RE: [FRnOG] [TECH] normalisation des communautés BGP de trou noir

2016-01-14 Par sujet Michel Py 
> Raphael Mazelier a écrit :
> Yep pas le choix. Bon d'un autre coté c'est 4 lignes de conf a chaque fois, 
> c'est pas dramatique.

Petite usine à gaz deviendra grande :P
Bon, c'est vrai que avoir plus que 10 upstreams çà court pas les rues, à part 
ceux qui ont des ambitions de grandeur de devenir un vrai Tier-1.

Restant sérieux puisque j'ai déjà pondu mon troll de la semaine, j'ai quand 
même 2 questions seulement à-moitié con :

1. Est-ce que quelqu'un utilise la convention suggérée par RFC5635 ?
(à défaut d'utiliser les communautés suggérées, la même idée en couleur)

2. Est-ce qu'il y l'équivalent Français de çà, dans les IX Français ?
http://www.team-cymru.org/UTRS/

Et puis, (adressé à Clement plutôt qu'à toi), j'ai toujours pas vu de 
suggestions sur le sujet :P

C'est bien beau de suggérer plus de granularité par les communautés dans le 
feed BGP de la mort (et j'ai toujours été d'accord), mais ce n'est pas aussi 
simple qu'il le parait, vu que plusieurs sources se redistribuent mutuellement 
en plus de détecter simultanément les mêmes préfixes candidats.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] normalisation des communautés BGP de trou noir

2016-01-13 Par sujet Raphael Mazelier 

Bonjour,

Cela serait tellement une bonne chose. Malheureusement les trois 
transitaires que j'utilise ont une communauté différente pour le rtbh 
(voir pour certain impose de peerer avec un routeur dédié a cela).

Et pour le coup cela ne ressemble pas du tout à ASN:666.

Cdt,

--
Raphael Mazelier

Le 13/01/16 03:37, Michel Py a écrit :

Bonjour à tous,

Est-ce quelqu'un aurait des liens sur le sujet ? Par exemple dans le cas ou un 
client envoie à son(ses) FAI certains préfixes à router dans null0 pour mitiger 
une DDOS, est-ce qu'il y a un standard sur la communauté à utiliser ?

Pour le next-hop il semblerait que 192.0.2.1 soit généralisé, et j'ai vu 
plusieurs ASN:666 (dont je me sers moi-même), est-ce qu'il y a un effort de 
normalisation ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] normalisation des communautés BGP de trou noir

2016-01-13 Par sujet Michel Py 
> Raphael Mazelier a écrit :
> Cela serait tellement une bonne chose. Malheureusement les trois transitaires 
> que j'utilise ont une communauté différente pour le rtbh

C'est bien ce que je craignais :-( Donc si tu as 3 transitaires a b et c, ton 
feed de trou noir (même si en interne il a le même tag) tu as 3 route-maps qui 
mettent les communautés TONAS:, TONAS: et TONAS: ?


> (voir pour certain impose de peerer avec un routeur dédié a cela).

Ca encore je comprends pourquoi; le RTBH est un animal relativement nouveau et 
personne n'est trop chaud à l'intégrer complètement; un routeur dédié qui sert 
de route-server pour RTBH, c'est tentant.

Je voulais savoir si il y avait un départ de normalisation pour raffiner le 
feed, comme Clement le faisait justement remarquer récemment.
ASN:666  : tous les préfixes
ASN:6000 : les pédonazis
ASN:6001 : les terroristes
ASN:6002 : les geeks sans barbe
ASN:6003 : les attaqueurs de dico sur SSH
[...]


> Stephane Bortzmeyer a écrit :
> À proposer à l'IETF ? La normalisation des communautés « bien connues » est 
> un sujet récurrent.

Oui, il y a RFC3882 (probablement celle qui a introduit ASN:666)
> [RFC3882] community value 65001:666

et RFC5635 qui suggère plus de granularité

> [RFC5635] XXX:600 RTBH filtering on all routers
> [RFC5635] XXX:601 RTBH filtering on only peering routers
> [RFC5635] XXX:602 RTBH filtering on only customers who peer BGP
> [RFC5635] XXX:603 RTBH filtering on data centers (to see if the data center 
> is the source of attack)

https://tools.ietf.org/html/rfc3882
https://tools.ietf.org/html/rfc5635

Aucune de ces deux ne va assez loin.

>> vu plusieurs ASN:666 (dont je me sers moi-même),
> Euh, cet AS existe et apprtient à l'armée US, qui ne serait peut-être pas 
> ravie...

Tu n'a pas bien lu ma contrib. Depuis que tout le monde utilise "ip 
bgp-community new-format", la première partie de la communauté est l'ASN 
d'origine, et la deuxième partie ce qui est configurable. Ce n'est donc pas ASN 
666 qui est référencé mais l'ASN (quel qu'il soit) et 666 dans la partie 
utilisateur.
Ceci pose un problème pour les gens qui ont un ASN 32 bits d'ailleurs puisque 
la communauté (d'après ce que je comprends) est restée 32 bits aussi, laissant 
les gens qui ont un ASN 32 bits peu de possibilités.

> Clement Cavadore a écrit :
> Bon, après, c'est sûr que si on taggue les routes ASN:PEERASN *et* qu'on 
> peere avec l'AS 666,
> ca devient compliqué d'utiliser ce schéma de communautés pour le RTBH.

Sans parler de quoi faire avec les préfixes dans le 30.net dont on se servait 
déjà comme RFC1918 ter :P


Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/