Re: [FRnOG] [TECH] Chiffrement des collectes ethernet
Le 2014-03-27 18:28, Jérôme Nicolle a écrit : Le 27/03/2014 14:02, Solarus a écrit : C'est certifié par l'ANSSI Out. Être certifié par l'ANSSI ne signifie pas avoir une backdoor implantée, ça signifie juste qu'ils répondent passivement à un cahier des charges établi par l'Agence. Keepass et Truecypt sont certifiés par l'ANSSI pourtant aux dernières nouvelles ils sont absolument sûrs. Pour en revenir au sujet, un tunnel IPSec ou SSL (OpenVPN) de bout en bout est la solution, quelque soit le tuyau au milieu. Règle numéro 1, ne jamais faire confiance à un chemin que l'on ne maitrise pas, que ce soit une collecte Orange ou un wifi public. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Chiffrement des collectes ethernet
Et si ça se passait ailleurs qu'à Paris de temps en temps ? Parce que Paris c'est 1800km de trajet aller-retour, soit 2 jours de transport. On Thursday 27 March 2014 17:44:23 you wrote: > Et si vous venez en débattre à la chifrofete de paris (numea paris a 15h00). > > technicien hahd a écrit : > >ah! la cryptographie ce domaine où on sécurise les communications en > >chiffrant les messages et en les déchiffrant au moyen de la clé de > >chiffrement et parfois même on casse le chiffrement et on arrive à lire le > >message sans la clé de chiffrement c'est ce qu'on appelle le décryptage du > >message. > > > >Quand au cryptage, c'est un domaine très particulier réservé au profane qui > >aime parler de ce qu'il ne connait pas et à l'abonné canal plus car ce > >terme n'existe pas en cryptographie et ne correspond à rien. > > > >Comme nous le rappelle wikipédia: > >Le terme « cryptage » construit comme un antonyme à décryptage, ne peut > >prétendre à être un synonyme de chiffrement. > > > >On Thursday 27 March 2014 11:12:01 William Gacquer wrote: > >> Salut Jérôme, > >> > >> d'un côté, les barbouzes, de l'autre les admin réseau mal intentionnés > >> qui > >> sniffent par curiosité malsaine ou collectent des données pour passer un > >> jour du côté obscur. ( Certains se reconnaissent? ) Ce n'est pas à > >> l'opérateur de crypter les services de collecte ethernet. C'est au client > >> de le faire. L'opérateur a des contraintes légales et budgétaires qui > >> sont > >> à mon avis incompatible avec ce que tu souhaites faire. Perso, ce qui > >> entre > >> crypté est livré crypté, ce qui entre en clair est livré en clair. > >> > >> William > >> > >> Le 27 mars 2014 à 11:51, Jérôme Nicolle a écrit : > >> > Plop, > >> > > >> > D'après > >> > http://korben.info/quand-orange-trahit-la-confiance-de-ses-clients.html > >> > , > >> > Orange coopère plus que volontiers avec les barbouzes. S'ils dumpent > >> > bien > >> > volontiers le trafic de leurs clients, techniquement rien ne les > >> > empêche > >> > de le faire sur les liens DSL-E, DSL-A et CELAN / CEE. > >> > > >> > Du coup, on devrait chiffrer le trafic entre le CE et le tronc de > >> > collecte. Surtout lorsqu'il s'agit de trafic interne type L3VPN. Mais > >> > comment ? > >> > > >> > Sur un montage simple, ou le lien PE-CE ne transporte que de l'IPv4 et > >> > IPv6, à priori pas de problème : il suffirait de faire de l'IPSEC. Tant > >> > pis pour les grorouteurs hardware qui gèrent pas le chiffrement, il va > >> > falloir se remettre à stacker des 7200. > >> > > >> > Mais dans le cas d'un lien P-PE ou PE-PE (signalisation MPLS poussée > >> > entre > >> > les sites raccordés par l'intermédiaire de ces liens collectés), on > >> > fait > >> > quoi ? IP/MPLS/GRE/IPSEC/IP ? Autre chose ? > >> > > >> > @+ > >> > >> --- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > > > >--- > >Liste de diffusion du FRnOG > >http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Chiffrement des collectes ethernet
Le 27/03/2014 14:02, Solarus a écrit : C'est certifié par l'ANSSI Out. Mais Mistral c'est Thalès Définitivement out. D'autres suggestions ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Chiffrement des collectes ethernet
Lecture recommandée : http://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT06070987&idArticle=LEGIARTI25703459&dateTexte=20140327&categorieLien=id#LEGIARTI25703459 Cordialement, Stéphane On 27/03/2014 11:51, Jérôme Nicolle wrote: Plop, D'après http://korben.info/quand-orange-trahit-la-confiance-de-ses-clients.html , Orange coopère plus que volontiers avec les barbouzes. S'ils dumpent bien volontiers le trafic de leurs clients, techniquement rien ne les empêche de le faire sur les liens DSL-E, DSL-A et CELAN / CEE. Du coup, on devrait chiffrer le trafic entre le CE et le tronc de collecte. Surtout lorsqu'il s'agit de trafic interne type L3VPN. Mais comment ? Sur un montage simple, ou le lien PE-CE ne transporte que de l'IPv4 et IPv6, à priori pas de problème : il suffirait de faire de l'IPSEC. Tant pis pour les grorouteurs hardware qui gèrent pas le chiffrement, il va falloir se remettre à stacker des 7200. Mais dans le cas d'un lien P-PE ou PE-PE (signalisation MPLS poussée entre les sites raccordés par l'intermédiaire de ces liens collectés), on fait quoi ? IP/MPLS/GRE/IPSEC/IP ? Autre chose ? @+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Chiffrement des collectes ethernet
ah! la cryptographie ce domaine où on sécurise les communications en chiffrant les messages et en les déchiffrant au moyen de la clé de chiffrement et parfois même on casse le chiffrement et on arrive à lire le message sans la clé de chiffrement c'est ce qu'on appelle le décryptage du message. Quand au cryptage, c'est un domaine très particulier réservé au profane qui aime parler de ce qu'il ne connait pas et à l'abonné canal plus car ce terme n'existe pas en cryptographie et ne correspond à rien. Comme nous le rappelle wikipédia: Le terme « cryptage » construit comme un antonyme à décryptage, ne peut prétendre à être un synonyme de chiffrement. On Thursday 27 March 2014 11:12:01 William Gacquer wrote: > Salut Jérôme, > > d'un côté, les barbouzes, de l'autre les admin réseau mal intentionnés qui > sniffent par curiosité malsaine ou collectent des données pour passer un > jour du côté obscur. ( Certains se reconnaissent? ) Ce n'est pas à > l'opérateur de crypter les services de collecte ethernet. C'est au client > de le faire. L'opérateur a des contraintes légales et budgétaires qui sont > à mon avis incompatible avec ce que tu souhaites faire. Perso, ce qui entre > crypté est livré crypté, ce qui entre en clair est livré en clair. > > William > > Le 27 mars 2014 à 11:51, Jérôme Nicolle a écrit : > > Plop, > > > > D'après > > http://korben.info/quand-orange-trahit-la-confiance-de-ses-clients.html , > > Orange coopère plus que volontiers avec les barbouzes. S'ils dumpent bien > > volontiers le trafic de leurs clients, techniquement rien ne les empêche > > de le faire sur les liens DSL-E, DSL-A et CELAN / CEE. > > > > Du coup, on devrait chiffrer le trafic entre le CE et le tronc de > > collecte. Surtout lorsqu'il s'agit de trafic interne type L3VPN. Mais > > comment ? > > > > Sur un montage simple, ou le lien PE-CE ne transporte que de l'IPv4 et > > IPv6, à priori pas de problème : il suffirait de faire de l'IPSEC. Tant > > pis pour les grorouteurs hardware qui gèrent pas le chiffrement, il va > > falloir se remettre à stacker des 7200. > > > > Mais dans le cas d'un lien P-PE ou PE-PE (signalisation MPLS poussée entre > > les sites raccordés par l'intermédiaire de ces liens collectés), on fait > > quoi ? IP/MPLS/GRE/IPSEC/IP ? Autre chose ? > > > > @+ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Chiffrement des collectes ethernet
Le 2014-03-27 11:51, Jérôme Nicolle a écrit : Mais dans le cas d'un lien P-PE ou PE-PE (signalisation MPLS poussée entre les sites raccordés par l'intermédiaire de ces liens collectés), on fait quoi ? IP/MPLS/GRE/IPSEC/IP ? Autre chose ? Tu peux mettre en place des boitiers Mistral qui chiffrent à la volée à un bout et l'autre de la liaison. C'est certifié par l'ANSSI et ça supporte pas mal de PPS. Mais Mistral c'est Thalès, faut avoir suffisamment confiance en eux. ;) Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Chiffrement des collectes ethernet
Salut Jérôme, d'un côté, les barbouzes, de l'autre les admin réseau mal intentionnés qui sniffent par curiosité malsaine ou collectent des données pour passer un jour du côté obscur. ( Certains se reconnaissent? ) Ce n'est pas à l'opérateur de crypter les services de collecte ethernet. C'est au client de le faire. L'opérateur a des contraintes légales et budgétaires qui sont à mon avis incompatible avec ce que tu souhaites faire. Perso, ce qui entre crypté est livré crypté, ce qui entre en clair est livré en clair. William Le 27 mars 2014 à 11:51, Jérôme Nicolle a écrit : > Plop, > > D'après > http://korben.info/quand-orange-trahit-la-confiance-de-ses-clients.html , > Orange coopère plus que volontiers avec les barbouzes. S'ils dumpent bien > volontiers le trafic de leurs clients, techniquement rien ne les empêche de > le faire sur les liens DSL-E, DSL-A et CELAN / CEE. > > Du coup, on devrait chiffrer le trafic entre le CE et le tronc de collecte. > Surtout lorsqu'il s'agit de trafic interne type L3VPN. Mais comment ? > > Sur un montage simple, ou le lien PE-CE ne transporte que de l'IPv4 et IPv6, > à priori pas de problème : il suffirait de faire de l'IPSEC. Tant pis pour > les grorouteurs hardware qui gèrent pas le chiffrement, il va falloir se > remettre à stacker des 7200. > > Mais dans le cas d'un lien P-PE ou PE-PE (signalisation MPLS poussée entre > les sites raccordés par l'intermédiaire de ces liens collectés), on fait quoi > ? IP/MPLS/GRE/IPSEC/IP ? Autre chose ? > > @+ > > -- > Jérôme Nicolle > 06 19 31 27 14 > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Chiffrement des collectes ethernet
On fait du chiffrement bout en bout ? On 27/03/2014 11:51, Jérôme Nicolle wrote: > Plop, > > D'après > http://korben.info/quand-orange-trahit-la-confiance-de-ses-clients.html > , Orange coopère plus que volontiers avec les barbouzes. S'ils dumpent > bien volontiers le trafic de leurs clients, techniquement rien ne les > empêche de le faire sur les liens DSL-E, DSL-A et CELAN / CEE. > > Du coup, on devrait chiffrer le trafic entre le CE et le tronc de > collecte. Surtout lorsqu'il s'agit de trafic interne type L3VPN. Mais > comment ? > > Sur un montage simple, ou le lien PE-CE ne transporte que de l'IPv4 et > IPv6, à priori pas de problème : il suffirait de faire de l'IPSEC. Tant > pis pour les grorouteurs hardware qui gèrent pas le chiffrement, il va > falloir se remettre à stacker des 7200. > > Mais dans le cas d'un lien P-PE ou PE-PE (signalisation MPLS poussée > entre les sites raccordés par l'intermédiaire de ces liens collectés), > on fait quoi ? IP/MPLS/GRE/IPSEC/IP ? Autre chose ? > > @+ > -- "UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things." – Doug Gwyn --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Chiffrement des collectes ethernet
Plop, D'après http://korben.info/quand-orange-trahit-la-confiance-de-ses-clients.html , Orange coopère plus que volontiers avec les barbouzes. S'ils dumpent bien volontiers le trafic de leurs clients, techniquement rien ne les empêche de le faire sur les liens DSL-E, DSL-A et CELAN / CEE. Du coup, on devrait chiffrer le trafic entre le CE et le tronc de collecte. Surtout lorsqu'il s'agit de trafic interne type L3VPN. Mais comment ? Sur un montage simple, ou le lien PE-CE ne transporte que de l'IPv4 et IPv6, à priori pas de problème : il suffirait de faire de l'IPSEC. Tant pis pour les grorouteurs hardware qui gèrent pas le chiffrement, il va falloir se remettre à stacker des 7200. Mais dans le cas d'un lien P-PE ou PE-PE (signalisation MPLS poussée entre les sites raccordés par l'intermédiaire de ces liens collectés), on fait quoi ? IP/MPLS/GRE/IPSEC/IP ? Autre chose ? @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/