Re: [FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
[troll]Ceux qui voudront parler auront des accidents.. ou seront qualifié de traître.[/troll] (troll ou pas, tout depend du point de vue) Le 1 juillet 2013 09:22, Stephane Bortzmeyer bortzme...@nic.fr a écrit : On Sat, Jun 29, 2013 at 11:02:14AM -0700, Michel Py mic...@arneill-py.sacramento.ca.us wrote a message of 25 lines which said: Le constructeur ne ferait probablement pas ça sans que les autorités de son pays soient au courant ou soient la source de la demande. Imagines que Cisco ou Juniper se fasse piquer à faire quelque chose comme ça, l'explication pourrait bien être si vous voulez des explications, allez demander à la NSA. Disons que si, on découvre une porte dérobée dans les Huawei, le commercial qui essaie de les vendre en France ou aux USA aura du mal à dire « c'était à la demande de l'APL ». --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Flavien Lamic --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
il est surtout très fatigué... a+ Le 01/07/2013 22:10, Stephane Bortzmeyer a écrit : On Mon, Jul 01, 2013 at 09:59:07PM +0200, Gregory Bruneau gregory.brun...@gmail.com wrote a message of 337 lines which said: Ca tombe plutôt bien que tu sois encore au lycée, tu peux encore rattraper ta grammaire et ton orthographe Attention, Jean-Kevin est un pseudo (dit autrement, il joue un rôle, ne le prenez pas au premier degré). Dans la réalité, il est prof d'université, expert en réseaux, avec plein de publications, et il écrit dans le Monde. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 27/06/2013 17:18, Guillaume Subiron a écrit : Et jusque là, le routeur il a stocké ses trouvailles sur quoi ? un disque dur ? :) On en revient au fait qu'un élément en trop dans un routeur, ça se verrait. Ou alors il a sélectionné les trouvailles intéressantes, possibilité déjà écartée par le manque de puissance. http://www.cisco.com/en/US/prod/collateral/routers/ps5763/data_sheet_c78-659773.html 2x32GB SSD dans le RP du CRS3. Il y a aussi eu des HDD dans certains juniper. Ca n'a pas eu l'air de choquer grand monde. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Sylvain Vallerot a écrit: Non vous avez mal lu l'idée de Michel: Oui, par contre toi tu as très bien compris :P Vérité dans la pub, ce n'est pas l'idée de Michel. Je ne suis pas le seul ni le premier à y avoir pensé. un trafic bidon entre 2 PC qui passe par le routeur, avec un payload qui contient du bourrage. En temps normal le routeur est passif et route normalement le trafic vers la destination. Quand le PC source envoie le bon pattern dans le payload, le routeur est activé et remplace le bourrage par de vraies info, refait le checksum et fait suivre au PC collecteur comme si de rien n'était. Exactement. Le trafic semble n'avoir pas changé, ni vu ni connu. Mouais, Voir plus bas. Suffit de mettre plus de bourrage en entrée pour faire sortir plus de données tout aussi discrètement. Ca c'est la partie facile du machin, protocole dynamique d'allocation de bande passante, faut pas réinventer la roue, juste adapter l'existant. Le routeur de cœur de réseau qui vient de recevoir l'ordre d'espionner le flux 'xyz' et qui commence à voir sa mémoire tampon grossir n'a qu'à, en même temps que les données du flux 'xyz', insérer la commande '#plus_de_patate' dans le flux. Même si le routeur en question ne voit pas le retour de trafic (cas possible si ce n'est typique de BGP asymétrique entre 2 AS), çà ne coute que quelques centaines de ms pour que la destination renvoie le paquet à la source qui augmente le bourrage. En plus, dans un système bien conçu, il y a une multitude de sources et destinations qui changent plus vite que tu changes de slip. Gaspiller de la bande passante pour être sûr que le trafic espionné passe, ça ne coûte pas si cher. Le trafic semble n'avoir pas changé, ni vu ni connu. Mouais c'est là ou ça commence à se compliquer. Malheureusement pour l'idée de Michel, ce n'est ni plus ni moins que MITM. Ca permet de traverser les access-list qui protègent le routeur et l'infra, et ca ne génère pas de flux sorti de nulle part qui serait suspect sur les outils d'analyse de trafic, mais ça se voir sur les outils qui détectent MITM. L'avantage de mettre ça dans le cœur, c'est que tu noies ta goutte d'eau dans la mer. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Sauf que les principaux concernés (les USA) ont riposté le 11/09 avec le soutien de beaucoup de leurs alliés et tout le monde a approuvé. Les internautes sont scandalisés mais juste une minorité va bouger. PRISM et ses semblables existaient avant, et continueront d'exister après. (Et non, ce n'est pas un vrai troll.. Le 28 juin 2013 09:34, Frédéric frede...@placenet.org a écrit : Le 2013-06-26 16:23, Stephane Bortzmeyer a écrit : On Wed, Jun 26, 2013 at 11:25:47AM +0200, Frédéric frede...@placenet.org wrote a message of 52 lines which said: - mais le plus simple est de mettre une sonde qui dupliquerait l'onde électromagnétique des tuyaux optiques des liens trans-continentaux sous-marin, plus l' espionnage via les satellite des ondes radios. Sans doute mais ce n'était pas du tout l'objet de mon article, consacré à une question technique plus précise « est-ce qu'un attaquant qui contrôle le routeur peut espionner tout le trafic ? » la réponse théorique est oui. La réponse pratique est plus compliquée. combien de temps l'espionnage ? copie, détournement des données espionnées ? Prism: c'est le 11 septembre de l'Internet. a+ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Flavien Lamic --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le jeu., juin 27, 2013 at 09:03:50 +0200, Stephane Bortzmeyer claviotta : On Wed, Jun 26, 2013 at 10:17:06AM -0700, Michel Py mic...@arneill-py.sacramento.ca.us wrote a message of 48 lines which said: S'il est vrai que les adresses du routeur lui-même risquent d'être bloquées, rien n'empêche le routeur de générer un paquet avec une IP qui circulerait librement. Attention, en TCP, c'est plus compliqué que cela car il faut recevoir les réponses. Scénario facile: il suffit d'avoir 2 PC qui communiquent et dont le trafic transite par hasard dans le routeur cœur de réseau en question, le dit routeur connaissant l'adresse de l'un des deux PC ou une signature quelconque à l'intérieur du paquet et interceptant le trafic pour y prendre ses instructions ou le modifier et y injecter ses trouvailles (faut pas oublier de refaire les checksums). Ah oui, cool idée, je savais bien que j'avais raison de demander sur cette liste. Je transmets l'idée à Pékin tout de suite et j'attends mon chèque. Et jusque là, le routeur il a stocké ses trouvailles sur quoi ? un disque dur ? :) On en revient au fait qu'un élément en trop dans un routeur, ça se verrait. Ou alors il a sélectionné les trouvailles intéressantes, possibilité déjà écartée par le manque de puissance. -- Guillaume Subiron Mail - maet...@subiron.org GPG - C7C4 455C Jabber - maet...@im.subiron.org IRC - maethor@(freenode|geeknode) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 27 juin 2013 à 17:18, Guillaume Subiron a écrit : Le jeu., juin 27, 2013 at 09:03:50 +0200, Stephane Bortzmeyer claviotta : On Wed, Jun 26, 2013 at 10:17:06AM -0700, Michel Py mic...@arneill-py.sacramento.ca.us wrote a message of 48 lines which said: S'il est vrai que les adresses du routeur lui-même risquent d'être bloquées, rien n'empêche le routeur de générer un paquet avec une IP qui circulerait librement. Attention, en TCP, c'est plus compliqué que cela car il faut recevoir les réponses. Scénario facile: il suffit d'avoir 2 PC qui communiquent et dont le trafic transite par hasard dans le routeur cœur de réseau en question, le dit routeur connaissant l'adresse de l'un des deux PC ou une signature quelconque à l'intérieur du paquet et interceptant le trafic pour y prendre ses instructions ou le modifier et y injecter ses trouvailles (faut pas oublier de refaire les checksums). Ah oui, cool idée, je savais bien que j'avais raison de demander sur cette liste. Je transmets l'idée à Pékin tout de suite et j'attends mon chèque. Et jusque là, le routeur il a stocké ses trouvailles sur quoi ? un disque dur ? :) On en revient au fait qu'un élément en trop dans un routeur, ça se verrait. Ou alors il a sélectionné les trouvailles intéressantes, possibilité déjà écartée par le manque de puissance. Un peu de place en RAM pour y stocker quelques Mo pendant quelques dixièmes de secondes. Et toi tu t'arranges d'avoir un ou plusieurs pings qui passent par ce routeur là toutes les secondes ou moins. En soit l'idée est pas idiote si tu cibles un trafic faible mais de haute valeur informative (mail par exemple). Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Michel Py a écrit: Scénario facile: il suffit d'avoir 2 PC qui communiquent et dont le trafic transite par hasard dans le routeur cœur de réseau en question, le dit routeur connaissant l'adresse de l'un des deux PC ou une signature quelconque à l'intérieur du paquet et interceptant le trafic pour y prendre ses instructions ou le modifier et y injecter ses trouvailles (faut pas oublier de refaire les checksums). Stephane Bortzmeyer a écrit: Ah oui, cool idée, je savais bien que j'avais raison de demander sur cette liste. Je transmets l'idée à Pékin tout de suite et j'attends mon chèque. Tu n'oublies pas mes 20%, merci ! J'espère que tu n'en a pas besoin pour boucler ton mois ceci-dit; ce que j'ai décrit c'est le ba-ba simpliste que tout le monde connaît depuis 15 ans. Si c'était secret je ne l'écrirais pas sur la liste du FRnOG. Guillaume Subiron a écrit: Et jusque là, le routeur il a stocké ses trouvailles sur quoi ? un disque dur ? :) La flash c'est plus petit. On en revient au fait qu'un élément en trop dans un routeur, ça se verrait. Pas d'accord du tout. Un routeur cœur de réseau, c'est un châssis de taille non négligeable qui contient plein de trucs dont très peu de monde savent complètement qui fait quoi. En plus, je vois tout le temps des cartes avec des composants manquants. La raison est que les usines travaillent en flux tendus, et qu'on soude sur la carte le composant qui est en stock au moment de la fabrication. Tu achètes la même carte 2 jours différents, tu pourrais trouver que l'une a été faite en Asie et l'autre en Amérique latine, et que la moitié des composants ne sont pas les mêmes. La place vide sur la carte qui recevrait le mythique ASIC d'espionnage, ça ne se remarque pas; et quand il est installé, surtout si un autre composant est manquant, ça se remarque difficilement. Le problème de détecter ce genre de chose dans un routeur cœur de réseau, c'est que tu n'as en général pas le routeur à ta disposition pour faire joujou. Ou alors il a sélectionné les trouvailles intéressantes, possibilité déjà écartée par le manque de puissance. Pas du tout, suffit d'avoir l'ASIC qui va bien. Emmanuel Thierry a écrit: Un peu de place en RAM pour y stocker quelques Mo pendant quelques dixièmes de secondes. Et toi tu t'arranges d'avoir un ou plusieurs pings qui passent par ce routeur là toutes les secondes ou moins. +1; Remplace les quelques pings par un flux télé HD et ça commence à devenir sympa. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On 27/06/2013 17:25, Emmanuel Thierry wrote: Scénario facile: il suffit d'avoir 2 PC qui communiquent et dont le trafic transite par hasard dans le routeur cœur de réseau en question, le dit routeur connaissant l'adresse de l'un des deux PC ou une signature quelconque à l'intérieur du paquet et interceptant le trafic pour y prendre ses instructions ou le modifier et y injecter ses trouvailles (faut pas oublier de refaire les checksums). Et jusque là, le routeur il a stocké ses trouvailles sur quoi ? un disque dur ? :) On en revient au fait qu'un élément en trop dans un routeur, ça se verrait. Ou alors il a sélectionné les trouvailles intéressantes, possibilité déjà écartée par le manque de puissance. Un peu de place en RAM pour y stocker quelques Mo pendant quelques dixièmes de secondes. Non vous avez mal lu l'idée de Michel : un trafic bidon entre 2 PC qui passe par le routeur, avec un payload qui contient du bourrage. En temps normal le routeur est passif et route normalement le trafic vers la destination. Quand le PC source envoie le bon pattern dans le payload, le routeur est activé et remplace le bourrage par de vraies info, refait le checksum et fait suivre au PC collecteur comme si de rien n'était. Le trafic semble n'avoir pas changé, ni vu ni connu. Suffit de mettre plus de bourrage en entrée pour faire sortir plus de données tout aussi discrètement. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 2013-06-26 16:23, Stephane Bortzmeyer a écrit : On Wed, Jun 26, 2013 at 11:25:47AM +0200, Frédéric frede...@placenet.org wrote a message of 52 lines which said: - mais le plus simple est de mettre une sonde qui dupliquerait l'onde électromagnétique des tuyaux optiques des liens trans-continentaux sous-marin, plus l' espionnage via les satellite des ondes radios. Sans doute mais ce n'était pas du tout l'objet de mon article, consacré à une question technique plus précise « est-ce qu'un attaquant qui contrôle le routeur peut espionner tout le trafic ? » tout le trafic, cela se verra rapidement, mais plusieurs routeurs (la même marque et la meme série serait un plus :) et avec un ciblage précis. a+ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Une question opérationnelle au passage : si un routeur prend l'initiative d'envoyer des paquets à une adresse IP quelconque, quel est le pourcentage de réseaux qui le laisseront faire ? Car le routeur peut être bloqué par un pare-feu, ou peut même avoir des adresses IP privées. Donc, même si le routeur *veut* envoyer des données, quelle est la probabilité, sur un réseau d'opérateur typique, qu'il le *puisse* ? utiliser à l'insu un routeur, implique un minium d'examiner son routage... a+ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Stephane Bortzmeyer a écrit: Il n'y a pas une limite de taille à ce que l'ASIC reçoit du paquet ? Genre 64 ou 128 octets, suffisant pour son travail normal mais pas pour de la recherche sur le contenu ? (Pas facile de gérer des données de taille variable dans un ASIC.) Question de gros sous comme d'habitude. Ne pas sous-estimer combien un gouvernement peut dépenser pour espionner: bien avant le Jimmy Carter, le Glomar Explorer. http://en.wikipedia.org/wiki/GSF_Explorer http://www.gwu.edu/~nsarchiv/nukevault/ebb305/ $350M en 1974, $1658M aujourd'hui. Si Oncle Sam arrive dans le bureau de Mr Cisco avec un chèque d'un milliard et demi, ça se pourrait que la taille de l'ASIC augmente comme par miracle; à ce prix-là t'as même droit à un vrai bullshit de première classe pour justifier. Une question opérationnelle au passage : si un routeur prend l'initiative d'envoyer des paquets à une adresse IP quelconque, quel est le pourcentage de réseaux qui le laisseront faire ? Car le routeur peut être bloqué par un pare-feu, ou peut même avoir des adresses IP privées. Donc, même si le routeur *veut* envoyer des données, quelle est la probabilité, sur un réseau d'opérateur typique, qu'il le *puisse* ? Je ne vois pas ou est le problème. S'il est vrai que les adresses du routeur lui-même risquent d'être bloquées, rien n'empêche le routeur de générer un paquet avec une IP qui circulerait librement. Scénario facile: il suffit d'avoir 2 PC qui communiquent et dont le trafic transite par hasard dans le routeur cœur de réseau en question, le dit routeur connaissant l'adresse de l'un des deux PC ou une signature quelconque à l'intérieur du paquet et interceptant le trafic pour y prendre ses instructions ou le modifier et y injecter ses trouvailles (faut pas oublier de refaire les checksums). C'est exactement comme une attaque MITM, sauf que le destinataire se doute bien que le trafic qu'il reçoit n'est pas forcément le même que ce qui a été envoyé (qui ne contenait possiblement que du bruit blanc). Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/