Re: [FRnOG] [TECH] BGP Hijacking
Hello, Le 25 nov. 2014 à 20:20, Pierre Emeriaud petrus...@gmail.com a écrit : Si le ce genre d'attaque est si simple, pourquoi les grands acteurs ne semblent pas régulièrement impactés ? Si si malheureusement, c'est le lot de tous : http://www.gossamer-threads.com/lists/nanog/users/157616 http://www.gossamer-threads.com/lists/nanog/users/144236 (bon après les deux /24 en question sont pas super représentatifs des autres netblocks) Le pire dans ce cas c'est que j'ai eu moi aussi un hijacking de prefix bgp car il étais collé a un AS qui n'était pas annoncé pour un client. Evidement l'AS + le /24 étais annoncé en russie, pour envoyer des doses massives de spam. Le fait d'en avoir parlé sur nanog, m'as vu arriver un DDoS assez massif sur mon infra. J'ai réussit a reprendre le contrôle de cet AS +/24 en l'annonçant sur ma structure et demandant de null router ce /24 chez tout mes upstream (qui en ont fait de même avec leur tier-1...etc...). Ca a permit de rendre ce /24 donc inutilisable pour le spammeur en question. La problématique n'est pas le hijack, mais le fait qu'on (mais pas tous) ne filtre pas les routes / aspath qu'on a dans la base whois par manque de temps, de maitrise, ou simplement de routeur qui peux encaisser des ACL partout. Là dessus, si tout le monde, le faisais on aurais (un peu) moins de hijack. Et c'est déjà plus simple a faire que la RPKI... Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [TECH] BGP Hijacking
On Wed, 2014-11-26 at 09:06 +0100, Xavier Beaudouin wrote: Le pire dans ce cas c'est que j'ai eu moi aussi un hijacking de prefix bgp car il étais collé a un AS qui n'était pas annoncé pour un client. (...) C'est une des raisons qui me pousse à systématiquement annoncer les inetnum sur lesquels j'ai la main de facon directe ou indirecte, quitte à ce que cela ne serve effectivement à rien derrière. C'est moche de devoir en arriver là, car ça fait une route (inutile) de plus dans la DFZ, mais au moins, l'inetnum passe inapercu chez les spammeurs/rapaces du rachat d'IP/etc... -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] BGP Hijacking
Clément Cavadore a écrit : C'est une des raisons qui me pousse à systématiquement annoncer les inetnum sur lesquels j'ai la main de facon directe ou indirecte, quitte à ce que cela ne serve effectivement à rien derrière. C'est moche de devoir en arriver là, car ça fait une route (inutile) de plus dans la DFZ, mais au moins, l'inetnum passe inapercu chez les spammeurs/rapaces du rachat d'IP/etc... Rends le gaspillage de TCAM utile : mets un darknet / honeypot dessus. C'est moche, mais c'est nécessaire. Sers-toi en pour une bonne cause. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] BGP Hijacking
On Wed, 2014-11-26 at 08:40 +, Michel Py wrote: Rends le gaspillage de TCAM utile : mets un darknet / honeypot dessus. C'est moche, mais c'est nécessaire. Sers-toi en pour une bonne cause. Encore faut-il avoir le temps de s'en occuper... Le mettre en place, c'est une chose, mais le gérer (et faire quelque chose de ses résultats), c'en est une autre. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] BGP Hijacking
Michel Py a écrit : Rends le gaspillage de TCAM utile : mets un darknet / honeypot dessus. C'est moche, mais c'est nécessaire. Sers-toi en pour une bonne cause. Clément Cavadore a écrit : Encore faut-il avoir le temps de s'en occuper... Le mettre en place, c'est une chose, mais le gérer (et faire quelque chose de ses résultats), c'en est une autre. ..soupir.. le temps le temps le p.. de temps.. à 4 heures du mat.. Eh bien prête le préfixe à quelqu'un compatible avec tes intérêts intellectuels. Michel. PS: non, pas à moi :P --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] BGP Hijacking
Si le ce genre d'attaque est si simple, pourquoi les grands acteurs ne semblent pas régulièrement impactés ? Si si malheureusement, c'est le lot de tous : http://www.gossamer-threads.com/lists/nanog/users/157616 http://www.gossamer-threads.com/lists/nanog/users/144236 (bon après les deux /24 en question sont pas super représentatifs des autres netblocks) -- petrus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] BGP Hijacking
Le 21/11/2014 15:35, Hugo Deprez a écrit : je voulais aborder un sujet que je n'ai pas vu passer sur la mailing-list (j'espère ne pas me tromper !) : le BGP Hijacking. C'est pas secret, c'est discret. Parce que c'est un vrai problème. Existe-t-il des parades contre ce genre d'attaque ? Es-ce que le fait de faire tomber/remonter le peering avec son opérateur est suffisant pour reprendre la main ? Clearer une session permet de rendre la route plus récente chez ton peer, donc potentiellement de redéclencher un best-path-selection, ce qui peut suffire si les autres critères de sélection sont équivalents. Mais c'est rarement le cas. Existe-t-il des bonnes pratiques afin de réduire les risques ? Oui : gagner la visibilité par la conception de ton réseau. Il va s'agir, en version simplifiée, de mettre en place les décisions suivantes : - Regrouper tes services critiques (DNS, mail, frontaux web) sur un /24 (en fait un ou deux /25) de ton réseau et désagréger cette annonce (et uniquement celle ci). Tu peux proposer à tes peers directs de désagréger le /25 afin de garantir qu'il sera préféré et jamais hijacké, mais tu ne peux pas balancer le /25 sur des route-server ou des transits qui sont censés le filtrer. - Être le plus interconnecté possible avec le plus grand nombre d'AS possible pour s'assurer d'avoir les paths les plus courts dans la plupart des cas de figure. Donc présence sur tous les IX possibles. - Avoir le maximum de contacts avec le maximum d'opérateurs possibles afin de pouvoir leur demander de shooter une annonce illégitime. En clair : un mec qui fait tous les *nog, *ix et *RIR meetings pour serrer les bonnes paluches. - Surveiller les annonces concernant tes prefixes, avec les différents projets de monitoring existants : le RIS, NLNog-Ring, Cymru et j'en passe. - Bien entendu, signer tes routes (RPKI+ROA) et tenir tes enregistrement (IRR) de façon très strictes. Ca vaut pas grand chose comme contre-mesure, mais ça facilite la détection. Attention toutefois : plus d'interconnexions, c'est plus de boulot à maintenir, plus de boulot pour les routeurs, et plus de points d'entrée dans ton réseau, qu'il faudra sécuriser si tu veux aussi te prémunir de DDoS. La facture peut monter très haut, très rapidement. Si le ce genre d'attaque est si simple, pourquoi les grands acteurs ne semblent pas régulièrement impactés ? Parce que c'est difficile à détecter, surtout pour une grosse structure inertielle dont les décideurs ne comprennent rien à la technique. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] BGP Hijacking
Merci pour ces explications ! Et dans le cas d'une infrastructure plus petite : AS avec un simple /24 et multi-homing via deux operateurs X et Y, Dans ce cas de figure on délègue notre visibilité à nos opérateurs. Es-ce que ces opérateurs ont un rôle à jouer dans ce cas de figure ? Hugo 2014-11-21 15:46 GMT+01:00 Jérôme Nicolle jer...@ceriz.fr: Le 21/11/2014 15:35, Hugo Deprez a écrit : je voulais aborder un sujet que je n'ai pas vu passer sur la mailing-list (j'espère ne pas me tromper !) : le BGP Hijacking. C'est pas secret, c'est discret. Parce que c'est un vrai problème. Existe-t-il des parades contre ce genre d'attaque ? Es-ce que le fait de faire tomber/remonter le peering avec son opérateur est suffisant pour reprendre la main ? Clearer une session permet de rendre la route plus récente chez ton peer, donc potentiellement de redéclencher un best-path-selection, ce qui peut suffire si les autres critères de sélection sont équivalents. Mais c'est rarement le cas. Existe-t-il des bonnes pratiques afin de réduire les risques ? Oui : gagner la visibilité par la conception de ton réseau. Il va s'agir, en version simplifiée, de mettre en place les décisions suivantes : - Regrouper tes services critiques (DNS, mail, frontaux web) sur un /24 (en fait un ou deux /25) de ton réseau et désagréger cette annonce (et uniquement celle ci). Tu peux proposer à tes peers directs de désagréger le /25 afin de garantir qu'il sera préféré et jamais hijacké, mais tu ne peux pas balancer le /25 sur des route-server ou des transits qui sont censés le filtrer. - Être le plus interconnecté possible avec le plus grand nombre d'AS possible pour s'assurer d'avoir les paths les plus courts dans la plupart des cas de figure. Donc présence sur tous les IX possibles. - Avoir le maximum de contacts avec le maximum d'opérateurs possibles afin de pouvoir leur demander de shooter une annonce illégitime. En clair : un mec qui fait tous les *nog, *ix et *RIR meetings pour serrer les bonnes paluches. - Surveiller les annonces concernant tes prefixes, avec les différents projets de monitoring existants : le RIS, NLNog-Ring, Cymru et j'en passe. - Bien entendu, signer tes routes (RPKI+ROA) et tenir tes enregistrement (IRR) de façon très strictes. Ca vaut pas grand chose comme contre-mesure, mais ça facilite la détection. Attention toutefois : plus d'interconnexions, c'est plus de boulot à maintenir, plus de boulot pour les routeurs, et plus de points d'entrée dans ton réseau, qu'il faudra sécuriser si tu veux aussi te prémunir de DDoS. La facture peut monter très haut, très rapidement. Si le ce genre d'attaque est si simple, pourquoi les grands acteurs ne semblent pas régulièrement impactés ? Parce que c'est difficile à détecter, surtout pour une grosse structure inertielle dont les décideurs ne comprennent rien à la technique. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] BGP Hijacking
Hello, quelques commentaires: Le 21 nov. 2014 à 15:46, Jérôme Nicolle jer...@ceriz.fr a écrit : Clearer une session permet de rendre la route plus récente chez ton peer, donc potentiellement de redéclencher un best-path-selection, ce qui peut suffire si les autres critères de sélection sont équivalents. Mais c'est rarement le cas. Par défaut, en eBGP sur la plupart des routeurs, route plus récente = route moins préférée. Donc action contre-productive. Cf (par exemple): http://www.cisco.com/c/en/us/support/docs/ip/border-gateway-protocol-bgp/13753-25.html http://www.cisco.com/c/en/us/support/docs/ip/border-gateway-protocol-bgp/13753-25.html item 10. http://www.juniper.net/techpubs/en_US/junos13.3/topics/reference/general/routing-ptotocols-address-representation.html http://www.juniper.net/techpubs/en_US/junos13.3/topics/reference/general/routing-ptotocols-address-representation.html item 11 - Regrouper tes services critiques (DNS, mail, frontaux web) sur un /24 (en fait un ou deux /25) de ton réseau et désagréger cette annonce (et uniquement celle ci). Tu peux proposer à tes peers directs de désagréger le /25 afin de garantir qu'il sera préféré et jamais hijacké, mais tu ne peux pas balancer le /25 sur des route-server ou des transits qui sont censés le filtrer. En fait tout le monde (de sensé) est censé filtrer plus petit qu'un /24, sauf accords particuliers entre AS. Donc ça semble compliqué. Du coup et par ailleurs les best practices bortzmeyeriennes (bortzmeyeristes?) suggèrent a priori plutôt de distribuer ses DNS dans des /24 séparées (cela-dit même des gens très biens ne le font pas). a+ Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] BGP Hijacking
Le 21/11/2014 19:00, Olivier Benghozi a écrit : Par défaut, en eBGP sur la plupart des routeurs, route plus récente = route moins préférée. Donc action contre-productive. Cf (par exemple): http://www.cisco.com/c/en/us/support/docs/ip/border-gateway-protocol-bgp/13753-25.html http://www.cisco.com/c/en/us/support/docs/ip/border-gateway-protocol-bgp/13753-25.html item 10. http://www.juniper.net/techpubs/en_US/junos13.3/topics/reference/general/routing-ptotocols-address-representation.html http://www.juniper.net/techpubs/en_US/junos13.3/topics/reference/general/routing-ptotocols-address-representation.html item 11 C'est tout à fait exact, si l'implémentation est correcte. Mais dans le cas d'un hijack, tu te bas contre une annonce illégitime potentiellement volatile. Cela dit j'aurais du être plus précis : si un hijack est détecté, la première chose à faire est de désagréger et stopper tout prepend éventuel sur les blocs attaqués et forcer tes peers à réapprendre les routes. Tu peux regagner l'adjacence avec le path, vu que celui de l'attaquant contient normalement l'AS qui lui sert de route de retour pour assurer son return-path. En fait tout le monde (de sensé) est censé filtrer plus petit qu'un /24, sauf accords particuliers entre AS. Donc ça semble compliqué. Waip, je parle bien d'accords spécifiques, à établir au cas par cas. Du coup et par ailleurs les best practices bortzmeyeriennes (bortzmeyeristes?) suggèrent a priori plutôt de distribuer ses DNS dans des /24 séparées (cela-dit même des gens très biens ne le font pas). Irais-je jusqu’à dire qu'au moins un de tes DNS devrait être hors de ton AS ? ;) -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] BGP Hijacking
Hugo Deprez a écrit : je voulais aborder un sujet que je n'ai pas vu passer sur la mailing-list : le BGP Hijacking. Tu ne lis pas depuis assez longtemps. C'est trolldi, nom de dieu. Existe-t-il des parades contre ce genre d'attaque ? Ca dépend de ton compte en banque. Es-ce que le fait de faire tomber/remonter le peering avec son opérateur est suffisant pour reprendre la main ? Non. Existe-t-il des bonnes pratiques afin de réduire les risques ? Ca dépend de ton compte en banque. Si le ce genre d'attaque est si simple, pourquoi les grands acteurs ne semblent pas régulièrement impactés ? Facile : ils on un gros compte en banque. Ils annoncent leurs préfixe(s) directement à plusieurs tier-1, donc la longueur de leur AS-PATH est 2 ou 3, donc quand bitos kidnappe leur préfixe(s), les seuls qui s'en aperçoivent sont les clients de bitos. Autre effet kiss-cool, ils donnent assez d'argent aux tier-1 en question pour annoncer des /25 avec no-export, ce qui limite aussi la casse. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
