[FRnOG] [TECH] RFC 6956: ForCES Logical Function Block (LFB) Library
http://www.bortzmeyer.org/6956.html Auteur(s) du RFC: W. Wang (Zhejiang Gongshang University), E. Haleplidis (University of Patras), K. Ogawa (NTT Corporation), C. Li (Hangzhou DPtech), J. Halpern (Ericsson) Chemin des normes Le protocole ForCES vise à permettre la création d'équipements réseaux (par exemple des routeurs) en assemblant des pièces d'origines diverses, parlant un protocole commun et pouvant donc interagir. Ce RFC marque l'achèvement de la première (et très longue) phase de ForCES, la normalisation complète de ce protocole. Notre RFC 6956 décrit la bibliothèque standard de ForCES, les parties d'un routeur qu'on trouvera partout et qui assurent les fonctions indispensables comme faire suivre un paquet IP. ForCES peut servir à bien d'autres choses et il y aura aussi des bibliothèques pour d'autres équipements que les routeurs, et aussi des bibliothèques non-standard, développées par tel ou tel projet. Mais pour atteindre l'objectif premier de ForCES, créer un routeur par assemblage de pièces standards, cette bibliothèque « routeur » était le dernier élement manquant. Avant de lire ce RFC 6956, il faut bien se pénétrer du cadre général (RFC 3746), du protocole (RFC 5810) et du modèle de données (RFC 5812). J'en extrais quelques termes qu'il faut connaître : * NE ou Network Element, l'engin complet (un routeur, un commutateur, etc). * CE ou Control Element, la partie du NE qui fait tourner les protocoles de contrôle et de signalisation (pour un routeur, OSPF, BGP, etc). * FE ou Forwarding Element, la partie de l'engin qui traite les paquets (pour un routeur, qui les fait suivre d'une interface à l'autre). CE et FE se parlent en suivant le protocole ForCES. Un NE comprend au moins un CE et un FE. * LFB ou Logical Function Block, c'est le concept qui fait l'objet de ce RFC. Un LFB est une fonction d'un FE, contrôlée par le CE. Un FE typique met en œuvre plusieurs fonctions (par exemple : faire suivre les paquets, filtrer les paquets, compter les paquets et chacune de ces trois fonctions est représentée par un LFB). Un CE typique va donc utiliser le protocole ForCES pour configurer les LFB (« arrête de faire suivre les paquets », « coupe l'interface Ethernet/0/2 », etc). Un LFB est une fonction logique : dans la matériel, on ne retrouve pas forcément ce concept. * Classe de LFB et instance de LFB sont des concepts empruntés à la programmation objet. L'idée est qu'on définit des classes de LFB et que le LFB dans un FE donné est une instance d'une de ces classes. * Un « port » dans ce RFC est une interface physique du routeur. La *bibliothèque* composée des *classes* définies dans ce RFC 6956 permet de réaliser un routeur complet, mettant en œuvre toutes les fonctions obligatoires du RFC 1812, notamment : * Encapsuler et décapsuler les paquets pour la couche 2 (Ethernet, par exemple), * Envoyer et recevoir des paquets de taille allant jusqu'à la MTU du lien, fragmenter les autres (pour IPv4), * Traduire les adresses IP en adresses de la couche 2 (par exemple avec ARP), * Gérer ICMP, et notamment créer et envoyer les messages d'erreur ICMP en réponse à des problèmes, ou bien lorsque le TTL tombe à zéro, * Gérer les tampons d'entrée/sortie, la congestion, un juste traitement des différents paquets, * Trouver le routeur suivant (next hop) lorsqu'il faut transmettre un paquet, * Être capable de faire tourner un IGP comme OSPF, dans certains cas un EGP comme BGP, et accepter évidemment de simples routes statiques, * Avoir toutes les fonctions de gestion du réseau qu'on attend : statistiques, déboguage, journalisation... Place maintenant au cœur de ce RFC, les classes qui y sont définies. Le choix du groupe de travail forces http://tools.ietf.org/wg/forces (section 3.2) a été de privilégier la souplesse en définissant plutôt trop de classes que pas assez. Chaque classe ne va donc effectuer qu'un minimum de fonctions, être logiquement séparée des autres classes et notre routeur devra donc mettre en œuvre beaucoup de classes. Cela rend donc le RFC très long et je ne vais donc pas parler de toutes les classes, seulement de quelques unes choisies comme exemples. Pour la totalité des classes, vous devez lire le RFC. Les définitions des classes s'appuient sur un certain nombre de types définis en section 4. Le RFC 5812 avait normalisé les types de base comme uint32, char ou boolean. Notre RFC y ajoute quelques types atomiques comme IPv4Addr, IPv6Addr, IEEEMAC (une adresse MAC), PortStatusType (permettant d'indiquer si le port est activé ou non et s'il fonctionne), VlanIDType pour le numéro de VLAN, etc. Il définit également des types composés comme MACInStatsType (une entrée dans le tableau de statistiques pour les paquets entrants, analysés à la couche 2), IPv6PrefixInfoType (un préfixe IPv6), IPv4UcastLPMStatsType (une entrée dans le tableau de statistiques pour les paquets IPv4),
Re: [FRnOG] [MISC] Un routeur de cœur de réseau peut-il espionner le trafic ?
On Sat, Jun 29, 2013, at 5:08, Michel Py wrote: regardera pas, la quantité de métal autour sert de bouclier pour les interférences. Non. En effet ca sert d'antenne d'emission (avec la baie comme amplificateur). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 27/06/2013 17:18, Guillaume Subiron a écrit : Et jusque là, le routeur il a stocké ses trouvailles sur quoi ? un disque dur ? :) On en revient au fait qu'un élément en trop dans un routeur, ça se verrait. Ou alors il a sélectionné les trouvailles intéressantes, possibilité déjà écartée par le manque de puissance. http://www.cisco.com/en/US/prod/collateral/routers/ps5763/data_sheet_c78-659773.html 2x32GB SSD dans le RP du CRS3. Il y a aussi eu des HDD dans certains juniper. Ca n'a pas eu l'air de choquer grand monde. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Sylvain Vallerot a écrit: Non vous avez mal lu l'idée de Michel: Oui, par contre toi tu as très bien compris :P Vérité dans la pub, ce n'est pas l'idée de Michel. Je ne suis pas le seul ni le premier à y avoir pensé. un trafic bidon entre 2 PC qui passe par le routeur, avec un payload qui contient du bourrage. En temps normal le routeur est passif et route normalement le trafic vers la destination. Quand le PC source envoie le bon pattern dans le payload, le routeur est activé et remplace le bourrage par de vraies info, refait le checksum et fait suivre au PC collecteur comme si de rien n'était. Exactement. Le trafic semble n'avoir pas changé, ni vu ni connu. Mouais, Voir plus bas. Suffit de mettre plus de bourrage en entrée pour faire sortir plus de données tout aussi discrètement. Ca c'est la partie facile du machin, protocole dynamique d'allocation de bande passante, faut pas réinventer la roue, juste adapter l'existant. Le routeur de cœur de réseau qui vient de recevoir l'ordre d'espionner le flux 'xyz' et qui commence à voir sa mémoire tampon grossir n'a qu'à, en même temps que les données du flux 'xyz', insérer la commande '#plus_de_patate' dans le flux. Même si le routeur en question ne voit pas le retour de trafic (cas possible si ce n'est typique de BGP asymétrique entre 2 AS), çà ne coute que quelques centaines de ms pour que la destination renvoie le paquet à la source qui augmente le bourrage. En plus, dans un système bien conçu, il y a une multitude de sources et destinations qui changent plus vite que tu changes de slip. Gaspiller de la bande passante pour être sûr que le trafic espionné passe, ça ne coûte pas si cher. Le trafic semble n'avoir pas changé, ni vu ni connu. Mouais c'est là ou ça commence à se compliquer. Malheureusement pour l'idée de Michel, ce n'est ni plus ni moins que MITM. Ca permet de traverser les access-list qui protègent le routeur et l'infra, et ca ne génère pas de flux sorti de nulle part qui serait suspect sur les outils d'analyse de trafic, mais ça se voir sur les outils qui détectent MITM. L'avantage de mettre ça dans le cœur, c'est que tu noies ta goutte d'eau dans la mer. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Stephane Bortzmeyer Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html Un tel dispositif matériel ne resterait sans doute pas longtemps secret (lisez un récit de découverte d'un tel dispositif). Et ce serait la fin des ambitions commerciales du constructeur qui serait ainsi attrapé la main dans le sac. Je ne suis pas d'accord avec cette partie. Le constructeur ne ferait probablement pas ça sans que les autorités de son pays soient au courant ou soient la source de la demande. Imagines que Cisco ou Juniper se fasse piquer à faire quelque chose comme ça, l'explication pourrait bien être si vous voulez des explications, allez demander à la NSA. Dans le cas récent de PRISM, ce n'est pas Microsoft, Yahoo, Google ou Facebook qui ont été inquiétés, alors que techniquement c'est eux qui on espionné. Le même principe s'appliquerait, je pense, au constructeur qui aurait une porte dérobée dans leur routeurs de cœur de réseau. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Auto hébergement
Bonjour, l'ideal est de te faire heberger chez OVH ou Iliad pour 155ttc pour un lien 1G/s Serveur dédié EG 64G Reloaded (OVH):http://www.ovh.com/fr/serveurs_dedies/eg_64g.xml et dedibox : http://www.online.net/fr/serveur-dedie/dedibox-pro. A ++ Spyou r...@spyou.org a écrit : Le 28/06/2013 19:14, Network Info Haillicourt a écrit : Bonjour Si on je veux hébéger moi même mon service à forte bande passante Il faut trouver un raccordement fibre mais où ? tarif ? Chez Orange ? un genre de 1200 € / mois pour 100Mbps. Qui me donne mon ip, l'opérateur ? donc je dois me déclarer opérateur ? Ou prendre un contrat chez un opérateur englobe la connexion et le récurrent ? C'est moins cher, généralement, oui. Devenir opérateur, c'est bien si tu as des clients à desservir, sinon, simple client suffit. Bref c'est encore un peu flou pour moi et je me perd avec les termes J'ai fais quelques articles qui peuvent t'inéresser. http://blog.spyou.org/wordpress-mu/?s=%22comment+devenir+son+propre+fai%22 http://blog.spyou.org/wordpress-mu/category/metiers-passions/internet/comment-ca-marche/ ++ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Auto hébergement
Le 29/06/2013 21:05, car...@akposso.com a écrit : l’idéal est de te faire héberger chez OVH ou Iliad pour 155ttc pour un lien 1G/s Serveur dédié EG 64G Reloaded (OVH):http://www.ovh.com/fr/serveurs_dedies/eg_64g.xml et dedibox : http://www.online.net/fr/serveur-dedie/dedibox-pro. Heu non, clairement pas. Ils te coupent ton serveur dès que tu fais un truc qu'il ne veulent pas (genre tor, torrent, etc). Et aussi, saviez vous que OVH a une clé SSH vers le root sur chacun de leurs serveurs ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Auto hébergement
Tant qu'on ne demande pas une offre livebox play et qu'on se contente de la vieille livebox 2 , on peut même avoir du 100 en UL sur simple demande et pour le même prix. Le 28 juin 2013 22:26, Romain GUICHARD guichard.romai...@gmail.com a écrit : Est-ce que juste attendre une offre fibre grand public près de chez toi ne suffirait pas ? Orange propose du 50Mbps en UL chez moi. Tu sembles être parti super loin pour juste mettre un serveur chez toi... Le 28 juin 2013 22:21, Network Info Haillicourt cont...@network-info.fr a écrit : Dettes douIzzz ??? Ok c’est pour un hébergeur de fichiers Je suis dans le 62 et je souhaite juste gérer moi-même mes serveurs Changer / ajout de disques, migrer les données … Je rêve ? De : Laurent Quillerou [mailto:laurent.quille...@gmail.com] Envoyé : vendredi 28 juin 2013 21:39 À : Network Info Haillicourt Cc : frnog@frnog.org Objet : RE: [FRnOG] [MISC] Auto hébergement Dettes douIzzz On Jun 28, 2013 11:55 AM, Network Info Haillicourt cont...@network-info.fr wrote: Ma question est vraiment sérieuse, je n’aurais pas ce privilège de débuter ce sport hebdomadaire ! J’ai juste épuisé les docs et vidéos sur le sujet et je suis avide de compréhension Désolé si je pollue la liste et merci à ceux qui ‘m’ont répondu et me répondront ! De : Xavier Lemaire [mailto:xav...@zelites.org] Envoyé : vendredi 28 juin 2013 20:17 À : Network Info Haillicourt Objet : Re: [FRnOG] [MISC] Auto hébergement Bonjour, Comme on est vendredi et que c'est le troll. Est ce que votre question est sérieuse ou est ce que c'est une blague ? Bien cordialement Le 28 juin 2013 19:14, Network Info Haillicourt cont...@network-info.fr a écrit : Bonjour Si on je veux hébéger moi même mon service à forte bande passante Il faut trouver un raccordement fibre mais où ? tarif ? Ensuite on lui met un modem fibre et on achète du récurrent ? c'est tout ? tarif gratuit si 1Gb/s vu dans les vidéos ?? Qui me donne mon ip, l'opérateur ? donc je dois me déclarer opérateur ? Ou prendre un contrat chez un opérateur englobe la connexion et le récurrent ? Bref c'est encore un peu flou pour moi et je me perd avec les termes Merci d'avance pour ceux qui prendront la peine de m'éclairer ! -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Jérôme Nicolle Envoyé : mardi 25 juin 2013 01:18 À : frnog-m...@frnog.org Objet : [FRnOG] [MISC] Vidéos enfin dispo Plop, Je viens de voir, totalement par hasard, que les vidéos du dernier FRnOG sont enfin en ligne. Toutes ? Non ! Une vidéo compromettante a été censurée par notre BDFL ! Allez Alec, soit pas lâche, assumes un peu ;) Bref, c'est dispo là : http://www.frnog.org/?page=meetings http://www.frnog.org/?page=meetings http://www.frnog.org/?page=meetingslang=fr lang=fr lang=fr @+ -- Jérôme Nicolle 06 19 31 27 14 tel:06%2019%2031%2027%2014 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Xavier Lemaire Fax 33 244 84 05 15 TEL FR 33 2 22 06 41 02 GSM Morocco 212 6 58 30 01 81 xav...@zelites.org --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Auto hébergement
Et bah encore heureux qu'ils aient un accès qu'on peux modifier d'ailleurs c'est marqué. Mais que tu le veuilles ou non tu fais comment pour dépanner un mec qui a tout paumé par pure bêtise ? Bref troll gratuit sur ovh. Le Sun, 30 Jun 2013 00:34:32 +0200, alarig ala...@swordarmor.fr a écrit: Le 29/06/2013 21:05, car...@akposso.com a écrit : l’idéal est de te faire héberger chez OVH ou Iliad pour 155ttc pour un lien 1G/s Serveur dédié EG 64G Reloaded (OVH):http://www.ovh.com/fr/serveurs_dedies/eg_64g.xml et dedibox : http://www.online.net/fr/serveur-dedie/dedibox-pro. Heu non, clairement pas. Ils te coupent ton serveur dès que tu fais un truc qu'il ne veulent pas (genre tor, torrent, etc). Et aussi, saviez vous que OVH a une clé SSH vers le root sur chacun de leurs serveurs ? --- Liste de diffusion du FRnOG http://www.frnog.org/ -- --- Refuznik --- Liste de diffusion du FRnOG http://www.frnog.org/