Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

2020-12-15 Par sujet Vincent Bernat 
 ❦ 15 décembre 2020 23:07 GMT, Michel Py:

>>>  Ceci est la partie la plus difficile, AMHA. Il faut que le VLAN en 
>>> question ait une IP publique, et pas une "empruntée" à DoD ou autres, 
>>> soit annoncé vers l'extérieur (il y a plein de VLANs de peering / 
>
>> Radu-Adrian Feurdean a écrit :
>> Dans son cas, c'est plus simple: a l'interieur il y a des eyeballs (dont 
>> probablement
>> Jean-Kevin Michu, le rennome script-kiddie), a l'exterieur l'internet. 
>> L'interieur
>> peut joindre les IP d'interco en question sans autre mecanisme de protection.
>
> Et je suis le seul à penser que le propriétaire de l'interco en
> question il pourrait mettre une protection ant-spoofing sur son VLAN
> d'interco au lieu de se pignoler avec des protections partielles
> basées sur le TTL ? Au lieu de protéger les sessions BGP contre le
> spoofing, on protège le VLAN entier contre le spoofing. C'est quand
> même pas compliqué : sur tous les autres VLANs, mettre une ACL en
> entrée qui dénie le trafic en provenance d'adresses (spoofées) qui
> appartiennent au VLAN de l'interco ? C'est exactement pour ce genre de
> chose que uRPF a été inventé.

La protection via TTL permet de protéger le control plane sans se
soucier des mesures anti-spoofing mises en place par le peer en face.
-- 
The Public is merely a multiplied "me."
-- Mark Twain


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

2020-12-15 Par sujet Michel Py 
>> Michel Py a écrit :
>>  Ceci est la partie la plus difficile, AMHA. Il faut que le VLAN en 
>> question ait une IP publique, et pas une "empruntée" à DoD ou autres, 
>> soit annoncé vers l'extérieur (il y a plein de VLANs de peering / 

> Radu-Adrian Feurdean a écrit :
> Dans son cas, c'est plus simple: a l'interieur il y a des eyeballs (dont 
> probablement
> Jean-Kevin Michu, le rennome script-kiddie), a l'exterieur l'internet. 
> L'interieur
> peut joindre les IP d'interco en question sans autre mecanisme de protection.

Et je suis le seul à penser que le propriétaire de l'interco en question il 
pourrait mettre une protection ant-spoofing sur son VLAN d'interco au lieu de 
se pignoler avec des protections partielles basées sur le TTL ? Au lieu de 
protéger les sessions BGP contre le spoofing, on protège le VLAN entier contre 
le spoofing. C'est quand même pas compliqué : sur tous les autres VLANs, mettre 
une ACL en entrée qui dénie le trafic en provenance d'adresses (spoofées) qui 
appartiennent au VLAN de l'interco ? C'est exactement pour ce genre de chose 
que uRPF a été inventé.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

2020-12-15 Par sujet Radu-Adrian Feurdean 
On Mon, Dec 14, 2020, at 22:26, Michel Py wrote:

> Ceci est la partie la plus difficile, AMHA. Il faut que le VLAN en 
> question ait une IP publique, et pas une "empruntée" à DoD ou autres, 
> soit annoncé vers l'extérieur (il y a plein de VLANs de peering / 

Dans son cas, c'est plus simple: a l'interieur il y a des eyeballs (dont 
probablement Jean-Kevin Michu, le rennome script-kiddie), a l'exterieur 
l'internet. L'interieur peut joindre les IP d'interco en question sans autre 
mecanisme de protection.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

2020-12-14 Par sujet Michel Py 
>> Michel Py a écrit :
>> Question bête : est-ce que quelqu'un connait un seul exemple ou TTL-security
>> aurait résolu un problème ? Cà ressemble à une solution qui cherche un 
>> problème.

> Radu-Adrian Feurdean a écrit :
> Le cas improbable mais tout a fait possible (techniquement au moins) ou 
> quelqu'un essaye
> a distance, en utilisant des paquets forges, de faire un reset de la session 
> BGP.

Pour ça, il faut au minimum :
- Avoir le mot de passe md5 de la session (ça peut fuiter par d'autres sources)
- Deviner la séquence TCP (pas facile, mais faisable)
- Pouvoir joindre de l'extérieur le VLAN ou est la session BGP avec le paquet 
spoofé.
Ceci est la partie la plus difficile, AMHA. Il faut que le VLAN en question ait 
une IP publique, et pas une "empruntée" à DoD ou autres, soit annoncé vers 
l'extérieur (il y a plein de VLANs de peering / interco / IX qui ne le sont 
pas), pas de filtrage anti-spoof, pas de filtrage des sessions BGP en 
provenance de l'extérieur inconnu...

Je suis sur que c'est techniquement faisable, mais ça demande quand même pas 
mal de conditions nécessaires en même temps. Est-ce que quelqu'un a déjà vu un 
cas concret ?
Bon c'est vrai que eBGP monohop qui consiste à envoyer le trafic avec un TTL de 
1 ça ne vaut pas un caramel mou en matière de sécurité, mais j'avais pas 
l'impression que c'était une porte ouverte que quelqu'un essayait d'enfoncer.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

2020-12-14 Par sujet Radu-Adrian Feurdean 
On Sun, Dec 13, 2020, at 20:24, Michel Py wrote:
> 
> Question bête : est-ce que quelqu'un connait un seul exemple ou 
> TTL-security aurait résolu un problème ? Cà ressemble à une solution 
> qui cherche un problème.

Le cas improbable mais tout a fait possible (techniquement au moins) ou 
quelqu'un essaye a distance, en utilisant des paquets forges, de faire un reset 
de la session BGP.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

2020-12-13 Par sujet Vincent Bernat 
 ❦ 13 décembre 2020 19:24 GMT, Michel Py:

> Question bête : est-ce que quelqu'un connait un seul exemple ou
> TTL-security aurait résolu un problème ? Cà ressemble à une solution
> qui cherche un problème.

C'est une méthode pour se protéger d'un DOS sans coopération
particulière du peer en face (notamment, pas besoin qu'il filtre les
paquets spoofés). Sa simplicité permet que le filtrage soit effectué
directement au niveau de la linecard.
-- 
Terminate input by end-of-file or marker, not by count.
- The Elements of Programming Style (Kernighan & Plauger)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

2020-12-13 Par sujet David Ponzone 
> Le 13 déc. 2020 à 20:24, Michel Py  a 
> écrit :
> 
>>> David Ponzone a écrit :
>>> Tu peux leur demander de virer ça déjà, juste pour voir si ça monte ?
> 
>> Raphaël Jacquot a écrit :
>> Deja fait.
>> "C’est dans les STAS alors je change rien"
> 
> Temps de changer de crémerie peut-être ? Le fournisseur qui ne veut pas 
> t'aider à troubleshooter initialement, il ne sera pas là le jour ou il y aura 
> un vrai problème non plus.


:)
Une DSP c’est un monopole.
Oui oui ça existe encore en France.
On pensait avoir éteint celui de France Telecom mais pour le FTTH, on en a créé 
plein d’autres parce que dans les zones moins peuplées, les opérateurs privés 
en ont rien à foutre de déployer du FTTH à court-terme (la rentabilité doit 
être sur 10 ? 15 ? 20 ans ?).
Mais c’est un monopole régulé, pas comme celui de France Telecom à l’époque.
Mais incontournable si tu veux du FTTH Grand Public.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

2020-12-13 Par sujet Michel Py 
>> David Ponzone a écrit :
>> Tu peux leur demander de virer ça déjà, juste pour voir si ça monte ?

> Raphaël Jacquot a écrit :
> Deja fait.
> "C’est dans les STAS alors je change rien"

Temps de changer de crémerie peut-être ? Le fournisseur qui ne veut pas t'aider 
à troubleshooter initialement, il ne sera pas là le jour ou il y aura un vrai 
problème non plus.

> Radu-Adrian Feurdean a écrit :
> Sinon, est-ce que tu est sur que de ton cote la semantique de ttl-security 
> n'est pas inversee (mettre 1 a la place de 255) ?

La même chose chez Cisco, d'ailleurs; la valeur à configurer est 1, c'est le 
nombre de hops, donc en théorie 256 - TTL.


> Tu as essaye ebgp-multihop 255, combine eventuellement de ton cote avec la 
> deactivation de check TTL ?
> C'etait l'astuce pour les routeurs qui ne supportent pas ttl-security.

Il y a 2 autres choses que tu peux essayer (en désactivant ebpg-multihop)

1. set protocols bgp [AS] neighbor [ip peer] ttl-security hops 3
(un peu la même idée que Radu, au cas ou c'est ton coté qui a un problème avec 
le nombre de hops)

2. Essayer de controler la valeur du TTL que ton routeur envoies (pas évident 
qu'il y ait une option).
(au cas ou c'est l'autre coté qui a un problème avec ton TTL).

Question bête : est-ce que quelqu'un connait un seul exemple ou TTL-security 
aurait résolu un problème ? Cà ressemble à une solution qui cherche un problème.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

2020-12-13 Par sujet Alarig Le Lay 
On Sun 13 Dec 2020 10:18:27 GMT, Raphaël Jacquot wrote:
> TTL-security 255
> 
> dans la conf de leur nokia 7750...
> […]
> la session monte environ 90s, puis s'arrete...

Si c’était lié au TTL la session ne monterait pas du tout pour moi (ça
resterai en OpenSent).

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

2020-12-13 Par sujet David Ponzone 
En relisant la doc de Vyatta et des discussions sur le forum Cisco.com, je 
pense que RA a raison, essaie ttl-security hops 1

D’ailleurs VyOS semble avoir abandonné ce paramètre….

> Le 13 déc. 2020 à 11:52, Radu-Adrian Feurdean 
>  a écrit :
> 
> 
> On Sun, Dec 13, 2020, at 10:18, Raphaël Jacquot wrote:
>> 
>> TTL-security 255
> 
> Tu as essaye ebgp-multihop 255, combine eventuellement de ton cote avec la 
> deactivation de check TTL ?
> C'etait l'astuce pour les routeurs qui ne supportent pas ttl-security.
> 
> Sinon, est-ce que tu est sur que de ton cote la semantique de ttl-security 
> n'est pas inversee (mettre 1 a la place de 255) ?
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

2020-12-13 Par sujet Radu-Adrian Feurdean 


On Sun, Dec 13, 2020, at 10:18, Raphaël Jacquot wrote:
> 
> TTL-security 255

Tu as essaye ebgp-multihop 255, combine eventuellement de ton cote avec la 
deactivation de check TTL ?
C'etait l'astuce pour les routeurs qui ne supportent pas ttl-security.

Sinon, est-ce que tu est sur que de ton cote la semantique de ttl-security 
n'est pas inversee (mettre 1 a la place de 255) ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

2020-12-13 Par sujet David Ponzone 
Hmm ça sent bon la DSP-tête-de-con ça.

Après, ton problème est peut-être pas lié au TTL-Security…
T’as pas des logs ?

> Le 13 déc. 2020 à 10:43, Raphaël Jacquot  a écrit :
> 
> Deja fait.
> “C’est dans les STAS alors je change rien”
> 
> Raphaël 
> 
> 
>> On 13 Dec 2020, at 10:35, David Ponzone  wrote:
>> 
>> Tu peux leur demander de virer ça déjà, juste pour voir si ça monte ?
>> 
>>> Le 13 déc. 2020 à 10:18, Raphaël Jacquot  a écrit :
>>> 
>>> Bonjour à tous
>>> 
>>> Nous sommes actuellement en train de configurer une session BGP avec un
>>> délégataire de DSP bien connu, et dans leur spec il nous disent qu'ils
>>> ont positionné l'option
>>> 
>>> TTL-security 255
>>> 
>>> dans la conf de leur nokia 7750...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

2020-12-13 Par sujet Guillaume LUCAS 



Bonjour,

Le 13/12/2020 à 10:18, Raphaël Jacquot a écrit :

quelqu'un aurait une idée ?


Je n'ai pas d'idée sur la session qui ne monte pas. En revanche, voici 
ce que j'ai écrit, en 2014, sur ttl-security :


« Le TTL est décrémenté uniquement en cas de forward. Un routeur reçoit 
un paquet, se rend compte qu'il ne lui est pas destiné, cherche une 
entrée dans sa FIB, décrémente le TTL. Si TTL = 0, il détruit le paquet 
et envoie un message ICMP « Time to Live exceeded in Transit » (type 11, 
code 0 😉 ) à celui qui prétend en être l'expéditeur. Si TTL > 0, le 
routeur forward le paquet.


Le RFC 5082 - The Generalized TTL Security Mechanism (GTSM) 
[https://tools.ietf.org/rfc/rfc5082.txt] explique clairement que le 
paquet doit avoir un TTL fixé à 255 à l'émission et qu'il doit être 
inchangé à la réception. On lit souvent, y compris dans la CLI Cisco[1], 
que l'on doit avoir un TTL supérieur ou égal 254 à la réception : c'est 
une erreur ou plutôt, d'après mes recherches, un sacrifice de la 
sécurité sur l'autel de la compatibilité avec de vieilles architectures 
qui ne devaient pas gérer correctement la décrémentation du TTL (source 
: le plus loin que j'ai pu remonter, la présentation de cette 
proposition de TTL à 255 lors de la 27e rencontre NANOG : The BGP TTL 
Security Hack (BTSH) 
[http://www.nanog.org/meetings/nanog27/presentations/meyer.pdf]). »


Source : 



Bonne journée.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

2020-12-13 Par sujet Raphaël Jacquot 
Deja fait.
“C’est dans les STAS alors je change rien”

Raphaël 


> On 13 Dec 2020, at 10:35, David Ponzone  wrote:
> 
> Tu peux leur demander de virer ça déjà, juste pour voir si ça monte ?
> 
>> Le 13 déc. 2020 à 10:18, Raphaël Jacquot  a écrit :
>> 
>> Bonjour à tous
>> 
>> Nous sommes actuellement en train de configurer une session BGP avec un
>> délégataire de DSP bien connu, et dans leur spec il nous disent qu'ils
>> ont positionné l'option
>> 
>> TTL-security 255
>> 
>> dans la conf de leur nokia 7750...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] probleme de TTL-security sur une session BGP

2020-12-13 Par sujet David Ponzone 
Tu peux leur demander de virer ça déjà, juste pour voir si ça monte ?

> Le 13 déc. 2020 à 10:18, Raphaël Jacquot  a écrit :
> 
> Bonjour à tous
> 
> Nous sommes actuellement en train de configurer une session BGP avec un
> délégataire de DSP bien connu, et dans leur spec il nous disent qu'ils
> ont positionné l'option
> 
> TTL-security 255
> 
> dans la conf de leur nokia 7750...
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] probleme de TTL-security sur une session BGP

2020-12-13 Par sujet Raphaël Jacquot 
Bonjour à tous

Nous sommes actuellement en train de configurer une session BGP avec un
délégataire de DSP bien connu, et dans leur spec il nous disent qu'ils
ont positionné l'option

TTL-security 255

dans la conf de leur nokia 7750...

ce qui d'apres la doc ici
https://documentation.nokia.com/html/0_add-h-f/93-0074-HTML/7750_SR_OS_Routing_Protols_Guide/bgp.html#1234866

(...)
When TTL security is enabled on a BGP session the IP TTL values in
packets that are supposedly coming from the peer are compared (in
hardware) to the configured minimum value and if there is a discrepancy
the packet is discarded and a log is generated.
(...)

que je comprend comme "la valeur minimale attendue pour le ttl du paquet
est de 255"

d'apres wikipedia

"La valeur initiale de 255 est utilisée par des protocoles pour
s'assurer que le paquet reçu émane bien du même segment, il doit valoir
donc impérativement avoir 254 à la réception."

que je comprend comme "si tu attend 255, tu attendra fort longtemps"

notre routeur (viatta based) nous propose ceci :

set protocols bgp [AS] neighbor [ip peer] ttl-security hops
Possible completions:
  <1-254>   Number of hops

la session monte environ 90s, puis s'arrete...

quelqu'un aurait une idée ?

Raphaël


---
Liste de diffusion du FRnOG
http://www.frnog.org/