La Fibre
Télécom => Peering Transit (appairage) => 
Transit IP => Discussion démarrée par: kaxapo le 26 octobre 2024 à 16:42:33
-
Voici un test proposé par RIPE pour tester si votre opérateur accepte les routes invalides:
Lien:
https://rpkitest.nlnetlabs.net/ ou https://isbgpsafeyet.com/
Moi personnellement chez Free j’ai une mauvaise note sur le test:
(https://i.postimg.cc/KvCV31LN/IMG-4383.jpg)
Et là un test que j’ai pu faire avec un FAI pendant mes vacances à l’étranger :
(https://i.postimg.cc/NFZKw6nS/IMG-4357.jpg)
Je serais curieux de voir les resultats des autres FAI (pensez à cacher votre adresse ip)
Édit Vivien : Les données de tous les opérateurs :
(https://lafibre.info/images/peering/202410_rpkitest_isbgpsafeyet_9_septembre_2024.avif)
-
Hum...
Un peu étrange cet outil :
(https://pix.milkywan.fr/AHsp6kwG.png)
a7280qr.edge.dc2#show ip bgp 185.49.142.6 vrf 2027-Internet
BGP routing table information for VRF 2027-Internet
Router identifier 80.67.167.1, local AS number 2027
BGP routing table entry for 185.49.142.0/23
Paths: 9 available
47160 174 20473 211321
185.126.229.2 from 185.126.229.2 (87.236.35.131)
Origin IGP, metric 100, localpref 100, IGP metric 0, weight 0, tag 0
Received 2d15h ago, valid, external, best, AS Origin valid
Community: 174:21201 174:22038 2027:47160 2027:65535 47160:40000 47160:40002 47160:60003
Rx SAFI: Unicast
(https://pix.milkywan.fr/EErFnFyE.png)
-
Avec un outil bien plus fiable : https://isbgpsafeyet.com/
(https://pix.milkywan.fr/GWkv4dyS.png)
-
Bon j'ai continué à creuser... En fait il y'a bien un /24 invalide qui est rejeté, mais la route pour le /23 part chez un de nos transitaires qui lui ne rejette pas les RPKI invalides, donc le /24 est accepté et le trafic routé :(
Comme quoi, on a encore du boulot pour implémenter ce truc partout...
-
@Hugues au niveau de Free c’est pareil meme sur ton site.
(https://i.postimg.cc/T10CD5qk/IMG-4384.png)
-
Free ne doit pas implémenter RPKI... Ça m'étonnait plus pour nous vu qu'on l'a implémenté :)
-
Ce serait intéressant de savoir si les autres opérateurs, Orange, SFR, Bouygues Telecom..., l'implémentent. Est-ce que des clients d'autres opérateurs peuvent tester ?
-
Et sinon c'est grave si on a pas de RPKI pour nous users lambda ?
-
Le seul bon élève parmi les 4 gros est Orange, les autres n'implémentent pas RPKI.
-
Et sinon c'est grave si on a pas de RPKI pour nous users lambda ?
C'est un mécanisme de protection, donc la réponse est à la fois oui et non :)
-
ça empêche des incidents de routage.
Par exemple en 2008, le Pakistan avait coupé Youtube par le biais d'un hijack BGP.
-
Free ne doit pas implémenter RPKI... Ça m'étonnait plus pour nous vu qu'on l'a implémenté :)
Et pour ton /24 tu as trouvé une solution ?
-
Salut à tous.
Je viens de faire le test chez SFR.
-
Et sinon c'est grave si on a pas de RPKI pour nous users lambda ?
Oui ça pose des problèmes de sécurité au niveau du routage (donc tu peut être redirigé vers une fausse route/ip) je te laisse lire
https://www.cloudflare.com/fr-fr/learning/security/glossary/bgp-hijacking/#:~:text=Le%2520d%C3%A9tournement%2520de%2520BGP%2520est%2520le%2520fait%2520d'attaquants%2520qui,ou%2520n'acheminent%2520pas%2520r%C3%A9ellement.
-
Orange et Apple private relay / cloudflare:
-
Avec une box 5G Home Orange :
(https://lafibre.info/images/peering/202410_rpkitest_orange_box5g.webp)
-
Pourtant ça devrait être la base ou au moins imposé par L’Arcep pour les 4 plus gros FAIs, On se demande ce que font les AS Maintainers sûrement du Tricot parce que mettre en place du RPKI ce n’est pas si sorcier que ça surtout pour des grosses boites comme SFR, Free et Bouygues le budget ce n’est pas ce qui manque.
-
C'est plus du ressort de l'ANSSI que de l'Arcep.
Après, c'est peut-être une recommandation de l'ANSSI, je ne suis pas sûr qu'ils aient des pouvoirs pour imposer qq chose de ce type aux "Opérateur d'importance vitale".
-
Renater ne respecte pas.
-
C'est plus du ressort de l'ANSSI que de l'Arcep.
Après, c'est peut-être une recommandation de l'ANSSI, je ne suis pas sûr qu'ils aient des pouvoirs pour imposer qq chose de ce type aux "Opérateur d'importance vitale".
C’est quand même une question de sécurité, il y’a bien des blocages DNS au niveau des opérateurs donc je trouve bizarre que d’un côté il’s veulent sécuriser les abonnés à des sites dangereux mais leur routage n’est pas conforme aux normes de sécurité plus récentes
-
C’est quand même une question de sécurité, il y’a bien des blocages DNS au niveau des opérateurs donc je trouve bizarre que d’un côté il’s veulent sécuriser les abonnés à des sites dangereux mais leur routage n’est pas conforme aux normes de sécurité plus récentes
Bonjour,
Côté Orange, RPKI est implémenté et fonctionnel.
-
Bonjour,
Côté Orange, RPKI est implémenté et fonctionnel.
Oui en effet c’est le seul des gros FAIs qui présente bien sur la liste, maintenant reste à voir avec les autres s’il y’auras des avancées.
-
Renater ne respecte pas.
Unpupolar opinion : Pourquoi existent t'ils encore ? Si 1990 on pouvait leur trouver un intérêt aux vu du manque d'infrastructures et d'opérateurs , de nos jours...
-
Jaloux des IPv4 dont dispose RENATER?
Service public pour l'enseignement.
-
C'est aussi leur AS qui est utilisé pour router le trafic des cités U.
-
Je confirme pour Bouygues : test failed.
-
SFR FTTH : failed
Bouygues 5G : failed
Sosh/Orange 4G : OK
-
Free Pro XPR :
(https://lafibre.info/images/peering/202410_rpkitest_free_pro_xpr.webp)
-
K-net partiel
fetch https://valid.rpki.isbgpsafeyet.com
correctly accepted valid prefixes
fetch https://invalid.rpki.isbgpsafeyet.com
incorrectly accepted invalid prefixes
-
Pour SFR, avec les deux tests de Steph, cela donne la même chose :
{
"status": "valid",
"asn": 15557,
"name": "SFR Group",
"blackholed": false
}
-
Ce serait intéressant de savoir si les autres opérateurs, Orange, SFR, Bouygues Telecom..., l'implémentent. Est-ce que des clients d'autres opérateurs peuvent tester ?
Orne THD c'est bon ;)
-
Orne THD c'est bon ;)
Ca a été compliqué pour vous a implémenter ?
-
Ca a été compliqué pour vous a implémenter ?
Non du tout :)
https://beufa.net/fr/blog/rpki-use-routinator-rtr-cache-validator-cisco-ios-xr/ ;)
-
C’est quand même une question de sécurité, il y’a bien des blocages DNS au niveau des opérateurs donc je trouve bizarre que d’un côté il’s veulent sécuriser les abonnés à des sites dangereux mais leur routage n’est pas conforme aux normes de sécurité plus récentes
Le blocage dns c'est une obligation legale, soumise a decision judiciaire.
Ensuite j'ai du mal a voir en quoi l'etat serait justifié a obliger une boite privée a ce genre de connerie de securité. Enfin si on va par là alors il faut aussi que l'etat m'oblige a fermer la porte a clé en partant de chez moi alors ? ;)
-
C'est pas vraiment une connerie pour le coup
-
Ensuite j'ai du mal a voir en quoi l'état serait justifié a obliger une boite privée a ce genre de connerie de sécurité.
Pourquoi dis tu que c'est une connerie ? Peux tu te justifier, s'il te plait ?
Tout ce qui peut améliorer la sécurité des internautes, je suis preneur, à la condition que cela ne devient pas trop contraignant.
Enfin si on va par là alors il faut aussi que l'état m'oblige a fermer la porte à clé en partant de chez moi alors ? ;)
Pas l'état, mais les assurances.
Laisser sa porte ouverte est une incitation au cambriolage et tu ne peux réclamer aucun dédommagement en cas de vol.
-
Le blocage dns c'est une obligation legale, soumise a decision judiciaire.
Le blocage DNS, c'est éviter qu'internet devienne une zone de non-droit.
-
Pourquoi dis tu que c'est une connerie ? Peux tu te justifier, s'il te plait ?
Tout ce qui peut améliorer la sécurité des internautes, je suis preneur, à la condition que cela ne devient pas trop contraignant.
Pas l'état, mais les assurances.
Laisser sa porte ouverte est une incitation au cambriolage et tu ne peux réclamer aucun dédommagement en cas de vol.
Mes chiens se chargent discrètement de reconduire les non invités.
-
Pourquoi dis tu que c'est une connerie ? Peux tu te justifier, s'il te plait ?
Parce que je pense que c'est trop rentrer dans des conneries de details techniques.
Donc t'as vraiment envie qu'il y ait une loi la dessus ? qui te dis comment tu dois gerer ces trucs ?
Et si demain y a encore un autre truc dans le meme genre ? On va refaire une loi ? Et donc embaucher les gens qui vont faire le controle qui va avec ?
J'ai bossé avec des gens dont les clients etaient les differents ministeres. Heben c'est le client qui te demande de respecter tels ou tels trucs pour signer avec toi (et c'est bien galère), mais pas une loi.
Si free se fait pirater 2 fois par an, ben c'est leur boite, leur reputation, leur probleme, il passeront pour des ploucs, perdrons des clients ca leur fera les pieds et basta.
Pas l'état, mais les assurances.
A quand meme. ouf !
Laisser sa porte ouverte est une incitation au cambriolage et tu ne peux réclamer aucun dédommagement en cas de vol.
Oui tout a fait, et c'est tant mieux. Tu t'assures contre le vol, ou pas, bref tu geres ta vie, ton risque, toi meme avec ton assurance. L'etat n'a rien à faire la dedans.
Le blocage DNS, c'est éviter qu'internet devienne une zone de non-droit.
Et ca me va tres bien.
Decision judiciaire, basique à appliquer et a verifier. Et ca ne coute rien.
-
@ Free_me : tu n'acceptes pas l'ingérence de l'état, même si c'est pour des questions de sécurité.
La bonne question est la sécurité de qui ? La tienne ou celle de l'état ? Et pour faire quoi ? Du flicage ? Ou bien punir les mauvais comportements ?
Je veux bien que l'on responsabilise les gens mais tout le monde n'a pas la capacité de bien se protéger, et il faut pour certains des garde-fous. Il est très facile de cliquer sur le mauvais lien, de faire un achat onéreux et de constater que l'on vient de se faire avoir. Si cela peut empêcher ce genre d'arnaque, je suis preneur. Je veux dire que je ne dois pas me poser des questions métaphysiques quand je clique sur un lien et que celui doit être ce qu'il prétend être, et rien de plus.
-
@ Free_me : tu n'acceptes pas l'ingérence de l'état, même si c'est pour des questions de sécurité.
Mais pas du tout, y a plein de domaines où c'est parfaitement legitime.
Mais là c'est carrement du micro details technique. Et si on va la dedans, le champ des possible est bien trop vaste et changeant pour qu'une quelconque authorité puisse s'amuser a vouloir encadrer ce qu'il faut faire ou ne pas faire.
Bientot on va dire que c'est interdire du code qui laisse passer les injections SQL alors ? Ben non, c'est pas interdit.
-
Bientot on va dire que c'est interdire du code qui laisse passer les injections SQL alors ? Ben non, c'est pas interdit.
Hadopi interdit bien de cracker les DRM, non?
-
=> DADVSI/DRM : le Conseil d'État rétablit le contournement à des fins d'interopérabilité (https://www.april.org/dadvsidrm-le-conseil-detat-retablit-le-contournement-a-des-fins-dinteroperabilite)
-
Merci Vivien.
On vit quand même dans un pays de fous... ::)
-
Sans le contournement des DRM, il serait impossible de lire des DVD sous Linux.
Pour les Blu-ray, VLC a essayé d'avoir les éléments essentiels à la lecture sans passer par une licence, tout en garantissant l'interopérabilité du logiciel, mais cela n'a pas fonctionné.
Les documents de WikiLeaks permettent de voir l’intervention des géants du Blu-ray dans le dossier Hadopi VLC : https://next.ink/18521/93861-wikileaks-l-intervention-geants-blu-ray-dans-dossier-hadopi-vlc/
-
Et dire que je n'ai jamais acheté un blu-ray, disque et lecteur. Je suis vraiment un fossile! :)
-
Pour revenir dans le sujet, devinez qui va aussi s'y (re)mettre ?
-
Mention spéciale au mec qui disait ici que c'était inutile :p
-
Et dire que je n'ai jamais acheté un blu-ray, disque et lecteur. Je suis vraiment un fossile! :)
Pareil. ::)
Je ne sais pas si vous l'avez vu, mais Vivien dans le premier message de ce sujet, a ajouté une liste de tous les opérateurs.
Les "unsafe" sont dominants dans la liste. Il y a encore du boulot !
-
Oui, c'est vraiment une grosse capture d'écran (je n'ai pas pu la compresser en WebP, on dépasse la taille maximale de 16 383 pixels de haut), mais je me suis dit qu'il était intéressant d'avoir une photo pour voir les évolutions qui vont arriver.
Car c'est clairement le but du site : "name abnd shame".
Je serais l'ANSSI, c'est un sujet que j'évoquerais avec les opérateurs (le site prémâche le travail en réalisant le diagnostic et montrent que certains arrivent bien à le mettre en place)
-
Car c'est clairement le but du site : "name abnd shame".
Voila, je prefere largement ca que 'legiferer' sur ces conneries.
-
Mention spéciale au mec qui disait ici que c'était inutile :p
C’est loin d’être inutile.. la plus part des gros CDNs et Cloud Providers commencent à dropper les routes avec un RPKI invalide. Voici l’exemple de AMAZON AWS (AS16509):
RPKI:
AWS drops all routes identified as RPKI invalid on incoming eBGP sessions.
(https://i.postimg.cc/MT2vCJqW/IMG-4396.png)