> Xavier Roca a écrit : > De toute façon la problématique reste la même, SIP reste SIP et copie le > fonctionnement du legacy en > ISDN/SS7, et rien n’a été prévu pour qu’une ressource téléphonique puisse > être annoncée par 2 chemins. > Sachant que l’opérateur qui détient la ressource touche en plus des > reversements sur les appels entrants, > et que la quasi-totalité du trafic utilise Orange (donc l’opérateur > historique) comme transit entre les > opérateurs (il y a très peu de peering, il n’est pas gratuit par définition, > au mieux il y a compensation, > et 3 ou 4 opérateurs cumulent 90% du trafic; il y a un colistier qui a tenté > de montre un point de peering > Voix: gros échec, il pourra peut-être nous donner sa vision du problème), on > sent bien qu’on est sur un > modèle très différent de l’IP, et je vois mal un changement à ce niveau à > court-terme.
Je partage ton analyse. Le numéro de téléphone c'est ce qui reste du monopole que les opérateurs de voix, ironiquement y compris ceux qui sont nés de la suppression du monopole d'état, aiment bien. Personne n'a intérêt à changer le status quo. Je n'ai qu'une très vague idée comment cette partie marche en France, n'ayant rien connu que le monopole. Ici il y a un processus appelé "porting", une vraie ch... quand on est le client, ou les deux opérateurs (l'ancien et le nouveau) doivent s'entendre sur la date et l'heure du changement, et çà coute un bras. > J'ai aussi ajouté la publication d'IP douteuses sur le monde de la VoIP en > tenant compte du fil de la discussion. > Je n'ai pas pris le temps d'écrire en CDC en interne mais ça va viendre. Par > contre le BGP, n'est pas ma tasse de > thé, j'ai bien les notions et fait une formation avec France-X, mes va quand > même falloir que je retravaille le > sujet avec des collègues. Si Michel PY, Rémy, Daniel et d'autres ont le temps > de faire un résumé didactique pour > les nuls de ce qu'il faudrait pour que ce soit bien, je prends volontiers. Il y a 4 aspects : 1. Comment on détecte l'attaque. 2. Comment on décide qu'elle a pris fin. 3. Comment on injecte çà dans BGP. 4. Comment on distribue le machin. Pour 1. et 2., çà dépend du protocole et de celui qui détecte a décidé. Ce que je fais n'est pas limité à SIP, d'ailleurs je fais aucune détection sur les attaques SIP moi-même, mon SIP n'étant pas ouvert vers l'extérieur. La philosophie de ce que fait Rémy me convient, je décide donc d'accepter sa blacklist. C'est pas tellement différent des RBL pour le spam, c'est à toi de choisir quelles sont les RBL qui te conviennent. Spamhaus par exemple je m'en sers, parce que c'est stable et sans emmerdes, alors que je crois me rappeler que SORBS j'ai enlevé parce qu'il y avait trop de faux positifs. Rémy et moi faisons des taches complémentaires : il détecte les attaques dans son réseau / ses honeypots, alors que ce que je fais c'est plutôt de la consolidation et de la distribution. Le CBBC c'est une consolidation de plusieurs sources, y compris très prochainement Rémy, que je redistribue avec BGP. BGP a deux avantages : - La vitesse : 1 seconde après que Rémy détecte une attaque, cette IP est déjà bloquée chez moi. 2 secondes après, elle est bloquée chez le gens qui souscrivent à mon feed. - La granularité : si les gens qui prennent mon feed n'aiment pas le blocage que Rémy fait, ils n'ont qu'à ignorer la communauté associée aux préfixes qu'il envoie. Pour 3., presque tout le monde y compris moi utilise ExaBGP de Thomas Mangin : https://github.com/Exa-Networks/exabgp A noter que, pour les préfixes venant de Rémy, je n'ai pas d'injection : ce que je reçois c'est déjà du BGP. C'est Rémy qui fait sa propre injection (tu fais ExaBGP aussi ?). Pour 4., on fait tous la même chose : https://www.team-cymru.com/bogon-reference-bgp.html https://www.spamhaus.org/bgpf/ http://arneill-py.sacramento.ca.us/cbbc/ On annonce des préfixes, avec une ou plusieurs communautés associées, dans le but que le destinataire les envoies dans un trou noir en réception si c'est l'adresse source et en émission si c'est l'adresse de destination. Le préfixe est annoncé pareil qu'un préfixe normal, sauf que la grande majorité c'est du /32, et c'est donc en fonction de la présence d'une communauté qu'on le droppe ou qu'on le forwarde. Si tu as des questions précises, n'hésite pas. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
