rssLink RSS for all categories
 
icon_orange
icon_green
icon_orange
icon_red
icon_red
icon_green
icon_green
icon_red
icon_red
icon_orange
icon_green
icon_green
icon_green
icon_orange
icon_orange
icon_red
icon_green
icon_green
icon_red
icon_green
icon_green
icon_blue
icon_red
icon_red
icon_orange
icon_green
icon_green
icon_green
icon_green
icon_green
icon_green
icon_green
 

FS#4140 — ICMP/PING

Attached to Project— Reseau Internet et Baies
Maintenance
Tout le réseau
CLOSED
100%
Nous venons de mettre en place les limitations de trafic sur la
couche ICMP "Internet" vers "Ovh". Ceci a pour le but de proteger
mieux notre reseau au niveau des attaques "betes" faites par les
apprenti hackeurs.
Date:  Tuesday, 18 May 2010, 16:48PM
Reason for closing:  Done
Comment by OVH - Wednesday, 28 April 2010, 13:55PM

Bonjour,
Depuis peu nous remarquons une augmentation très importante
d'attaques que notre réseau subit. La taille du réseau et
la quantité de clients qu'on héberge est à "l'origine" de
ce problème.

Il existe des attaques "bêtes" alias "trivial" qu'on ne
souhaite plus subir à chaque fois que des gamins sont
en vacances.

Nous avons décidé de limiter le trafic "internet" vers
"Ovh" au niveau de la couche ICMP. Aucune limitation sur
le TCP ni UDP (heureusement !). La couche ICMP sert à
"surveiller" le matériel sur le Net et à ce niveau là
ICMP est très coûteux à router. Nos routeurs étaient
déjà protégés depuis 7-8ans et répondaient "parfois"
aux requêtes ICMP. Désormais tout le réseau répond parfois
en ICMP.

Les conséquences:
Si vous avez des sondes qui surveillent vos installations
chez Ovh en ICMP et à partir de l'extérieur de notre
réseau, vous risquez recevoir beaucoup de "faux positive".
La solution consiste à surveiller les services type WEB,
smtp ou DNS, donc en TCP/UDP et non le serveur global en
ICMP.

Il ne s'agit pas d'une coupure totale, mais d'une limitation
à 512Kbps par connexion entre "Internet" vers "Ovh". Donc
c'est toujours possible de faire le traceroute. Juste quand
Ovh subit une attaque et cette attaque vient par le même
lien que vous utilisez, le traceroute n'est pas beau durant
l'attaque.

Le trafic ICMP n'est pas limité à l'intérieur du réseau.
Nous avons mis les protections juste sur les connexions
entre "Internet" et "Ovh". Uniquement sur la bordure du
réseau pour le trafic qui nous arrive de l'Internet.

En savoir plus:
http://travaux.ovh.com/?do=details&id=4140

Est-ce définitive ? Nous allons regarder sur 2-3 semaines
le nombre d'attaque que notre réseau subit et si ça ne
sert à rien de limiter ICMP on va enlever cette protection.
La probabilité qu'on ait cette conclusion est faible.

Par contre, on pousse Cisco pour qu'il implémente dans le
CRS-3 (le gros routeur dont tout le monde a entendu parlé)
les fonctionnalités UBRL qui ne sont possible que sur les
Cisco 6500. C'est une sort de QoS dynamique qui se base
sur le netflow pour matcher les access-list et les policy.
C'est très puissant, marche de tonneur mais demandent
les routeurs qui sont puissant en netflow. Cisco 6500
n'est pas très fort en netflow. CRS-3 l'est. Mais la
fonction n'est pas dedans. Bref ... si un jour on a des
routeurs intelligents on pourra faire cette limitation
de manière intelligente. Actuellement on fait avec les
moyens du bords :(

Amicalement
Octave


Comment by OVH - Sunday, 02 May 2010, 12:25PM

On laisse les parametres en place pour une durée de
3 semaines.


Comment by OVH - Tuesday, 18 May 2010, 16:48PM

Nous enregistrons moins d'attaques sur notre reseau.

Nous avons modifié les regles afin d'améliorer ce
filtrage et isoler le comptable ICMP pour augmenter
la limite à 1Mbps /link INPUT de notre reseau. On
devrait enregistrer moins de faux positives.