2012/6/13 Jérôme Nicolle <[email protected]> > Le 12/06/12 21:30, Sarah Nataf a écrit : > > Je suis notamment intéressée par tout outil qui > > permettrait d'élargir la détection des usurpations d'adresses > (...)
> Du coup, la première chose à faire serait une remise en cause > individuelle de tous les réseaux représentés dans la salle, en se > > [ Euh, arrête le marketing on est sur la liste [TECH ] :) ] > il est urgent d'y travailler sérieusement et que tous les opérateurs de > la place co-financent le montage d'une infrastructure de collecte des > tables et le développement des logiciels d'analyse. > > Qui lead ? Qui paye ? Et d'ailleurs, comment on fait ? > Je te laisse bien volontiers les deux premières questions. Pour la > Ah au contraire tu sembles bien parti pour le blablah, c'est plutôt la partie technique qui m'intéresse. > troisième, j'ai des tas d'idées, mais elles risques de ne pas plaire. Un > bon début est d'utiliser des groupements existants, comme le NLNog Ring, > comme outil de diagnostic en temps réel. > Yes il faudrait que je creuse ce concept. Ensuite on peut envisager de tous mettre en place des boites noires pour > stocker tous les updates BGP émis et reçus, pour du forensic. Valeur > ajoutée ? Nulle. Coût ? Ça va vite taper dans le gros SAN de plusieurs > armoires. Ça commence bien. > On est d'accord. De plus il existe déjà de nombreux projets de collecteurs de routes, sous diverses formes, pas besoin de réinventer la roue. Et ce dont on a besoin en général ce sont de collecteurs éloignés au sens BGP (genre pour superviser la plaque Asie, Amérique du Sud, etc), plutôt que de collecteurs sur ses propres peers dont on reçoit directement les routes et dont on peut plus facilement repérer les écarts. Reste l'analyse de l'ensemble de ces updates collectés, qui n'auraient > de sens que si ils sont bien recoupés entre elles, et qui demande > d'intégrer un très très grand nombre de données contextuelles dont j'ai > aucune idée de comment les collecter de façon fiable et universelle. > > Des suggestions ? > Idée sur une base différente : plutôt que collecter des updates BGP, RPKI pourrait peut-être facilement compléter les outils existants, pour une surveillance pas forcément en temps réel, et avec des petits moyens en terme d'infrastructure car on ne partagerait que les alertes (encore faut-il voir sous quelle forme)... ? Ca pourrait être un aspect à creuser, encore faudrait-il que je trouve le temps de générer les premiers certificats pour notre AS. Cdlt, -- sarah --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
