At 10:06 24/11/2010, Kavé Salamatian wrote:
Bonjour,
> - Les cas discutés par Stéphane sont le summum du non fiable : des accidents. Ils altèrent la fiabilité, mais a priori pas la sécurité : c'est un accident,pas un piège à informations.

C'est un aspect de la chose. Il y'a deux façons d'agir sur le trafic: attirer un trafic qui ne devrait pas passer par un réseau dans ce réseau (c'est qui s'est passer avec la Chine) mais aussi interdire le transit d'un trafic alors qu'il devrait passer ce réseau (ça arrive tout les jours et c'est l'une des causes de du "digital divide").

hmmm. C'est donc là une atteinte à la neutralité du réseau ? Un bon tambour de résonnance pour faire parler de BGP ?

Une autre où j'ai gagné mes "gallons" d'emm.... à l'IETF est le filtrage permis pas le langtag (langue/écriture/pays) du contenu qui permet de savoir quel est le trafic communautaire à surveiller, à diminuer la priorité, à filtrer (RFC 4647) ou à bloquer.

Je comprends que conjugué à une "feature" de BGP décrite dans http://www.privacydigest.com/2008/08/28/revealed%20internets%20biggest%20security%20hole%20bgp%20border%20gateway%20protocol
cela permet de faire pas mal de choses ?


> - Ce dont parle Kavé ce sont des actes délibérés pour emm... qui font semblant d'être des accidents. Mais ton information n'est pas compromise, mais cela rend le réseau moins sur.

En effet. Surtout cela montre que BGP est une vaste jungle ou tout est permis.

> - Ce qui est aussi préoccupant est que BGP peut aussi (si je comprends bien) être utilisé pour connaître tes données : il y a là une faille de sécurité.
>
> Mais il y a aussi faille de sécurité, lorsque l'acte sur BGP est utilisé à l'extérieur du réseau, comme lorsqu'un cambrioleur coupe le courant pour couper l'alarme avant de pénétrer chez toi.
>
> Il y a deux façons de répondre au souci de Kavé :
> - comme il propose : de la régulation qui est utile contre les erreurs involontaires et dissuade partiellement les actions de défense > - comme je l'envisage : trouver une architecture où l'erreur soit plus difficile (rendant l'attaque alors flagrante) ou dont l'impact soit plus faible (l'attaque ne paie pas assez).

Je fais aussi de la recherche la dessus :-). Je suis payé pour ça .... mais aussi pour faire de l'enseignement, de l'administration, de la gestion, de la représentation, et tout ce qui pourrais remplir mes 90 heures de travail par semaine :-).

Je suis frappé par le fait que de plus en plus chacun s'accorde à décrire l'internet comme un réseau distribué global truffé d'inégalités de routage et de filtrage, alors que les valeurs centrales de l'IETF reposent sur la décentralisation et le partage des ressources.

C'est pourquoi - outre mes 90 heures bien pleines - j'hésite depuis des années à faire avancer l'interplus car je me rends compte de la nébuleuse intriquée qu'il représente et l'impréparation mentale, conceptuelle, légale, managériale, commerciale, politique que représente l'imbrication de milliards de réseau globaux autonomes qu'introduit le concept d'interbox (c'est à dire chacun ayant son propre IANA étendu). Ce n'est que le remplacement très aisé de la décentralisation IETF par la "distribution" sur laquelle on s'accorde. IDv6 pour le sous-adressage à la IPv6 local, le root local, et à terme une nécessaire recompréhension de BGP avec des milliards d'AS ou équivalents, le problème du multicast et des mobiles, et la nécessité de décider de son routage.

Comprenons bien :

(1) si je n'ai pas mon root local comment puis-je être sur que je ne tente pas de résoudre en utilisant un des serveurs racine F-, I-, J-roots de Pékin (2) si je ne suis pas maître de ma route, comment vais-je être sûr que mes datagrammes arrivent ou qu'ils n'ont pas été modifiés par des pirates sur le parcours. Il est probable qu'un produit d'avenir est le circuit virtuel jusqu'à un point donné du réseau (des gateways internes) qui m'assure par exemple d'aller de Washington à Miami sans passer par Pékin. Ou des produits d'escorte comme au large de la Somalie. N'oublions pas aussi que le trafic crypté sera sans doute filtré en bien des endroits.

Sans une solide adminance, c'est à dire une perspective à long terme acceptée de tous en remplacement aux tentatives de monopole au sein de la gouvernance, on va rencontrer des temps "amusants" lorsque l'Interplus se déploiera.

Je rappelle mon vocabulaire :

- desservance : la desserte en ligne (court terme/contrats), gouvernance : les coalitions dynamiques et coopérations renforcées (moyen terme/lois), adminance : l'administration de ce qui est admis de concert (long terme/constitution). - Interplus est une approche un peu plus structurée de la capacitation numérique de chacun qui n'est qu'un concept d'adminance (la manière dont je construis mon environnement internet à long terme pour être pleinement interopérationnel avec d'autres), mais la base est une utilisation non modifiée ou très peu adaptée des outils réseau. Ces outils sont seulement lus, admis et utilisés dans le contexte d'une systémique généralisée (documentée dans mon appel à l'IAB) où l'univers est divisé pour chaque système en quatre grandes régions découplables : l'endotème (le système actuel et ses imbrications), le péritème (ce qui est périphérique au système), l'exotème (ce qui est extérieur au système, mais peut interagir dans le passé/présent/possible) et le reste.

Par exemple, sur mon PC, j'utilise mon root local sous Bind version Windows (pas un root des racines ouvertes) qui va voir les serveurs des registres que je choisis. S'il y a un DoS sur les serveurs racines, je ne suis pas affecté. Si le gouvernement français avait des envies de copier Pékin, cela ne me gênerait pas. Si j'allais à Pékin, je logerais probablement en tôle. Ne pouvant m'atteindre par le root, le gouvernement chinois n'aurait plus que BGP pour me priver d'accès aux adresses IP qu'il veut bloquer. C'est pourquoi l'affaire de cette semaine est un double test: comment bloquer le trafic interne chinois et des portions adverses du trafic. Cette fois-ci juste :

138.18.0.0/16|US|668|ASN-DREN-NET - DoD Network Information Center|Defense Research and Engineering Network 164.49.0.0/16|US|668|ASN-DREN-NET - DoD Network Information Center|US Army Space and Strategic Defense 192.5.18.0/24|US|22238|DARPA - Defense Advanced Research Projects Agency(DARPA)|RS Information Services-AS22238(added by MAINT-AS6517) 129.109.241.0/24|US|6922|TEXASAGENCYNET - Texas Department of Information Resources|
152.132.192.0/19|US|29992|VA-TMP-CORE - Department of Veterans Affairs|
152.119.0.0/16|US|2576|DOT-AS - U. S. Department of Transportation|USDOT
206.212.160.0/19|US|33138|AS-NYPD - New York City Police Department|
205.83.128.0/19|US|27066|DNIC-ASBLK-27032-27159 - DoD Network Information Center|
12.196.34.0/23|US|3495|SENATE-AS - US Senate|
12.32.27.0/24|US|3495|SENATE-AS - US Senate|
156.33.0.0/17|US|3495|SENATE-AS - US Senate|
156.33.0.0/17|US|3495|SENATE-AS - US Senate|
156.33.128.0/17|US|3495|SENATE-AS - US Senate|
156.33.255.0/24|US|3495|SENATE-AS - US Senate|
63.82.114.0/24|US|3495|SENATE-AS - US Senate|
63.82.116.0/24|US|3495|SENATE-AS - US Senate|
63.82.118.0/24|US|3495|SENATE-AS - US Senate|

cf. http://bgpmon.net/blog/?p=323

jfc

jfc


_______________________________________________
comptoir mailing list
[email protected]
http://cafedu.com/mailman/listinfo/comptoir_cafedu.com

Répondre à