At 10:06 24/11/2010, Kavé Salamatian wrote:
Bonjour,
> - Les cas discutés par Stéphane sont le summum du non fiable :
des accidents. Ils altèrent la fiabilité, mais a priori pas la
sécurité : c'est un accident,pas un piège à informations.
C'est un aspect de la chose. Il y'a deux façons d'agir sur le
trafic: attirer un trafic qui ne devrait pas passer par un réseau
dans ce réseau (c'est qui s'est passer avec la Chine) mais aussi
interdire le transit d'un trafic alors qu'il devrait passer ce
réseau (ça arrive tout les jours et c'est l'une des causes de du
"digital divide").
hmmm. C'est donc là une atteinte à la neutralité du réseau ? Un bon
tambour de résonnance pour faire parler de BGP ?
Une autre où j'ai gagné mes "gallons" d'emm.... à l'IETF est le
filtrage permis pas le langtag (langue/écriture/pays) du contenu qui
permet de savoir quel est le trafic communautaire à surveiller, à
diminuer la priorité, à filtrer (RFC 4647) ou à bloquer.
Je comprends que conjugué à une "feature" de BGP décrite dans
http://www.privacydigest.com/2008/08/28/revealed%20internets%20biggest%20security%20hole%20bgp%20border%20gateway%20protocol
cela permet de faire pas mal de choses ?
> - Ce dont parle Kavé ce sont des actes délibérés pour emm... qui
font semblant d'être des accidents. Mais ton information n'est pas
compromise, mais cela rend le réseau moins sur.
En effet. Surtout cela montre que BGP est une vaste jungle ou tout est permis.
> - Ce qui est aussi préoccupant est que BGP peut aussi (si je
comprends bien) être utilisé pour connaître tes données : il y a là
une faille de sécurité.
>
> Mais il y a aussi faille de sécurité, lorsque l'acte sur BGP est
utilisé à l'extérieur du réseau, comme lorsqu'un cambrioleur coupe
le courant pour couper l'alarme avant de pénétrer chez toi.
>
> Il y a deux façons de répondre au souci de Kavé :
> - comme il propose : de la régulation qui est utile contre les
erreurs involontaires et dissuade partiellement les actions de défense
> - comme je l'envisage : trouver une architecture où l'erreur soit
plus difficile (rendant l'attaque alors flagrante) ou dont l'impact
soit plus faible (l'attaque ne paie pas assez).
Je fais aussi de la recherche la dessus :-). Je suis payé pour ça
.... mais aussi pour faire de l'enseignement, de l'administration,
de la gestion, de la représentation, et tout ce qui pourrais remplir
mes 90 heures de travail par semaine :-).
Je suis frappé par le fait que de plus en plus chacun s'accorde à
décrire l'internet comme un réseau distribué global truffé
d'inégalités de routage et de filtrage, alors que les valeurs
centrales de l'IETF reposent sur la décentralisation et le partage
des ressources.
C'est pourquoi - outre mes 90 heures bien pleines - j'hésite depuis
des années à faire avancer l'interplus car je me rends compte de la
nébuleuse intriquée qu'il représente et l'impréparation mentale,
conceptuelle, légale, managériale, commerciale, politique que
représente l'imbrication de milliards de réseau globaux autonomes
qu'introduit le concept d'interbox (c'est à dire chacun ayant son
propre IANA étendu). Ce n'est que le remplacement très aisé de la
décentralisation IETF par la "distribution" sur laquelle on
s'accorde. IDv6 pour le sous-adressage à la IPv6 local, le root
local, et à terme une nécessaire recompréhension de BGP avec des
milliards d'AS ou équivalents, le problème du multicast et des
mobiles, et la nécessité de décider de son routage.
Comprenons bien :
(1) si je n'ai pas mon root local comment puis-je être sur que je ne
tente pas de résoudre en utilisant un des serveurs racine F-, I-,
J-roots de Pékin
(2) si je ne suis pas maître de ma route, comment vais-je être sûr
que mes datagrammes arrivent ou qu'ils n'ont pas été modifiés par des
pirates sur le parcours. Il est probable qu'un produit d'avenir est
le circuit virtuel jusqu'à un point donné du réseau (des gateways
internes) qui m'assure par exemple d'aller de Washington à Miami sans
passer par Pékin. Ou des produits d'escorte comme au large de la
Somalie. N'oublions pas aussi que le trafic crypté sera sans doute
filtré en bien des endroits.
Sans une solide adminance, c'est à dire une perspective à long terme
acceptée de tous en remplacement aux tentatives de monopole au sein
de la gouvernance, on va rencontrer des temps "amusants" lorsque
l'Interplus se déploiera.
Je rappelle mon vocabulaire :
- desservance : la desserte en ligne (court terme/contrats),
gouvernance : les coalitions dynamiques et coopérations renforcées
(moyen terme/lois), adminance : l'administration de ce qui est admis
de concert (long terme/constitution).
- Interplus est une approche un peu plus structurée de la
capacitation numérique de chacun qui n'est qu'un concept d'adminance
(la manière dont je construis mon environnement internet à long terme
pour être pleinement interopérationnel avec d'autres), mais la base
est une utilisation non modifiée ou très peu adaptée des outils
réseau. Ces outils sont seulement lus, admis et utilisés dans le
contexte d'une systémique généralisée (documentée dans mon appel à
l'IAB) où l'univers est divisé pour chaque système en quatre grandes
régions découplables : l'endotème (le système actuel et ses
imbrications), le péritème (ce qui est périphérique au système),
l'exotème (ce qui est extérieur au système, mais peut interagir dans
le passé/présent/possible) et le reste.
Par exemple, sur mon PC, j'utilise mon root local sous Bind version
Windows (pas un root des racines ouvertes) qui va voir les serveurs
des registres que je choisis. S'il y a un DoS sur les serveurs
racines, je ne suis pas affecté. Si le gouvernement français avait
des envies de copier Pékin, cela ne me gênerait pas. Si j'allais à
Pékin, je logerais probablement en tôle. Ne pouvant m'atteindre par
le root, le gouvernement chinois n'aurait plus que BGP pour me priver
d'accès aux adresses IP qu'il veut bloquer. C'est pourquoi l'affaire
de cette semaine est un double test: comment bloquer le trafic
interne chinois et des portions adverses du trafic. Cette fois-ci juste :
138.18.0.0/16|US|668|ASN-DREN-NET - DoD Network Information
Center|Defense Research and Engineering Network
164.49.0.0/16|US|668|ASN-DREN-NET - DoD Network Information Center|US
Army Space and Strategic Defense
192.5.18.0/24|US|22238|DARPA - Defense Advanced Research Projects
Agency(DARPA)|RS Information Services-AS22238(added by MAINT-AS6517)
129.109.241.0/24|US|6922|TEXASAGENCYNET - Texas Department of
Information Resources|
152.132.192.0/19|US|29992|VA-TMP-CORE - Department of Veterans Affairs|
152.119.0.0/16|US|2576|DOT-AS - U. S. Department of Transportation|USDOT
206.212.160.0/19|US|33138|AS-NYPD - New York City Police Department|
205.83.128.0/19|US|27066|DNIC-ASBLK-27032-27159 - DoD Network
Information Center|
12.196.34.0/23|US|3495|SENATE-AS - US Senate|
12.32.27.0/24|US|3495|SENATE-AS - US Senate|
156.33.0.0/17|US|3495|SENATE-AS - US Senate|
156.33.0.0/17|US|3495|SENATE-AS - US Senate|
156.33.128.0/17|US|3495|SENATE-AS - US Senate|
156.33.255.0/24|US|3495|SENATE-AS - US Senate|
63.82.114.0/24|US|3495|SENATE-AS - US Senate|
63.82.116.0/24|US|3495|SENATE-AS - US Senate|
63.82.118.0/24|US|3495|SENATE-AS - US Senate|
cf. http://bgpmon.net/blog/?p=323
jfc
jfc
_______________________________________________
comptoir mailing list
[email protected]
http://cafedu.com/mailman/listinfo/comptoir_cafedu.com