>> Michel Py a écrit : >> Supposément Cloudflare va bientôt ignorer les préfixes invalides, je dis >> bravo.
> Julien Escario a écrit : > Mouais, enfin quand je vois le nombre de préfixes que je filtre depuis > quelques semaines juste rajoutant > une clause sur la présence d'AS privés, j'ai bien peur que la route soit > encore longue sur ces sujets. Hélas... > Jérôme Fleury a écrit : > Si "petit AS" veut se proteger d'un hijack, alors il leur suffira de signer > leurs routes, ce qui est suffisamment trivial chez la plupart > des RIR, et devrait meme etre fait automatiquement a la creation d'un object > route pour peu que la communaute le veuille. +1. Même pas besoin d'avoir un AS, d'ailleurs. > Mais pour ponderer mes propos, nous n'avons pas besoin que tout le monde > deploie RPKI pour securiser les architectures critiques. > Le but est d'atteindre un point ou "petit AS" est protege par son fournisseur > de transit (qui j'espere a un ingénieur backbone pour cela). C'est bien là ou est le problème : aucun fournisseur de transit de veut le faire, parce que çà leur coute du temps, de l'argent (le traffic de merde, c'est facturable pareil que le légitime), et des emmerdements d'avoir à expliquer aux clients pourquoi ils bloquent le traffic :-( > Julien Escario > Maintenant, le filtrage sur la base du RPKI, c'est quand même une autre paire > de manches. Et les transitaires ne sont pas tous bien 'propres' là dessus. Hélas. > J'aime bien ne pas refiler mes merdes aux autres. Ca m’énerve assez quand un > dev demande > 8Go de RAM pour faire tourner un pauvre script PHP pour ne pas faire subir ça > aux autres. Dans un IX ou une colo digne de ce nom, il devrait y avoir un validateur RPKI. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
