On Fri, Jan 17, 2014, at 10:31, Florent Daigniere wrote: > On Fri, 2014-01-17 at 01:17 -0800, Michel Py wrote: > > BCP38 c'est bien sympa, mais c'est un de ces paratonnerres à emmerdes: > > T'as raison; appliques la logique jusqu'au bout... le transit que tu lui > vends > (et qui est utilise pour une attaque, vu que tu n'es pas regardant) il n'est > plus a vendre.
Tiens, vendredi + BCP38 + transit, je ne peux plus m'abstenir. BCP38 c'est bien gentil, mais il y a bien des cas legitimes ou il faut s'abstenir de l'appliquer. Non pas de l'appliquer de facon moderee, mais tout simplement de s'abstenir. ... et le cas le plus flagrant est justement le transit IP en BGP avec full-table. Plus clairement, il y a client et client (et client et client ....): - mme Michu avec son ADSL grand-public - l'entreprise "standard" qui prend un acces "manage" - la boite "internet" (dont une partie importante de l'activite a des choses a faire avec l'internet), qui elle peut avoir ou non un AS, un bloc PI ou une allocation PA - l'AS de taille pas si petite que ca (un AS, unou plusieurs /20 ou plus, des activites divers et varies et avec des clients a son tour), - "grands FAI" - tous les FAI eyeball francais (oui, ils achenten tous du transit a quelqu'un) - les "grands Tier-2" (pareil). Si dans la partie "basse du spectre" (cote mme Michu) le BCP38 est a appliquer afin d'eviter certains desagrements, plus ca monte en gamme, plus il faut considerer la possibilite de (pouvoir) ne pas l'appliquer. Cote "FAI pro" c'est deja un bon debut ou pouvoir le desaactiver a la demande justifie du client. Pour des solutions de "rendondance Internet" du pauvre, le fait de pouvoir sortir via un FAI avec l'IP de l'autre peut sauver certains. Des qu'on passe aux clients "boite Internet", le meme chose peut etre encore plus envisageable. Une fois passe aux clients qui ont leur propres AS, le client est dans son "droit naturel" de ne pas t'annoncer *TOUS* ses prefixes pour du traffic entrant (au pif parce-qu;il a d'autres providers et qu'il peut utiliser des annonces conditionnels), mais de vouloir quand-meme sortir du traffic pour ces prefixes en question. Pour un client bien engage dans du peering et qui a ses propres clients BGP, ca peut meme etre prejudiciable (bonjour le traffic-engineering communities). Et pour les "clients" en fin de liste, certains etant presents sur la liste (quelques noms au pif: NeoT, OVH, Jaguar, NC, SFR, ByTel, ....) je craint que ca devient tout betement ingerable. Pour eux, ce n'est pas leurs upstream(s) qui doivent appliquer BCP38, mais eux-meme qui doivent l'appliquer a une partie de leurs clients (voir plus haut, en fonction du type de client). J'ai personellement vecu des cas ou la non-application du BCP38 m'avait enormement facilite les choses (tout comme des cas ou son application me les a rendu bien difficiles). Voulez-vous que je prepare par exemple une presentation "BCP38 sometimes considered harmhul" pour le prochain FRNOG, histoire de clarifier un peu ces cas ? Donc BCP38 et uRPF a tout va, ou plus generalement securite a tout va - faut arreter la consomation de substances interdites a un certain moment. Il y a des endroits ou il faut la faire, des endroits ou il faut penser si/quand la faire, et des endroits ou il faut la fuir comme la peste. <vendredi> Comme il y a generalement beaucoup plus de gens pour du "BGP38 a l'aveugle" que contre: A MORT BCP38 !!!!! </vendredi> -- RAF - Strohller de vendredi --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
