Re: [FRnOG] BGP FlowSpec RFC 5535

2010-02-03 Par sujet Jerome Benoit 
Le Wed, 3 Feb 2010 13:40:35 +,
Thomas Mangin  a écrit :

> > Par contre, j'ai un peu du mal à comprendre pourquoi on s'acharne on
> > rajouter au proto BGP des choses qui n'ont plus grand chose à voir
> > avec rôle initial ... 
> 
> http://tools.ietf.org/html/rfc5575#section-1
> les trois derniers paragraphes :)

Oué, je suis respectueusement pas d'accord avec eux :) C'est le plus
court chemin pour faire une usine à gaz ce genre d'argument ...
regardes SS7 ou dans un autre genre emacs. 

a +.

-- 
Jérôme Benoit aka fraggle
La Météo du Net - http://grenouille.com
OpenPGP Key ID : 9FE9161D
Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D


pgpMM0gRfA821.pgp
Description: PGP signature

Re: [FRnOG] BGP FlowSpec RFC 5535

2010-02-03 Par sujet Thomas Mangin 
> Je vois pas de limitation pour une utilisation pour de l'EGBP dans la
> RFC (si ce n'est que çà risque d'être une vrai douleur pour les
> ingés à administrer par la suite). 

Ce n'est pas impossible mais autant que je sache il n'y a pas de manière de 
filtrer ces routes.
Ca veux dire que si des flows sont acceptées via une connexion EBGP, tu peux 
bloquer du trafic qui n'est pas pour toi chez ton peer/transit ...
Mais je suis sur que quand le déploiement sera généralise, on en reparlera.

> Par contre, j'ai un peu du mal à comprendre pourquoi on s'acharne on
> rajouter au proto BGP des choses qui n'ont plus grand chose à voir
> avec rôle initial ... 

http://tools.ietf.org/html/rfc5575#section-1
les trois derniers paragraphes :)

Thomas---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] BGP FlowSpec RFC 5535

2010-02-03 Par sujet Jerome Benoit 
Le Wed, 3 Feb 2010 08:27:16 +,
Thomas Mangin  a écrit :

> >> Je viens d'ajouter le support de FlowSpec (RFC5575) a mon injecteur de 
> >> route BGP http://bgp.exa.org.uk/
> > 
> > Bcp de peering autour de ton AS te propose un BGP qui implémente
> > cette RFC ? 

> Cette RFC n'a pas été crée pour le peering mais pour le déploiement sur les 
> routeurs BGP de règles de filtrage.

Je vois pas de limitation pour une utilisation pour de l'EGBP dans la
RFC (si ce n'est que çà risque d'être une vrai douleur pour les
ingés à administrer par la suite). 

> Tu peux voir cette RFC comme une manière de coder une règle de firewall dans 
> un packet BGP pour la déployer sur plusieurs routeurs sans avoir a te loger 
> sur chaque routeurs.

Il me semblait avoir compris que çà permet de faire çà aussi, plus
des décisions de queuing policy sur un type de flux bien défini ou
de routage :)
Par contre, j'ai un peu du mal à comprendre pourquoi on s'acharne on
rajouter au proto BGP des choses qui n'ont plus grand chose à voir
avec rôle initial ... 

a +.

-- 
Jérôme Benoit aka fraggle
La Météo du Net - http://grenouille.com
OpenPGP Key ID : 9FE9161D
Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D


pgpOgRxEVYEaQ.pgp
Description: PGP signature

Re: [FRnOG] BGP FlowSpec RFC 5535

2010-02-03 Par sujet Thomas Mangin 
> ou d'implementer les filtrages de la loppsi2 ?


Reponse Courte: oui

Si ca peut stopper une DDOS ca peut faire du loppsi2.

Reponse Longue: non

La RFC n'est pas encore supporte par la majorité des équipements. si elle 
devait devenir universelle, si les packets doivent passer d'un "fast path" en 
ASIC a un "slow path" via the processeur, ca tuerai le routeur - donc utiliser 
ces flow n'est pas (encore) pratique.

Thomas---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] BGP FlowSpec RFC 5535

2010-02-03 Par sujet Raphaël Jacquot 
On Wed, 2010-02-03 at 08:27 +, Thomas Mangin wrote:

> Cela permet d'automatiser une réponse du NOC a une DDOS par exemple.
> Ou rediriger les IP d'un client dans vers un tunnel MPLS ou il sera mis en 
> quarantine (worms, non-payment, etc.)

ou d'implementer les filtrages de la loppsi2 ?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] BGP FlowSpec RFC 5535

2010-02-03 Par sujet Thomas Mangin 
>> Je viens d'ajouter le support de FlowSpec (RFC5575) a mon injecteur de route 
>> BGP http://bgp.exa.org.uk/
> 
> Bcp de peering autour de ton AS te propose un BGP qui implémente
> cette RFC ? 


Autant que je sache il n'y a que Junos qui implemente cette RFC mais entre le 
Draft et la RFC (Aout 09) deux des quatre ingénieurs ont vu leur emails changer 
de @juniper a @cisco :)

Cette RFC n'a pas été crée pour le peering mais pour le déploiement sur les 
routeurs BGP de règles de filtrage.
Tu peux voir cette RFC comme une manière de coder une règle de firewall dans un 
packet BGP pour la déployer sur plusieurs routeurs sans avoir a te loger sur 
chaque routeurs.

Cela permet d'automatiser une réponse du NOC a une DDOS par exemple.
Ou rediriger les IP d'un client dans vers un tunnel MPLS ou il sera mis en 
quarantine (worms, non-payment, etc.)

Plus d'info :
- http://www.terena.org/activities/tf-ngn/tf-ngn17/uze-flowspec.pdf
- 
http://resources.nznog.org/2006/Friday-240306/DavidLambert-BGPFlowSpecificationUpdate/Lambert.ppt
- http://uknof.org/uknof15/Mangin-NakedBGP.pdf (3 slides vers la fin mais je 
prêche pour mon eglise la :p)

Thomas---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] BGP FlowSpec RFC 5535

2010-02-02 Par sujet Jerome Benoit 
Le Tue, 2 Feb 2010 12:57:11 +,
Thomas Mangin  a écrit :

> Salut.
> 
> Je viens d'ajouter le support de FlowSpec (RFC5575) a mon injecteur de route 
> BGP http://bgp.exa.org.uk/

Bcp de peering autour de ton AS te propose un BGP qui implémente
cette RFC ? 

> Comme ne ne connais pas d'autre projet en Open Source (BSD 3-clauses) 
> permettant la génération de flow, je me permet d'en informer la liste.

Tu devrais vraiment ouvrir ta propre liste développement :)

a +.

-- 
Jérôme Benoit aka fraggle
La Météo du Net - http://grenouille.com
OpenPGP Key ID : 9FE9161D
Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D


pgpKtKqDi0w9W.pgp
Description: PGP signature

[FRnOG] BGP FlowSpec RFC 5535

2010-02-02 Par sujet Thomas Mangin 
Salut.

Je viens d'ajouter le support de FlowSpec (RFC5575) a mon injecteur de route 
BGP http://bgp.exa.org.uk/
Comme ne ne connais pas d'autre projet en Open Source (BSD 3-clauses) 
permettant la génération de flow, je me permet d'en informer la liste.

Le code est accessible via SVN: http:/svn.exa.org.uk/bgp/trunk/
Les infos sur l'installation sont sur le wiki.

Le code va encore changer avant la prochaine version "stable" (grand mot) mais 
la branche trunk de SVN devrait rester fonctionnelle.

Si cela vous intéresse, avez des questions, ou avez besoin d'une fonction 
manquante, faites moi signe :)

Thomas

-

neighbor 82.219.123.221 {
   [] 
   flow {
   route {
   match {
   source 10.0.0.1/32;
   destination 192.168.0.1/32;
   port =80;
   destination-port =3128 >8080&<8088;
   source-port >1024;
   protocol tcp;
   }
   then {
   discard;
   }
   }
   }
}


thomas.man...@m7i-4.u3.tcw.uk> show configuration logical-routers trap 
protocols bgp 
local-as 30740;
group flow {
   type external;
   multihop;
   local-preference 100;
   local-address 82.219.123.221;
   import no-export;
   export deny-all;
   peer-as 65500;
   neighbor 82.219.131.242 {
   traceoptions {
   file bgp;
   flag all;
   }
   family inet {
   unicast;
   flow {
   no-validate everything;
   }
   }
   family inet6 {
   unicast;
   }
   }
}

thomas.man...@m7i-4.u3.tcw.uk> show configuration logical-routers trap 
policy-options policy-statement everything   
then accept;

# env PYTHONPATH=~/source/bgp/lib/ python daemon/bgpd etc/bgp/m7i-service.txt 
033 12:28:13  Supervisor/performing reload
033 12:28:13  Supervisor/New Peer 82.219.123.221
033 12:28:1482.219.123.221/  30740 -> OPEN version=4 asn=65500 
hold_time=180 router_id=82.219.131.242 capabilities=[Graceful Restart Flags 0x8 
Time 5 IPv4/flow-ipv4=0x80 IPv4/unicast=0x80 IPv6/unicast=0x80, Multiprotocol 
IPv4 unicast IPv6 unicast IPv4 flow-ipv4]
033 12:28:1582.219.123.221/  30740 <- OPEN version=4 asn=30740 hold_time=90 
router_id=82.219.123.221 capabilities=[Cisco Route Refresh (unparsed), 
Multiprotocol IPv4 unicast IPv6 unicast IPv4 flow-ipv4, Route Refresh 
(unparsed)]
033 12:28:1682.219.123.221/  30740 -> KEEPALIVE
033 12:28:1782.219.123.221/  30740 <- KEEPALIVE
announcing IPv6 unicast 2a02:b80:0:6:50::1/128 next-hop 
2a02:b80::90:0:52e:0:1 med 100
announcing IPv4 flow-ipv4 destination 192.168.0.1/32,source 
10.0.0.1/32,protocol =TCP,port =80,destination-port =3128 
>8080&<8088,source-port >1024 extended community [ 0x80 0x6 0x0 0x0 0x0 0x0 0x0 
0x0 ]
announcing IPv4 unicast 82.219.4.100/32 next-hop 82.219.4.101 med 100
033 12:28:1782.219.123.221/  30740 -> UPDATE (3)
033 12:28:1782.219.123.221/  30740 <- KEEPALIVE

thomas.man...@m7i-4.u3.tcw.uk> show route logical-router trap table inetflow.0 
extensive 

inetflow.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
192.168.0.1,10.0.0.1,proto=6,port=80,dstport=3128,>8080&<8088,srcport>1024/256 
(1 entry, 0 announced)
   *BGPPreference: 170/-101
   Next hop type: Fictitious
   Next-hop reference count: 1
   State: 
   Peer AS: 65500
   Age: 1:13 
   Task: BGP_65500_30740.82.219.131.242+32319
   AS path: 65500 I
   Communities: no-export traffic-rate:0:0
   Localpref: 100
   Router ID: 82.219.131.242

---
Liste de diffusion du FRnOG
http://www.frnog.org/