Re: [FRnOG] Re: Incident majeur, WTF happened ?
Le 04/09/10 18:27, Yann GAUTERON a écrit : C'est juste... Puisqu'on fait dans le détail: /20 signifie que z est multiple de 16. Or les multiples de 16 ne peuvent pas être premiers. CQFD 0 n'est il pas premier ? -- Jérôme Nicolle 06 19 31 27 14 signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Le 5 septembre 2010 16:22, Jérôme Nicolle jer...@ceriz.fr a écrit : Le 04/09/10 18:27, Yann GAUTERON a écrit : C'est juste... Puisqu'on fait dans le détail: /20 signifie que z est multiple de 16. Or les multiples de 16 ne peuvent pas être premiers. CQFD 0 n'est il pas premier ? De mémoire, la définition d'un nombre premier est un nombre qui a deux diviseurs distincts (1 ET lui-même). Avec cette définition, 0 n'est pas premier (essaie de diviser 0 par lui-même...). Idem pour 1 qui n'a qu'un diviseur unique. Mais on s'éloigne des discussions réseau et on doit encore attendre 5 jours avant d'être vendredi si on ne veut pas se faire remettre à l'ordre.
Re: [FRnOG] Re: Incident majeur, WTF happened ?
C'est juste... Puisqu'on fait dans le détail: /20 signifie que z est multiple de 16. Or les multiples de 16 ne peuvent pas être premiers. CQFD 2010/9/4 Rémi Bouhl remibo...@gmail.com Le 03/09/10, Bertrand Yvainp...@ielo.net a écrit : Très drôle, je trouve. D'une part parce que la représentation dot-quad n'a rien à voir avec les traitements binaires. Et d'autre part parce que si c'est un préfixe /20, z est pair, donc pas premier. 2 est pair, et premier. My 2 cents. Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
On Wed, Sep 01, 2010 at 11:22:46AM +0200, Jérôme Nicolle jer...@ceriz.fr wrote a message of 91 lines which said: Sur ce coup là, je vois pas trop quoi reprocher au RIPE, ils ont été transparent sur ce coup là, et on pris des précautions raisonnables avant de balancer leurs annonces sur le grand ternet. Vendredi. Je trolle. Mon tour :D http://www.bortzmeyer.org/bgp-attribut-99.html [...] L'Internet n'est pas et ne doit pas être une infrastructure vitale. Bien sûr qu'il est important (par exemple, c'est lui qui justifie mon salaire) mais il n'y a pas de vies humaines en jeu. Si on voulait que des vies puissent être suspendues au bon fonctionnement de l'Internet (une très mauvaise idée), il faudrait en effet changer radicalement son architecture et en faire un réseau bien plus fermé, bien plus lent et bien moins innovant. Les clients Free n'ont qu'une ligne fixe IP - et surement un portable mais cela passe peut-etre aussi par IP. Donc l'internet vital c'etait hier. L'internet est une infrastructure dominante et de plus en plus vitale. Elle est dominante car bon marche, bon marche car ouverte. J'ai l'impression que tu te tire un balle dans les pieds avec ton argumentation (sur ce point). Pour la quote de Nanog : « I'm planning on announcing x.y.z.0/20 later in the week -- x, y and z are all prime and the sum of all 3 is also a prime. There is a non-zero chance that something somewhere will go flooie, shall I send mail now or later? ». Enjoyer un packet d'un format JAMAIS utilise et envoyer une route (quelque soit sa valeur) ce n'est pas la meme chose. Maintenant, je ne critique pas la conclusion - seulement l'argumentation. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
On Fri, Sep 03, 2010 at 02:47:03PM +0100, Thomas Mangin wrote: Pour la quote de Nanog : « I'm planning on announcing x.y.z.0/20 later in the week -- x, y and z are all prime and the sum of all 3 is also a prime. Très drôle, je trouve. D'une part parce que la représentation dot-quad n'a rien à voir avec les traitements binaires. Et d'autre part parce que si c'est un préfixe /20, z est pair, donc pas premier. -- Bertrand Yvain http://www.IELO.net/ signature.asc Description: Digital signature
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Stephane Bortzmeyer wrote: Vendredi. Je trolle. Vendredi je relaie les trolls, surtout quand c'est des trucs intéressants et pas des vrais trolls :-) http://bit.ly/bugsBGP#MAJ03092010 -- Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
JMP, Le 31/08/10 19:44, Jean-Michel Planche a écrit : D'un coté, tu n'as pas complètement tort ... mais de l'autre, je te trouve bien dur avec Pierre. Bien sûr qu'il faut continuellement tester ... mais de là à excuser (voir plus) cette grossière erreur, il y a un monde. On parle d'excuser qui au juste ? Le RIPE ou Cisco ? Sur ce coup là, je vois pas trop quoi reprocher au RIPE, ils ont été transparent sur ce coup là, et on pris des précautions raisonnables avant de balancer leurs annonces sur le grand ternet. On peut pas en dire autant de Cisco dont le tableau de chasse en matière de bugs commence à être bien chargé. Entre l'AS-Path overflow de l'année dernière et la corruption d'un message BGP bien formé, je sais pas si tu situe le niveau, mais c'est du bug de schtroumpf. Impessable que ça ce soit retrouvé sur une image de prod. A coté de ça, Quagga et OpenBGPd ont roulé sans problème tiens... Bien sûr que depuis que l'Internet existe, on ne fait pas dans la dentelle et bien sûr que la notion de tests de non régression et de stabilité me fait doucement rigoler. (on en a même créé une société ;-)) Bien sûr que la matière que l'on manipule impose des contraintes sur les équipements et les logiciels, pas toujours prévues à leur conception. Heu oui, mais non, ce cas de figure était parfaitement prévu dans la RFC 1771 (et suivantes) Mais MINCE ... on n'est plus du temps de Fnet où n'importe qui rebootait les routeurs stratégiques en pleine journée, on n'est plus le 24 décembre 1993, où il fallait passer sa nuit de Noel à faire de la place car un abruti s'était trompé dans ses annonces et avait consommé les 100 Ko de mou qu'il restait sur les 32 Mo de possibles, on n'est plus du temps des débuts de l'Ascent TNT pour s'apercevoir que le soft ne réaffectait pas son pool d'adresses IP une fois consommées Bref ... on ne fait pas n'importe quoi, n'importe comment et pourquoi pas le faire un vendredi en plus Ils n'ont pas fait n'importe quoi, ils sont juste partis du principe, relativement optimiste, qu'il y a des développeurs compétents dans les équipes de devs des softs de routage. PS: chez nous, le big chief de la technique, il n'est pas content du tout ... même si notre AS n'a pas eu à souffrir du problème. Ben pourquoi donc ? Ca va vous faire du boulot, non ? ;) Pierre Pour le coup, c'est pas le RIPE que je monterais en épingle. Il y a bien d'autres raisons de leur taper dessus, mais là c'est Cisco qu'il faudrait matraquer. -- Jérôme Nicolle signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Je vais mettre un addendum à mon billet. Merci de vos retours. -- Pierre - Original Message - From: Jérôme Nicolle jer...@ceriz.fr To: Jean-Michel Planche j...@witbe.net Cc: Stephane Bortzmeyer bortzme...@nic.fr; p...@9online.fr; frnog@frnog.org Sent: Wednesday, September 01, 2010 11:22 AM Subject: Re: [FRnOG] Re: Incident majeur, WTF happened ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Hello :) Le 1 sept. 2010 à 11:22, Jérôme Nicolle a écrit : JMP, Le 31/08/10 19:44, Jean-Michel Planche a écrit : D'un coté, tu n'as pas complètement tort ... mais de l'autre, je te trouve bien dur avec Pierre. Bien sûr qu'il faut continuellement tester ... mais de là à excuser (voir plus) cette grossière erreur, il y a un monde. On parle d'excuser qui au juste ? Le RIPE ou Cisco ? Sur ce coup là, je vois pas trop quoi reprocher au RIPE, ils ont été transparent sur ce coup là, et on pris des précautions raisonnables avant de balancer leurs annonces sur le grand ternet. On peut pas en dire autant de Cisco dont le tableau de chasse en matière de bugs commence à être bien chargé. Entre l'AS-Path overflow de l'année dernière et la corruption d'un message BGP bien formé, je sais pas si tu situe le niveau, mais c'est du bug de schtroumpf. Impessable que ça ce soit retrouvé sur une image de prod. A coté de ça, Quagga et OpenBGPd ont roulé sans problème tiens... Comme quoi des fois c'est bien les routers soft. Pour ma part mes boites noires (Foundry) m'ont pas fait chier :p Bien sûr que depuis que l'Internet existe, on ne fait pas dans la dentelle et bien sûr que la notion de tests de non régression et de stabilité me fait doucement rigoler. (on en a même créé une société ;-)) Bien sûr que la matière que l'on manipule impose des contraintes sur les équipements et les logiciels, pas toujours prévues à leur conception. Heu oui, mais non, ce cas de figure était parfaitement prévu dans la RFC 1771 (et suivantes) :) Ca me rappelle aussi un bug des mes boites noires... quand j'étais chez ISDnet qui suivaient les RFC a la lettre alors que les boites avec un J auraient dûe aussi avoir le meme bug mais en fait non :p Mais MINCE ... on n'est plus du temps de Fnet où n'importe qui rebootait les routeurs stratégiques en pleine journée, on n'est plus le 24 décembre 1993, où il fallait passer sa nuit de Noel à faire de la place car un abruti s'était trompé dans ses annonces et avait consommé les 100 Ko de mou qu'il restait sur les 32 Mo de possibles, on n'est plus du temps des débuts de l'Ascent TNT pour s'apercevoir que le soft ne réaffectait pas son pool d'adresses IP une fois consommées Bref ... on ne fait pas n'importe quoi, n'importe comment et pourquoi pas le faire un vendredi en plus Ils n'ont pas fait n'importe quoi, ils sont juste partis du principe, relativement optimiste, qu'il y a des développeurs compétents dans les équipes de devs des softs de routage. +1 PS: chez nous, le big chief de la technique, il n'est pas content du tout ... même si notre AS n'a pas eu à souffrir du problème. Ben pourquoi donc ? Ca va vous faire du boulot, non ? ;) Pierre Pour le coup, c'est pas le RIPE que je monterais en épingle. Il y a bien d'autres raisons de leur taper dessus, mais là c'est Cisco qu'il faudrait matraquer. +1 :) /Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Complément d'information publié : http://bit.ly/bugsBGP#MAJ01092010 Au passage je constate que bit.ly autorise les ancres AHTML qu'il réachemine à destination, c'est bien :-) -- Pierre - Original Message - From: Thomas Mangin thomas.man...@exa-networks.co.uk To: 'Stephane Bortzmeyer' bortzme...@nic.fr Cc: Philippe Humeau philippe.hum...@nbs-system.com; 'Jérôme Nicolle' jer...@ceriz.fr; frnog@frnog.org Sent: Wednesday, September 01, 2010 12:40 PM Subject: Re: [FRnOG] Re: Incident majeur, WTF happened ? On Tue, Aug 31, 2010 at 02:51:26PM +0200, Philippe Humeau philippe.hum...@nbs-system.com wrote a message of 34 lines which said: Elles sont planifiées, identifiables comme potentiellement dangereuses en (c'est bien pour ca qu'ils testent) donc pourquoi ne pas envoyer un mail informel aux opérateurs d'AS pour que tout le monde sache ce qui va se passer ? C'est en effet le seul point sur lequel le RIPE pourrait améliorer ces expériences (autrement, c'est une excellente idée et j'espère qu'ils vont continuer en dépit des râleurs, qui ne ne voient pas plus loin que le bout de leur nez). Perso je rale sur ops@ et tech-l@ car RIPE aurait du clairement communiquer son activité et je pense que cela n'était pas accidentel ! Il y a un monde entre envoyer des updates pour voir comment elles se diffusent et envoyer des packets expérimentaux sans en dire quoi que ce soit a qui que ce soit avant les faits. Dans mon monde cynique, RIPE n'a rien dit pour ne pas avoir un barrage de refus - de bon droit a voir ce qui c'est passe - et voir l'expérience ne jamais aboutir. Ceci dit, encore un message opérationnel de plus, je ne sais pas s'il arrivera jusqu'aux cerveaux impliqués... Probablement pas, mais ce n'est pas une raison pour ne pas le faire ! Si personne ne s'était opposé au test (le cas le plus probable a voir la réactivité des NOC), RIPE aurait eu les mains blanches. Ce n'est pas le cas aujourd'hui. Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Le 1 septembre 2010 12:40, Thomas Mangin thomas.man...@exa-networks.co.uka écrit : Ceci dit, encore un message opérationnel de plus, je ne sais pas s'il arrivera jusqu'aux cerveaux impliqués... Probablement pas, mais ce n'est pas une raison pour ne pas le faire ! Si personne ne s'était opposé au test (le cas le plus probable a voir la réactivité des NOC), RIPE aurait eu les mains blanches. Ce n'est pas le cas aujourd'hui. Question de point de vue. A titre purement personnel, je suis favorable à ce qu'a fait le RIPE. Si on doit craindre à chaque fois (ce qui reste rare) qu'on envoie du BGP RFCisé mais pour un truc non-documenté, alors clairement, le problème ne vient pas du RIPE. Transposons deux minutes cet incident au protocole SMTP (rh). Admettons avoir une option particulière expérimentale pour la commande RCPT TO . Une société l'expérimente sur ses serveurs, et ne s'embête pas forcément à la brider au périmètre de ses serveurs. Lorsq'un de ses serveurs SMTP envoie un mél à une adresse dont le serveur MX n'est pas du ressort de cette société, attendez-vous que : 1. Le serveur SMTP extérieur plante ? 2. Le serveur SMTP extérieur accepte le mél, en ignorant l'option expérimentale ? 3. Le serveur SMTP extérieur refuse le mél avec un 4x0/5x0 (modulo la politique de l'admin) ? Pour ma part, je penche pour le choix 3, le 2 faut voir ce qui se passe. Il serait gravissime que ça soit la réponse 1. Et en aucun cas la société qui expérimente n'a à être considérée comme responsable. Et non, je ne crois pas que cet amalgame BGP - SMTP soit mal placé. Il s'agit de toujours vérifier les entrées. La seule chose qu'on peut opposer comme argument est qu'on choisit avec qui on établit un lien de peering en BGP, pas qui se connecte à un serveur MX. Et j'accepte difficilement cet argument. BGP est un sujet sensible. Ok. Fragile : problème. Et ce n'est pas la faute du RIPE. Qu'on ne profite pas de cet incident pour se venger de mécontements déjà existant qu'on puisse avoir envers le RIPE ou le RIPE NCC. -- Baptiste MALGUY PGP fingerprint: 49B0 4F6E 4AA8 B149 B2DF 9267 0F65 6C1C C473 6EC2
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Le 01/09/2010 11:22, Jérôme Nicolle a écrit : On parle d'excuser qui au juste ? Le RIPE ou Cisco ? Ah ! Tout de même... surtout que les MAJ Cisco sont loin d'être gratuites, malgré le prix initial du matos ! Au mieux c'est du laxisme impardonnable ! Et quand on pense au FUD pro-Cisco qu'on subit à longueur de temps ! Cordialement, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Christophe, Christophe Baegert wrote: Le 01/09/2010 11:22, Jérôme Nicolle a écrit : On parle d'excuser qui au juste ? Le RIPE ou Cisco ? Ah ! Tout de même... surtout que les MAJ Cisco sont loin d'être gratuites, malgré le prix initial du matos ! http://www.cisco.com/warp/public/707/cisco-sa-20100827-bgp.shtml Cisco developed a fix that addresses this vulnerability and will be releasing free software maintenance upgrades (SMU) progressively starting 28 August 2010. This advisory will be updated accordingly as fixes become available. Il y aurait donc plusieurs définitions de free ? :) Pierre. Au mieux c'est du laxisme impardonnable ! Et quand on pense au FUD pro-Cisco qu'on subit à longueur de temps ! Cordialement, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Bonjour, Le 01/09/2010 15:25, Baptiste Malguy a écrit : Question de point de vue. A titre purement personnel, je suis favorable à ce qu'a fait le RIPE. Si on doit craindre à chaque fois (ce qui reste rare) qu'on envoie du BGP RFCisé mais pour un truc non-documenté, alors clairement, le problème ne vient pas du RIPE. Est-il complètement surréaliste de commencer par faire un minimum de tests dans un environnement de test avant de faire participer tout le monde à son insu ? -- Artur --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Ah ! Tout de même... surtout que les MAJ Cisco sont loin d'être gratuites, malgré le prix initial du matos ! Parce que Cisco fait payer la correction de bugs ??? -- Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Et vous croyez qu'on paie quoi dans les maintenances des constructeurs ? Il y a le support sur le matos et le support sur l'OS. Et tres souvent, si on veut un vrai NOC il faut payer en plus, tout ca pour leur remonter des bugs :) Sachant que 90% des soucis des NOC des constructeurs sont plutot du fait des utilisateurs, 10% des users paient alors qu'ils ne devraient pas. Si tu veux pas payer de support, tu achetés au broke et quand ça casse/plante, tu appelles ton revendeur , et il te file un OS qu'il aura récupéré en bittorrent -- Raphaël Maunier NEO TELECOMS CTO / Responsable Ingénierie AS8218 On Sep 1, 2010, at 4:09 PM, Pierre Col wrote: Ah ! Tout de même... surtout que les MAJ Cisco sont loin d'être gratuites, malgré le prix initial du matos ! Parce que Cisco fait payer la correction de bugs ??? -- Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Le Wed, Sep 01, 2010 at 04:00:33PM +0200, Artur Pydo [fr...@pydo.org] a écrit: Question de point de vue. A titre purement personnel, je suis favorable à ce qu'a fait le RIPE. Si on doit craindre à chaque fois (ce qui reste rare) qu'on envoie du BGP RFCisé mais pour un truc non-documenté, alors clairement, le problème ne vient pas du RIPE. Est-il complètement surréaliste de commencer par faire un minimum de tests dans un environnement de test avant de faire participer tout le monde à son insu ? Je pense que Duke University l'a fait, de tester en périmètre restreint. Mais ils doivent pas avoir de CRS-1 sous la main, pour tester si ça le fait planter. -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 50, rue Riolan 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Transposons deux minutes cet incident au protocole SMTP (rh). Admettons avoir une option particulière expérimentale pour la commande RCPT TO . Une société l'expérimente sur ses serveurs, et ne s'embête pas forcément à la brider au périmètre de ses serveurs. Lorsq'un de ses serveurs SMTP envoie un mél à une adresse dont le serveur MX n'est pas du ressort de cette société, attendez-vous que : Les transposition c'est toujours genial .. transposons l'internet au systeme de canalisation d'eau .. l'internet c'est bien des tuyaux .. on a bien vu le résultat avec les politiciens américains ! Mais allons y - je suis de retour de vacances - mieux ca que la pille de boulot sur la table :p !! SMTP n'est pas un protocol real-time. Transposons plutôt ceci au réseau téléphonique de ta société ... Un chercheur appelle le 0033 00 00 00 00 00 via un téléphone portable satellite crypte militaire, ce qui cause 0.8 % des numéros de téléphones français a ne plus marcher pendant 30 minutes car les 8 zero cause un bug - mais personne n'a 8 zero dans son numero ! Ca passe a 20 heures ou pas ? Et qui va t-on utiliser comme bouc émissaire ? Le fournisseur satellitaire, ou le chercheur ? Pour etre clair - je ne demande pas un réponse - je cherche seulement a montrer que les transposition c'est dangereux - et cela montre surtout ce qu'on veut ! 1. Le serveur SMTP extérieur plante ? 2. Le serveur SMTP extérieur accepte le mél, en ignorant l'option expérimentale ? 3. Le serveur SMTP extérieur refuse le mél avec un 4x0/5x0 (modulo la politique de l'admin) ? Dans notre cas c'est 4. le serveur mail mange les mails en retournant 250 une fois que l'ont a reçu un email encodé en utf-32 (les packets UDP sont perdus a tout jamais) BGP est un sujet sensible. Ok. Fragile : problème. Et ce n'est pas la faute du RIPE. BGP n'est pas un sujet sensible - c'est la boulot de beaucoup de gens a plein temps ! BGP ce n'est pas fragile - l'internet ca marche plutôt bien. Ok - j'aime bien les gens de RIPE. J'en connais plusieurs mais la il ne faut pas pousser. Ils savaient qu'il y a avait un risque - faible - mais risque. Pas de bol CISCO a une couverture de bug minable pour son implémentation BGP dans XR ! Qu'on ne profite pas de cet incident pour se venger de mécontements déjà existant qu'on puisse avoir envers le RIPE ou le RIPE NCC. Pardon !? Quel mécontentements ? C'est une accusation facile, ça ! RIPE NCC ne fait qu'appliquer les décisions des membres - ie: les personnes que tu accuses de vengeance ! Cela ne tiens pas trop debout IMHO ! RIPE fait un très bon boulot pour la communauté - et le résultat de l'expérience de RIS/RIPE Lab sera utile mais cela ne veut pas dire que parfois ils ne vont pas faire de conneries comme tout le monde. Et puis il ne faut pas tout mélanger : RIPE, RIPE NCC, RIS, RIPE Lab commencent tous par R mais font des choses bien différentes. Thomas PS: tiens je viens de recevoir ma facture du 1er septembre pour RIPE - cela doit être pour ça que j'ai les dents :D
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Hello, On Wed, 01 Sep 2010 16:04:46 +0200 Pierre Francois pierre.franc...@uclouvain.be wrote: Christophe, Christophe Baegert wrote: Le 01/09/2010 11:22, Jérôme Nicolle a écrit : On parle d'excuser qui au juste ? Le RIPE ou Cisco ? Ah ! Tout de même... surtout que les MAJ Cisco sont loin d'être gratuites, malgré le prix initial du matos ! http://www.cisco.com/warp/public/707/cisco-sa-20100827-bgp.shtml Cisco developed a fix that addresses this vulnerability and will be releasing free software maintenance upgrades (SMU) progressively starting 28 August 2010. This advisory will be updated accordingly as fixes become available. Il y aurait donc plusieurs définitions de free ? Oui, meme chez Cisco, ce n'est pas bien clair : Customers without Service Contracts Customers who purchase direct from Cisco but do not hold a Cisco service contract, and customers who purchase through third-party vendors but are unsuccessful in obtaining fixed software through their point of sale should acquire upgrades by contacting the Cisco Technical Assistance Center (TAC). TAC contacts are as follows. et il est bien ecrit acquire (generalement, ce n'est pas free), mais c'est suivi de : Customers should have their product serial number available and be prepared to give the URL of this notice as evidence of entitlement to a free upgrade. Free upgrades for non-contract customers must be requested through the TAC. Bref, il faut 'acquire' un 'free-upgrade' chez Cisco...lol ! Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Je pense que Duke University l'a fait, de tester en périmètre restreint. Mais ils doivent pas avoir de CRS-1 sous la main, pour tester si ça le fait planter. Même si les chercheurs en avaient un il est fort improbable qu'ils aient installe un second routeur derrière dans leur procédure de test. Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
What if quelqu'un d'autre que le RIPE avait balouzé ces paquets ? Est-ce que l'impact aurait été moins important si ce n'avait pas été eux (moins de confiance envers le monde qu'envers un organisme tel que le RIPE) ? Autrement dit, est-ce que certains filtres auraient pu éviter l'incident sur des CSR non protégés ? Par définition, le test va découvrir des choses inattendues. Autrement, on ne testerait pas ! On ne peut pas rester dans le labo éternellement. Un jour, il faut envoyer les paquets BGP inhabituels dans le vrai Internet. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Le 01/09/2010 16:04, Pierre Francois a écrit : http://www.cisco.com/warp/public/707/cisco-sa-20100827-bgp.shtml Cisco developed a fix that addresses this vulnerability and will be releasing free software maintenance upgrades (SMU) progressively starting 28 August 2010. This advisory will be updated accordingly as fixes become available. où est le FTP ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Est-ce que quelqu'un a lu sérieusement le compte-rendu de l'expérience et vu à quoi elle était destinée ? À la SÉCURITÉ ! Il s'agissait de voir si certaines propositions techniques de sécurisation de BGP (pour empêcher des embrouilles à la Pakistan Telecom) étaient réalistes, car elles reposaient sur des attributs BGP nouveaux. Si on ne teste pas la possibilité de déployer ces extensions à BGP dans le vrai Internet, on peut arrêter tout de suite tout le travail sur le BGP sécurisé ! Voilà, il aurait fallu fair cette expérience au Pakistan :-) -- Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Le Wed, Sep 01, 2010 at 04:27:51PM +0200, Stephane Bortzmeyer [bortzme...@nic.fr] a écrit: [...] Si on ne teste pas la possibilité de déployer ces extensions à BGP dans le vrai Internet, on peut arrêter tout de suite tout le travail sur le BGP sécurisé ! Bah, quand il restera Orange, Verizon et Google, il n'y aura plus tous ces problèmes. -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 50, rue Riolan 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Le seul « privilège » qu'avait le RIPE-NCC est d'être bien connecté, avec beaucoup de peerings. Leurs annonces se propagent donc vite et loin. Mais, autrement, n'importe lequel des 40 ou 50 000 AS actifs pouvait faire pareil (si leur(s) opérateur(s) immédiats n'ont pas de Cisco bogué et transmettent l'annonce intacte). D'où le il y avait un risque avéré que cette vulnérabilité ne soit exploitée par des équipes malintentionnées... espérons donc que le correctif diffusé par Cisco ait été déployé le plus exhaustivement possible. de mon complément d'info du jour. Evidemment, si ce correctif est payant, on peut craindre un joli merdier avant la fin de la semaine... et je suis bien content de ne pas être admin réseau, mais simple observateur-commentateur :-) -- Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Le 01/09/2010 16:21, Stephane Bortzmeyer a écrit : Par définition, le test va découvrir des choses inattendues. Autrement, on ne testerait pas ! On ne peut pas rester dans le labo éternellement. Un jour, il faut envoyer les paquets BGP inhabituels dans le vrai Internet. Avant que quelqu'un d'autre parmi les 5 autres AS le fasse... ça aurait pû être n'importe qui, étourdi, mal intentionné, etc... D'où encore une fois... coupable - Cisco. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Le 01/09/2010 16:33, Dominique Rousseau a écrit : Bah, quand il restera Orange, Verizon et Google, il n'y aura plus tous ces problèmes. Il suffira de se connecter aux 3, avec un routage statique côté client pour utiliser la bonne connexion pour la bonne IP ;-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
D'où le il y avait un risque avéré que cette vulnérabilité ne soit exploitée par des équipes malintentionnées... espérons donc que le correctif diffusé par Cisco ait été déployé le plus exhaustivement possible. de mon complément d'info du jour. Evidemment, si ce correctif est payant, on peut craindre un joli merdier avant la fin de la semaine... et je suis bien content de ne pas être admin réseau, mais simple observateur-commentateur Autant que l'on sache quelqu'un dans un département cyber défense d'un pays vient de dire : Merde on vient de perdre une arme pas grave il en reste XXX autres ! :D Thoams --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Le 1 septembre 2010 16:22, Thomas Mangin thomas.man...@exa-networks.co.uka écrit : Pour etre clair - je ne demande pas un réponse - je cherche seulement a montrer que les transposition c'est dangereux - et cela montre surtout ce qu'on veut ! Je souhaitais rappeler le principe que nous connaissons tous, par une mise en évidence plus facile : on fait 0 confiance à ce qui vient de l'extérieur. Dans notre cas c'est 4. le serveur mail mange les mails en retournant 250 une fois que l'ont a reçu un email encodé en utf-32 (les packets UDP sont perdus a tout jamais) Aussi oui :) BGP n'est pas un sujet sensible - c'est la boulot de beaucoup de gens a plein temps ! Visiblement si, vu qu'on en parle autant depuis vendredi. BGP ce n'est pas fragile - l'internet ca marche plutôt bien. Sur un véhicule deux-roues (vélo, scoot, moto, etc) aussi ça marche plutôt bien pour se déplacer (à fortiori dans les grandes villes), et ces usagers n'en sont pas moins TRES fragiles (oops, I did it again ... une transposition). Ce type de faille montre la fragilité des implémentations (et pas forcément du protocole, d'ailleurs). Et encore plus une chose : la presque-mono-culture Cisco. Cet incident est une très bonne piqûre de rappel de ces faits, outre la correction de la faille sur les implémentations concernées. Pas de bol CISCO a une couverture de bug minable pour son implémentation BGP dans XR ! Bon voilà, on y revient, finalement. Qu'on ne profite pas de cet incident pour se venger de mécontements déjà existant qu'on puisse avoir envers le RIPE ou le RIPE NCC. Pardon !? Quel mécontentements ? C'est une accusation facile, ça ! Pas toi personnellement. De façon générale, on tape régulièrement sur le RIPE (justifié ou pas, peu importe), et cet incident pourrait être une goutte d'eau de trop pour que certains qui en profitent. -- Baptiste
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Le 01/09/2010 16:53, Jürgen Marenda a écrit : BTW, i belive that organisation/companies, having such big routers running IOS XR, do have a hard/swoftware contract, and so can successfully log in and download from cisco.com . Type used cisco on Google. It does not exist, of course. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
BGP n'est pas un sujet sensible - c'est la boulot de beaucoup de gens a plein temps ! Visiblement si, vu qu'on en parle autant depuis vendredi. On en parle car si BGP marche bien, quand ça foire de cette manière ça fait mal a l'échelle planetaire. Quand Twitter, Facebook, Orange, ta boite favorite plante son reseau (BGP, ISIS, OSPF peu importe) tout le monde se moque et s'en fout. Ce type de faille montre la fragilité des implémentations (et pas forcément du protocole, d'ailleurs). Et encore plus une chose : la presque-mono-culture Cisco. Cet incident est une très bonne piqûre de rappel de ces faits, outre la correction de la faille sur les implémentations concernées. Chez Cisco il y a beaucoup d'implémentations de la même chose, c'est pour cela que seulement certains routeurs ont eu ce bug. L'argument mono-culture ne tient pas trop - de plus BGP est un protocol ouvert avec bcp d'implémentations dont au moins 3 libres et assez complete. Pas toi personnellement. De façon générale, on tape régulièrement sur le RIPE (justifié ou pas, peu importe), et cet incident pourrait être une goutte d'eau de trop pour que certains qui en profitent. Qui aime bien châtie bien :) Thomas
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Le 01/09/2010 16:45, Thomas Mangin a écrit : Je critique la communication de RIPE et demande a savoir pourquoi aucune communication n'a été faites avant l'expérience Ce n'est pas forcément une mauvaise idée... quelqu'un d'autre aurait pu se dire : bon il nous reste tant de jours pour faire l'expérience de manière moins délicate qu'eux (30 minutes et puis s'en va). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
On Wed, 1 Sep 2010 16:09:43 +0200, Pierre Col p...@9online.fr said: Parce que Cisco fait payer la correction de bugs ??? Pas la correction, juste le contrat de maintenance qui permet de telecharger les fix. -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
On Aug 31, 2010, at 2:34 PM, Stephane Bortzmeyer wrote: On Tue, Aug 31, 2010 at 02:17:54PM +0200, Jérôme Nicolle jer...@ceriz.fr wrote a message of 94 lines which said: Que c'est il passé vendredi 27 de 11h15 à 12h30 ? Comment peut-on se soucier de tels détails à l'heure où Facebook est en panne ? L'autre version du site fonctionne encore :) http://www.lisp4.facebook.com/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Stephane Bortzmeyer wrote: Que c'est il passé vendredi 27 de 11h15 à 12h30 ? Voici le vrai accident majeur très grave trop horrible : http://www.bortzmeyer.org/facebook-joue-bgp.html Merci à tous pour les infos, je vulgarise : http://bit.ly/bugsBGP -- Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Incident majeur, WTF happened ?
Bonsoir, On 31/08/2010 19:53, Pierre Col wrote: Oui il faut expérimenter, bien sur, mais en essayant de prévoir au maximum les effets de bord : on a eu la preuve vendredi que ce n'était pas le cas, Les effets de bord, par définition, sont imprévus et la plupart du temps imprévisibles. Il est toujours facile de juger après coup. Mais sur le moment, c'est vachement moins simple de tout prévoir, surtout avec le nombre d'implémentation BGP disponibles. De plus, comme indiqué au début du thread, le champ BGP responsable du problème était considéré comme expérimental, donc censé être ignoré par les implémentations. et le RIPE lui-même dit qu'il va améliorer ses procédures d'expérimentation : c'est bien qu'elles étaient insuffisantes ! Non, pas forcément compte tenu de l'expérience des équipes du RIPE avant les tests. Après les tests, et c'est la bonne approche, il faut comprendre d'où est venu le problème et voir comment on peut l'éviter à l'avenir, si on peut. Pour autant, ça ne signifie pas que les procédures étaient intrinsèquement mauvaises ou insuffisantes. Mes 2 cents, JB --- Liste de diffusion du FRnOG http://www.frnog.org/
