Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux
On Thu, Jul 26, 2012 at 12:41:10AM +0200, XF wrote: Bonjour FRnOG, Dans le cadre dun projet personnel, je mintéresse aux outils de gestion des configurations réseaux. Autrement appelés Network Configuration Manager. Ce genre doutils permet dautomatiser la sauvegarde d équipements réseaux (niveau conf) , de modifier la configuration des équipements et de gérer les changements (qui à modifié quoi ) . Jusquà présent jai trouvé des produits payants et dautres non payants : Payants : Device Expert, WhatsConfigured et Manager Orion Network Configuration Non payants : Rancid, et Xerela (successeur open source de Zip Tie) Idéalement je recherche un produit non commercial. Connaissez-vous dautres NCM comme Xerela ou Rancid et avez-vous des éléments à faire partager sur ce genre doutils ? (utilité, performance, retour dexpérience..) Si vous regardez Rancid (que je ne peux que conseiller, couplé à un CVSWeb ou assimilé), je vous suggère de jeter un coup d'oeil à Netmagis : http://netmagis.org qui utilise Rancid pour récupérer les configurations en quasi-temps réel, les analyse pour en dériver un modèle de la topologie de votre réseau, et permettre la délégation d'opérations simples telles que l'affectation des vlans ou la pose de points de métrologie sur les interfaces de vos équipements. Pierre David --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux
Bonjour, Il semblerait que Rancid ai un successeur : https://github.com/ssinyagin/gerty/wiki Je n'ai pas encore pris le temps d'y regarder de plus prêt. A creuser. Mathieu DENIS Le 26/07/2012 09:10, Pierre DAVID a écrit : On Thu, Jul 26, 2012 at 12:41:10AM +0200, XF wrote: Bonjour FRnOG, Dans le cadre d�un projet personnel, je m�intéresse aux outils de gestion des configurations réseaux. Autrement appelés Network Configuration Manager. Ce genre d�outils permet d�automatiser la sauvegarde d� équipements réseaux (niveau conf) , de modifier la configuration des équipements et de gérer les changements (qui à modifié quoi ) . Jusqu�à présent j�ai trouvé des produits payants et d�autres non payants : Payants : Device Expert, WhatsConfigured et Manager Orion Network Configuration Non payants : Rancid, et Xerela (successeur open source de Zip Tie) Idéalement je recherche un produit non commercial. Connaissez-vous d�autres NCM comme Xerela ou Rancid et avez-vous des éléments à faire partager sur ce genre d�outils ? (utilité, performance, retour d�expérience..) Si vous regardez Rancid (que je ne peux que conseiller, couplé à un CVSWeb ou assimilé), je vous suggère de jeter un coup d'oeil à Netmagis : http://netmagis.org qui utilise Rancid pour récupérer les configurations en quasi-temps réel, les analyse pour en dériver un modèle de la topologie de votre réseau, et permettre la délégation d'opérations simples telles que l'affectation des vlans ou la pose de points de métrologie sur les interfaces de vos équipements. Pierre David --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux
A ce propos, le sujet a été discuté il y a quelques temps sur le SwiNog http://lists.swinog.ch/public/swinog/2012-June/005498.html Le contact du développeur de Gerty est dans le thread. A+ Le 26 juillet 2012 09:23, Mathieu DENIS m.de...@alphalink.fr a écrit : Bonjour, Il semblerait que Rancid ai un successeur : https://github.com/ssinyagin/**gerty/wikihttps://github.com/ssinyagin/gerty/wiki Je n'ai pas encore pris le temps d'y regarder de plus prêt. A creuser. Mathieu DENIS Le 26/07/2012 09:10, Pierre DAVID a écrit : On Thu, Jul 26, 2012 at 12:41:10AM +0200, XF wrote: Bonjour FRnOG, Dans le cadre d�un projet personnel, je m�intéresse aux outils de gestion des configurations réseaux. Autrement appelés Network Configuration Manager. Ce genre d�outils permet d�automatiser la sauvegarde d� équipements réseaux (niveau conf) , de modifier la configuration des équipements et de gérer les changements (qui à modifié quoi ) . Jusqu�à présent j�ai trouvé des produits payants et d�autres non payants : Payants : Device Expert, WhatsConfigured et Manager Orion Network Configuration Non payants : Rancid, et Xerela (successeur open source de Zip Tie) Idéalement je recherche un produit non commercial. Connaissez-vous d�autres NCM comme Xerela ou Rancid et avez-vous des éléments à faire partager sur ce genre d�outils ? (utilité, performance, retour d�expérience..) Si vous regardez Rancid (que je ne peux que conseiller, couplé à un CVSWeb ou assimilé), je vous suggère de jeter un coup d'oeil à Netmagis : http://netmagis.org qui utilise Rancid pour récupérer les configurations en quasi-temps réel, les analyse pour en dériver un modèle de la topologie de votre réseau, et permettre la délégation d'opérations simples telles que l'affectation des vlans ou la pose de points de métrologie sur les interfaces de vos équipements. Pierre David --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Hello, Si votre support explose car vos clients n'arrivent plus à joindre une partie de AS3215, c'est normal Un opérateur US vient de leaker une partie des routes Orange ( pas beaucoup, c'est pour ça que c'est passé ) , et ça a fait un peu de dégats. L'impact pour nous était 25 minutes de soucis de routage. Certains opérateurs n'ont pas encore résolu de leur coté. -- Raphaël Maunier NEO TELECOMS CTO / Directeur Ingénierie AS8218 PS : Et c'est parti pour un troll avec RPKI :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 10:32, Raphael MAUNIER a écrit : PS : Et c'est parti pour un troll avec RPKI :) bha non, des filtres auraient suffit... -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux
Le 26/07/2012 00:41, XF a écrit : Connaissez-vous d’autres NCM comme Xerela ou Rancid et avez-vous des éléments à faire partager sur ce genre d’outils ? (utilité, performance, retour d’expérience..) http://kb.nocproject.org/display/SITE/NOC Les modules IPAM et circuits sont plutôt bien finis, la configuration manager est encore un peu léger surtout en documentation mais fonctionne déjà bien. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
On Thu, Jul 26, 2012 at 10:42:41AM +0200, Jérôme Nicolle jer...@ceriz.fr wrote a message of 13 lines which said: PS : Et c'est parti pour un troll avec RPKI :) bha non, des filtres auraient suffit... Si la liste des préfixes annoncés par l'AS 3215 dans les IRR publiques est complète et à jour... Par exemple, une des adresses IP de smtp.wanadoo.fr est 80.12.242.9. Elle est bien dans un préfixe annoncé par l'AS 3215 (80.12.240.0/20). Ce préfixe n'a pas d'objet route du tout au RIPE... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 10:46, Raphael MAUNIER a écrit : heu, non Dans ce cas là, il faut prendre rendez-vous l'ANSSI, il devrait être capable de vous expliquer où est le SPOF de votre conf BGP via à vis de 3215. Envoyez un Cisco en Chocolat à cet opérateur pour le remercier de vous montrer. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 26/07/12 10:53, Stephane Le Men wrote: Le 26/07/2012 10:46, Raphael MAUNIER a écrit : heu, non Dans ce cas là, il faut prendre rendez-vous l'ANSSI, il devrait être capable de vous expliquer où est le SPOF de votre conf BGP via à vis de 3215. C'est quoi le rapport ? Envoyez un Cisco en Chocolat à cet opérateur pour le remercier de vous montrer. --- Liste de diffusion du FRnOG http://www.frnog.org/ - -- Nicolas STRINA Jaguar Network Switzerland 5 route de Chene Case Postale 6298 CH - 1211 Geneva 6 More Than Your Hosting Company Tel : +33 4 88 00 65 16 Gsm : +33 6 18 20 49 55 Std : +41 8 40 65 61 11 Fax : +33 4 88 00 65 25 URL: http://www.jaguar-network.ch/ Support 24+7 : supp...@jaguar-network.ch -BEGIN PGP SIGNATURE- Version: GnuPG/MacGPG2 v2.0.17 (Darwin) Comment: GPGTools - http://gpgtools.org Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iEYEARECAAYFAlARBn4ACgkQhVupqbmzosfVLQCfS3PGvTseETXmKkzAtwfWBR8Q aLYAnjUUnzehkLPrq3w3h/xpXZKjITrV =aMvb -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
On Jul 26, 2012, at 10:53 AM, Stephane Le Men wrote: Le 26/07/2012 10:46, Raphael MAUNIER a écrit : heu, non Dans ce cas là, il faut prendre rendez-vous l'ANSSI, Deja vu :) il devrait être capable de vous expliquer où est le SPOF de votre conf BGP Bah non via à vis de 3215. Je n'ai pas 3215 en direct Envoyez un Cisco en Chocolat à cet opérateur pour le remercier de vous montrer. Un depeering notice est largement suffisant --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux
2012/7/26 XF theiemsolut...@gmail.com: Connaissez-vous d’autres NCM comme Xerela ou Rancid et avez-vous des éléments à faire partager sur ce genre d’outils ? (utilité, performance, retour d’expérience..) Notch http://code.google.com/p/notch/ Pas tellement maintenu malheureusement, mais le grand intérêt selon moi c'est qu'il est dispo en application WSGI, donc facile à intégrer dans le workflow d'un script, via des requêtes HTTP. Jerome. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
On Thu, Jul 26, 2012 at 10:57:34AM +0200, Nicolas Strina nicolas.str...@jaguar-network.com wrote a message of 54 lines which said: Dans ce cas là, il faut prendre rendez-vous l'ANSSI, il devrait être capable de vous expliquer où est le SPOF de votre conf BGP via à vis de 3215. C'est quoi le rapport ? Je trouve les messages de Stéphane Le Men extrêmement nébuleux, voire incompréhensibles. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux
On travaille avec NCM de solarwinds Moncef Zid Responsable Technique Magirus France S.A.R.L. ZI du Petit Nanterre Immeuble Le Narval C2 27, rue des Hautes Patures Nanterre 92737 France phone: +33 1 40 85 76 99 mailto:moncef@magirus.com http://www.magirus.com Société à responsabilité limitée au capital de 300.000 € Siège social : 22 Boulevard Sébastien Brant, 67400 Illkirch Graffenstaden, RCS Strasbourg TI 421 342 783 This email and any files transmitted with it are confidential and solely for the use of the intended recipient. If you have received this email in error any use is strictly prohibited and please destroy any material/copies associated with this email, remove it from your computer system(s) and notify Magirus. -j...@jeje.org a écrit : - A : frnog-t...@frnog.org De : Jérôme Fleury Envoyé par : j...@jeje.org Date : 07/26/2012 11:01AM Objet : Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux 2012/7/26 XF theiemsolut...@gmail.com: Connaissez-vous d’autres NCM comme Xerela ou Rancid et avez-vous des éléments à faire partager sur ce genre d’outils ? (utilité, performance, retour d’expérience..) Notch http://code.google.com/p/notch/ Pas tellement maintenu malheureusement, mais le grand intérêt selon moi c'est qu'il est dispo en application WSGI, donc facile à intégrer dans le workflow d'un script, via des requêtes HTTP. Jerome. --- Liste de diffusion du FRnOG http://www.frnog.org/ = --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Hello, 2012/7/26 Raphael MAUNIER rmaun...@neotelecoms.com: Hello, Si votre support explose car vos clients n'arrivent plus à joindre une partie de AS3215, c'est normal Un opérateur US vient de leaker une partie des routes Orange ( pas beaucoup, c'est pour ça que c'est passé ) , et ça a fait un peu de dégats. L'impact pour nous était 25 minutes de soucis de routage. Certains opérateurs n'ont pas encore résolu de leur coté. Les premières alertes d'injoignabilité de préfixes 3215 sont tombées vers 9h44. A priori erreur de conf de l'AS4565 (We had a mis-configuration (...) We apologize for any problems/inconvenience that this caused.) Un grand grand merci à Neo pour votre réactivité. PS : Et c'est parti pour un troll avec RPKI :) [... SVP n'oubliez pas de modifier le titre du mail pour les trolls habituels...] Cdt, sarah --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 10:57, Nicolas Strina a écrit : Dans ce cas là, il faut prendre rendez-vous l'ANSSI, il devrait être capable de vous expliquer où est le SPOF de votre conf BGP via à vis de 3215. C'est quoi le rapport ? Le rapport c'est qu'il vient de prendre le service de circuit sur l’Internet avec 3215. Avant d'être un incident de sécurité, c'est un incident de service, de résilience. Alors, je repose ma question, c'est quoi l'AS canonique d'une conf BGP résiliente, votre référence, votre mètre étalon de la résilience ? On choisit ce que l'on veut pour répondre à cette question, et si on choisit les bonnes définitions, on a les bonnes conditions à réunir pour se prémunir. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
2012/7/26 Stephane Bortzmeyer bortzme...@nic.fr: On Thu, Jul 26, 2012 at 10:57:34AM +0200, Nicolas Strina nicolas.str...@jaguar-network.com wrote a message of 54 lines which said: Dans ce cas là, il faut prendre rendez-vous l'ANSSI, il devrait être capable de vous expliquer où est le SPOF de votre conf BGP via à vis de 3215. C'est quoi le rapport ? Je trouve les messages de Stéphane Le Men extrêmement nébuleux, voire incompréhensibles. C'est pourtant devenu la norme sur FRnOG, les OP expérimentés qui se font faire la leçon. Je suis surpris de voir encore et toujours des courageux continuer à poster même s'ils ne sont plus légions sur la ML. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux
Il y a aussi Gerty https://github.com/ssinyagin/gerty J'aime bien la geule de NCM de solarwinds, sauf que c'est Windoze uniquement... et c'est assez cher.. On 26 Jul 2012, at 11:11, Moncef Zid wrote: On travaille avec NCM de solarwinds Moncef Zid Responsable Technique Magirus France S.A.R.L. ZI du Petit Nanterre Immeuble Le Narval C2 27, rue des Hautes Patures Nanterre 92737 France phone: +33 1 40 85 76 99 mailto:moncef@magirus.com http://www.magirus.com Société à responsabilité limitée au capital de 300.000 € Siège social : 22 Boulevard Sébastien Brant, 67400 Illkirch Graffenstaden, RCS Strasbourg TI 421 342 783 This email and any files transmitted with it are confidential and solely for the use of the intended recipient. If you have received this email in error any use is strictly prohibited and please destroy any material/copies associated with this email, remove it from your computer system(s) and notify Magirus. -j...@jeje.org a écrit : - A : frnog-t...@frnog.org De : Jérôme Fleury Envoyé par : j...@jeje.org Date : 07/26/2012 11:01AM Objet : Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux 2012/7/26 XF theiemsolut...@gmail.com: Connaissez-vous d’autres NCM comme Xerela ou Rancid et avez-vous des éléments à faire partager sur ce genre d’outils ? (utilité, performance, retour d’expérience..) Notch http://code.google.com/p/notch/ Pas tellement maintenu malheureusement, mais le grand intérêt selon moi c'est qu'il est dispo en application WSGI, donc facile à intégrer dans le workflow d'un script, via des requêtes HTTP. Jerome. --- Liste de diffusion du FRnOG http://www.frnog.org/ = --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Wow, Stéphane, tu as fumé quoi ce matin ? :) Cordialement, Jérémy Martin Le 26/07/2012 11:16, Stephane Le Men a écrit : Le 26/07/2012 10:57, Nicolas Strina a écrit : Dans ce cas là, il faut prendre rendez-vous l'ANSSI, il devrait être capable de vous expliquer où est le SPOF de votre conf BGP via à vis de 3215. C'est quoi le rapport ? Le rapport c'est qu'il vient de prendre le service de circuit sur l’Internet avec 3215. Avant d'être un incident de sécurité, c'est un incident de service, de résilience. Alors, je repose ma question, c'est quoi l'AS canonique d'une conf BGP résiliente, votre référence, votre mètre étalon de la résilience ? On choisit ce que l'on veut pour répondre à cette question, et si on choisit les bonnes définitions, on a les bonnes conditions à réunir pour se prémunir. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 11:16, Stephane Le Men a écrit : Alors, je repose ma question, c'est quoi l'AS canonique d'une conf BGP résiliente, votre référence, votre mètre étalon de la résilience ? c'est bien évidemment l'AS42 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 11:22, Jérémy Martin a écrit : Wow, Stéphane, tu as fumé quoi ce matin ? :) C'est peut être vrai. Je suis nul en français et je m'en excuse auprès de mes lecteurs. Le rapport c'est qu'il vient de prendre le service de circuit sur l’Internet avec 3215. Avant d'être un incident de sécurité, c'est un incident de service, de résilience. il fallait perdre pas prendre, je lis et me relis tres mal je me reconnais cette faiblesse, si vous arrivez à me l'excuser. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Je pense que tu as raison, je vais cesser d'expliquer quoique ce soit, surtout vu la deuxieme reponse. :) Le 26 juil. 2012 11:21, Sidney Boumendil sidney.boumen...@gmail.com a écrit : 2012/7/26 Stephane Bortzmeyer bortzme...@nic.fr: On Thu, Jul 26, 2012 at 10:57:34AM +0200, Nicolas Strina nicolas.str...@jaguar-network.com wr... C'est pourtant devenu la norme sur FRnOG, les OP expérimentés qui se font faire la leçon. Je suis surpris de voir encore et toujours des courageux continuer à poster même s'ils ne sont plus légions sur la ML. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 11:32, Raphael Maunier a écrit : Je pense que tu as raison, je vais cesser d'expliquer quoique ce soit, surtout vu la deuxieme reponse.:) Vous n'avez rien à expliquer, nous n'avons qu'à constater. Ce qui est visible de l’extérieur décrit en partie ce qui se passe à l’intérieur. C'est comme quand on est médecin et qu'on ne peut pas se permettre d'ouvrir la patient juste pour voir à l’intérieur. En allant au bout du raisonnement que je vous propose d'avoir sur la résilience de votre réseau, et pourquoi elle n'est pas au niveau attendue ou espérée, je pense que vous identifierez mieux à qui profitera réellement le déploiement de RPKI, par exemple, dans le but d'essayer d'améliorer cette résilience plutôt que de faire ce qui aurait du être fait au niveau de son architecture. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Bonjour, On Thu, 26 Jul 2012 11:48:14 +0200, Stephane Le Men stephane.le...@anycast-networks.com wrote: Le 26/07/2012 11:32, Raphael Maunier a écrit : Je pense que tu as raison, je vais cesser d'expliquer quoique ce soit, surtout vu la deuxieme reponse.:) Vous n'avez rien à expliquer, nous n'avons qu'à constater. Ce qui est visible de l’extérieur décrit en partie ce qui se passe à l’intérieur. C'est comme quand on est médecin et qu'on ne peut pas se permettre d'ouvrir la patient juste pour voir à l’intérieur. En allant au bout du raisonnement que je vous propose d'avoir sur la résilience de votre réseau, et pourquoi elle n'est pas au niveau attendue ou espérée, je pense que vous identifierez mieux à qui profitera réellement le déploiement de RPKI, par exemple, dans le but d'essayer d'améliorer cette résilience plutôt que de faire ce qui aurait du être fait au niveau de son architecture. Concernant RPKI : Premier point : Orange n'a pas signé ses préfixes. Ils auront donc la même validation que les préfixes émis (erreur ou non) par un autre AS. Second point : Orange ne peer pas en direct (ou très peu). L'AS path d'Orange officiel est donc potentiellement plus long que l'AS Path des routes annormales. Troisième point : Les signatures RPKI sont validées par des équipements tiers (autres que les routeurs). Donc rien ne m'oblige à vérifier les signatures en temps réel. Vu les trois points, RPKI ou non, le résultat est le même. L'important reste donc (encore) la réactivité des équipes techniques, et en l'occurence, 25 minutes c'est plus que raisonnable. Concernant la résilience : Orange n'est qu'une partie d'internet (certes importante pour le marché Francophone), mais une partie d'internet, et un AS parmis tant d'autres. (et encore, pas tout 3215 n'a été impacté à priori). Est ce qu'il y a eu une coupure Internet ? Non. Il y a eu un incident sur une partie d'internet. La résilience doit être mesurée sur quelle partie d'internet? Enfin, mode avocat du diable : Le problème viens du fait qu'un AS a émis des routes vérreuses. Avec moins de résilience (aucun peering uniquement des upstreams), l'impact aurai été moins visible. Là encore, la résillience ne peut être mesurée sur des données aussi faibles, un acteur donné. Allez, le troll est nourri :) Cordialement, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 10:46, Raphael MAUNIER a écrit : heu, non J'en profite pour rappeler à votre liste de lecture le papier que Sarah à préparé avec l'ANSSI, et qui porte justement sur l'impact qu'auraient eu le respect des best practices sur les derniers incidents notables liés au BGP. https://www.sstic.org/media/SSTIC2012/SSTIC-actes/influence_des_bonnes_pratiques_sur_les_incidents_b/SSTIC2012-Article-influence_des_bonnes_pratiques_sur_les_incidents_bgp-contat_valadon_nataf_2.pdf Max prefix : check. IRR filters : difficile vu le nombre de routes, mais pas impossible. AS_Path filter : bha évidement, tu peux savoir qu'un gros AS qui fait une part visible de ton trafic va pas arriver par un peer ou client comme ça... Raphael Donc non, tu n'utilises pas de filtre. Ca ne veut pas dire que ça n'aurait pas un impact positif sur ce cas de figure. Vu le temps qu'il va falloir pour déployer RPKI+ROA sur une part significative des AS, ce serait bien d'implémenter quelques contrôles d'ici là. Stephane LM tu as autre chose à proposer ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Ok, Alors, il faudrait avant tout avoir un peu d'experience dans les reseaux doperateurs internationaux. Les gens comme vient de le dire Sidney, les gens qui ne savent pas ce que cest qu'un reseau, se permettent de donner des conseils qui ne veulent rien dire et impossible a mettre en prod dans la vrai vie. Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment dire Passez votre chemin. Pour info, il faut se renseigner un peu, neo fait preuve de transparence et donne beaucoup d'info. Alors, les conseils ou denigrement de gens n'ayant aucune exp live ou recente (ou meme jamais), comment dire mv /dev/null Voila, ce sera ma derniere reponse a la base, cetait pour prevenir et ca a pu aider des gens :) Sidney, je vais ecouter ton conseil et cesser de faire comprendre aux donneurs de lecons qui ne savent pas ce que c'est le vis ma vie :) Le 26 juil. 2012 11:48, Stephane Le Men stephane.le...@anycast-networks.com a écrit : Le 26/07/2012 11:32, Raphael Maunier a écrit : Je pense que tu as raison, je vais cesser d'expliquer quoique ce soit, surtout vu la deuxieme... Vous n'avez rien à expliquer, nous n'avons qu'à constater. Ce qui est visible de l’extérieur décrit en partie ce qui se passe à l’intérieur. C'est comme quand on est médecin et qu'on ne peut pas se permettre d'ouvrir la patient juste pour voir à l’intérieur. En allant au bout du raisonnement que je vous propose d'avoir sur la résilience de votre réseau, et pourquoi elle n'est pas au niveau attendue ou espérée, je pense que vous identifierez mieux à qui profitera réellement le déploiement de RPKI, par exemple, dans le but d'essayer d'améliorer cette résilience plutôt que de faire ce qui aurait du être fait au niveau de son architecture. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 12:57, Raphael Maunier a écrit : Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment dire Passez votre chemin. Bha, écoutes, libre à toi de prendre la communauté de haut parce que tu as le plus gros réseau, tout ça, mais en attendant c'est celui là qui s'est taulé ce matin. Pas les miens. C'est pas un reproche, pas une critique, on a tous des problèmes d'exploitation. Mais voilà, il se pourrait que les best-practices comme le filtrage sur prefix-list et as-path sur certaines sessions aident à limiter l'impact de ce genre de merdes. Et plutôt que de me prendre pour un con, j'aurais vraiment apprécié que tu expliques pourquoi ça marche pas et donc pourquoi tu ne l'as pas fait, et ce que tu aurais pu faire pour éviter le problème, si tant est que ce soit possible. Après si tu ne veux pas jouer le cercle vertueux de l'échange au sein du FRnOG, c'est ton problème. N'en soit pas insultant pour autant, s'il te plaît. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 12:09, Richard DEMONGEOT a écrit : Vu les trois points, RPKI ou non, le résultat est le même. Ma compréhension est que dans l'hypothèse où RPKI est déployé et activé, il aurait du couvrir ce problème d'annonces erronées. D'où l'invitation au troll de l'OP. L'important reste donc (encore) la réactivité des équipes techniques, et en l'occurence, 25 minutes c'est plus que raisonnable. C'est selon les jugements excellent ou lamentable. Si personne n'a rien vu, il n'y a rien à dire, si cela a été le tsunami au support, le responsable du support donnera sa propre appréciation de l'incident. Concernant la résilience : Orange n'est qu'une partie d'internet (certes importante pour le marché Francophone), mais une partie d'internet, et un AS parmis tant d'autres. (et encore, pas tout 3215 n'a été impacté à priori). Un AS parmi tant d'autre dans la table des ASN, mais quelle fraction trafic de l'AS, 1%, 10% , 30% ? Il n'y a que le propriétaire de l'AS qui peut répondre. Et cette fraction de trafic, c'est une fraction de son service qu'il vend, et non pas 1 divisé par nombre d'AS de la table des ASN de l'Internet. Est ce qu'il y a eu une coupure Internet ? Non. Il y a eu un incident sur une partie d'internet. La résilience doit être mesurée sur quelle partie d'internet? Sur chaque fraction de son trafic. A priori, rares sont les AS qui discutent uniformément en terme de volumétrie avec le reste de la planète. Chaque AS a son profil volumétrique. Je pense que si 99% de votre trafic ne se fait qu'avec 1 seul autre AS, cet AS mérite 99% de votre attention. Je suis partisan de cette répartition plutôt que d'une répartition qui consiste à se préoccuper de toutes les AS, y compris celles avec qui on n'a pas ou très peu de trafic. Enfin, mode avocat du diable : Le problème viens du fait qu'un AS a émis des routes vérreuses. Avec moins de résilience (aucun peering uniquement des upstreams), l'impact aurai été moins visible. Là encore, la résillience ne peut être mesurée sur des données aussi faibles, un acteur donné. J'ai la croyance qu'il vaut mieux diviser le problème de résilience pour y régner dessus, et je crois que la résilience globale obtenue d'un système ou d'un réseau n'est que la réunion de chacun de petits morceaux individuels de résilience du système. Du coup, quand il y a un problème avec une destination, ce problème dit quelque chose sur un petit morceau de résilience du réseau. Et normalement dans un réseau résilient, avant de perdre un service, on a perdu la résilience. Perdre un service, c'est une double faute. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Y a un moment, il faut cessez d'avoir un avis sur tout, sans savoir de quoi on parle et donner des conseils qui ne veulent mais rien dire ! Est-ce que je donne mon avis sur du dns, du Linux, du ftth ? Non, alors, quand on sait pas , on dit/fait pas OU on apprend. C'est pénible de systématiquement se prendre des mails de conseils ou on se fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 ! Raphael On Jul 26, 2012, at 13:12, Jérôme Nicolle jer...@ceriz.fr wrote: Le 26/07/2012 12:57, Raphael Maunier a écrit : Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment dire Passez votre chemin. Bha, écoutes, libre à toi de prendre la communauté de haut parce que tu as le plus gros réseau, tout ça, mais en attendant c'est celui là qui s'est taulé ce matin. Pas les miens. C'est pas un reproche, pas une critique, on a tous des problèmes d'exploitation. Mais voilà, il se pourrait que les best-practices comme le filtrage sur prefix-list et as-path sur certaines sessions aident à limiter l'impact de ce genre de merdes. Et plutôt que de me prendre pour un con, j'aurais vraiment apprécié que tu expliques pourquoi ça marche pas et donc pourquoi tu ne l'as pas fait, et ce que tu aurais pu faire pour éviter le problème, si tant est que ce soit possible. Après si tu ne veux pas jouer le cercle vertueux de l'échange au sein du FRnOG, c'est ton problème. N'en soit pas insultant pour autant, s'il te plaît. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
On 7/26/12 1:18 PM, Stephane Le Men wrote: Sur chaque fraction de son trafic. A priori, rares sont les AS qui discutent uniformément en terme de volumétrie avec le reste de la planète. Chaque AS a son profil volumétrique. Je pense que si 99% de votre trafic ne se fait qu'avec 1 seul autre AS, cet AS mérite 99% de votre attention. Je suis partisan de cette répartition plutôt que d'une répartition qui consiste à se préoccuper de toutes les AS, y compris celles avec qui on n'a pas ou très peu de trafic. Alors je vais être un peu sec mais c'est une réponse très conne. Encore heureux que Neo ne nous accorde pas de l'attention qu'en fonction de notre *trafic* parce que ce qui peut représenter 3% pour eux, pour nous c'est de la *prod* et notre gagne-pain. J'attends avec impatience le moment où ta boîte fera 1% de trafic avec ton upstream et où ce dernier mettra 1 semaine pour faire refonctionner ta prod qui est intégralement coupée. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
+1. A force d'avoir des reactions aussi constructives, ca va se finir que plus personne n'osera poster sur la ML, sauf les masochistes qui posteront par esprit de contradictions. Nan mais relisez le thread, c'est juste énorme : Je vous previens qu'il y a eu un flap BGP ce matin, du à un probleme externe booouuuh tu sais meme pas configurer correctement tes routeurs pour pas avoir de flap Seul point positif : le pdf de Sarah sur les best-practices envoyé par mail, ça évite d'avoir à le rechercher. Ca fait leger comme point positif ! Le 26 juillet 2012 13:25, Raphael MAUNIER rmaun...@neotelecoms.com a écrit : Y a un moment, il faut cessez d'avoir un avis sur tout, sans savoir de quoi on parle et donner des conseils qui ne veulent mais rien dire ! Est-ce que je donne mon avis sur du dns, du Linux, du ftth ? Non, alors, quand on sait pas , on dit/fait pas OU on apprend. C'est pénible de systématiquement se prendre des mails de conseils ou on se fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 ! Raphael On Jul 26, 2012, at 13:12, Jérôme Nicolle jer...@ceriz.fr wrote: Le 26/07/2012 12:57, Raphael Maunier a écrit : Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment dire Passez votre chemin. Bha, écoutes, libre à toi de prendre la communauté de haut parce que tu as le plus gros réseau, tout ça, mais en attendant c'est celui là qui s'est taulé ce matin. Pas les miens. C'est pas un reproche, pas une critique, on a tous des problèmes d'exploitation. Mais voilà, il se pourrait que les best-practices comme le filtrage sur prefix-list et as-path sur certaines sessions aident à limiter l'impact de ce genre de merdes. Et plutôt que de me prendre pour un con, j'aurais vraiment apprécié que tu expliques pourquoi ça marche pas et donc pourquoi tu ne l'as pas fait, et ce que tu aurais pu faire pour éviter le problème, si tant est que ce soit possible. Après si tu ne veux pas jouer le cercle vertueux de l'échange au sein du FRnOG, c'est ton problème. N'en soit pas insultant pour autant, s'il te plaît. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 13:25, Raphael MAUNIER a écrit : C'est pénible de systématiquement se prendre des mails de conseils ou on se fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 ! Faudrait que tu m'expliques pourquoi tu t'es senti attaqué, moi je n'ai fait que citer un papier que je trouves intéressant, dont les préconisations marchent à mon échelle, et je ne fais que te poser une question : pourquoi ça ne marcherait pas chez toi ? Sinon comme l'a dit Richard, 25 minutes, c'est un joli score, c'est indéniable. Mais si on veut tous progresser, la bonne question à se poser, c'est comment on peut l'éviter à l'avenir. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
2012/7/26 Richard DEMONGEOT rich...@demongeot.biz: Concernant RPKI : Premier point : Orange n'a pas signé ses préfixes. Ils auront donc la même validation que les préfixes émis (erreur ou non) par un autre AS. En fait si, il existe des ROAs pour une partie des préfixes de l'AS3215 depuis quelques mois. Cependant, comme aucun AS n'applique concrètement de filtres sur routes invalid --peut-être un AS d'après le RIPE, sans doute pour du test/recherche--, elles ont été tout autant touchées que les routes sans ROAs ou d'ailleurs que les routes sans route-object. Cdlt, -- sarah --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 13:33, Guillaume Barrot a écrit : Ca fait leger comme point positif ! Si tu relis mieux, on était justement en train de lancer une discussion sur la façon d'éviter ça, jusqu'à ce que Raphael parte en troll. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Mattes mieux ma réponse ! Tu bosses chez un opérateur, tu comprendras donc que tu n'es pas concerné :) Même si on est pas d'accord sur ce point, tu sais comment ça marche, après, c'est l'expérience dans la construction et la gestion d'un backbone qui aide. Donc, ne te sent pas concerné, si je dois te dire un truc, je te choppe sur irc :) Raphael On Jul 26, 2012, at 13:32, Jérôme Nicolle jer...@ceriz.fr wrote: Le 26/07/2012 13:25, Raphael MAUNIER a écrit : C'est pénible de systématiquement se prendre des mails de conseils ou on se fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 ! Faudrait que tu m'expliques pourquoi tu t'es senti attaqué, moi je n'ai fait que citer un papier que je trouves intéressant, dont les préconisations marchent à mon échelle, et je ne fais que te poser une question : pourquoi ça ne marcherait pas chez toi ? Sinon comme l'a dit Richard, 25 minutes, c'est un joli score, c'est indéniable. Mais si on veut tous progresser, la bonne question à se poser, c'est comment on peut l'éviter à l'avenir. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 13:32, Damien Fleuriot a écrit : Alors je vais être un peu sec mais c'est une réponse très conne. Encore heureux que Neo ne nous accorde pas de l'attention qu'en fonction de notre*trafic* parce que ce qui peut représenter 3% pour eux, pour nous c'est de la*prod* et notre gagne-pain. A supposé qu'un opérateur n'ait de résilience nul part, et qu'il cherche en acquérir une, est-ce que ses investissements seront proportionnels à son trafic ou l'opposé, est-ce qu'il va consacrer 6% de son budget résilience à 3% de son trafic ? Pour que votre opérateur ne soit neutre vis à vis de votre trafic, et qu'il le discrimine par rapport autres, je pense qu'il va falloir payer, et payer plus que les autres clients. La disponibilité, c'est comme le filtrage de paquets, elle peut être plus ou moins neutre. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Si je puis me permettre une toute petite remarque: dans le mail initial, que je trouve plutot utile j'aurai bien aimer voir les prefix hijackes et l'AS en question histoire d'etre un poil plus utile que de juste dire grosso modo y a un probleme ca vient d'ailleurs, ne m'appelez pas Mais sinon oui, utile. 2012/7/26 Raphael MAUNIER rmaun...@neotelecoms.com: Y a un moment, il faut cessez d'avoir un avis sur tout, sans savoir de quoi on parle et donner des conseils qui ne veulent mais rien dire ! Est-ce que je donne mon avis sur du dns, du Linux, du ftth ? Non, alors, quand on sait pas , on dit/fait pas OU on apprend. C'est pénible de systématiquement se prendre des mails de conseils ou on se fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 ! Raphael On Jul 26, 2012, at 13:12, Jérôme Nicolle jer...@ceriz.fr wrote: Le 26/07/2012 12:57, Raphael Maunier a écrit : Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment dire Passez votre chemin. Bha, écoutes, libre à toi de prendre la communauté de haut parce que tu as le plus gros réseau, tout ça, mais en attendant c'est celui là qui s'est taulé ce matin. Pas les miens. C'est pas un reproche, pas une critique, on a tous des problèmes d'exploitation. Mais voilà, il se pourrait que les best-practices comme le filtrage sur prefix-list et as-path sur certaines sessions aident à limiter l'impact de ce genre de merdes. Et plutôt que de me prendre pour un con, j'aurais vraiment apprécié que tu expliques pourquoi ça marche pas et donc pourquoi tu ne l'as pas fait, et ce que tu aurais pu faire pour éviter le problème, si tant est que ce soit possible. Après si tu ne veux pas jouer le cercle vertueux de l'échange au sein du FRnOG, c'est ton problème. N'en soit pas insultant pour autant, s'il te plaît. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Stephane, depuis que nous suivons vos interventions vous etes très evasif sur la solution qui selon vous sauverait le monde. Vous semblez detenir une verité que personne n'ici ne peut effleurer vu le ton de vos mails. Je vous propose afin de calmer l'ambiance sur la ML de vous mettre a votre plume et d'expliciter ces designs si resilients et de citer vos sources plutot que de nous poser la question de ce que nous pensons être la réponse. Nous attendons toujours les docs demandées par Stephane Bortzmeyer la derniere fois. La pluspart des membres actifs sur cette ML font vivre au jour le jour des réseaux ayant presque tous des designs differents a toutes les echelles, personellement j'ai connu un backbone tier 1 a budget illimité satisfaisant votre laius sur les designs Sigtran mais il ne permettait pas de se premunir des route-leak et hijack. Je suis curieux de voir les differences de design entre votre modele et ceux que je connais. bref soyons constructifs et apprenons tous ensemble! Pour la discussion annexe, si on ne peut plus dire sur FRNOG: eh les gars j'ai un truc bizarre, pouvez vous confirmer? ou heads up! Pakistan telecom refait des siennes je ne vois plus l'utilité operationelle de la ML. Michel Moriniaux 2012/7/26 Stephane Le Men stephane.le...@anycast-networks.com: Le 26/07/2012 12:09, Richard DEMONGEOT a écrit : Vu les trois points, RPKI ou non, le résultat est le même. Ma compréhension est que dans l'hypothèse où RPKI est déployé et activé, il aurait du couvrir ce problème d'annonces erronées. D'où l'invitation au troll de l'OP. L'important reste donc (encore) la réactivité des équipes techniques, et en l'occurence, 25 minutes c'est plus que raisonnable. C'est selon les jugements excellent ou lamentable. Si personne n'a rien vu, il n'y a rien à dire, si cela a été le tsunami au support, le responsable du support donnera sa propre appréciation de l'incident. Concernant la résilience : Orange n'est qu'une partie d'internet (certes importante pour le marché Francophone), mais une partie d'internet, et un AS parmis tant d'autres. (et encore, pas tout 3215 n'a été impacté à priori). Un AS parmi tant d'autre dans la table des ASN, mais quelle fraction trafic de l'AS, 1%, 10% , 30% ? Il n'y a que le propriétaire de l'AS qui peut répondre. Et cette fraction de trafic, c'est une fraction de son service qu'il vend, et non pas 1 divisé par nombre d'AS de la table des ASN de l'Internet. Est ce qu'il y a eu une coupure Internet ? Non. Il y a eu un incident sur une partie d'internet. La résilience doit être mesurée sur quelle partie d'internet? Sur chaque fraction de son trafic. A priori, rares sont les AS qui discutent uniformément en terme de volumétrie avec le reste de la planète. Chaque AS a son profil volumétrique. Je pense que si 99% de votre trafic ne se fait qu'avec 1 seul autre AS, cet AS mérite 99% de votre attention. Je suis partisan de cette répartition plutôt que d'une répartition qui consiste à se préoccuper de toutes les AS, y compris celles avec qui on n'a pas ou très peu de trafic. Enfin, mode avocat du diable : Le problème viens du fait qu'un AS a émis des routes vérreuses. Avec moins de résilience (aucun peering uniquement des upstreams), l'impact aurai été moins visible. Là encore, la résillience ne peut être mesurée sur des données aussi faibles, un acteur donné. J'ai la croyance qu'il vaut mieux diviser le problème de résilience pour y régner dessus, et je crois que la résilience globale obtenue d'un système ou d'un réseau n'est que la réunion de chacun de petits morceaux individuels de résilience du système. Du coup, quand il y a un problème avec une destination, ce problème dit quelque chose sur un petit morceau de résilience du réseau. Et normalement dans un réseau résilient, avant de perdre un service, on a perdu la résilience. Perdre un service, c'est une double faute. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Le retour de la vengeance du fils du port 0
À la réunion Frnog 19, le 29 juin dernier, certains se sont étonnés des statistiques présentées dans le rapport de Nicolas Strina (Jaguar) Matthieu Texier (Arbor Networks) montrant plein d'attaques DoS sur le « port zéro ». De mémoire, il n'y avait pas eu de réponse pendant la réunion. Comme l'explique sur Nanog un gourou d'Arbor, c'est un artefact de Netflow, qui compte tous les fragments comme « port 0 ». Les attaques en question étaient probablement du DNS. --- Liste de diffusion du FRnOG http://www.frnog.org/ ---BeginMessage--- Frank Bulk frnk...@iname.com wrote: Unfortunately I don't have packet captures of any of the attacks, so I can't exam them for more detail, but wondering if there was some collective wisdom about blocking port 0. Yes - don't do it, or you will break the Internet. These are non-initial fragments. You or your customers are on the receiving end of DNS reflection/amplification attacks, and the large unsolicited DNS responses being used to packet you/them are fragmented. Use S/RTBH, flowspec, IDMS, and/or coordination with your peers/upstreams to block these attacks when they occur. Do *not* perform wholesale blocking of non-initial fragments (i.e., src/dst port 0), or you will have many unhappy customers and soon-to-be former customers. ; --- Roland Dobbins rdobb...@arbor.net ---End Message--- ---BeginMessage--- On Jul 25, 2012, at 12:08 PM, Jimmy Hess wrote: The packet is a non-initial fragment if and only if, the fragmentation offset is not set to zero. Port number's not a field you look at for that. I understand all that, thanks. NetFlow reports source/dest port 0 for non-initial fragments. That, coupled with the description of the attack, makes it a near-certainty that the observed attack was a DNS reflection/amplification attack. Furthermore, most routers can't perform the type of filtering necessary to check deeply into the packet header in order to determine if a given packet is a well-formed non-initial fragment or not. And finally, many router implementations interpret source/dest port 0 as - yes, you guessed it - non-initial fragments. Hence, it's not a good idea to filter on source/dest port 0. --- Roland Dobbins rdobb...@arbor.net // http://www.arbornetworks.com Luck is the residue of opportunity and design. -- John Milton ---End Message---
Re: [FRnOG] [TECH] Le retour de la vengeance du fils du port 0
On Thu, Jul 26, 2012, at 09:04 AM, Stephane Bortzmeyer wrote: À la réunion Frnog 19, le 29 juin dernier, certains se sont étonnés Y'a t-il moyen de mettre les slides sur le site, comme a la bonne vieille epoque ? Sinon, si ceux ayant presente peuvent partager leur presentations, ca sera pas mal non plus. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Le retour de la vengeance du fils du port 0
On Thu, Jul 26, 2012 at 04:52:18PM +0200, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote a message of 15 lines which said: Sinon, si ceux ayant presente peuvent partager leur presentations, ca sera pas mal non plus. http://www.bortzmeyer.org/rpki-frnog.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Trouble dans la force ( soucis vers AS3215 )
Switch ves MISC, dernier échauffement pour trolldi. Après Google, ce serait à Twitter de ne pas signer ses annonces ? Stéphane, un conseil ? (et à ceux qui promettent de déserter, même pour un ahuri dans mon genre et malgré la masse de conneries nécessaire sur une ML, y'a toujours à pêcher de bons pointeurs et des points-de-vue intéressants par ici ; c'est non seulement un bon outil de travail mais aussi une mine d'or pour les curieux) -- Pierre Jaury pie...@jaury.eu Phone +33(0)1.83.64.80.90 Web http://kaiyou.org/ Twitter @kaiyou_ Version: 3.12 GCS d-- s+: a-- C++ UL+++ P+++ L+++ E W+++ N+ o-- K+ w-- O- M-- V- PS+ PE+ Y+ PGP++ t+ 5 X R tv-- b++ DI++ D+ G++ e+++ h+ r++ y? On Thu, 2012-07-26 at 20:56 +0800, Jean Barbezat wrote: Si je puis me permettre une toute petite remarque: dans le mail initial, que je trouve plutot utile j'aurai bien aimer voir les prefix hijackes et l'AS en question histoire d'etre un poil plus utile que de juste dire grosso modo y a un probleme ca vient d'ailleurs, ne m'appelez pas Mais sinon oui, utile. 2012/7/26 Raphael MAUNIER rmaun...@neotelecoms.com: Y a un moment, il faut cessez d'avoir un avis sur tout, sans savoir de quoi on parle et donner des conseils qui ne veulent mais rien dire ! Est-ce que je donne mon avis sur du dns, du Linux, du ftth ? Non, alors, quand on sait pas , on dit/fait pas OU on apprend. C'est pénible de systématiquement se prendre des mails de conseils ou on se fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 ! Raphael On Jul 26, 2012, at 13:12, Jérôme Nicolle jer...@ceriz.fr wrote: Le 26/07/2012 12:57, Raphael Maunier a écrit : Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment dire Passez votre chemin. Bha, écoutes, libre à toi de prendre la communauté de haut parce que tu as le plus gros réseau, tout ça, mais en attendant c'est celui là qui s'est taulé ce matin. Pas les miens. C'est pas un reproche, pas une critique, on a tous des problèmes d'exploitation. Mais voilà, il se pourrait que les best-practices comme le filtrage sur prefix-list et as-path sur certaines sessions aident à limiter l'impact de ce genre de merdes. Et plutôt que de me prendre pour un con, j'aurais vraiment apprécié que tu expliques pourquoi ça marche pas et donc pourquoi tu ne l'as pas fait, et ce que tu aurais pu faire pour éviter le problème, si tant est que ce soit possible. Après si tu ne veux pas jouer le cercle vertueux de l'échange au sein du FRnOG, c'est ton problème. N'en soit pas insultant pour autant, s'il te plaît. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ signature.asc Description: This is a digitally signed message part
Re: [FRnOG] Re: [MISC] Trouble dans la force ( soucis vers AS3215 )
Je confirme, les gazouillis ne sont plus ! :) http://status.twitter.com/post/28057350532/twitter-site-issue -- Raphaël Maunier NEO TELECOMS CTO / Directeur Ingénierie AS8218 On Jul 26, 2012, at 5:44 PM, Pierre Jaury wrote: Switch ves MISC, dernier échauffement pour trolldi. Après Google, ce serait à Twitter de ne pas signer ses annonces ? Stéphane, un conseil ? (et à ceux qui promettent de déserter, même pour un ahuri dans mon genre et malgré la masse de conneries nécessaire sur une ML, y'a toujours à pêcher de bons pointeurs et des points-de-vue intéressants par ici ; c'est non seulement un bon outil de travail mais aussi une mine d'or pour les curieux) -- Pierre Jaury pie...@jaury.eu Phone +33(0)1.83.64.80.90 Web http://kaiyou.org/ Twitter @kaiyou_ Version: 3.12 GCS d-- s+: a-- C++ UL+++ P+++ L+++ E W+++ N+ o-- K+ w-- O- M-- V- PS+ PE+ Y+ PGP++ t+ 5 X R tv-- b++ DI++ D+ G++ e+++ h+ r++ y? On Thu, 2012-07-26 at 20:56 +0800, Jean Barbezat wrote: Si je puis me permettre une toute petite remarque: dans le mail initial, que je trouve plutot utile j'aurai bien aimer voir les prefix hijackes et l'AS en question histoire d'etre un poil plus utile que de juste dire grosso modo y a un probleme ca vient d'ailleurs, ne m'appelez pas Mais sinon oui, utile. 2012/7/26 Raphael MAUNIER rmaun...@neotelecoms.com: Y a un moment, il faut cessez d'avoir un avis sur tout, sans savoir de quoi on parle et donner des conseils qui ne veulent mais rien dire ! Est-ce que je donne mon avis sur du dns, du Linux, du ftth ? Non, alors, quand on sait pas , on dit/fait pas OU on apprend. C'est pénible de systématiquement se prendre des mails de conseils ou on se fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 ! Raphael On Jul 26, 2012, at 13:12, Jérôme Nicolle jer...@ceriz.fr wrote: Le 26/07/2012 12:57, Raphael Maunier a écrit : Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment dire Passez votre chemin. Bha, écoutes, libre à toi de prendre la communauté de haut parce que tu as le plus gros réseau, tout ça, mais en attendant c'est celui là qui s'est taulé ce matin. Pas les miens. C'est pas un reproche, pas une critique, on a tous des problèmes d'exploitation. Mais voilà, il se pourrait que les best-practices comme le filtrage sur prefix-list et as-path sur certaines sessions aident à limiter l'impact de ce genre de merdes. Et plutôt que de me prendre pour un con, j'aurais vraiment apprécié que tu expliques pourquoi ça marche pas et donc pourquoi tu ne l'as pas fait, et ce que tu aurais pu faire pour éviter le problème, si tant est que ce soit possible. Après si tu ne veux pas jouer le cercle vertueux de l'échange au sein du FRnOG, c'est ton problème. N'en soit pas insultant pour autant, s'il te plaît. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Outil de gestion des configuration réseaux
Bonjour à tous, Merci pour tous ces retours, Les solutions citées sont gratuites et modulables, cela rajoute de nouveaux éléments sur mon banc de test. Bien sur, ce n'est pas aussi user friendly que les solutions payantes mais ca se comprend vu le prix des équipements à acquérir pour développer ce genre d'outil. Un jour peut-être ;) Bonnes vacances a ceux qui en prennent et à bientôt ! Cordialement, Xavier -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Leland Vandervort Envoyé : jeudi 26 juillet 2012 11:20 À : Moncef Zid Cc : Leland Vandervort; Jérôme Fleury; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux Il y a aussi Gerty https://github.com/ssinyagin/gerty J'aime bien la geule de NCM de solarwinds, sauf que c'est Windoze uniquement... et c'est assez cher.. On 26 Jul 2012, at 11:11, Moncef Zid wrote: On travaille avec NCM de solarwinds -- -- Moncef Zid Responsable Technique Magirus France S.A.R.L. ZI du Petit Nanterre Immeuble Le Narval C2 27, rue des Hautes Patures Nanterre 92737 France phone: +33 1 40 85 76 99 mailto:moncef@magirus.com http://www.magirus.com -- -- Société à responsabilité limitée au capital de 300.000 € Siège social : 22 Boulevard Sébastien Brant, 67400 Illkirch Graffenstaden, RCS Strasbourg TI 421 342 783 -- -- This email and any files transmitted with it are confidential and solely for the use of the intended recipient. If you have received this email in error any use is strictly prohibited and please destroy any material/copies associated with this email, remove it from your computer system(s) and notify Magirus. -j...@jeje.org a écrit : - A : frnog-t...@frnog.org De : Jérôme Fleury Envoyé par : j...@jeje.org Date : 07/26/2012 11:01AM Objet : Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux 2012/7/26 XF theiemsolut...@gmail.com: Connaissez-vous d’autres NCM comme Xerela ou Rancid et avez-vous des éléments à faire partager sur ce genre d’outils ? (utilité, performance, retour d’expérience..) Notch http://code.google.com/p/notch/ Pas tellement maintenu malheureusement, mais le grand intérêt selon moi c'est qu'il est dispo en application WSGI, donc facile à intégrer dans le workflow d'un script, via des requêtes HTTP. Jerome. --- Liste de diffusion du FRnOG http://www.frnog.org/ = --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux
Ciao Vu ma lecture rapide des outils abordés, j'ai l'impression que glpi peut en partie couvrir les besoins. http://www.glpi-project.org/ http://plugins.glpi-project.org/spip.php?article5 Km --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux
Bonjour, En effet cela couvre le côté ip manager mais pas la partie backup de conf d'equipement et gestion des changements.. A mettre sur leur todo list ? Merci pour l'info en tout cas ! Cordialement, Xavier Le 26 juil. 2012 à 20:13, cam.la...@azerttyu.net cam.la...@azerttyu.net a écrit : Ciao Vu ma lecture rapide des outils abordés, j'ai l'impression que glpi peut en partie couvrir les besoins. http://www.glpi-project.org/ http://plugins.glpi-project.org/spip.php?article5 Km --- Liste de diffusion du FRnOG http://www.frnog.org/