RE: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

2020-12-14 Par sujet Michel Py 
>> Michel Py a écrit :
>> Question bête : est-ce que quelqu'un connait un seul exemple ou TTL-security
>> aurait résolu un problème ? Cà ressemble à une solution qui cherche un 
>> problème.

> Radu-Adrian Feurdean a écrit :
> Le cas improbable mais tout a fait possible (techniquement au moins) ou 
> quelqu'un essaye
> a distance, en utilisant des paquets forges, de faire un reset de la session 
> BGP.

Pour ça, il faut au minimum :
- Avoir le mot de passe md5 de la session (ça peut fuiter par d'autres sources)
- Deviner la séquence TCP (pas facile, mais faisable)
- Pouvoir joindre de l'extérieur le VLAN ou est la session BGP avec le paquet 
spoofé.
Ceci est la partie la plus difficile, AMHA. Il faut que le VLAN en question ait 
une IP publique, et pas une "empruntée" à DoD ou autres, soit annoncé vers 
l'extérieur (il y a plein de VLANs de peering / interco / IX qui ne le sont 
pas), pas de filtrage anti-spoof, pas de filtrage des sessions BGP en 
provenance de l'extérieur inconnu...

Je suis sur que c'est techniquement faisable, mais ça demande quand même pas 
mal de conditions nécessaires en même temps. Est-ce que quelqu'un a déjà vu un 
cas concret ?
Bon c'est vrai que eBGP monohop qui consiste à envoyer le trafic avec un TTL de 
1 ça ne vaut pas un caramel mou en matière de sécurité, mais j'avais pas 
l'impression que c'était une porte ouverte que quelqu'un essayait d'enfoncer.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

2020-12-14 Par sujet Radu-Adrian Feurdean 
On Sun, Dec 13, 2020, at 20:24, Michel Py wrote:
> 
> Question bête : est-ce que quelqu'un connait un seul exemple ou 
> TTL-security aurait résolu un problème ? Cà ressemble à une solution 
> qui cherche un problème.

Le cas improbable mais tout a fait possible (techniquement au moins) ou 
quelqu'un essaye a distance, en utilisant des paquets forges, de faire un reset 
de la session BGP.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DF reset

2020-12-14 Par sujet Florent CARRÉ 
Hello,
Peut-être une réponse (le point 3) avec MTU Probing utilisable sur Linux :
https://blog.cloudflare.com/ip-fragmentation-is-broken/

Avons-nous réellement besoin de ce flag?

Nous sommes dans l'ère de QUIC et des autres choses où l'on réimplémente
quasiment tout dans UDP avec comme exemple mosh (https://mosh.org/).


On Mon, Dec 14, 2020, 11:20 Vincent Bernat  wrote:

>  ❦ 14 décembre 2020 17:04 +01, David Ponzone:
>
> > Je viens de m’apercevoir un peu par hasard que pas mal d’IP sur
> > Internet, quand on leur envoie un ICMP echo-request avec DF, répondent
> > avec un ICMP techo-reply sans DF.
>
> Perso, je vois pas pourquoi le bit DF devrait être copié. En checkant
> vite fait dans le code de Linux, je ne vois rien qui copie le flag DF
> dans les réponses ICMP.
> --
> Make sure special cases are truly special.
> - The Elements of Programming Style (Kernighan & Plauger)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DF reset

2020-12-14 Par sujet Vincent Bernat 
 ❦ 14 décembre 2020 17:04 +01, David Ponzone:

> Je viens de m’apercevoir un peu par hasard que pas mal d’IP sur
> Internet, quand on leur envoie un ICMP echo-request avec DF, répondent
> avec un ICMP techo-reply sans DF.

Perso, je vois pas pourquoi le bit DF devrait être copié. En checkant
vite fait dans le code de Linux, je ne vois rien qui copie le flag DF
dans les réponses ICMP.
-- 
Make sure special cases are truly special.
- The Elements of Programming Style (Kernighan & Plauger)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] DF reset

2020-12-14 Par sujet David Ponzone 
Je viens de m’apercevoir un peu par hasard que pas mal d’IP sur Internet, quand 
on leur envoie un ICMP echo-request avec DF, répondent avec un ICMP techo-reply 
sans DF.

C’est assez trompeur et surprenant.
C’est voulu par les RFC (j’ai la flemme de chercher) ?
Et il y a des exceptions.
Par exemple, des IPs chez SFR répondent en respectant le DF flag de mon ping.

Une IP qui enlève le DF: 1.1.1.1
Une IP qui le laisse: 37.71.190.1

Des idées ? Je suis fatigué ?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Qui a cassé Google ?

2020-12-14 Par sujet Pierre LAGOUTTE 
Hello,

De mon côté les DNS répondaient bien, mais plus lentement que d’habitude.

Cdlt
Pierre Lagoutte

> Le 14 déc. 2020 à 14:26, Axel HAUGUEL  a écrit :
> 
> Salut,
> 
> Sur mon monitoring 8.8.8.8 répondait au ping, mais aucune idée pour les DNS.
> 
> 
> Cordialement / Best regards
> -- 
> Axel HAUGUEL
> Vice-Président de Dyjix | a...@dyjix.eu 
> Responsable des infrastructures systèmes & réseaux
> Téléphone : (+33) 07 61 59 67 11 | www.dyjix.eu 
> 
> 
> 
>> Le 14 déc. 2020 à 14:22, David Ponzone  a écrit :
>> 
>> J’ai pas pensé à tester si 8.8.8.8 marchait pendant l’incident.
>> Cela pourrait expliquer cela (mais je ne connais pas en détail l’algo de 
>> DownDetector).
>> Parce qu’à priori Zoom n’a aucun rapport avec Google Cloud.
>> 
>> 
 Le 14 déc. 2020 à 14:02, Refuznik  a écrit :
>>> 
>>> Y a pas que google qui est down actuellement https://downdetector.com
>>> 
>>> Le lun. 14 déc. 2020 à 13:59, Stephane Bortzmeyer  a 
>>> écrit :
 
 YouTube qui affiche un joli message d'erreur et, apparemment, d'autres
 services Google en carafe.
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Qui a cassé Google ?

2020-12-14 Par sujet Axel HAUGUEL 
Salut,

Sur mon monitoring 8.8.8.8 répondait au ping, mais aucune idée pour les DNS.


Cordialement / Best regards
-- 
Axel HAUGUEL
Vice-Président de Dyjix | a...@dyjix.eu 
Responsable des infrastructures systèmes & réseaux
Téléphone : (+33) 07 61 59 67 11 | www.dyjix.eu 



> Le 14 déc. 2020 à 14:22, David Ponzone  a écrit :
> 
> J’ai pas pensé à tester si 8.8.8.8 marchait pendant l’incident.
> Cela pourrait expliquer cela (mais je ne connais pas en détail l’algo de 
> DownDetector).
> Parce qu’à priori Zoom n’a aucun rapport avec Google Cloud.
> 
> 
>> Le 14 déc. 2020 à 14:02, Refuznik  a écrit :
>> 
>> Y a pas que google qui est down actuellement https://downdetector.com
>> 
>> Le lun. 14 déc. 2020 à 13:59, Stephane Bortzmeyer  a 
>> écrit :
>>> 
>>> YouTube qui affiche un joli message d'erreur et, apparemment, d'autres
>>> services Google en carafe.
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Qui a cassé Google ?

2020-12-14 Par sujet David Ponzone 
J’ai pas pensé à tester si 8.8.8.8 marchait pendant l’incident.
Cela pourrait expliquer cela (mais je ne connais pas en détail l’algo de 
DownDetector).
Parce qu’à priori Zoom n’a aucun rapport avec Google Cloud.


> Le 14 déc. 2020 à 14:02, Refuznik  a écrit :
> 
> Y a pas que google qui est down actuellement https://downdetector.com
> 
> Le lun. 14 déc. 2020 à 13:59, Stephane Bortzmeyer  a écrit 
> :
>> 
>> YouTube qui affiche un joli message d'erreur et, apparemment, d'autres
>> services Google en carafe.
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Qui a cassé Google ?

2020-12-14 Par sujet Refuznik 
Y a pas que google qui est down actuellement https://downdetector.com

Le lun. 14 déc. 2020 à 13:59, Stephane Bortzmeyer  a écrit :
>
> YouTube qui affiche un joli message d'erreur et, apparemment, d'autres
> services Google en carafe.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Qui a cassé Google ?

2020-12-14 Par sujet Stephane Bortzmeyer 
On Mon, Dec 14, 2020 at 01:38:46PM +0100,
 Stephane Bortzmeyer  wrote 
 a message of 13 lines which said:

> Apparemment, tout est retombé en marche.

https://techcrunch.com/2020/12/14/gmail-youtube-google-docs-and-other-services-go-down-simultaneously-in-multiple-countries/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Qui a cassé Google ?

2020-12-14 Par sujet Stephane Bortzmeyer 
On Mon, Dec 14, 2020 at 01:03:46PM +0100,
 Stephane Bortzmeyer  wrote 
 a message of 7 lines which said:

> YouTube qui affiche un joli message d'erreur et, apparemment, d'autres
> services Google en carafe.

Apparemment, tout est retombé en marche.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [ML] [FRnOG] [ALERT] Qui a cassé Google ?

2020-12-14 Par sujet Manuel Guesdon 
On Mon, 14 Dec 2020 13:03:46 +0100
Stephane Bortzmeyer  wrote:

>| YouTube qui affiche un joli message d'erreur et, apparemment, d'autres
>| services Google en carafe.

Hum, " 421 4.3.0 Temporary System Problem.  Try again later" pour envoyer des
mails @gmail.com depuis aujourd'hui 12h49 ca compte ?

Manuel 

--
__
Manuel Guesdon - OXYMIUM


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Qui a cassé Google ?

2020-12-14 Par sujet Stephane Bortzmeyer 
On Mon, Dec 14, 2020 at 01:16:19PM +0100,
 Stephane Bortzmeyer  wrote 
 a message of 12 lines which said:

> On Mon, Dec 14, 2020 at 01:07:59PM +0100,
>  Raphael Mazelier  wrote 
>  a message of 15 lines which said:
> 
> > Yes au moins la console GCP, Gsuite, etc..
> 
> Chez certains, Gmail et Gdrive sont aussi arrêtés.

Tout est en rouge :

https://www.google.com/appsstatus#hl=fr&v=status


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Qui a cassé Google ?

2020-12-14 Par sujet Cécile Martron via frnog 

Hello,

D'après https://www.google.com/appsstatus#hl=fr&v=status 
tout est par terre !

Coucou au petit P1 :)

Cécile Martron
Ingénieure Systéme Réseaux et Télécommunication
+33 (0) 6 85 44 33 38

Le 14/12/2020 à 13:23, Quentin Leconte via frnog a écrit :

Hello,

Il y a des problèmes sur Gmail, Gmaps, Gdrive. Et les recherches sont très 
lentes..

Et bon lundi à tous, surtout aux supports à qui on va dire qu'il y a un "problème 
sur le réseau" :) :) :)

A+

Le 14/12/2020 13:18, « Stephane Bortzmeyer »  a écrit :

 On Mon, Dec 14, 2020 at 01:07:59PM +0100,
  Raphael Mazelier  wrote
  a message of 15 lines which said:

 > Yes au moins la console GCP, Gsuite, etc..

 Chez certains, Gmail et Gdrive sont aussi arrêtés.


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/


smime.p7s
Description: Signature cryptographique S/MIME

[FRnOG] Re: [ALERT] Qui a cassé Google ?

2020-12-14 Par sujet Stephane Bortzmeyer 
On Mon, Dec 14, 2020 at 01:23:46PM +0100,
 raph  wrote 
 a message of 40 lines which said:

> En fait il semblerait que ce soit Google auth qui soit hs. Donc tout
> service qui se base dessus est impacté. On est pas loin du chômage
> technique par chez nous :)

Tant que la liste FRnog fonctionne...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Qui a cassé Google ?

2020-12-14 Par sujet raph 
En fait il semblerait que ce soit Google auth qui soit hs. Donc tout service 
qui se base dessus est impacté. On est pas loin du chômage technique par chez 
nous :)
 Original message From: Stephane Bortzmeyer  
Date: 12/14/20  13:16  (GMT+01:00) To: Raphael Mazelier  Cc: 
frnog@frnog.org Subject: Re: [ALERT] Qui a cassé Google ? On Mon, Dec 14, 2020 
at 01:07:59PM +0100, Raphael Mazelier  wrote  a message of 
15 lines which said:> Yes au moins la console GCP, Gsuite, etc..Chez certains, 
Gmail et Gdrive sont aussi arrêtés.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Qui a cassé Google ?

2020-12-14 Par sujet Quentin Leconte via frnog 
Hello,

Il y a des problèmes sur Gmail, Gmaps, Gdrive. Et les recherches sont très 
lentes..

Et bon lundi à tous, surtout aux supports à qui on va dire qu'il y a un 
"problème sur le réseau" :) :) :)

A+

Le 14/12/2020 13:18, « Stephane Bortzmeyer »  a écrit :

On Mon, Dec 14, 2020 at 01:07:59PM +0100,
 Raphael Mazelier  wrote 
 a message of 15 lines which said:

> Yes au moins la console GCP, Gsuite, etc..

Chez certains, Gmail et Gdrive sont aussi arrêtés.


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Qui a cassé Google ?

2020-12-14 Par sujet Stephane Bortzmeyer 
On Mon, Dec 14, 2020 at 01:07:59PM +0100,
 Raphael Mazelier  wrote 
 a message of 15 lines which said:

> Yes au moins la console GCP, Gsuite, etc..

Chez certains, Gmail et Gdrive sont aussi arrêtés.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Qui a cassé Google ?

2020-12-14 Par sujet Raphael Mazelier 

Yes au moins la console GCP, Gsuite, etc..

On 14/12/2020 13:03, Stephane Bortzmeyer wrote:

YouTube qui affiche un joli message d'erreur et, apparemment, d'autres
services Google en carafe.


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [ALERT] Qui a cassé Google ?

2020-12-14 Par sujet Stephane Bortzmeyer 
YouTube qui affiche un joli message d'erreur et, apparemment, d'autres
services Google en carafe.


---
Liste de diffusion du FRnOG
http://www.frnog.org/