D'ailleurs, c'est ce que dit Renesys : http://www.renesys.com/blog/2010/11/chinas-18-minute-mystery.shtml
Le 19 novembre 2010 13:56, Arnaud GARRIGUES <[email protected]> a écrit : > Bonjour à tous, > > Je tiens à signaler une chose ! > > Vous paraissez omettre un fait d'importance : en sécurité, nous parlons de > Disponibilité, Intégrité et Confidentialité. > > Les problématiques de routage sont telles que : > > - la souplesse de BGP permet d'assurer la dispo. en cas de ruptures de > câbles (asie du sud-est, méditerrannée...). Donc BGP apporte un vrai plus ! > > Or, si l'on regarde bien, l'AS 7007, le cas Pakistant/Youtube et celui de > la CHine sont très limités dans le temps !!!! On parle de 18 minutes pour la > Chine. Niveau disponibilité, mon propre FAI a fait largement pire toute > l'année passée (au moins 8h d'indispo, ce qui est supérieur, je crois à la > somme de tous les cas ci-dessus) > > - Au niveau intégrité et confidentialité : oui, le problème existe > également. Mais, vu que les temps de hijack sont très limités, cela devient > très difficile de définir un modus operandi suffisamment précis et efficace > pour avoir un effet déterminant ou obtenir une information très convoitée. > > Enfin, je dirais une chose que j'ai appris de praticien réels de backbone > et opérateurs : c'est que ces gens-là ne cessent de faire de la veille et de > regarder les modifications des tables de routage. > > Le suivi est telle que les problèmes ne durent jamais longtemps ! La mesure > de sécurité ainsi construite est donc, en l'état et pour le moment, adaptée > aux problèmes non ? Je ne suis pas sur que d'autres seraient ainsi aptes à > conserver la souplesse qui favorise la disponiblité d'Internet au détriment > du reste... > > Quelques réflexions personnelles pour alimenter votre réflexion! > > Bien cordialement, > > AG > > Le 19 novembre 2010 13:47, Kavé Salamatian <[email protected] > > a écrit : > > >> >> http://www.bortzmeyer.org/rpki-et-igp.html >> comme toujours. >> >> http://internetgovernance.org/pdf/RPKI-VilniusIGPfinal.pdf >> Kavé s'impatiente à juste titre. Mais dans le plan de Richard Clarke >> (validé par GW Bush) après le 11 septembre, BGP était _la_ priorité. >> >> >> En effet. >> >> Pas le DNS. Le DNS était un contrôle politique, économique, intellectuel >> du réseau jusqu'à ce qu'il amène une nouvelle vision structurelle de ce >> réseau. BGP est un contrôle topologique et opérationnel du réseau. >> L'approche de Louis est de loin la plus efficace (appellons-là selon son nom >> : "catenet" si je ne m'abuse). Si l'on suit la terminologie de René Thom >> c'est une topologie des adjacences par les saillances. Internet lui est >> alors une topologie de prégnances : l'interconnexion peut passer par partout >> dans la théorie, mais pas partout dans l'économie. Le systèmatiser est ce >> que je préconise d'explorer; est-ce ce que propose Riguidel ? Quel est alors >> le rôle et l'économie des FAI ? >> >> >> Il y'a pas grand monde qui se pose la questions. On voit juste un début de >> discussion avec les discussions sur la net-neutralité. >> >> >> Forts de l'expérience DNSSEC et à la nouvelle lecture de l'Internet >> résultant d'IDNA2008 (oui je sais nommage) et IPv6 qui l'écartera sans >> doute, que pouvons nous répondre à cela ? Comme dans le nommage nous sommes >> techniquement confrontés à de très grands intérêts économiques et à une >> infrastructure au-delà de notre portée influencielle apparente. >> >> C'est pourquoi j'ai tendance à penser qu'il nous faut forcer notre place à >> la table de discussion à travers la succession nommage, capacitation du >> système individuel, sous-addressage local, portée globale des sous-adresses, >> neutralité du réseau, contrôle du routage de ses traffics avec la >> préoccupation constante de la sécurité et de l'autonomie dans une >> intergouvernance responsable entre la personne utilisatrice et ses >> prestataires. >> >> >> >> Il faut déjà que la problèmatique soit amené sur la place publique et que >> le routage ne soit plus un sujet seulement dédiés à des Geeks en >> birkenstocks et chaussettes de laines :-). >> >> >> Bien cordialement >> >> Kavé Salamatian >> >> >> jfc >> >> >> >> Cordialement, >> >> AG >> >> Le 19 novembre 2010 01:42, Louis Pouzin <[email protected]> a écrit : >> Bonsoir Kavé, >> >> Le routage est le talon d'Achille de l'internet, donc on évite de trop en >> parler. Il est plus critique que le nommage en ce sens qu'on n'a pas les >> moyens de lui substituer une solution personnalisée. Sans être >> particulièrement compétent sur le sujet, je ne crois pas que la méthode >> d'annonces de BGP, ou autre denrée similaire, puisse être mise à l'abri des >> attaques. >> >> Michel Riguidel imagine un milieu spongieux où les flux se faufileraient >> (ce que j'ai compris). L'image est attrayante, mais je ne vois pas bien >> comment la programmer. >> >> Je serais plutôt tenté de partir de modèles plus rigides comme rail ou >> autoroutes, à base d'oligopoles + ou - concurrents, mais en nombre limité. >> D'où un routage géographique bien moins foisonnant que la nébuleuse IP. La >> partie capillaire resterait du domaine local, sans conséquence notable sur >> l'ensemble du réseau. >> >> À moins qu'un esprit génial débarque avec le truc évident auquel personne >> n'a pensé. >> - - - >> >> 2010/11/18 Kavé Salamatian < [email protected]> >> >> Bonjour, >> >> ceux qui me connaissent savent bien que depuis un bout de temps je milite >> pour dire que le principal champ de bataille pour la gouvernance d'Internet >> est dans la connectivité inter-domaine et dans la régulation de BGP et non >> pas dans le nommage qui concentre la majorité des discussions actuelles. >> J'en avais fait part durant une matinée à Paris en Janvier 2010 (voir >> l'excellent compte rendu de Laurent Bloch sur >> http://www.laurentbloch.org/spip.php?article171) >> >> Nous venons d'avoir une éclatante preuve de ce que j'avançais dans le >> journal de la défense nationale américaine (voir >> http://www.nationaldefensemagazine.org/blog/Lists/Posts/Post.aspx?ID=249) >> qui annonce qu'en Avril 2010 pendant 18 minutes, une société contrôlée >> par le gouvernement chinois (en l'occurrence China Telecom) a "hijacké" 15% >> de la totalité du trafic mondial, ce qui incluent le trafic militaire >> américain, le trafic civil, etc.... Il semblerait que ce cas la ne soit pas >> une erreur de configuration comme la péripétie Pakistanaise que j'avais >> décrit précédemment, mais un "hijack" délibéré qui ressemble à tout point en >> un prototype et une preuve de concept d'une attaque à plus grande échelle. >> Ce qui est en particulier extrêmement intéressant est que cette péripétie >> n'est pas une attaque car elle profite du manque de régulation dans BGP. >> >> SI on rapproche ceci de STUXNET qui est aussi un sujet passionnant, nous >> rentrons de plein pied dans la vrai cyber-guerre avec des effets et des >> incidences largement plus importantes que l'incapacité à ajouter des accents >> dans son nom de domaine :-). >> >> Bonne lecture >> >> Kavé Salamatian >> >> >> _______________________________________________ >> comptoir mailing list >> [email protected] >> http://cafedu.com/mailman/listinfo/comptoir_cafedu.com >> >> >> >> >> -- >> Arnaud Garrigues >> http://cidris-news.blogspot.com >> http://www.cidris.fr >> _______________________________________________ >> comptoir mailing list >> [email protected] >> http://cafedu.com/mailman/listinfo/comptoir_cafedu.com >> >> _______________________________________________ >> comptoir mailing list >> [email protected] >> http://cafedu.com/mailman/listinfo/comptoir_cafedu.com >> >> >> >> _______________________________________________ >> comptoir mailing list >> [email protected] >> http://cafedu.com/mailman/listinfo/comptoir_cafedu.com >> >> > > > -- > Arnaud Garrigues > http://cidris-news.blogspot.com > http://www.cidris.fr > -- Arnaud Garrigues http://cidris-news.blogspot.com http://www.cidris.fr
_______________________________________________ comptoir mailing list [email protected] http://cafedu.com/mailman/listinfo/comptoir_cafedu.com
