Le 27 juillet 2008 19:48, Spyou<[EMAIL PROTECTED]> a écrit : > At 18:12 27/07/2008, Raymond Caracatamatere wrote: > >> Bonjour à tous, >> >> Je profite de ce temps radieux, pour faire appel à votre expérience et >> conseils, je dois prochainement monter une session BGP de peering alors que >> j'ai déjà sur mon routeur 2 sessions avec des transitaires (Orange et TATA >> pour ne pas les citer), je voudrais connaitre vos avis sur la sécurité et >> les filtres à appliquer à ces sessions afin qu'aucun des transitaires et du >> peer ne puissent m'utiliser pour faire passer un traffic que je ne voudrais >> pas. >> Y a t-il des règles spécifiques? des filtres à ne pas oublier lorsqu'on se >> connecte à un point de peering ? comment être tout à fait certain que >> personne du point de perring pourra utiliser mes liens vers mes transit ? >> > > A partir du moment ou on se connecte a un point d'echange, on accepte de > faire partie de cette grande communauté qui sait rester responsable et ne > pas faire n'importe quoi. > > Cela etant, physiquement, a part interdire le trafic venant d'adresses MAC > avec qui tu ne peer pas, tu n'est pas a l'abri de quelqu'un qui dirige des > routes vers toi a la main. > > Ensuite, pour les gens avec qui tu peer, > * En BGP : > - Mettre un max-prefix a une valeur raisonnable (nous, on a opté pour 500, > avec une valeur plus haute au cas par cas pour les quelques peers qui > dépassent ce seuil). Le gros des membres d'un IX utilise cette simple > protection qui empeche de recevoir l'internet entier quand un peer bave (ce > qui arrive assez regulierement, en fait :)) > - (mode parano) mettre des access-list BGP précises avec la listes des > préfixes déclarés au RIR de l'AS et les tenir a jour. A ma connaissance, > tres peu le font sur les points de peerings. > > * En layer3 : > - (mode ultra parano) mettre des ACL par avec ces memes access-list pour > empecher tout autre trafic, mais tu risque de te retrouver avec des effets > de bord plus qu'indésirable (par exemple quand un AS écoule le trafic d'un > autre derriere lui sans pour autant que les enregistrements soient a jour au > RIR), et tu aura besoin de routeurs tres costaud :) > > Cette derniere option est plausible techniquement mais jamais utilisée, a > ma connaissance. > > > De maniere générale (et ca m'etonne toujours que la presse ne se soit pas > emparée du sujet pour faire un bel article bien parano) l'internet (en tout > cas au niveau BGP) reste une histoire de confiance mutuelle qui, a quelques > exceptions près, fonctionne bien (voir l'affaire youtube v.s. pakistan d'il > y'a quelques mois) > ________________________________________ > 'Spyou' - www.spyou.org - [EMAIL PROTECTED] > ircnet.nerim.net - UIN : 6871374 > > Don't dream it, > Be it. > (RHPS) > > Bonjour, Merci beaucoup pour votre réponse, finalement la confiance reste donc la meilleure arme. Le "max-prefix" et quelques "access-list" sont donc le plus couramment utilisés, j'en ferai de même.
Cordialement, Ray
