Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
Le 05/01/2012 07:30, Dominique DERRIER a écrit : - Ajouter une configuration DNS (pour retourner une adresse invalide ?) - Mettre une boite noire qui intercepte les requêtes DNS et modifie la réponse en fonction d'une liste me semble un peu complexe. (et je ne parle pas d'une analyse sur la couche 7 ...) C'est plus efficace ... mais cela demande du traitement (sans parler de SSL/VPN/...) Il était également question d'injections BGP, solution qui, malgré l'évident surblocage, permettrait également de ne pas avoir à communiquer la liste et que les mises à jour soient gérées de façon centrale. Pour les Fai, est-ce que cela ne concerne que les Fai de l'internaute standard (particuliers) / les Opérateur télécom (plus global) ? Bref... j'ai le sentiment que l'application ne me semble pas aussi simple que cela et qu'elle ne bloquera malheureusement pas ceux qui veulent être dans l'illégalité. Mais comme la communication de la-dite liste est dans la loi, j'imagine que n'importe quel opérateur inscrit en tant que réseau ouvert au public auprès de l'ARCEP pourra réclamer de l'avoir pour être en conformité avec la loi. On peut donc s'attendre à ce qu'elle soit leakée dans la foulée. Un bon point pour la transparence ... un bon point aussi pour les amateurs d'images et de vidéos du genre. A moins que tout ceci ne soit traité confidentiellement entre les 6 ou 7 plus gros, un peu comme ce qui se fait pour les assignations ARJEL, et qu'il ne s'agisse en fait que de lever des paravents pour dire ben si quand même regardez, on a pris le problème du pédoporn sur le net à bras le corps .. y'a plus personne qui peut aller voir ces sites .. bon, sauf ceux qui le veulent vraiment, mais ça, on y peut rien ! Déplorable, comme prévu. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
Le 05/01/2012 09:44, Stephane Bortzmeyer a écrit : On Thu, Jan 05, 2012 at 09:41:40AM +0100, Spyou r...@spyou.org wrote a message of 47 lines which said: Il était également question d'injections BGP, solution qui, malgré l'évident surblocage, permettrait également de ne pas avoir à communiquer la liste ? Les pairs BGP la connaîtront, la liste. Une liste d'IP, oui. Pas forcément évident de remonter aux noms de domaines permettant d’accéder aux contenus :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
Il était également question d'injections BGP, solution qui, malgré l'évident surblocage, permettrait également de ne pas avoir à communiquer la liste ? Les pairs BGP la connaîtront, la liste. Pas si les routes sont marquées avec no export. Les problemes de l'utilisation de BGP pour l'interception de sites sont bien expliques par Richard Clayton http://www.cl.cam.ac.uk/~rnc1/cleanfeed.pdf Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
Stephane Bortzmeyer wrote: On Mon, Jan 02, 2012 at 09:24:56PM +0100, Patrick Maigron patrick.maig...@institut-telecom.fr wrote a message of 56 lines which said: Et en effet ce serait bien que quelqu'un quelque part gère une liste à jour des noms bloqués et par quels FAI... Au moins dans le cas de la LOPPSI (loi n° 2011-267 du 14 mars 2011 http://legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT23707312fastPos=2fastReqId=1451328571categorieLien=cidoldAction=rechTexte), la liste est secrète (pour éviter que des citoyens ne puissent vérifier qu'elle est effectivement limitée aux raisons officielles). L'article 4 de la dite LOPPSI ne le mentionne pas explicitement mais elle n'impose pas non plus de publicité, donc on peut raisonnablement penser que c'est la solution la plus restrictive qui sera adoptée par la place Beauveau. Moi qui pensais naïvement que le gouvernement ne voulait pas tenir un annuaire public des sites pédopornographique... Que la liste soit secrète, je peux le comprendre pour le point précédent, mais il faudra bien qu'une des autorités en charge prévienne au moins les FAI principaux qu'il faut filtrer tel nom de domaine (s'ils en restent au « protocole de blocage DNS »). Donc ces annuaires existeront au moins chez ces FAI. Reste à voir s'ils ont la volonté de vérifier les listes qui leurs seront soumises ou non. -- Cyprien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
On 4 Jan 2012, at 08:25, Cyprien Nicolas wrote: Que la liste soit secrète, je peux le comprendre pour le point précédent, mais il faudra bien qu'une des autorités en charge prévienne au moins les FAI principaux qu'il faut filtrer tel nom de domaine (s'ils en restent au « protocole de blocage DNS »). Donc ces annuaires existeront au moins chez ces FAI. Exact. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
On 04.01.2012 09:25, Cyprien Nicolas wrote: Que la liste soit secrète, je peux le comprendre pour le point précédent, mais il faudra bien qu'une des autorités en charge prévienne au moins les FAI principaux qu'il faut filtrer tel nom de domaine (s'ils en restent au « protocole de blocage DNS »). Donc ces annuaires existeront au moins chez ces FAI. et toutes les personnes s'abonnant chez les FAI non principaux seront présumées coupables de pédonazisme ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
Le 04/01/2012 14:04, Raphaël Jacquot a écrit : On 04.01.2012 09:25, Cyprien Nicolas wrote: Que la liste soit secrète, je peux le comprendre pour le point précédent, mais il faudra bien qu'une des autorités en charge prévienne au moins les FAI principaux qu'il faut filtrer tel nom de domaine (s'ils en restent au « protocole de blocage DNS »). Donc ces annuaires existeront au moins chez ces FAI. et toutes les personnes s'abonnant chez les FAI non principaux seront présumées coupables de pédonazisme ? La LOPPSI ne parle pas des internautes, seulement des obligations des FAI. Par contre la consultation d'images pédoporno est traitée ailleurs dans le code pénal bien sûr. Les autorités devraient effectivement envoyer la liste aux FAI (l'autorité administrative notifie aux personnes mentionnées au 1 du présent I les adresses électroniques des services de communication au public en ligne contrevenant aux dispositions de cet article, auxquelles ces personnes doivent empêcher l'accès sans délai...). Je suppose avec un engagement de confidentialité. La loi sur ce filtrage sera effective à compter du 15 mars. Le décret fixant les modalités et le financement n'est pas encore sorti (pas de bol, du retard comme pour les jeux en ligne !). Le député Lionel Tardy vient d'adresser une question écrite à ce sujet au ministre de l'intérieur la semaine dernière : http://questions.assemblee-nationale.fr/q13/13-125602QE.htm Selon PC Inpact, il y aurait eu des discussions en décembre avec des scénarios de filtrage au niveau URL et pas seulement domaine. A suivre... http://www.pcinpact.com/news/67976-blocage-pedopornographique-loppsi-decret-tardy.htm Patrick. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
-Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Patrick Maigron Envoyé : mercredi 4 janvier 2012 23:47 À : frnog@frnog.org Objet : Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ? Le 04/01/2012 14:04, Raphaël Jacquot a écrit : On 04.01.2012 09:25, Cyprien Nicolas wrote: Que la liste soit secrète, je peux le comprendre pour le point précédent, mais il faudra bien qu'une des autorités en charge prévienne au moins les FAI principaux qu'il faut filtrer tel nom de domaine (s'ils en restent au « protocole de blocage DNS »). Donc ces annuaires existeront au moins chez ces FAI. et toutes les personnes s'abonnant chez les FAI non principaux seront présumées coupables de pédonazisme ? La LOPPSI ne parle pas des internautes, seulement des obligations des FAI. Par contre la consultation d'images pédoporno est traitée ailleurs dans le code pénal bien sûr. Les autorités devraient effectivement envoyer la liste aux FAI (l'autorité administrative notifie aux personnes mentionnées au 1 du présent I les adresses électroniques des services de communication au public en ligne contrevenant aux dispositions de cet article, auxquelles ces personnes doivent empêcher l'accès sans délai...). Je suppose avec un engagement de confidentialité. La loi sur ce filtrage sera effective à compter du 15 mars. Le décret fixant les modalités et le financement n'est pas encore sorti (pas de bol, du retard comme pour les jeux en ligne !). Le député Lionel Tardy vient d'adresser une question écrite à ce sujet au ministre de l'intérieur la semaine dernière : http://questions.assemblee-nationale.fr/q13/13-125602QE.htm Selon PC Inpact, il y aurait eu des discussions en décembre avec des scénarios de filtrage au niveau URL et pas seulement domaine. A suivre... http://www.pcinpact.com/news/67976-blocage-pedopornographique-loppsi-decret-tardy.htm Patrick. Merci Patrick, pour toutes ces précisions... mais je n'arrive pas imaginer comment techniquement les FAI vont faire. - Ajouter une configuration DNS (pour retourner une adresse invalide ?) - Mettre une boite noire qui intercepte les requêtes DNS et modifie la réponse en fonction d'une liste me semble un peu complexe. (et je ne parle pas d'une analyse sur la couche 7 ...) C'est plus efficace ... mais cela demande du traitement (sans parler de SSL/VPN/...) Dans les deux cas se pose la question de la mise à jour (fréquence/taille/...). Pour les Fai, est-ce que cela ne concerne que les Fai de l'internaute standard (particuliers) / les Opérateur télécom (plus global) ? Bref... j'ai le sentiment que l'application ne me semble pas aussi simple que cela et qu'elle ne bloquera malheureusement pas ceux qui veulent être dans l'illégalité. Dominique --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
C'est la FRC Sarko Debit ;) D --Message d'origine-- De: Jérôme Nicolle Expéditeur : frnog-requ...@frnog.org À: Raphaël Durand Cc: frnog@frnog.org Objet: Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ? Envoyé: 2 janv. 2012 13:54 Celà dit, on pourrait commencer la capillotraction en définissant protocole de blocage par nom de domaine. Bortz, c'est quelle RFC ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
Bien le bonsoir, Arf, Bien que la remarque est pertinente, j'aurais tendance à dire qu'il n'y a pas trop de soucis à se faire de ce côté . Tout Geek qui se respecte, a dans son entourage (si il ne le gère pas lui même) , son propre serveur DNS . De ce fait , même si le vilain opérateur bloque le port 53 , sur autre chose que ses propres DNS (comme c'est souvent malheureusement le cas avec le 25) , y'a toujours des solutions, avec des VPN bien sentis . On ne va tout de même pas se laisser abattre avec ce genre de mesure qui va à l'encontre même du principe du DNS. @+ Christophe. David MARCIANO a écrit : C'est la FRC Sarko Debit ;) D --Message d'origine-- De: Jérôme Nicolle Expéditeur : frnog-requ...@frnog.org À: Raphaël Durand Cc: frnog@frnog.org Objet: Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ? Envoyé: 2 janv. 2012 13:54 Celà dit, on pourrait commencer la capillotraction en définissant protocole de blocage par nom de domaine. Bortz, c'est quelle RFC ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
On Fri, 9 Dec 2011 00:45:48 +0100, Benjamin BAYART wrote: Si tu veux un DNS non filtré, je préconise aptitude install bind :) Ça, pour le moment, ce n'est pas filtré. Mais ça viendra :( 02012011 [Update] - http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT25062583dateTexte=categorieLien=id Maintenant oui. -- Raphaël Durand www.ultrawaves.net Les mails postés depuis cette boite personnelle n'engagent en aucune façon mon employeur. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
Plop, Le 02/01/12 09:57, Raphaël Durand a écrit : 02012011 [Update] - http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT25062583dateTexte=categorieLien=id Maintenant oui. Et pour un FAI qui ne fourni pas de service DNS, mentionnant juste apt-get install bind9 dans la doc, ça se passe comment ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
2012/1/2 Jérôme Nicolle jer...@ceriz.fr: Plop, Le 02/01/12 09:57, Raphaël Durand a écrit : 02012011 [Update] - http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT25062583dateTexte=categorieLien=id Maintenant oui. Et pour un FAI qui ne fourni pas de service DNS, mentionnant juste apt-get install bind9 dans la doc, ça se passe comment ? Et quelles autres entités que les FAI sont concernées ? les personnes mentionnées au 1 du I de l'article 6 de la loi du 21 juin 2004 (donc LCEN: http://www.legifrance.gouv.fr/affichTexteArticle.do?cidTexte=JORFTEXT00801164idArticle=LEGIARTI06421546dateTexte=categorieLien=cid ) I.-1. Les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne informent leurs abonnés de l'existence de moyens techniques permettant de restreindre l'accès à certains services ou de les sélectionner et leur proposent au moins un de ces moyens. donc je conclus que les personnes mentionnées sont Les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne Ce qui peut etre vu comme bien plus large qu'un FAI grand public classique... -- Thomas SAMSON BOFH excuse #208:Your mail is being routed through Germany ... and they're censoring us. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
Le 02/01/2012 12:16, Thomas Samson a écrit : Et quelles autres entités que les FAI sont concernées ? Les entités concernées sont avant tout celles qui sont assignées au TGI par l'ARJEL ... Pas besoin de se prendre le choux avant d'avoir reçu l'invitation :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
On Mon, 02 Jan 2012 11:49:24 +0100, Jérôme Nicolle wrote: Plop, Le 02/01/12 09:57, Raphaël Durand a écrit : 02012011 [Update] - http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT25062583dateTexte=categorieLien=id Maintenant oui. Et pour un FAI qui ne fourni pas de service DNS, mentionnant juste apt-get install bind9 dans la doc, ça se passe comment ? Dans ce cas il rejette la responsabilité sur l'utilisateur qui fournit le suivi DNS, qui aura lui-même à répondre aux o Je ne suis pas juriste mais voici l'analyse que j'ai du texte : Lorsque l'arrêt de l'accès à une offre de paris ou de jeux d'argent et de hasard en ligne non autorisée a été ordonné dans les conditions définies par l'article 61 de la loi du 12 mai 2010 susvisée, LES PERSONNES mentionnées au 1 du I de l'article 6 de la loi du 21 juin 2004 susvisée procèdent à cet arrêt en utilisant le protocole de blocage par nom de domaine (DNS) Voyons donc qui sont ces personnes mentionnées dans ledit article : I.-1. Les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne 2. Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature ... Reste à savoir si la fourniture d'un service de DNS entre dans ce cas là, mais à mon avis le législateur ne s’embarrasse pas de ces subtilités techniques. Bref, il semblerait que l'utilisateur soit responsable du service qu'il fournit. (comme dans beaucoup de cas) Dans le cas où tout opérateur de DNS serait concerné , la situation ubuesque serait de mettre en œuvre un DNS inutilisé, et demander des indemnisations à chaque demande de filtrage. Bref, wait and see. -- Raphaël Durand www.ultrawaves.net Les mails postés depuis cette boite personnelle n'engagent en aucune façon mon employeur. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
Celà dit, on pourrait commencer la capillotraction en définissant protocole de blocage par nom de domaine. Bortz, c'est quelle RFC ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
Raphaël Durand wrote: Je ne suis pas juriste mais voici l'analyse que j'ai du texte : (...) PERSONNES mentionnées au *1 du I de l'article 6 de la loi du 21 juin 2004* susvisée procèdent à cet arrêt en utilisant le protocole de blocage par nom de domaine (DNS) Voyons donc qui sont ces personnes mentionnées dans ledit article : I.-1. Les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne 2. Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature ... Reste à savoir si la fourniture d'un service de DNS entre dans ce cas là, mais à mon avis le législateur ne s’embarrasse pas de ces subtilités techniques. Le 1 du I ne comprend pas le 2 du I, excluant donc les hébergeurs. De même que le champ Public concernés dudit décret vise explicitement les FAI. Je comprends que les hébergeurs n'ont pas besoin de filtrer. -- Cyprien (qui n'est pas juriste non plus) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
Le 02/01/2012 14:34, Cyprien Nicolas a écrit : Le 1 du I ne comprend pas le 2 du I, excluant donc les hébergeurs. De même que le champ Public concernés dudit décret vise explicitement les FAI. Je comprends que les hébergeurs n'ont pas besoin de filtrer. Encore une fois, il n'y a que les personnes assignées devant le TGI de Paris qui doivent filtrer. Le décret ne concerne que la méthode (blocage DNS) et la rémunération (sur justificatifs) des personnes assignées *et* dont l'activité est de fournir un accès. Si l'ARJEL assigne un hébergeur (par exemple offrant du VPN) le juge peut très bien ordonner un blocage également. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
Bonjour, On Mon, 02 Jan 2012 12:32:27 +0100 Raphaël Durand raphael.dur...@ultrawaves.net wrote: Je ne suis pas juriste mais voici l'analyse que j'ai du texte : La mienne est plus simple : au lieu de passer en 2012, nous sommes revenus dans les annees 70-80 (du siecle precedent !) ou on cherchait a avoir toujours le fichier /etc/hosts le plus a jour possible... Comme ca, plus de probleme pour identifier le protocole de blocage des DNS... mais un bel exemple de grand n'importe quoi en ce debut d'annee... Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
Le 02/01/2012 14:50, Spyou a écrit : Encore une fois, il n'y a que les personnes assignées devant le TGI de Paris qui doivent filtrer. Le décret ne concerne que la méthode (blocage DNS) et la rémunération (sur justificatifs) des personnes assignées *et* dont l'activité est de fournir un accès. Tout à fait, la loi sur les jeux d'argent qui permet à l'ARJEL de demander le blocage des sites illégaux existe depuis 2010, c'est juste le décret sur la méthode et la rémunération qui vient de sortir. D'ailleurs certains avaient fait remarquer à l'époque que la majorité des décrets étaient sortis très rapidement après la loi (donc avant le mondial 2010) mais que pour rembourser les FAI ils n'avaient pas eu le temps... La loi a déjà été appliquée, sur deux cas seulement il me semble (StanJames et 5Dimes), donc avant ce décret. Dans ces deux cas les FAI concernés étaient Bouygues Telecom, Darty Télécom, Free, Numericable, Orange, SFR et Auchan Telecom (assignés devant le TGI de Paris puis devant bloquer le site). Une évolution notable sur la méthode : dans ces deux cas le juge demandait de mettre en œuvre toutes mesures propres à empêcher l’accès aux sites (donc au choix IP, DNS, DPI...). Quelques mois plus tard il y a eu un jugement du même type dans l'affaire Copwatch (voir le blog de Spyou pour les détails), et cette fois le juge a pris en compte le fait que le DPI serait complexe et coûteux et demandait un blocage par IP ou DNS uniquement. Maintenant le décret précise que ce sera par le DNS pour les jeux en ligne (donc pas par DPI). Voir ici la réaction de Stéphane, qui doit sûrement être accroc aux jeux d'argent : http://www.bortzmeyer.org/arjel.html Pour le remboursement aux FAI ça me paraît très vague, chacun demande ce qu'il veut (sur justificatifs) et c'est le CGIET qui vérifie. Pour l'HADOPI il me semble que c'est encore pire et qu'on attend toujours ? Je m'interroge sur le moment où on met fin au blocage. Je ne suis pas sûr que l'ARJEL mette autant d'empressement à demander le retrait des filtres que leur ajout. Par exemple StanJames a fini par bloquer son site aux internautes français (enfin ceux qui se présentent avec une IP devant être en France). Donc on devrait dire aux FAI de retirer le filtre DNS correspondant. Ce sera fait par qui et comment ? ... Et en effet ce serait bien que quelqu'un quelque part gère une liste à jour des noms bloqués et par quels FAI... Patrick. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
Le Fri, Dec 09, 2011 at 08:44:44AM +0100, Stephane Bortzmeyer: Je ne peux qu'approuver, mais les cas sont différents. Le port 25 en filtré par le réseau. Le DNS est filtré par un service. Ça n'a rien à voir. Pas d'accord. OK, techniquement, l'un est en couche 4, l'autre en 7. Mais c'est juste un détail technique. Dans les deux cas, c'est de l'infrastructure (i.e. ce qui est nécessaire pour rendre un service mais qui n'est pas un service en soi, sauf si on s'est abonné à l'Internet pour faire du traceroute et du dig). Dans les deux cas, c'est géré par le FAI. Dans les deux cas, c'est filtré par lui. Je ne suis pas d'accord. Ou plus exactement, je ne suis que très partiellement d'accord. Je ne suis pas tenu d'utiliser les DNS de mon FAI, tout comme je ne suis pas tenu d'utiliser son infrastructure de mail, tout comme je ne suis pas tenu d'utiliser son serveur web pour installer mes pages perso. Par contre, s'il touche aux couches 3/4, je ne peux plus rien faire, sauf changer de fournisseur, là où c'est possible. Je t'accorde que pour l'utilisateur moyen, qui a déjà du mal à différencier le réseau de son navigateur, tout ça, c'est bien pareil. Mais quand on va sur cette voie là, qu'on suppose que l'utilisateur est idiot, et qu'on range tout dans un large blob étiqueté réseau, avec dedans les services, les infras, le routage, alors on rend les débats illisibles. On se met à dire que le DNS-resolver du FAI doit être neutre. Que du coup son mail aussi (et donc l'anti-spam doit être sous contrÔle fin de l'utilisateur). Que du coup le moteur de recherche de Google aussi. Que du coup les sites de services aussi doivent être neutre. Que donc le Figaro est prié de relayer les thèses du NPA en leur accordant autant de place et de sérieux que celles de l'UMP. Et la conclusion, c'est que ton blog est une chaîne de télévision, tout comme TF1, et que le CSA est légitime à te contrÔler. Et au final tu es tenu de n'exprimer que des opinions neutres, qui sont priées d'être conformes aux moyennes constatées par les sondeurs. L'erreur dans ce raisonnement est le point de départ: les utilisateurs sont assez intelligents pour choisir des services qui leur conviennent. Donc la neutralité des services n'a pas une grande importance, elle relève tout au plus de l'assistance aux personnes qui ne se sont pas encore bien adaptées à l'environnement numérique, et n'aura plus grande importance sous peu. Par contre, les utilisateurs et les services dépendent tous les deux du réseau, qui est une ressource commune essentielle et non-remplacable localement. Je fais une différence énorme entre la couche 3/4, sur laquelle ton FAI détient de fait un monopole local (on peut tranquilement considérer que d'avoir deux FAI chez soi relève du fantasme, sauf à distribuer des AS 64 bits à tout le monde...); et les couches au-dessus où ton FAI ne détient aucun monopole naturel. Si tu veux un DNS non filtré, je préconise aptitude install bind Plusieurs remarques à ce sujet. D'abord, je mets ma casquette d'employé de l'AFNIC : si tout le monde fait cela, il va falloir augmenter les impôts pour nous payer de nouveaux serveurs. En effet, comme il n'y aura plus de caches partagés, les serveurs faisant autorité souffriront davantage. Oui. Plus le réseau sera abimé par les margoulins, plus les gens se passeront des services des malfaisants, ce qui augmentera l'entropie du réseau. On l'a vu déjà: la lutte acharnée contre le P2P, par les FAI pour épargner 3 sous de bande passante, par les cultureux pour assurer leur rente viagère, ont aidé au développement du streaming/ddl plus ou moins mafieux. On a remplacé un protocole léger, et peu contraignant pour le réseau par ce qu'on a trouvé de plus affreux à transporter, créant des instabilités toujours plus grandes. Internet, quand on le laisse se développer normalement, sans créer de centre, est naturellement assez stable. Quand on lutte contre ce fonctionnement, on le rend instable. En pourissant les DNS caches répartis, on augmente la charge sur les serveurs centraux, et donc on rend l'ensemble moins stable. Reste que, ce n'est pas la même chose que de porter atteinte à la neutralité du réseau. On peut trouver deux comportement malfaisants chez les mêmes acteurs (ici, les FAI) sans pour autant devoir donner le même nom aux deux comportements. Mettre sur le résolveur de ta machine des forwarders vers des caches partagés (Telecomix ?) aiderait. Oh, moi, j'utilise le DNS de FDN. Il fonctionne, et il ne ment pas. Après, on a le FAI qu'on mérite :p B. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
Le 9 décembre 2011 08:54, Stephane Bortzmeyer bortzme...@nic.fr a écrit : Bien d'accord. Ceci dit, le service DNS de Free a des tas d'autres faiblesses : il a aussi au moins un avantage par rapport à $AUTRE_RESOLVER : petrus@seth:~$ dig +short google.com 2a00:1450:400c:c01::93 petrus@seth:~$ dig +short youtube.com 2a00:1450:400c:c01::be Les réseaux ipv6 ne sont pas encore tous whitelistés au niveau de chez Google. L'ipv6 est maintenant activé par défaut chez Free en dégroupé. On peut critiquer les choix technologiques, mais ça marche, et maintenant Mme Michu consulte des vidéos de chats sur youtube en utilisant ipv6. - pierre. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
Le Fri, 9 Dec 2011 08:45:28 +0100, Stephane Bortzmeyer bortzme...@nic.fr a écrit : Chez moi, c'est yum install bind, Décidement, tout le monde aime les failles de sécurité et les patches à appliquer en urgence... Bah c'est-à-dire que je veux pas troller mais niveau failles de sécurité, je me souviens d'une époque où aptitude install openssl faisait rire ceux qui utilisaient yum install openssl. Ah beh si tiens, j'ai trollé, mais on est vendredi, c'est permis. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
Le Fri, 9 Dec 2011 08:54:34 +0100, Stephane Bortzmeyer bortzme...@nic.fr a écrit : 1) Pas moyen de configurer le serveur DHCP de la Freebox pour distribuer d'autres serveurs de noms que ceux de Free (si on installe un résolveur local, il faut aussi mettre un serveur DHCP local, ou bien reconfigurer toutes les machines) C'est faux en ce qui concerne la Freebox v6, au moins avec le dernier firmware. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
On 12/9/11 12:45 AM, Benjamin BAYART wrote: Le Thu, Dec 08, 2011 at 05:09:36PM +0100, Paul Rolland: Et la ou ca serait vraiment bien, parce que chez Free, vous savez le faire, c'est une option dans l'admin pour faire du Opt-In/Opt-Out sur les fonctions de filtrage que vous mettez en place. On l'a pour le mail, ce qui permet d'avoir un serveur a la maison, et de faire sur smtp-out comme un grand, pourquoi pas aussi le DNS et les autres... en esperant qu'il n'y en ait pas d'autre ! Je ne peux qu'approuver, mais les cas sont différents. Le port 25 en filtré par le réseau. Le DNS est filtré par un service. Ça n'a rien à voir. Si tu veux un DNS non filtré, je préconise aptitude install bind :) Ça, pour le moment, ce n'est pas filtré. Mais ça viendra :( 1/ Par le DHCP, diriger les gens qui ont opté pour le filtrage sur des serv DNS qui ont le filtrage d'activé. 2/ Envoyer les adresses de nameservers sans filtrage pour les autres. 3/ ??? 4/ Profit ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
On Fri, 9 Dec 2011 08:44:44 +0100, Stephane Bortzmeyer bortzme...@nic.fr said: Stephane http://www.bortzmeyer.org/port53-filtre.html Stephane Unbound permet de faire du DNS-over-TLS (non normalisé) Stephane vers un serveur extérieur, pour contourner les filtres Stephane (c'est dans les toutes dernières versions, pas sur la Stephane Debian stable que tu utilises). Je pense qu'il faut à la base arrêter de tuer Internet. C'était mieux avant (quand nous utilisions tous les 2 Internet dans les années 80... :-) ). Doit-on vraiment revenir au bon vieux hosts.txt (http://tools.ietf.org/html/rfc952 pour ceux qui ont oublié ou plus probablement ici n'ont jamais connu) face à tous ces délires de filtrage et de résolution de faux problèmes imaginaires pour le bonheur de l'utilisateur comme dans toute dictature qui se respecte ? Stop ! On s'arrête ! -- Ronan KERYELL |\/ Phone: +1 408 844 4720 Wild Systems / HPC Project, Inc. |/) Cell: +33 613 143 766 5201 Great America Parkway #3241 Kronan.kery...@hpc-project.com Santa Clara, CA 95054 |\ skype:keryell USA| \ http://hpc-project.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
Bonjour, On Thu, 8 Dec 2011 16:59:27 +0100 Stephane Bortzmeyer bortzme...@nic.fr wrote: On Thu, Dec 08, 2011 at 04:49:26PM +0100, Damien Fleuriot m...@my.gd wrote a message of 40 lines which said: Alors là j'ai envie de dire, en quoi le filtrage DNS par l'ISP répond à cette problématique ? L'explication de Frédéric Gander est très incomplète. L'attaque par changement ne nécessite pas de VPN (cf. mon article). Effectivement, merci a Stephane et a Frederic pour leurs explications respectives. Maintenant, et sans vouloir lancer des trolls velus par avance, je suis vraiment desole que tout cela se fasse sans informer l'utilisateur final, qui se trouve aussi etre client... Et la ou ca serait vraiment bien, parce que chez Free, vous savez le faire, c'est une option dans l'admin pour faire du Opt-In/Opt-Out sur les fonctions de filtrage que vous mettez en place. On l'a pour le mail, ce qui permet d'avoir un serveur a la maison, et de faire sur smtp-out comme un grand, pourquoi pas aussi le DNS et les autres... en esperant qu'il n'y en ait pas d'autre ! Apres tout, j'aimerais bien savoir a quelles portions d'Internet je peux avoir acces et la ou c'est filtre... Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
On Thu, 8 Dec 2011 16:59:27 +0100, Stephane Bortzmeyer bortzme...@nic.fr said: L'explication de Frédéric Gander est très incomplète. L'attaque par changement ne nécessite pas de VPN (cf. mon article). Non, mais le VPN c'est la cerise sur le gateau pour l'attaquant. Ca rapporte des clients. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Free expérimente t'il le filtrage DNS ?
Le Thu, Dec 08, 2011 at 05:09:36PM +0100, Paul Rolland: Et la ou ca serait vraiment bien, parce que chez Free, vous savez le faire, c'est une option dans l'admin pour faire du Opt-In/Opt-Out sur les fonctions de filtrage que vous mettez en place. On l'a pour le mail, ce qui permet d'avoir un serveur a la maison, et de faire sur smtp-out comme un grand, pourquoi pas aussi le DNS et les autres... en esperant qu'il n'y en ait pas d'autre ! Je ne peux qu'approuver, mais les cas sont différents. Le port 25 en filtré par le réseau. Le DNS est filtré par un service. Ça n'a rien à voir. Si tu veux un DNS non filtré, je préconise aptitude install bind :) Ça, pour le moment, ce n'est pas filtré. Mais ça viendra :( B. --- Liste de diffusion du FRnOG http://www.frnog.org/
