[FRnOG] Re: [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

[Bruno Pagani]

Le 09/11/2018 à 15:17, Jonas Termeau a écrit :

>> T'façon OSEF, avec EverythingOverHTTPS, le MitM ça sert plus à rien.
> Alors soit ça sonne peut-être aujourd'hui comme de la science fiction, mais 
> collecter de larges quantités de traffic chiffré pour donner à manger à des 
> prototypes d'ordis quantiques qui bossent sur des attaques de déchiffremlent 
> c'est pas impossible non plus. Auquel cas le MiTM aurait encore du sens
>
> (il se peut aussi que je sois passé à côté du sarcasme sans le voir)

Sans aller jusque là, avec le système de CA, si tu fais pas du DANE ou
du key-pinning, tant que tu gardes des CAs « louches » dans ton store,
les gros ont aucun problème à faire du MITM.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

[Alarig Le Lay]

On mar. 13 nov. 17:31:39 2018, Michel Py wrote:
> Localpref c'est pas si pire comparé aux usines à gaz d'optimisation de
> BGP qui tournent chez certains.

Je ne vois pas vraiment où est le problème avec la locale pref, tant que
c’est utilisé de manière consistance sur tout l’AS.

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Re: [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

[Michel Py]

https://blog.thousandeyes.com/internet-vulnerability-takes-down-google/

> David Ponzone a écrit :
> Ah moi des routes statiques, importées par pexpect. Ok je sors :)

Sarcasme mis à part, c'est précisément ce qui arrive de plus en plus souvent : 
il y a tellement de bidouilles crades pour faire du TE et la DFZ est devenue 
tellement fragmentée que ce genre de chose devient impossible à éviter.

Localpref c'est pas si pire comparé aux usines à gaz d'optimisation de BGP qui 
tournent chez certains.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

[Pierre Emeriaud]

Le mar. 13 nov. 2018 à 11:11, Jérôme Nicolle  a écrit :
>
> Plop,
>
> Le 13/11/2018 à 10:19, Pierre Emeriaud a écrit :
> > Pour ma culture, si on n'utilise pas la LP (et si Gert dit que c'est
> > pas bien, il doit avoir ses raisons), vous faites comment pour diriger
> > un poil le traffic ? best path naturel en fonction de l'as-path (le
> > traffic engineering du fainéant ;) )? autre chose ?
>
> Pfiou, bonne question.
>
> Quand j'étais bébé netop, on m'a dit de mettre 100 pour les transits,
> 200 pour les peers et 300 pour les clients, et de jouer à +/-10 quand il
> faut faire des trucs bizarres. J'ai jamais trouvé de bonne raison de
> faire autrement.

Tu me rassures dans un sens, c'est ce que je fait, et c'était pour moi
"la bonne façon(tm)" de faire. Et oui, en filtrant, c'est évident, on
est en 2018...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

[Jérôme Nicolle]

Stéphane,

Le 13/11/2018 à 11:22, Stephane Bortzmeyer a écrit :
> À condition de filtrer les préfixes des clients.

Naturellement. Qui ne le fait pas ? ;-)

@+

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

[Stephane Bortzmeyer]

On Tue, Nov 13, 2018 at 11:11:34AM +0100,
 Jérôme Nicolle  wrote 
 a message of 27 lines which said:

> 100 pour les transits, 200 pour les peers et 300 pour les clients,

À condition de filtrer les préfixes des clients. Autrement, cela veut
dire qu'on préfère la fuite faite par un client aux vraies annonces
reçues par l'appairage ou le transit. Il se pourrait que cela soit la
raison pour laquelle China Telecom a préféré l'annonce mensongère de
MainOne.

PS : https://twitter.com/Mainoneservice/status/1062267264379039744


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

[David Ponzone]

Ah moi des routes statiques, importées par pexpect.
Ok je sors :)



> Le 13 nov. 2018 à 11:11, Jérôme Nicolle  a écrit :
> 
> Plop,
> 
> Le 13/11/2018 à 10:19, Pierre Emeriaud a écrit :
>> Pour ma culture, si on n'utilise pas la LP (et si Gert dit que c'est
>> pas bien, il doit avoir ses raisons), vous faites comment pour diriger
>> un poil le traffic ? best path naturel en fonction de l'as-path (le
>> traffic engineering du fainéant ;) )? autre chose ?
> 
> Pfiou, bonne question.
> 
> Quand j'étais bébé netop, on m'a dit de mettre 100 pour les transits,
> 200 pour les peers et 300 pour les clients, et de jouer à +/-10 quand il
> faut faire des trucs bizarres. J'ai jamais trouvé de bonne raison de
> faire autrement.
> 
> Des suggestions ?
> 
> -- 
> Jérôme Nicolle
> +33 6 19 31 27 14
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

[Jérôme Nicolle]

Plop,

Le 13/11/2018 à 10:19, Pierre Emeriaud a écrit :
> Pour ma culture, si on n'utilise pas la LP (et si Gert dit que c'est
> pas bien, il doit avoir ses raisons), vous faites comment pour diriger
> un poil le traffic ? best path naturel en fonction de l'as-path (le
> traffic engineering du fainéant ;) )? autre chose ?

Pfiou, bonne question.

Quand j'étais bébé netop, on m'a dit de mettre 100 pour les transits,
200 pour les peers et 300 pour les clients, et de jouer à +/-10 quand il
faut faire des trucs bizarres. J'ai jamais trouvé de bonne raison de
faire autrement.

Des suggestions ?

-- 
Jérôme Nicolle
+33 6 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

[Pierre Emeriaud]

> -- Forwarded message --
> From: Gert Doering 
>
> Did I mention that changing local-preference on peerings and uplinks
> usually is a bad idea?  "This is a good example why"...


Le mar. 13 nov. 2018 à 09:29, Stephane Bortzmeyer  a écrit :
>> Votre avis sur local preference ?

Oui en effet, c'est un soucis dans un cas comme ça. LP ici, preference
du protocole sous bird dans d'autres cas, etc. Mais LP ou pas, le fait
de ne pas avoir filtré, il est surtout là le soucis de conf. Oui ok,
avec google c'est un peu difficile. Mais c'est pas un transitaire,
c'est faisable.

Pour ma culture, si on n'utilise pas la LP (et si Gert dit que c'est
pas bien, il doit avoir ses raisons), vous faites comment pour diriger
un poil le traffic ? best path naturel en fonction de l'as-path (le
traffic engineering du fainéant ;) )? autre chose ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

[Stephane Bortzmeyer]

On Sat, Nov 10, 2018 at 09:49:39AM +0100,
 Richard Klein  wrote 
 a message of 94 lines which said:

> Pourquoi l anssi ne collecterait ce type de déviance / alerte

Mais elle le fait, et publiquement encore, et elle en a parlé au FRnog
.

> et aurait en
> charge la notification de nos operateurs nationaux pour faire corriger
> imposer à leurs partenaires de faire corriger ou dévier le trafic vers une
> destination dite safe?

Je suppose qu'elle le fait (« Cher Dave Null, nous constatons des
annonces BGP bizarres concernant le préfixe que vous n'avez toujours
pas mis dans les IRR ») Et elle essaie de les éduquer, en plus




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

[Jonas Termeau]

> T'façon OSEF, avec EverythingOverHTTPS, le MitM ça sert plus à rien.

Alors soit ça sonne peut-être aujourd'hui comme de la science fiction, mais 
collecter de larges quantités de traffic chiffré pour donner à manger à des 
prototypes d'ordis quantiques qui bossent sur des attaques de déchiffremlent 
c'est pas impossible non plus. Auquel cas le MiTM aurait encore du sens

(il se peut aussi que je sois passé à côté du sarcasme sans le voir)

Jonas Termeau 
Sysop / Sysadmin 




- Mail original -
De: "Jérôme Nicolle" 
Cc: frnog@frnog.org
Envoyé: Vendredi 9 Novembre 2018 15:02:17
Objet: [FRnOG] Re: [TECH] Strange snafu misroutes domestic US Internet traffic 
through China Telecom



Le 09/11/2018 à 15:00, Stephane Bortzmeyer a écrit :
> Les Experts Internationaux qui commentent les articles d'Ars
> Technica, ou qui écrivent sur Twitter, se soucient, eux, des enjeux
> politiques, et pensent que le Monde Libre est menacé.

Ah, Oui, Bon, OK Alors.

T'façon OSEF, avec EverythingOverHTTPS, le MitM ça sert plus à rien.

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

[Jérôme Nicolle]

Le 09/11/2018 à 15:00, Stephane Bortzmeyer a écrit :
> Les Experts Internationaux qui commentent les articles d'Ars
> Technica, ou qui écrivent sur Twitter, se soucient, eux, des enjeux
> politiques, et pensent que le Monde Libre est menacé.

Ah, Oui, Bon, OK Alors.

T'façon OSEF, avec EverythingOverHTTPS, le MitM ça sert plus à rien.

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

[Stephane Bortzmeyer]

On Fri, Nov 09, 2018 at 01:44:49PM +0100,
 Jérôme Nicolle  wrote 
 a message of 33 lines which said:

> C'est techniquement, économiquement et stratégiquement débile de
> faire un tel détour, mais c'est aussi totalement normal que BGP s'en
> foute !  Après tout, tu connais beaucoup d'admin réseau de gros
> opérateurs qui se soucient de quelque manière que ce soit de
> l'optimalité du routage ou d'enjeux politiques ?

Les Experts Internationaux qui commentent les articles d'Ars
Technica, ou qui écrivent sur Twitter, se soucient, eux, des enjeux
politiques, et pensent que le Monde Libre est menacé.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

[Jérôme Nicolle]

Stéphane,

Le 09/11/2018 à 13:34, Stephane Bortzmeyer a écrit :
> Cela explique le détournement BGP (un problème pas si rare que ça)
> mais pas sa non-détection pendant deux ans.

En fait, je ne vois toujours pas de problème : ça a bien fonctionné
comme ça le devait, je ne vois pas en quoi ce serait un détournement
offensif !

Il se pourrait que la relation entre china telecom et verizon n'était
pas un peering classique et qu'il soit finalement normal que 703
apparaisse dans le cône client de China Telecom…

C'est techniquement, économiquement et stratégiquement débile de faire
un tel détour, mais c'est aussi totalement normal que BGP s'en foute !
Après tout, tu connais beaucoup d'admin réseau de gros opérateurs qui se
soucient de quelque manière que ce soit de l'optimalité du routage ou
d'enjeux politiques ?

@+

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

[Stephane Bortzmeyer]

On Fri, Nov 09, 2018 at 11:08:12AM +0100,
 Jérôme Nicolle  wrote 
 a message of 23 lines which said:

> L'explication la plus simple que j'y vois c'est que Chinanet aurait
> ré-annoncé (très probablement par erreur de tagging et en violation
> du peering agreement avec vrz) des routes de 703 à ses pairs et que
> ces annonces soient préférées parce que verizon a une politique de
> peering de merde.
> 
> C'est le comportement normal et attendu entre un (trop) gros réseau
> pas forcément rigoureux et un réseau mal connecté, non ?

Cela explique le détournement BGP (un problème pas si rare que ça)
mais pas sa non-détection pendant deux ans.


---
Liste de diffusion du FRnOG
http://www.frnog.org/