Auteur Sujet: Tunnel GRE sur le serveur LaFibre.info pour récupérer une IPv4 MilkyWan (Lu 12002 fois)

Anonyme · « **Réponse #36 le:** 12 septembre 2020 à 17:12:47 »

Et si il y a un DDOS sur les IP GRE ?

Discussion publique ? Pas mieux pour ouvrir une surface d'attaque.

Hugues · « **Réponse #37 le:** 12 septembre 2020 à 17:49:37 »

Volterra nous protège des attaques DDoS, ce n'est plus un risque et c'est pour ça qu'on en parle

vivien · « **Réponse #38 le:** 12 septembre 2020 à 20:32:20 »

L'IPv4 en question est derrière un firewall managé.

La configuration cible est que l'IP soit bloquée en edge chez eux, de manière à n'être accessible que depuis le réseau Volterra, ce qui permet d'éviter tout type de DDOS, l'IPv4 n'étant pas du tout accessible sur Internet.

Actuellement cette règle en service car tout n'est pas sec (migration vers un nouveau portail), mais cela sera bientôt le cas.

Donc je préfère qu'on ne diffuse pas l'IPv4 en question pour le moment, mais je le ferais avec plaisir dés qu'elle ne sera plus accessible d'Internet.

Leon · « **Réponse #39 le:** 12 septembre 2020 à 20:38:28 »

Je pense que Anonyme parlait plutôt de l'IP du serveur lafibre.info, l'IP NetSyst, par laquelle passe le tunnel GRE.

Si j'ai tout compris, actuellement rien ne protège réellement cette IP contre une attaque "volumique". Sauf que l'IP est tenue plus ou moins secrète.

Vivien et Hugues ont déjà annoncé qu'ils étudient une solution alternative pour donner au serveur une connexion et une nouvelle IP protégée des attaques.

Leon.

Hugues · « **Réponse #40 le:** 12 septembre 2020 à 20:48:20 »

Y'a une protection naturelle, c'est que Netsyst se fera attaquer en transit (et ses transits sont tous en 1G) et on passe par un peering.

De plus, netsyst est client chez nous, et ils sont aussi protégés par l'anti ddos de volterra

vivien · « **Réponse #41 le:** 12 septembre 2020 à 21:22:47 »

Il y a des routes statiques mises en place sur cette IPv4, donc si elle n'est plus annoncée sur Internet (à cause d'un DDOS), le tunnel GRE devrait pouvoir continuer à fonctionner.

C'est une solution qui est probablement temporaire, je regarde les solutions coté Rezopole pour avoir directement l'IPv4 MilkyWan (celle qui est derrière un firewall managé) sur le serveur, donc sans tunnel GRE, ni IPv4 NetSyst.

Anonyme · « **Réponse #42 le:** 13 septembre 2020 à 03:10:19 »

Pourquoi tu mets pas un CNAME et un roundrobin sur le DNS pour V4 (sur différents VPS chez différents hébergeurs )?

Pas que la solution MW soit mauvaise, on connait les loustics.

Leon · « **Réponse #43 le:** 13 septembre 2020 à 06:12:47 »

Citation de: Hugues le 12 septembre 2020 à 20:48:20

De plus, netsyst est client chez nous, et ils sont aussi protégés par l'anti ddos de volterra

Tiens, j'avais zappé ça... si je comprends bien, dans les situations où le le peering Lyon-IX est HS entre MilkyWan et NetSyst, alors on passe par le transit MilkyWan qui est sur des tunneles GRE (sur un accès FTTH grand public).
Donc ça fait que Lafibre.info est dans une double encapsulation de tunnel GRE...

Ca va faire hurler notre ami kgersen

Leon.

vivien · « **Réponse #44 le:** 13 septembre 2020 à 07:38:21 »

Effectivement, il est possible de passer par une double encapsulation de tunnel GRE si le lien Rezopole de NetSyst tombait : NetSyst a un ou deux tunnels GRE, sur du FTTH Orange et une connexion K-Net par exemple, pour avoir du back-up.

Hugues · « **Réponse #45 le:** 13 septembre 2020 à 10:12:05 »

Il y'a des routes statiques pour l'IP de vivien, donc a moins qu'il y'ait une coupure sur LyonIX ou qu'un de nous deux coupe son port, le trafic continuera de passer par LyonIX.

Le reste du trafic entre Netsyst et MilkyWan passe par les tunnels ou les route server de LyonIX

kgersen · « **Réponse #46 le:** 13 septembre 2020 à 10:47:50 »

Citation de: Hugues le 12 septembre 2020 à 12:07:40

Pas du tout, t'as vraiment rien compris.

Le souci c'est pas que Volterra ne supporte pas IPv6 : Il n'y a pas besoin de protection IPv6 à date, les attaques ne se font qu'en v4.
Le souci c'est de protéger le lien entre le serveur de Lafibre et Internet.
Au début, il passait par Adeli pour joindre Volterra, les attaquants ont trouvé l'IP et attaqué Adeli.

calme toi j'avais compris tout ca.

si le souci est que Volterra ne supporte pas IPv6: oui on sait que les attaques n'ont pas lieu en IPv6 (cf plus avant) donc le serveur web lafibre.info n'a plus besoin d'avoir IPv4 public 'du tout' SI Volterra savait RP v4->v6. tout le probleme est la depuis le début.

La solution simple aurait été de virer IPv4 complètement de son serveur. C'est LE meilleur moyen de se protéger des attaques. ca vaut tout les tunnels, blocage aux edges, access-list, etc et autres magouilles en IPv4.

Hugues · « **Réponse #47 le:** 13 septembre 2020 à 10:55:26 »

Tu dis que t'as compris, mais tu démontres l'inverse.

Partons du principe que lafibre n'a plus d'IPv4 et passe par de l'IPv6 d'Adeli.
Que se passe-t-il si les attaquants tapent sur des IPv4 d'Adeli au hasard, saturant son réseau ?
Eh bien, le forum est down, et sans toucher à l'IP de la fibre.

De l'intéret du tunnel qui passe par des chemins "sécurisés" en attendant de trouver mieux (une interco dédiée)

- Si Volterra se fait DDoS, ils ont des Terabits de capa, ce n'est pas un souci
- Si MilkyWan se fait DDoS, on est protégés par Volterra, ce n'est pas un souci
- Si Netsyst se fait DDoS, ils sont protégés via MilkyWan et Volterra, et il y'a peu de chances que leur réseau 10G interne sature vu qu'ils ont des transits en 1G et que le lien vers MilkyWan passe par LyonIX, donc ce n'est pas un souci.

Donc c'est la solution la plus robuste, qui évite de mettre Adeli en difficulté (le réseau n'étant pas dédié à Lafibre.info)

De plus, Lafibre a besoin d'envoyer des mails, donc il faut que le serveur ait une IPv4 de toute façon.