[FRnOG] [MISC] FRNOG - 10 ans déjà
Bonjour, Ca ne nous rajeunit pas : http://www.mail-archive.com/frnog@frnog.org/msg0.html http://www.mail-archive.com/frnog@frnog.org/msg1.html Et oui, le FRNOG fête ses 10 ans (et 1 jour). Pour la petite histoire : Pascal Gloor (http://www.pascalgloor.ch/ (entre autres)) a l'époque faisait partie des co-fondateurs d'un petit groupe de techos réseau en Suisse (le SwiNOG... désormais un peu plus conséquent et dont il est président) avec qui ils organisaient des mini-conférences et pizzas party assez sympathiques. Il me propose d'importer le modèle en France... ce que nous nous sommes attelés à faire, avec quelques petites différences dont la gratuité des réunions (mais on ne va pas reprocher aux Suisses d'aimer gérer de l'argent :)) et rapidement la taille des évènements (réunions FRNOG) plus conséquentes... Alors 10 ans plus tard, on peut parler de chiffres (de 0 a 3500+ membres, des dizaines de milliers d'e-mails échangés, des heures de conférence et d'échanges entre membres), mais ce qui est le plus intéressant est surement ce que vous pensez que FRNOG a apporté a l'Internet français... On se voit à la prochaine réunion FRNOG, le 29 Juin pour fêter cela dignement... ps: D'ailleurs, je ne sais pas si vous pensez la même chose, mais j'ai bien l'impression que la mailing-list est plus intéressante et facile à lire depuis l'instauration du système de tags (merci Alain)... Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : http://zsysctl.blogspot.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Influence des bonnes pratiques sur les incidents BGP
Bonjour, A noter qu'il était initialement prévu que ce sujet soit aussi présenté a la prochaine réunion FRNOG, mais faute de place, il le sera a la prochaine (frnog 20). Des copies du rapport seront toutefois disponibles à la réunion frnog 19 et leur auteurs seront présents. Pour celles et ceux que le sujet intéresse et qui n'ont pu assister au SSTIC la semaine dernière, contribution de gens qui viennent en paix sur les bonnes pratiques BGP. https://www.sstic.org/media/SSTIC2012/SSTIC-actes/influence_des_bonnes_pratiques_sur_les_incidents_b/SSTIC2012-Article-influence_des_bonnes_pratiques_sur_les_incidents_bgp-contat_valadon_nataf_2.pdf pour la version académique. Ethttps://www.sstic.org/media/SSTIC2012/SSTIC-actes/influence_des_bonnes_pratiques_sur_les_incidents_b/SSTIC2012-Slides-influence_des_bonnes_pratiques_sur_les_incidents_bgp-contat_valadon_nataf.pdf pour la version avec les dessins et eastergeggs pour la bière. Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : http://zsysctl.blogspot.com --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] FRNOG 19.0 - RELEASE
Bonjour, Le programme de la prochaine réunion FRNOG est désormais en ligne. http://www.frnog.org/?page=frnog19 Dans la tradition des réunions FRNOG, il n'y a pas de thème particulier, on va parler d'un peu de tout et notamment d'IPv6, de RPKI, d'Internet avant Internet (Cyclades), de réseau optique, de détection de filtrage de DDoS, de nouvelles technos pour finir par parler régulation et recensement avec l'ARCEP. Vous pouvez donc vous inscrire en connaissance de cause... encore désolé pour le délais à mettre le programme en ligne, j'espère que vous noterez mes efforts à vous trouver des présentations originales et intéressantes :) En ce qui concerne Cyclades, on commencerait par une série de questions à poser a ses inventeurs/créateurs... Pour plus de simplicité, je pense faire proxy de vos questions (au lieu de courir dans la salle avec un micro). Aussi, si vous avez des question à me poser sur cette très intéressante aventure que fut le réseau Cyclades, merci de le faire off-list et je les poserais (dans la limite du temps disponible :)). Avant de formuler vos questions, je ne peux que vous conseiller de lire ou regarder les pages suivantes : http://fr.wikipedia.org/wiki/Cyclades_(r%C3%A9seau) http://vimeo.com/2696386 http://billaut.typepad.com/jm/2011/07/connaissez-vous-louis-pouzin-from-palo-alto-.html Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : http://zsysctl.blogspot.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] FRNOG 19.0 - RELEASE
On 2012-06-13 10:04, Philippe Bourcier wrote: Avant de formuler vos questions, je ne peux que vous conseiller de lire ou regarder les pages suivantes : http://fr.wikipedia.org/wiki/Cyclades_(r%C3%A9seau) http://vimeo.com/2696386 http://billaut.typepad.com/jm/2011/07/connaissez-vous-louis-pouzin-from-palo-alto-.html ... voire si vous êtes vraiment intéressé ce (à mon avis très bon) bouquin : http://nuvis.fr/vitrine/product.php?id_product=39 (version numérique http://nuvis.fr/vitrine/product.php?id_product=41) -- Pierre 'catwell' Chapuis --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Influence des bonnes pratiques sur les incidents BGP
Le 12/06/12 21:30, Sarah Nataf a écrit : Je suis notamment intéressée par tout outil qui permettrait d'élargir la détection des usurpations d'adresses Aaah la quête du graal... On s'installe une table ronde au milieu de la salle de cocktail du FRnOG et on vient en armure ? Si tu relis bien l'ensemble des papiers sur le sujet, tu confirmeras sans doute ce que j'en conclues : l'élément clef dans la sécurisation du BGP, c'est le travail de filtrage tant qu'on a pas mieux, et le déploiement très rapide des solutions de validation des annonces dès qu'elles sont disponibles. Et dans les deux cas, ça ne marche que si tout le monde le fais, les gros AS en premier. Du coup, la première chose à faire serait une remise en cause individuelle de tous les réseaux représentés dans la salle, en se demandant combien de temps on va vraiment mettre à appliquer ces bonnes pratiques. Si, en marge de ça, on doit admettre que le mouvement ne sera que peu suivi, et donc qu'il faut développer des solutions de monitoring, alors il est urgent d'y travailler sérieusement et que tous les opérateurs de la place co-financent le montage d'une infrastructure de collecte des tables et le développement des logiciels d'analyse. Qui lead ? Qui paye ? Et d'ailleurs, comment on fait ? Je te laisse bien volontiers les deux premières questions. Pour la troisième, j'ai des tas d'idées, mais elles risques de ne pas plaire. Un bon début est d'utiliser des groupements existants, comme le NLNog Ring, comme outil de diagnostic en temps réel. Ensuite on peut envisager de tous mettre en place des boites noires pour stocker tous les updates BGP émis et reçus, pour du forensic. Valeur ajoutée ? Nulle. Coût ? Ça va vite taper dans le gros SAN de plusieurs armoires. Ça commence bien. Reste l'analyse de l'ensemble de ces updates collectés, qui n'auraient de sens que si ils sont bien recoupés entre elles, et qui demande d'intégrer un très très grand nombre de données contextuelles dont j'ai aucune idée de comment les collecter de façon fiable et universelle. Des suggestions ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Influence des bonnes pratiques sur les incidents BGP
2012/6/13 Jérôme Nicolle jer...@ceriz.fr Le 12/06/12 21:30, Sarah Nataf a écrit : Je suis notamment intéressée par tout outil qui permettrait d'élargir la détection des usurpations d'adresses (...) Du coup, la première chose à faire serait une remise en cause individuelle de tous les réseaux représentés dans la salle, en se [ Euh, arrête le marketing on est sur la liste [TECH ] :) ] il est urgent d'y travailler sérieusement et que tous les opérateurs de la place co-financent le montage d'une infrastructure de collecte des tables et le développement des logiciels d'analyse. Qui lead ? Qui paye ? Et d'ailleurs, comment on fait ? Je te laisse bien volontiers les deux premières questions. Pour la Ah au contraire tu sembles bien parti pour le blablah, c'est plutôt la partie technique qui m'intéresse. troisième, j'ai des tas d'idées, mais elles risques de ne pas plaire. Un bon début est d'utiliser des groupements existants, comme le NLNog Ring, comme outil de diagnostic en temps réel. Yes il faudrait que je creuse ce concept. Ensuite on peut envisager de tous mettre en place des boites noires pour stocker tous les updates BGP émis et reçus, pour du forensic. Valeur ajoutée ? Nulle. Coût ? Ça va vite taper dans le gros SAN de plusieurs armoires. Ça commence bien. On est d'accord. De plus il existe déjà de nombreux projets de collecteurs de routes, sous diverses formes, pas besoin de réinventer la roue. Et ce dont on a besoin en général ce sont de collecteurs éloignés au sens BGP (genre pour superviser la plaque Asie, Amérique du Sud, etc), plutôt que de collecteurs sur ses propres peers dont on reçoit directement les routes et dont on peut plus facilement repérer les écarts. Reste l'analyse de l'ensemble de ces updates collectés, qui n'auraient de sens que si ils sont bien recoupés entre elles, et qui demande d'intégrer un très très grand nombre de données contextuelles dont j'ai aucune idée de comment les collecter de façon fiable et universelle. Des suggestions ? Idée sur une base différente : plutôt que collecter des updates BGP, RPKI pourrait peut-être facilement compléter les outils existants, pour une surveillance pas forcément en temps réel, et avec des petits moyens en terme d'infrastructure car on ne partagerait que les alertes (encore faut-il voir sous quelle forme)... ? Ca pourrait être un aspect à creuser, encore faudrait-il que je trouve le temps de générer les premiers certificats pour notre AS. Cdlt, -- sarah --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Influence des bonnes pratiques sur les incidents BGP
Le 13/06/12 14:39, Sarah Nataf a écrit : [ Euh, arrête le marketing on est sur la liste [TECH ] :) ] Je fais pas de marketing, je parle des taux d'adoptions des bonnes pratiques dans l'exploit des réseaux. Les bonnes pratiques, c'est pas justement l'objet de ton papier ? ;) NLNog Ring Yes il faudrait que je creuse ce concept. Les mecs sont très ouverts, et seront très probablement preneurs d'une contribution de ton AS. On (tetaneutral) y a proposé de monter des clients BGP sur les nodes pour y poser notre looking glass ( exemple : http://lg.tetaneutral.net/prefix_bgpmap/gw+h3/ipv4?q=57.67.32.0 ). L'idée de LG coopératif multi-AS me plait bien pour ça (note : sur la bgpmap, on peut facilement faire apparaitre simultanément les routes pour tous les AS sur lesquels les proxys CLI du looking glass sont installés, à la façon de ring-trace, voir https://ring.nlnog.net/wp-content/uploads/2011/11/trace-www.apple_.com_.jpg). Si en prime on pouvait faire des replays depuis des set d'updates collectés dans le temps, alors on aurait l'outil d'analyse parfait. Je suis pas certain que ce soit si colossal que ça a implémenter, juste je sais pas le faire. Thomas ? On pourrait faire ça avec des patchs sur exabgp ? :p Idée sur une base différente : plutôt que collecter des updates BGP, RPKI pourrait peut-être facilement compléter les outils existants, pour une surveillance pas forcément en temps réel, et avec des petits moyens en terme d'infrastructure car on ne partagerait que les alertes (encore faut-il voir sous quelle forme)... ? Ca pourrait être un aspect à creuser, encore faudrait-il que je trouve le temps de générer les premiers certificats pour notre AS. Tu crois qu'on pourrait inclure ça dans la liste des best-practices ? Genre, avoir tous un ou plusieurs route-reflector accessible en eBGP-multihop sur simple demande ? Si ça s'organise, AS197422 jouera le jeu avec plaisir. Qui d'autre ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [ALERT] ipv6 et yahoo.fr, sla n'marche pas bien ce jour
Hello la liste, Mes collègues s’affolent, c'est la panique ... :) . On dirait bien que http://fr.yahoo.com en ipv6 n'est pas en forme ce jour, ras par contre chez http://uk.yahoo.com cf capture: http://i47.tinypic.com/2yjy1c6.jpg Tous va bien chez vous? Nous constatons cela depuis 2001:4b90:0:9::/64 Des infos quelqu'un? ++ FD --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] ipv6 et yahoo.fr, sla n'marche pas bien ce jour
Flemme, je top-post. # fetch -6 http://fr.yahoo.com/ fetch: http://fr.yahoo.com/: Not Found KO depuis 2a02:24a8::/32 On 6/13/12 4:50 PM, Fabien Dedenon wrote: Hello la liste, Mes collègues s’affolent, c'est la panique ... :) . On dirait bien que http://fr.yahoo.com en ipv6 n'est pas en forme ce jour, ras par contre chez http://uk.yahoo.com cf capture: http://i47.tinypic.com/2yjy1c6.jpg Tous va bien chez vous? Nous constatons cela depuis 2001:4b90:0:9::/64 Des infos quelqu'un? ++ FD --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Influence des bonnes pratiques sur les incidents BGP
2012/6/13 Jérôme Nicolle jer...@ceriz.fr Le 13/06/12 14:39, Sarah Nataf a écrit : Idée sur une base différente : plutôt que collecter des updates BGP, RPKI pourrait peut-être facilement compléter les outils existants, pour une surveillance pas forcément en temps réel, et avec des petits moyens en terme d'infrastructure car on ne partagerait que les alertes (encore faut-il voir sous quelle forme)... ? Ca pourrait être un aspect à creuser, encore faudrait-il que je trouve le temps de générer les premiers certificats pour notre AS. Tu crois qu'on pourrait inclure ça dans la liste des best-practices ? Genre, avoir tous un ou plusieurs route-reflector accessible en eBGP-multihop sur simple demande ? Ouille, une BCP qui imposerait le eBGP multihop, c'est clairement antinomique... Ca ne va pas le faire... Sinon sans partage des UPDATES ni des RIB, il y aurait peut-être moyen de partager des alertes RPKI ? Même en temps différé ça permettrait d'avoir une meilleure vision sur les AS qui annoncent tout et n'importe quoi. -- sarah --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] ipv6 et yahoo.fr, sla n'marche pas bien ce jour
On Wed, 2012-06-13 at 17:04 +0200, Damien Fleuriot wrote: Flemme, je top-post. # fetch -6 http://fr.yahoo.com/ fetch: http://fr.yahoo.com/: Not Found KO depuis 2a02:24a8::/32 On 6/13/12 4:50 PM, Fabien Dedenon wrote: Hello la liste, Mes collègues s’affolent, c'est la panique ... :) . On dirait bien que http://fr.yahoo.com en ipv6 n'est pas en forme ce jour, ras par contre chez http://uk.yahoo.com cf capture: http://i47.tinypic.com/2yjy1c6.jpg Tous va bien chez vous? Nous constatons cela depuis 2001:4b90:0:9::/64 Des infos quelqu'un? Depuis AS197422 2a01:6600:8000::/40 : $ telnet 2a00:1288:f00e:1fe::3001 80 Trying 2a00:1288:f00e:1fe::3001... Connected to 2a00:1288:f00e:1fe::3001. Escape character is '^]'. GET / HTTP/1.1 Host: fr.yahoo.com HTTP/1.1 404 Not Found on Accelerator Date: Wed, 13 Jun 2012 15:09:41 GMT Connection: close Via: HTTP/1.1 r05.ycpi.ams.yahoo.net (YahooTrafficServer/1.20.16 [c s f ]) Server: YTS/1.20.16 Cache-Control: no-store Content-Type: text/html Content-Language: en Content-Length: 240 HEADTITLENot Found on Accelerator/TITLE/HEAD BODY BGCOLOR=white FGCOLOR=black FONT FACE=Helvetica,ArialB Your requested URL was not found./B/FONT !-- default Not Found on Accelerator response (404) -- /BODY En IPv4 ca marche(TM) : $ telnet 87.248.112.181 80 Trying 87.248.112.181... Connected to 87.248.112.181. Escape character is '^]'. GET / HTTP/1.1 Host: fr.yahoo.com HTTP/1.1 200 OK ... Server: YTS/1.20.10 ... Et un peu de BGP pour finir :) http://lg.tetaneutral.net/prefix_bgpmap/gw+h3/ipv6?q=fr.yahoo.com Laurent http://tetaneutral.net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Influence des bonnes pratiques sur les incidents BGP
Le 13/06/12 17:04, Sarah Nataf a écrit : Ouille, une BCP qui imposerait le eBGP multihop, c'est clairement antinomique... Ca ne va pas le faire... Dans un cadre de supervision uniquement ça parait pas dommageable, mais peut être qu'il y a d'autres moyens de remonter une vue du routage. Un protocole dédié de transmission différé d'updates ou de snapshots sérialisés, avec interrogation possible a T-n en forensic ? En tout cas ça ferait une source très utile à l'étude approfondi de la pertinence du path exploration dampening, susceptible de réduire un peu la verbosité globale du merdier. Sinon sans partage des UPDATES ni des RIB, il y aurait peut-être moyen de partager des alertes RPKI ? Même en temps différé ça permettrait d'avoir une meilleure vision sur les AS qui annoncent tout et n'importe quoi. Je ne suis pas très optimiste quant à l'adoption du RPKI. Déjà parce que je suis pas sur d'avoir tout bien compris comment ça va marcher, ensuite parce qu'il ne faut pas oublier la myriade de stubs dont les routeurs sont à l'abandon et donc qui n'évolueront jamais. Du coup, se baser sur un mécanisme pas encore déployé, n'est-ce-pas plus optimiste que de rester sur quelque chose de peu impactant en gardant le principe de sonde à accrocher sur des routeurs existants ? Et plus facile encore si ça peut s'externaliser avec le multihop ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] ipv6 et yahoo.fr, sla n'marche pas bien ce jour
Le 13 juin 2012 17:48, Nicolas Gaudin ngau...@emailvision.com a écrit : Hello, On a le même pb aussi. Le problème vient de yahoo.com pas de vous. Peut être le support yahoo à contacter non ? A moins que quelqu'un de yahoo lise cette ml. -- PR --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] ipv6 et yahoo.fr, sla n'marche pas bien ce jour
Le 13/06/2012 17:16, Patrick Maigron a écrit : Idem depuis un accès Renater et un accès Free : GET http://fr.yahoo.com/ [HTTP/1.1 404 Not Found on Accelerator 140ms] Pas de souci en v4 et pour uk en v6. Patrick. Ca semble bien global et pas uniquement lié a quelques utilisateurs Grosse réussite l'activation d'ipv6 pour ce service leur service, l'absence de supervision qui effraie pour un portail qui reste tout de même important, ils auraient déja eu tout le temps du monde a désactiver la résolution pour remettre les chose rapidement en ordre. C'est tout de même fou. Au passage Witbe, Ip-label et confrères fournissent les surveillances en ipv6 ? ++ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] ipv6 et yahoo.fr, sla n'marche pas bien ce jour
Le 13 juin 2012 17:58, Pascal Rullier pas...@rullier.net a écrit : Le 13 juin 2012 17:48, Nicolas Gaudin ngau...@emailvision.com a écrit : Hello, On a le même pb aussi. Le problème vient de yahoo.com pas de vous. Peut être le support yahoo à contacter non ? A moins que quelqu'un de yahoo lise cette ml. Ils sont au courant. -- Pierre-Yves Maunier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] ipv6 et yahoo.fr, sla n'marche pas bien ce jour
Le 13 juin 2012 20:33, Pierre-Yves Maunier fr...@maunier.org a écrit : Le 13 juin 2012 17:58, Pascal Rullier pas...@rullier.net a écrit : Le 13 juin 2012 17:48, Nicolas Gaudin ngau...@emailvision.com a écrit : Hello, On a le même pb aussi. Le problème vient de yahoo.com pas de vous. Peut être le support yahoo à contacter non ? A moins que quelqu'un de yahoo lise cette ml. Ils sont au courant. Ca y est c'est corrigé :-) $ host fr.yahoo.com fr.yahoo.com is an alias for fp2.wg1.b.yahoo.com. fp2.wg1.b.yahoo.com is an alias for any-fp2.wa1.b.yahoo.com. any-fp2.wa1.b.yahoo.com has address 87.248.112.181 any-fp2.wa1.b.yahoo.com has address 87.248.122.122 Au moins comme ça c'est sûr l'IPv6 pourra pas poser problème. -- Pierre-Yves Maunier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] ipv6 et yahoo.fr, sla n'marche pas bien ce jour
Le 13 juin 2012 22:28, Pierre-Yves Maunier fr...@maunier.org a écrit : Ca y est c'est corrigé :-) $ host fr.yahoo.com fr.yahoo.com is an alias for fp2.wg1.b.yahoo.com. fp2.wg1.b.yahoo.com is an alias for any-fp2.wa1.b.yahoo.com. any-fp2.wa1.b.yahoo.com has address 87.248.112.181 any-fp2.wa1.b.yahoo.com has address 87.248.122.122 Au moins comme ça c'est sûr l'IPv6 pourra pas poser problème. Ah oui, c'est sur... forcer en ipv4 only ... Super la correction du problème, encore le LB accelerator qui supporte pas l'ipv6 pas comme ça que ça va avancer le déploiement de l'ipv6 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] ipv6 et yahoo.fr, sla n'marche pas bien ce jour
Le 13 juin 2012 23:40, Pascal Rullier pas...@rullier.net a écrit : Le 13 juin 2012 22:28, Pierre-Yves Maunier fr...@maunier.org a écrit : Ca y est c'est corrigé :-) $ host fr.yahoo.com fr.yahoo.com is an alias for fp2.wg1.b.yahoo.com. fp2.wg1.b.yahoo.com is an alias for any-fp2.wa1.b.yahoo.com. any-fp2.wa1.b.yahoo.com has address 87.248.112.181 any-fp2.wa1.b.yahoo.com has address 87.248.122.122 Au moins comme ça c'est sûr l'IPv6 pourra pas poser problème. Ah oui, c'est sur... forcer en ipv4 only ... Super la correction du problème, encore le LB accelerator qui supporte pas l'ipv6 pas comme ça que ça va avancer le déploiement de l'ipv6 Ils ré-activeront bientôt le temps de corriger le soucis. -- Pierre-Yves Maunier --- Liste de diffusion du FRnOG http://www.frnog.org/