> Stephane Bortzmeyer a écrit: > Un tel empoisonnement signifierait probablement la fin de la > RPKI (plus personne ne validerait) donc, si le FBI compte utiliser > la RPKI, il ne pourra le faire qu'une fois. Bonus : si le préfixe > était alloué par le RIPE, et que l'annonce FBI était signée par > ARIN, cela signifierait probablement la fin d'ARIN dans la RPKI > (plus personne ne garderait leur clé comme « trust anchor » après > un coup pareil).
Mouais; seulement peut-être, AMHA. Si RPKI avait était déployé il y a 1 mois, si MU avait des préfixes PI de RIPE (?), si MU avait du matos en réserve pour renaître de ses cendres et redéployer dans un pays ou le FBI n'est pas le bienvenu, si le FBI avait fait pression sur ARIN pour empoisonner les préfixes de MU (ça fait beaucoup de si) je me demande combien d'opérateurs auraient en pratique effacé la clé RPKI d'ARIN. > Stephane Le Men a écrit. > Est-ce que l'affaire MU Il n'y a pas d'affaire MU. Dans la couche 8 du réseau, personne n'en a entendu parler. Et dans la couche 9, à part Cogent et Kim Dotcom, tout le monde s'en frotte les mains. > a énervé suffisamment de monde pour qu'ils se concertent et > changent le contenue du root.cache de leur DNS ? Non. > Stephane Bortzmeyer a écrit: > S'il y a un État qui peut imposer (démocratiquement ou de manière > dictatoriale, peu importe, le résultat est le même) En effet. Quand quelqu'un arrive dans ton DC avec un gros flingue et que toi tu n'en a pas, peu importe que le quelqu'un en question soit Harry Callahan ou l'exécuteur des basses besognes d'un dictateur. C'est celui qui a le gros soufflant dans la main qui a raison. > opérateurs une politique donnée, qu'il y ait un ou dix acteurs à > notifier, la différence est faible, et purement quantitative. +1 > L'ARCEP compte 700 FAI licenciés en France mais combien font du > BGP sans route par défaut ? (C'est une vraie question : si > quelqu'un a le chiffre, ça m'intéresse). Bien plus que techniquement nécessaire. Faire du BGP sans défaut, c'est souvent une tactique crassouilleuse qui permet aux commerciaux d'un FAI d'essayer de dire à leurs clients qu'ils sont Tier-1 alors qu'ils ne le sont pas, en confondant allègrement "peering" et "paid peering". Dire qu'on est opérateur dans la DFZ, c'est comme avoir une grosse bagnole: ça veut dire "moi j'ai du fric pour acheter le gros méga-routeur à Mr Cisco ou à Mr Juniper. Comportement de nouveau riche; tentative d'affirmer un statut social désiré mais pas atteint. Les vrais Tier-1 ils n'ont pas besoin de le dire. > D'où ma remarque sur les « vrais » opérateurs qui font du BGP > sans route par défaut. En fait, dès qu'on n'est pas Tier-1, on a > ce problème, avant même la RPKI : on est dépendant de la politique > de routage de ses fournisseurs, comme on l'avait bien vu dans > l'affaire du réseau 128 <http://www.bortzmeyer.org/reseau-128.html> > où des AS sans aucun routeur Juniper avaient quand même été coupés > de ce réseau car tous leurs transitaires avaient du Juniper. +1 Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
