Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN

t; > À: "David Ponzone" > Cc: "Wallace" , "frnog" > Envoyé: Mercredi 30 Septembre 2020 13:38:02 > Objet: Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN > > ❦ 30 septembre 2020 11:46 +02, David Ponzone: > > > Ok ça revient au même que le

Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN

allace" , "frnog" Envoyé: Mercredi 30 Septembre 2020 13:38:02 Objet: Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN ❦ 30 septembre 2020 11:46 +02, David Ponzone: Ok ça revient au même que le modèle avec une VM de routage, sauf que là, c’est l’HV qui route. J’avoue que je n

Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN

: "Wallace" , "frnog" Envoyé: Mercredi 30 Septembre 2020 13:38:02 Objet: Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN ❦ 30 septembre 2020 11:46 +02, David Ponzone: > Ok ça revient au même que le modèle avec une VM de routage, sauf que là, > c’est l’HV qui rou

Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN

❦ 30 septembre 2020 11:46 +02, David Ponzone: > Ok ça revient au même que le modèle avec une VM de routage, sauf que là, > c’est l’HV qui route. > J’avoue que je n’ai jamais considéré ce modèle. Pour moi l’HV est pas > là pour router. Jusqu'ici, il bridgeait. Router, c'est finalement pas

Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN

❦ 30 septembre 2020 10:54 +02, David Ponzone: >> - désactiver le switching, activer le routing >> - activer uRPF >> - activer proxy-ARP >> - ajouter l'adresse de gateway en /32 pour le client (ou /24 en >> n'installant pas la route) >> - mettre la route en /32 vers le client >> - activer le

Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN

Le 30/09/2020 à 11:46, David Ponzone a écrit : > Ok ça revient au même que le modèle avec une VM de routage, sauf que là, > c’est l’HV qui route. > J’avoue que je n’ai jamais considéré ce modèle. Pour moi l’HV est pas là pour > router. C'est notre modèle depuis des années (debian/xen/lvm/drdb).

Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN

A ce niveau là, on est plus proche du EVPN que du routage classique... (Ça marche avec du BGP dans lequel tu annonces les IPs et les MACs de tes machines dans chaque vxlan, en disant sur quel HV elles sont) Tu couple ça avec du VXLAN (un par client) dans lequel tu peux faire soir du RFC1918,

Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN

Ok ça revient au même que le modèle avec une VM de routage, sauf que là, c’est l’HV qui route. J’avoue que je n’ai jamais considéré ce modèle. Pour moi l’HV est pas là pour router. Par contre, l’avantage est que c’est plus facile au niveau de l’HV de scripter l’ajout de l’annonce BGP d’un /32

Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN

Ouh là non c'est l'hyperviseur qui fait du ebgp pas les vms, ça serait le bordel et ça consommerait pas mal de ressources pour pas grand chose. Le 30/09/2020 à 10:57, David Ponzone a écrit : Le 30 sept. 2020 à 10:11, Wallace > a écrit : Je valide c'est LA bonne

Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN

> Le 30 sept. 2020 à 10:11, Wallace a écrit : > > Je valide c'est LA bonne méthode. > > Et tu peux même pousser plus loin en mettant du eBGP entre la machine et le > routeur. Oui bien entendu, mais ça marche pas quand tu contrôles pas la VM. Raison pour laquelle il y a probablement pas mal

Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN

> Le 29 sept. 2020 à 20:45, Vincent Bernat a écrit : > > Sur le switch, sur chaque interface : > - désactiver le switching, activer le routing > - activer uRPF > - activer proxy-ARP > - ajouter l'adresse de gateway en /32 pour le client (ou /24 en > n'installant pas la route) > - mettre la

Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN

Je valide c'est LA bonne méthode. Et tu peux même pousser plus loin en mettant du eBGP entre la machine et le routeur. Le 29/09/2020 à 20:45, Vincent Bernat a écrit : ❦ 29 septembre 2020 16:36 +02, David Ponzone: Après, dans ce qui est accessible avec du matos standard: -sur le routeur

Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN

❦ 29 septembre 2020 16:36 +02, David Ponzone: > Après, dans ce qui est accessible avec du matos standard: > -sur le routeur Edge, assignation d’un /32 sur Eth X, routage du /32 Y > du client vers l’interface Eth, et configuration en dur de l’adresse > MAC de Y > -sur la VM (Linux), assignation

Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN

Oui mais j’ai pas trouvé beaucoup d’infos sur le sujet. Quelques articles de Ivan le Terrible sur le sujet, et il en ressort qu’à chaque fois, tout repose sur des implémentations/bricolos pas très standardisés, que ça soit chez Cisco, Arista ou autre, et que tout le monde attend le Graal: un

Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN

❦ 26 septembre 2020 16:27 +02, David Ponzone: > Comme l’hébergement sérieux version 2020 m’est inconnu, je me > demandais comment l'hébergeur gère la sécurité sur un LAN quand les > machines qui y sont hébergées sont gérés par un tiers (risque d'IP > foireuse, netmask foireux, proxy-arp, etc….).

Re: [FRnOG] [TECH] Hosting et la sécurité sur le LAN

Salut David, Juste une grosse liste d'ACL et quelques instructions coté routage et ça fait le job. Les risques les plus évidents sont - BroadcastStorm (dhcp, arp, etc...) - Man in the middle (spoofing ip / mac) - Quelques attaques liées au TTL et à la fragmentation de paquets. - Saturation par

[FRnOG] [TECH] Hosting et la sécurité sur le LAN

Hébergeurs de serveurs tiers, Comme l’hébergement sérieux version 2020 m’est inconnu, je me demandais comment l'hébergeur gère la sécurité sur un LAN quand les machines qui y sont hébergées sont gérés par un tiers (risque d'IP foireuse, netmask foireux, proxy-arp, etc….). ARP en dur au niveau