Dans l'absolu il n'y a pas de solution commerciale qui sont bonne pour tout les scénarios. Le travail de l'ingénieur consiste à évaluer en fonction de son scénario quelle est la solution la meilleure. Solution commerciale, ou faite maison. Je constate juste que dans mon activité (je fais aussi du consulting), le nombre de cas ou je vois personnes acheter une marque plutôt qu'une solution à leur problème est tout simplement effarant. Qui n'a pas vu un DSI rouge de plaisir montrer son routeur pro à 10 K€ qui connecte un lien de sortie de 2 Mbps avec trois entrées ethernet (ou scénario semblable), alors qu'il aurait pris une des machines de bureautique qui aurait très bien fait l'affaire Dans la vrai vie, celle qui fait vraiment tourner Internet, tu ne peux pas mettre en péril ton backbone, juste pour faire mumuse avec la solution brillante de l'ingénieur. Bas non un vrai ingénieur ne fait jamais mumuse, mais il se fait pas aussi rouler dans la farine par un commercial qui lui vend la solution du siècle. L'ingénieur brillant est l'ingénieur qui est capable de dépenser 100 k€ pour répondre à son besoin (ou au besoin de son entreprise) car il n'y a pas de solution moins cher qui répondrait à toutes les contraintes doit celle que tu décrit, mais qui est aussi capable d'implanter la solution à 500 € qui répond au besoin sans penser que cela réduira mon importance dans la boite (car fréquemment c'est le volume de fric que tu gaspille qui défini ton importance dans la boite). Ce n'est pas le prix d'une solution qui valide sa qualité technique. j'ai un peu l'impression qu'on a oublié dans la profession qu'on fait un boulot d'ingénieur, pas de chargé d'achat de matériel informatique. Le bricolage, c'est le fait de devoir passer 40 nuits pour upgrader ton soft qui est maintenu par 1 personne. Ce brillant ingénieur s'il se casse du jour au lendemain ( il gagne au loto, il déménage en Alaska ou xyz ), tu fais comment ? Il arrêter de dire et de faire croire que parce ce que c'est ouvert c'est simple et qu'il n'y a pas de soucis pour faire reprendre sa maintenance par les 40 000 ingénieurs dispo. C'est un leurre ! Et pas croire par ce que c'est du Juniper ou du Cisco ou parce que ça coute la peau des fesses que c'est la réponse au problème. Ca aussi c'est un leurre. La réalité c'est qu'il faut bosser et qu'aucun problème n'est facile à résoudre. Pour ce qui l'ont fait tourner , pas juste pour faire mumuse, mais pour protéger des centaines de clients, tu comprends bien vite que les solutions commerciales sont nettement plus abouties que les solutions dites de bricolage Je connais malheureusement tellement de solutions commerciales qui sont nulles alors que des solutions de bricolage équivalente réponde au besoin, et vice-versa. Ne pas oublier que beaucoup de solutions commerciales sont simplement des solutions de bricolage et même en grande majorité de l'open source qui a force de travail sont devenue fiable et facile à utiliser …. Moralité, il n'y a pas de solutions universelles. Personne ne fait mumuse, il faut (ré)apprendre à faire son boulot d'ingénieur avec méthode et rigueur. Kavé Raphael On Oct 14, 2013, at 10:44 PM, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute
RE: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
J'ai croisé hier des panneaux et des affiches ARBOR... http://arborcollective.com/ Ah ce n'est pas une filiale ? dommage ;) -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Texier, Matthieu Envoyé : lundi 14 octobre 2013 23:16 À : Jérémy Martin Cc : guillaume.bar...@gmail.com; pierre; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur Heu ... Je n ai pas de barbe ... Même plus de cheveux sur la tête :) ! Notre solution est positionnée pour être partagée entre plusieurs clients attachés à une infrastructure réseau dimensionnée en conséquence. Je pense que des opérateurs et hébergeurs ont pu démontrer récemment qu ils pouvaient décliner une offre très attractive sur nos solutions. Nous avons un grand respect pour tous les acteurs du Net et je pense et espère que nous essayons de toujours trouver le meilleur compromis entre la vente directe et les offres de nos partenaires. Maintenant nous ne sommes que des fournisseurs de solution et le gros du travail est mené par les services provider et hébergeurs pour rendre des services de sécurité et de haute disponibilité accessibles au plus grand nombre. Bonne soirée Matthieu. Sent from my iPhone On 14 oct. 2013, at 21:15, Jérémy Martin li...@freeheberg.com wrote: Comme je l'explique en privé, c'est clairement trop cherpour notre bourse. Attention, je ne dénigre pas, c'est une super bécane bien huilée qui fonctionne et fait son taf, avec des barbu qui répondent au téléphone derrière. Mais quand tu as la possibilité d'avoir un opérateur Tier-2 comme Cogent qui te dit ok, je t'amène les tuyaux que tu veux pour t'aider à ma manière), je dis que ma solution fonctionne pour les besoins que j'en ai. Et ça m'évite de facturer une solution qui me parait normal d'inclure de base dans mes tarifs. A chacun son budget comme on dit. Mais à la vue des attaques qu'on peut voir de nos jours, il est clairement irréaliste de demander à 95 % des AS français de mettre 1 an (ou plus) de CA dans un boitier de mitigation fait pour ça. Après, ça plait, ça ne plait pas. On est sur une mailing d'échange. J'ai un truc qui marche pas trop mal, je le partage, et à ma connaissance, ça a aidé pas mal de barbus. Cordialement, Jérémy Martin Le 14/10/2013 21:08, Guillaume Barrot a écrit : Faudra m'expliquer avec des mots simples en quoi une solution de type UTM peut empecher un tuyau de se remplir jusqu'à étouffement du trafic ... Arbor est hors de prix? Soit, mais en même temps c'est justement une solution opérateur qui se place en amont. Acheter de l'Arbor quand on ne maitrise pas le backbone jusqu'aux IX ... oui. Y a des moyens plus simples de bruler des billets, mais pourquoi pas. 120k, divisé par le nombre de mecs que tu proteges = une offre commerciale... Bref, Arbor et UTM, c'est aussi comparable que switchs et bottes de poireaux. Si tu as des contentieux avec Arbor, attention à ne pas dénigrer publiquement en plus... Le 14 octobre 2013 20:38, Jérémy Martin li...@freeheberg.com a écrit : Bonsoir, Arbor est hors de prix. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 14 oct. 2013 à 23:22, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Argument valable pour un truc que tu peux monter en ligne de code sur un Pc du coin. Exemple : Apache. Pas de soucis une communauté saura se former pour maintenir ta solution et le bricolage du début deviendra le standard libre et tout le monde sera content. Mais dans cette logique on oublie toujours qu'aussi beau que soit un projet comme Apache (par exemple) il continue à tourner sur du prof Intel, de la Ram Samsung et du disque Seagate. L'ingénieur malin à ses limites : il est obligé d'acheter du matos. Ou plutôt l'ingénieur très malin qui arrivera à sortir le cpu pour tous à photograver dans son garage n'est pas encore arrivé. Donc en attendant on acheté le hardware. Sauf que quand ce hardware c'est du FPGA ou de l'Asic c'est pas un guss dans son garage qui va pouvoir le fabriquer. Tout du moins pas encore. Donc en attendant, oui on a de la solution commerciale et on peut difficilement s'en passer. On peut tous espérer que dans dix ans, on aura tous de l'anti Ddos à base de packet dam over Tilera mais pour le moment, y a pas. On se demande ce qu'attende nos brillants pontes du libre pour en faire des projets de labo ... Ah ben oui : du budget. Pour se lancer la dedans, faut du budget. Arbor avant d'être un produit hors de prix c'était un projet de deux guss dans une Fac Américaine. Après ils ont eu des investisseurs, du budget et c'est devenu un produit. Les salopards ils ont même pas bosses pour la gloire, et en monstre capitalistes, ils ont voulu toucher des thunes pour avoir eu une idée. S'il était mort Stallman ferait la toupie sous terraine. La seule boîte qui a (à ma connaissance) bossé sur une solution maison digne de ce nom, c'est OVH avec Tilera. Faut voir le budget que met OVH dans la RD, tout le monde ne peut pas se le permettre ... Maintenant si tu connais un ingénieur qui code du snortlike en développant des FPGA de l'autre main, et qui a réussit à contredire le 3ème principe de la thermodynamique avec une solution qui remonte le cours du paquet pour arrêter le DDOS avant qu'il rentre dans les tuyaux, un conseil : met le sous verre… C'est ce qu'on essaye de faire :-) même en étant des nullards d'universitaire :-). HaiyangJiang, GaogangXie, Kavé Salamatian and Laurent Mathy. Scalable High-Performance Parallel Design for Network Intrusion Detection Systems on Many-Core Processors. the Nineth ACM/IEEE Symposium on Architectures for Networking and Communications Systems(ANCS), Hyatt Place, San Jose, USA , 2013, Kavé Salamatian Le lundi 14 octobre 2013, Kavé Salamatian a écrit : Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Kavé Salamatian (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Oct 14, 2013, at 10:57 PM, Raphael Maunier raph...@maunier.net wrote: Mais sauf erreur de ma part, tu n'as jamais eu à opérer un backbone avec plusieurs centaines de giga. Tu es resté trop longtemps en université avec de la RD ou te la validation théorique. Seul toi a la science infuse, et tout les autres sont des cons. t'en as pas marre de passer ton temps a réduire les autres au silence sous prétexte que seul toi a la vérité, parce que tu aurais managé des tas de gros réseaux, et que les autres non ? c'est pas la modestie qui de bouffe... signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 10/14/13 10:44 PM, Kavé Salamatian a écrit : La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. C'est assez triste de voir 2 extrêmes s'affronter sans nuance. OK les solutions commerciales sont parfois scandaleuses (les load balancers sont le premier exemple qui me vient en tête avant un certain volume et certaines fonctionnalités), mais il faut arrêter aussi de croire qu'avec un Linux/BSD on peut atteindre les niveaux de traitement d'une solution pure hardware. Déjà il faut bien séparer une solution hardware basée sur une architecture PC rebrandée et une vraie archi hardware avec ses processeurs spécialisés, ses puces dédiées, etc. Aussi les serveurs actuels sont parfois assez puissants pour faire des choses, parfois les gens documentent mieux que le petit ingénieur surdoué et permettent un suivi, mais il faut l'admettre, pour certaines fonctions les solutions hardware tiennent bien mieux. Quand on parle d'attaques, on parle en général de flux dont l'objectif est d'atteindre une saturation (de tuyaux, de connexions, de slots du services, ...). Dans ce cas avec la multitudes de sources et de flux, il est logique de voir des solutions matérielles plus adaptées à ce type de traitement. On peut discuter du support, on peut discuter de la fiabilité, on peut discuter de la capacité à régler soi même des problèmes sans être dépendant d'un support trop long à se bouger aussi en contreparite. Mais limiter le débât à C'est juste pour dire qu'on a la plus grosse qui coûte cher pour rassurer le client VS C'est de la bidouille de geek dans son coin inmaintenable, c'est vraiment noyer tout argumentaire constructif selon moi. Pour moi le problème c'est surtout de savoir à partir de quel volume une solution n'est plus adaptée et peser le pour et le contre en fonction du nombre de personnes pour s'en occuper versus le budget d'une solution toute faite avec support. Et également de calculer le risque en cas de problème et l'impact sur la santé financière de la société. Quand je vois quelqu'un parler de suicide dans un titre de sujet sur le FRnOG parce qu'il n'a aucune solution pour se protéger, ça me donne l'impression d'un mec qui n'a aucune assurance et qui voit sa boutique bruler, avec juste un verre d'eau à la main pour l'éteindre sans jamais s'être posé la question avant. Pour finir quand on a des clients derrière sa solution, on n'a pas le droit à l'erreur. Si on se plante et qu'on a fait le truc soi même, on se fait torpiller par ses clients. Quand on a un constructeur derrière, on gagne une certaine crédibilité et on n'est moins coupable si la solution est connue/réputée (ça n'empêche pas qu'il y a des gens très doués pour ne pas savoir les implémenter parfois). Alors faire joujou c'est sympa, mais faut être sûr de maitriser tous les cas, de tenir les pics et de pouvoir assumer face à ses clients. Bref, le débat est nuancé par l'activité à protéger, par l'impact, par l'équipe derrière la gestion de l'infra et par ce qu'on veut faire de sa boîte. Claquer des gros chèques chez un constructeur ça fonctionne souvent, ça ne sert à rien parfois aussi. Chercher à réinventer la roue quand on peut s'appuyer sur des fournisseurs/partenaires qui savent mieux le faire (techniquement ou financièrement), ça n'est pas forcément intelligent non plus. Bien s'entourer mène souvent bien plus loin qu'être intelligent tout seul. Pour autant l'argent n'est pas forcément gage de qualité. My 2 cents, Frederic --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
+1 C'est aussi mon propos. Kavé Le 14 oct. 2013 à 23:32, Frederic Dhieux frede...@syn.fr a écrit : Le 10/14/13 10:44 PM, Kavé Salamatian a écrit : La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. C'est assez triste de voir 2 extrêmes s'affronter sans nuance. OK les solutions commerciales sont parfois scandaleuses (les load balancers sont le premier exemple qui me vient en tête avant un certain volume et certaines fonctionnalités), mais il faut arrêter aussi de croire qu'avec un Linux/BSD on peut atteindre les niveaux de traitement d'une solution pure hardware. Déjà il faut bien séparer une solution hardware basée sur une architecture PC rebrandée et une vraie archi hardware avec ses processeurs spécialisés, ses puces dédiées, etc. Aussi les serveurs actuels sont parfois assez puissants pour faire des choses, parfois les gens documentent mieux que le petit ingénieur surdoué et permettent un suivi, mais il faut l'admettre, pour certaines fonctions les solutions hardware tiennent bien mieux. Quand on parle d'attaques, on parle en général de flux dont l'objectif est d'atteindre une saturation (de tuyaux, de connexions, de slots du services, ...). Dans ce cas avec la multitudes de sources et de flux, il est logique de voir des solutions matérielles plus adaptées à ce type de traitement. On peut discuter du support, on peut discuter de la fiabilité, on peut discuter de la capacité à régler soi même des problèmes sans être dépendant d'un support trop long à se bouger aussi en contreparite. Mais limiter le débât à C'est juste pour dire qu'on a la plus grosse qui coûte cher pour rassurer le client VS C'est de la bidouille de geek dans son coin inmaintenable, c'est vraiment noyer tout argumentaire constructif selon moi. Pour moi le problème c'est surtout de savoir à partir de quel volume une solution n'est plus adaptée et peser le pour et le contre en fonction du nombre de personnes pour s'en occuper versus le budget d'une solution toute faite avec support. Et également de calculer le risque en cas de problème et l'impact sur la santé financière de la société. Quand je vois quelqu'un parler de suicide dans un titre de sujet sur le FRnOG parce qu'il n'a aucune solution pour se protéger, ça me donne l'impression d'un mec qui n'a aucune assurance et qui voit sa boutique bruler, avec juste un verre d'eau à la main pour l'éteindre sans jamais s'être posé la question avant. Pour finir quand on a des clients derrière sa solution, on n'a pas le droit à l'erreur. Si on se plante et qu'on a fait le truc soi même, on se fait torpiller par ses clients. Quand on a un constructeur derrière, on gagne une certaine crédibilité et on n'est moins coupable si la solution est connue/réputée (ça n'empêche pas qu'il y a des gens très doués pour ne pas savoir les implémenter parfois). Alors faire joujou c'est sympa, mais faut être sûr de maitriser tous les cas, de tenir les pics et de pouvoir assumer face à ses clients. Bref, le débat est nuancé par l'activité à protéger, par l'impact, par l'équipe derrière la gestion de l'infra et par ce qu'on veut faire de sa boîte. Claquer des gros chèques chez un constructeur ça fonctionne souvent, ça ne sert à rien parfois aussi. Chercher à réinventer la roue quand on peut s'appuyer sur des fournisseurs/partenaires qui savent mieux le faire (techniquement ou financièrement), ça n'est pas forcément intelligent non plus. Bien s'entourer mène souvent bien plus loin qu'être intelligent tout seul. Pour autant l'argent n'est pas forcément gage de qualité. My 2 cents, Frederic --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Intention louable, mais comme Saint Thomas, je ne vois que ce que je vois tourner en lab. Si ça scalle le N x 10G sur du cpu du marché et que c'est déployable sans avoir à maintenir une équipe de 20 devops dans la boîte, la je serai vraiment surpris. Maintenant si ça marche, mea culpa, lancez votre startup, on sera tous très heureux d'être les premiers actionnaires, je pense. Le lundi 14 octobre 2013, Kavé Salamatian a écrit : Le 14 oct. 2013 à 23:22, Guillaume Barrot guillaume.bar...@gmail.comjavascript:_e({}, 'cvml', 'guillaume.bar...@gmail.com'); a écrit : Argument valable pour un truc que tu peux monter en ligne de code sur un Pc du coin. Exemple : Apache. Pas de soucis une communauté saura se former pour maintenir ta solution et le bricolage du début deviendra le standard libre et tout le monde sera content. Mais dans cette logique on oublie toujours qu'aussi beau que soit un projet comme Apache (par exemple) il continue à tourner sur du prof Intel, de la Ram Samsung et du disque Seagate. L'ingénieur malin à ses limites : il est obligé d'acheter du matos. Ou plutôt l'ingénieur très malin qui arrivera à sortir le cpu pour tous à photograver dans son garage n'est pas encore arrivé. Donc en attendant on acheté le hardware. Sauf que quand ce hardware c'est du FPGA ou de l'Asic c'est pas un guss dans son garage qui va pouvoir le fabriquer. Tout du moins pas encore. Donc en attendant, oui on a de la solution commerciale et on peut difficilement s'en passer. On peut tous espérer que dans dix ans, on aura tous de l'anti Ddos à base de packet dam over Tilera mais pour le moment, y a pas. On se demande ce qu'attende nos brillants pontes du libre pour en faire des projets de labo ... Ah ben oui : du budget. Pour se lancer la dedans, faut du budget. Arbor avant d'être un produit hors de prix c'était un projet de deux guss dans une Fac Américaine. Après ils ont eu des investisseurs, du budget et c'est devenu un produit. Les salopards ils ont même pas bosses pour la gloire, et en monstre capitalistes, ils ont voulu toucher des thunes pour avoir eu une idée. S'il était mort Stallman ferait la toupie sous terraine. La seule boîte qui a (à ma connaissance) bossé sur une solution maison digne de ce nom, c'est OVH avec Tilera. Faut voir le budget que met OVH dans la RD, tout le monde ne peut pas se le permettre ... Maintenant si tu connais un ingénieur qui code du snortlike en développant des FPGA de l'autre main, et qui a réussit à contredire le 3ème principe de la thermodynamique avec une solution qui remonte le cours du paquet pour arrêter le DDOS avant qu'il rentre dans les tuyaux, un conseil : met le sous verre… C'est ce qu'on essaye de faire :-) même en étant des nullards d'universitaire :-). HaiyangJiang, GaogangXie, Kavé Salamatian and Laurent Mathy. Scalable High-Performance Parallel Design for Network Intrusion Detection Systems on Many-Core Processors. the Nineth ACM/IEEE Symposium on Architectures for Networking and Communications Systems(ANCS), Hyatt Place, San Jose, USA , 2013, Kavé Salamatian Le lundi 14 octobre 2013, Kavé Salamatian a écrit : Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Kavé Salamatian (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT -- Cordialement, Guillaume BARROT
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Oct 14, 2013, at 11:21 PM, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Le 14 oct. 2013 à 22:57, Raphael Maunier raph...@maunier.net a écrit : Désolé Kavé, Mais sauf erreur de ma part, tu n'as jamais eu à opérer un backbone avec plusieurs centaines de giga. Tu es resté trop longtemps en université avec de la RD ou te la validation théorique. Même si c'est le cas, ceci ne réduit pas la portée de mon propos. Il y'a bien sur des cas de figure ou des solutions commerciales sont les meilleures et des cas où ce ne sont pas les meilleurs. Dans l'absolu il n'y a pas de solution commerciale qui sont bonne pour tout les scénarios. Le travail de l'ingénieur consiste à évaluer en fonction de son scénario quelle est la solution la meilleure. Solution commerciale, ou faite maison. Je constate juste que dans mon activité (je fais aussi du consulting), le nombre de cas ou je vois personnes acheter une marque plutôt qu'une solution à leur problème est tout simplement effarant. Qui n'a pas vu un DSI rouge de plaisir montrer son routeur pro à 10 K€ qui connecte un lien de sortie de 2 Mbps avec trois entrées ethernet (ou scénario semblable), alors qu'il aurait pris une des machines de bureautique qui aurait très bien fait l'affaire On parle d'opérateurs / d'hebergeurs dans ce cas bien précis. On parle d'Internet ( Jeremy parlait de sa solution supportant 30gig ) Un DSI, dans les grands groupe, ça lit décision réseau et micro et ça fait ses achats en fonction du meilleur déjeuner qu'il a fait avec son fournisseur préféré. Ce n'est pas représentatif de notre métier. Je fais également du consulting, je ne fais que ça d'ailleurs, et bien sur j'ai vu des clients acheter des équipements hors de prix pour faire la même chose que tu es en mesure de faire avec un HA-PROXY bien configuré, parce que le package global était très intéressant. Il arrivait pas à mettre en prod ses supers boitiers, du coup, pour temporiser en qq heures j'ai installé un HA proxy et c'était en prod pendant 3 semaines. Il y a eu un incident une nuit ( 3h du mat ) , et kiki s'est fait contacter , alors qu'il y avait la doc et que les mecs en interne maitrisent 100 fois mieux des linux que moi ? Au final, j'ai assisté la mise en prod de ces superbes boitiers ( que je n'avais jamais vu auparavant ) , et depuis ça juste marche la redondance fonctionne parfaitement et surtout, pas de soucis entre les mecs du système et les mecs du réseau. Dans la vrai vie d'Internet, il faut aussi prendre cette partie la en considération ! Dans la vrai vie, celle qui fait vraiment tourner Internet, tu ne peux pas mettre en péril ton backbone, juste pour faire mumuse avec la solution brillante de l'ingénieur. Bas non un vrai ingénieur ne fait jamais mumuse, mais il se fait pas aussi rouler dans la farine par un commercial qui lui vend la solution du siècle. L'ingénieur brillant est l'ingénieur qui est capable de dépenser 100 k€ pour répondre à son besoin (ou au besoin de son entreprise) car il n'y a pas de solution moins cher qui répondrait à toutes les contraintes doit celle que tu décrit, mais qui est aussi capable d'implanter la solution à 500 € qui répond au besoin sans penser que cela réduira mon importance dans la boite (car fréquemment c'est le volume de fric que tu gaspille qui défini ton importance dans la boite). Ce n'est pas le prix d'une solution qui valide sa qualité technique. j'ai un peu l'impression qu'on a oublié dans la profession qu'on fait un boulot d'ingénieur, pas de chargé d'achat de matériel informatique. Tu dois confondre entre l'ingénierie et la direction technique. L'ingénierie teste et valide les solutions des constructeurs ou opensource, et s'il y a le budget pour libérer du temps humain, des solutions interne et assume également la fonction de RD Le bricolage, c'est le fait de devoir passer 40 nuits pour upgrader ton soft qui est maintenu par 1 personne. Ce brillant ingénieur s'il se casse du jour au lendemain ( il gagne au loto, il déménage en Alaska ou xyz ), tu fais comment ? Il arrêter de dire et de faire croire que parce ce que c'est ouvert c'est simple et qu'il n'y a pas de soucis pour faire reprendre sa maintenance par les 40 000 ingénieurs dispo. C'est un leurre ! Et pas croire par ce que c'est du Juniper ou du Cisco ou parce que ça coute la peau des fesses que c'est la réponse au problème. Ca aussi c'est un leurre. La réalité c'est qu'il faut bosser et qu'aucun problème n'est facile à résoudre. Alors, un ddos de plusieurs 10aine de giga envoyé vers un Juniper, tu le bloques en 30 sec avec de simple filtres sur les interfaces externe. C'est traité en HW, c'est supporté, et les qq routeurs que j'administre ( entre 10 à 150 G ) il n'y a pas de boitiers de protection arbor, juste des junipers bien configurés. Je veux bien voir 100G avec des PC du Bird ... Pour ce qui l'ont fait tourner , pas juste
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Bonsoir Jeremy, J'ai fait tourner mon réseau avec des solutions open source pendant des années, et on peut des fois s'en sortir sans un boitier hors de prix, je l'ai fait, tu l'as fait et d'autres aussi. je suis content que tu ai réussi a t'en sortir dans ton cas spécifique sans lâcher un zillion d'euros, cela prouve qu'en étant intelligent et compétent on peut faire des choses, et c'est toute la beauté du métier d’ingénieur. Ce qui me gène beaucoup dans ton discours, c'est que tu fais de ton cas particulier un cas général. Je pourrais te citer pleins de cas ou ta solution (que j'ai bien écoutée lors du dernier Frnog) ne sera pas efficace la ou un boitier Arbor/Corero/Radware/XXX le sera. Dire ou sous entendre qu'on peut s'en sortir dans tous les cas avec une solution maison (la tienne ou une autre) est totalement faux. Dans la vraie vie, on a pas le droit de couper 3 jours le temps d’écrire un truc, dans la vraie vie si l'attaquant est motivé il attaque de pleins de façons différentes, et le cout d'une attaque réussie peut vite couter plus cher que le prix d'une appliance amortie sur 3 ans (120K/36mois cela ne fait que €/mois). Cordialement, Salim Le 14/10/2013 21:13, Jérémy Martin a écrit : Comme je l'explique en privé, c'est clairement trop cherpour notre bourse. Attention, je ne dénigre pas, c'est une super bécane bien huilée qui fonctionne et fait son taf, avec des barbu qui répondent au téléphone derrière. Mais quand tu as la possibilité d'avoir un opérateur Tier-2 comme Cogent qui te dit ok, je t'amène les tuyaux que tu veux pour t'aider à ma manière), je dis que ma solution fonctionne pour les besoins que j'en ai. Et ça m'évite de facturer une solution qui me parait normal d'inclure de base dans mes tarifs. A chacun son budget comme on dit. Mais à la vue des attaques qu'on peut voir de nos jours, il est clairement irréaliste de demander à 95 % des AS français de mettre 1 an (ou plus) de CA dans un boitier de mitigation fait pour ça. Après, ça plait, ça ne plait pas. On est sur une mailing d'échange. J'ai un truc qui marche pas trop mal, je le partage, et à ma connaissance, ça a aidé pas mal de barbus. Cordialement, Jérémy Martin Le 14/10/2013 21:08, Guillaume Barrot a écrit : Faudra m'expliquer avec des mots simples en quoi une solution de type UTM peut empecher un tuyau de se remplir jusqu'à étouffement du trafic ... Arbor est hors de prix? Soit, mais en même temps c'est justement une solution opérateur qui se place en amont. Acheter de l'Arbor quand on ne maitrise pas le backbone jusqu'aux IX ... oui. Y a des moyens plus simples de bruler des billets, mais pourquoi pas. 120k, divisé par le nombre de mecs que tu proteges = une offre commerciale... Bref, Arbor et UTM, c'est aussi comparable que switchs et bottes de poireaux. Si tu as des contentieux avec Arbor, attention à ne pas dénigrer publiquement en plus... Le 14 octobre 2013 20:38, Jérémy Martin li...@freeheberg.com a écrit : Bonsoir, Arbor est hors de prix. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Salim Gasmi --
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 14/10/2013 23:28, Kavé Salamatian a écrit : Le 14 oct. 2013 à 23:22, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Argument valable pour un truc que tu peux monter en ligne de code sur un Pc du coin. Exemple : Apache. Pas de soucis une communauté saura se former pour maintenir ta solution et le bricolage du début deviendra le standard libre et tout le monde sera content. Mais dans cette logique on oublie toujours qu'aussi beau que soit un projet comme Apache (par exemple) il continue à tourner sur du prof Intel, de la Ram Samsung et du disque Seagate. L'ingénieur malin à ses limites : il est obligé d'acheter du matos. Ou plutôt l'ingénieur très malin qui arrivera à sortir le cpu pour tous à photograver dans son garage n'est pas encore arrivé. Donc en attendant on acheté le hardware. Sauf que quand ce hardware c'est du FPGA ou de l'Asic c'est pas un guss dans son garage qui va pouvoir le fabriquer. Tout du moins pas encore. Donc en attendant, oui on a de la solution commerciale et on peut difficilement s'en passer. On peut tous espérer que dans dix ans, on aura tous de l'anti Ddos à base de packet dam over Tilera mais pour le moment, y a pas. On se demande ce qu'attende nos brillants pontes du libre pour en faire des projets de labo ... Ah ben oui : du budget. Pour se lancer la dedans, faut du budget. Arbor avant d'être un produit hors de prix c'était un projet de deux guss dans une Fac Américaine. Après ils ont eu des investisseurs, du budget et c'est devenu un produit. Les salopards ils ont même pas bosses pour la gloire, et en monstre capitalistes, ils ont voulu toucher des thunes pour avoir eu une idée. S'il était mort Stallman ferait la toupie sous terraine. La seule boîte qui a (à ma connaissance) bossé sur une solution maison digne de ce nom, c'est OVH avec Tilera. Faut voir le budget que met OVH dans la RD, tout le monde ne peut pas se le permettre ... Maintenant si tu connais un ingénieur qui code du snortlike en développant des FPGA de l'autre main, et qui a réussit à contredire le 3ème principe de la thermodynamique avec une solution qui remonte le cours du paquet pour arrêter le DDOS avant qu'il rentre dans les tuyaux, un conseil : met le sous verre… C'est ce qu'on essaye de faire :-) même en étant des nullards d'universitaire :-). HaiyangJiang, GaogangXie, Kavé Salamatian and Laurent Mathy. Scalable High-Performance Parallel Design for Network Intrusion Detection Systems on Many-Core Processors. the Nineth ACM/IEEE Symposium on Architectures for Networking and Communications Systems(ANCS), Hyatt Place, San Jose, USA , 2013,* OK. Care to share details to list? Cheers, mh Kavé Salamatian Le lundi 14 octobre 2013, Kavé Salamatian a écrit : Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Kavé Salamatian (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On appelle cela l'expérience, un jour peut-être , tu comprendras. Raphael On Oct 14, 2013, at 11:28 PM, Raphael Jacquot sxp...@sxpert.org wrote: On Oct 14, 2013, at 10:57 PM, Raphael Maunier raph...@maunier.net wrote: Mais sauf erreur de ma part, tu n'as jamais eu à opérer un backbone avec plusieurs centaines de giga. Tu es resté trop longtemps en université avec de la RD ou te la validation théorique. Seul toi a la science infuse, et tout les autres sont des cons. t'en as pas marre de passer ton temps a réduire les autres au silence sous prétexte que seul toi a la vérité, parce que tu aurais managé des tas de gros réseaux, et que les autres non ? c'est pas la modestie qui de bouffe... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 14 oct. 2013 à 23:37, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Intention louable, mais comme Saint Thomas, je ne vois que ce que je vois tourner en lab. Si ça scalle le N x 10G sur du cpu du marché et que c'est déployable sans avoir à maintenir une équipe de 20 devops dans la boîte, la je serai vraiment surpris. C'est du Tilera. on fait du 15 Gbps en snortlike avec 2000 rules avec un proc Tilera. Ca scale jusqu'à 30 Gbps sur carte 2 Proc Tilera. Pas assez de budget pour acheter deux cartes 2 proc pour tester si ça va jusqu'à 60 Gbps. Maintenant si ça marche, mea culpa, lancez votre startup, on sera tous très heureux d'être les premiers actionnaires, je pense. Pas le temps. Je préfère rester pauvre et universitaire :-). Mais rien n'empêche les thésards de le faire. Kavé Le lundi 14 octobre 2013, Kavé Salamatian a écrit : Le 14 oct. 2013 à 23:22, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Argument valable pour un truc que tu peux monter en ligne de code sur un Pc du coin. Exemple : Apache. Pas de soucis une communauté saura se former pour maintenir ta solution et le bricolage du début deviendra le standard libre et tout le monde sera content. Mais dans cette logique on oublie toujours qu'aussi beau que soit un projet comme Apache (par exemple) il continue à tourner sur du prof Intel, de la Ram Samsung et du disque Seagate. L'ingénieur malin à ses limites : il est obligé d'acheter du matos. Ou plutôt l'ingénieur très malin qui arrivera à sortir le cpu pour tous à photograver dans son garage n'est pas encore arrivé. Donc en attendant on acheté le hardware. Sauf que quand ce hardware c'est du FPGA ou de l'Asic c'est pas un guss dans son garage qui va pouvoir le fabriquer. Tout du moins pas encore. Donc en attendant, oui on a de la solution commerciale et on peut difficilement s'en passer. On peut tous espérer que dans dix ans, on aura tous de l'anti Ddos à base de packet dam over Tilera mais pour le moment, y a pas. On se demande ce qu'attende nos brillants pontes du libre pour en faire des projets de labo ... Ah ben oui : du budget. Pour se lancer la dedans, faut du budget. Arbor avant d'être un produit hors de prix c'était un projet de deux guss dans une Fac Américaine. Après ils ont eu des investisseurs, du budget et c'est devenu un produit. Les salopards ils ont même pas bosses pour la gloire, et en monstre capitalistes, ils ont voulu toucher des thunes pour avoir eu une idée. S'il était mort Stallman ferait la toupie sous terraine. La seule boîte qui a (à ma connaissance) bossé sur une solution maison digne de ce nom, c'est OVH avec Tilera. Faut voir le budget que met OVH dans la RD, tout le monde ne peut pas se le permettre ... Maintenant si tu connais un ingénieur qui code du snortlike en développant des FPGA de l'autre main, et qui a réussit à contredire le 3ème principe de la thermodynamique avec une solution qui remonte le cours du paquet pour arrêter le DDOS avant qu'il rentre dans les tuyaux, un conseil : met le sous verre… C'est ce qu'on essaye de faire :-) même en étant des nullards d'universitaire :-). HaiyangJiang, GaogangXie, Kavé Salamatian and Laurent Mathy. Scalable High-Performance Parallel Design for Network Intrusion Detection Systems on Many-Core Processors. the Nineth ACM/IEEE Symposium on Architectures for Networking and Communications Systems(ANCS), Hyatt Place, San Jose, USA , 2013, Kavé Salamatian Le lundi 14 octobre 2013, Kavé Salamatian a écrit : Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Kavé Salamatian (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Je peux pas balancer papier sur la liste. Si des personnes intéressées qu'il me contactent. Kavé Le 14 oct. 2013 à 23:39, Michael Hallgren m.hallg...@free.fr a écrit : Le 14/10/2013 23:28, Kavé Salamatian a écrit : Le 14 oct. 2013 à 23:22, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Argument valable pour un truc que tu peux monter en ligne de code sur un Pc du coin. Exemple : Apache. Pas de soucis une communauté saura se former pour maintenir ta solution et le bricolage du début deviendra le standard libre et tout le monde sera content. Mais dans cette logique on oublie toujours qu'aussi beau que soit un projet comme Apache (par exemple) il continue à tourner sur du prof Intel, de la Ram Samsung et du disque Seagate. L'ingénieur malin à ses limites : il est obligé d'acheter du matos. Ou plutôt l'ingénieur très malin qui arrivera à sortir le cpu pour tous à photograver dans son garage n'est pas encore arrivé. Donc en attendant on acheté le hardware. Sauf que quand ce hardware c'est du FPGA ou de l'Asic c'est pas un guss dans son garage qui va pouvoir le fabriquer. Tout du moins pas encore. Donc en attendant, oui on a de la solution commerciale et on peut difficilement s'en passer. On peut tous espérer que dans dix ans, on aura tous de l'anti Ddos à base de packet dam over Tilera mais pour le moment, y a pas. On se demande ce qu'attende nos brillants pontes du libre pour en faire des projets de labo ... Ah ben oui : du budget. Pour se lancer la dedans, faut du budget. Arbor avant d'être un produit hors de prix c'était un projet de deux guss dans une Fac Américaine. Après ils ont eu des investisseurs, du budget et c'est devenu un produit. Les salopards ils ont même pas bosses pour la gloire, et en monstre capitalistes, ils ont voulu toucher des thunes pour avoir eu une idée. S'il était mort Stallman ferait la toupie sous terraine. La seule boîte qui a (à ma connaissance) bossé sur une solution maison digne de ce nom, c'est OVH avec Tilera. Faut voir le budget que met OVH dans la RD, tout le monde ne peut pas se le permettre ... Maintenant si tu connais un ingénieur qui code du snortlike en développant des FPGA de l'autre main, et qui a réussit à contredire le 3ème principe de la thermodynamique avec une solution qui remonte le cours du paquet pour arrêter le DDOS avant qu'il rentre dans les tuyaux, un conseil : met le sous verre… C'est ce qu'on essaye de faire :-) même en étant des nullards d'universitaire :-). HaiyangJiang, GaogangXie, Kavé Salamatian and Laurent Mathy. Scalable High-Performance Parallel Design for Network Intrusion Detection Systems on Many-Core Processors. the Nineth ACM/IEEE Symposium on Architectures for Networking and Communications Systems(ANCS), Hyatt Place, San Jose, USA , 2013,* OK. Care to share details to list? Cheers, mh Kavé Salamatian Le lundi 14 octobre 2013, Kavé Salamatian a écrit : Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Kavé Salamatian (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Bonsoir, DDOS oui mais de quoi parlons nous ? Syn flood est un DDOS et un FPGA peut le contrer .. Slow loris est un DDOS et il faut une CPU (je crois).. Tout cela pour dire qu'en fonction des tuyaux (taille) et des fonctions DDOS que l'on veut mettre en oeuvre, la solution PC open Source peut être valide et pour certain cas l'assistance d'un hardware est indispensable. Donc il n'y a pas de solution miracle. Que le client exprime correctement ses besoins et les ingénieurs pourront proposer des solutions Mes 2 cents. Cordialement Fabien Le 14 oct. 2013 à 23:36, Kavé Salamatian kave.salamat...@univ-savoie.fr a écrit : +1 C'est aussi mon propos. Kavé Le 14 oct. 2013 à 23:32, Frederic Dhieux frede...@syn.fr a écrit : Le 10/14/13 10:44 PM, Kavé Salamatian a écrit : La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. C'est assez triste de voir 2 extrêmes s'affronter sans nuance. OK les solutions commerciales sont parfois scandaleuses (les load balancers sont le premier exemple qui me vient en tête avant un certain volume et certaines fonctionnalités), mais il faut arrêter aussi de croire qu'avec un Linux/BSD on peut atteindre les niveaux de traitement d'une solution pure hardware. Déjà il faut bien séparer une solution hardware basée sur une architecture PC rebrandée et une vraie archi hardware avec ses processeurs spécialisés, ses puces dédiées, etc. Aussi les serveurs actuels sont parfois assez puissants pour faire des choses, parfois les gens documentent mieux que le petit ingénieur surdoué et permettent un suivi, mais il faut l'admettre, pour certaines fonctions les solutions hardware tiennent bien mieux. Quand on parle d'attaques, on parle en général de flux dont l'objectif est d'atteindre une saturation (de tuyaux, de connexions, de slots du services, ...). Dans ce cas avec la multitudes de sources et de flux, il est logique de voir des solutions matérielles plus adaptées à ce type de traitement. On peut discuter du support, on peut discuter de la fiabilité, on peut discuter de la capacité à régler soi même des problèmes sans être dépendant d'un support trop long à se bouger aussi en contreparite. Mais limiter le débât à C'est juste pour dire qu'on a la plus grosse qui coûte cher pour rassurer le client VS C'est de la bidouille de geek dans son coin inmaintenable, c'est vraiment noyer tout argumentaire constructif selon moi. Pour moi le problème c'est surtout de savoir à partir de quel volume une solution n'est plus adaptée et peser le pour et le contre en fonction du nombre de personnes pour s'en occuper versus le budget d'une solution toute faite avec support. Et également de calculer le risque en cas de problème et l'impact sur la santé financière de la société. Quand je vois quelqu'un parler de suicide dans un titre de sujet sur le FRnOG parce qu'il n'a aucune solution pour se protéger, ça me donne l'impression d'un mec qui n'a aucune assurance et qui voit sa boutique bruler, avec juste un verre d'eau à la main pour l'éteindre sans jamais s'être posé la question avant. Pour finir quand on a des clients derrière sa solution, on n'a pas le droit à l'erreur. Si on se plante et qu'on a fait le truc soi même, on se fait torpiller par ses clients. Quand on a un constructeur derrière, on gagne une certaine crédibilité et on n'est moins coupable si la solution est connue/réputée (ça n'empêche pas qu'il y a des gens très doués pour ne pas savoir les implémenter parfois). Alors faire joujou c'est sympa, mais faut être sûr de maitriser tous les cas, de tenir les pics et de pouvoir assumer face à ses clients. Bref, le débat est nuancé par l'activité à protéger, par l'impact, par l'équipe derrière la gestion de l'infra et par ce qu'on veut faire de sa boîte. Claquer des gros chèques chez un constructeur ça fonctionne souvent, ça ne sert à rien parfois aussi. Chercher à réinventer la roue quand on peut s'appuyer sur des fournisseurs/partenaires qui savent mieux le faire (techniquement ou financièrement), ça n'est pas forcément intelligent non plus. Bien s'entourer mène souvent bien plus loin qu'être intelligent tout seul. Pour autant l'argent n'est pas forcément gage de qualité. My 2 cents, Frederic --- Liste de
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Salim, Attention, loin de moi l'idée de vouloir imposer quoi que ce soit, je suis là en simple présentateur. Je dis voilà, je sais faire ça pour ce type d'attaques, et c'était le but de ma présentation. Si tu comprends autre chose, j'en suis désolé. Et attention, je ne travaille pas en opensource, uniquement en hardware, et en l’occurrence sur du Brocade. Ma solution a ses propres contraintes et limites, comme par exemple les attaques applicatives qu'on est obligé de gérer derrière. Et par ailleurs, j'apprécie la réponse de Matthieu (Arbor) qui est celle que j'ai eu lors de nos échanges avec eux. Ils s'adaptent effectivement à notre problématique et à notre budget. Le devis qui est sur mon bureau en témoigne. Le reste, ça se joue entre la banque et moi. Mais relativisons tout de même, je n'héberge pas 140 000 serveurs, juste 600 ! Bref, wait see, et merci pour ces échanges parfois très instructifs et constructifs. Bonne nuit. Cordialement, Jérémy Martin Le 14/10/2013 23:38, Salim Gasmi a écrit : Bonsoir Jeremy, J'ai fait tourner mon réseau avec des solutions open source pendant des années, et on peut des fois s'en sortir sans un boitier hors de prix, je l'ai fait, tu l'as fait et d'autres aussi. je suis content que tu ai réussi a t'en sortir dans ton cas spécifique sans lâcher un zillion d'euros, cela prouve qu'en étant intelligent et compétent on peut faire des choses, et c'est toute la beauté du métier d’ingénieur. Ce qui me gène beaucoup dans ton discours, c'est que tu fais de ton cas particulier un cas général. Je pourrais te citer pleins de cas ou ta solution (que j'ai bien écoutée lors du dernier Frnog) ne sera pas efficace la ou un boitier Arbor/Corero/Radware/XXX le sera. Dire ou sous entendre qu'on peut s'en sortir dans tous les cas avec une solution maison (la tienne ou une autre) est totalement faux. Dans la vraie vie, on a pas le droit de couper 3 jours le temps d’écrire un truc, dans la vraie vie si l'attaquant est motivé il attaque de pleins de façons différentes, et le cout d'une attaque réussie peut vite couter plus cher que le prix d'une appliance amortie sur 3 ans (120K/36mois cela ne fait que €/mois). Cordialement, Salim Le 14/10/2013 21:13, Jérémy Martin a écrit : Comme je l'explique en privé, c'est clairement trop cherpour notre bourse. Attention, je ne dénigre pas, c'est une super bécane bien huilée qui fonctionne et fait son taf, avec des barbu qui répondent au téléphone derrière. Mais quand tu as la possibilité d'avoir un opérateur Tier-2 comme Cogent qui te dit ok, je t'amène les tuyaux que tu veux pour t'aider à ma manière), je dis que ma solution fonctionne pour les besoins que j'en ai. Et ça m'évite de facturer une solution qui me parait normal d'inclure de base dans mes tarifs. A chacun son budget comme on dit. Mais à la vue des attaques qu'on peut voir de nos jours, il est clairement irréaliste de demander à 95 % des AS français de mettre 1 an (ou plus) de CA dans un boitier de mitigation fait pour ça. Après, ça plait, ça ne plait pas. On est sur une mailing d'échange. J'ai un truc qui marche pas trop mal, je le partage, et à ma connaissance, ça a aidé pas mal de barbus. Cordialement, Jérémy Martin Le 14/10/2013 21:08, Guillaume Barrot a écrit : Faudra m'expliquer avec des mots simples en quoi une solution de type UTM peut empecher un tuyau de se remplir jusqu'à étouffement du trafic ... Arbor est hors de prix? Soit, mais en même temps c'est justement une solution opérateur qui se place en amont. Acheter de l'Arbor quand on ne maitrise pas le backbone jusqu'aux IX ... oui. Y a des moyens plus simples de bruler des billets, mais pourquoi pas. 120k, divisé par le nombre de mecs que tu proteges = une offre commerciale... Bref, Arbor et UTM, c'est aussi comparable que switchs et bottes de poireaux. Si tu as des contentieux avec Arbor, attention à ne pas dénigrer publiquement en plus... Le 14 octobre 2013 20:38, Jérémy Martin li...@freeheberg.com a écrit : Bonsoir, Arbor est hors de prix. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail :
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On 14/10/2013 23:38, Raphael Maunier wrote: Je veux bien voir 100G avec des PC du Bird ... Bird, c'est surtout fait pour gérer une table de routage, faire des sessions BGP, du RA, du OSPF, du RIP etc Si tu veux faire du routage (router les paquets, au sens propre) sur un PC, regarde plutôt du côte de PacketShader. D'ailleurs, en parlant de PacketShader, si qqn a déjà fait des tests, ou s'il dispose d'un peu de temps, de motivation, et de quelque milliers d'euros, j'suis pas contre un retour d'expérience ! -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 14/10/2013 23:46, Kavé Salamatian a écrit : Je peux pas balancer papier sur la liste. Si des personnes intéressées qu'il me contactent. C'est fait : m...@xalto.net. Merci, avec plaisir. mh Kavé Le 14 oct. 2013 à 23:39, Michael Hallgren m.hallg...@free.fr a écrit : Le 14/10/2013 23:28, Kavé Salamatian a écrit : Le 14 oct. 2013 à 23:22, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Argument valable pour un truc que tu peux monter en ligne de code sur un Pc du coin. Exemple : Apache. Pas de soucis une communauté saura se former pour maintenir ta solution et le bricolage du début deviendra le standard libre et tout le monde sera content. Mais dans cette logique on oublie toujours qu'aussi beau que soit un projet comme Apache (par exemple) il continue à tourner sur du prof Intel, de la Ram Samsung et du disque Seagate. L'ingénieur malin à ses limites : il est obligé d'acheter du matos. Ou plutôt l'ingénieur très malin qui arrivera à sortir le cpu pour tous à photograver dans son garage n'est pas encore arrivé. Donc en attendant on acheté le hardware. Sauf que quand ce hardware c'est du FPGA ou de l'Asic c'est pas un guss dans son garage qui va pouvoir le fabriquer. Tout du moins pas encore. Donc en attendant, oui on a de la solution commerciale et on peut difficilement s'en passer. On peut tous espérer que dans dix ans, on aura tous de l'anti Ddos à base de packet dam over Tilera mais pour le moment, y a pas. On se demande ce qu'attende nos brillants pontes du libre pour en faire des projets de labo ... Ah ben oui : du budget. Pour se lancer la dedans, faut du budget. Arbor avant d'être un produit hors de prix c'était un projet de deux guss dans une Fac Américaine. Après ils ont eu des investisseurs, du budget et c'est devenu un produit. Les salopards ils ont même pas bosses pour la gloire, et en monstre capitalistes, ils ont voulu toucher des thunes pour avoir eu une idée. S'il était mort Stallman ferait la toupie sous terraine. La seule boîte qui a (à ma connaissance) bossé sur une solution maison digne de ce nom, c'est OVH avec Tilera. Faut voir le budget que met OVH dans la RD, tout le monde ne peut pas se le permettre ... Maintenant si tu connais un ingénieur qui code du snortlike en développant des FPGA de l'autre main, et qui a réussit à contredire le 3ème principe de la thermodynamique avec une solution qui remonte le cours du paquet pour arrêter le DDOS avant qu'il rentre dans les tuyaux, un conseil : met le sous verre… C'est ce qu'on essaye de faire :-) même en étant des nullards d'universitaire :-). HaiyangJiang, GaogangXie, Kavé Salamatian and Laurent Mathy. Scalable High-Performance Parallel Design for Network Intrusion Detection Systems on Many-Core Processors. the Nineth ACM/IEEE Symposium on Architectures for Networking and Communications Systems(ANCS), Hyatt Place, San Jose, USA , 2013,* OK. Care to share details to list? Cheers, mh Kavé Salamatian Le lundi 14 octobre 2013, Kavé Salamatian a écrit : Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Kavé Salamatian (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Oct 14, 2013, at 11:42 PM, Raphael Maunier raph...@maunier.net wrote: On appelle cela l'expérience, un jour peut-être , tu comprendras. Raphael non, on appelle ça prendre les autres pour des cons, avec un melon de la taille de la Géode , point barre. Raphaël signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Il faut juste comprendre que la méthode universitaire n'est pas du tout applicable dans notre monde. La méthode universitaire, ou tu passes 6 mois avant de commencer à valider un bout de solution qui sera en beta pendant 2 ans, ce n'est juste pas possible. C'est quoi la méthode universitaire. J'aimerai bien qu'on me l'apprenne :-). Peut être que Google n'est pas venu de Stanford ou Facebook de Harvard, ou la plupart des produits commerciaux ne sont pas issue à la base de travaux universitaire :-) Chacun a son utilité et ses objectifs. Il y'a de la complémentarité. Respectons nous les uns les autres. Une bonne ingénierie, c'est d'être a la pointe de l'innovation C'est ce qu'on demande aussi à un bon thésard et il y'en a. Kavé --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Ah bah, on va faire un truc simple Je vais voir avec les gens que je connais pour organiser un lab grandeur nature avec du ddos reel. Je vais trouver une salle, faire venir des constructeurs comme Juniper, Cisco, Fortinet and cie, trouver des serveurs pour faire la solution software. On met 2 ou 3 serveurs web et de jeux ( meme service derrière 2 as différents ) On balance un DDOS, avec du Ixia ( Breaking Point ) : - On sort les boitiers de la boites et on configure pour faire la mitigation. - On sort les serveurs de la boite et on fait l'installation. Ensuite on regardera le rapport pour comparer le downtime. Deuxième test : Tout est en place, et en regarde à combien ça tombe et surtout la qualité du service. Alors qui est intéressé ? Au moins on aura de vrai rapport et surtout un vrai élément de débat ! Raphael On Oct 14, 2013, at 11:32 PM, Frederic Dhieux frede...@syn.fr wrote: Le 10/14/13 10:44 PM, Kavé Salamatian a écrit : La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. C'est assez triste de voir 2 extrêmes s'affronter sans nuance. OK les solutions commerciales sont parfois scandaleuses (les load balancers sont le premier exemple qui me vient en tête avant un certain volume et certaines fonctionnalités), mais il faut arrêter aussi de croire qu'avec un Linux/BSD on peut atteindre les niveaux de traitement d'une solution pure hardware. Déjà il faut bien séparer une solution hardware basée sur une architecture PC rebrandée et une vraie archi hardware avec ses processeurs spécialisés, ses puces dédiées, etc. Aussi les serveurs actuels sont parfois assez puissants pour faire des choses, parfois les gens documentent mieux que le petit ingénieur surdoué et permettent un suivi, mais il faut l'admettre, pour certaines fonctions les solutions hardware tiennent bien mieux. Quand on parle d'attaques, on parle en général de flux dont l'objectif est d'atteindre une saturation (de tuyaux, de connexions, de slots du services, ...). Dans ce cas avec la multitudes de sources et de flux, il est logique de voir des solutions matérielles plus adaptées à ce type de traitement. On peut discuter du support, on peut discuter de la fiabilité, on peut discuter de la capacité à régler soi même des problèmes sans être dépendant d'un support trop long à se bouger aussi en contreparite. Mais limiter le débât à C'est juste pour dire qu'on a la plus grosse qui coûte cher pour rassurer le client VS C'est de la bidouille de geek dans son coin inmaintenable, c'est vraiment noyer tout argumentaire constructif selon moi. Pour moi le problème c'est surtout de savoir à partir de quel volume une solution n'est plus adaptée et peser le pour et le contre en fonction du nombre de personnes pour s'en occuper versus le budget d'une solution toute faite avec support. Et également de calculer le risque en cas de problème et l'impact sur la santé financière de la société. Quand je vois quelqu'un parler de suicide dans un titre de sujet sur le FRnOG parce qu'il n'a aucune solution pour se protéger, ça me donne l'impression d'un mec qui n'a aucune assurance et qui voit sa boutique bruler, avec juste un verre d'eau à la main pour l'éteindre sans jamais s'être posé la question avant. Pour finir quand on a des clients derrière sa solution, on n'a pas le droit à l'erreur. Si on se plante et qu'on a fait le truc soi même, on se fait torpiller par ses clients. Quand on a un constructeur derrière, on gagne une certaine crédibilité et on n'est moins coupable si la solution est connue/réputée (ça n'empêche pas qu'il y a des gens très doués pour ne pas savoir les implémenter parfois). Alors faire joujou c'est sympa, mais faut être sûr de maitriser tous les cas, de tenir les pics et de pouvoir assumer face à ses clients. Bref, le débat est nuancé par l'activité à protéger, par l'impact, par l'équipe derrière la gestion de l'infra et par ce qu'on veut faire de sa boîte. Claquer des gros chèques chez un constructeur ça fonctionne souvent, ça ne sert à rien parfois aussi. Chercher à réinventer la roue quand on peut s'appuyer sur des fournisseurs/partenaires qui savent mieux le faire (techniquement ou financièrement), ça n'est pas forcément intelligent non plus. Bien s'entourer mène souvent bien
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 14 oct. 2013 à 23:49, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 23:38, Raphael Maunier wrote: Je veux bien voir 100G avec des PC du Bird ... Bird, c'est surtout fait pour gérer une table de routage, faire des sessions BGP, du RA, du OSPF, du RIP etc Si tu veux faire du routage (router les paquets, au sens propre) sur un PC, regarde plutôt du côte de PacketShader. D'ailleurs, en parlant de PacketShader, si qqn a déjà fait des tests, ou s'il dispose d'un peu de temps, de motivation, et de quelque milliers d'euros, j'suis pas contre un retour d'expérience ! je connais bien packet shaker pour l'avoir implanté et connaitre perso les gens qui l'ont fait. Le problème principal de packet shader et que le délai est important (de l'ordre de la dizaine de msec). On atteint des perfs similaires avec du Tilera avec un conso d'énergie moindre (et même moins cher) avec en plus de la connectivité 10 G sur la carte. En fait la meilleur archi est une archi hybride Tilera+TCAM qui atteint des débits largement supérieur à packet shader. Quel retour d'expérience tu veux ? Kavé Salamatian -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Ce n'est pas ce qui se passait au CCC et dans d'autres endroits à l'époque ? Le Mon, 14 Oct 2013 23:59:13 +0200, Raphael Maunier raph...@maunier.net a écrit: Ah bah, on va faire un truc simple Je vais voir avec les gens que je connais pour organiser un lab grandeur nature avec du ddos reel. Je vais trouver une salle, faire venir des constructeurs comme Juniper, Cisco, Fortinet and cie, trouver des serveurs pour faire la solution software. On met 2 ou 3 serveurs web et de jeux ( meme service derrière 2 as différents ) On balance un DDOS, avec du Ixia ( Breaking Point ) : - On sort les boitiers de la boites et on configure pour faire la mitigation. - On sort les serveurs de la boite et on fait l'installation. Ensuite on regardera le rapport pour comparer le downtime. Deuxième test : Tout est en place, et en regarde à combien ça tombe et surtout la qualité du service. Alors qui est intéressé ? Au moins on aura de vrai rapport et surtout un vrai élément de débat ! Raphael On Oct 14, 2013, at 11:32 PM, Frederic Dhieux frede...@syn.fr wrote: Le 10/14/13 10:44 PM, Kavé Salamatian a écrit : La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. C'est assez triste de voir 2 extrêmes s'affronter sans nuance. OK les solutions commerciales sont parfois scandaleuses (les load balancers sont le premier exemple qui me vient en tête avant un certain volume et certaines fonctionnalités), mais il faut arrêter aussi de croire qu'avec un Linux/BSD on peut atteindre les niveaux de traitement d'une solution pure hardware. Déjà il faut bien séparer une solution hardware basée sur une architecture PC rebrandée et une vraie archi hardware avec ses processeurs spécialisés, ses puces dédiées, etc. Aussi les serveurs actuels sont parfois assez puissants pour faire des choses, parfois les gens documentent mieux que le petit ingénieur surdoué et permettent un suivi, mais il faut l'admettre, pour certaines fonctions les solutions hardware tiennent bien mieux. Quand on parle d'attaques, on parle en général de flux dont l'objectif est d'atteindre une saturation (de tuyaux, de connexions, de slots du services, ...). Dans ce cas avec la multitudes de sources et de flux, il est logique de voir des solutions matérielles plus adaptées à ce type de traitement. On peut discuter du support, on peut discuter de la fiabilité, on peut discuter de la capacité à régler soi même des problèmes sans être dépendant d'un support trop long à se bouger aussi en contreparite. Mais limiter le débât à C'est juste pour dire qu'on a la plus grosse qui coûte cher pour rassurer le client VS C'est de la bidouille de geek dans son coin inmaintenable, c'est vraiment noyer tout argumentaire constructif selon moi. Pour moi le problème c'est surtout de savoir à partir de quel volume une solution n'est plus adaptée et peser le pour et le contre en fonction du nombre de personnes pour s'en occuper versus le budget d'une solution toute faite avec support. Et également de calculer le risque en cas de problème et l'impact sur la santé financière de la société. Quand je vois quelqu'un parler de suicide dans un titre de sujet sur le FRnOG parce qu'il n'a aucune solution pour se protéger, ça me donne l'impression d'un mec qui n'a aucune assurance et qui voit sa boutique bruler, avec juste un verre d'eau à la main pour l'éteindre sans jamais s'être posé la question avant. Pour finir quand on a des clients derrière sa solution, on n'a pas le droit à l'erreur. Si on se plante et qu'on a fait le truc soi même, on se fait torpiller par ses clients. Quand on a un constructeur derrière, on gagne une certaine crédibilité et on n'est moins coupable si la solution est connue/réputée (ça n'empêche pas qu'il y a des gens très doués pour ne pas savoir les implémenter parfois). Alors faire joujou c'est sympa, mais faut être sûr de maitriser tous les cas, de tenir les pics et de pouvoir assumer face à ses clients. Bref, le débat est nuancé par l'activité à protéger, par l'impact, par l'équipe derrière la gestion de l'infra et par ce qu'on veut faire de sa boîte. Claquer des gros chèques chez un constructeur ça fonctionne souvent, ça ne sert à rien parfois aussi. Chercher à réinventer la roue quand on peut s'appuyer sur des fournisseurs/partenaires qui savent mieux le faire
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Ca ne répond pas forcément au débat et à tous les cas, mais c'est toujours très intéressant à faire (si toi et d'autres avez le temps à consacrer à monter un tel lab). Je pense que l'apport de la communauté universitaire pour les solutions softwares serait d'ailleurs très intéressant également pour le coup. Quel que soit le résultat, je pense qu'on y apprendra pas mal de choses et qu'on y trouveras des détails intéressants. Frédéric Le 10/14/13 11:59 PM, Raphael Maunier a écrit : Ah bah, on va faire un truc simple Je vais voir avec les gens que je connais pour organiser un lab grandeur nature avec du ddos reel. Je vais trouver une salle, faire venir des constructeurs comme Juniper, Cisco, Fortinet and cie, trouver des serveurs pour faire la solution software. On met 2 ou 3 serveurs web et de jeux ( meme service derrière 2 as différents ) On balance un DDOS, avec du Ixia ( Breaking Point ) : - On sort les boitiers de la boites et on configure pour faire la mitigation. - On sort les serveurs de la boite et on fait l'installation. Ensuite on regardera le rapport pour comparer le downtime. Deuxième test : Tout est en place, et en regarde à combien ça tombe et surtout la qualité du service. Alors qui est intéressé ? Au moins on aura de vrai rapport et surtout un vrai élément de débat ! Raphael On Oct 14, 2013, at 11:32 PM, Frederic Dhieux frede...@syn.fr wrote: Le 10/14/13 10:44 PM, Kavé Salamatian a écrit : La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. C'est assez triste de voir 2 extrêmes s'affronter sans nuance. OK les solutions commerciales sont parfois scandaleuses (les load balancers sont le premier exemple qui me vient en tête avant un certain volume et certaines fonctionnalités), mais il faut arrêter aussi de croire qu'avec un Linux/BSD on peut atteindre les niveaux de traitement d'une solution pure hardware. Déjà il faut bien séparer une solution hardware basée sur une architecture PC rebrandée et une vraie archi hardware avec ses processeurs spécialisés, ses puces dédiées, etc. Aussi les serveurs actuels sont parfois assez puissants pour faire des choses, parfois les gens documentent mieux que le petit ingénieur surdoué et permettent un suivi, mais il faut l'admettre, pour certaines fonctions les solutions hardware tiennent bien mieux. Quand on parle d'attaques, on parle en général de flux dont l'objectif est d'atteindre une saturation (de tuyaux, de connexions, de slots du services, ...). Dans ce cas avec la multitudes de sources et de flux, il est logique de voir des solutions matérielles plus adaptées à ce type de traitement. On peut discuter du support, on peut discuter de la fiabilité, on peut discuter de la capacité à régler soi même des problèmes sans être dépendant d'un support trop long à se bouger aussi en contreparite. Mais limiter le débât à C'est juste pour dire qu'on a la plus grosse qui coûte cher pour rassurer le client VS C'est de la bidouille de geek dans son coin inmaintenable, c'est vraiment noyer tout argumentaire constructif selon moi. Pour moi le problème c'est surtout de savoir à partir de quel volume une solution n'est plus adaptée et peser le pour et le contre en fonction du nombre de personnes pour s'en occuper versus le budget d'une solution toute faite avec support. Et également de calculer le risque en cas de problème et l'impact sur la santé financière de la société. Quand je vois quelqu'un parler de suicide dans un titre de sujet sur le FRnOG parce qu'il n'a aucune solution pour se protéger, ça me donne l'impression d'un mec qui n'a aucune assurance et qui voit sa boutique bruler, avec juste un verre d'eau à la main pour l'éteindre sans jamais s'être posé la question avant. Pour finir quand on a des clients derrière sa solution, on n'a pas le droit à l'erreur. Si on se plante et qu'on a fait le truc soi même, on se fait torpiller par ses clients. Quand on a un constructeur derrière, on gagne une certaine crédibilité et on n'est moins coupable si la solution est connue/réputée (ça n'empêche pas qu'il y a des gens très doués pour ne pas savoir les implémenter parfois). Alors faire joujou c'est sympa, mais faut être sûr de maitriser tous les cas, de tenir les pics et de pouvoir assumer face à ses clients.
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 2013-10-14 23:21, Kavé Salamatian a écrit : Le 14 oct. 2013 à 22:57, Raphael Maunier raph...@maunier.net a écrit : Pour ce qui l'ont fait tourner , pas juste pour faire mumuse, mais pour protéger des centaines de clients, tu comprends bien vite que les solutions commerciales sont nettement plus abouties que les solutions dites de bricolage Je connais malheureusement tellement de solutions commerciales qui sont nulles alors que des solutions de bricolage équivalente réponde au besoin, et vice-versa. Ne pas oublier que beaucoup de solutions commerciales sont simplement des solutions de bricolage et même en grande majorité de l'open source qui a force de travail sont devenue fiable et facile à utiliser …. Moralité, il n'y a pas de solutions universelles. Personne ne fait mumuse, il faut (ré)apprendre à faire son boulot d'ingénieur avec méthode et rigueur. Juste pour info lu dans : http://www.arbornetworks.com/docman-component/doc_download/157-peakflow-sp-tms-data-sheet-francais Système d’exploitation 1200/2500/3050/3110/4000 ArbOS/ArbUX, notre système d’exploitation propriétaire embarqué, basé sur des systèmes ouverts tels que Linux et Open BSD. tiens tiens tiens... -- Pascal Rullier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 2013-10-14 23:22, Guillaume Barrot a écrit : La seule boîte qui a (à ma connaissance) bossé sur une solution maison digne de ce nom, c'est OVH avec Tilera. Faut voir le budget que met OVH dans la RD, tout le monde ne peut pas se le permettre ... Pas sur à 100% à en voir : https://www.ovh.com/fr/anti-ddos/arbor.xml /me a pas de part dans les snowboards... ;) -- Pascal Rullier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Mon, 14 Oct 2013 23:43:03 +0200, Kavé Salamatian kave.salamat...@univ-savoie.fr said: Kavé C'est du Tilera. on fait du 15 Gbps en snortlike avec 2000 Kavé rules avec un proc Tilera. Ca scale jusqu'à 30 Gbps sur carte Kavé 2 Proc Tilera. Pas assez de budget pour acheter deux cartes 2 Kavé proc pour tester si ça va jusqu'à 60 Gbps. On a eu l'occasion d'avoir un rack de Tilera dans notre entreprise par le passé en prêt. Marrant. :-) Kavé Pas le temps. Je préfère rester pauvre et universitaire Kavé :-). Mais rien n'empêche les thésards de le faire. C'est peut-être l'occasion de demander gentiment à Kalray une carte avec leur MPPA à 256 cœurs. Grenoble, ce n'est pas si loin de chez toi... :-) -- Ronan KERYELL|\/ Phone: +1 650 386 6482 SILKAN Wild Systems |/) 4962 El Camino Real #201 Kronan.kery...@silkan.com Los Altos, CA 94022 |\ skype:keryell USA | \ http://silkan.com --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Guillaume Barrot a écrit: Intention louable, mais comme Saint Thomas, je ne vois que ce que je vois tourner en lab. Saint Thomas doit se retourner dans sa tombe. Moi aussi, j'ai un coté Saint Thomas. Il est un peu plus raide que le tien, d'ailleurs; je ne me fie pas au truc qui tourne en lab: les trucs qui marchaient à merveille dans le lab et qui se sont plantés en moins de 5 minutes en prod, j'en ai plein mes oubliettes. Tu veux un Cisco Centri firewall? Un bouchon de Stroh et il est à toi. Un vrai, avec la License et tout et tout. Windows 2000 SP2 non-upgradable. Truc pas testé en prod: faut me payer pour que je l'essaie. Raphael Maunier a écrit: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage (qui fonctionne dans une certaine limite) à des solutions pro pour les opérateurs. Il y a des fois ou Raphael a tort (et je lui dit) mais sur ce coup-là il a raison (comme souvent). Il ne faut pas prendre les gens qui font des DDOS à large échelle pour des cons. Ils ont du temps et du pognon, et ils savent très bien ce qu'ils font, et nettement mieux que ce que n'importe que bidouilleur même surdoué peut prendre en charge. Même si c'est vrai que les solutions pro coûtent la peau des coucougnettes (dont la moitié sert à payer les vendeurs de pompes usées qui, il y a 3 mois, vendaient des yaourts, des bagnoles, ou des pompes usées mais ils on une carte de crédit qui marche et invitent les décideurs à des bonnes bouffes bien arrosées et la nuit pour cuver avec l'oreiller garni bon bref) et que la solution pro en question ça peut être de la merde en boite certifiée ISO 9000, dans le tas il y en en quand même qui, après s'en aître foutu plein les fouilles, délivre quelque chose qui marche la plupart du temps. Le cul et le pognon, allô? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/