Le 01/07/2013 20:01, Kavé Salamatian a écrit :
Ca ne sert à rien d'expliquer à Stéphane. Il a sa petite idée dans la tête et
rien ne lien en fera démordre. Pourtant je lui ai bien dit tout de suite après
son premier mail que non seulement cela était possible, mais j'ai vu que cela
se faisait. La solution consiste tout simplement à rajouter (à l'insu de
l'utilisateur) dans la table de routage un masque d'adresse (le masque à
surveiller) et le renvoyer vers une interface virtuelle qui forwarde tout le
traffic reçu vers une adresse de collecte. Sur un routeur de coeur qui gère de
l'ordre de quelque milliers de flots en parallèle, un tel flot additionnel
passe totalement inaperçu et ça ne coupe pas cher en CPU. De plus l'interface
virtuelle n'est compatibilisé ni dans le SNMP ni dans le netflow. Le rajout du
masque d'adresse ce fait par un paquet ICMP oui un no de port qui trigger dans
l'ASIC la backdoor.
En réponse à cela je n'en ai récolté qu'une insinuation comme quoi je frimais.
Comme si à mon âge j'ai encore besoin de frimer :-).
<troll Donc, répétons en choeur, oui le grand Stéphane Botzmeyer, a toujours
raison, surtout quand il a tord :-)>.
Il n'ya pas plus sourd que les gens qui ne veulent pas entendre et qui sont
persuadé qu'ils ont raison.
Kv
c'est bien bo. Quel marque le coeur de réseau ? cisco ?
a+
Le 1 juil. 2013 à 19:45, "Michel Py"<mic...@arneill-py.sacramento.ca.us> a
écrit :
Stephane Bortzmeyer a écrit:
Des avis techniques sur cette analyse ?
http://www.bortzmeyer.org/porte-derobee-routeur.html
Il y a deux façons d'espionner le trafic : analyser sur le routeur et
envoyer au maître espion une synthèse. Ou bien transmettre la totalité
du trafic au maître qui pourra alors l'analyser.
Il y a plus que deux façons. Dans ton article, il y a un sous-entendu que le
routeur qui analyse les données est également celui qui les copie et qui les
envoie au maître espion. Le problème de ça, c'est que à la périphérie tu as la
puissance CPU (comparée à la bande passante à analyser) mais pas de bande
passante et plus proche du cœur tu as la bande passante mais pas de CPU à sa
taille.
L'analyse et la transmission sont deux fonctions distinctes. On peut très bien
imaginer un système ou l'analyse de fait à la périphérie (y compris jusqu'au
niveau de la machinbox) et donne l'ordre à un autre routeur au niveau cœur ou
distribution de transmettre les données.
Ainsi on a accès à un grand nombre de processeurs (certes pas terribles, mais la somme de
milliers d'entre eux est considérable) qui peuvent détecter la phrase "Hey psssst
j'ai du plutonium enrichi, t'en veux" et également à une bande passante plus proche
du cœur, ou son utilisation se fait moins remarquer.
De même, le déclencheur peut être d'une autre technologie que l'analyse en
profondeur du paquet (visite de site web, etc). Dans ce cas (typique PRISM) il
est encore plus intéressant de pourvoir capturer le flux IP complet et non pas
seulement l'email.
Dans l'espionnage de grand-papa, l'agent secret qui prend la photo du machin
ultra confidentiel n'est pas forcément le même que celui qui passe le microfilm
à la frontière du pays espionné.
Je suggère que la question suivante serait plus appropriée: "Dans quelle mesure un
routeur de cœur de réseau peut-il participer à un système qui espionne le trafic ?"
Michel.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/