Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Le Fri, Jan 01, 2010 at 08:13:51PM -0800, Michel Py [mic...@arneill-py.sacramento.ca.us] a écrit: Rani Assaf Non, non. Je parle d'AS privés ( 64512) groupés dans une confédération BGP. Ca permet de découper ton réseau en régions. C'est bien le truc qui m'échappe: pourquoi utiliser un AS privé? Pour toi comme pour moi, un AS n'est ni cher ni difficile a obtenir. Ca dérange qui que Rani il ait un AS pour Paris, un pour Lyon, un pour Marseille, etc? Ca dérangerait sans doute personne, et ça serait sans doute facile à obtenir. Mais ce n'est pas nécessaire. Rien ne t'oblige à annoncer tous tes préfixes partout où tu t'interconnectes avec quelqu'un. Ainsi, sur ses peerings en région, Proxad n'annonce que les clients raccordés sur cette région : http://www.as12322.net/as12322_policy.html -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 50, rue Riolan 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Le Sat, Jan 02, 2010 at 01:41:52PM +0100, Radu-Adrian Feurdean [...@ftml.net] a écrit: Tu n'est pas oblige d'injecter les routes de AS-LOPSSI directement dans ton core, pour diffusion dans toute ton reseau. Tu peux mettre en bordure un vieux PIII avec quagga, dedie pour l'import des routes LOPSSI. Tu fais le toilettage des routes sur cette machine, et tu les injecte uniquement dans les parties concernes de ton reseau. Tu vas quand même injecter des pleines brouettes de /32 dans des routeurs qui n'ont rien demandé :-) (moi, actuellement, ça me dérange pas outre mesure, la RAM sur PC ça coute rien) -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 50, rue Riolan 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Le 1 janv. 10 à 01:55, Spyou a écrit : Et donc, ils vont obliger, par un article de loi, tous les AS français a monter un peering avec l'OCCLTIC (qui devra popper tous les datacenter, de par le fait) .. Euh, à la base, c'est une obligation qui concerne l'accès, pas l'hébergement. Ensuite, la réalisation des raccordements qui vont bien incombe aux opérateurs (quelle que soit la taille, ce n'est pas parce qu'un simple fax à l'ARCEP suffit pour être opérateur que cela n'emporte pas également quelques obligations diverses et variées, nonobstant les états d'âme qu'on peut avoir sur ces sujets) les coûts étant in fine pris en charge par l'Etat après conventionnement. Sachant que la plupart des petits opérateurs sont forcément clients (directs ou indirects) d'un Orange, SFR, Colt, Verizon ou Completel qui peuvent ainsi mutualiser les liaisons existantes. Enfin, le recours au BGP dans une configuration où l'IP est assez généralisé (par opposition à d'autres typologies de réseaux dans lesquels l'IP débute bien plus haut, et concentré, dans le réseau), c'est le truc le moins pire et paradoxalement le plus garant de l'équilibre des différentes libertés en jeu. Octave, t'as toujours des *.gouv.fr chez toi ? :-) -- Alec, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Le Sat, Jan 02, 2010 at 01:41:52PM +0100, Radu-Adrian Feurdean [...@ftml.net] a écrit: Tu n'est pas oblige d'injecter les routes de AS-LOPSSI directement dans ton core, pour diffusion dans toute ton reseau. Tu peux mettre en bordure un vieux PIII avec quagga, dedie pour l'import des routes LOPSSI. Tu fais le toilettage des routes sur cette machine, et tu les injecte uniquement dans les parties concernes de ton reseau. Tu vas quand même injecter des pleines brouettes de /32 dans des routeurs qui n'ont rien demandé :-) (moi, actuellement, ça me dérange pas outre mesure, la RAM sur PC ça coute rien) Si j'en crois le mail de Thomas Mangin un peu plus tôt dans le thread, en Angleterre le système est déjà en place et ça tient la route, il n'y a pas tant de /32 à charger et on parle encore en Ko... A voir ce que ça donne en France. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
On Mon, 4 Jan 2010 16:19:10 +0100 (CET), Julien Reveret shad...@c0a8.org said: Si j'en crois le mail de Thomas Mangin un peu plus tôt dans le thread, en Angleterre le système est déjà en place et ça tient la route, il n'y a pas tant de /32 à charger et on parle encore en Ko... A voir ce que ça donne en France. L'IWF, on a vu ce que ca a donne, dans l'histoire avec Wikipedia. http://en.wikipedia.org/wiki/Internet_Watch_Foundation_and_Wikipedia -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Maintenant, question complémentaire : je ne sais plus où on en est des allocations d'AS mais on doit être à ~5, vous ne risquez pas d'avoir un soucis au passage aux AS 32 bits ? Ou est-ce que ces AS sont réservés par une RFC pour usage privé interne ? Le passage au ASN 32 bits ne change pas les AS privées. http://www.iana.org/assignments/as-numbers/as-numbers.xml 64496-64511 Reserved for use in documentation and sample code [RFC5398] 2008-12-03 64512-65534 Designated for private use (Allocated to the IANA) 65535 Reserved La seule ASN 16 bit affecte par RFC 4893 est AS_TRANS (AS 23456). Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
On Sat, 2 Jan 2010 02:56:44 +0100 (CET), Rani Assaf ras...@corp.free.fr said: BGP. Ca permet de découper ton réseau en régions. Dans un grand réseau, ça facilite beaucoup l'administration (pas besoin d'avoir un full-mesh entre 300 routeurs ou des route-reflectors dans tous le sens) et de géo-localiser les politiques de routage. Dans un grand reseau ca peut aider de decouper en plusieurs AS meme a l'interieur d'un seul pays. Pour les petits ca peut faire usine a gas d'avoir plus d'un AS, meme pour plusieurs pays. C'est juste question de taille pas de multinational ou pas. Pour 10 routeurs sur 5 sites, le full-mesh ca tienne tres bien. -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
On Fri, 1 Jan 2010 12:55:49 -0800, Michel Py mic...@arneill-py.sacramento.ca.us said: Il y a quand même un batard de luxe avec ce système: mes AS multinationaux qui ont des accès de plusieurs cotés de plusieurs frontières. Soit le dit AS laisse les routes de blocage se propager au-delà des frontières (ce qui protègerait du contenu douteux certains clients hors de France mais aussi pourrait être en contradiction avec les lois de l'autre pays), soit je vois arriver l'usine à gaz de route-maps pour iBGP. Tu n'est pas oblige d'injecter les routes de AS-LOPSSI directement dans ton core, pour diffusion dans toute ton reseau. Tu peux mettre en bordure un vieux PIII avec quagga, dedie pour l'import des routes LOPSSI. Tu fais le toilettage des routes sur cette machine, et tu les injecte uniquement dans les parties concernes de ton reseau. Si le travail que ca genere fait peur (faut quand meme pas deconner), on peut trouver toujours un stagiaire pour s'occuper. On peut se trouver avec une implementation a moindre frais, en utilisant que du matos recycle et de la main d'oeuvre pas chere. Pour quelque-chose qui n'est pas suppose etre business-critical, ca vaut pas plus que ca. -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Et puisque l'OCCLTIC se voit rediriger le traffic vers les IPs blacklistées (si j'ai bien compris c'est en vue de faire une jolie page d'explication ? de recours???) , ils peuvent aussi monter des proxys http pour re-filtrer ensuite sur l'URL et éviter de faire disparaître des sites sur des hébergements mutualisés. Y. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Oui il peuvent - mais vont-ils ? Thomas On 1 Jan 2010, at 10:31, Yann Jouanin wrote: Et puisque l'OCCLTIC se voit rediriger le traffic vers les IPs blacklistées (si j'ai bien compris c'est en vue de faire une jolie page d'explication ? de recours???) , ils peuvent aussi monter des proxys http pour re-filtrer ensuite sur l'URL et éviter de faire disparaître des sites sur des hébergements mutualisés. Y. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Puisque c'est l'epoque, meilleurs voeux a toute la liste pour cette annee 2010, malgre les lois en 'I' en preparation. -- Nicolas Trecourt ntreco...@frontier.fr Administrateur systemes et reseaux IRC:irc://irc.freenode.net/~fosco psyc: psyc://psyc.wirefull.org/~fosco jabber: xmpp:fo...@xmpp.wirefull.org PGP Key fingerprint: BB18 54D5 2843 D23C 3069 CCED DEEE F150 B565 2199 Frontier Online - URL: http://www.frontier.fr signature.asc Description: Digital signature
RE: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Et puisque l'OCCLTIC se voit rediriger le traffic vers les IPs blacklistées (si j'ai bien compris c'est en vue de faire une jolie page d'explication ? de recours???) , ils peuvent aussi monter des proxys http pour re-filtrer ensuite sur l'URL et éviter de faire disparaître des sites sur des hébergements mutualisés. Oui, je me suis dit la même chose. Le problème que je vois (enfin la liste) : - Il va falloir du matos ainsi que des gens pour s'en occuper (thank you captain obvious), qui va payer ? :) - Qui va faire le tri dans les logs pour détecter les sites mutualisés touchés ? Qu'on ne me sorte pas du chapeau une technologie revolutionnaire qui permet de faire ça, je n'y croirai pas une seule seconde :) - Chez les FAI, c'est peut être plus simple : une session BGP redondée et le tour est joué, très peu de travail donc. Mais quand meme, les tables de routage vont grossir (on ne sait pas encore dans quelles proportions) et il va falloir que les équipements supportent ou alors qu'il y ait upgrade. Qui va payer pour ça ? :) - Pour qu'une IP soit black(list,hol)ée, il faut au préalable qu'un trafic interdit ait été détecté, non ? Si les méchants pirates/pédophiles/whoever se mettent à tout chiffrer, comment va faire l'OCLCTIC ? Et bien sûr je ne parle pas du côté très orwellien de la chose... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
- Qui va faire le tri dans les logs pour détecter les sites mutualisés touchés ? Qu'on ne me sorte pas du chapeau une technologie revolutionnaire qui permet de faire ça, je n'y croirai pas une seule seconde :) Une des formules magiques est présenté la: http://thomas.mangin.com/data/pdf/LINX67-thomas-mangin-iwf.pdf Et je ne pense pas avoir monte quelque chose de révolutionnaire - juste mon Lego habituel de logiciel libre et scripting. Ca proxy les sites blancs et redirige vers un site web les sites noirs http://wiki.squid-cache.org/Features/Redirectors?highlight=%28faqlisted.yes%29 - Chez les FAI, c'est peut être plus simple : une session BGP redondée et le tour est joué, très peu de travail donc. Mais quand meme, les tables de routage vont grossir (on ne sait pas encore dans quelles proportions) et il va falloir que les équipements supportent ou alors qu'il y ait upgrade. Qui va payer pour ça ? :) Si on considéré que chaque site sera injecte comme /32, et que la taille de la liste anglaise de site de ce type de site se compte en centaines d'entree - on parle en kilo bytes de mémoire nécessaire pour la table de routage et le CFEB ... En gros, pour un routeur EBGP - ca n'est comme si rien n'etait la. - Pour qu'une IP soit black(list,hol)ée, il faut au préalable qu'un trafic interdit ait été détecté, non ? Si les méchants pirates/pédophiles/whoever se mettent à tout chiffrer, comment va faire l'OCLCTIC ? Hors sujet, Et bien sûr je ne parle pas du côté très orwellien de la chose... Hors sujet, Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
- Qui va faire le tri dans les logs pour détecter les sites mutualisés touchés ? Qu'on ne me sorte pas du chapeau une technologie revolutionnaire qui permet de faire ça, je n'y croirai pas une seule seconde :) Une des formules magiques est présenté la: http://thomas.mangin.com/data/pdf/LINX67-thomas-mangin-iwf.pdf Et je ne pense pas avoir monte quelque chose de révolutionnaire - juste mon Lego habituel de logiciel libre et scripting. Ca proxy les sites blancs et redirige vers un site web les sites noirs http://wiki.squid-cache.org/Features/Redirectors?highlight=%28faqlisted.yes%29 Ca je suis tout a fait d'accord pour dire que ça marche. Seulement dans tes slides je vois bien le IWF list download, donc il faut un humain derrière qui trie ou bien on attend tout simplement que les gens se plaignent qu'un site légitime est non joignable, un humain va faire la vérification et rajoute le site dans la liste blanche... Ta technologie ne filtre pas tout automatiquement, c'est ce que je voulais dire. - Chez les FAI, c'est peut être plus simple : une session BGP redondée et le tour est joué, très peu de travail donc. Mais quand meme, les tables de routage vont grossir (on ne sait pas encore dans quelles proportions) et il va falloir que les équipements supportent ou alors qu'il y ait upgrade. Qui va payer pour ça ? :) Si on considéré que chaque site sera injecte comme /32, et que la taille de la liste anglaise de site de ce type de site se compte en centaines d'entree - on parle en kilo bytes de mémoire nécessaire pour la table de routage et le CFEB ... En gros, pour un routeur EBGP - ca n'est comme si rien n'etait la. Si tu le dis, je veux bien te croire. Ce qui m'inquiète c'est les sites hébergés sur 10 IP différentes. Pour prendre un exemple, j'ai rejoint un groupe facebook pour dénoncer l'existence d'un site pedophile, ciarra-model.com et voilà ce que donne un petit coup d'oeil du côté résolution DNS : $ host ciarra-model.com ciarra-model.com has address 38.99.170.144 ciarra-model.com has address 38.99.170.141 ciarra-model.com has address 64.120.147.215 ciarra-model.com has address 64.120.147.217 ciarra-model.com has address 38.99.170.142 ciarra-model.com has address 38.99.170.143 ciarra-model.com has address 64.120.147.216 ciarra-model.com has address 64.120.147.214 ciarra-model.com mail is handled by 10 mail.ciarra-model.com. Voilà pourquoi j'ai un peu peur que les tables BGP explosent si d'autres sites utilisant autant d'adresses IP différentes devaient être blacklistés. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Julien Reveret a écrit : - Qui va faire le tri dans les logs pour détecter les sites mutualisés touchés ? Qu'on ne me sorte pas du chapeau une technologie revolutionnaire qui permet de faire ça, je n'y croirai pas une seule seconde :) Une des formules magiques est présenté la: http://thomas.mangin.com/data/pdf/LINX67-thomas-mangin-iwf.pdf Et je ne pense pas avoir monte quelque chose de révolutionnaire - juste mon Lego habituel de logiciel libre et scripting. Ca proxy les sites blancs et redirige vers un site web les sites noirs http://wiki.squid-cache.org/Features/Redirectors?highlight=%28faqlisted.yes%29 Ca je suis tout a fait d'accord pour dire que ça marche. Seulement dans tes slides je vois bien le IWF list download, donc il faut un humain derrière qui trie ou bien on attend tout simplement que les gens se plaignent qu'un site légitime est non joignable, un humain va faire la vérification et rajoute le site dans la liste blanche... Ta technologie ne filtre pas tout automatiquement, c'est ce que je voulais dire. - Chez les FAI, c'est peut être plus simple : une session BGP redondée et le tour est joué, très peu de travail donc. Mais quand meme, les tables de routage vont grossir (on ne sait pas encore dans quelles proportions) et il va falloir que les équipements supportent ou alors qu'il y ait upgrade. Qui va payer pour ça ? :) Si on considéré que chaque site sera injecte comme /32, et que la taille de la liste anglaise de site de ce type de site se compte en centaines d'entree - on parle en kilo bytes de mémoire nécessaire pour la table de routage et le CFEB ... En gros, pour un routeur EBGP - ca n'est comme si rien n'etait la. Si tu le dis, je veux bien te croire. Ce qui m'inquiète c'est les sites hébergés sur 10 IP différentes. Pour prendre un exemple, j'ai rejoint un groupe facebook pour dénoncer l'existence d'un site pedophile, ciarra-model.com et voilà ce que donne un petit coup d'oeil du côté résolution DNS : $ host ciarra-model.com ciarra-model.com has address 38.99.170.144 ciarra-model.com has address 38.99.170.141 ciarra-model.com has address 64.120.147.215 ciarra-model.com has address 64.120.147.217 ciarra-model.com has address 38.99.170.142 ciarra-model.com has address 38.99.170.143 ciarra-model.com has address 64.120.147.216 ciarra-model.com has address 64.120.147.214 ciarra-model.com mail is handled by 10 mail.ciarra-model.com. Voilà pourquoi j'ai un peu peur que les tables BGP explosent si d'autres sites utilisant autant d'adresses IP différentes devaient être blacklistés. --- Liste de diffusion du FRnOG http://www.frnog.org/ Exactement, si vous vous souvenez bien, à la fin de mon expo au frnog de juin, je vous avais fait voir un forum multihosté. Un hébergement ferme, un autre ouvre ailleurs. Ils sont quand même un peu organisés les gars car il faut bien se dire qu'en définitif, c'est une affaire commerciale. Donc pour moi, tenter de filtrer d'une quelconque façon, c'est comme empêcher l'eau d'une rivière de couler. On veut confronter une administration avec quelques crédits à une organisation criminelle qui est la pour faire du pognon. Alors que d'un côté il y aura un gus pour filtrer, de l'autre côté ils pourront en aligner dix, car eux oeuvrent dans un but lucratif. Je vois mal l'organisation s'occupant du filtrage aller voir les politiques en disant si si ils nous faut 10² personnels pour les contrer. La réponse sera toute trouvée, combien ca coûte, ou est le site, est on concerné ? Et tout ca pour qu'en définitif, les gars arrivent à mettre leurs sites en ligne. Je pense qu'il serait plus judicieux d'utiliser cet argent et ces ressources pour infiltrer des réseaux, récupérer des logs, suivre des flux financiers etc Et je ne parle même pas des dommages collatéraux d'une telle mesure ni des majors qui pourraient vouloir l'utiliser pour les films/MP3/jeux etc Meilleurs voeux Hrec --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
http://wiki.squid-cache.org/Features/Redirectors?highlight=%28faqlisted.yes%29 Ca je suis tout a fait d'accord pour dire que ça marche. Seulement dans tes slides je vois bien le IWF list download, donc il faut un humain derrière qui trie ou bien on attend tout simplement que les gens se plaignent qu'un site légitime est non joignable, un humain va faire la vérification et rajoute le site dans la liste blanche... La liste de l' Internet Watch Foundation , c'est la liste d'URL a bloquer. Je sais que des slides sans explications c'est pas génial (et j'avais 7 minutes pour mes slides alors même mes explications ne sont pas clair - mais je ne suis pas souvent clair de toute facon :p) mais il semblerai que tu ne comprennes pas bien ce qui est fait par squid. Il y a déjà des solutions propriétaire marchant comme ce qui est propose ... Il y a un lien dans les archives de swinog peut-etre plus clair http://www.swinog.ch/meetings/swinog17/20081022_SWINOG.pdf Ceci dit le chiffres de 1% dans ce slide c'est du pipo commercial car certaines URL sont sur des sites a haut traffic et qu'il prennent alors tout le traffic pour ces sites pour le comprendre, lisez http://www.uknof.org.uk/uknof13/Clayton-IWF.pdf 3 slides a partir de la fin. Comme un proxy comprend HTTP il peut filter le site bloque et laisser passer le traffic pour d'autres sites sur la même IP. Ta technologie ne filtre pas tout automatiquement, c'est ce que je voulais dire. Ma technologie (grand terme) n'est pas la seule on peut aussi utiliser snort online - mais il faut toujours a un moment fournir une liste de sites/URL a bloquer Ce qui m'inquiète c'est les sites hébergés sur 10 IP différentes. Pour prendre un exemple, j'ai rejoint un groupe facebook pour dénoncer l'existence d'un site pedophile, ciarra-model.com et voilà ce que donne un petit coup d'oeil du côté résolution DNS : $ host ciarra-model.com ciarra-model.com has address 38.99.170.144 ciarra-model.com has address 38.99.170.141 ciarra-model.com has address 64.120.147.215 ciarra-model.com has address 64.120.147.217 ciarra-model.com has address 38.99.170.142 ciarra-model.com has address 38.99.170.143 ciarra-model.com has address 64.120.147.216 ciarra-model.com has address 64.120.147.214 ciarra-model.com mail is handled by 10 mail.ciarra-model.com. Voilà pourquoi j'ai un peu peur que les tables BGP explosent si d'autres sites utilisant autant d'adresses IP différentes devaient être blacklistés. Voici un routeur BGP avec 303672 routes actives IPv4 (496078 reçu) et comme tu peux le voir, RPD prend 379 Mb des 1.5 GB du routeur et quelques méga de plus ou moins ca ne change pas grand chose. show bgp summary Groups: 21 Peers: 460 Down peers: 13 Table Tot Paths Act Paths SuppressedHistory Damp StatePending inet.0496078 303672 0 0 0 0 inet6.0 8152 2343 0 0 0 0 start shell % top -o size last pid: 65453; load averages: 0.01, 0.00, 0.00 up 592+19:47:10 12:39:00 52 processes: 1 running, 51 sleeping CPU states: 0.0% user, 0.0% nice, 2.3% system, 0.0% interrupt, 97.7% idle Mem: 512M Active, 136M Inact, 150M Wired, 70M Cache, 69M Buf, 635M Free Swap: 2048M Total, 2048M Free PID USERNAME PRI NICE SIZERES STATETIME WCPUCPU COMMAND [...] 3222 root 2 0 380M 379M kqread 316.7H 1.22% 1.22% rpd [...] The routing protocol process (rpd) controls the routing protocols that run on the routing platform. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Alors que d'un côté il y aura un gus pour filtrer, de l'autre côté ils pourront en aligner dix, car eux oeuvrent dans un but lucratif. Je suis d'accord que ce qui est propose ne permettra pas de tout filter (mais ce n'etait pas la question) - rien ne changera pour les sites en fast flux. http://fr.wikipedia.org/wiki/Fast_flux Je pense qu'il serait plus judicieux d'utiliser cet argent et ces ressources pour infiltrer des réseaux, récupérer des logs, suivre des flux financiers etc Pour ca il faut des gens compétents capable de réagir vite a un milieu changeant rapidement ... on parle bien du gouvernement ici ?? Et je ne parle même pas des dommages collatéraux d'une telle mesure ni des majors qui pourraient vouloir l'utiliser pour les films/MP3/jeux etc C'est le premier ... on peut rester positif quelques heures SVP :) Meilleurs voeux Bonne Année (puisque c'est tout de même le sujet de la thread). Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Le 01/01/10, Julien Reveretshad...@c0a8.org a écrit : Ce qui m'inquiète c'est les sites hébergés sur 10 IP différentes. Pour prendre un exemple, j'ai rejoint un groupe facebook pour dénoncer l'existence d'un site pedophile, ciarra-model.com Ah, c'est le site où il est inscrit: * This is a Nonude modeling website. * The members area contains only legal Nonude content. * No nudity, no sexual suggestive poses. ? Je n'irais pas jusqu'à dire que les responsables de ce site sont totalement à l'abri de tous soupçons. Mais, jusqu'à preuve du contraire, présomption d'innocence toussa, en France on commence par enquêter, faire un procès avec un débat contradictoire et droits de la défense, avant de prononcer des sanctions et/ou de porter atteinte à la liberté d'expression. Alors, que des gens se regroupent sur Facebook pour indiquer qu'ils estiment qu'un site est pédophile, aucun soucis: on a le droit de donner son avis. Par contre, vois-tu, ça me ferait vraiment chier que demain, des outils existent pour bloquer l'accès à ce site. Pas parce que l'évènement Des gars qui font du business avec des images douteuses se font mettre des bâtons dans les roues est grave. Mais parce que potentiellement, ça voudra dire qu'il suffira que quelqu'un (qui? nommé par qui? qui rendra des comptes à qui?) décidera (sur quels critères?) qu'on ne doit pas accéder à tel ou tel site. C'est la porte ouverte à toutes les dérives. On peut être certain que (comme pour le fichage ADN..) une telle mesure va s'étendre à des infractions bien moins graves que la vente d'images douteuses. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Bonne année à tous ;) 2010/1/1 Rémi Bouhl remibo...@gmail.com: ... Alors, que des gens se regroupent sur Facebook pour indiquer qu'ils estiment qu'un site est pédophile, aucun soucis: on a le droit de donner son avis. Par définition, oui. Et dans le cas de ce site en particulier, aussi subjectif puisse-t-il être dans un contexte assez tendu, tant que ses responsables n'enfreigne aucune loi, on se doit de respecter son droit d'exister. Je n'aime pas ce que vous dites, mais je me battrai jusqu'à la mort pour que vous ayez le droit de le dire. Par contre, vois-tu, ça me ferait vraiment chier que demain, des outils existent pour bloquer l'accès à ce site. Pas parce que l'évènement Des gars qui font du business avec des images douteuses se font mettre des bâtons dans les roues est grave. Mais parce que potentiellement, ça voudra dire qu'il suffira que quelqu'un (qui? nommé par qui? qui rendra des comptes à qui?) décidera (sur quels critères?) qu'on ne doit pas accéder à tel ou tel site. C'est la porte ouverte à toutes les dérives. On peut être certain que (comme pour le fichage ADN..) une telle mesure va s'étendre à des infractions bien moins graves que la vente d'images douteuses. Il est évident, entendu et admis que les moyens techniques de filtrage, qu'ils soient efficaces, contournables, ou pas, seront utilisés à des fins arbitraires et détournées. La position du président du SNEP à ce sujet est explicite, et bien d'autres personnes plus attachées à leurs avoirs qu'à leurs libertés partagent ces ambitions. Une société sacrifiant des libertés pour de la sécurité ne mérite ni l'un ni l'autre. C'est en ça que la position de certains d'entre nous ici est ferme et non négociable : aucune atteinte à la neutralité d'Internet ne peut être tolérée. Une exception est toutefois admissible en cas de force majeure ou de comportements portant atteinte à l'intégrité du réseau. Néanmoins, tout exploitant de réseau est libre d'y appliquer sa politique, mais un réseau non neutre ne saurait être reconnu comme membre d'Internet. Ainsi, qu'un fournisseur de connectivité quel qu'il soit se permette un filtrage, la connectivité vendue n'est plus un accès à Internet, et annoncer le contraire s'apparente à de la publicité mensongère, ce qui est la raison de mes remarques envers Free qui valent tout autant pour les autres FAI constituant l'oligopole français des télécom. Alors à tous, mes meilleurs veux pour 2010, et que cette année apporte un peu de conscience et d'éthique à nos confrères en déroute. Nous tous, opérateurs, sommes la dernière ligne de défense du réseau, et nous avons bien plus que nos jobs à perdre si le réseau venait à perdre sa neutralité. Amicalement, -- Jérôme Nicolle --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Salut, On 12/31/09 14:30, hrec wrote: Meilleurs voeux pour cette année prometteuse LOPPSI 2 : plus d'obligation de résultat dans le blocage des sites La fin justifiait l'obligation de moyen http://www.pcinpact.com/actu/news/54764-blocage-bgp-resultat-moyen-oclctic.htm Ca change très peu de choses au final que ce soit une obligation de moyen ou de resultat, car tu devras justifier que ce n'est pas de ta faute si le résultat n'est pas là, et que t'as fais de ton mieux pour y parvenir. Ce que ça va changer, c'est juste que ça passera plus facilement. Sinon, les articles à la pcinpact selon nos sources, ça va deux secondes... Arthur. signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Je pense qu'il serait plus judicieux d'utiliser cet argent et ces ressources pour infiltrer des réseaux, récupérer des logs, suivre des flux financiers etc Je suis extrèmement d'accord avec ça, mais nous avons vu dans l'actualité récente que, dans les milieux si enthousiastes et productifs pour imaginer la régulation des flux internet, les bonnes volontées se font beaucoup plus rares, voire franchement récalcitrantes lorsqu'il s'agit de réguler les flux de type clearstream. -- Jérôme Dautzenberg N’accusez pas trop vite la malveillance quand la stupidité suffit à tout expliquer. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Spyou a écrit: Et donc, ils vont obliger, par un article de loi, tous les AS français a monter un peering avec l'OCCLTIC (qui devra popper tous les datacenter, de par le fait) Rani Assaf a écrit: Mais techniquement, si on s'en sort avec ce système, ce sera franchement un moindre mal pour nous. +1 Là, ça a l'avantage d'être effectivement simple techniquement pour nous et contrairement à ce qui est dit dans l'article, en mettant la bonne communauté (no-export), en acceptant uniquement des /32 et en faisant ça sur un numéro d'AS privé, ça va limiter les risques. Ce n'est ni plus ni moins que la v1 des RBL de Vixie! Ou le bogon filter de team Cymru, similaire aussi. Il y a quand même un batard de luxe avec ce système: mes AS multinationaux qui ont des accès de plusieurs cotés de plusieurs frontières. Soit le dit AS laisse les routes de blocage se propager au-delà des frontières (ce qui protègerait du contenu douteux certains clients hors de France mais aussi pourrait être en contradiction avec les lois de l'autre pays), soit je vois arriver l'usine à gaz de route-maps pour iBGP. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
- Michel Py mic...@arneill-py.sacramento.ca.us wrote: Il y a quand même un batard de luxe avec ce système: mes AS multinationaux qui ont des accès de plusieurs cotés de plusieurs C'est mal: faut faire une confédération dans ce cas! Nous, rien que pour la France, on a 7 AS. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Michel Py Il y a quand même un batard de luxe avec ce système: mes AS multinationaux qui ont des accès de plusieurs cotés Rani Assaf C'est mal: faut faire une confédération dans ce cas! Nous, rien que pour la France, on a 7 AS. Je n'avais jamais vraiment pensé à cet aspect-là des choses: ça ne me serait pas venu à l'idée d'avoir plusieurs AS que ce soit pour le Nevada à 1 heure de voiture ou le Maine a 5000 bornes. Pas pour des raisons politiques, en tout cas. C'est sur ce genre de chose qu'on se rend compte de la disparité d'homogénéité entre l'Union Européenne et les E.U. Bien sûr dans le cas de fusion/acquisition c'est un autre problème. Rani, sur tes 7 AS, combien sont hérités de sociétés acquises au fil du temps? (par exemple, l'AS de Alice tu l'as fusionné avec le tien ou il est resté tel quel dans ta confédération?) Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Michel Py Rani, sur tes 7 AS, combien sont hérités de sociétés acquises au fil du temps? (par exemple, l'AS de Alice tu l'as fusionné avec le tien ou il est resté tel quel dans ta confédération?) Rani Assaf Non, non. Je parle d'AS privés ( 64512) groupés dans une confédération BGP. Ca permet de découper ton réseau en régions. C'est bien le truc qui m'échappe: pourquoi utiliser un AS privé? Pour toi comme pour moi, un AS n'est ni cher ni difficile a obtenir. Ca dérange qui que Rani il ait un AS pour Paris, un pour Lyon, un pour Marseille, etc? Eh oui un ASN pour le réseau à la maison à tant que faire. Cough cough euhhh c'est quand que le cache de google expire quand quelqu'un tape ASN 23169 dans la fenêtre; ça fait désordre. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
- Michel Py mic...@arneill-py.sacramento.ca.us wrote: Ca dérange qui que Rani il ait un AS pour Paris, un pour Lyon, un pour Marseille, etc? Personne mais c'est quoi l'intérêt? Dans une confédération BGP, vu de l'extérieur, il n'y a qu'un seul AS (12322 dans notre cas). Les autres AS sont à usage purement interne. Ca donne sur un Cisco un truc du style: router bgp 65402 bgp confederation identifier 12322 bgp confederation peers 65400 65401 65403 65404 65405 65406 65407 65408 65500 [...] neigh X remote-as 65400 neigh Y remote-as 3215 Dans la conf ci-dessus, le routeur va automatiquement utilisé l'AS12322 quand il parle à Y et l'AS65402 quand il parle à X (après, y a d'autres subtilités du style la session vers X est quand même vue comme une iBGP pour le nexthop) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Rani Assaf a écrit : - Michel Py mic...@arneill-py.sacramento.ca.us wrote: Ca dérange qui que Rani il ait un AS pour Paris, un pour Lyon, un pour Marseille, etc? Personne mais c'est quoi l'intérêt? Dans une confédération BGP, vu de l'extérieur, il n'y a qu'un seul AS (12322 dans notre cas). Les autres AS sont à usage purement interne. Ca donne sur un Cisco un truc du style: router bgp 65402 bgp confederation identifier 12322 bgp confederation peers 65400 65401 65403 65404 65405 65406 65407 65408 65500 [...] neigh X remote-as 65400 neigh Y remote-as 3215 Dans la conf ci-dessus, le routeur va automatiquement utilisé l'AS12322 quand il parle à Y et l'AS65402 quand il parle à X (après, y a d'autres subtilités du style la session vers X est quand même vue comme une iBGP pour le nexthop) Super pratique pour faire du peering en région ça. D'ailleurs, c'est sûrement pour ça que vous l'avez mis en place. Maintenant, question complémentaire : je ne sais plus où on en est des allocations d'AS mais on doit être à ~5, vous ne risquez pas d'avoir un soucis au passage aux AS 32 bits ? Ou est-ce que ces AS sont réservés par une RFC pour usage privé interne ? Ceci dit, c'est peut être la même période que la migration en full IPv6, assez proche de celle de la sortie de Duke Nukem forever (http://fr.wikipedia.org/wiki/Duke_Nukem_Forever) ... Bon week-end à tous, Julien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Le 31/12/2009 14:30, hrec a écrit : Meilleurs voeux pour cette année prometteuse LOPPSI 2 : plus d'obligation de résultat dans le blocage des sites La fin justifiait l'obligation de moyen http://www.pcinpact.com/actu/news/54764-blocage-bgp-resultat-moyen-oclctic.htm Chouette, c'est vendredi ! Et donc, ils vont obliger, par un article de loi, tous les AS français a monter un peering avec l'OCCLTIC (qui devra popper tous les datacenter, de par le fait) .. Et peut être qu'après ils obligeront tous les AS a peerer avec tout le monde sans distinction de couleur, de langue, de taille ou de ratio ? :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Hello (Vive l'astreinte) Et donc, ils vont obliger, par un article de loi, tous les AS français a monter un peering avec l'OCCLTIC (qui devra popper tous les datacenter, de par le fait) .. Ca sent les sessions BGP qui vont tomber en PrefixCnt :) Je pensais qu'on aller cramer la table de routage avec le nombre de /32 qu'ils vont se mettre à annoncer; mais en fait, faut se rassurer, ils risquent d'annoncer directement les supernets :) Et peut être qu'après ils obligeront tous les AS a peerer avec tout le monde sans distinction de couleur, de langue, de taille ou de ratio ? :) Dans le même genre y a J. Depp qui va jouer dans le prochain Alice au pays des merveilles :) -- David CHANIAL
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Bonsoir, - Spyou r...@spyou.org wrote: Et donc, ils vont obliger, par un article de loi, tous les AS français a monter un peering avec l'OCCLTIC (qui devra popper tous les datacenter, de par le fait) Le but de ce genre de systèmes n'est pas d'être parfait mais de faire au mieux. En montant 4 sessions BGP (8 pour redonder), ils vont atteindre plus de 95% du public visé par la mesure. Sur le fond, je ne fais pas de commentaires. Mais techniquement, si on s'en sort avec ce système, ce sera franchement un moindre mal pour nous. Passer notre temps à faire du dev SI (coucou HADOPI) pour échanger des trucs avec les administrations, ça ne nous amuse pas du tout. Là, ça a l'avantage d'être effectivement simple techniquement pour nous et contrairement à ce qui est dit dans l'article, en mettant la bonne communauté (no-export), en acceptant uniquement des /32 et en faisant ça sur un numéro d'AS privé, ça va limiter les risques. Ce n'est ni plus ni moins que la v1 des RBL de Vixie! Après, y aussi effectivement max-pref en dernière ligne de défense ;) A+ Rani --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Meilleurs voeux pour 1984...... oups 2010!
Je vais sortir de mon silence insolent... Bonne année et tous mes voeux à tout le monde et à l'année prochaine sauf si Free est déjà dans le mood of a new generation! My Best wishes from NYC ;) Happy New Year to all FRNOG.ORG! Voilà!
