On 03/25/2012 09:33 PM, Stephane Bortzmeyer wrote:
Bon, pronostic : RPKI mort-né, Rover on a roll ?
Encore trop tôt pour le dire. Je prends le pari que la grande majorité
de Frnog n'a aucune opinion, ni sur RPKI, ni sur Rover :-)
Mon opinion sur ces protocoles est que le niveau de sécurité obtenue à
la fin sera toujours dépendant de la bonne volonté des AS intermédiaires
qui séparent ceux qui veulent communiquer ensemble.
L’établissement d'un circuit vérifié avec une destination ne préjuge en
rien de la sécurité des autres circuits qui viendront par la suite et
qui ne seront pas vérifié.
Le seul cas avec BGP où l'on est sûr de l'AS avec qui on cause, c'est le
cas l'on peer en direct avec cet AS.
Ramenez les autres cas (destination séparé par des AS intermédiaires) à
ce cas de peering en direct, revient à échanger du trafic au travers
d'un VPN qui relie directement les deux AS.
Comme on ne peut pas monter de VPN sur les net block que l'on annonce,
la seule solution restante est le VPN monté sur les IP d'interconnexion
de chaque AS et de peerer au travers de ce VPN.
Résultat, ceux qui angoissent de se faire détourner leur trafic ont
cette possibilité de se rapprocher (au sens AS PATH) par le biais de
plusieurs VPN sur leurs différents liens d'interconnexions et de peerer
au travers d'eux.
Pour un AS qui ne serait pas un AS de transit, appliquer
systématiquement cette politique reviendrait à être au contact direct de
toutes les AS qui sont la source ou la destination du trafic que l'on
veut sécuriser.
J'y vois un autre avantage que la sécurité obtenue sur la route, la
possibilité de refuser du trafic provenant d'un AS (plus ou moins mal
tenu) qui inonderait un ou plusieurs liens en arrêtant le ou les VPN qui
relient à l'AS source du trafic indésirable.
Évidement, il ne faut pas utiliser de type de VPN sans session, (comme
ip dans ip) sinon, le trafic que l'on refuse arrivera quand même à la
destination.
L'inconvénient étant l'overhead VPN, et le nombre important de VPN à
monter si l'on veut généraliser cette politique à tout l'Internet.
De mon avis, dans BGP, il n'y a rien de fondamental à changer, ce
protocole est nickel. Mieux vaut s'en contenter, et prendre des mesures
sur l'architecture d'interconnexion des AS qui comblent sa lacune de
sécurité.
Si j'ai un avis propre sur Rover vs RPKI, Rover a largement ma
préférence parce le rapport hiérarchique se fait au niveau du LIR, et
n'est pas totalement concentré chez les RIR.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
