RE: [FRnOG] [TECH] RTBH AS3215

[Michel Py]

>>> Hugues VOITURIER a écrit :
>>> Je dirais : "Un ASN qui annonce les routes d’un autre ASN" (modulo
>>> les siblings, genre Free/Free Mobile et OVH/OVH Telecom)
 
>> Michel Py a écrit :
>> Relativement d'accord, j'ajouterais "ou un ASN qui annonce les préfixes PI 
>> d'une autre org"
>> (sous-entendu, avec son propre ASN), ce qui va demander plus qu'une 
>> expression régulière à compter.

> Pour moi c’est plus un FAI qu’un transitaire pour moi, si c’est originé avec 
> son IP. Après c’est discutable :)

En fait je suis d'accord avec ta proposition initiale. Un ASN qui annonce les 
routes d'un autre; çà reste vague car beaucoup portent plusieurs casquettes.


> Pierre Emeriaud a écrit :
> Pour en revenir à la question initiale, à savoir le RTBH sur 3215, c'est 
> compliqué aussi.

Quelle surprise ;-) Merci pour l'éducation.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH AS3215

[Pierre Emeriaud]

Le 6 mars 2018 à 17:43, Michel Py  a écrit :
>
>>> Jugurta Yennek a écrit :
>>> Je pense,, qu'il faudrait déjà définir le sens du terme " Opérateur de 
>>> transit "
>
>> Hugues VOITURIER a écrit :
>> Je dirais : "Un ASN qui annonce les routes d’un autre ASN" (modulo les 
>> siblings, genre Free/Free Mobile et OVH/OVH Telecom)
>
> Relativement d'accord, j'ajouterais "ou un ASN qui annonce les préfixes PI 
> d'une autre org" (sous-entendu, avec son propre ASN), ce qui va demander plus 
> qu'une expression régulière à compter.
>
> Le comptage d'Alarig inclut ce que tu décris, mais pas le cas des clients qui 
> ont leur préfixe et pas leur ASN, ou qui ne veulent pas se compliquer la vie 
> avec un full-mesh pour annoncer un /24 quelque part ailleurs.

Pour parler de ma crèmerie :

AS3215 (au niveau bgp) a plusieurs types de clients :
- les eyeballs Orange France, grand public & pro (merci captain obvious).
- les clients d'Orange Wholesale, opérateurs, sur les offres IPCI
ex-c3215(e) ex-gigatransit.
- les clients d'OBS, entreprises, sur des offres type Business
Internet (Classic, Voix, Etendu, Ambition et j'en oublie surement).

Les clients GP sont sur du PA Orange, 1 IP / client. dynamique en
ppp gp, stable en dhcp gp, et fixe en ppp pro.

Les clients OWF ont a ma connaissance tous leur AS et utilisent leurs
préfixes (PA client ou PI).

Les clients OBS, y'a un peu de tout. Du PA Orange, du PA client
(83.137.245.0/24 par ex), du PI client (91.207.176.0/24 par ex), en
statique ou bgp privé. Il y a également du PA client, Orange ou PI en
bgp publique/global, mais dans ce cas l'origin est l'as du client et
non 3215.

Après, quels sont les cas qui définissent la notion de transitaire ?
Le PA Orange uniquement s'il est en bgp ? annoncé ailleurs ? le PI
client routé en statique ? C'est compliqué à déterminer.

Pour en revenir à la question initiale, à savoir le RTBH sur 3215,
c'est compliqué aussi. Pour les clients OWF, pas de rtbh, mais du
scrubbing Arbor est possible pour l'offre IPCI4. Je ne connais pas les
procédures pour l'activation (manuel via support ou déclenché par le
client). Pour les clients OBS, le rtbh est possible sous conditions,
et il y a du scrubbing Arbor, en mitigation automatique ou a la
demande placée par les équipes CyberSOC, sur sollicitation ou alerte.
Pour l'instant pas sur annonces flowspec du client.


--
pierre


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH AS3215

[Alarig Le Lay]

On mar.  6 mars 16:43:25 2018, Michel Py wrote:
> > Alarig Le Lay a écrit :
> > En regardant rapidos sur le lg du ring
> 
> C'est public ce lg ? un URL ?

https://ring.nlnog.net/ et
https://ring.nlnog.net/contact/application-form/

Et puis ssh lg01.infra.ring.nlnog.net :)

-- 
alarig


signature.asc
Description: PGP signature

Re: [FRnOG] [TECH] RTBH AS3215

[Hugues VOITURIER]

Ils ne l’ont pas activé visiblement.

Sur le mien (au hasard :D) tu as les options dans le menu déroulant en haut 
:https://lg.milkywan.fr 


> On 6 Mar 2018, at 18:13, Michel Py  wrote:
> 
>> Xavier Claude a écrit :
>> http://lg.ring.nlnog.net
> 
> C'est vrai que c'est sympa les lg bird. Comment on fait pour avoir la ligne 
> de commande ?
> 
> Michel.
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH AS3215

[Michel Py]

> Xavier Claude a écrit :
> http://lg.ring.nlnog.net

C'est vrai que c'est sympa les lg bird. Comment on fait pour avoir la ligne de 
commande ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH AS3215

[Hugues VOITURIER]

(Il fallait lire ASN évidemment)

> On 6 Mar 2018, at 17:50, Hugues VOITURIER  wrote:
> 
> avec son IP


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH AS3215

[Hugues VOITURIER]

> 
> C'est public ce lg ? un URL ?

http://lg.ring.nlnog.net

> 
> Relativement d'accord, j'ajouterais "ou un ASN qui annonce les préfixes PI 
> d'une autre org" (sous-entendu, avec son propre ASN), ce qui va demander plus 
> qu'une expression régulière à compter.

Pour moi c’est plus un FAI qu’un transitaire pour moi, si c’est originé avec 
son IP. Après c’est discutable :) 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH AS3215

[Xavier Claude]

On Tue, Mar 06, 2018 at 04:43:25PM +, Michel Py wrote:
> > Alarig Le Lay a écrit :
> > En regardant rapidos sur le lg du ring
> 
> C'est public ce lg ? un URL ?

http://lg.ring.nlnog.net


Xavier.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH AS3215

[Michel Py]

> Alarig Le Lay a écrit :
> En regardant rapidos sur le lg du ring

C'est public ce lg ? un URL ?


>> Jugurta Yennek a écrit :
>> Je pense,, qu'il faudrait déjà définir le sens du terme " Opérateur de 
>> transit "

+1

> Hugues VOITURIER a écrit :
> Je dirais : "Un ASN qui annonce les routes d’un autre ASN" (modulo les 
> siblings, genre Free/Free Mobile et OVH/OVH Telecom)

Relativement d'accord, j'ajouterais "ou un ASN qui annonce les préfixes PI 
d'une autre org" (sous-entendu, avec son propre ASN), ce qui va demander plus 
qu'une expression régulière à compter.

Le comptage d'Alarig inclut ce que tu décris, mais pas le cas des clients qui 
ont leur préfixe et pas leur ASN, ou qui ne veulent pas se compliquer la vie 
avec un full-mesh pour annoncer un /24 quelque part ailleurs.

> Alarig Le Lay a écrit :
> bird> show route count where bgp_path ~ [= * 3215 * =]
> 85426 of 53672901 routes for 834229 networks
> bird> show route count where bgp_path ~ [= * 3215 * =] && bgp_path.last != 
> 3215
> 20317 of 53674371 routes for 834295 networks

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH AS3215

[Hugues VOITURIER]

Je dirais : "Un ASN qui annonce les routes d’un autre ASN" (modulo les 
siblings, genre Free/Free Mobile et OVH/OVH Telecom)

Hugues
> On 6 Mar 2018, at 17:12, Jugurta Yennek  wrote:
> 
> Je pense,, qu'il faudrait déjà définir le sens du terme " Opérateur de 
> transit "
> 
> ++
> Jugurta
> 
> On 06/03/2018 16:58, Hugues VOITURIER wrote:
>>> Merci pour ce billet, j'allais poser la question à la c.. : on est en 2018, 
>>> qui c'est qui ne vend pas du transit?
>>> 
>> Au pif, Free/Online (AS12322 et 12876), OVH (16276), Bouygues 
>> (5410,seulement 2 routes dont completel depuis mon ASN)
>> 
>> Bref, pas mal de gros ASN Français quand même :)
>> 
>> My 2 cents
>> Hugues
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH AS3215

[Jugurta Yennek]

Je pense,, qu'il faudrait déjà définir le sens du terme " Opérateur de 
transit "


++
Jugurta

On 06/03/2018 16:58, Hugues VOITURIER wrote:

Merci pour ce billet, j'allais poser la question à la c.. : on est en 2018, qui 
c'est qui ne vend pas du transit?


Au pif, Free/Online (AS12322 et 12876), OVH (16276), Bouygues (5410,seulement 2 
routes dont completel depuis mon ASN)

Bref, pas mal de gros ASN Français quand même :)

My 2 cents
Hugues


---
Liste de diffusion du FRnOG
http://www.frnog.org/





smime.p7s
Description: S/MIME Cryptographic Signature

Re: [FRnOG] [TECH] RTBH AS3215

[Hugues VOITURIER]

> Merci pour ce billet, j'allais poser la question à la c.. : on est en 2018, 
> qui c'est qui ne vend pas du transit? 
> 
Au pif, Free/Online (AS12322 et 12876), OVH (16276), Bouygues (5410,seulement 2 
routes dont completel depuis mon ASN)

Bref, pas mal de gros ASN Français quand même :)

My 2 cents
Hugues


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH AS3215

[Michel Py]

> Alarig Le Lay a écrit :
> Le 3215 est un transitaire.
> En regardant rapidos sur le lg du ring, un quart des routes apprises du 3215 
> sont du transit :

Merci pour ce billet, j'allais poser la question à la c.. : on est en 2018, qui 
c'est qui ne vend pas du transit? Bon je comprends que le réseau né de servir 
les eyeballs met du temps à s'adapter, mais moi je vends tout ce que les 
clients achètent. Si j'étais 3215 j'essaierais de vendre du transit, comme mes 
petits camarades qui lisent ceci.

En revenant au sujet, il y a 2 genres de RTBH BGP (je sais, je me répète) : 
blacklister la destination, ou blacklister la source.

Dans les deux cas tout le monde est gagnant; ce que beaucoup d'opérateurs ont 
tendance à penser : pourquoi se décarcasser, c'est le problème du client. En 
fait, avec la prochaine étape des DDOS, çà va devenir le problème du FAI aussi.

Michel.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH AS3215

[Alarig Le Lay]

On lun.  5 mars 23:43:10 2018, Youssef Bengelloun-Zahr wrote:
> Remarque stupide :
> 
> Il me semble que ce service de blackholing via communautés BGP est
> avant tout (MAIS PAS QUE) proposé par des transitaires.
> 
> Or, 3215 n’est pas un transitaire mais un AS type « end user » et pas
> provider IP transit.

Le 3215 est un transitaire.
En regardant rapidos sur le lg du ring, un quart des routes apprises
du 3215 sont du transit :

bird> show route count where bgp_path ~ [= * 3215 * =]
85426 of 53672901 routes for 834229 networks
bird> show route count where bgp_path ~ [= * 3215 * =] && bgp_path.last != 3215
20317 of 53674371 routes for 834295 networks

-- 
alarig


signature.asc
Description: PGP signature

Re: [FRnOG] [TECH] RTBH AS3215

[Youssef Bengelloun-Zahr]

Remarque stupide :

Il me semble que ce service de blackholing via communautés BGP est avant tout 
(MAIS PAS QUE) proposé par des transitaires.

Or, 3215 n’est pas un transitaire mais un AS type « end user » et pas provider 
IP transit.

Je ne sais pas si AS3215 propose ce type de communautés à ces peers, mais cela 
ne me choquerait pas que ce ne soit pas le cas.

My 2 cents.

Y.



Le 5 mars 2018 à 18:12, Michel Py  a écrit :

>> Clément CAUWEL a écrit :
>> En effet, mais il est également possible de "remonter" l'information auprès 
>> des opérateurs avec lesquels tu es peeré en "settant"
>> une communauté bgp ou en changeant le next hop pour le prefix à blackholer. 
>> C'est ce type d'information que je n'ai pas pour FT.
> 
> Faut aussi préciser si les préfixes que tu annonces "à blackholer" sont à 
> bloquer sur l'adresse source ou destination. Si tu annonces un préfixe (long) 
> qui t'appartient, çà améliore un DDOS qui n'arrive "que" sur une petite 
> partie de tes adresses (en la sacrifiant pour maintenir le trafic sur le 
> reste). C'est le cas le plus courant; il y a eu une tentative de 
> normalisation sur AS:666 récemment que je n'ai pas soutenue car le texte 
> était imprécis; problème aussi avec les AS 32 bits. Un "bon" FAI 
> n'accepterait pas plus long que /24 pour les préfixes qu'il redistribue mais 
> plus long (/28 ou pourquoi pas /32) pour les préfixes non-export qui ont la 
> bonne communauté.
> 
> Il y a aussi des opérateurs qui offrent des solutions plus sophistiqués qui 
> permettent de bloquer le trafic en provenance de certaines adresses (plus 
> rare et plus cher).
> 
> Et puis il y a aussi les opérateurs qui offrent ces services, le prix étant 
> le mètre étalon à géométrie variable en fonction de la tête du client ;-)
> Bon courage.
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH AS3215

[Michel Py]

> Clément CAUWEL a écrit :
> En effet, mais il est également possible de "remonter" l'information auprès 
> des opérateurs avec lesquels tu es peeré en "settant"
> une communauté bgp ou en changeant le next hop pour le prefix à blackholer. 
> C'est ce type d'information que je n'ai pas pour FT.

Faut aussi préciser si les préfixes que tu annonces "à blackholer" sont à 
bloquer sur l'adresse source ou destination. Si tu annonces un préfixe (long) 
qui t'appartient, çà améliore un DDOS qui n'arrive "que" sur une petite partie 
de tes adresses (en la sacrifiant pour maintenir le trafic sur le reste). C'est 
le cas le plus courant; il y a eu une tentative de normalisation sur AS:666 
récemment que je n'ai pas soutenue car le texte était imprécis; problème aussi 
avec les AS 32 bits. Un "bon" FAI n'accepterait pas plus long que /24 pour les 
préfixes qu'il redistribue mais plus long (/28 ou pourquoi pas /32) pour les 
préfixes non-export qui ont la bonne communauté.

Il y a aussi des opérateurs qui offrent des solutions plus sophistiqués qui 
permettent de bloquer le trafic en provenance de certaines adresses (plus rare 
et plus cher).

Et puis il y a aussi les opérateurs qui offrent ces services, le prix étant le 
mètre étalon à géométrie variable en fonction de la tête du client ;-)
Bon courage.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RTBH AS3215

[Clément CAUWEL]

En effet, mais il est également possible de "remonter" l'information auprès des 
opérateurs avec lesquels tu es peeré en "settant" une communauté bgp ou en 
changeant le next hop pour le prefix à blackholer. C'est ce type d'information 
que je n'ai pas pour FT.

Best Regards/Cordialement,

Clément CAUWEL
Consultant Infrastructures
www.groupeozitem.com


   ccau...@owentis.com
   + 33 (0)6 18 11 83 85
  Nextdoor – Groupe Ozitem
  15 rue des Cuirassiers
  CS.33821
  69487 LYON CEDEX 03





-Message d'origine-
De : Jugurta Yennek [mailto:jugu...@yennek.fr]
Envoyé : lundi 5 mars 2018 17:33
À : Clément CAUWEL <ccau...@owentis.com>; frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] RTBH AS3215

Bonjour,

Si je ne dis pas de bêtise, le RTBH fonctionne au sein du même AS et
généralement à l'aide d'un RR ( Route Reflector ) qui a une session iBGP
avec tous tes PE à travers laquelle il envoie un UPDATE pour "Null
Router" le trafic localement.

Cdlt,

Jugurta


On 05/03/2018 17:17, Clément CAUWEL wrote:
> Bonjour,
>
> Nous sommes peeré avec France Telecom (AS3215) et nous souhaitons mettre en 
> place une solution de Remote Trigger Blackholing. Je n'arrive pas à trouver 
> d'information sur le support de cette solution par France Telecom sur son 
> AS3215.
> Avez-vous des informations à ce sujet (support, tarif, configuration, etc) ?
>
> Merci d'avance pour votre aide.
>
> Best Regards/Cordialement,
>
> Clément CAUWEL
>
> <http://www.ozitem.com/divers-g0-societe_actu_evt_autre.html>
>
> <http://www.ozitem.com/news-groupe-g0-societe_actu_presse.html>
>
> <http://www.ozitem.com>
>
> <http://www.ozitem.com/>
>
> <http://cloud.owentis.com/>
>
> <http://cloud.owentis.com/index.php/livre-blanc-sauvegarde-en-ligne.html>
>
> <http://recrutement.ozitem.com/lecteur-dune-actualite/items/le-groupe-ozitem-participe-au-challenge-contre-la-faim.html>
>
> <http://cloud.owentis.com/index.php/catalogue.html>
>
> <http://cloud.owentis.com/index.php/evenements.html>
>
> <http://www.owentis.com/index.php/evenements.html>
>
> <http://www.owentis.com/index.php/evenements.html>
>
> [cid:signature-de-mail-535x165px_747a6496-76e3-42a5-a1d0-f77968a83461.jpg]<https://www.groupeozitem.com/nous-etoffons-notre-offre-au-niveau-national-et-nous-vous-accompagnons-a-linternational/>
>
> Les informations figurant sur cet e-mail ont un caractère strictement 
> confidentiel et sont exclusivement adressées au destinataire mentionné 
> ci-dessus. Tout usage, reproduction ou divulgation de cet e-mail est 
> strictement interdit si vous n'en êtes pas le destinataire. Dans ce cas, 
> veuillez nous en avertir immédiatement par la même voie et détruire 
> l'original.
>
> P Avant d'imprimer, pensez à l'environnement ü
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




Nous étoffons notre offre au niveau national et nous vous accompagnons à 
l’international !

https://www.groupeozitem.com/nous-etoffons-notre-offre-au-niveau-national-et-nous-vous-accompagnons-a-linternational/

Les informations figurant sur cet e-mail ont un caractère strictement 
confidentiel et sont exclusivement adressées au destinataire mentionné 
ci-dessus. Tout usage, reproduction ou divulgation de cet e-mail est 
strictement interdit si vous n'en êtes pas le destinataire. Dans ce cas, 
veuillez nous en avertir immédiatement par la même voie et détruire l'original.
Avant d'imprimer, pensez à l'environnement


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RTBH AS3215

[Jugurta Yennek]

Bonjour,

Si je ne dis pas de bêtise, le RTBH fonctionne au sein du même AS et 
généralement à l'aide d'un RR ( Route Reflector ) qui a une session iBGP 
avec tous tes PE à travers laquelle il envoie un UPDATE pour "Null 
Router" le trafic localement.


Cdlt,

Jugurta


On 05/03/2018 17:17, Clément CAUWEL wrote:

Bonjour,

Nous sommes peeré avec France Telecom (AS3215) et nous souhaitons mettre en 
place une solution de Remote Trigger Blackholing. Je n'arrive pas à trouver 
d'information sur le support de cette solution par France Telecom sur son 
AS3215.
Avez-vous des informations à ce sujet (support, tarif, configuration, etc) ?

Merci d'avance pour votre aide.

Best Regards/Cordialement,

Clément CAUWEL























[cid:signature-de-mail-535x165px_747a6496-76e3-42a5-a1d0-f77968a83461.jpg]

Les informations figurant sur cet e-mail ont un caractère strictement 
confidentiel et sont exclusivement adressées au destinataire mentionné 
ci-dessus. Tout usage, reproduction ou divulgation de cet e-mail est 
strictement interdit si vous n'en êtes pas le destinataire. Dans ce cas, 
veuillez nous en avertir immédiatement par la même voie et détruire l'original.

P Avant d'imprimer, pensez à l'environnement ü



---
Liste de diffusion du FRnOG
http://www.frnog.org/






smime.p7s
Description: S/MIME Cryptographic Signature