Le 20/09/2018 à 11:05, Jérôme Fleury a écrit : > On Thu, Sep 20, 2018 at 9:58 AM Julien Escario <[email protected] > <mailto:[email protected]>> wrote: > > > DNSSEC, RPKI et autres, ça touche tout de suite à la crypto et ça tend un > peu > plus vers une métier de spécialiste. Fini les adminsys comme moi qui > s'amusent > avec un peu de BGP, même en étant rigoureux et volontaire, j'ai bien peur > que ce > ne fasse plus la maille. > > > Oui effectivement l'idee c'est que ca devienne un peu plus un metier de > specialiste qu'un metier de bidouilleur avec tous les risques inclus.
C'pas faux. Certains bidouilleurs avec un peu d'aide de la communauté et un chouilla d'intérêt s'en sortent pas trop mal, enfin, j'espère : on est quand même quelque uns à bidouiller et à ne pas trop propager de merdouilles, y compris en ipv6. > Déjà, suivre l'actualité RIPE, IETF et consorts, c'est chaud. > > Combien d'AS disposent d'un véritable ingé backbone qui maîtrise toute la > chaîne > (avec son backup parce que le mec a quand même le droit d'être malade) ? > Combien > coûte un tel profil et combien ont les moyens de se payer ça ? (en > interne ou en > presta) > > Ca sent de plus en plus le sapin pour les petits AS. > > > Mais pour ponderer mes propos, nous n'avons pas besoin que tout le monde > deploie > RPKI pour securiser les architectures critiques. Le but est d'atteindre un > point > ou "petit AS" est protege par son fournisseur de transit (qui j'espere a un > ingénieur backbone pour cela). > > Si "petit AS" veut se proteger d'un hijack, alors il leur suffira de signer > leurs routes, ce qui est suffisamment trivial chez la plupart des RIR, et > devrait meme etre fait automatiquement a la creation d'un object route pour > peu > que la communaute le veuille. Je confirme : le RIPE a fait tout le taf nous concernant. J'ai voté pour que ce soit filtré sur France-IX, utilisé les outils mis à disposition, 4 clics sur l'outil du RIPE et c'était validé. Maintenant, le filtrage sur la base du RPKI, c'est quand même une autre paire de manches. Et les transitaires ne sont pas tous bien 'propres' là dessus. J'aime bien ne pas refiler mes merdes aux autres. Ca m’énerve assez quand un dev demande 8Go de RAM pour faire tourner un pauvre script PHP pour ne pas faire subir ça aux autres. Julien --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
