Re: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle fai sabilité ? (+ présentation )
At 00:22 15/06/2008, you wrote: Voter une loi sur le territoire français pour obliger le fait qu'une ip = une url à l'étranger? Oh non, une loi mondiale, comme on essaie de plus en plus de nous en faire gober, genre l'iran c'est dangereux si ils ont la bombe. 'Spyou' - www.spyou.org - [EMAIL PROTECTED] ircnet.nerim.net - UIN : 6871374 Don't dream it, Be it. (RHPS) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RE: [FRnOG] Fil trage d'URL via BGP shunt : quelle fai sabilité ? (+ présentation )
On Sun, Jun 15, 2008 at 11:29:34AM +0200, Spyou wrote: At 00:22 15/06/2008, you wrote: Voter une loi sur le territoire français pour obliger le fait qu'une ip = une url à l'étranger? Oh non, une loi mondiale, comme on essaie de plus en plus de nous en faire gober, genre l'iran c'est dangereux si ils ont la bombe. Bonjour, C'est mon premier post ici alors je vais me présenter rapidement avant toute chose. Je suis Nicolas Haller, en fin de carrière d'étudiant en informatique et futur admin système sauf cas improbable :-) Je pense que le fait de limiter l'utilisateur sur le contenu de ce qu'il émet/envoie (filtrage de contenu, limitation de service...) est en violation au principe de neutralité du réseau déjà évoqué ici. Il faut bien comprendre que cette neutralité du réseau est en fait la neutralité d'un moyen de communication. En effet, puisque la communication est le fait de transmettre des informations au sens large, le réseau internet est comparable au réseau téléphonique, postal, radio et dans une moindre mesure le réseau des médias (télévision, stations radio, presse écrite). Cela veut dire qu'internet n'est pas un réseau spécial par nature, ce n'est que la technologie qui change. Par conséquent, il y a deux points épineux, qui est responsable de ce qui passe dans les tuyaux et jusqu'où peut-on appliquer des filtres sur les réseaux. Sur la responsabilité, elle est assez clairement défini pour les canaux de communication classique. Pour le réseau postal ou téléphonique, la responsabilité incombe à l'émetteur du message. En effet, si vous envoyez des menaces de mort à votre belle-mère ou des éléments classés secrets défense à une ambassade, FT ou la poste ne seront pas condamné, vous si. Et pour cause, FT et la poste ne sont pas au courant de se qui passe, se qui passe est protégé par le secret des communications. Ce qui ammène au second point, le filtrage. Le filtrage tel que demandé par l'industrie du disque est d'analyser le contenu des informations transitant dans les réseaux. Transposé au réseau téléphonique cela s'appelle une mise sur écoute, et transposé aux postes, c'est la violation du secret des correspondances. Ces deux choses sont pris très au sérieux dans la loi française, en effet, la mise sur écoute ne peut être fait par la police que dans le cadre d'une affaire judiciaire après rédaction d'une ordonance de mise sous écoute par un magistrat (sauf affaire sur le terrorisme), et la violation des correspondances est un délit pouvant faire prendre six mois ferme à son auteur. Bref, il est effarant qu'après que la loi française est pris tant de précaution sur la protection des conversations téléphoniques et postales, le gouvernement veuille prendre autant de liberté avec Internet. Alors bien sur, la réponse à cela est que le filtrage est au-to-ma-ti-sé. Et alors? Le but final est d'analyser les messages litigieux. Ces messages seront vérifié à la main. Les systèmes automatiques ne sont pas infaillible (j'en veux pour preuve les anti-spam). Bref, est-ce dans l'esprit de la loi qu'un policier regarde un mail qui contient une blague belge avec Marc Dutroux? Ou regarde ce que je télécharge sous pretexte que cela passe par du torrent? Je ne le pense pas. Bref, ces solutions sont des solutions de facilité. Elle déresponsabilise selon moi les utilisateurs de leurs actes. C'est aux utilisateurs d'Internet, au même titre que les utilisateurs du téléphone ou de la poste, d'assumer les conséquences de leurs actes. Les FAI ne sont pas les papa des utilisateurs, ils ne sont pas là pour les surveiller. Les FAI ont pour devoir de collaborer avec la justice sur sa requête mais surment pas pour tout filtrer pour le compte d'un gouvernement pour le compte de certain interet. Voila, cela reste bien entendu mon humble avis sur la question :-) Bonne fin de week-end à tous -- Nicolas Haller --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
At 12:14 15/06/2008, you wrote: Tout cela militant encore une fois pour un coeur de réseau neutre et un système de filtrage distribué à la périphérie (box et serveurs). Box uniquement, du coup, puisque le but est de lutter contre les mechants vilains serveurs. Du coup, ca veut dire beaucoup moins d'interet pour ceux qui souhaitent voir ces contenus inaccessible, a moins de solutions d'accès proprietaires empechant les materiels non pourvus de systeme de filtrage de fonctionner. La seule difference avec toutes les (bonnes) analogies dont nous usons aujourd'hui pour prouver que le transport se doit d'etre neutre et que ce sont les extremités qui doivent continuer a etre responsables, c'est que le piratage (valable aussi pour la pedopornographie, l'appel au meurtre compagnie) a toujours existé mais n'etait pas facilité par le transport ; quand on s'envoyait des disquettes de jeu pour atari il y'a 20 ans, on faisait une enveloppe avec une disquette pour un destinataire .. aujourd'hui, on colle un client p2p et on touche des millions de gens en un claquement de doigt. Alors nous sommes bien tous d'accord, la neutralité, c'est capital, mais quand le transport induit une facilité accrue des usages illegaux, il y'a quand meme matiere a discussion. Nous ne voulons pas aujourd'hui de filtrage en coeur de réseau et nous militons pour qu'il se fasse en peripherie ... ok ... aurons-nous reelement gagné la bataille si demain l'internaute lambda est coincé avec la FAIBox qu'on lui a donné et ne peut rien faire d'autre que ce qui a été permis par le gouvernement avec ? On en appel a la responsabilité de l'utilisateur ... m'est avis que l'utilisateur n'a pas du tout envie d'etre responsable .. après tout, ca fait plusieurs dixaines d'années que la societé infantilise tout le monde a grand renfort de lois censées nous proteger (de quoi ? de qui ?) Au final, j'ai bien peur que le gagnant soit, comme d'habitude, celui qui a le plus gros chequier, meme si son business model est dépassé depuis 10 ans. my two cents. 'Spyou' - www.spyou.org - [EMAIL PROTECTED] ircnet.nerim.net - UIN : 6871374 Don't dream it, Be it. (RHPS) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle fa isabilité ? (+ présentation )
La base complète websense fait un peu plus d'un Giga décompressée. Mais là il s'agirai de bloquer des exceptions, pas de filtrer par catégorie. On peut aussi imaginer que les box requêtes un webservice central Vu qu'il s'agit du chat et de la souris, je doute que ce genre de solution soit fiable dans le temps. Cordialement, Mathieu CHATEAU french blog: http://www.lotp.fr english blog: http://lordoftheping.blogspot.com -Message d'origine- De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part de Xavier Beaudouin Envoyé : dimanche 15 juin 2008 13:06 À : frnog@frnog.org Objet : Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation ) Le 15 juin 08 à 12:51, Yann JOUANIN a écrit : A l'heure où tous les FAI déploient des box chez l'abonné, y installer un petit proxy transparent avec une blacklist mise à jour régulièrement serait il possible? Quel coûts (hors dev) cela pourrait-il engendrer? Ceci dépends des FAI... Certains ont un parc assez homogène et ont a peu prêt la maîtrise de ce qu'il y a sur cette box. Donc ca serait facile pour eux de le faire... Et ils l'ont déjà fait pour un port 25 (activable / désactivable via un panneau de contrôle). D'autres ont un parc hétérogène... avec des box, des modem, et plein de trucs divers... Pour ceux-ci ca coûterais le changement de toutes leur *box par un plus récente et un echange modem vs box. Donc cher ! Et il y a les gens qui ont des choses intermédiaires... plusieurs génération de box, pas développés par eux avec des petits CPU et peu de RAM (voir quelques posts plus loin sur les CPU des box), et donc nécessite des fois soit un renouvellement des box, soit un redeveloppement du firmware par un boite tier Bref, il y a des cas simples et des cas compliqués. Mais il est vrai que faire le filtrage sur les box elles même peut- être intéressant sauf si la liste des URL fait des Gigas /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle fai sabilité ? (+ présentation )
2008/6/15 Nicolas Haller [EMAIL PROTECTED]: Bref, ces solutions sont des solutions de facilité. Elle déresponsabilise selon moi les utilisateurs de leurs actes. C'est aux utilisateurs d'Internet, au même titre que les utilisateurs du téléphone ou de la poste, d'assumer les conséquences de leurs actes. Les FAI ne sont pas les papa des utilisateurs, ils ne sont pas là pour les surveiller. Les FAI ont pour devoir de collaborer avec la justice sur sa requête mais surment pas pour tout filtrer pour le compte d'un gouvernement pour le compte de certain interet. Bonjour. http://www.mitpressjournals.org/doi/pdf/10.1162/dmal.9780262633598.053 High Tech or High Risk: Moral Panics about Girls Online Cette étude du MIT arrive à peu près aux mêmes conclusions que vous. Historiquement, à chaque innovation technologique d'envergure, Télégraphe, Télephone, Internet, une sorte de front moral essaye de restreindre l'usage de la technologie en invoquant une menace démesurée par rapport a la menace réelle et en de-responsabilisant certains ou l'ensemble des utilisateurs. Si cela était particulièrement vrai pour les femmes dans le passé, l'évolution des moeurs fait que l'interdit s'applique à l'ensemble de la population And in each case that we have examined, from the telegraph to today, the result of the moral panic has been a restriction on girls' use of technology. As we have described above, the telegraph, the telephone, and then the internet were all touted for how easy they were for young women to use, and how appropriate it was for young women to use them. Ineluctably, in each case, that ease of use and appropriateness became forgotten in a panic about how inappropriate the young women's use of these technologies was, and how dangerous the women's use was to the societal order as a whole.
[FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quell e fai sabilité ? (+ présentation )
Limite HS désolé, mais certains FAIs ayant déjà mis le doigt dans la perversion du traitement des URLs avec le système d'aide à la navigation de http://www.golog.net/ pas étonnant que beaucoup pensent que tout est possible. Tout comme le filtrage du port 25 se répand pour cause de spam, celui du port 53 n'est pas loin sans pour autant endiguer quoique ce soit au niveau de la cible visée. Joel _ Envoyez avec Yahoo! Mail. Une boite mail plus intelligente http://mail.yahoo.fr
Re: [FRnOG] Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation)
Je propose une solution technique vachement moi couteuse pour les FAIs et techniquement facilement a mettre en place pour eux : tous les FAIs Francais sont oblige d'avoir comme seul et unique fournisseur l'ASxyz gere, maintenu et approuve par l'etat Francais, representant internationnal des libertes et droits de l'homme. Donc peering privee interdit (comme ca ca limite aussi les trolls a la con, donc augmente la productivite du peuple) Cordialement Julien Leroiso, Et vive la Coree du Nord... ex France... 2008/6/14 Raphaël Jacquot [EMAIL PROTECTED]: [EMAIL PROTECTED] wrote: Bonjour, Comme le veut l'usage pour un premier mail, je me présente, Christophe Espern. Je suis internaute militant à défaut d'être assureur :) Je suis notamment représentant de l'association April (http://april.org) au Forum des Droits sur Internet (http://foruminternet.org). J'ai aussi co-fondé http://eucd.info qui a mené campagne contre la loi DADVSI et http://laquadrature.net qui vise à informer sur les projets des pouvoirs publiques qui se heurtent ... au problème de la quadrature du net :) Je me suis inscrit sur cette liste suite à la lecture sur le web de messages , extraits du récent fil sur les projets de charte de confiance et de loi sur le filtrage, qui ont généré des unités de bruit médiatique cette semaine. Vu mes activités associatives, je suis amené à intervenir sur ce dossier pour donner un avis et faire des propositions soit dans le cadre du Forum des Droits sur Internet, soit directement auprès des pouvoirs publics. Dans ce cadre, je m'intéresse aux solutions techniques de filtrage que le gouvernement souhaiterait voir déployer par les fournisseurs d'accès français pour bloquer l'accès des internautes français aux contenus pédopornographiques hébergés à l'étranger. Plus particulièrement, je m'intéresse aux solutions techniques reposant sur un filtrage par URL via BGP shunt. Deux exemples de solutions sont mis en avant dans les discussions. Elles seraient utilisées en production sans souci majeur dans des pays démocratiques d'après mes interlocuteurs. http://www.netclean.com/EN/documents/NetClean_Whitebox_EN.pdf http://en.wikipedia.org/wiki/Cleanfeed_(content_blocking_system)http://en.wikipedia.org/wiki/Cleanfeed_%28content_blocking_system%29 Je sais que les FAI français objectent que la mise en place de tellles solutions seraient plus difficile en France et plaident pour un filtrage sur le poste client, ou à défaut par DNS. J'ai bien lu le témoignage anonyme d'un FAI publié récemment par le site PCINpact qui explique que l'infrastructure réseaux des pays utilisant ces solutions et le nombre d'abonnés concernés sont incomparable avec la situation française. Mais j'aimerais savoir si certains ici pourraient me fournir plus de détails. Voici une liste de questions qui me trottent dans la tête, pas toutes forcément pertinentes : Concrètement, que devrait faire un fournisseurs d'accès comme Free ou Neuf pour déployer une telle solution sur son réseau ? Quels sont les problèmes techniques principaux à résoudre au regard de la spécificité française ? Quels sont les critères pertinents permettant de déterminer le nombre de serveurs/boitiers de filtrage nécessaires (et donc estimer le coût en partie) ? Quelles sont les équipements complémentaires nécessaires ? Quelle est la durée nécessaire pour le faire ? Les ressources pour maintenir ? Quels sont les risques pour la qualité de service à l'abonné ? Quels sont les risques pour le réseau dans son ensemble (je pense ici à l'affaire du youtube blackhole : ) ? Notez que le fait que je ne m'intéresse dans ce mail qu'à la faisabilité technique et pas aux aspects juridiques, ni même à l'efficacité réelle de ces solutions ne signifie pas, loin de là, que je ne m'intéresse pas à ces questions. Mais j'ai beaucoup plus de mal à évaluer la partie faisabilité donc je me tourne vers vous (on m'a dit qu'ici c'était le lieu :) N'hésitez pas à être technique. Si mes bases sont insuffisantes, je pourrais toujours faire appel à des amis beaucoup plus compétents. Merci, Christophe je ne vais pas etre technique, mais plutot financier ;) vu l'architecture du réseau francais de la plupart des opérateurs (sauf les gens en non dégrouppé, et ceux chez orange) il faut compter un équipement a 4 eur par dslam dégrouppé et par opérateur. sachant que par exemple free (en mai 2008 d'apres la lettre de l'ADUF) a 1571 NRA, équipés de 3570 DSLAMS, et qu'il y a 3 opérateurs dégrouppeurs (free-alice / neuf), ca nous fait environ 1 dslams, il faut donc compter dans les 4 * 1 = 400'000'000 € rien que pour les équipements de filtrage, ce qui n'inclue naturellement pas le cout des ingénieurs et techniciens pour mettre en place la solution. au bas mot, cette petite sauterie couterait 1 Milliard. je propose de présenter la facture aux sociétés des médias qui les réclament a
[FRnOG] Re : [FRnOG] Re: [FRnOG] RE: [FRnOG] Fil trage d'URL via BGP shunt : quelle fai sabilité ? (+ présentation )
Joel EJC a écrit : Limite HS désolé, mais certains FAIs ayant déjà mis le doigt dans la perversion du traitement des URLs avec le système d'aide à la navigation de http://www.golog.net/ pas étonnant que beaucoup pensent que tout est possible. Tout comme le filtrage du port 25 se répand pour cause de spam, celui du port 53 n'est pas loin sans pour autant endiguer quoique ce soit au niveau de la cible visée. Oui enfin faut pas tout confondre non plus autant le blocage du port 25 était devenu indispensable à cause de la quantité de spam qu'envoyait malgré eux les abonnés, je parle pour orange qui était taggé comme étant le plus gros spammeur d'europe. Alors oui la décision a été prise que les abonnés devraient utiliser le smtp de leur provider, ce qui pour un FAI grand public ne me choque pas plus que ça. Si le blocage volontaire du port 25 a été prise du fait des contraintes de blacklists, le blocage du port 53, ou le forçage du DNS dans les boxes, sera aussi une réponse facile aux contraintes légales. Joel _ Envoyez avec Yahoo! Mail. Une boite mail plus intelligente http://mail.yahoo.fr
Re: [FRnOG] Re : [FRnOG] Re: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle fai sabilité ? (+ présentation )
Quelle belle discussion pour donner de l'eau au moulin des politiques qui n'ont pas l'entourage qui faut pour prendre la bonne décision. Les techniciens qui scient la branche sur laquelle ils sont assises. Non le bgp shunt n'est pas une solution ni technique ni economique. Pour le filtrage de la pourriture, il n'existe pas de solution non fashiste à ce probleme. a+ Frederic --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] RE: [FRnOG] Filtr age d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
Spyou wrote: At 12:14 15/06/2008, you wrote: Tout cela militant encore une fois pour un coeur de réseau neutre et un système de filtrage distribué à la périphérie (box et serveurs). Box uniquement, du coup, puisque le but est de lutter contre les mechants vilains serveurs. Du coup, ca veut dire beaucoup moins d'interet pour ceux qui souhaitent voir ces contenus inaccessible, a moins de solutions d'accès proprietaires empechant les materiels non pourvus de systeme de filtrage de fonctionner. La seule difference avec toutes les (bonnes) analogies dont nous usons aujourd'hui pour prouver que le transport se doit d'etre neutre et que ce sont les extremités qui doivent continuer a etre responsables, c'est que le piratage (valable aussi pour la pedopornographie, l'appel au meurtre compagnie) a toujours existé mais n'etait pas facilité par le transport ; quand on s'envoyait des disquettes de jeu pour atari il y'a 20 ans, on faisait une enveloppe avec une disquette pour un destinataire .. aujourd'hui, on colle un client p2p et on touche des millions de gens en un claquement de doigt. Alors nous sommes bien tous d'accord, la neutralité, c'est capital, mais quand le transport induit une facilité accrue des usages illegaux, il y'a quand meme matiere a discussion. Un flic dans chaque rue pour contrôler les mobylettes chargées de cannabis ? Un fin maillage océanique des douanes pour contrôler les bateaux pleins de cocaïne ? Un radar tout les kilomètres d'autoroute pour ma sois-disant sécurité ? Bref, cet avenir là ne m'intéresse pas, il me considère coupable de ce que je n'ai pas commis et me condamne par anticipation. Je ne vois pas en quoi Internet facilite les usages illégaux plus que tout autre moyen de transport ??? Que je sache on ne transporte pas encore les contrefaçons du polo Lacoste, de la casquette Nike, etc par Internet. La solution serait donc de placer un dispositif technique de filtrage (ex: SuperDRM) - en imaginant qu'il soit envisageable - sur toutes les machines à coudre de la planète ? Je dois être très naïf de croire que ce genre de solution est totalement à coté de la bonne raison qu'elle est sensée servir. On sait bien que la vraie raison est ailleurs, non ? Internet est un moyen technique, un paquet de procédés technologiques. Admettre une autre vision c'est déjà accepter l'invitation à la table des pourfendeurs de NOS libertés numériques pour le seul intérêt de leur compte bancaire aux îles Caïmans (quid de ces paradis fiscaux?). Grand naïf que je suis, j'ai du mal à croire que contraindre 99.99% des usagers n'ayant rien à se reprocher est un mal nécessaire ? N'y a t'il pas un léger déséquilibre entre menace _potentielle_ et réponse démesurée ? A mon sens le filtrage d'URL ou d'IP est une ineptie de plus. De tels dispositifs n'auront qu'un effet de court terme, contre productif et inefficace. Les usages délictueux sont le fait d'une minorité; elle s'adaptera bien vite (si ce n'est déjà fait) par des contres mesures plus difficiles à combattre (ex: Consultation de site web via freenet, darknet, cryptologie, ...). On dira alors que ces moyens sont illégaux, les lois sur le terrorisme s'appliqueront d'office sans que l'on n'ai plus rien à demander à quiconque cette fois... Bon aller, je vais me regarder Blade Runner que j'ai reçu en cadeau de fête des pères. Ca va me remonter le moral !! Stéphane. (...) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] RE: [FRnOG] Filtr age d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
At 15:05 15/06/2008, you wrote: Un flic dans chaque rue pour contrôler les mobylettes chargées de cannabis ? Un fin maillage océanique des douanes pour contrôler les bateaux pleins de cocaïne ? Un radar tout les kilomètres d'autoroute pour ma sois-disant sécurité ? Bref, cet avenir là ne m'intéresse pas, il me considère coupable de ce que je n'ai pas commis et me condamne par anticipation. Mauvais argument pour une idée tout a fait louable. Le radar ne condamne personne tant qu'on reste sous la vitesse autorisée. De meme pour le flic qui controle la mob qui ne contient pas de shit. Internet est un moyen technique, un paquet de procédés technologiques. Admettre une autre vision c'est déjà accepter l'invitation à la table des pourfendeurs de NOS libertés numériques pour le seul intérêt de leur compte bancaire aux îles Caïmans (quid de ces paradis fiscaux?). Grand naïf que je suis, j'ai du mal à croire que contraindre 99.99% des usagers n'ayant rien à se reprocher est un mal nécessaire ? N'y a t'il pas un léger déséquilibre entre menace _potentielle_ et réponse démesurée ? Dans le sens 99.99% des usagers n'ont rien a se reprocher ou dans le sens il ne faut pas contraindre les 5% d'usagers qui n'ont rien a se reprocher ? A mon sens le filtrage d'URL ou d'IP est une ineptie de plus. De tels dispositifs n'auront qu'un effet de court terme, contre productif et inefficace. Les usages délictueux sont le fait d'une minorité; elle s'adaptera bien vite (si ce n'est déjà fait) par des contres mesures plus difficiles à combattre (ex: Consultation de site web via freenet, darknet, cryptologie, ...). On dira alors que ces moyens sont illégaux, les lois sur le terrorisme s'appliqueront d'office sans que l'on n'ai plus rien à demander à quiconque cette fois... Alors quelle méthode adopter pour leur faire comprendre que quelle que soit la solution choisie, quelle que soit la somme d'argent investie, la vrai cible de tout ca trouvera de toute facon moyen de continuer son activité ? La vrai raison de tout ca est biensur ailleurs ... restreindre la liberté du peuple pour mieux le controler ... tout le monde le sait, alors pourquoi se bat-on aujourd'hui pour savoir si oui ou non il faut shunter des routes BGP ou filtrer des requettes DNS ? Autant se jeter tout de suite sous un train ou bien lancer une révolution, non ? Ben non ... la vie est faite de compromis. On a en face de nous une industrie qui voit ses $ fondre comme neige au soleil et qui a besoin d'un coupable et d'une maniere de le punir/faire disparaitre. Soit on lui donne, soit on lui fait comprendre ou elle se gourre et pourquoi ses $ fondent. M'est avis que si on dit a une boite de prod tu produit que de la merde, c'est pour ca que plus personne veut acheter tes disques, ca ne fera rien avancer. 'Spyou' - www.spyou.org - [EMAIL PROTECTED] ircnet.nerim.net - UIN : 6871374 Don't dream it, Be it. (RHPS) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re : [FRnOG] Re: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle fai sabilit é ? (+ présentation )
Le 15 juin 08 à 15:36, Frederic a écrit : Pour le filtrage de la pourriture, il n'existe pas de solution non fashiste à ce probleme. ce n'est pas forcement un problème, sauf à ce que l'on m'impose ce que je ne souhaite pas. Je veux être le propre dictateur de ma vie numérique ... voire de celles de ceux qui me sont chers. C'est à ce niveau que ce jouera une certaine forme de démocratie. Par ailleurs, filtrer le port 25 est génant et il faut se réveiller quand même. Je n'ai pas de soucis à ce que cela soit fait par défaut pour les 95% de gens qui ne savent pas à quoi cela sert. Par contre, pour les autres, il est indispensable de laisser l'option de le gérer. A bien tout lire depuis un moment, est ce qu'il faut filtrer, est ce qu'il faut fibrer, est-ce qu'il faut faire des box qui fonctionnent bien ET qui soient économes en énergie, je dirais que je suis assez certain qu'aujourd'hui, un nouveau (ou un actuel) FAI investirait le terrain de : - l'innovation - la neutralité / l'ouverture / la responsabilité - le haut débit et la symétrie - des box ouvertes et économes gagnerait à moyen terme et se ferait une place, comme Free a su la faire en son temps. Quant au modèle économique, au risque d'être fou, je ferais acheter la box en grande distribution par le plus grand nombre, box qui pourrait servir aussi à autre chose que simplement faire box. Et quant au prix, je casserais le nivellement de l'offre à 30 € par mois en remontant ce prix, juste avec de l'Internet, neutre, ouvert et interopérable et ensuite, je ferais les services en IP dessus qui vont bien où j'aurais toute l'attitude du choix du business model pour le financer. Bref, tout cela pour dire que d'autres voies que le filtrage régalien et l'AS gouvernemental et le nivellement vers le bas (tout dans le port 80 et proxy-isation de l'Internet) est possible, enfin j'espère ;-) - Jean-Michel Planche blog: http://www.jmp.net Chairman and co-founder Witbe web : http://www.witbe.net Follow me http://www.twitter.com/jmplanche --- 2.0 Monitoring : relevant End to End monitoring for critical app. and carrier class services
Re: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
A l'heure où tous les FAI déploient des box chez l'abonné, y installer un petit proxy transparent avec une blacklist mise à jour régulièrement serait il possible ? Quel coûts (hors dev) cela pourrait-il engendrer ? Oui, sauf qu'il est toujours possible de remplacer la box opérateur par un modem classique ADSL, au prix générallement de la perte de la partie téléphonie/télévision ... par exemple chez Free, un simple modem/routeur qui implémente les bonnes RFC et ça marche parfaitement. Du coup, il faudrait également changer les contrats abonnés en leur interdisant d'utiliser un modem tiers ? Tout cela militant encore une fois pour un coeur de réseau neutre et un système de filtrage distribué à la périphérie (box et serveurs). Box uniquement, du coup, puisque le but est de lutter contre les mechants vilains serveurs. Je voulais parler d'egress filtering chez les hébergeurs low-cost (DDBX, OVH co), afin de bloquer également la prolifération des proxies ouverts ... sinon ce sera assez facile de contourner les filtres dans les box ... Pierre-Yves --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] RE: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtra ge d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
Après tout le besoins porte sur des URL de sites illégaux dans des pays qui ne les ferment pas, donc qui n'ont pas réellement de lois concernant le web. Alors pourquoi le gouvernement ne recrute t'il pas des 'hackers' (enfin c'est un bien grand mot) afin de mettre à mal ces sites... à contenu illégal , méthode illégales. Non seulement aucun frais pour les FAI et mais en plus on élimine le site et pas seulement pour la France.. Oui c'est une mauvaise idée car pas licite.. mais en même temps au lieu de toujours emmer*** les fai et les abonnés, autant faire chi** les hébergeurs et propriétaires directs... et puis ça forcera peut être certains à faire attention -Message d'origine- De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part de Pierre-Yves Kerembellec Envoyé : dimanche 15 juin 2008 18:01 À : frnog@frnog.org Objet : Re: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation ) A l'heure où tous les FAI déploient des box chez l'abonné, y installer un petit proxy transparent avec une blacklist mise à jour régulièrement serait il possible ? Quel coûts (hors dev) cela pourrait-il engendrer ? Oui, sauf qu'il est toujours possible de remplacer la box opérateur par un modem classique ADSL, au prix générallement de la perte de la partie téléphonie/télévision ... par exemple chez Free, un simple modem/routeur qui implémente les bonnes RFC et ça marche parfaitement. Du coup, il faudrait également changer les contrats abonnés en leur interdisant d'utiliser un modem tiers ? Tout cela militant encore une fois pour un coeur de réseau neutre et un système de filtrage distribué à la périphérie (box et serveurs). Box uniquement, du coup, puisque le but est de lutter contre les mechants vilains serveurs. Je voulais parler d'egress filtering chez les hébergeurs low-cost (DDBX, OVH co), afin de bloquer également la prolifération des proxies ouverts ... sinon ce sera assez facile de contourner les filtres dans les box ... Pierre-Yves --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] RE: [FRnOG] Filtr age d'URL via BGP shun t : quelle faisabilité ? (+ présentation )
Spyou wrote: At 15:05 15/06/2008, you wrote: Un flic dans chaque rue pour contrôler les mobylettes chargées de cannabis ? Un fin maillage océanique des douanes pour contrôler les bateaux pleins de cocaïne ? Un radar tout les kilomètres d'autoroute pour ma sois-disant sécurité ? Bref, cet avenir là ne m'intéresse pas, il me considère coupable de ce que je n'ai pas commis et me condamne par anticipation. Mauvais argument pour une idée tout a fait louable. Le radar ne condamne personne tant qu'on reste sous la vitesse autorisée. De meme pour le flic qui controle la mob qui ne contient pas de shit. Ce que j'ai pu entendre sur le dernier bilan en matière d''accidentologie de la route, depuis la mise en place des radars, ne va pas vraiment dans le bon sens. S'il ne condamne pas celui qui reste sous la ligne de feu, quels comportements induit-il ? Pour quels résultats ? C'est de cela dont on parle: de l'effet de mauvaises décisions; d'un pseudo remède hâtivement décidé au résultat plus toxique que le mal d'emprunt. Le tout à la seule fin de lester encore quelque temps les poches de modèles mercantiles moribonds. (...) A mon sens le filtrage d'URL ou d'IP est une ineptie de plus. De tels dispositifs n'auront qu'un effet de court terme, contre productif et inefficace. Les usages délictueux sont le fait d'une minorité; elle s'adaptera bien vite (si ce n'est déjà fait) par des contres mesures plus difficiles à combattre (ex: Consultation de site web via freenet, darknet, cryptologie, ...). On dira alors que ces moyens sont illégaux, les lois sur le terrorisme s'appliqueront d'office sans que l'on n'ai plus rien à demander à quiconque cette fois... Alors quelle méthode adopter pour leur faire comprendre que quelle que soit la solution choisie, quelle que soit la somme d'argent investie, la vrai cible de tout ca trouvera de toute facon moyen de continuer son activité ? Certainement pas celle du compromis stupide et liberticide; croyant lutter pour une bonne cause lorsque tout le monde sait que cette cause n'est qu'un prétexte sophiste dont les effets seront un nouveau prétexte vers un absolutisme primaire. La vrai raison de tout ca est biensur ailleurs ... restreindre la liberté du peuple pour mieux le controler ... tout le monde le sait, alors pourquoi se bat-on aujourd'hui pour savoir si oui ou non il faut shunter des routes BGP ou filtrer des requettes DNS ? Autant se jeter tout de suite sous un train ou bien lancer une révolution, non ? Est-ce que cela justifie pour autant de faire n'importe quoi, de cautionner de mauvais choix, de les accepter et donc d'approuver leurs idées au yeux du plus grand nombre ? Ben non ... la vie est faite de compromis. On a en face de nous une industrie qui voit ses $ fondre comme neige au soleil et qui a besoin d'un coupable et d'une maniere de le punir/faire disparaitre. Un compromis est une situation d'équilibre. Sinon c'est un diktat ! Libre a qui le veut d'accepter le joug d'une main qui tôt au tard en voudra encore un peu plus. Soit on lui donne, soit on lui fait comprendre ou elle se gourre et pourquoi ses $ fondent. M'est avis que si on dit a une boite de prod tu produit que de la merde, c'est pour ca que plus personne veut acheter tes disques, ca ne fera rien avancer. Bien au contraire, certains ont déjà bougé. Par exemple l'industrie du cinéma se tourne vers les produits dérivés pour re-financer ses pertes. Baisser le tête en espérant que le souffle passera définitivement est illusoire à mon sens. Stéphane. (...) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
On Sun, 15 Jun 2008 13:05:51 +0200, Xavier Beaudouin [EMAIL PROTECTED] said: Mais il est vrai que faire le filtrage sur les box elles même peut- être intéressant sauf si la liste des URL fait des Gigas En effet tout depend de la taille de la blacklist. Que ca soit dans le box, via xGP shunt ou avec un proxy transparent a l'ancienne: Pour un box, un liste de quelques centaines de Ko ca peut risquer de rendre le service limite inutilisable (faut verifier chaque URL). Pour du xGP shunt, faut pas trop deconner non plus, a plus d'un millier (1000) de routes, ca risque d'enerver bon nombre. Proxy transparent, je sais pas, mais on n'est plus en 1999-2001, les niveaux de traffic ont bien explose depuis. Ca depend aussi les limites qu'ils se sont imposes: Si c'est juste des choses soft, comme aux EAU (plus precisement Dubai), c'est assez facilement contournable. S'il veulent faire la totale, sans possibilite d'echapper, il y a d'un cote l'impact sur les TPE, dont nombre vont etre mises hors-ligne, et d'un autre cote les aeroports internationaux (pour le trajet aller seul) pas si loin. Il faudra leur laisser le pays tel qu'il le veulent A mi-distance entre les deux, il y aura du business a faire avec des tunnels IPSEC co a l'etranger. -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re : [FRnOG] Re: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle fai sabilité ? (+ présentation )
On Sunday 15 June 2008 18:36:04 Jean-Michel Planche wrote: pas que des techniciens ... qui ne comprennent pas et ne partagent pas tous l'intérêt d'un véritable réseau Internet pour tous. C'est un enjeu POLITIQUE, au sens grec du terme. Oui oui bien sûr. Mais vous parlez là de ce j'appelle la vue politique (quelle architecture pour quelle société ?) qui complètera la vue technique et la vue juridique. Pour ce qui est de la vue économique, elle m'apparaît actuellement transverse à la vue politique (quel impact pour l'économie en général ?) et à la vue technique (quelle coût de déploiement/maintenance pour les opérateurs techniques en particulier et quels risques financiers pour l'état qui se substituerait à eux en matière de responsabilité dû au filtrage). Pour ceux que ça intéresse voici où j'en suis de la vue juridique : http://www.laquadrature.net/wiki/SolutionsDeFiltrageVueJuridique ... sachant que au final la partie juridique ne sera évidemment pas organisée sous forme de questions... mais moi ça m'aide à cerner le problème. Christophe Le 15 juin 08 à 18:32, [EMAIL PROTECTED] a écrit : Pour mémoire, la partie technique de la note aura pour objectif de permettre à des non-techniciens d'essayer de comprendre pourquoi ils se heurtent à des levées de bouclier de la part des techniciens dès qu'il parle de filtrage. Un lexique (url, nom de domaine, ressource, routeur ...) sera fourni. - Jean-Michel Planche blog: http://www.jmp.net Chairman and co-founder Witbe web : http://www.witbe.net Follow me http://www.twitter.com/jmplanche --- 2.0 Monitoring : relevant End to End monitoring for critical app. and carrier class services --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
On Sat, 14 Jun 2008 23:35:01 +0200, Spyou [EMAIL PROTECTED] said: Les domages colatéraux ont deja été cités maintes fois, IP != site. Non, et non. Deja le fait que sur un IP il peut y avoir plusieurs sites c'est deja traite. Toute comme la possibilite de filtrer juste une page un une image sur un certain site. C'est pas les routeurs qui font le blacklistage, avec des routes blackhole. Les routeurs vont en effet router le trafic vers les IP noires vers une plate-forme de filtrage, qui elle pourra laisser passer, bloquer ou meme modifier le contenu reel. -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ prà ©sentation )
Le Sun 15 Jun, vers 20:12 +0200, Radu-Adrian Feurdean exprimait : On Sat, 14 Jun 2008 23:35:01 +0200, Spyou [EMAIL PROTECTED] said: Les domages colatéraux ont deja été cités maintes fois, IP != site. Non, et non. Deja le fait que sur un IP il peut y avoir plusieurs sites c'est deja traite. Toute comme la possibilite de filtrer juste une page un une image sur un certain site. C'est pas les routeurs qui font le blacklistage, avec des routes blackhole. Les routeurs vont en effet router le trafic vers les IP noires vers une plate-forme de filtrage, qui elle pourra laisser passer, bloquer ou meme modifier le contenu reel. Donc si je comprends bien, un hébergeur qui aurait un cluster de 10/15 serveurs en round robin et qui aurait malgré lui, hébergé un site litigieux. Tous les visiteurs Français accéderait à tous les sites qu'il héberge via une plateforme de filtrage ? Ça sera alors facile de DDOS ladite plateforme de filtrage en plaçant des sites filtrage-trap honeypots chez quelques hébergeurs bien sentis ou je me trompe ? :-) -- Stéphane Kanschine resistance is futile, you'll be smart enough to be free --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
On Sun, 15 Jun 2008 20:30:49 +0200, Stephane Kanschine [EMAIL PROTECTED] said: Donc si je comprends bien, un hébergeur qui aurait un cluster de 10/15 serveurs en round robin et qui aurait malgré lui, hébergé un site litigieux. Tous les visiteurs Français accéderait à tous les sites qu'il héberge via une plateforme de filtrage ? Ça sera alors facile de DDOS ladite plateforme de filtrage en plaçant des sites filtrage-trap honeypots chez quelques hébergeurs bien sentis ou je me trompe ? :-) C'est toujours mieux que de filtrer tout l'internet. Quand au DDOS de la plate-forme de filtrage, ca depend de son dimensionnement. Ca depend aussi si ca sera une plate-forme gere par big-brother ou juste quelque-chose a implementer par chaque FAI (comme en Chine). -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilitÃ(c) ? (+ prÃ(c)sentation )
On Sun, Jun 15, 2008 at 8:12 PM, Radu-Adrian Feurdean [EMAIL PROTECTED] wrote: Deja le fait que sur un IP il peut y avoir plusieurs sites c'est deja traite. Toute comme la possibilite de filtrer juste une page un une image sur un certain site. C'est pas les routeurs qui font le blacklistage, avec des routes blackhole. Les routeurs vont en effet router le trafic vers les IP noires vers une plate-forme de filtrage, qui elle pourra laisser passer, bloquer ou meme modifier le contenu reel. Le hic, c'est que Nadine Morano a déjà décidé qu'il faudrait bloquer l'ensemble à partir du moment ou il y avait un élément suspect. http://www.lexpansion.com/economie/actualite-high-tech/nadine-morano-presse-les-fai-de-bloquer-les-sites-pedophiles_153184.html
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilitÃ(c) ? (+ prÃ(c)sentation )
Le dimanche 15 juin 2008 à 21:16 +0200, Nicolas Fortin a écrit : On Sun, Jun 15, 2008 at 8:12 PM, Radu-Adrian Feurdean [EMAIL PROTECTED] wrote: Deja le fait que sur un IP il peut y avoir plusieurs sites c'est deja traite. Toute comme la possibilite de filtrer juste une page un une image sur un certain site. C'est pas les routeurs qui font le blacklistage, avec des routes blackhole. Les routeurs vont en effet router le trafic vers les IP noires vers une plate-forme de filtrage, qui elle pourra laisser passer, bloquer ou meme modifier le contenu reel. Le hic, c'est que Nadine Morano a déjà décidé qu'il faudrait bloquer l'ensemble à partir du moment ou il y avait un élément suspect. Oui, il n'y a pas (a ma connaissance) toujours pas de solutions faciles (modulo Corée du Nord, et al. :) aux problèmes assez complexes sociaux, politiques, culturelles... Et une fois (mais ne pas avant) à moins ces trois-la résolus... il nous reste à jeter un oeil sur les technicalities. Il ne sert, imho, pas grand chose positive à faire la maçonnerie avant que l'étude de l'architecture soit approuvée en consensus... démocratique, quoi ;) Cheers, mh http://www.lexpansion.com/economie/actualite-high-tech/nadine-morano-presse-les-fai-de-bloquer-les-sites-pedophiles_153184.html Oui, pas mal. --- Liste de diffusion du FRnOG http://www.frnog.org/
