Le 24 nov. 2010 à 12:35, jefsey a écrit :
> At 10:06 24/11/2010, Kavé Salamatian wrote:
>> Bonjour,
>> > - Les cas discutés par Stéphane sont le summum du non fiable : des
>> > accidents. Ils altèrent la fiabilité, mais a priori pas la sécurité :
>> > c'est un accident,pas un piège à informations.
>>
>> C'est un aspect de la chose. Il y'a deux façons d'agir sur le trafic:
>> attirer un trafic qui ne devrait pas passer par un réseau dans ce réseau
>> (c'est qui s'est passer avec la Chine) mais aussi interdire le transit d'un
>> trafic alors qu'il devrait passer ce réseau (ça arrive tout les jours et
>> c'est l'une des causes de du "digital divide").
>
> hmmm. C'est donc là une atteinte à la neutralité du réseau ? Un bon tambour
> de résonnance pour faire parler de BGP ?
>
> Une autre où j'ai gagné mes "gallons" d'emm.... à l'IETF est le filtrage
> permis pas le langtag (langue/écriture/pays) du contenu qui permet de savoir
> quel est le trafic communautaire à surveiller, à diminuer la priorité, à
> filtrer (RFC 4647) ou à bloquer.
>
> Je comprends que conjugué à une "feature" de BGP décrite dans
> http://www.privacydigest.com/2008/08/28/revealed%20internets%20biggest%20security%20hole%20bgp%20border%20gateway%20protocol
> cela permet de faire pas mal de choses ?
En effet c'est une partie importante du problème.
>
>
>> > - Ce dont parle Kavé ce sont des actes délibérés pour emm... qui font
>> > semblant d'être des accidents. Mais ton information n'est pas compromise,
>> > mais cela rend le réseau moins sur.
>>
>> En effet. Surtout cela montre que BGP est une vaste jungle ou tout est
>> permis.
>>
>> > - Ce qui est aussi préoccupant est que BGP peut aussi (si je comprends
>> > bien) être utilisé pour connaître tes données : il y a là une faille de
>> > sécurité.
>> >
>> > Mais il y a aussi faille de sécurité, lorsque l'acte sur BGP est utilisé à
>> > l'extérieur du réseau, comme lorsqu'un cambrioleur coupe le courant pour
>> > couper l'alarme avant de pénétrer chez toi.
>> >
>> > Il y a deux façons de répondre au souci de Kavé :
>> > - comme il propose : de la régulation qui est utile contre les erreurs
>> > involontaires et dissuade partiellement les actions de défense
>> > - comme je l'envisage : trouver une architecture où l'erreur soit plus
>> > difficile (rendant l'attaque alors flagrante) ou dont l'impact soit plus
>> > faible (l'attaque ne paie pas assez).
>>
>> Je fais aussi de la recherche la dessus :-). Je suis payé pour ça .... mais
>> aussi pour faire de l'enseignement, de l'administration, de la gestion, de
>> la représentation, et tout ce qui pourrais remplir mes 90 heures de travail
>> par semaine :-).
>
> Je suis frappé par le fait que de plus en plus chacun s'accorde à décrire
> l'internet comme un réseau distribué global truffé d'inégalités de routage et
> de filtrage, alors que les valeurs centrales de l'IETF reposent sur la
> décentralisation et le partage des ressources.
L'Internet est la paradis d'Adam Smith. Aucune régulation, seul les lois du
marché et les interactions fondés sur le bénéfices mutuel y ont lieu. On
connait bien les critiques (et les bienfaits) du libéralisme sauvage. Ellles
s'appliquent pour la plupart à la situation d'Internet aujourd'hui.
>
> C'est pourquoi - outre mes 90 heures bien pleines - j'hésite depuis des
> années à faire avancer l'interplus car je me rends compte de la nébuleuse
> intriquée qu'il représente et l'impréparation mentale, conceptuelle, légale,
> managériale, commerciale, politique que représente l'imbrication de milliards
> de réseau globaux autonomes qu'introduit le concept d'interbox (c'est à dire
> chacun ayant son propre IANA étendu). Ce n'est que le remplacement très aisé
> de la décentralisation IETF par la "distribution" sur laquelle on s'accorde.
> IDv6 pour le sous-adressage à la IPv6 local, le root local, et à terme une
> nécessaire recompréhension de BGP avec des milliards d'AS ou équivalents, le
> problème du multicast et des mobiles, et la nécessité de décider de son
> routage.
>
> Comprenons bien :
>
> (1) si je n'ai pas mon root local comment puis-je être sur que je ne tente
> pas de résoudre en utilisant un des serveurs racine F-, I-, J-roots de Pékin
> (2) si je ne suis pas maître de ma route, comment vais-je être sûr que mes
> datagrammes arrivent ou qu'ils n'ont pas été modifiés par des pirates sur le
> parcours. Il est probable qu'un produit d'avenir est le circuit virtuel
> jusqu'à un point donné du réseau (des gateways internes) qui m'assure par
> exemple d'aller de Washington à Miami sans passer par Pékin.
> Ou des produits d'escorte comme au large de la Somalie.
Ca existe déjà. Ca s'appelle des vpn. Ils sont largement utilisé pour contrer
la censure.
> N'oublions pas aussi que le trafic crypté sera sans doute filtré en bien des
> endroits.
Impossible à mettre en oeuvre de façon complète, sauf à dire qu'on n'a pas le
droit d'interagir avec sa banque avec un minimum de sécurité.
>
> Sans une solide adminance, c'est à dire une perspective à long terme acceptée
> de tous en remplacement aux tentatives de monopole au sein de la gouvernance,
> on va rencontrer des temps "amusants" lorsque l'Interplus se déploiera.
Ils sont déjà suffisamment "amusant".
>
> Je rappelle mon vocabulaire :
>
> - desservance : la desserte en ligne (court terme/contrats), gouvernance :
> les coalitions dynamiques et coopérations renforcées (moyen terme/lois),
> adminance : l'administration de ce qui est admis de concert (long
> terme/constitution).
> - Interplus est une approche un peu plus structurée de la capacitation
> numérique de chacun qui n'est qu'un concept d'adminance (la manière dont je
> construis mon environnement internet à long terme pour être pleinement
> interopérationnel avec d'autres), mais la base est une utilisation non
> modifiée ou très peu adaptée des outils réseau. Ces outils sont seulement
> lus, admis et utilisés dans le contexte d'une systémique généralisée
> (documentée dans mon appel à l'IAB) où l'univers est divisé pour chaque
> système en quatre grandes régions découplables : l'endotème (le système
> actuel et ses imbrications), le péritème (ce qui est périphérique au
> système), l'exotème (ce qui est extérieur au système, mais peut interagir
> dans le passé/présent/possible) et le reste.
>
> Par exemple, sur mon PC, j'utilise mon root local sous Bind version Windows
> (pas un root des racines ouvertes) qui va voir les serveurs des registres que
> je choisis. S'il y a un DoS sur les serveurs racines, je ne suis pas affecté.
> Si le gouvernement français avait des envies de copier Pékin, cela ne me
> gênerait pas. Si j'allais à Pékin, je logerais probablement en tôle. Ne
> pouvant m'atteindre par le root, le gouvernement chinois n'aurait plus que
> BGP pour me priver d'accès aux adresses IP qu'il veut bloquer. C'est pourquoi
> l'affaire de cette semaine est un double test: comment bloquer le trafic
> interne chinois et des portions adverses du trafic.
C'est une bonne analyse.
A+
Kv
_______________________________________________
comptoir mailing list
[email protected]
http://cafedu.com/mailman/listinfo/comptoir_cafedu.com