> Philippe Bourcier écrit: > D'ailleurs pour revenir sur les nombreux troll sur le SSL, c'est un > faux problème pour les DPI, puisque si vous aviez bien lu, dans > l'utilisation actuelle on ne parle pas de "filtrage" avec le DPI, > mais de shaping/QoS, une signature de trafic suffit donc. Imaginons > un flux torrent chiffré sur le port 443 (HTTPS), on peut penser que > c'est indétectable... mais en fait pas vraiment. Certes, ca devrait > complexifier la détection, mais elle reste possible : taille du flux, > taille de paquet, nombre de destinations, ports source/dest, options > tcp, etc... Ces flux détectés, il est donc tout à fait possible d'en > limiter les débits sans impacter l'accès au site banquaires ou > e-commerce (dont les flux prennent très peu de bande passante). Là où > je rejoint ce qui à été dit, c'est qu'utiliser du DPI pour filtrer du > trafic chiffré serait une hérésie, par contre pour le shaper c'est > tout à fait possible
Contre-exemple de ceci: un hôtel. Plusieurs voyageurs de commercent y sont, ils ont tous un VPN ouvert avec leur bureau pour travailler. Du point de vue du réseau, ce que tu vois est plusieurs flux chiffrés à débit soutenu provenant de la même IP (ils sont tous derrière le NAT de l'hôtel) à destination d'adresses multiples (leurs bureaux respectifs). Ca ressemble beaucoup à du trafic P2P, surtout si tu ne peux pas regarder à l'intérieur des paquets. Si tu mets en place un système qui shape ce trafic, tu ralentis ces braves gens loin de chez eux qui veulent finir leur journée. Comme ils payent probablement l'hôtel pour l'internet "haute vitesse", ils vont râler et ça va inéluctablement retomber sur le FAI qui shape le trafic. En plus, il ne faudra pas beaucoup de temps pour que les clients de P2P s'adaptent au machin en question, en imitant le comportement d'usages "acceptables" comme l'hôtel ci-dessus. >> Xavier Niel a écrit : >> ou pourquoi pas plus simplement un VPN vers un lieu non filtré ? > Jérôme Nicolle écrit > Pas mal de raisons : > - C'est un contournement, pas une vraie solution > - C'est un surcout en transit vers des opérateurs bulletproof, > ceux là même qui se font dépeerer régulièrement > - Lille-Paris via Kiev, c'est plus long, même s'il y a moins de feux > - Les systèmes GeoIP like deviennent inutilisables > - Entre pas de respect de la vie privée et pas de respect des > droits de l'homme ou corruption généralisée, choisi ton camp, camarade ! > - A force de couches d'encapsulation on va finir par avoir moins > de 50% de payload, à se demander si la solution ultime n'est pas > la stéganographie (diminution du rapport signal/bruit) en plus de > la cryptographie... [snip] Jérôme, toute ces raisons sont bonnes mais pas suffisantes pour décourager les ados de pirater de la musique ou des films. Tu démarres le téléchargement d'un DVD piraté (disons "Le grand bleu" au hasard hein) à 11 heures du soir avant d'aller te coucher; le trafic passe par Kiev et le payload est 50% à cause de trop de couches d'encapsulation. Au lieu de mettre 3 heures pour charger ton DVD ça met 8 heures. A 7 heures quand tu te lèves ton téléchargement est fini. A moins que tu aies eu l'intention de te lever à 2 heures du mat pour le regarder, tous les empêchements de pirater en rond décris ci-dessus n'ont rien changé. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
