RE: [FRnOG] [MISC] L'Adtrap du geek barbu
Emmanuel Thierry a écrit : Juste une précision : Il est où ton routeur ? Chez toi ou dans un DC ? A la maison. Je ne comprends pas trop ton schéma. (si c'est chez toi, inutile de dire que je ne comprend pas l'utilité de filtrer par BGP vu que le goulot d'étranglement est en amont) Précisément : la bonne manière de filtrer c'est précisément en amont, chez ton FAI (ou le sien). Tout le monde te le dira, quand tu te prends une attaque dans la gueule tu ne peux rien faire tout seul, if faut collaborer avec ton FAI et la seule chose qu'il comprend c'est BGP. La meilleure manière de distribuer une liste d'adresses IP qui te font chier, c'est BGP. Bon en plus, petit routeur deviendra grand. Le réseau à la maison c'est sympa pour alpha tester les bidouilles, abominations et autres monstruosités avant de les béta tester en lab et de les mettre en prod. Avec du vrai matos, l'utilité de filtrer par BGP est la suivante : RPF dépend de CEF. Sur un vrai routeur tu as CEF ou dCEF en hard. Ma connaissance limitée de Cisco internal (quelqu'un qui connait vraiment cette partie, des détails croustillants?) me dit ceci: la merde arrive, lookup dans la TCAM; si match, discard direct dans la linecard. Adios amigo, et pour pas payer d'împots il faut naître à Monaco. Même si tu te prends une DDOS PPS dans la gueule, ton routeur ne s'effondre pas tant que le PPS ne mets pas la TCAM à genoux. J'ai tort ? quelqu'un qui traduit çà en Juniper ? Fabien Schwebel a écrit : internet box opérateur en bridge, brainless routeur portant l'IP publique et faisant le NAT IPS routeur Wi-Fi --- devices Presque la même chose que moi, sauf que je ne veux pas de la box opérateur. Il y en a pas une pour rattraper l'autre, c'est de la merde en plastique avec du code écrit avec les pieds, SNMP de daube, pas de MIB, etc etc. C'est pour çà que je mets du Cisco, c'est pas bon marché mais au moins on peut regarder ce qui se passe sur le cuivre ou la fibre. Pour l'instant je filtre un lien ADSL 18Mbps avec un petit ordi portable i5 sans brider aucunement la ligne. Avec ta config, qu'est-ce que le pifomètre aiguisé dit si tu utilisais un processeur Atom ? Zotac Z-Box ID92 Est-ce qu'elle est en bridge aussi? le même sous-réseau IP des 2 cotés ? L'adresse IP de passerelle c'est celle du routeur ? Suricata sur distrib SELKS Ca c'est la partie que je connais vraiment pas. Leçon Suricata pour les nuls, stp. Je veux un truc dont j'ai pas besoin de m'occuper, qu'est ce que Suricata va me donner de plus que snort, et quels sont les avantages de la distro SELKS par rapport à installer Suricata à la main ? Je ne comprends pas trop vos histoires de BGP et son utilité, là où Netfilter fait du bon boulot :) Cà c'est la différence fondamentale entre ceux qui sont tombés dans un ordi quand ils étaient petits et ceux qui sont tombés dans un routeur quand ils étaient petits. Toi t'est tombé dans un ordi, moi dans un routeur. BGP, c'est facile à distribuer à tes petits camarades. BGP, c'est une base de données distribuée. Toi, tu consolides les listes de merdasse dans ton IPS. Moi, je les consolide dans mon routeur, et je partage avec les potes. Dans ton réseau, la merdasse connue ou pas traverse ta box opérateur, ton routeur, ton NAT, ressort de ton routeur, et rentre dans ton IPS ou finalement tu la dégage. Dans mon réseau, la merdasse connue est dégagée à l'interface extérieure. La détection et le filtrage ne sont pas (forcément) liées. Michel. ___ ___ +-/ Ze claoud \--+ +--/ Ze rézo local \+ !! ! ! ! +-++---++---+ ! ! +---++---+ ! ! ! FAI !! x !! y ! ! !Cafetière -+ +- Serveur +---+ Switch Garage + ! ! +--+--++-+-++-+-+ ! ! ! S !! +---+ ! !! !! ___ ! W +- PCs +---+ ! !++ +++--/ Cisco \+! I !!+-- DVR ! ! ! ! Tu100Tu200 !! T ++! ! ! ! ! NAT + Log ! +-+ ! C ! +---+--+ ! ! +--+ +---+ ATM0/0/0.35 Reflx ACL F0/0 +---+ Adtrap +--+ H +-+ Wifi +--- NeoTV ! ! ! Team Cymru ! ! ! +-+ ! ! +-+-+--+Netflix ! ! ! FullBogon #1 +---+ ! eBGP eBGP eBGP iBGP !
Re: [FRnOG] [MISC] L'Adtrap du geek barbu
On Thu, Sep 25, 2014, at 08:11, Michel Py wrote: lookup dans la TCAM; Tu as du 7600 ou 6500 chez toi ? Parce-que les 800/1800/1900/2800/2900 - niet TCAM. Lea serie 3000 ca devient deja encombrant et bruiant et toujours pas de TCAM. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'Adtrap du geek barbu
Le 24 sept. 2014 à 07:05, Michel Py a écrit : Tant qu'on y est, on mets aussi dedans l'ExaBGP de Thomas Mangin, qui donne à bouffer au routeur les IPs louches qu'on route sur null0 et qu'on dégage dès l'entrée avec RPF en mode strict (*). Juste une précision : Il est où ton routeur ? Chez toi ou dans un DC ? Je ne comprends pas trop ton schéma. (si c'est chez toi, inutile de dire que je ne comprend pas l'utilité de filtrer par BGP vu que le goulot d'étranglement est en amont) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'Adtrap du geek barbu
Bonjour la mailing ! Je vous lis depuis quelques années, mais c'est mon premier message, donc j'offre les croissants. J'ai un petit projet perso de réseau sécurisé, lancé à l'origine suite à des vulnérabilités découvertes dans les box opérateur grand public, et puis bien sûr la NSA tout ça tout ça. Pas spécialement barbu mais je vais la détailler car àmha ça répond à quelques questions posées ici. Pour l'instant j'ai une archi assez simple : internet box opérateur en bridge, brainless routeur portant l'IP publique et faisant le NAT IPS routeur Wi-Fi --- devices Le routeur Wi-Fi fait le DHCP interne, et porte quelques services (VPN, NTP, serveur d'impression...). J'ai fait plusieurs tests pour l'IPS, et mon choix final est un Suricata sur distrib SELKS, qui a l'avantage d'être très actuelle et avec une interface pratique. L'IPS porte d'autres fonctionnalités de logging cie, je ne rentre pas dans les détails. Pour l'instant je filtre un lien ADSL 18Mbps avec un petit ordi portable i5 sans brider aucunement la ligne. Je voulais à l'origine partir sur un support type Raspberry, mais je saturais vite ses ressources et donc (IPS oblige) je bridais ma connexion. Je pars maintenant sur un mini-pc type NUC d'Intel, dans l'objectif de pouvoir supporter et filtrer à la volée le Giga d'une fibre. Le matos est assez rare pour du double Ethernet en Giga avec le processeur les drivers Linux qui vont bien, j'ai déniché la Zotac Z-Box ID92 qui fait l'affaire. J'effectue aussi de l'analyse de réputation des IP *a posteriori*, donc pas temps réel (les API des db d'IP ont pour la plupart des temps de réponse incompatibles avec du filtrage temps-réel, même si cache). D'après mes tests ces bases sont toutes très lacunaires et l'utilité ne se trouve que lorsqu'on en consulte plusieurs à la fois, donc je fais appel à IPVoid, un site type VirusTotal qui fait une méta-requête sur une trentaine de bases. Résultats intéressants, mais la plupart des IP blacklistées le sont uniquement sur 1 ou 2 sources, très rarement sur plus (d'où le lacunaire). pour les règles de l'IPS c'est un petit mélange des règles Snort Sourcefire VRT EmergingThreat (les meilleures avec le petit recul que j'en ai). Je rajoute aussi mes règles pour durcir les accès internet de certains devices non-trustées (dans ton exemple la cafetière, les chiottes...). Enfin en utilisation classique le trafic avec la Russie est à regarder d'un peu plus près, c'est là où SELKS t'aide, tu mets tes lunettes et bouffes quelques paquets et tu rajoutes les règles qui vont bien (en plus de corriger le problème à sa source...). Je vois que le réseau invité a déjà été discuté, donc je détaille mon cloisonnement réseau. Je ne m'intéresse pas au risque de pourriture de la réputation de mon IP publique, car je pense qu'il faudrait pas mal d’âneries pour ça et je ne connecte pas à mon réseau n'importe qui non plus. Le réseau interne est cloisonné en 3 zones, le TIER 1 des périphériques trustés et qui ont accès à tous les services internes ainsi qu'au routage vers des sites distants par VPN ; le TIER 2 des périphériques pro / pas durcis ; le TIER 3 des invités. Chaque réseau est isolé des autres par les 2 routeurs ; chacun a son AP Wi-Fi sécurisé ; tous sont loggués et traités similairement par l'IPS. C'est assez clean et ça tourne bien, sans impact sur les perfs (bp latence). Tout ou presque est FOSS (c'était un objectif). Si je veux utiliser une autre IP publique pour router tout mon traffic je monte un VPN depuis mon routeur faisant le NAT. Je ne comprends pas trop vos histoires de BGP et son utilité, là où Netfilter fait du bon boulot :) (faut dire que ce n'est pas mon métier, je suis dans la sécurité avant d'être dans le réseau !). La prochaine màj d'archi consistera à faire porter le rôle du routeur faisant le NAT par le premier, en ayant l'IPS sur une boucle. VRF, PBR, tout ça (d'un point de vue réseau c'est peu naturel, mais ça a de nombreux avantages). A disposition pour en discuter :) Cheers Fabien Schwebel Le 24 septembre 2014 07:05, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Avant d'en venir au coeur du sujet, quelques commentaires en-ligne: Vincent Bernat a écrit : Si tu ne fais pas d'auto hébergement, tu t'en fous un peu d'avoir ton IP résidentielle blacklistée. Ben justement je m'auto-héberge, et je ne suis sûrement pas le seul geek barbu à le faire. Il y a aussi le petit coté qui fait de moi un saint qui dit qu'avoir un spambot ou autre merdiciel à la maison, envoyer de la merde à l'Internet entier, et s'en foutre, c'est pas très propre. Laurent GUERBY a écrit : Un tunnel vers une autre IP publique jetable (VM/VPN a pas cher) pour le reseau invité ? Oui oui, un peu usine à gaz mais pourquoi pas; deux commentaires ceci dit : - Soit on le fait avec une des IP de [$job] on y perds un peu de son indépendance, et quand on fait job++ faut nettoyer les restes à [$job-1]. - Soit on achète l'animal en