Routage et vulnérabilité

classic Classic list List threaded Threaded
8 messages Options
Reply | Threaded
Open this post in threaded view
|

Routage et vulnérabilité

SDL-8
Bonsoir

J'ai une question : est-ce que : CARP, OPENBGPD et OSPF subissent des audit
sévére comme pour l'OS lui-même ?

Cordialement
Reply | Threaded
Open this post in threaded view
|

Re: Routage et vulnérabilité

gabriel-74
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Ils ont surement été audité aussi mais, ces services n'étant pas activé
dans "l'installation par défaut", fatalement, ces "services" sont audité
moins "sévèrement" que OpenSSH par exemple. Mais je crois que ceci est
essentiellement dû aux manque de dévellopeurs capable de le faire
(malheureusement, je n'en suis pas capable non plus)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
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=eSf6
-----END PGP SIGNATURE-----

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Routage et vulnérabilité

SDL-8
Merci, je vais rester avec PF pour l'instant. Et voir CARP, quand
j'attaquerais le routage pur avec OpenBGPD / OSPF.

D'ailleurs si des personnes, ont des tutos pour les "best pratices and
secure" pour OBGPD/OSPF

Le 28 mai 2011 23:17, gabriel <[hidden email]> a écrit :

> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Ils ont surement été audité aussi mais, ces services n'étant pas activé
> dans "l'installation par défaut", fatalement, ces "services" sont audité
> moins "sévèrement" que OpenSSH par exemple. Mais je crois que ceci est
> essentiellement dû aux manque de dévellopeurs capable de le faire
> (malheureusement, je n'en suis pas capable non plus)
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.11 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
>
> iQGcBAEBAgAGBQJN4WZiAAoJEDyo2ztxEFqFkmgMAI1e2uSc7xxpuLVj9q9u0TsT
> KDGihXIRuqWncxJ7dGiIf4miKOCceoimYaQ7Q/XglmxaKgQcepbYfQXPh5en74ro
> wirywrrd7gGh6oVMzZYt/BOHOWK3+KleK4Cx+Bne6hfYw/HiOjUWq8s+W/zDlEFj
> U7hmzd8RsaeHVwI4yXIEUGmDbRPId16NLDG9ZYTGe3UfnAW0eOi9G2qk6eYQrn/d
> 0zzJnF7yErtenYDmOdgA2FvISsaJ3v5YqPL5si0srFiXUf1TPqYm+ubZgpfSKZqP
> 4lb7j35HRyrbsrLxHM3snMBJiK02gCGRd5GlpPvw92YSCyNipgWkRYmrx3N58D97
> 4RR504AszY+jzwPAjtuZGq5ZYFP0BKIP53PDEl2Xsp66ZZW28mtAiU0Px+9mo9WI
> F2brrclpxOysFKZPmfSFdLqQgWhQWJmtr5AYjgJhE53d+b9V9x4L3di/459mzXRZ
> pC7ceqVOFulqgsW0cgNvnHJGiK9sxnpxjjAmkc4CqQ==
> =eSf6
> -----END PGP SIGNATURE-----
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/communaute.php
>
>
Reply | Threaded
Open this post in threaded view
|

Re: Routage et vulnérabilité

Julien Escario
Le 29/05/2011 09:50, SDL a écrit :
> Merci, je vais rester avec PF pour l'instant. Et voir CARP, quand
> j'attaquerais le routage pur avec OpenBGPD / OSPF.
>
> D'ailleurs si des personnes, ont des tutos pour les "best pratices and
> secure" pour OBGPD/OSPF

Rien de tout ça mais de manière générale, ces protocoles ne sont pas prévus pour
être "exposés" (dédiés à une interface connectée directement au peer).

Donc par conception BGP est "insecure" (il est même rare que l'on s'amuse à le
crypter) et on préfère se baser sur le confiance que l'on met dans le mec en
face. Ca n'empêche pas de limiter le nombre de préfixes annoncés par exemple
pour éviter de se prendre des full route de la part d'un peer par erreur.

Idem pour OSPF, c'est quand même rarement utilisé autrement qu'en interne sur
ton réseau (genre pour annoncer des /32 entre tes routeurs), non ?

Encore idem pour CARP, tu le connectes en direct entre deux interfaces dédiées
de tes routeurs non ?

En gros, je ne vois pas en quoi la sécurité est si importante quand tu as
confiance en tous ceux susceptibles d'attaquer ...

Julien

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Routage et vulnérabilité

SDL-8
Ah pourtant Henning a fait des tutos " secure BGP " ....

Un exemple ici

http://quigon.bsws.de/papers/euroBSDCon2004/


Je ne comprends pas trop ta façon de penser ?

Le 29 mai 2011 10:25, Julien Escario <[hidden email]> a écrit :

> Le 29/05/2011 09:50, SDL a écrit :
>
>> Merci, je vais rester avec PF pour l'instant. Et voir CARP, quand
>> j'attaquerais le routage pur avec OpenBGPD / OSPF.
>>
>> D'ailleurs si des personnes, ont des tutos pour les "best pratices and
>> secure" pour OBGPD/OSPF
>>
>
> Rien de tout ça mais de manière générale, ces protocoles ne sont pas prévus
> pour être "exposés" (dédiés à une interface connectée directement au peer).
>
> Donc par conception BGP est "insecure" (il est même rare que l'on s'amuse à
> le crypter) et on préfère se baser sur le confiance que l'on met dans le mec
> en face. Ca n'empêche pas de limiter le nombre de préfixes annoncés par
> exemple pour éviter de se prendre des full route de la part d'un peer par
> erreur.
>
> Idem pour OSPF, c'est quand même rarement utilisé autrement qu'en interne
> sur ton réseau (genre pour annoncer des /32 entre tes routeurs), non ?
>
> Encore idem pour CARP, tu le connectes en direct entre deux interfaces
> dédiées de tes routeurs non ?
>
> En gros, je ne vois pas en quoi la sécurité est si importante quand tu as
> confiance en tous ceux susceptibles d'attaquer ...
>
> Julien
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/communaute.php
>
>
Reply | Threaded
Open this post in threaded view
|

Re: Routage et vulnérabilité

Julien Escario
Le 29/05/2011 11:11, SDL a écrit :
> Ah pourtant Henning a fait des tutos " secure BGP " ....

Grand bien lui fasse !
Je ne vois toujours pas l'intérêt.

> Un exemple ici
>
> http://quigon.bsws.de/papers/euroBSDCon2004/
>
>
> Je ne comprends pas trop ta façon de penser ?

Elle est simple : osef de la sécurité si j'ai confiance en tous ceux à qui je parle.

Julien

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Routage et vulnérabilité

Philippe Schwarz
In reply to this post by SDL-8
Le 29/05/2011 11:11, SDL a écrit :

> Ah pourtant Henning a fait des tutos " secure BGP " ....
>
> Un exemple ici
>
> http://quigon.bsws.de/papers/euroBSDCon2004/
>
>
> Je ne comprends pas trop ta façon de penser ?
>
> Le 29 mai 2011 10:25, Julien Escario <[hidden email]> a écrit :
>
>> Le 29/05/2011 09:50, SDL a écrit :
>>
>>> Merci, je vais rester avec PF pour l'instant. Et voir CARP, quand
>>> j'attaquerais le routage pur avec OpenBGPD / OSPF.
>>>
>>> D'ailleurs si des personnes, ont des tutos pour les "best pratices and
>>> secure" pour OBGPD/OSPF
>>>
>>
>> Rien de tout ça mais de manière générale, ces protocoles ne sont pas prévus
>> pour être "exposés" (dédiés à une interface connectée directement au peer).
>>
>> Donc par conception BGP est "insecure" (il est même rare que l'on s'amuse à
>> le crypter) et on préfère se baser sur le confiance que l'on met dans le mec
>> en face. Ca n'empêche pas de limiter le nombre de préfixes annoncés par
>> exemple pour éviter de se prendre des full route de la part d'un peer par
>> erreur.
>>
>> Idem pour OSPF, c'est quand même rarement utilisé autrement qu'en interne
>> sur ton réseau (genre pour annoncer des /32 entre tes routeurs), non ?
>>
>> Encore idem pour CARP, tu le connectes en direct entre deux interfaces
>> dédiées de tes routeurs non ?
>>
>> En gros, je ne vois pas en quoi la sécurité est si importante quand tu as
>> confiance en tous ceux susceptibles d'attaquer ...
>>
>> Julien
>>
>> ________________________________
>> French OpenBSD mailing list
>> [hidden email]
>> http://www.openbsd-france.org/communaute.php
>>
>>
>
Aucun rapport !
Tu demandes l"audit de sécurité " de OpenBGPd et quand on te montre ton
erreur, tu réponds un doc sans rapport ou presque. La sécurité du
protocole c'est une chose; celle de son implémentation, une autre.

Quant au "routage pur", je m'interroge. Du routage statique sur ton LAN
avec une GW, c'est déja du "routage pur", Mr Jourdain.. Maintenant BGP,
c'est pour tester ou tu as une AS sous la main?

Une dernière remarque:
C'est vraiment plus motivant de répondre à un individu qu'à un pseudo....

Cordialement

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Routage et vulnérabilité

SDL-8
Bonjour

Le post a eu plusieurs parties :

1)
- La question sur l'audit : Est-ce CARP/OpenBGPD/OSPF  est aussi sûr que le
systéme ?.
Réponse : Oui et non

2) Est-ce qu'il y a des tutos pour OpenBGPD/OSPF pour les bonnes pratique ?
Réponse: c'est inutile

Alors, que j'ai trouvé des tutos en anglais sur ce sujet. D'où mon
incompréhension.




Le 29 mai 2011 16:59, Philippe Schwarz <[hidden email]> a écrit :

> Le 29/05/2011 11:11, SDL a écrit :
> > Ah pourtant Henning a fait des tutos " secure BGP " ....
> >
> > Un exemple ici
> >
> > http://quigon.bsws.de/papers/euroBSDCon2004/
> >
> >
> > Je ne comprends pas trop ta façon de penser ?
> >
> > Le 29 mai 2011 10:25, Julien Escario <[hidden email]> a écrit :
> >
> >> Le 29/05/2011 09:50, SDL a écrit :
> >>
> >>> Merci, je vais rester avec PF pour l'instant. Et voir CARP, quand
> >>> j'attaquerais le routage pur avec OpenBGPD / OSPF.
> >>>
> >>> D'ailleurs si des personnes, ont des tutos pour les "best pratices and
> >>> secure" pour OBGPD/OSPF
> >>>
> >>
> >> Rien de tout ça mais de manière générale, ces protocoles ne sont pas
> prévus
> >> pour être "exposés" (dédiés à une interface connectée directement au
> peer).
> >>
> >> Donc par conception BGP est "insecure" (il est même rare que l'on
> s'amuse à
> >> le crypter) et on préfère se baser sur le confiance que l'on met dans le
> mec
> >> en face. Ca n'empêche pas de limiter le nombre de préfixes annoncés par
> >> exemple pour éviter de se prendre des full route de la part d'un peer
> par
> >> erreur.
> >>
> >> Idem pour OSPF, c'est quand même rarement utilisé autrement qu'en
> interne
> >> sur ton réseau (genre pour annoncer des /32 entre tes routeurs), non ?
> >>
> >> Encore idem pour CARP, tu le connectes en direct entre deux interfaces
> >> dédiées de tes routeurs non ?
> >>
> >> En gros, je ne vois pas en quoi la sécurité est si importante quand tu
> as
> >> confiance en tous ceux susceptibles d'attaquer ...
> >>
> >> Julien
> >>
> >> ________________________________
> >> French OpenBSD mailing list
> >> [hidden email]
> >> http://www.openbsd-france.org/communaute.php
> >>
> >>
> >
> Aucun rapport !
> Tu demandes l"audit de sécurité " de OpenBGPd et quand on te montre ton
> erreur, tu réponds un doc sans rapport ou presque. La sécurité du
> protocole c'est une chose; celle de son implémentation, une autre.
>
> Quant au "routage pur", je m'interroge. Du routage statique sur ton LAN
> avec une GW, c'est déja du "routage pur", Mr Jourdain.. Maintenant BGP,
> c'est pour tester ou tu as une AS sous la main?
>
> Une dernière remarque:
> C'est vraiment plus motivant de répondre à un individu qu'à un pseudo....
>
> Cordialement
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/communaute.php
>
>