Bonjour Stéphane, Affinons plusieurs scénarii:
1- L'état (ou la boite) surveilleur a accès à l'infrastructure du réseau. Dans ce cas la solution la plus simple n'est pas de demander au routeur de récupérer les paquets mais de mettre un splitter (optique) et de récupérer le flot sur une sonde de capture. Ainsi ni vu, ni connu. C'est ce qui est fait dans la plupart des systèmes de surveillance (genre échelon), donc pas besoin de mettre de la charge sur le routeur. 2- L'état surveilleur n'a pas accès à l'infrastructure. Je repête qu'on est dans le coeur de réseau. Dans ce cas tu peux toujours récupérer une partie du trafic et le renvoyer à une adresse de collecte. Ce trafic recopié et renvoyé, noyé dans le trafic normal, et puisque tu ne capture pas la totalité du trafic mais seulement une partie (définie par un masque d'adresse ou une règle genre ACL), tu ne vois pas une augmentation notable. Si l'augmentation est notable tu peux même être un peu vicieux et ne pas le montrer sur le SNMP ou le netflow. Etant donné que dans un routeur de coeur personne ne regarde en détail son traffic (jusqu'à vérifier la validité de tous les flots car il y'en a généralement une dizaine de mille en parallèle) , ça passe. J'ai des infos que ce que je décris à été fait et est fait dans certains cas. La plupart par l'ajout par l'opérateur dans sa table de routage sur demande des autorités. Il est très facile d'imaginer que cela puisse être fait à l'insu de l'opérateur par backdoor (en court-circuitant les règles BGP) 3- IPFIX (évolution de Netflow) permet de faire de la capture de paquet et le renvoi de ce paquet. La aussi sur une partie du trafic. Le surveilleur récupère ensuite les données ou sur une adresse de collecte particulière. Ou en hackant le serveur de collecte de l'opérateur (tournant fréquemment sur CACTI ou autre sur des serveurs linux). Donc c'est possible et pire c'est fait. Maintenant il n'y a aucune raison de soupçonner Huawei de le faire plus que CISCO ou Juniper … J'en parlerai la semaine prochaine juste après Bockel : http://econflicts.blogspot.fr/2013/06/conference-chine-strategies-et.html A+ Kavé Salamatian Le 26 juin 2013 à 10:31, Stephane Bortzmeyer <bortzme...@nic.fr> a écrit : > Des avis techniques sur cette analyse ? > > http://www.bortzmeyer.org/porte-derobee-routeur.html > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
