Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
On Wed, Nov 20, 2013, at 22:25, Raphael Mazelier wrote: Et la dernière grande question existentielle : comment tu construis ton IGP ? est ce que l'adressage de ton core doit il être en @IP publique ? Les loopbacks c'est le stricte minimum. Pour les subnets d'interco c'est fortement reccomande (SHOULD *REALLY*), et ca devient imperatif s'il y a des interconnexions externes. Apres, comme je l'ai deja dit, dans le milieu corporate il n'y a quasiment que les RFC1918 qui existent. Évidement que ça parait bien, mais mine de rien, même sur un petit réseau cela fait du gaspillage pour respecter une convention. Non, le gaspillage c'est d'allouer un /24 avec la passerelle par default a la fin et le numerotage qui commence depuis le debut. J'ai herite plusieurs comme ca, don les 2 derniers que je dois garder (pour l'instant) ont a peine 5-6 addresses utilises par subnet Une solution : construire son core en IPV6 :) Modulo MPLS (LDP), dont la correspondance v6 reste en etat de draft sans implementation. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Je suis en train de monter un transit pour multihommer un client, et son autre transitaire m'a donné un /31 en 172.17 sans y voir le moindre problème. Sans avoir lu tout le thread j'y vois deux problèmes majeurs : - j'utilise l'IP d'interco du routeur avec une ACL qui va bien pour autoriser une machine externe au réseau en cas de problème majeur (IGP pété...) L'out-of-band du pauvre certains diront ;) - je monitore le bon fonctionnement de mes transit avec un nagios sur une machine externe, alors comment faire si l'IP n'est meme pas routable ? En bref pour moi c'est une hérésie du RFC1918 sur une interco transit. Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
On Wed, 20 Nov 2013 18:52:11 -0800 Michel Py mic...@arneill-py.sacramento.ca.us wrote: | Manuel, combien de PCs dans ta liste? Il y a 37012 IPs dans les listes -MM-DD_HH.timestamped dédupliquées (depuis hier 15h UTC). Manuel -- __ Manuel Guesdon - OXYMIUM --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
Bonsoir, Personnellement, je contacterais le CERTA (http://www.certa.ssi.gouv.fr/) avec tes listes de hosts piratés (et a priori le type de trojan/virus si tu le connais). Le CERTA pourra alors faire passer le message au niveau du FIRST (qui regroupe tous les CERTs) et ainsi les machines auront le maximum de chances imaginables d'être fixées. Cordialement, Philippe Bourcier On 2013-11-21 11:55, Manuel Guesdon wrote: On Wed, 20 Nov 2013 18:52:11 -0800 Michel Py mic...@arneill-py.sacramento.ca.us wrote: | Manuel, combien de PCs dans ta liste? Il y a 37012 IPs dans les listes -MM-DD_HH.timestamped dédupliquées (depuis hier 15h UTC). Manuel -- __ Manuel Guesdon - OXYMIUM --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Philippe Bourcier web : http://sysctl.org/ blog : http://zsysctl.blogspot.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le 2013-11-21 11:52, Cedric T. a écrit : Je suis en train de monter un transit pour multihommer un client, et son autre transitaire m'a donné un /31 en 172.17 sans y voir le moindre problème. Sans avoir lu tout le thread j'y vois deux problèmes majeurs : - j'utilise l'IP d'interco du routeur avec une ACL qui va bien pour autoriser une machine externe au réseau en cas de problème majeur (IGP pété...); L'out-of-band du pauvre certains diront ;) - je monitore le bon fonctionnement de mes transit avec un nagios sur une machine externe, alors comment faire si l'IP n'est meme pas routable ? La même. En plus, on vient de nous le proposer ce jour, comme pour Jérôme ... On a refusé ce fonctionnement, ne serait que parce que l'iBGP ou l'OSPF pourrait avoir à utiliser ce genre d'adresses Y a pas un SHOULDNOT quelque part dans les RFC de BGP ? Stéphane, tu peux nous le remplacer par un MUSTNOT ? ;) En interne, why not, c'est fait pour ca. En externe, je trouve que c'est encore plus crade que les logiques de CGN dont on parle beaucoup. troll presque vendredi on pourrait faire une RFC BGP Peering NAT ? Pour natter l'IP de ton peer en sortie du Tier x ? Et pour accéder à ton routeur, c'est comme chez CloudWatt, tu nattes l'IP du border du tier depuis le port 666 vers le port 22 de ton routeur ? /troll Bref, on va avoir des beaux trous noirs dans ces cas là quand il n'y aura pas de back2back ou d'accès différencié au cul du routeur sur l'OOB mgmt En bref pour moi c'est une hérésie du RFC1918 sur une interco transit. Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/ -- - Fabien V. @beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
Bonsoir, Si ce projet décolle ce nombre va un peu limiter le déploiement, il y a pas mal de gens qui sont ric-rac sur la TCAM qui ne vont pas prendre. Mais si t'as envie d'essayer Personne ne fait ce genre de chose aujourd'hui? Tu voudrais refaire http://bgp-spamd.net/ ? Denis --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
Manuel Guesdon a écrit: Il y a 37012 IPs dans les listes -MM-DD_HH. timestamped dédupliquées (depuis hier 15h UTC). Si ce projet décolle ce nombre va un peu limiter le déploiement, il y a pas mal de gens qui sont ric-rac sur la TCAM qui ne vont pas prendre. Mais si t'as envie d'essayer Personne ne fait ce genre de chose aujourd'hui? Manu Bourguin a écrit: Questions en rapport indirect avec le sujet initial : - lorsqu'on blacklist une IP derrière laquelle se trouve une machine réputée infectée, combien de temps garde-t-on le flag vérolé ? la machine peut finir par être être remplacée ou le windows réinstallé par le neveu-qui-s-y-connait-bien-en-informatique. Mes €0.02: quelques heures après la dernière détection. Faudrait avoir une page de délistage, aussi. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] [renesys] The New Threat: Targeted Internet Traffic Misdirection
On Tue, Nov 19, 2013 at 07:48:35PM -0800, Michel Py mic...@arneill-py.sacramento.ca.us wrote a message of 18 lines which said: Stephane Bortzmeyer a écrit: http://www.renesys.com/2013/11/mitm-internet-hijacking/ Un très bon article, avec plein de liens intéressants. Et mon nanalyse en français : http://www.bortzmeyer.org/bgp-shunt.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Que faire d'une liste de PCs infectés ?
On Thu, 21 Nov 2013 20:25:28 +0100 Benjamin BILLON bbil...@splio.fr wrote: | Hum, IMHO, pas forcement besoin de délistage quand la détection est fiable | et | si on a un délai d'expiration assez court... | | | Y a-t-il une récurrence dans les listings ? C'est à dire, est-ce qu'une IP | délistée après une semaine a une chance de revenir, et si oui à quelle | vitesse ? Difficile a dire pour une semaine. D'apres ce que j'ai compris, le trojan se servirait de notre IP (entre autres) pour des tests de blocage ou pas du port 25. Donc une machine qui reste infectée, avec la même ip de sortie continuera à balancer son traffic. Cela dit sur une semaine son IP, si c'est du residentiel, aura probablement changé. Et si beaucoup d'opérateurs null-routent ces IPs, le proprio du pc aura peut-être supprimé le virus ou réinstaller son os. Manuel -- __ Manuel Guesdon - OXYMIUM --- Liste de diffusion du FRnOG http://www.frnog.org/