[FRnOG] [TECH] Re: La longue marche de la sécurité du routage Internet : une étape importante, RPKI+ROA
On 02/04/2012 06:38 PM, Stephane Bortzmeyer wrote: Primo, je ne crois pas que le RIPE-NCC soit sous l'autorité du FBI. C'est plutôt la Koninklijke Marechaussee qu'il faut craindre :-) Bien oui justement, je ne pense pas que le RIPE-NCC, ni aucun autre RIR en fassent plus qu'un registrar quand l'Inspecteur Harry débarquera dans ses locaux avec son 357. C'est déjà le cas dans la réalité d'aujourd'hui, mais aujourd'hui l'inspecteur Harry est encore contraint de faire le tour de tous les opérateurs un à un sous sa juridiction, (ou son influence) pour obtenir la même chose. RPKI simplifiera le travail en factorisant les sites à visiter vers 1 seul ou quelques un. L'équipe du FBI pourra être plus petite :) Ensuite, que pensez-vous des approches citées dans mon article pour diminuer le risque ? Si elles ne sont pas suffisantes, ou bien ont des failles, il est temps de prévenir le RIPE-NCC avant que le déploiement ne soit fini et figé. Actuellement, l'Internet est un peu à l'image d'une carte politique du Monde, une juxtaposition de politiques privées appliqués aux réseaux. BGP-RPKI est un outil qui facilitera l'uniformité de ce patchwork de politiques vers une seule. Maintenant, les contraintes cryptographiques imposent, ou orientent vers 1 seul point d'autorité. Ce point là sera forcement sous 1 seule autorité politique ou quelques une et elle(s) s'imposera/ont aux autres pouvoir politique. Je trouve qu'on a déjà un soucis politique avec la structure en arbre du DNS, pas besoin d'en ajouter un second avec BGP. S'il existe une solution de crypto sans cette structure en arbre, elle serait mieux. Quant à prévenir le RIPE-NCC que les arbres ont une faiblesse à la racine, je pense qu'ils le savent déjà et que c'est clairement assumé. Le corolaire de prendre du grade dans n'importe quelle activité c'est d'avoir des comptes à rendre sur son activité. Le RIPE-NCC et les autres RIR sont volontaires pour ce job, je me vois mal gâcher leurs ambitions. Personnellement (mais je ne suis pas opérateur réseaux), la plus raisonnable me semble être de ne jamais rejeter une annonce (même s'il y a un ROA et qu'il est invalide) pour laquelle il n'existe pas de route alternative. Cette solution empêche les attaques type Pakistan Telecom (puisque le routeur verra l'annonce légitime de YouTube) mais ne permet pas de se servir de la RPKI pour couper MegaUpload (puisqu'il n'existe alors pas de route alternative) Vous pourriez le faire si vous n'avez pas un Hortefeux ou un Guéant qui vous empêcheront de le faire. En Chine, ils ont les deux au carré. Il ne faut pas oublier que les opérateurs ont des contraintes de licences à respecter. C'est un efficace moyen de pression, RIM et son Blackberry peut en parler dans le cas de l'Inde et d'autres pays. Et ce n'est pas dit qu'une annonce invalide parvienne à tout le monde. Je suppose même qu'elle ne passera pas par défaut le premier opérateur qui utilisera RPKI. Et transposé en DNSSEC, converser un record invalide, cela a-t-il un sens ? Pas convaincu que ce soit une bonne idée. Si j'ai bien compris, ces RFC apportent sécurité et substitue décentralisation par centralisation. Quitte à être sûr de causer à la bonne personne, j'aurais préféré passer à l'acte, vérifier que c'est bien vrai sur la base d'une crypto avec une autorité _choisie_ dans une multitude d'autorités et pas une _imposé_ à la destination finale, et récolter au passage quelques informations de performance, des fois que ces informations de performance puissent intervenir dans le choix d'accepter ou de rejeter une route. Je regrette ce choix de centralisation face à la performance. Mais cela correspond certainement à une demande qui est devenue pressante surtout depuis le détournement de trafic par Pékin. Le routage est devenu stratégique et la centralisation est un bon moyen d'en tenir la bride et d'intervenir rapidement dans tout l'Internet. Mon avis politique, parce que RPKI est une question politique, c'est de ne pas remettre cet part de souveraineté à un autre pays. Et là, chaque AS dans le monde cèdera une part à une entité qui pour l'immense majorité sera à l’extérieur de son pays. La crypto, c'est bien mais c'est une arme, et il faut éviter de se tirer une balle dans le pied avec. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] La longue marche de la sécurité du routage Internet : une étape importante, RPKI+ROA
On 02/04/2012 09:54 PM, Stephane Bortzmeyer wrote: RIR). Un tel empoisonnement signifierait probablement la fin de la RPKI (plus personne ne validerait) donc, si le FBI compte utiliser la RPKI, il ne pourra le faire qu'une fois. Bonus : si le préfixe était alloué par le RIPE, et que l'annonce FBI était signée par ARIN, cela signifierait probablement la fin d'ARIN dans la RPKI (plus personne ne garderait leur clé comme « trust anchor » après un coup pareil). Est-ce que l'affaire MU a énervé suffisamment de monde pour qu'ils se concertent et changent le contenue du root.cache de leur DNS ? Ils ne sont pas fous aux FBI, ils attendront que tout le monde ait bien déployé, bien testé bien validé, que ce soit rentré dans les mœurs du réseau pour intervenir. Il nous manquait un habitus de révérence envers une autorité de routage, ben voilà, RPKI est là. Y a plus qu'à commencer le conditionnent Pavlovien, vous verrez ils sont aussi sympa qu'un bon toutou les propriétaires et les admins réseaux, quand ils voient une nouvelle laisse, ils remuent la queue. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] Règles d'enregistrement dans .FR
On Sat, Feb 04, 2012 at 05:30:51PM -0800, Michel Py mic...@arneill-py.sacramento.ca.us wrote a message of 45 lines which said: Question naïve: est-ce qu'une lettre recommandée avec AR ne suffirait pas? Il existe des services de domiciliation qui ne seraient pas détectées par une telle lettre. Disons que c'est mieux que rien. Mais cela ne garantit pas des données parfaites (domiciliation *et* déménagements : il faudrait envoyer la lettre tous les ans). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Règles d'enregistrement dans .FR
On 04.02.2012 22:24, Stephane Bortzmeyer wrote: Tant qu'on n'a pas un fichier central, parfaitement à jour, de la totalité de la population résidant en France, avec son adresse, ses empreintes digitales et ADN, et ses opinions politiques, fichier consultable sur le Web par les employés de l'AFNIC, pour faire les vérifications, il sera utopique de demander des données parfaites dans la base. ca tombe bien, ca ressemble tout juste a la description du nouveau fichier pour les cartes d'identités --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] La longue marche de la sécurité du routage Internet : une étape importante, RPKI+ROA
On Sun, Feb 05, 2012 at 09:21:48AM +0100, Stephane Le Men stephane.le...@anycast-networks.com wrote a message of 25 lines which said: Est-ce que l'affaire MU a énervé suffisamment de monde pour qu'ils se concertent et changent le contenue du root.cache de leur DNS ? Si quelqu'un l'a fait, ça prouve qu'il est totalement incompétent et qu'il ne faut pas lui confier un serveur DNS. Les saisies de l'ICE ou du FBI ont porté sur des noms sous .COM (et quelques autres comme .TV). Changer la racine DNS (ce qu'indique le root.cache) n'aurait donc rien changé, toutes les racines, même les plus bizarres, pointent le .COM vers Verisign... Donc, techniquement, très mauvaise idée, on comprend que personne ne l'ait fait. Si le problème avait été à la racine ce qui n'était pas le cas dans l'affaire MegaUpload (par exemple, .SE refuse de virer thepiratebay.se, donc la racine redirige tout .SE), alors l'idée de pointer vers une racine alternative (actuallement, 100 % de zozos ou d'escrocs http://www.bortzmeyer.org/racines-alternatives.html) aurait certainement été sérieusement envisagée. Mais il y a une grosse différence entre le DNS et BGP. Avec le DNS, il faut une racine, que ce soit le gouvernement des États-Unis, comme aujourd'hui, ou bien une bande de clowns qui ne connaissent que Facebook et qui disent Nous sommes la racine FreeRoot. Avec BGP, ce n'est pas nécessaire. On peut renoncer à la RPKI, si on y tient (on perd juste la sécurité contre les détournements). Le choix est donc moins dramatique. Donc, mauvaise comparaison. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Re: La longue marche de la sécurité du routage Internet : une étape importante, RPKI+ROA
On Sun, Feb 05, 2012 at 09:21:07AM +0100, Stephane Le Men stephane.le...@anycast-networks.com wrote a message of 109 lines which said: aujourd'hui l'inspecteur Harry est encore contraint de faire le tour de tous les opérateurs un à un sous sa juridiction, (ou son influence) pour obtenir la même chose. [...] Vous pourriez le faire si vous n'avez pas un Hortefeux ou un Guéant qui vous empêcheront de le faire. En Chine, ils ont les deux au carré. Il ne faut pas oublier que les opérateurs ont des contraintes de licences à respecter. C'est un efficace moyen de pression, Là, je ne pige pas. S'il y a un État qui peut imposer (démocratiquement ou de manière dictatoriale, peu importe, le résultat est le même) à tous les opérateurs une politique donnée, qu'il y ait un ou dix acteurs à notifier, la différence est faible, et purement quantitative. L'ARCEP compte 700 FAI licenciés en France mais combien font du BGP sans route par défaut ? (C'est une vraie question : si quelqu'un a le chiffre, ça m'intéresse). La RPKI ne changerait pas grand'chose, de ce point de vue : « vous bloquez l'accès à 194.71.107.0/24, par une null-route mise à la main, ou par la RPKI, je m'en fous ». Et on doit obéir. RPKI simplifiera le travail en factorisant les sites à visiter vers 1 seul ou quelques un. Mouais. Et ce n'est pas dit qu'une annonce invalide parvienne à tout le monde. Je suppose même qu'elle ne passera pas par défaut le premier opérateur qui utilisera RPKI. D'où ma remarque sur les « vrais » opérateurs qui font du BGP sans route par défaut. En fait, dès qu'on n'est pas Tier-1, on a ce problème, avant même la RPKI : on est dépendant de la politique de routage de ses fournisseurs, comme on l'avait bien vu dans l'affaire du réseau 128 http://www.bortzmeyer.org/reseau-128.html où des AS sans aucun routeur Juniper avaient quand même été coupés de ce réseau car tous leurs transitaires avaient du Juniper. Si j'ai bien compris, ces RFC apportent sécurité et substitue décentralisation par centralisation. Tout à fait faux. À moins que, comme les journalistes, vous confondiez arborescent et centralisé. Mais, sur la liste Frnog, je ne pense pas que quelqu'un puisse faire une erreur aussi énorme. une crypto avec une autorité _choisie_ dans une multitude d'autorités et pas une _imposé_ à la destination Michel n'a pas tort : il faut lire les RFC. Ou bien la doc du logiciel. Avec rcynic : validator:rcynic/etc/trust-anchors % ls afrinic.tal lacnic.tal testbed-apnicrpki.tal apnic.talripe-ncc-root.tal testbed-arin.tal bbn-testbed.tal testbed-apnic.tal testbed-ripe.tal validator:rcynic/etc/trust-anchors % logger Pas confiance dans la Koninklijke Marechaussee validator:rcynic/etc/trust-anchors % rm ripe-ncc-root.tal validator:rcynic/etc/trust-anchors % logger No need to be Check Norris to choose trust anchors En résumé : chacun choisit à qui il fait confiance. S'il existe une solution de crypto sans cette structure en arbre, elle serait mieux. Au travail. Après tout, la RPKI n'a pris que dix ans à être développée. Il doit être possible de faire mieux. Je lirai l'Internet-Draft avec intérêt. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Re: La longue marche de la sécurité du routage Internet : une étape importante, RPKI+ROA
On 02/05/2012 11:46 AM, Stephane Bortzmeyer wrote: La RPKI ne changerait pas grand'chose, de ce point de vue : « vous bloquez l'accès à 194.71.107.0/24, par une null-route mise à la main, ou par la RPKI, je m'en fous ». Et on doit obéir. Les démocraties ont a appris à mettre des gants. Il est impératif que les contraintes apparaissent comme des calamités naturelles. Si j'ai bien compris, ces RFC apportent sécurité et substitue décentralisation par centralisation. Tout à fait faux. À moins que, comme les journalistes, vous confondiez arborescent et centralisé. Mais, sur la liste Frnog, je ne pense pas que quelqu'un puisse faire une erreur aussi énorme. J'ai toujours cru que dans une recherche dans un arbre, la condition primordiale de succès était de commencer par la racine. Topologiquement, commencer par la racine est le point centrale du succès de la recherche. Un arbre est facilement plongeable dans des cercles concentriques avec la racine au centre. L’état major d'une armée ce n'est pas le point central de commandement de l'arbre hiérarchique militaire ? En résumé : chacun choisit à qui il fait confiance. En Chine, je ne pense pas qu'il suffit de prendre le bon root.cache pour récupérer un DNS propre, et cela à cause du routage. Au travail. Après tout, la RPKI n'a pris que dix ans à être développée. Il doit être possible de faire mieux. Je lirai l'Internet-Draft avec intérêt. Ce ne sera pas la première chose qui se passera contre ma (ou notre) volonté de minoritaire. J'ai fini par m'habituer d'être dans les minoritaires. La hiérarchie est plébiscité comme modèle d'organisation. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] La longue marche de la sécurité du routage Internet : une étape importante, RPKI+ROA
Est-ce que l'affaire MU a énervé suffisamment de monde pour qu'ils se concertent et changent le contenue du root.cache de leur DNS ? Si quelqu'un l'a fait, ça prouve qu'il est totalement incompétent et qu'il ne faut pas lui confier un serveur DNS. Les saisies de l'ICE ou du FBI ont porté sur des noms sous .COM (et quelques autres comme .TV). Changer la racine DNS (ce qu'indique le root.cache) n'aurait donc rien changé, toutes les racines, même les plus bizarres, pointent le .COM vers Verisign... Donc, techniquement, très mauvaise idée, on comprend que personne ne l'ait fait. Changer ce fichier et pointer vers une racine qui ne donne pas le .com à une entité soumise aux US aurait fait comprendre au FBI que le root.cache c'est un bulletin de vote et que tout d'un coup, le résultat des élections a changé. Les gestionnaires de cette nouvelle racine comme ceux du nouveau .com peuvent très bien répondre aux requêtes sur les domaines qui ne leur font pas confiance en recopiant les données des originaux, et agir au final comme un proxy enrichi des domaines rejetés. Seulement la structure actuelle de la racine est appréciée pour ses qualités de services rendus malgré ses défauts et donc conservée et respectée. Il y a aussi le coût qui rentre en jeu dans inexistence de cette racine alternative, son financement. Donc, mauvaise comparaison. Sur le DNS, la méthode que je décris consiste à censurer un pouvoir en se mettant au dessus de lui, avant lui. Elle ne sera plus possible avec le routage. C'est encore plus low level que le DNS. On avait des barreaux de prison moyennement solides avec le DNS, avec le routage ils vont prendre de la vigueur. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] La longue marche de la sécurité du routage Internet : une étape importante, RPKI+ROA
On Sun, Feb 05, 2012 at 02:46:53PM +0100, Stephane Le Men stephane.le...@anycast-networks.com wrote a message of 41 lines which said: Changer ce fichier et pointer vers une racine qui ne donne pas le .com à une entité soumise aux US À ma connaissance, une telle racine alternative n'existe pas. Les gestionnaires de cette nouvelle racine comme ceux du nouveau .com peuvent très bien répondre aux requêtes sur les domaines qui ne leur font pas confiance en recopiant les données des originaux, et agir au final comme un proxy enrichi des domaines rejetés. Techniquement possible mais gros travail. C'est sans doute pour cela que cela n'existe pas. Il y a aussi le coût qui rentre en jeu dans inexistence de cette racine alternative, son financement. Oui. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] Règles d'enregistrement dans .FR
Le 04/02/2012 22:24, Stephane Bortzmeyer a écrit : Il y a de fortes pressions de Bruxelles depuis des années sur les registres européens qui réservent l'enregistrement à leurs nationaux. L'idée de Bruxelles est qu'on ne doit pas réserver à un national (à la rigueur, à un européen). Sur les registres européens, mais en l'occurrence il s'agit de dispositions d'une loi française qui ne transposent pas une directive européenne, donc décidées par le parlement français de manière souveraine. Non ? Le parlement français a décidé d'exclure les français vivant à l'étranger des extensions nationales, il doit donc assumer ce choix. Je m'excuse de mettre ma casquette de marxiste orthodoxe mais il faut se rappeler que d'éventuelles vérifications sont *coûteuses*. Vérifier qu'aucun Michel Py n'habite à Trifouillis-les-Oies prend du temps (et donc de l'argent, beaucoup d'argent). Imaginez-vous le personnel nécessaire pour aller enquêter sur place à chaque fois (car les vérifications à distance, comme le font les AC X.509, ne valent pas grand'chose). Pour les 10 euros par an que vous coûte un nom de domaine, c'est tout à fait irréaliste. Bonus : et imaginez ensuite si on accepte des enregistrements de gens qui habitent en dehors de l'Union Européenne. Les notes de frais des employés qui vont faire la vérification vont exploser. Tant qu'on n'a pas un fichier central, parfaitement à jour, de la totalité de la population résidant en France, avec son adresse, ses empreintes digitales et ADN, et ses opinions politiques, fichier consultable sur le Web par les employés de l'AFNIC, pour faire les vérifications, il sera utopique de demander des données parfaites dans la base. Et oui la sécurité a un coût, c'est toujours bon de le rappeler ! Il s'agit de négociations à l'ICANN entre les lobbies et les états qui ont des objectifs différents, ça devrait normalement converger (vers mars apparemment) vers un compromis qui serait quelque part entre la solution extrême et inapplicable que tu décris et le statu quo actuel. Au-delà de la seule vérification du whois il y aussi d'autres aspects en jeu, comme une syntaxe plus harmonisée des enregistrements entre les TLD, etc. Patrick. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] Règles d'enregistrement dans .FR
On Sun, Feb 05, 2012 at 05:39:31PM +0100, Patrick Maigron patrick.maig...@institut-telecom.fr wrote a message of 46 lines which said: Il y a de fortes pressions de Bruxelles depuis des années sur les registres européens qui réservent l'enregistrement à leurs nationaux. L'idée de Bruxelles est qu'on ne doit pas réserver à un national (à la rigueur, à un européen). Sur les registres européens, mais en l'occurrence il s'agit de dispositions d'une loi française qui ne transposent pas une directive européenne, donc décidées par le parlement français de manière souveraine. Non ? C'est pour cela que j'ai parlé de « pressions ». Le sujet ne relève pas des institutions européennes mais cela n'empêche pas celles-ci de chercher à l'influencer. Après tout, la plupart des décisions à Bruxelles relève de ce que les politologues appellent des « processus mous » (i.e. non écrit formellement). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Règles d'enregistrement dans .FR
Le 04/02/2012 22:04, Michel Py a écrit : Dans un but de comparaison, j'ai relu récemment les règles concernant .us: http://www.neustar.us/faqs#3 Clairement, les Américains vivant à l'étranger ont le droit d'enregistrer sous .us ainsi que les étrangers vivant aux USA. En ce qui concerne les sociétés étrangères, il y a une vaste hypocrisie appellée bona fide presence. C'est décrit un peu plus en détail dans la section B 3.1 du document suivant: http://www.ntia.doc.gov/files/ntia/publications/sectionb_3.pdf Cela m'apparaît assez vague pour permettre à pratiquement n'importe qui d'enregistrer un domaine sous .us. Apparemment, il n'est pas permis à un individuel étranger d'enregistrer, mais une société qui vend quelque chose à des clients Américains est permise. En d'autres termes, une société Française qui a une page web en anglais (du genre www.maboite.fr/EN/index.html), qui expédie ses produits aux USA, et qui demande le domaine maboite.us (avec le but de rediriger vers l'URL ci-dessus, dans le genre de ce que font cisco.fr et juniper.fr) devrait l'obtenir, même s'il n'y a pas de présence physique sur le sol Américain. Un autre aspect intéressant du contrat Neustar/NTIA est que les serveurs de noms des titulaires doivent être physiquement sur le territoire US. En tout cas on demande aux titulaires de le certifier dans leur demande, ça serait là aussi difficile à vérifier en pratique par le registre. D'ailleurs Neustar n'était pas favorable à cette restriction mais c'est dans leur contrat. Patrick. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Règles d'enregistrement dans .FR
Patrick Maigron a écrit: Un autre aspect intéressant du contrat Neustar/NTIA est que les serveurs de noms des titulaires doivent être physiquement sur le territoire US. En tout cas on demande aux titulaires de le certifier dans leur demande, ça serait là aussi difficile à vérifier en pratique par le registre. Dans la pratique, ce ne me semble pas être si difficile que ça; un géoloc potable ce n'est pas compliqué à interroger, ou ça l'est ? En tout état de cause, je ne pense pas que ça soit un obstacle. Imaginons que tu crées une association Loi de 1901 plus ou moins bidon disons L'association Franco-Américaine des buveurs de Stroh et que tu veuilles enregistrer buveurs-de-stroh.us, il suffit de choisir un bureau d'enregistrement Américain qui, compris avec l'enregistrement du domaine, offre aussi le service DNS sur leurs serveurs physiquement sur le territoire et voilà. Tant que le bullshit de justification du nexus est à peu près valable, c'est bon. D'ailleurs Neustar n'était pas favorable à cette restriction mais c'est dans leur contrat. Pour une bonne raison: c'est le bâton que le gouvernement s'est réservé pour couper en cas de besoin. Neustar ils sont là pour faire du business, pas la police. Patrick. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Recherche site de colocation sur Paris
Bonjour je recherche à cout raisonnable sur Paris un site de colocation proposant: * une baie entière 19 profondeur 1000 * un transit IP (statique ou peering bgp) 100M * la possibilité de raccordement LL Ethernet dans Paris jusqu'à au site de colocation. Merci jameboulie --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] La longue marche de la sécurité du routage Internet : une étape importante, RPKI+ROA
Stephane Bortzmeyer a écrit: Un tel empoisonnement signifierait probablement la fin de la RPKI (plus personne ne validerait) donc, si le FBI compte utiliser la RPKI, il ne pourra le faire qu'une fois. Bonus : si le préfixe était alloué par le RIPE, et que l'annonce FBI était signée par ARIN, cela signifierait probablement la fin d'ARIN dans la RPKI (plus personne ne garderait leur clé comme « trust anchor » après un coup pareil). Mouais; seulement peut-être, AMHA. Si RPKI avait était déployé il y a 1 mois, si MU avait des préfixes PI de RIPE (?), si MU avait du matos en réserve pour renaître de ses cendres et redéployer dans un pays ou le FBI n'est pas le bienvenu, si le FBI avait fait pression sur ARIN pour empoisonner les préfixes de MU (ça fait beaucoup de si) je me demande combien d'opérateurs auraient en pratique effacé la clé RPKI d'ARIN. Stephane Le Men a écrit. Est-ce que l'affaire MU Il n'y a pas d'affaire MU. Dans la couche 8 du réseau, personne n'en a entendu parler. Et dans la couche 9, à part Cogent et Kim Dotcom, tout le monde s'en frotte les mains. a énervé suffisamment de monde pour qu'ils se concertent et changent le contenue du root.cache de leur DNS ? Non. Stephane Bortzmeyer a écrit: S'il y a un État qui peut imposer (démocratiquement ou de manière dictatoriale, peu importe, le résultat est le même) En effet. Quand quelqu'un arrive dans ton DC avec un gros flingue et que toi tu n'en a pas, peu importe que le quelqu'un en question soit Harry Callahan ou l'exécuteur des basses besognes d'un dictateur. C'est celui qui a le gros soufflant dans la main qui a raison. opérateurs une politique donnée, qu'il y ait un ou dix acteurs à notifier, la différence est faible, et purement quantitative. +1 L'ARCEP compte 700 FAI licenciés en France mais combien font du BGP sans route par défaut ? (C'est une vraie question : si quelqu'un a le chiffre, ça m'intéresse). Bien plus que techniquement nécessaire. Faire du BGP sans défaut, c'est souvent une tactique crassouilleuse qui permet aux commerciaux d'un FAI d'essayer de dire à leurs clients qu'ils sont Tier-1 alors qu'ils ne le sont pas, en confondant allègrement peering et paid peering. Dire qu'on est opérateur dans la DFZ, c'est comme avoir une grosse bagnole: ça veut dire moi j'ai du fric pour acheter le gros méga-routeur à Mr Cisco ou à Mr Juniper. Comportement de nouveau riche; tentative d'affirmer un statut social désiré mais pas atteint. Les vrais Tier-1 ils n'ont pas besoin de le dire. D'où ma remarque sur les « vrais » opérateurs qui font du BGP sans route par défaut. En fait, dès qu'on n'est pas Tier-1, on a ce problème, avant même la RPKI : on est dépendant de la politique de routage de ses fournisseurs, comme on l'avait bien vu dans l'affaire du réseau 128 http://www.bortzmeyer.org/reseau-128.html où des AS sans aucun routeur Juniper avaient quand même été coupés de ce réseau car tous leurs transitaires avaient du Juniper. +1 Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Règles d'enregistrement dans .FR
Le 05/02/2012 21:18, Michel Py a écrit : Un autre aspect intéressant du contrat Neustar/NTIA est que les serveurs de noms des titulaires doivent être physiquement sur le territoire US. En tout cas on demande aux titulaires de le certifier dans leur demande, ça serait là aussi difficile à vérifier en pratique par le registre. Dans la pratique, ce ne me semble pas être si difficile que ça; un géoloc potable ce n'est pas compliqué à interroger, ou ça l'est ? Le problème est l'aspect potable justement. Ces softs ont des taux d'erreur non négligeables, entre ceux qui travaillent par /24 et ceux qui se basent sur les réponses des internautes... Si un registrar français met deux serveurs de sa plage d'adresses dans un data center US pour répondre aux critères, est-ce que les logiciels de géoloc les verront au bon endroit ? En tout état de cause, je ne pense pas que ça soit un obstacle. Imaginons que tu crées une association Loi de 1901 plus ou moins bidon disons L'association Franco-Américaine des buveurs de Stroh et que tu veuilles enregistrer buveurs-de-stroh.us, il suffit de choisir un bureau d'enregistrement Américain qui, compris avec l'enregistrement du domaine, offre aussi le service DNS sur leurs serveurs physiquement sur le territoire et voilà. Tant que le bullshit de justification du nexus est à peu près valable, c'est bon. Je suis d'accord que c'est très simple ainsi. Le problème qui avait été débattu est celui de l'entrave à la libre concurrence. Un grand compte français qui aurait mis tous ses domaines chez un même registrar français pour des raisons de facilité de gestion serait obligé d'avoir un deuxième contrat avec un registrar américain pour ses noms .us (si son registrar français n'offre pas ce service). D'ailleurs Neustar n'était pas favorable à cette restriction mais c'est dans leur contrat. Pour une bonne raison: c'est le bâton que le gouvernement s'est réservé pour couper en cas de besoin. Neustar ils sont là pour faire du business, pas la police. Tout à fait. Mais le gouvernement additionne les bâtons quand même : ils peuvent facilement demander à Neustar de bloquer un nom comme ils le font régulièrement avec VeriSign, mais ils veulent aussi pouvoir virer les serveurs de noms... Patrick. --- Liste de diffusion du FRnOG http://www.frnog.org/