Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

[Vincent Bernat]

 ❦ 13 décembre 2020 19:24 GMT, Michel Py:

> Question bête : est-ce que quelqu'un connait un seul exemple ou
> TTL-security aurait résolu un problème ? Cà ressemble à une solution
> qui cherche un problème.

C'est une méthode pour se protéger d'un DOS sans coopération
particulière du peer en face (notamment, pas besoin qu'il filtre les
paquets spoofés). Sa simplicité permet que le filtrage soit effectué
directement au niveau de la linecard.
-- 
Terminate input by end-of-file or marker, not by count.
- The Elements of Programming Style (Kernighan & Plauger)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[TECH] [FRnOG] [MISC] Les monopoles

[Michel Py]

> David Ponzone a écrit :
> Une DSP c’est un monopole. Oui oui ça existe encore en France. [..] Mais 
> c’est un monopole régulé, pas comme celui de France Telecom à l’époque.

C'est assez similaire ici, mais on se retrouve souvent dans une situation 
impossible :
Soit l'opérateur qui possède l'infra (souvent, l'opérateur dit "historique, qui 
ici n'est pas qu'un seul) est forcé de revendre la "collecte" ou quel que soir 
le nom que tu lui donnes, le "dernier kilomètre", à un prix trop élevé qui ne 
laisse aucune marge à ceux qui voudraient essayer de revendre, soit le prix est 
trop bas et ils font tout pour décourager les candidats et laissent l'infra se 
dégrader (dépenser de l'argent à maintenir l'infra pour que les concurrents en 
profitent, c'est pas glop).

Et dans le cas encore inconnu ou un juste milieu serait trouvé, les 
complications administratives et opérationnelles d'avoir 2 sociétés impliquées 
dans le bordel en résultent dans un produit dont le support est batard, et je 
suis poli.

Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

[David Ponzone]

> Le 13 déc. 2020 à 20:24, Michel Py  a 
> écrit :
> 
>>> David Ponzone a écrit :
>>> Tu peux leur demander de virer ça déjà, juste pour voir si ça monte ?
> 
>> Raphaël Jacquot a écrit :
>> Deja fait.
>> "C’est dans les STAS alors je change rien"
> 
> Temps de changer de crémerie peut-être ? Le fournisseur qui ne veut pas 
> t'aider à troubleshooter initialement, il ne sera pas là le jour ou il y aura 
> un vrai problème non plus.


:)
Une DSP c’est un monopole.
Oui oui ça existe encore en France.
On pensait avoir éteint celui de France Telecom mais pour le FTTH, on en a créé 
plein d’autres parce que dans les zones moins peuplées, les opérateurs privés 
en ont rien à foutre de déployer du FTTH à court-terme (la rentabilité doit 
être sur 10 ? 15 ? 20 ans ?).
Mais c’est un monopole régulé, pas comme celui de France Telecom à l’époque.
Mais incontournable si tu veux du FTTH Grand Public.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Petit update - nomination présidence ARCEP

[Jérôme Marteaux]

Le 10/12/2020 à 13:36, Jérôme Nicolle a écrit :
> Chers confrères,
> 
> Bon décidément, que de rebondissements.
> 
> Le 08/12/2020 à 22:33, Jérôme Nicolle a écrit :
>> Nouvelle étape aujourd'hui. Plus que deux candidats en course.
> 
> Et bien non, raté, j'avais pas les bonnes infos. Il sont encore 4 sur la
> ligne, comme prévu initialement, et les dernières auditions devraient
> être pour demain.
> 
> Désolé pour la fake-news, c'est difficile de documenter un processus
> aussi opaque.
> 
> J'en profite au passage :
> 
> Le 10/12/2020 à 09:53, Jérôme Marteaux a écrit :
>> Je ne connais pas cet AD, je n'ai pas participé de près ou de loin
>> aux enchères 5G, pourrais-tu éclairer ma lanterne, que s'est-il passé
>> sur ces enchères 5G ?
> 
> En très synthétique, parce que c'est long et complexe… On s'est tous
> fait avoir par Orange, avec la complicité de ses camarades.
> 

[...] stratégie Orange

> 
>> J'aimerais que tu réponde à la question "est-ce que ces 
>> hauts-fonctionnaires sont incompétents ou servent-ils d'autres
>> intérêts que la majorité de ceux qui animent cette liste partagent
>> ?" (par exemple les intérêts des gros opérateurs, d'équipementiers,
>> des choses que je n'aurait pas identifiées)
> 

[...]


> 
> Il y en a des biens, mais il y a clairement une portion de la haute
> fonction publique dont la seule obsession est "le prochain poste". C'est
> indubitablement le cas de AD. Il se positionne avec des "services"
> anticipés à quelques futurs potentiels employeurs.
> 

[...]

> 
>> Autre élément, que penses-tu de:
>>
> https://www.lesechos.fr/tech-medias/hightech/fibre-optique-larcep-obtient-le-feu-vert-de-bruxelles-pour-reguler-orange-1270048
>> Est-ce que cet AD a émis son point de vue sur cette possible 
>> régulation ?
> 
> Pas publiquement à ma connaissance, mais l'article est mal tourné :
> Bruxelles en a marre de voir autant de subventions illégales d'Orange et
> des RIPs dévoyées par une mauvaise lecture du marché de gros.
> 

[...]

Merci Jérôme pour tous ces éléments et ta réponse rapide. Désolé de
répondre si tard.

Tu as pointé le secrétariat d'Etat chargé du Numérique, quel est son
rôle ? En ce qui nous concerne (opérateurs), quels sont les rôles de
l'ARCEP et et de ce secrétariat d'Etat ? Où est la frontière ?
Est-ce que ça ne serait pas au secrétariat que ce déciderait la
stratégie et l'ARCEP applique en écrivant les règlements ? (en les
faisant appliquer et à même une arme: la sanction)

La page
https://fr.wikipedia.org/wiki/Autorit%C3%A9_administrative_ind%C3%A9pendante_en_France
est intéressante, le parlement semble être l'organisme de contrôle, mais
je suppose qu'il ne fait rien (comme il ne fait rien pour contrôler que
les lois qu'il vote sont bien appliquées), on le voit bien depuis
quelques années (si ce n'est depuis toujours) où le législateur fait des
lois (action politique qui permet de montrer dans les médias que les
personnes politiques se bougent) alors que dans les faits il n'y a rien
qui bouge.


Finalement l'ARCEP a l'apparence d'une grande maison où à l'aide
d'enquêtes et de rapports déciderait de vivre sa vie mais en fait est
totalement noyauté et téléguidé par l'Etat ?


Après avoir lu tes commentaires sur la maladie qui touche certains
hauts-fonctionnaires (et ceux qui pantouflent avec des aller/retours
public/privé) c'est toujours le même problème qui est la probité.
Que faire ?
Comme tu parle d'Orange versus la politique, penses-tu que c'est le cas
de https://www.orange.com/fr/christine-albanel (exemple au hasard, mais
il y en a tant d'autres) ?

Un bon film à revoir:
https://www.france.tv/films/drame/2090835-l-exercice-de-l-etat.html


a+

-- 
Jérôme Marteaux


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

[Michel Py]

>> David Ponzone a écrit :
>> Tu peux leur demander de virer ça déjà, juste pour voir si ça monte ?

> Raphaël Jacquot a écrit :
> Deja fait.
> "C’est dans les STAS alors je change rien"

Temps de changer de crémerie peut-être ? Le fournisseur qui ne veut pas t'aider 
à troubleshooter initialement, il ne sera pas là le jour ou il y aura un vrai 
problème non plus.

> Radu-Adrian Feurdean a écrit :
> Sinon, est-ce que tu est sur que de ton cote la semantique de ttl-security 
> n'est pas inversee (mettre 1 a la place de 255) ?

La même chose chez Cisco, d'ailleurs; la valeur à configurer est 1, c'est le 
nombre de hops, donc en théorie 256 - TTL.


> Tu as essaye ebgp-multihop 255, combine eventuellement de ton cote avec la 
> deactivation de check TTL ?
> C'etait l'astuce pour les routeurs qui ne supportent pas ttl-security.

Il y a 2 autres choses que tu peux essayer (en désactivant ebpg-multihop)

1. set protocols bgp [AS] neighbor [ip peer] ttl-security hops 3
(un peu la même idée que Radu, au cas ou c'est ton coté qui a un problème avec 
le nombre de hops)

2. Essayer de controler la valeur du TTL que ton routeur envoies (pas évident 
qu'il y ait une option).
(au cas ou c'est l'autre coté qui a un problème avec ton TTL).

Question bête : est-ce que quelqu'un connait un seul exemple ou TTL-security 
aurait résolu un problème ? Cà ressemble à une solution qui cherche un problème.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Suppression de compte XING au titre de la RGPD ?

[David Ponzone]

Vous avez dit RGPD ?
Ah oui, LA techno made-in-UE:
https://www.linkedin.com/posts/emmanuelmacron_les-etats-unis-ont-les-gafa-google-apple-ugcPost-6742509363853840386-V1nt/
 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Suppression de compte XING au titre de la RGPD ?

[Maxime DERCHE]

Bonjour,

Le 11/12/2020 à 21:16, Frederic Dumas a écrit :


Bonjour,

quelqu'un saurait-il comment demander à XING la suppression de toutes mes données 
personnelles (et donc y compris mon compte), au titre de la RGPD ?




"R" pour "Règlement", qui est un nom masculin, on dit donc "le" RGPD...

Dans le texte [1], l'Article 38 alinéa 4 [2] stipule que, je cite :

"Les personnes concernées peuvent prendre contact avec le délégué à la protection des 
données au sujet de toutes les questions relatives au traitement de leurs données à 
caractère personnel et à l'exercice des droits que leur confère le présent règlement."


La page [3] indique clairement, je cite : "Our Data Protection Officer is Anja 
Engler.". Je n'ai pas cherché ses coordonnées mais elles doivent aisément se trouver, 
Xing est un réseau social après tout, et au pire chercher quelques adresses e-mail 
appartenant à des personnes pour deviner le schéma de construction de leurs adresses 
devrait être à la portée de chacun-e ici.


Les conditions de suppression sont déclarées en [4], a-côté de la déclaration des 
droits pouvant être exercés par les personnes concernées [5].


Le principe dit du "guichet unique" (Article 56) indique qu'une personne concernée 
est en droit de porter réclamation auprès de son autorité de contrôle locale, en 
France, la CNIL. Xing étant basé en Allemagne, l'autorité locale peut aussi être 
contactée, c'est au choix de la personne concernée établissant sa réclamation.


Mettre la CNIL en copie du message est une bonne pratique qui force tout le monde à 
prendre ses responsabilités (Xing et la CNIL). Je n'ai pas de contact à donner 
publiquement mais la CNIL propose une procédure de plainte sur son site web [6] (je 
n'ai jamais testé, un retour d'expérience serait apprécié).


Le réseau social offre évidement la possibilité de demander la "suppression" d'un 
compte, par son utilisateur. Mais le bouton est si facilement accessible, et les gens 
du marketing "digital" si matois, que je me demande si ce bouton ne sert pas 
simplement à supprimer l'accès au compte (il disparait du front-end web), tandis que 
les données elles sont silencieusement conservées par XING.


Interrogé par écrit à propos des modalités de suppression au titre de la RGDP, le 
support Xing n'a pu répondre autrement que par un mail pré-formaté, rappelant 
l'existence du bouton en question, point barre.


Merci pour vos conseils.



[1] : 
[2] : 

[3] : 
[4] : 


[5] : 
[6] : 


Bien cordialement,
--
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
64B5




OpenPGP_signature
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] Petit update - nomination présidence ARCEP

[Jérôme Nicolle]

Bonjour à tous,

Il semblerait qu'il soit un peu trop tôt pour leur écrire en fin de compte.

Je viens de réviser l'agenda parlementaire : la nomination effective
n'aura pas lieu cette année.

La prochaine étape, suite à l'audition des 4 candidats short-listés, est
l'annonce d'un projet de nomination. Celui-ci sera soumis au vote de
trois commissions du parlement. Hors, vu le calendrier parlementaire,
ces auditions ne pourraient pas se tenir avant la deuxième ou troisième
semaine de janvier 2021.

Donc ce qu'il va probablement se passer, c'est qu'on aura une annonce de
projet de nomination d'ici la fin de l'année ou tout début 2021, des
auditions du candidat désigné aux alentours de mi-janvier, et un vote
des commissions, qui peuvent la bloquer s'ils sont à 60%+ contre.

Et il semblerait que les dés ne soient pas jetés.

Du coup, ça donnerait un mandat effectif dernière semaine de janvier
probablement. l'ARCEP peut très bien "fonctionner" sans président
pendant quelques semaines, ce ne serait pas la première fois.

Du coup aucune idée de qui présentera les vœude l'ARCEP en janvier, je
ne connais pas les usages : serait-ce le dernier président, le nouveau
s'il est déjà nommé, ou un membre du collège ? On va voir, les paris
sont ouverts ;-)

Prochain update quand j'ai d'autres nouvelles.

@+

-- 
Jérôme Nicolle
+33 6 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

[Alarig Le Lay]

On Sun 13 Dec 2020 10:18:27 GMT, Raphaël Jacquot wrote:
> TTL-security 255
> 
> dans la conf de leur nokia 7750...
> […]
> la session monte environ 90s, puis s'arrete...

Si c’était lié au TTL la session ne monterait pas du tout pour moi (ça
resterai en OpenSent).

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

[David Ponzone]

En relisant la doc de Vyatta et des discussions sur le forum Cisco.com, je 
pense que RA a raison, essaie ttl-security hops 1

D’ailleurs VyOS semble avoir abandonné ce paramètre….

> Le 13 déc. 2020 à 11:52, Radu-Adrian Feurdean 
>  a écrit :
> 
> 
> On Sun, Dec 13, 2020, at 10:18, Raphaël Jacquot wrote:
>> 
>> TTL-security 255
> 
> Tu as essaye ebgp-multihop 255, combine eventuellement de ton cote avec la 
> deactivation de check TTL ?
> C'etait l'astuce pour les routeurs qui ne supportent pas ttl-security.
> 
> Sinon, est-ce que tu est sur que de ton cote la semantique de ttl-security 
> n'est pas inversee (mettre 1 a la place de 255) ?
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

[Radu-Adrian Feurdean]

On Sun, Dec 13, 2020, at 10:18, Raphaël Jacquot wrote:
> 
> TTL-security 255

Tu as essaye ebgp-multihop 255, combine eventuellement de ton cote avec la 
deactivation de check TTL ?
C'etait l'astuce pour les routeurs qui ne supportent pas ttl-security.

Sinon, est-ce que tu est sur que de ton cote la semantique de ttl-security 
n'est pas inversee (mettre 1 a la place de 255) ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

[David Ponzone]

Hmm ça sent bon la DSP-tête-de-con ça.

Après, ton problème est peut-être pas lié au TTL-Security…
T’as pas des logs ?

> Le 13 déc. 2020 à 10:43, Raphaël Jacquot  a écrit :
> 
> Deja fait.
> “C’est dans les STAS alors je change rien”
> 
> Raphaël 
> 
> 
>> On 13 Dec 2020, at 10:35, David Ponzone  wrote:
>> 
>> Tu peux leur demander de virer ça déjà, juste pour voir si ça monte ?
>> 
>>> Le 13 déc. 2020 à 10:18, Raphaël Jacquot  a écrit :
>>> 
>>> Bonjour à tous
>>> 
>>> Nous sommes actuellement en train de configurer une session BGP avec un
>>> délégataire de DSP bien connu, et dans leur spec il nous disent qu'ils
>>> ont positionné l'option
>>> 
>>> TTL-security 255
>>> 
>>> dans la conf de leur nokia 7750...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

[Guillaume LUCAS]

Bonjour,

Le 13/12/2020 à 10:18, Raphaël Jacquot a écrit :

quelqu'un aurait une idée ?


Je n'ai pas d'idée sur la session qui ne monte pas. En revanche, voici 
ce que j'ai écrit, en 2014, sur ttl-security :


« Le TTL est décrémenté uniquement en cas de forward. Un routeur reçoit 
un paquet, se rend compte qu'il ne lui est pas destiné, cherche une 
entrée dans sa FIB, décrémente le TTL. Si TTL = 0, il détruit le paquet 
et envoie un message ICMP « Time to Live exceeded in Transit » (type 11, 
code 0  ) à celui qui prétend en être l'expéditeur. Si TTL > 0, le 
routeur forward le paquet.


Le RFC 5082 - The Generalized TTL Security Mechanism (GTSM) 
[https://tools.ietf.org/rfc/rfc5082.txt] explique clairement que le 
paquet doit avoir un TTL fixé à 255 à l'émission et qu'il doit être 
inchangé à la réception. On lit souvent, y compris dans la CLI Cisco[1], 
que l'on doit avoir un TTL supérieur ou égal 254 à la réception : c'est 
une erreur ou plutôt, d'après mes recherches, un sacrifice de la 
sécurité sur l'autel de la compatibilité avec de vieilles architectures 
qui ne devaient pas gérer correctement la décrémentation du TTL (source 
: le plus loin que j'ai pu remonter, la présentation de cette 
proposition de TTL à 255 lors de la 27e rencontre NANOG : The BGP TTL 
Security Hack (BTSH) 
[http://www.nanog.org/meetings/nanog27/presentations/meyer.pdf]). »


Source : 



Bonne journée.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

[Raphaël Jacquot]

Deja fait.
“C’est dans les STAS alors je change rien”

Raphaël 


> On 13 Dec 2020, at 10:35, David Ponzone  wrote:
> 
> Tu peux leur demander de virer ça déjà, juste pour voir si ça monte ?
> 
>> Le 13 déc. 2020 à 10:18, Raphaël Jacquot  a écrit :
>> 
>> Bonjour à tous
>> 
>> Nous sommes actuellement en train de configurer une session BGP avec un
>> délégataire de DSP bien connu, et dans leur spec il nous disent qu'ils
>> ont positionné l'option
>> 
>> TTL-security 255
>> 
>> dans la conf de leur nokia 7750...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

[David Ponzone]

Tu peux leur demander de virer ça déjà, juste pour voir si ça monte ?

> Le 13 déc. 2020 à 10:18, Raphaël Jacquot  a écrit :
> 
> Bonjour à tous
> 
> Nous sommes actuellement en train de configurer une session BGP avec un
> délégataire de DSP bien connu, et dans leur spec il nous disent qu'ils
> ont positionné l'option
> 
> TTL-security 255
> 
> dans la conf de leur nokia 7750...
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] probleme de TTL-security sur une session BGP

[Raphaël Jacquot]

Bonjour à tous

Nous sommes actuellement en train de configurer une session BGP avec un
délégataire de DSP bien connu, et dans leur spec il nous disent qu'ils
ont positionné l'option

TTL-security 255

dans la conf de leur nokia 7750...

ce qui d'apres la doc ici
https://documentation.nokia.com/html/0_add-h-f/93-0074-HTML/7750_SR_OS_Routing_Protols_Guide/bgp.html#1234866

(...)
When TTL security is enabled on a BGP session the IP TTL values in
packets that are supposedly coming from the peer are compared (in
hardware) to the configured minimum value and if there is a discrepancy
the packet is discarded and a log is generated.
(...)

que je comprend comme "la valeur minimale attendue pour le ttl du paquet
est de 255"

d'apres wikipedia

"La valeur initiale de 255 est utilisée par des protocoles pour
s'assurer que le paquet reçu émane bien du même segment, il doit valoir
donc impérativement avoir 254 à la réception."

que je comprend comme "si tu attend 255, tu attendra fort longtemps"

notre routeur (viatta based) nous propose ceci :

set protocols bgp [AS] neighbor [ip peer] ttl-security hops
Possible completions:
  <1-254>   Number of hops

la session monte environ 90s, puis s'arrete...

quelqu'un aurait une idée ?

Raphaël


---
Liste de diffusion du FRnOG
http://www.frnog.org/