Ca ne sert à rien d'expliquer à Stéphane. Il a sa petite idée dans la tête et rien ne lien en fera démordre. Pourtant je lui ai bien dit tout de suite après son premier mail que non seulement cela était possible, mais j'ai vu que cela se faisait. La solution consiste tout simplement à rajouter (à l'insu de l'utilisateur) dans la table de routage un masque d'adresse (le masque à surveiller) et le renvoyer vers une interface virtuelle qui forwarde tout le traffic reçu vers une adresse de collecte. Sur un routeur de coeur qui gère de l'ordre de quelque milliers de flots en parallèle, un tel flot additionnel passe totalement inaperçu et ça ne coupe pas cher en CPU. De plus l'interface virtuelle n'est compatibilisé ni dans le SNMP ni dans le netflow. Le rajout du masque d'adresse ce fait par un paquet ICMP oui un no de port qui trigger dans l'ASIC la backdoor. En réponse à cela je n'en ai récolté qu'une insinuation comme quoi je frimais. Comme si à mon âge j'ai encore besoin de frimer :-).
<troll Donc, répétons en choeur, oui le grand Stéphane Botzmeyer, a toujours raison, surtout quand il a tord :-) >. Il n'ya pas plus sourd que les gens qui ne veulent pas entendre et qui sont persuadé qu'ils ont raison. Kv Le 1 juil. 2013 à 19:45, "Michel Py" <mic...@arneill-py.sacramento.ca.us> a écrit : >> Stephane Bortzmeyer a écrit: >> Des avis techniques sur cette analyse ? >> http://www.bortzmeyer.org/porte-derobee-routeur.html >> >> Il y a deux façons d'espionner le trafic : analyser sur le routeur et >> envoyer au maître espion une synthèse. Ou bien transmettre la totalité >> du trafic au maître qui pourra alors l'analyser. > > Il y a plus que deux façons. Dans ton article, il y a un sous-entendu que le > routeur qui analyse les données est également celui qui les copie et qui les > envoie au maître espion. Le problème de ça, c'est que à la périphérie tu as > la puissance CPU (comparée à la bande passante à analyser) mais pas de bande > passante et plus proche du cœur tu as la bande passante mais pas de CPU à sa > taille. > > L'analyse et la transmission sont deux fonctions distinctes. On peut très > bien imaginer un système ou l'analyse de fait à la périphérie (y compris > jusqu'au niveau de la machinbox) et donne l'ordre à un autre routeur au > niveau cœur ou distribution de transmettre les données. > > Ainsi on a accès à un grand nombre de processeurs (certes pas terribles, mais > la somme de milliers d'entre eux est considérable) qui peuvent détecter la > phrase "Hey psssst j'ai du plutonium enrichi, t'en veux" et également à une > bande passante plus proche du cœur, ou son utilisation se fait moins > remarquer. > De même, le déclencheur peut être d'une autre technologie que l'analyse en > profondeur du paquet (visite de site web, etc). Dans ce cas (typique PRISM) > il est encore plus intéressant de pourvoir capturer le flux IP complet et non > pas seulement l'email. > > > Dans l'espionnage de grand-papa, l'agent secret qui prend la photo du machin > ultra confidentiel n'est pas forcément le même que celui qui passe le > microfilm à la frontière du pays espionné. > > Je suggère que la question suivante serait plus appropriée: "Dans quelle > mesure un routeur de cœur de réseau peut-il participer à un système qui > espionne le trafic ?" > > Michel. > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
