Bonjour à tous,

Je tiens à signaler une chose !

Vous paraissez omettre un fait d'importance : en sécurité, nous parlons de
Disponibilité, Intégrité et Confidentialité.

Les problématiques de routage sont telles que :

- la souplesse de BGP permet d'assurer la dispo. en cas de ruptures de
câbles (asie du sud-est, méditerrannée...). Donc BGP apporte un vrai plus !

Or, si l'on regarde bien, l'AS 7007, le cas Pakistant/Youtube et celui de la
CHine sont très limités dans le temps !!!! On parle de 18 minutes pour la
Chine. Niveau disponibilité, mon propre FAI a fait largement pire toute
l'année passée (au moins 8h d'indispo, ce qui est supérieur, je crois à la
somme de tous les cas ci-dessus)

- Au niveau intégrité et confidentialité : oui, le problème existe
également. Mais, vu que les temps de hijack sont très limités, cela devient
très difficile de définir un modus operandi suffisamment précis et efficace
pour avoir un effet déterminant ou obtenir une information très convoitée.

Enfin, je dirais une chose que j'ai appris de praticien réels de backbone et
opérateurs : c'est que ces gens-là ne cessent de faire de la veille et de
regarder les modifications des tables de routage.

Le suivi est telle que les problèmes ne durent jamais longtemps ! La mesure
de sécurité ainsi construite est donc, en l'état et pour le moment, adaptée
aux problèmes non ? Je ne suis pas sur que d'autres seraient ainsi aptes à
conserver la souplesse qui favorise la disponiblité d'Internet au détriment
du reste...

Quelques réflexions personnelles pour alimenter votre réflexion!

Bien cordialement,

AG

Le 19 novembre 2010 13:47, Kavé Salamatian
<[email protected]>a écrit :

>
>
>  http://www.bortzmeyer.org/rpki-et-igp.html
> comme toujours.
>
>  http://internetgovernance.org/pdf/RPKI-VilniusIGPfinal.pdf
> Kavé s'impatiente à juste titre. Mais dans le plan de Richard Clarke
> (validé par GW Bush) après le 11 septembre, BGP était _la_ priorité.
>
>
> En effet.
>
> Pas le DNS. Le DNS était un contrôle politique, économique, intellectuel du
> réseau jusqu'à ce qu'il amène une nouvelle vision structurelle de ce réseau.
> BGP est un contrôle topologique et opérationnel du réseau. L'approche de
> Louis est de loin la plus efficace (appellons-là selon son nom : "catenet"
> si je ne m'abuse). Si l'on suit la terminologie de René Thom c'est une
> topologie des adjacences par les saillances. Internet lui est alors une
> topologie de prégnances : l'interconnexion peut passer par partout dans la
> théorie, mais pas partout dans l'économie. Le systèmatiser est ce que je
> préconise d'explorer; est-ce ce que propose Riguidel ? Quel est alors le
> rôle et l'économie des FAI ?
>
>
> Il y'a pas grand monde qui se pose la questions. On voit juste un début de
> discussion avec les discussions sur la net-neutralité.
>
>
> Forts de l'expérience DNSSEC et à la nouvelle lecture de l'Internet
> résultant d'IDNA2008 (oui je sais nommage) et IPv6 qui l'écartera sans
> doute, que pouvons nous répondre à cela ? Comme dans le nommage nous sommes
> techniquement confrontés à de très grands intérêts économiques et à une
> infrastructure au-delà de notre portée influencielle apparente.
>
> C'est pourquoi j'ai tendance à penser qu'il nous faut forcer notre place à
> la table de discussion à travers la succession nommage, capacitation du
> système individuel, sous-addressage local, portée globale des sous-adresses,
> neutralité du réseau, contrôle du routage de ses traffics avec la
> préoccupation constante de la sécurité et de l'autonomie dans une
> intergouvernance responsable entre la personne utilisatrice et ses
> prestataires.
>
>
>
> Il faut déjà que la problèmatique soit amené sur la place publique et que
> le routage ne soit plus un sujet seulement dédiés à des Geeks en
> birkenstocks et chaussettes de laines :-).
>
>
> Bien cordialement
>
> Kavé Salamatian
>
>
> jfc
>
>
>
> Cordialement,
>
> AG
>
> Le 19 novembre 2010 01:42, Louis Pouzin <[email protected]> a écrit :
>  Bonsoir Kavé,
>
> Le routage est le talon d'Achille de l'internet, donc on évite de trop en
> parler. Il est plus critique que le nommage en ce sens qu'on n'a pas les
> moyens de lui substituer une solution personnalisée. Sans être
> particulièrement compétent sur le sujet, je ne crois pas que la méthode
> d'annonces de BGP, ou autre denrée similaire, puisse être mise à l'abri des
> attaques.
>
> Michel Riguidel imagine un milieu spongieux où les flux se faufileraient
> (ce que j'ai compris). L'image est attrayante, mais je ne vois pas bien
> comment la programmer.
>
> Je serais plutôt tenté de partir de modèles plus rigides comme rail ou
> autoroutes, à base d'oligopoles + ou - concurrents, mais en nombre limité.
> D'où un routage géographique bien moins foisonnant que la nébuleuse IP. La
> partie capillaire resterait du domaine local, sans conséquence notable sur
> l'ensemble du réseau.
>
> À moins qu'un esprit génial débarque avec le truc évident auquel personne
> n'a pensé.
> - - -
>
> 2010/11/18 Kavé Salamatian < [email protected]>
>
>  Bonjour,
>
> ceux qui me connaissent savent bien que depuis un bout de temps je milite
> pour dire que le principal champ de bataille pour la gouvernance d'Internet
> est dans la connectivité inter-domaine et dans la régulation de  BGP et non
> pas dans le nommage qui concentre la majorité des discussions actuelles.
> J'en avais fait part durant une matinée à Paris en Janvier 2010 (voir
> l'excellent compte rendu de Laurent Bloch sur
> http://www.laurentbloch.org/spip.php?article171)
>
> Nous venons d'avoir une éclatante preuve de ce que j'avançais  dans le
> journal de la défense nationale américaine (voir
> http://www.nationaldefensemagazine.org/blog/Lists/Posts/Post.aspx?ID=249)  
> qui annonce qu'en Avril 2010 pendant 18 minutes, une société contrôlée
> par le gouvernement chinois (en l'occurrence China Telecom) a "hijacké"  15%
> de la totalité du trafic mondial, ce qui incluent le trafic militaire
> américain, le trafic civil, etc.... Il semblerait que ce cas la ne soit pas
> une erreur de configuration comme la péripétie Pakistanaise que j'avais
> décrit précédemment, mais un "hijack" délibéré qui ressemble à tout point en
> un prototype et une preuve de concept d'une attaque à plus grande échelle.
> Ce qui est en particulier extrêmement intéressant est que cette péripétie
> n'est pas une attaque car elle profite du manque de régulation dans BGP.
>
> SI on rapproche ceci de STUXNET qui est aussi un sujet passionnant, nous
> rentrons de plein pied dans la vrai cyber-guerre avec des effets et des
> incidences largement plus importantes que l'incapacité à ajouter des accents
> dans son nom de domaine :-).
>
> Bonne lecture
>
> Kavé Salamatian
>
>
> _______________________________________________
> comptoir mailing list
> [email protected]
>  http://cafedu.com/mailman/listinfo/comptoir_cafedu.com
>
>
>
>
> --
> Arnaud Garrigues
>  http://cidris-news.blogspot.com
> http://www.cidris.fr
> _______________________________________________
> comptoir mailing list
> [email protected]
>  http://cafedu.com/mailman/listinfo/comptoir_cafedu.com
>
>  _______________________________________________
> comptoir mailing list
> [email protected]
> http://cafedu.com/mailman/listinfo/comptoir_cafedu.com
>
>
>
> _______________________________________________
> comptoir mailing list
> [email protected]
> http://cafedu.com/mailman/listinfo/comptoir_cafedu.com
>
>


-- 
Arnaud Garrigues
http://cidris-news.blogspot.com
http://www.cidris.fr
_______________________________________________
comptoir mailing list
[email protected]
http://cafedu.com/mailman/listinfo/comptoir_cafedu.com

Répondre à