Re: [FRnOG] [TECH] Influence des bonnes pratiques sur les incidents BGP
Bonjour, A noter qu'il était initialement prévu que ce sujet soit aussi présenté a la prochaine réunion FRNOG, mais faute de place, il le sera a la prochaine (frnog 20). Des copies du rapport seront toutefois disponibles à la réunion frnog 19 et leur auteurs seront présents. Pour celles et ceux que le sujet intéresse et qui n'ont pu assister au SSTIC la semaine dernière, contribution de gens qui viennent en paix sur les bonnes pratiques BGP. https://www.sstic.org/media/SSTIC2012/SSTIC-actes/influence_des_bonnes_pratiques_sur_les_incidents_b/SSTIC2012-Article-influence_des_bonnes_pratiques_sur_les_incidents_bgp-contat_valadon_nataf_2.pdf pour la version académique. Ethttps://www.sstic.org/media/SSTIC2012/SSTIC-actes/influence_des_bonnes_pratiques_sur_les_incidents_b/SSTIC2012-Slides-influence_des_bonnes_pratiques_sur_les_incidents_bgp-contat_valadon_nataf.pdf pour la version avec les dessins et eastergeggs pour la bière. Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : http://zsysctl.blogspot.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Influence des bonnes pratiques sur les incidents BGP
Le 12/06/12 21:30, Sarah Nataf a écrit : Je suis notamment intéressée par tout outil qui permettrait d'élargir la détection des usurpations d'adresses Aaah la quête du graal... On s'installe une table ronde au milieu de la salle de cocktail du FRnOG et on vient en armure ? Si tu relis bien l'ensemble des papiers sur le sujet, tu confirmeras sans doute ce que j'en conclues : l'élément clef dans la sécurisation du BGP, c'est le travail de filtrage tant qu'on a pas mieux, et le déploiement très rapide des solutions de validation des annonces dès qu'elles sont disponibles. Et dans les deux cas, ça ne marche que si tout le monde le fais, les gros AS en premier. Du coup, la première chose à faire serait une remise en cause individuelle de tous les réseaux représentés dans la salle, en se demandant combien de temps on va vraiment mettre à appliquer ces bonnes pratiques. Si, en marge de ça, on doit admettre que le mouvement ne sera que peu suivi, et donc qu'il faut développer des solutions de monitoring, alors il est urgent d'y travailler sérieusement et que tous les opérateurs de la place co-financent le montage d'une infrastructure de collecte des tables et le développement des logiciels d'analyse. Qui lead ? Qui paye ? Et d'ailleurs, comment on fait ? Je te laisse bien volontiers les deux premières questions. Pour la troisième, j'ai des tas d'idées, mais elles risques de ne pas plaire. Un bon début est d'utiliser des groupements existants, comme le NLNog Ring, comme outil de diagnostic en temps réel. Ensuite on peut envisager de tous mettre en place des boites noires pour stocker tous les updates BGP émis et reçus, pour du forensic. Valeur ajoutée ? Nulle. Coût ? Ça va vite taper dans le gros SAN de plusieurs armoires. Ça commence bien. Reste l'analyse de l'ensemble de ces updates collectés, qui n'auraient de sens que si ils sont bien recoupés entre elles, et qui demande d'intégrer un très très grand nombre de données contextuelles dont j'ai aucune idée de comment les collecter de façon fiable et universelle. Des suggestions ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Influence des bonnes pratiques sur les incidents BGP
2012/6/13 Jérôme Nicolle jer...@ceriz.fr Le 12/06/12 21:30, Sarah Nataf a écrit : Je suis notamment intéressée par tout outil qui permettrait d'élargir la détection des usurpations d'adresses (...) Du coup, la première chose à faire serait une remise en cause individuelle de tous les réseaux représentés dans la salle, en se [ Euh, arrête le marketing on est sur la liste [TECH ] :) ] il est urgent d'y travailler sérieusement et que tous les opérateurs de la place co-financent le montage d'une infrastructure de collecte des tables et le développement des logiciels d'analyse. Qui lead ? Qui paye ? Et d'ailleurs, comment on fait ? Je te laisse bien volontiers les deux premières questions. Pour la Ah au contraire tu sembles bien parti pour le blablah, c'est plutôt la partie technique qui m'intéresse. troisième, j'ai des tas d'idées, mais elles risques de ne pas plaire. Un bon début est d'utiliser des groupements existants, comme le NLNog Ring, comme outil de diagnostic en temps réel. Yes il faudrait que je creuse ce concept. Ensuite on peut envisager de tous mettre en place des boites noires pour stocker tous les updates BGP émis et reçus, pour du forensic. Valeur ajoutée ? Nulle. Coût ? Ça va vite taper dans le gros SAN de plusieurs armoires. Ça commence bien. On est d'accord. De plus il existe déjà de nombreux projets de collecteurs de routes, sous diverses formes, pas besoin de réinventer la roue. Et ce dont on a besoin en général ce sont de collecteurs éloignés au sens BGP (genre pour superviser la plaque Asie, Amérique du Sud, etc), plutôt que de collecteurs sur ses propres peers dont on reçoit directement les routes et dont on peut plus facilement repérer les écarts. Reste l'analyse de l'ensemble de ces updates collectés, qui n'auraient de sens que si ils sont bien recoupés entre elles, et qui demande d'intégrer un très très grand nombre de données contextuelles dont j'ai aucune idée de comment les collecter de façon fiable et universelle. Des suggestions ? Idée sur une base différente : plutôt que collecter des updates BGP, RPKI pourrait peut-être facilement compléter les outils existants, pour une surveillance pas forcément en temps réel, et avec des petits moyens en terme d'infrastructure car on ne partagerait que les alertes (encore faut-il voir sous quelle forme)... ? Ca pourrait être un aspect à creuser, encore faudrait-il que je trouve le temps de générer les premiers certificats pour notre AS. Cdlt, -- sarah --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Influence des bonnes pratiques sur les incidents BGP
Le 13/06/12 14:39, Sarah Nataf a écrit : [ Euh, arrête le marketing on est sur la liste [TECH ] :) ] Je fais pas de marketing, je parle des taux d'adoptions des bonnes pratiques dans l'exploit des réseaux. Les bonnes pratiques, c'est pas justement l'objet de ton papier ? ;) NLNog Ring Yes il faudrait que je creuse ce concept. Les mecs sont très ouverts, et seront très probablement preneurs d'une contribution de ton AS. On (tetaneutral) y a proposé de monter des clients BGP sur les nodes pour y poser notre looking glass ( exemple : http://lg.tetaneutral.net/prefix_bgpmap/gw+h3/ipv4?q=57.67.32.0 ). L'idée de LG coopératif multi-AS me plait bien pour ça (note : sur la bgpmap, on peut facilement faire apparaitre simultanément les routes pour tous les AS sur lesquels les proxys CLI du looking glass sont installés, à la façon de ring-trace, voir https://ring.nlnog.net/wp-content/uploads/2011/11/trace-www.apple_.com_.jpg). Si en prime on pouvait faire des replays depuis des set d'updates collectés dans le temps, alors on aurait l'outil d'analyse parfait. Je suis pas certain que ce soit si colossal que ça a implémenter, juste je sais pas le faire. Thomas ? On pourrait faire ça avec des patchs sur exabgp ? :p Idée sur une base différente : plutôt que collecter des updates BGP, RPKI pourrait peut-être facilement compléter les outils existants, pour une surveillance pas forcément en temps réel, et avec des petits moyens en terme d'infrastructure car on ne partagerait que les alertes (encore faut-il voir sous quelle forme)... ? Ca pourrait être un aspect à creuser, encore faudrait-il que je trouve le temps de générer les premiers certificats pour notre AS. Tu crois qu'on pourrait inclure ça dans la liste des best-practices ? Genre, avoir tous un ou plusieurs route-reflector accessible en eBGP-multihop sur simple demande ? Si ça s'organise, AS197422 jouera le jeu avec plaisir. Qui d'autre ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Influence des bonnes pratiques sur les incidents BGP
2012/6/13 Jérôme Nicolle jer...@ceriz.fr Le 13/06/12 14:39, Sarah Nataf a écrit : Idée sur une base différente : plutôt que collecter des updates BGP, RPKI pourrait peut-être facilement compléter les outils existants, pour une surveillance pas forcément en temps réel, et avec des petits moyens en terme d'infrastructure car on ne partagerait que les alertes (encore faut-il voir sous quelle forme)... ? Ca pourrait être un aspect à creuser, encore faudrait-il que je trouve le temps de générer les premiers certificats pour notre AS. Tu crois qu'on pourrait inclure ça dans la liste des best-practices ? Genre, avoir tous un ou plusieurs route-reflector accessible en eBGP-multihop sur simple demande ? Ouille, une BCP qui imposerait le eBGP multihop, c'est clairement antinomique... Ca ne va pas le faire... Sinon sans partage des UPDATES ni des RIB, il y aurait peut-être moyen de partager des alertes RPKI ? Même en temps différé ça permettrait d'avoir une meilleure vision sur les AS qui annoncent tout et n'importe quoi. -- sarah --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Influence des bonnes pratiques sur les incidents BGP
Le 13/06/12 17:04, Sarah Nataf a écrit : Ouille, une BCP qui imposerait le eBGP multihop, c'est clairement antinomique... Ca ne va pas le faire... Dans un cadre de supervision uniquement ça parait pas dommageable, mais peut être qu'il y a d'autres moyens de remonter une vue du routage. Un protocole dédié de transmission différé d'updates ou de snapshots sérialisés, avec interrogation possible a T-n en forensic ? En tout cas ça ferait une source très utile à l'étude approfondi de la pertinence du path exploration dampening, susceptible de réduire un peu la verbosité globale du merdier. Sinon sans partage des UPDATES ni des RIB, il y aurait peut-être moyen de partager des alertes RPKI ? Même en temps différé ça permettrait d'avoir une meilleure vision sur les AS qui annoncent tout et n'importe quoi. Je ne suis pas très optimiste quant à l'adoption du RPKI. Déjà parce que je suis pas sur d'avoir tout bien compris comment ça va marcher, ensuite parce qu'il ne faut pas oublier la myriade de stubs dont les routeurs sont à l'abandon et donc qui n'évolueront jamais. Du coup, se baser sur un mécanisme pas encore déployé, n'est-ce-pas plus optimiste que de rester sur quelque chose de peu impactant en gardant le principe de sonde à accrocher sur des routeurs existants ? Et plus facile encore si ça peut s'externaliser avec le multihop ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Influence des bonnes pratiques sur les incidents BGP
Pour celles et ceux que le sujet intéresse et qui n'ont pu assister au SSTIC la semaine dernière, contribution de gens qui viennent en paix sur les bonnes pratiques BGP. https://www.sstic.org/media/SSTIC2012/SSTIC-actes/influence_des_bonnes_pratiques_sur_les_incidents_b/SSTIC2012-Article-influence_des_bonnes_pratiques_sur_les_incidents_bgp-contat_valadon_nataf_2.pdf pour la version académique. Et https://www.sstic.org/media/SSTIC2012/SSTIC-actes/influence_des_bonnes_pratiques_sur_les_incidents_b/SSTIC2012-Slides-influence_des_bonnes_pratiques_sur_les_incidents_bgp-contat_valadon_nataf.pdf pour la version avec les dessins et eastergeggs pour la bière. -- Alec, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Influence des bonnes pratiques sur les incidents BGP
merci! J espere que Nicolas Ruff a sorti qql phrases cultes cette année encore ;) 2012/6/12 Alexandre Archambault aarchamba...@corp.free.fr Pour celles et ceux que le sujet intéresse et qui n'ont pu assister au SSTIC la semaine dernière, contribution de gens qui viennent en paix sur les bonnes pratiques BGP. https://www.sstic.org/media/SSTIC2012/SSTIC-actes/influence_des_bonnes_pratiques_sur_les_incidents_b/SSTIC2012-Article-influence_des_bonnes_pratiques_sur_les_incidents_bgp-contat_valadon_nataf_2.pdf pour la version académique. Et https://www.sstic.org/media/SSTIC2012/SSTIC-actes/influence_des_bonnes_pratiques_sur_les_incidents_b/SSTIC2012-Slides-influence_des_bonnes_pratiques_sur_les_incidents_bgp-contat_valadon_nataf.pdf pour la version avec les dessins et eastergeggs pour la bière. -- Alec, --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Influence des bonnes pratiques sur les incidents BGP
2012/6/12 Arnaud Fenioux afeni...@gmail.com merci! J espere que Nicolas Ruff a sorti qql phrases cultes cette année encore ;) Tout ce qui se passe au SSTIC reste au SSTIC :) Plus sérieusement si le hijacking BGP vous intéresse ou si vous avez des astuces maisons pour superviser ces incidents n'hésitez pas à me trouver au prochain FRnOG ! Je suis notamment intéressée par tout outil qui permettrait d'élargir la détection des usurpations d'adresses, que ce soit grâce à des points de monitoring un peu originaux (AS éloigné au sens BGP mais dont on pourrait obtenir des RIB, outil d'historique de routes peu connus), des mécanismes à créer (e.g. coopération entre AS pour partage d'alertes RPKI), etc. [J'allais ajouter : si vous ne savez pas qui je suis trouvez Mat_A mais forcément c'est un des rares frnog auquel il n'est pas inscrit.] -- sarah 2012/6/12 Alexandre Archambault aarchamba...@corp.free.fr (...) https://www.sstic.org/media/SSTIC2012/SSTIC-actes/influence_des_bonnes_pratiques_sur_les_incidents_b/SSTIC2012-Slides-influence_des_bonnes_pratiques_sur_les_incidents_bgp-contat_valadon_nataf.pdf --- Liste de diffusion du FRnOG http://www.frnog.org/