Re: [FRnOG] RE: [FRnOG] RE: [FRnOG] RE: [FRnOG] F iltrage d'URL via BGP shunt : quelle faisabilit é ? (+ présentation )
Le principe est pas trop conPourquoi pas tout simplement une réelle "cyberpolice" ? Former les gendarmes du net, "autre que 10 par pays..." Il y aura peu etre plus d'efficacité que d'essayer de filtrer. Le 15 juin 08 à 18:16, Yann JOUANIN a écrit : Après tout le besoins porte sur des URL de sites illégaux dans des pays qui ne les ferment pas, donc qui n'ont pas réellement de lois concernant le web. Alors pourquoi le gouvernement ne recrute t'il pas des 'hackers' (enfin c'est un bien grand mot) afin de mettre à mal ces sites... à contenu illégal , méthode illégales. Non seulement aucun frais pour les FAI et mais en plus on élimine le site et pas seulement pour la France.. Oui c'est une mauvaise idée car pas licite.. mais en même temps au lieu de toujours emmer*** les fai et les abonnés, autant faire chi** les hébergeurs et propriétaires directs... et puis ça forcera peut être certains à faire attention -Message d'origine- De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part de Pierre-Yves Kerembellec Envoyé : dimanche 15 juin 2008 18:01 À : frnog@frnog.org Objet : Re: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation ) A l'heure où tous les FAI déploient des box chez l'abonné, y installer un petit proxy transparent avec une blacklist mise à jour régulièrement serait il possible ? Quel coûts (hors dev) cela pourrait-il engendrer ? Oui, sauf qu'il est toujours possible de remplacer la "box opérateur" par un modem classique ADSL, au prix générallement de la perte de la partie téléphonie/télévision ... par exemple chez Free, un simple modem/ routeur qui implémente les bonnes RFC et ça marche parfaitement. Du coup, il faudrait également changer les contrats abonnés en leur interdisant d'utiliser un modem tiers ? Tout cela militant encore une fois pour un coeur de réseau neutre et un système de filtrage distribué à la périphérie (box et serveurs). Box uniquement, du coup, puisque le but est de lutter contre les mechants vilains serveurs. Je voulais parler d'egress filtering chez les hébergeurs low-cost (DDBX, OVH & co), afin de bloquer également la prolifération des proxies "ouverts" ... sinon ce sera assez facile de contourner les filtres dans les box ... Pierre-Yves --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re : [FRnOG] RE: [FRnOG] RE: [FRnOG] RE : [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
Est-ce à quoi pense le ministère de l'intérieur en déclarant ? Contre les "petits" hackers, je propose la mise en place de peines alternatives d'intérêt général. Beaucoup veulent tester la vulnérabilité des sites Internet sans véritable intention criminelle. Ils pourront ainsi mettre leur savoir-faire informatique au service de la collectivité. Vous traiterez de ce sujet cet après-midi, je vous demande de me faire des propositions concrètes. http://www.interieur.gouv.fr/misill/sections/a_l_interieur/le_ministre/interventions/assises-du-numerique-100608/view Joel - Message d'origine De : Sebastien gioria <[EMAIL PROTECTED]> À : Yann JOUANIN <[EMAIL PROTECTED]> Cc : frnog@frnog.org Envoyé le : Lundi, 16 Juin 2008, 9h07mn 07s Objet : Re: [FRnOG] RE: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation ) Le principe est pas trop conPourquoi pas tout simplement une réelle "cyberpolice" ? Former les gendarmes du net, "autre que 10 par pays..." Il y aura peu etre plus d'efficacité que d'essayer de filtrer. Le 15 juin 08 à 18:16, Yann JOUANIN a écrit : > Après tout le besoins porte sur des URL de sites illégaux dans des > pays qui > ne les ferment pas, donc qui n'ont pas réellement de lois concernant > le web. > Alors pourquoi le gouvernement ne recrute t'il pas des > 'hackers' (enfin > c'est un bien grand mot) afin de mettre à mal ces sites... à contenu > illégal > , méthode illégales. > Non seulement aucun frais pour les FAI et mais en plus on élimine le > site et > pas seulement pour la France.. > > Oui c'est une mauvaise idée car pas licite.. mais en même temps au > lieu de > toujours emmer*** les fai et les abonnés, autant faire chi** les > hébergeurs > et propriétaires directs... et puis ça forcera peut être certains à > faire > attention > > -Message d'origine- > De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part > de > Pierre-Yves Kerembellec > Envoyé : dimanche 15 juin 2008 18:01 > À : frnog@frnog.org > Objet : Re: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP > shunt : > quelle faisabilité ? (+ présentation ) > >> A l'heure où tous les FAI déploient des box chez l'abonné, y >> installer un >> petit proxy transparent avec une blacklist mise à jour régulièrement > serait >> il possible ? Quel coûts (hors dev) cela pourrait-il engendrer ? > > Oui, sauf qu'il est toujours possible de remplacer la "box > opérateur" par un > modem classique ADSL, au prix générallement de la perte de la partie > téléphonie/télévision ... par exemple chez Free, un simple modem/ > routeur qui > implémente les bonnes RFC et ça marche parfaitement. > > Du coup, il faudrait également changer les contrats abonnés en leur > interdisant > d'utiliser un modem tiers ? > >>> Tout cela militant encore une fois pour un coeur de réseau neutre >>> et un > système >>> de filtrage distribué à la périphérie (box et serveurs). >> Box uniquement, du coup, puisque le but est de lutter contre les >> mechants > vilains serveurs. > > Je voulais parler d'egress filtering chez les hébergeurs low-cost > (DDBX, OVH > & co), > afin de bloquer également la prolifération des proxies "ouverts" ... > sinon > ce sera > assez facile de contourner les filtres dans les box ... > > Pierre-Yves > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/ _ Envoyez avec Yahoo! Mail. Une boite mail plus intelligente http://mail.yahoo.fr
Re: [FRnOG] Re : [FRnOG] RE: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
Ce n'est pas LA SOLUTION. Il faut une réelle police, avec ce qui va avec...C'est comme si on faisait appel au petits délinquants actuels, dealers de "SH" pour arréter d'autres. Le 16 juin 08 à 09:38, Joel EJC a écrit : Est-ce à quoi pense le ministère de l'intérieur en déclarant ? Contre les "petits" hackers, je propose la mise en place de peines alternatives d'intérêt général. Beaucoup veulent tester la vulnérabilité des sites Internet sans véritable intention criminelle. Ils pourront ainsi mettre leur savoir-faire informatique au service de la collectivité. Vous traiterez de ce sujet cet après- midi, je vous demande de me faire des propositions concrètes. http://www.interieur.gouv.fr/misill/sections/a_l_interieur/le_ministre/interventions/assises-du-numerique-100608/view Joel - Message d'origine De : Sebastien gioria <[EMAIL PROTECTED]> À : Yann JOUANIN <[EMAIL PROTECTED]> Cc : frnog@frnog.org Envoyé le : Lundi, 16 Juin 2008, 9h07mn 07s Objet : Re: [FRnOG] RE: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation ) Le principe est pas trop conPourquoi pas tout simplement une réelle "cyberpolice" ? Former les gendarmes du net, "autre que 10 par pays..." Il y aura peu etre plus d'efficacité que d'essayer de filtrer. Le 15 juin 08 à 18:16, Yann JOUANIN a écrit : > Après tout le besoins porte sur des URL de sites illégaux dans des > pays qui > ne les ferment pas, donc qui n'ont pas réellement de lois concernant > le web. > Alors pourquoi le gouvernement ne recrute t'il pas des > 'hackers' (enfin > c'est un bien grand mot) afin de mettre à mal ces sites... à contenu > illégal > , méthode illégales. > Non seulement aucun frais pour les FAI et mais en plus on élimine le > site et > pas seulement pour la France.. > > Oui c'est une mauvaise idée car pas licite.. mais en même temps au > lieu de > toujours emmer*** les fai et les abonnés, autant faire chi** les > hébergeurs > et propriétaires directs... et puis ça forcera peut être certains à > faire > attention > > -Message d'origine- > De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part > de > Pierre-Yves Kerembellec > Envoyé : dimanche 15 juin 2008 18:01 > À : frnog@frnog.org > Objet : Re: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP > shunt : > quelle faisabilité ? (+ présentation ) > >> A l'heure où tous les FAI déploient des box chez l'abonné, y >> installer un >> petit proxy transparent avec une blacklist mise à jour régulièrement > serait >> il possible ? Quel coûts (hors dev) cela pourrait-il engendrer ? > > Oui, sauf qu'il est toujours possible de remplacer la "box > opérateur" par un > modem classique ADSL, au prix générallement de la perte de la partie > téléphonie/télévision ... par exemple chez Free, un simple modem/ > routeur qui > implémente les bonnes RFC et ça marche parfaitement. > > Du coup, il faudrait également changer les contrats abonnés en leur > interdisant > d'utiliser un modem tiers ? > >>> Tout cela militant encore une fois pour un coeur de réseau neutre >>> et un > système >>> de filtrage distribué à la périphérie (box et serveurs). >> Box uniquement, du coup, puisque le but est de lutter contre les >> mechants > vilains serveurs. > > Je voulais parler d'egress filtering chez les hébergeurs low-cost > (DDBX, OVH > & co), > afin de bloquer également la prolifération des proxies "ouverts" ... > sinon > ce sera > assez facile de contourner les filtres dans les box ... > > Pierre-Yves > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/ Envoyé avec Yahoo! Mail. Une boite mail plus intelligente.
[FRnOG] Re: [FRnOG] Re : [FRnOG] RE: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
At 09:41 16/06/2008, you wrote: Ce n'est pas LA SOLUTION. Il faut une réelle police, avec ce qui va avec...C'est comme si on faisait appel au petits délinquants actuels, dealers de "SH" pour arréter d'autres. C'est pas ce qu'on fait, justement ? ^_^ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Re : [FRnOG] RE: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présenta tion )
On ne la voit pas beaucoup J'ai eut l'occasion de "voir" a Suresne l'état de la police informatique, pareil a certains endroits de province...Ce n'est pas ca Bref Le 16 juin 08 à 09:49, Spyou a écrit : At 09:41 16/06/2008, you wrote: Ce n'est pas LA SOLUTION. Il faut une réelle police, avec ce qui va avec...C'est comme si on faisait appel au petits délinquants actuels, dealers de "SH" pour arréter d'autres. C'est pas ce qu'on fait, justement ? ^_^ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présenta tion)
> *** > > Faire du blackhole via BGP pour une URL/URI donné ne fonctionne pas et c'est > une source de problèmes. Si cela fonctionnait, on pourrait le faire > avec les C&C des malware ;-) > > Pour plusieurs raisons : > > - Dans le cas ou un URL peux donner n*IP : Content delivery network > (e.g. akamai), large virtual hoster, reverse proxy, RNAT, ... > --> on blackhole du traffic légitime. (source de problème pour les > ISP de taille moyenne) > > - Dans le cas ou un URL donne une seule IP, cela semble plus simple > mais beaucoup utilise du virtual host en HTTP. Et donc on tue un > paquet de trafic légitime. De ce que j'ai compris de la technique évoquée spécifiquement, c'est qu'à partir du moment où une URL X pointe sur l'ip Y, alors le trafic à destination de Y est routé vers la boiboite qui fait du filtrage "en profondeur" (analyse du contenu, whatever). De cette façon, seul le trafic préidentifié comme pouvant être à filtrer passe à la moulinette, réduisant le volume à faire traiter par cette boiboite. > > Un autre soucis, c'est la stabilité BGP. Si on commence à envoyer des > message UPDATE à gogo dans une infrastructure... les problèmes > commencent même en I-BGP. Et c'est sans compter le nombre de préfixes peut générer. Quand on est à l'heure où le nombre de routes (plus ou moins aggregées) sur internet devient problématique (limitation de taille mémoire, et de la capacité en nombre de routes "hardware") pour certains modèles de routeurs qui seraient par ailleurs parfaitement capables de traiter le volume de trafic, si on injecte des préfixes courts (1 adresse IP) on va rapidement avoir de gros problèmes pour tout gérer. -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 57, rue de Paris 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation)
On Mon, 2008-06-16 at 10:12 +0200, Dominique Rousseau wrote: > Et c'est sans compter le nombre de préfixes peut générer. > Quand on est à l'heure où le nombre de routes (plus ou moins aggregées) > sur internet devient problématique (limitation de taille mémoire, et de > la capacité en nombre de routes "hardware") pour certains modèles de > routeurs qui seraient par ailleurs parfaitement capables de traiter le > volume de trafic, si on injecte des préfixes courts (1 adresse IP) on va > rapidement avoir de gros problèmes pour tout gérer. Et pire encore, si on fait cela en IPv6 ! IPv6 avec IPSEC intégré, avec autant d'adresses IP que l'on veut pour faire ch*** ce genre de systèmes... De toute manière, à supposer que ce genre de choses se fasse, je n'imagine pas une seule seconde qu'il soit compatible IPv6 dès le début... de là à interdire IPv6 parce que ca serait potentiellement utilisé par les terroristes ou autres pirates, il n'y a qu'un pas, c'est comme le P2P qui n'est utilisé que par les pirates, hein :-) Bref, moi ce que j'en dis, c'est que tout système de sécurité finira par être détourné à un moment ou à un autre... C'est juste dommage de devoir jouer au chat et à la souris avec les autorités, alors qu'on n'a rien à se reprocher. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation)
Le 16 juin 08 à 10:17, Clement Cavadore a écrit : Et pire encore, si on fait cela en IPv6 ! et mieux encore si l'on fait cela en IPv6. Quand je dis "on fait cela", je pense à un mécanisme comme celui que je décrivais, pas un truc central qui en vienne à aller à contre sens des fondamentaux d'Internet et les efforts pour décentraliser l'intelligence pour une meilleur scalabilité et liberté de ses utilisateurs. - Jean-Michel Planche blog: http://www.jmp.net Chairman and co-founder Witbe web : http://www.witbe.net Follow me http://www.twitter.com/jmplanche --- 2.0 Monitoring : relevant End to End monitoring for critical app. and carrier class services
Re: [FRnOG] RE: [FRnOG] RE : [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
Le dimanche 15 juin 2008 à 12:51, Yann JOUANIN écrivait: > A l'heure où tous les FAI déploient des box chez l'abonné, y installer un > petit proxy transparent avec une blacklist mise à jour régulièrement serait > il possible? Possible, oui, surement. apres, est-ce judicieux ? pas sur. Il y a surtout un cruel manque de formation des utlisateurs finaux. Même si le filtrage sur la box est, a priori, une des solutions les moins pires, elle n'est pas suffisante pour atteindre le but des pouvoirs publics. Ça va permettre de bloquer les requètes de type "Ooops j'ai cliqué au mauvais endroit". Cela n'arretera jamais une personne qui veux *reelement* aller ou elle veux (et pas forcement vers du contenu sale|illicite|limite) Par contre, il est plus important, je pense, de former correctement les internautes. Pour les parents c'est un peu cramé, mais pour les générations futures je pense que il y a un grand intéret. On risque de tomber dans une "déresponsabilisation" des parents|utlisateurs qui ne vont même plus se poser la question de savoir si un contenu est clean ou pas car la magicbox va le faire pour lui. Un truc comme le plan de Chirac dans les années 80 mais en version "utile" peut être ? (mais sans les MO5 pas contre ^^) Nous n'avons pas le même regard que M. tout le monde sur le fonctionnement d'Internet. 90% des gens n'ont meme pas conscience qu'on peux y faire d'autres choses que du P2P, du web et des jeux. Et n'oubliez pas, mangez 5 fruits et légumes, pas trop gras et pas trop salé et ne cliquez pas partout Snarf -- "Désolée pour les verres en crystal..." --Lara Fabian "Et aussi pour le lustre..." --Céline Dion --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re : [FRnOG] RE : [FRnOG] RE: [FRnOG] RE: [FRnO G] Filtrage d'URL via BGP shunt : que lle faisabilité ? (+ présentatio n )
Sebastien gioria wrote: Ce n'est pas LA SOLUTION. Il faut une réelle police, avec ce qui va avec...C'est comme si on faisait appel au petits délinquants actuels, dealers de "SH" pour arréter d'autres. Que ce ne soit pas la solution je suis d'accord. Et apres ? on a une police... mais les condamnations vont-elles suivre ? Quand on voit certains reportages a la tele, qui montrent clairement que notre justice n'est juste que pour les criminels, (condamnations symboliques pour ces racailles qu'on aime tant voir bruler des voitures etc), je doute qu'elle soit aussi dissuasive pour le petit bricolo-dependant qui a envoye 100M de mails pour promouvoir son site web.. C'est comme les parcmetres: tant que le prix de l'amende ne sera pas plus eleve, on prefere faire une connerie (ne pas payer le parcmetre) au risque de se prendre l'amende quasi symbolique... surtout si c'est dans le centre de Paris ! Idem sur le net... Qu'on commence d'abord a s'occuper de la source du probleme avant de s'attaquer au usagers, mais qu'on le fasse bien, avec fermete et qu'on communique sur ces actions (et ca passe par le spammeur qui vend/achete mon mail perso qu'il ne devrait pas avoir). Marc --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re : [FRnOG] RE: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ pré sentation )
Raphaël Jacquot wrote: On Mon, 2008-06-16 at 11:54 +0200, Marc Lécuyer wrote: C'est comme les parcmetres: tant que le prix de l'amende ne sera pas plus eleve, on prefere faire une connerie (ne pas payer le parcmetre) au risque de se prendre l'amende quasi symbolique... surtout si c'est dans le centre de Paris ! Idem sur le net... faut pas tout confondre. les parcmetres c'est plus de l'extorsion de fonds qu'autre chose... Non, je suis pas d'accord. C'est peut etre de l'extortion de fonds a tes yeux, mais que je sache, c'est la loi. Je ne suis pas juge, je ne juge pas ceux qui ne payent pas leur parcmetre. Je constate simplement que l'amende vaut x, que l'heure vaut y, que le risque de se faire chopper est n%, et suivant ma regle de trois, je paye ou je ne paye pas. Pour le spam, c'est un peu le meme calcul qui peut etre fait, car il y a pour certains gros a gagner et peu a perdre. Marc --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Re : [FRnOG] RE: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
On Mon, 2008-06-16 at 11:54 +0200, Marc Lécuyer wrote: > C'est comme les parcmetres: > tant que le prix de l'amende ne sera pas plus eleve, on prefere faire > une connerie (ne pas payer le parcmetre) au risque de se prendre > l'amende quasi symbolique... surtout si c'est dans le centre de Paris ! > Idem sur le net... faut pas tout confondre. les parcmetres c'est plus de l'extorsion de fonds qu'autre chose... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présenta tion)
Bonjour, [EMAIL PROTECTED] a écrit : > http://laquadrature.net qui vise à informer sur les projets des > pouvoirs publiques qui se heurtent ... au problème de la quadrature du > net :) Félicitiations pour cette initiative. L'éducation des internautes est sans doute la clef de voute de la réappropriation de l'internet par ses usagers. Je me permets de donner mon avis, bien qu'étant surtout hébergeur et non fournisseur « d'accès. » Nous savons tous que la ligne de démarcation est une vue de l'esprit, principalement induite par la spécialisation des activités. Merci de garder à l'esprit que mes réponses se bornent à la faisabilité de ces projets débiles. > http://www.netclean.com/EN/documents/NetClean_Whitebox_EN.pdf > http://en.wikipedia.org/wiki/Cleanfeed_(content_blocking_system) > Quels sont les critères pertinents permettant de déterminer le > nombre de serveurs/boitiers de filtrage nécessaires (et donc > estimer le coût en partie) ? Quelles sont les équipements > complémentaires nécessaires ? Quelle est la durée nécessaire > pour le faire ? Les ressources pour maintenir ? Dans ces systèmes, nous avons clairement deux constituants : - La partie BGP/tunnel Pour minimiser l'impact sur son réseau, il me semble que l'opérateur voudra établir les sessions BGP sur ses routeurs de bordure et ne pas réannoncer en iBGP. C'est à dire que cela concerne une poignée d'équipements, quelques dizaines au plus. Le coût intrinsèque est à mon sens quasi-nul : c'est implémentable dans la journée, pour peu que cela aie été validé selon la procédure en vigueur chez l'opérateur. Autrement dit : le coût se résume pratiquement à l'overhead administratif de la structure. Si ces routeurs ne savent pas faire de tunnel, il faudra ajdoindre des équipements supplémentaires pour cela. Le coût dépendra du débit, du prix de l'hébergement des bidules, de la maintenance supplémentaire, etc. Quelques dizaines de milliers d'euros par an à tout casser. - La partie proxy filtrant Là, tout dépend si ces proxys sont à la charge de l'opérateur ou (plus probablement) d'un organisme externe. Cela ne change pas vraiment le coût global, il me semble, donc je poursuis mes élucubrations dans cette seconde optique. Si le filtrage se cantonne à la pédopornographie, même en incluant les effets de bord, une ferme de quelques dizaines de serveurs me semble largement suffisant. À la louche (encore) : 200 000 € annuels plus 400 autres en frais de personnel. Trois mois pour mettre en place une telle structure "centrale" me semble raisonnable. Donc en gros, le coût global au niveau français est inférieur au million d'euros par an. > Quels sont les risques pour le réseau dans son ensemble (je > pense ici à l'affaire du youtube blackhole : ) ? « Sed quis custodiet ipsos custodes ? » comme disait Juju. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation)
Bonjour, Le problème est simple : 1- Tout filtrage est simplement impossible, en central ou en périphérie. Avec le très proche PON en 10Gbps et le Point à Point en Gbps chez l'abonné, il n'y aura plus de niveau 3 dans les CPE, parce que ce sera beaucoup trop cher : - en périphérie : filtrer du gbps, pour 34 millions d'abonnés à 1Gbps en France, et 250Millions en Europe. - ou en central : quand on imagine le prix d'un routeur Tbps aujourd'hui et on veut filtrer demain du 500 Pbps (Petabitsparseconde 10+18 sauf erreur) de fond de panier :-) En plus, un tel filtrage augmenterait les couts tout en étant inefficace, ce qui contribuerait un peu plus encore à eliminer les petits isp, qui ne pourront pas suivre, mais cela fait peut etre partie de la stratégie... 2- Cela ne sert à rien. Vous croyez vraiment qu'un groupe qui veut echanger du pedophile ou pire va le faire en clair ? Et qu'il n'aura pas de complicité du système de surveillance ? Ceux qui feraient de tels échanges et n'ont pas compris le besoin de cryptage sont juste des desequilibrés, du menu fretin, faciles à retrouver aujourd'hui. Ce sont les organisés qui sont dangereux. 3- Cela est contre productif. Le comble, c'est que la seule reponse pour le citoyen lambda sera d'établir des tunnels cryptes entre tous les gens qui veulent se parler simplement, librement et democratiquement, d'y envoyer en permanence de la video encryptée sur 100Mbps au moins pour bien noyer le poisson, et de mettre au mileu les informations intéressantes. C'est à dire exactement ce que ne veut pas une police intelligente. La situation actuelle convient très bien, un service de recherche efficace y retrouve tres facilement ce qu'il veut... Conclusion - Internet a été fait pour ne pas être controlable, et il ne le sera pas. Déjà, le téléphone fait tomber les dictatures, alors internet... Cf http://www.2100.org/ind_fr.html A bientôt, -- __Bernard DUGAS _ | IS Production s.a. Innovative Solutions Production | | Technoparc Pays de Gex [EMAIL PROTECTED] | | 30 Rue Auguste Piccard Mob.: +33 615 333 770 | | 01630 St Genis Pouilly - FRANCE -Fax : +33 450 205 106 | |_| --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Filtrage d'URL via BGP sh unt : quelle faisabilité ? (+ présentatio n)
Le 16 juin 08 à 13:53, Bernard Dugas a écrit : Le problème est simple : et vous l'avez fort bien résumé, merci. Donc la messe est dite et il faut mieux aller chercher des solutions COLLABORATIVES et user centric que d'essayer de prendre le problème par le milieu. Internet est par nature user centric, c'est donc d'abord par l'extrémité qu'il faut raisonner. Mais ce n'est pas tout l'un ou tout l'autre, il faut une certaine collaboration / mutualisation pour qu'une solution placé chez l'utilisateur soit viable techniquement et économiquement. Le comble, c'est que la seule reponse pour le citoyen lambda sera d'établir des tunnels cryptes entre tous les gens qui veulent se parler simplement, librement et democratiquement, d'y envoyer en permanence ... Et le retour des anon.pene (étonnant classement google : http://tinyurl.com/3n2a95) et de toutes les dérives de la part de gens pensant se cacher sous une irresponsabilisante sensation d'anonymat. Conclusion - Internet a été fait pour ne pas être controlable, et il ne le sera pas. ca c'est la vision positive à laquelle j'aimerais bien croire, mais les enjeux sont tels au niveau économiques, pour quelques acteurs, que l'on risque de transformer votre vision en : "Internet sera contrôlable ou ne sera pas et cela ne sera plus de l'Internet, mais un gros réseau de distribution contrôlé par quelques uns (et pas forcement ceux auxquels on pense aujourd'hui), utilisant l'IP comme les égouts utilisent le béton." - Jean-Michel Planche blog: http://www.jmp.net Chairman and co-founder Witbe web : http://www.witbe.net Follow me http://www.twitter.com/jmplanche --- 2.0 Monitoring : relevant End to End monitoring for critical app. and carrier class services
Re: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
Le Sun, 15 Jun 2008 12:40:20 +0200, Spyou <[EMAIL PROTECTED]> a osé(e) écrire : > Alors nous sommes bien tous d'accord, la > neutralité, c'est capital, mais quand le > transport induit une facilité accrue des usages > illegaux, il y'a quand meme matiere a discussion. Tant que la matière technologique de cette discussion n'aura pas pour but effectif de troquer la liberté contre la sécurité, la discussion aura de quoi retenir mon attention. Le jour ou les rhétoriques fallacieuses qui bourgeonnent, fleurissent et malheureusement s'égrainent au fil du temps auront réussi le tour de magie du siècle (le fameux troc), faudra sérieusement s'inquiéter sur la prédisposition de nos contemporains à la liberté (sur Internet ou ailleurs) ... a +. -- Jérôme Benoit aka fraggle La Météo du Net - http://grenouille.com OpenPGP Key ID : 9FE9161D Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D pgplqc6cYCqov.pgp Description: PGP signature
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle fai sabilité ? (+ présentation)
Le Sat, 14 Jun 2008 19:09:00 +0200, Jean-Michel Planche <[EMAIL PROTECTED]> a osé(e) écrire : > Ensuite si les gens comprenaient la nature des enjeux et du problème > et là, oui, il faut évangéliser, cela irait mieux. ^ Ce que j'aime pas ce terme ... éduquer tout simplement. Tu pars en croisade Jean-Michel ? Fais gaffe la condition sin qua non pour faire un bon croisé, c'est d'abord les œillères et ensuite l'aveuglement ... a +. -- Jérôme Benoit aka fraggle La Météo du Net - http://grenouille.com OpenPGP Key ID : 9FE9161D Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D pgpkq7axrgsSM.pgp Description: PGP signature
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation)
Le 16 juin 08 à 18:39, Jerome Benoit a écrit : Ce que j'aime pas ce terme ... éduquer tout simplement. Tu pars en croisade Jean-Michel ? Fais gaffe la condition sin qua non pour faire un bon croisé, c'est d'abord les œillères et ensuite l'aveuglement ... On peut le voir comme cela ou alors, pour ceux qui participent au combat depuis longtemps et qui ont souvent le sentiment de prêcher (sic) dans le désert, comprendre qu'il n'y a que le foi pour éviter de baisser les bras et pour le moins ne pas partir dans des contrées ou l'on pense l'herbe plus verte. Nos vieux amis de l'Internet disaient "pas de gouvernement, pas de loi, pas de frontière" ... cela ne voulait pas dire ANARCHIE et encore moins pas de foi :-) J'ai de la famille Cathare et Berrichonne, ceci explique peut être cela ;-) - Jean-Michel Planche blog: http://www.jmp.net Chairman and co-founder Witbe web : http://www.witbe.net Follow me http://www.twitter.com/jmplanche --- 2.0 Monitoring : relevant End to End monitoring for critical app. and carrier class services
Re: [FRnOG] Re : [FRnOG] Re: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle fai sabilité ? (+ pr ésentation )
Le Sun, 15 Jun 2008 19:59:43 +0200, [EMAIL PROTECTED] a osé(e) écrire : > On Sunday 15 June 2008 18:36:04 Jean-Michel Planche wrote: > > pas que des techniciens ... qui ne comprennent pas et ne partagent > > pas tous l'intérêt d'un véritable réseau Internet pour tous. C'est > > un enjeu POLITIQUE, au sens grec du terme. > > Oui oui bien sûr. > > Mais vous parlez là de ce j'appelle la vue politique (quelle > architecture pour quelle société ?) qui complètera la vue technique > et la vue juridique. > > Pour ce qui est de la vue économique, elle m'apparaît actuellement > transverse à la vue politique (quel impact pour l'économie en > général ?) et à la vue technique (quelle coût de > déploiement/maintenance pour les opérateurs techniques en particulier > et quels risques financiers pour l'état qui se substituerait à eux en > matière de responsabilité dû au filtrage). > > Pour ceux que ça intéresse voici où j'en suis de la vue juridique : > > http://www.laquadrature.net/wiki/SolutionsDeFiltrageVueJuridique > > ... sachant que au final la partie juridique ne sera évidemment pas > organisée sous forme de questions... mais moi ça m'aide à cerner le > problème. On (team redaction grenouille.com) a un dossier du même acabit en préparation (manque de temps pour le finir en ce moment), tu peux piocher dedans : http://wiki.grenouille.com/index.php/NetNeutrality_Replaying a +. -- Jérôme Benoit aka fraggle La Météo du Net - http://grenouille.com OpenPGP Key ID : 9FE9161D Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D pgpdJXgNPXurX.pgp Description: PGP signature
Re: [FRnOG] temps de réponse moyen sur transfix 2.0
Le Wed, 4 Jun 2008 09:06:16 +0200, Paul Rolland (ポール・ロラン) <[EMAIL PROTECTED]> a osé(e) écrire : > Pour les autres debits, de toute facon, le calcul se fait assez > rapidement en convertissant le nombre d'octets dans le paquet du ping > en nombre de bits, en ajustant au debit de la ligne, et en faisant x2 > pour le retour. Ca donne une indication grossiere de ce a quoi on > peut s'attendre... Sacrément grossière l'estimation alors :) ICMP est loin de se comporter comme du TCP ni même traité de la même manière sur les routeurs ... a +. -- Jérôme Benoit aka fraggle La Météo du Net - http://grenouille.com OpenPGP Key ID : 9FE9161D Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D pgpoWMFpiw1Vq.pgp Description: PGP signature
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation)
Bonjour, Je me répond à moi même pour vous signaler que j'ai mis en ligne une version pour commentaires de la note que je rédige. http://www.laquadrature.net/files/note-quadrature-filtrage-hybride.odt http://www.laquadrature.net/files/note-quadrature-filtrage-hybride.pdf Cette note décrit l'architecture dite de "filtrage hybride" (l'expression n'est pas de moi), présente rapidement ses interêts et ses limites, puis énumère plusieurs risques identifiés, en s'appuyant notamment sur des travaux d'universitaires. En annexe, elle présente succintement les autres techniques de filtrage connues, s'attardant sur le filtrage DNS que certains proposent de mettre en oeuvre "dans un premier temps", pendant que serait étudié la possibilité de déploiement de solutions type "filtrage hybride". Il y a aussi une photo que je trouve très explicite sur la page de couv :) Je remercie chaleureusement tous ceux qui ont contribué, que ce soit sur la liste ou en privé. Ce fut très instructif pour ma part (et je ne doute pas que cela va continuer). Je vous copie/colle la conclusion et le post-scriptum ci-dessous, comme j'y mentionne la liste (dont les archives sont référencées dans l'annexe "Ressources utilisées"). Je souhaite savoir si je ne trahis pas la pensée de ceux qui se sont exprimés en concluant comme je le fais. Merci encore, Christophe PS : la question à "mais où est le txt de la note complète ?" expose à une réponse en trois lettres ;) * Conclusion La mise en place d'une solution de filtrage hybride, si elle apparaît séduisante sur le papier, présente des risques conséquents pour une efficacité limitée. Son coût direct et indirect pourrait à l'usage exploser, et utilisateurs comme fournisseurs de contenus pédophiles pourront toujours la contourner facilement, mais aussi l'attaquer. Sa mise en oeuvre risque de durcir les techniques utilisées par les pédophiles et les fournisseurs de contenus pédopronographique pour se cacher et entraver l'activité des enquêteurs. Elle présente en outre des risques de fuite de la liste noire. Les spécialistes réseaux intérrogés sont consternés que cette solution soit envisagée, vu ses failles et les risques qu'elle présente pour le réseau dans son entier. Sa mise en oeuvre constituerait pour eux une régression. Ils considèrent qu'il serait irresponsable que l'État encourage cette solution et engage sa responsabilité si elle était utilisée par un opérateur. * Post scriptum : Plus largement, les acteurs techniques qui se sont exprimés considèrent que l'idée d'un filtrage « coeur de réseau » doit être définitivement abandonnée. D'une part, les autres techniques de ce type (voire Annexe I) impliquent soit un surblocage important, voir très important, et une efficacité très limitée (DNS), soit un surblocage très important et une efficacité limitée (IP), soit un coût exhorbitant, voire pharaonnique, et une efficacité limitée (proxies généralisés, RST). Mais surtout, leur déploiement irait à l'encontre de l'architecture même d'Internet et de son développement souhaitable, en recentralisant le trafic. Au cours de la discussion qui a contribué à la rédaction de cette note, plusieurs abonnés à la liste FRnOG ont dès lors évoqué l'installation de dispositifs de filtrage par les FAI dans les boîtiers de connexion des abonnés (les boxes). Pour les professionnels qui se sont exprimés, cette solution serait la seule envisageable sur le plan architectural. Cette solution pose cependant des problèmes concrets, dont certains abordés sur la liste FrnOG. Leur faisabilité fera l'objet d'un examen ultérieur, tout comme l'examen des aspects juridiques et politiques inhérents à tout projet gouvernemental de filtrage d'internet. > Comme le veut l'usage pour un premier mail, je me présente, Christophe > Espern. Je suis internaute militant à défaut d'être assureur :) > > Je suis notamment représentant de l'association April (http://april.org) au > Forum des Droits sur Internet (http://foruminternet.org). J'ai aussi > co-fondé http://eucd.info qui a mené campagne contre la loi DADVSI et > http://laquadrature.net qui vise à informer sur les projets des pouvoirs > publiques qui se heurtent ... au problème de la quadrature du net :) > > Je me suis inscrit sur cette liste suite à la lecture sur le web de > messages , extraits du récent fil sur les projets de charte "de confiance" > et de loi sur le filtrage, qui ont généré des unités de bruit médiatique > cette semaine. > > Vu mes activités associatives, je suis amené à intervenir sur ce dossier > pour donner un avis et faire des propositions soit dans le cadre du Forum > des Droits sur Internet, soit directement auprès des pouvoirs publics. > > Dans ce cadre, je m'intéresse aux solutions techniques de filtrage que le > gouvernement souhaiterait voir déployer par les fournisseurs d'accès > français pour bloquer l'accès des internautes français aux contenus > pédopornographiques hébergés à l'étranger. >
Re: [FRnOG] temps de réponse moyen sur transfix 2.0
Bonjour, On Mon, 16 Jun 2008 19:27:24 +0200 Jerome Benoit <[EMAIL PROTECTED]> wrote: > Le Wed, 4 Jun 2008 09:06:16 +0200, > Paul Rolland (ポール・ロラン) <[EMAIL PROTECTED]> a osé(e) écrire : > > > > Pour les autres debits, de toute facon, le calcul se fait assez > > rapidement en convertissant le nombre d'octets dans le paquet du ping > > en nombre de bits, en ajustant au debit de la ligne, et en faisant x2 > > pour le retour. Ca donne une indication grossiere de ce a quoi on > > peut s'attendre... > > Sacrément grossière l'estimation alors :) ICMP est loin de se comporter > comme du TCP ni même traité de la même manière sur les routeurs ... > La question de depart etait : "...le temps de réponse moyen constaté sur une liaison louée de type Transfix 2.0..." Jusqu'a present, une Tfx, ca n'inclut pas de routeur... ;) Donc, oui, c'est une estimation, mais pas si grossiere que ca si on ne la sort pas trop de son contexte :) Cdt, Paul -- Paul RollandE-Mail : rol(at)witbe.net CTO - Witbe.net SA Tel. +33 (0)1 47 67 77 77 Les Collines de l'Arche Fax. +33 (0)1 47 67 77 99 F-92057 Paris La DefenseRIPE : PR12-RIPE Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un navigateur "Some people dream of success... while others wake up and work hard at it" "I worry about my child and the Internet all the time, even though she's too young to have logged on yet. Here's what I worry about. I worry that 10 or 15 years from now, she will come to me and say 'Daddy, where were you when they took freedom of the press away from the Internet?'" --Mike Godwin, Electronic Frontier Foundation --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re : [FRnOG] RE: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
Selon Joel EJC le 16/06/08 9:38: > Est-ce à quoi pense le ministère de l'intérieur en déclarant ? > > Contre les "petits" hackers, je propose la mise en place de peines > alternatives d'intérêt général. Beaucoup veulent tester la vulnérabilité des > sites Internet sans véritable intention criminelle. Ils pourront ainsi mettre > leur savoir-faire informatique au service de la collectivité. Vous traiterez > de ce sujet cet après-midi, je vous demande de me faire des propositions > concrètes. Bah, rien de nouveau sous le soleil, c'est juste l'officialisation d'une pratique vieille de quelques décennies :-) Alec, -- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ pré sentation )
Selon Yann JOUANIN le 15/06/08 12:51: > A l'heure où tous les FAI déploient des box chez l'abonné, y installer un > petit proxy transparent avec une blacklist mise à jour régulièrement serait > il possible? > Quel coûts (hors dev) cela pourrait-il engendrer? Euh... à la base, les boxes (tout comme les DSLAMs d'ailleurs) n'ont pas été conçues pour ça, et ne disposent pas de la puissance de calcul suffisante (sur la partie accès) pour assurer cette fonction *de façon généralisée*. C'est pas parce que c'est possible sur le port 25 qu'il faut en déduire que c'est forcément réplicable à plus large échelle. Déjà qu'on leur reproche à ces boxes d'être un peu énergivores, donc si en plus faut les overclocker pour qu'elles puissent tenir la charge... Et changer un paquet de millions de boxes, c'est pas vraiment indolore. Enfin (grumble, pourquoi ça se pignole toujours le WE sur des sujets intéressants ?), je le répète, le filtrage / blocage généralisé dans le réseau (y compris dans la box, car elle fait partie du réseau de l'opérateur) n'est pas possible juridiquement à ce jour. Oui, je sais, une loi, cela se modifie. Alec, qui adore la façon avec laquelle la Rue de Valois interprète à sa façon le fameux avis -- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] temps de réponse moyen sur transfix 2.0
On Mon, 16 Jun 2008 19:55:44 +0200, "Paul Rolland" <[EMAIL PROTECTED]> said: > Donc, oui, c'est une estimation, mais pas si grossiere que ca si on ne la > sort pas trop de son contexte :) Pas seulement grossiere mais aussi tres inexacte. Ca peut marcher sur des transfix (ou tout autre tuyau en general) dans le meme departement, mais a partir de 200-300km on ne peut plus negliger les milisecondes. -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] temps de réponse moyen sur transfix 2.0
Desole, je n'ai plus de Tfx sous la main pour faire les tests, mais a l'epoque, la regle s'est verifiee sur les differents upgrades d'une liaison comme Vincennes - Grenoble (un des premiers liens d'Oleane a etre arrive a 2MBps, bien qu'ayant demarre bcp plus bas ;) Paul On Tue, 17 Jun 2008 08:49:11 +0200 "Radu-Adrian Feurdean" <[EMAIL PROTECTED]> wrote: > > On Mon, 16 Jun 2008 19:55:44 +0200, "Paul Rolland" <[EMAIL PROTECTED]> > said: > > > Donc, oui, c'est une estimation, mais pas si grossiere que ca si on ne la > > sort pas trop de son contexte :) > > Pas seulement grossiere mais aussi tres inexacte. Ca peut marcher sur > des transfix (ou tout autre tuyau en general) dans le meme departement, > mais a partir de 200-300km on ne peut plus negliger les milisecondes. > -- Paul RollandE-Mail : rol(at)witbe.net CTO - Witbe.net SA Tel. +33 (0)1 47 67 77 77 Les Collines de l'Arche Fax. +33 (0)1 47 67 77 99 F-92057 Paris La DefenseRIPE : PR12-RIPE Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un navigateur "Some people dream of success... while others wake up and work hard at it" "I worry about my child and the Internet all the time, even though she's too young to have logged on yet. Here's what I worry about. I worry that 10 or 15 years from now, she will come to me and say 'Daddy, where were you when they took freedom of the press away from the Internet?'" --Mike Godwin, Electronic Frontier Foundation --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RE: [FRnOG] RE: [FRnOG] RE: [FRnOG] F iltrage d'URL via BGP shunt : quelle faisabilit é ? (+ présentation )
Le principe est pas trop conPourquoi pas tout simplement une réelle "cyberpolice" ? Former les gendarmes du net, "autre que 10 par pays..." Il y aura peu etre plus d'efficacité que d'essayer de filtrer. Le 15 juin 08 à 18:16, Yann JOUANIN a écrit : Après tout le besoins porte sur des URL de sites illégaux dans des pays qui ne les ferment pas, donc qui n'ont pas réellement de lois concernant le web. Alors pourquoi le gouvernement ne recrute t'il pas des 'hackers' (enfin c'est un bien grand mot) afin de mettre à mal ces sites... à contenu illégal , méthode illégales. Non seulement aucun frais pour les FAI et mais en plus on élimine le site et pas seulement pour la France.. Oui c'est une mauvaise idée car pas licite.. mais en même temps au lieu de toujours emmer*** les fai et les abonnés, autant faire chi** les hébergeurs et propriétaires directs... et puis ça forcera peut être certains à faire attention -Message d'origine- De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part de Pierre-Yves Kerembellec Envoyé : dimanche 15 juin 2008 18:01 À : frnog@frnog.org Objet : Re: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation ) A l'heure où tous les FAI déploient des box chez l'abonné, y installer un petit proxy transparent avec une blacklist mise à jour régulièrement serait il possible ? Quel coûts (hors dev) cela pourrait-il engendrer ? Oui, sauf qu'il est toujours possible de remplacer la "box opérateur" par un modem classique ADSL, au prix générallement de la perte de la partie téléphonie/télévision ... par exemple chez Free, un simple modem/ routeur qui implémente les bonnes RFC et ça marche parfaitement. Du coup, il faudrait également changer les contrats abonnés en leur interdisant d'utiliser un modem tiers ? Tout cela militant encore une fois pour un coeur de réseau neutre et un système de filtrage distribué à la périphérie (box et serveurs). Box uniquement, du coup, puisque le but est de lutter contre les mechants vilains serveurs. Je voulais parler d'egress filtering chez les hébergeurs low-cost (DDBX, OVH & co), afin de bloquer également la prolifération des proxies "ouverts" ... sinon ce sera assez facile de contourner les filtres dans les box ... Pierre-Yves --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re : [FRnOG] RE: [FRnOG] RE: [FRnOG] RE : [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
Est-ce à quoi pense le ministère de l'intérieur en déclarant ? Contre les "petits" hackers, je propose la mise en place de peines alternatives d'intérêt général. Beaucoup veulent tester la vulnérabilité des sites Internet sans véritable intention criminelle. Ils pourront ainsi mettre leur savoir-faire informatique au service de la collectivité. Vous traiterez de ce sujet cet après-midi, je vous demande de me faire des propositions concrètes. http://www.interieur.gouv.fr/misill/sections/a_l_interieur/le_ministre/interventions/assises-du-numerique-100608/view Joel - Message d'origine De : Sebastien gioria <[EMAIL PROTECTED]> À : Yann JOUANIN <[EMAIL PROTECTED]> Cc : frnog@frnog.org Envoyé le : Lundi, 16 Juin 2008, 9h07mn 07s Objet : Re: [FRnOG] RE: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation ) Le principe est pas trop conPourquoi pas tout simplement une réelle "cyberpolice" ? Former les gendarmes du net, "autre que 10 par pays..." Il y aura peu etre plus d'efficacité que d'essayer de filtrer. Le 15 juin 08 à 18:16, Yann JOUANIN a écrit : > Après tout le besoins porte sur des URL de sites illégaux dans des > pays qui > ne les ferment pas, donc qui n'ont pas réellement de lois concernant > le web. > Alors pourquoi le gouvernement ne recrute t'il pas des > 'hackers' (enfin > c'est un bien grand mot) afin de mettre à mal ces sites... à contenu > illégal > , méthode illégales. > Non seulement aucun frais pour les FAI et mais en plus on élimine le > site et > pas seulement pour la France.. > > Oui c'est une mauvaise idée car pas licite.. mais en même temps au > lieu de > toujours emmer*** les fai et les abonnés, autant faire chi** les > hébergeurs > et propriétaires directs... et puis ça forcera peut être certains à > faire > attention > > -Message d'origine- > De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part > de > Pierre-Yves Kerembellec > Envoyé : dimanche 15 juin 2008 18:01 > À : frnog@frnog.org > Objet : Re: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP > shunt : > quelle faisabilité ? (+ présentation ) > >> A l'heure où tous les FAI déploient des box chez l'abonné, y >> installer un >> petit proxy transparent avec une blacklist mise à jour régulièrement > serait >> il possible ? Quel coûts (hors dev) cela pourrait-il engendrer ? > > Oui, sauf qu'il est toujours possible de remplacer la "box > opérateur" par un > modem classique ADSL, au prix générallement de la perte de la partie > téléphonie/télévision ... par exemple chez Free, un simple modem/ > routeur qui > implémente les bonnes RFC et ça marche parfaitement. > > Du coup, il faudrait également changer les contrats abonnés en leur > interdisant > d'utiliser un modem tiers ? > >>> Tout cela militant encore une fois pour un coeur de réseau neutre >>> et un > système >>> de filtrage distribué à la périphérie (box et serveurs). >> Box uniquement, du coup, puisque le but est de lutter contre les >> mechants > vilains serveurs. > > Je voulais parler d'egress filtering chez les hébergeurs low-cost > (DDBX, OVH > & co), > afin de bloquer également la prolifération des proxies "ouverts" ... > sinon > ce sera > assez facile de contourner les filtres dans les box ... > > Pierre-Yves > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/ _ Envoyez avec Yahoo! Mail. Une boite mail plus intelligente http://mail.yahoo.fr
Re: [FRnOG] Re : [FRnOG] RE: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
Ce n'est pas LA SOLUTION. Il faut une réelle police, avec ce qui va avec...C'est comme si on faisait appel au petits délinquants actuels, dealers de "SH" pour arréter d'autres. Le 16 juin 08 à 09:38, Joel EJC a écrit : Est-ce à quoi pense le ministère de l'intérieur en déclarant ? Contre les "petits" hackers, je propose la mise en place de peines alternatives d'intérêt général. Beaucoup veulent tester la vulnérabilité des sites Internet sans véritable intention criminelle. Ils pourront ainsi mettre leur savoir-faire informatique au service de la collectivité. Vous traiterez de ce sujet cet après- midi, je vous demande de me faire des propositions concrètes. http://www.interieur.gouv.fr/misill/sections/a_l_interieur/le_ministre/interventions/assises-du-numerique-100608/view Joel - Message d'origine De : Sebastien gioria <[EMAIL PROTECTED]> À : Yann JOUANIN <[EMAIL PROTECTED]> Cc : frnog@frnog.org Envoyé le : Lundi, 16 Juin 2008, 9h07mn 07s Objet : Re: [FRnOG] RE: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation ) Le principe est pas trop conPourquoi pas tout simplement une réelle "cyberpolice" ? Former les gendarmes du net, "autre que 10 par pays..." Il y aura peu etre plus d'efficacité que d'essayer de filtrer. Le 15 juin 08 à 18:16, Yann JOUANIN a écrit : > Après tout le besoins porte sur des URL de sites illégaux dans des > pays qui > ne les ferment pas, donc qui n'ont pas réellement de lois concernant > le web. > Alors pourquoi le gouvernement ne recrute t'il pas des > 'hackers' (enfin > c'est un bien grand mot) afin de mettre à mal ces sites... à contenu > illégal > , méthode illégales. > Non seulement aucun frais pour les FAI et mais en plus on élimine le > site et > pas seulement pour la France.. > > Oui c'est une mauvaise idée car pas licite.. mais en même temps au > lieu de > toujours emmer*** les fai et les abonnés, autant faire chi** les > hébergeurs > et propriétaires directs... et puis ça forcera peut être certains à > faire > attention > > -Message d'origine- > De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part > de > Pierre-Yves Kerembellec > Envoyé : dimanche 15 juin 2008 18:01 > À : frnog@frnog.org > Objet : Re: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP > shunt : > quelle faisabilité ? (+ présentation ) > >> A l'heure où tous les FAI déploient des box chez l'abonné, y >> installer un >> petit proxy transparent avec une blacklist mise à jour régulièrement > serait >> il possible ? Quel coûts (hors dev) cela pourrait-il engendrer ? > > Oui, sauf qu'il est toujours possible de remplacer la "box > opérateur" par un > modem classique ADSL, au prix générallement de la perte de la partie > téléphonie/télévision ... par exemple chez Free, un simple modem/ > routeur qui > implémente les bonnes RFC et ça marche parfaitement. > > Du coup, il faudrait également changer les contrats abonnés en leur > interdisant > d'utiliser un modem tiers ? > >>> Tout cela militant encore une fois pour un coeur de réseau neutre >>> et un > système >>> de filtrage distribué à la périphérie (box et serveurs). >> Box uniquement, du coup, puisque le but est de lutter contre les >> mechants > vilains serveurs. > > Je voulais parler d'egress filtering chez les hébergeurs low-cost > (DDBX, OVH > & co), > afin de bloquer également la prolifération des proxies "ouverts" ... > sinon > ce sera > assez facile de contourner les filtres dans les box ... > > Pierre-Yves > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/ Envoyé avec Yahoo! Mail. Une boite mail plus intelligente.
[FRnOG] Re: [FRnOG] Re : [FRnOG] RE: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
At 09:41 16/06/2008, you wrote: Ce n'est pas LA SOLUTION. Il faut une réelle police, avec ce qui va avec...C'est comme si on faisait appel au petits délinquants actuels, dealers de "SH" pour arréter d'autres. C'est pas ce qu'on fait, justement ? ^_^ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Re : [FRnOG] RE: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présenta tion )
On ne la voit pas beaucoup J'ai eut l'occasion de "voir" a Suresne l'état de la police informatique, pareil a certains endroits de province...Ce n'est pas ca Bref Le 16 juin 08 à 09:49, Spyou a écrit : At 09:41 16/06/2008, you wrote: Ce n'est pas LA SOLUTION. Il faut une réelle police, avec ce qui va avec...C'est comme si on faisait appel au petits délinquants actuels, dealers de "SH" pour arréter d'autres. C'est pas ce qu'on fait, justement ? ^_^ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présenta tion)
> *** > > Faire du blackhole via BGP pour une URL/URI donné ne fonctionne pas et c'est > une source de problèmes. Si cela fonctionnait, on pourrait le faire > avec les C&C des malware ;-) > > Pour plusieurs raisons : > > - Dans le cas ou un URL peux donner n*IP : Content delivery network > (e.g. akamai), large virtual hoster, reverse proxy, RNAT, ... > --> on blackhole du traffic légitime. (source de problème pour les > ISP de taille moyenne) > > - Dans le cas ou un URL donne une seule IP, cela semble plus simple > mais beaucoup utilise du virtual host en HTTP. Et donc on tue un > paquet de trafic légitime. De ce que j'ai compris de la technique évoquée spécifiquement, c'est qu'à partir du moment où une URL X pointe sur l'ip Y, alors le trafic à destination de Y est routé vers la boiboite qui fait du filtrage "en profondeur" (analyse du contenu, whatever). De cette façon, seul le trafic préidentifié comme pouvant être à filtrer passe à la moulinette, réduisant le volume à faire traiter par cette boiboite. > > Un autre soucis, c'est la stabilité BGP. Si on commence à envoyer des > message UPDATE à gogo dans une infrastructure... les problèmes > commencent même en I-BGP. Et c'est sans compter le nombre de préfixes peut générer. Quand on est à l'heure où le nombre de routes (plus ou moins aggregées) sur internet devient problématique (limitation de taille mémoire, et de la capacité en nombre de routes "hardware") pour certains modèles de routeurs qui seraient par ailleurs parfaitement capables de traiter le volume de trafic, si on injecte des préfixes courts (1 adresse IP) on va rapidement avoir de gros problèmes pour tout gérer. -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 57, rue de Paris 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation)
On Mon, 2008-06-16 at 10:12 +0200, Dominique Rousseau wrote: > Et c'est sans compter le nombre de préfixes peut générer. > Quand on est à l'heure où le nombre de routes (plus ou moins aggregées) > sur internet devient problématique (limitation de taille mémoire, et de > la capacité en nombre de routes "hardware") pour certains modèles de > routeurs qui seraient par ailleurs parfaitement capables de traiter le > volume de trafic, si on injecte des préfixes courts (1 adresse IP) on va > rapidement avoir de gros problèmes pour tout gérer. Et pire encore, si on fait cela en IPv6 ! IPv6 avec IPSEC intégré, avec autant d'adresses IP que l'on veut pour faire ch*** ce genre de systèmes... De toute manière, à supposer que ce genre de choses se fasse, je n'imagine pas une seule seconde qu'il soit compatible IPv6 dès le début... de là à interdire IPv6 parce que ca serait potentiellement utilisé par les terroristes ou autres pirates, il n'y a qu'un pas, c'est comme le P2P qui n'est utilisé que par les pirates, hein :-) Bref, moi ce que j'en dis, c'est que tout système de sécurité finira par être détourné à un moment ou à un autre... C'est juste dommage de devoir jouer au chat et à la souris avec les autorités, alors qu'on n'a rien à se reprocher. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation)
Le 16 juin 08 à 10:17, Clement Cavadore a écrit : Et pire encore, si on fait cela en IPv6 ! et mieux encore si l'on fait cela en IPv6. Quand je dis "on fait cela", je pense à un mécanisme comme celui que je décrivais, pas un truc central qui en vienne à aller à contre sens des fondamentaux d'Internet et les efforts pour décentraliser l'intelligence pour une meilleur scalabilité et liberté de ses utilisateurs. - Jean-Michel Planche blog: http://www.jmp.net Chairman and co-founder Witbe web : http://www.witbe.net Follow me http://www.twitter.com/jmplanche --- 2.0 Monitoring : relevant End to End monitoring for critical app. and carrier class services
Re: [FRnOG] RE: [FRnOG] RE : [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
Le dimanche 15 juin 2008 à 12:51, Yann JOUANIN écrivait: > A l'heure où tous les FAI déploient des box chez l'abonné, y installer un > petit proxy transparent avec une blacklist mise à jour régulièrement serait > il possible? Possible, oui, surement. apres, est-ce judicieux ? pas sur. Il y a surtout un cruel manque de formation des utlisateurs finaux. Même si le filtrage sur la box est, a priori, une des solutions les moins pires, elle n'est pas suffisante pour atteindre le but des pouvoirs publics. Ça va permettre de bloquer les requètes de type "Ooops j'ai cliqué au mauvais endroit". Cela n'arretera jamais une personne qui veux *reelement* aller ou elle veux (et pas forcement vers du contenu sale|illicite|limite) Par contre, il est plus important, je pense, de former correctement les internautes. Pour les parents c'est un peu cramé, mais pour les générations futures je pense que il y a un grand intéret. On risque de tomber dans une "déresponsabilisation" des parents|utlisateurs qui ne vont même plus se poser la question de savoir si un contenu est clean ou pas car la magicbox va le faire pour lui. Un truc comme le plan de Chirac dans les années 80 mais en version "utile" peut être ? (mais sans les MO5 pas contre ^^) Nous n'avons pas le même regard que M. tout le monde sur le fonctionnement d'Internet. 90% des gens n'ont meme pas conscience qu'on peux y faire d'autres choses que du P2P, du web et des jeux. Et n'oubliez pas, mangez 5 fruits et légumes, pas trop gras et pas trop salé et ne cliquez pas partout Snarf -- "Désolée pour les verres en crystal..." --Lara Fabian "Et aussi pour le lustre..." --Céline Dion --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re : [FRnOG] RE : [FRnOG] RE: [FRnOG] RE: [FRnO G] Filtrage d'URL via BGP shunt : que lle faisabilité ? (+ présentatio n )
Sebastien gioria wrote: Ce n'est pas LA SOLUTION. Il faut une réelle police, avec ce qui va avec...C'est comme si on faisait appel au petits délinquants actuels, dealers de "SH" pour arréter d'autres. Que ce ne soit pas la solution je suis d'accord. Et apres ? on a une police... mais les condamnations vont-elles suivre ? Quand on voit certains reportages a la tele, qui montrent clairement que notre justice n'est juste que pour les criminels, (condamnations symboliques pour ces racailles qu'on aime tant voir bruler des voitures etc), je doute qu'elle soit aussi dissuasive pour le petit bricolo-dependant qui a envoye 100M de mails pour promouvoir son site web.. C'est comme les parcmetres: tant que le prix de l'amende ne sera pas plus eleve, on prefere faire une connerie (ne pas payer le parcmetre) au risque de se prendre l'amende quasi symbolique... surtout si c'est dans le centre de Paris ! Idem sur le net... Qu'on commence d'abord a s'occuper de la source du probleme avant de s'attaquer au usagers, mais qu'on le fasse bien, avec fermete et qu'on communique sur ces actions (et ca passe par le spammeur qui vend/achete mon mail perso qu'il ne devrait pas avoir). Marc --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re : [FRnOG] RE: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ pré sentation )
Raphaël Jacquot wrote: On Mon, 2008-06-16 at 11:54 +0200, Marc Lécuyer wrote: C'est comme les parcmetres: tant que le prix de l'amende ne sera pas plus eleve, on prefere faire une connerie (ne pas payer le parcmetre) au risque de se prendre l'amende quasi symbolique... surtout si c'est dans le centre de Paris ! Idem sur le net... faut pas tout confondre. les parcmetres c'est plus de l'extorsion de fonds qu'autre chose... Non, je suis pas d'accord. C'est peut etre de l'extortion de fonds a tes yeux, mais que je sache, c'est la loi. Je ne suis pas juge, je ne juge pas ceux qui ne payent pas leur parcmetre. Je constate simplement que l'amende vaut x, que l'heure vaut y, que le risque de se faire chopper est n%, et suivant ma regle de trois, je paye ou je ne paye pas. Pour le spam, c'est un peu le meme calcul qui peut etre fait, car il y a pour certains gros a gagner et peu a perdre. Marc --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Re : [FRnOG] RE: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
On Mon, 2008-06-16 at 11:54 +0200, Marc Lécuyer wrote: > C'est comme les parcmetres: > tant que le prix de l'amende ne sera pas plus eleve, on prefere faire > une connerie (ne pas payer le parcmetre) au risque de se prendre > l'amende quasi symbolique... surtout si c'est dans le centre de Paris ! > Idem sur le net... faut pas tout confondre. les parcmetres c'est plus de l'extorsion de fonds qu'autre chose... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présenta tion)
Bonjour, [EMAIL PROTECTED] a écrit : > http://laquadrature.net qui vise à informer sur les projets des > pouvoirs publiques qui se heurtent ... au problème de la quadrature du > net :) Félicitiations pour cette initiative. L'éducation des internautes est sans doute la clef de voute de la réappropriation de l'internet par ses usagers. Je me permets de donner mon avis, bien qu'étant surtout hébergeur et non fournisseur « d'accès. » Nous savons tous que la ligne de démarcation est une vue de l'esprit, principalement induite par la spécialisation des activités. Merci de garder à l'esprit que mes réponses se bornent à la faisabilité de ces projets débiles. > http://www.netclean.com/EN/documents/NetClean_Whitebox_EN.pdf > http://en.wikipedia.org/wiki/Cleanfeed_(content_blocking_system) > Quels sont les critères pertinents permettant de déterminer le > nombre de serveurs/boitiers de filtrage nécessaires (et donc > estimer le coût en partie) ? Quelles sont les équipements > complémentaires nécessaires ? Quelle est la durée nécessaire > pour le faire ? Les ressources pour maintenir ? Dans ces systèmes, nous avons clairement deux constituants : - La partie BGP/tunnel Pour minimiser l'impact sur son réseau, il me semble que l'opérateur voudra établir les sessions BGP sur ses routeurs de bordure et ne pas réannoncer en iBGP. C'est à dire que cela concerne une poignée d'équipements, quelques dizaines au plus. Le coût intrinsèque est à mon sens quasi-nul : c'est implémentable dans la journée, pour peu que cela aie été validé selon la procédure en vigueur chez l'opérateur. Autrement dit : le coût se résume pratiquement à l'overhead administratif de la structure. Si ces routeurs ne savent pas faire de tunnel, il faudra ajdoindre des équipements supplémentaires pour cela. Le coût dépendra du débit, du prix de l'hébergement des bidules, de la maintenance supplémentaire, etc. Quelques dizaines de milliers d'euros par an à tout casser. - La partie proxy filtrant Là, tout dépend si ces proxys sont à la charge de l'opérateur ou (plus probablement) d'un organisme externe. Cela ne change pas vraiment le coût global, il me semble, donc je poursuis mes élucubrations dans cette seconde optique. Si le filtrage se cantonne à la pédopornographie, même en incluant les effets de bord, une ferme de quelques dizaines de serveurs me semble largement suffisant. À la louche (encore) : 200 000 € annuels plus 400 autres en frais de personnel. Trois mois pour mettre en place une telle structure "centrale" me semble raisonnable. Donc en gros, le coût global au niveau français est inférieur au million d'euros par an. > Quels sont les risques pour le réseau dans son ensemble (je > pense ici à l'affaire du youtube blackhole : ) ? « Sed quis custodiet ipsos custodes ? » comme disait Juju. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation)
Bonjour, Le problème est simple : 1- Tout filtrage est simplement impossible, en central ou en périphérie. Avec le très proche PON en 10Gbps et le Point à Point en Gbps chez l'abonné, il n'y aura plus de niveau 3 dans les CPE, parce que ce sera beaucoup trop cher : - en périphérie : filtrer du gbps, pour 34 millions d'abonnés à 1Gbps en France, et 250Millions en Europe. - ou en central : quand on imagine le prix d'un routeur Tbps aujourd'hui et on veut filtrer demain du 500 Pbps (Petabitsparseconde 10+18 sauf erreur) de fond de panier :-) En plus, un tel filtrage augmenterait les couts tout en étant inefficace, ce qui contribuerait un peu plus encore à eliminer les petits isp, qui ne pourront pas suivre, mais cela fait peut etre partie de la stratégie... 2- Cela ne sert à rien. Vous croyez vraiment qu'un groupe qui veut echanger du pedophile ou pire va le faire en clair ? Et qu'il n'aura pas de complicité du système de surveillance ? Ceux qui feraient de tels échanges et n'ont pas compris le besoin de cryptage sont juste des desequilibrés, du menu fretin, faciles à retrouver aujourd'hui. Ce sont les organisés qui sont dangereux. 3- Cela est contre productif. Le comble, c'est que la seule reponse pour le citoyen lambda sera d'établir des tunnels cryptes entre tous les gens qui veulent se parler simplement, librement et democratiquement, d'y envoyer en permanence de la video encryptée sur 100Mbps au moins pour bien noyer le poisson, et de mettre au mileu les informations intéressantes. C'est à dire exactement ce que ne veut pas une police intelligente. La situation actuelle convient très bien, un service de recherche efficace y retrouve tres facilement ce qu'il veut... Conclusion - Internet a été fait pour ne pas être controlable, et il ne le sera pas. Déjà, le téléphone fait tomber les dictatures, alors internet... Cf http://www.2100.org/ind_fr.html A bientôt, -- __Bernard DUGAS _ | IS Production s.a. Innovative Solutions Production | | Technoparc Pays de Gex [EMAIL PROTECTED] | | 30 Rue Auguste Piccard Mob.: +33 615 333 770 | | 01630 St Genis Pouilly - FRANCE -Fax : +33 450 205 106 | |_| --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Filtrage d'URL via BGP sh unt : quelle faisabilité ? (+ présentatio n)
Le 16 juin 08 à 13:53, Bernard Dugas a écrit : Le problème est simple : et vous l'avez fort bien résumé, merci. Donc la messe est dite et il faut mieux aller chercher des solutions COLLABORATIVES et user centric que d'essayer de prendre le problème par le milieu. Internet est par nature user centric, c'est donc d'abord par l'extrémité qu'il faut raisonner. Mais ce n'est pas tout l'un ou tout l'autre, il faut une certaine collaboration / mutualisation pour qu'une solution placé chez l'utilisateur soit viable techniquement et économiquement. Le comble, c'est que la seule reponse pour le citoyen lambda sera d'établir des tunnels cryptes entre tous les gens qui veulent se parler simplement, librement et democratiquement, d'y envoyer en permanence ... Et le retour des anon.pene (étonnant classement google : http://tinyurl.com/3n2a95) et de toutes les dérives de la part de gens pensant se cacher sous une irresponsabilisante sensation d'anonymat. Conclusion - Internet a été fait pour ne pas être controlable, et il ne le sera pas. ca c'est la vision positive à laquelle j'aimerais bien croire, mais les enjeux sont tels au niveau économiques, pour quelques acteurs, que l'on risque de transformer votre vision en : "Internet sera contrôlable ou ne sera pas et cela ne sera plus de l'Internet, mais un gros réseau de distribution contrôlé par quelques uns (et pas forcement ceux auxquels on pense aujourd'hui), utilisant l'IP comme les égouts utilisent le béton." - Jean-Michel Planche blog: http://www.jmp.net Chairman and co-founder Witbe web : http://www.witbe.net Follow me http://www.twitter.com/jmplanche --- 2.0 Monitoring : relevant End to End monitoring for critical app. and carrier class services
Re: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
Le Sun, 15 Jun 2008 12:40:20 +0200, Spyou <[EMAIL PROTECTED]> a osé(e) écrire : > Alors nous sommes bien tous d'accord, la > neutralité, c'est capital, mais quand le > transport induit une facilité accrue des usages > illegaux, il y'a quand meme matiere a discussion. Tant que la matière technologique de cette discussion n'aura pas pour but effectif de troquer la liberté contre la sécurité, la discussion aura de quoi retenir mon attention. Le jour ou les rhétoriques fallacieuses qui bourgeonnent, fleurissent et malheureusement s'égrainent au fil du temps auront réussi le tour de magie du siècle (le fameux troc), faudra sérieusement s'inquiéter sur la prédisposition de nos contemporains à la liberté (sur Internet ou ailleurs) ... a +. -- Jérôme Benoit aka fraggle La Météo du Net - http://grenouille.com OpenPGP Key ID : 9FE9161D Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D pgplqc6cYCqov.pgp Description: PGP signature
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle fai sabilité ? (+ présentation)
Le Sat, 14 Jun 2008 19:09:00 +0200, Jean-Michel Planche <[EMAIL PROTECTED]> a osé(e) écrire : > Ensuite si les gens comprenaient la nature des enjeux et du problème > et là, oui, il faut évangéliser, cela irait mieux. ^ Ce que j'aime pas ce terme ... éduquer tout simplement. Tu pars en croisade Jean-Michel ? Fais gaffe la condition sin qua non pour faire un bon croisé, c'est d'abord les œillères et ensuite l'aveuglement ... a +. -- Jérôme Benoit aka fraggle La Météo du Net - http://grenouille.com OpenPGP Key ID : 9FE9161D Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D pgpkq7axrgsSM.pgp Description: PGP signature
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation)
Le 16 juin 08 à 18:39, Jerome Benoit a écrit : Ce que j'aime pas ce terme ... éduquer tout simplement. Tu pars en croisade Jean-Michel ? Fais gaffe la condition sin qua non pour faire un bon croisé, c'est d'abord les œillères et ensuite l'aveuglement ... On peut le voir comme cela ou alors, pour ceux qui participent au combat depuis longtemps et qui ont souvent le sentiment de prêcher (sic) dans le désert, comprendre qu'il n'y a que le foi pour éviter de baisser les bras et pour le moins ne pas partir dans des contrées ou l'on pense l'herbe plus verte. Nos vieux amis de l'Internet disaient "pas de gouvernement, pas de loi, pas de frontière" ... cela ne voulait pas dire ANARCHIE et encore moins pas de foi :-) J'ai de la famille Cathare et Berrichonne, ceci explique peut être cela ;-) - Jean-Michel Planche blog: http://www.jmp.net Chairman and co-founder Witbe web : http://www.witbe.net Follow me http://www.twitter.com/jmplanche --- 2.0 Monitoring : relevant End to End monitoring for critical app. and carrier class services
Re: [FRnOG] Re : [FRnOG] Re: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle fai sabilité ? (+ pr ésentation )
Le Sun, 15 Jun 2008 19:59:43 +0200, [EMAIL PROTECTED] a osé(e) écrire : > On Sunday 15 June 2008 18:36:04 Jean-Michel Planche wrote: > > pas que des techniciens ... qui ne comprennent pas et ne partagent > > pas tous l'intérêt d'un véritable réseau Internet pour tous. C'est > > un enjeu POLITIQUE, au sens grec du terme. > > Oui oui bien sûr. > > Mais vous parlez là de ce j'appelle la vue politique (quelle > architecture pour quelle société ?) qui complètera la vue technique > et la vue juridique. > > Pour ce qui est de la vue économique, elle m'apparaît actuellement > transverse à la vue politique (quel impact pour l'économie en > général ?) et à la vue technique (quelle coût de > déploiement/maintenance pour les opérateurs techniques en particulier > et quels risques financiers pour l'état qui se substituerait à eux en > matière de responsabilité dû au filtrage). > > Pour ceux que ça intéresse voici où j'en suis de la vue juridique : > > http://www.laquadrature.net/wiki/SolutionsDeFiltrageVueJuridique > > ... sachant que au final la partie juridique ne sera évidemment pas > organisée sous forme de questions... mais moi ça m'aide à cerner le > problème. On (team redaction grenouille.com) a un dossier du même acabit en préparation (manque de temps pour le finir en ce moment), tu peux piocher dedans : http://wiki.grenouille.com/index.php/NetNeutrality_Replaying a +. -- Jérôme Benoit aka fraggle La Météo du Net - http://grenouille.com OpenPGP Key ID : 9FE9161D Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D pgpdJXgNPXurX.pgp Description: PGP signature
Re: [FRnOG] temps de réponse moyen sur transfix 2.0
Le Wed, 4 Jun 2008 09:06:16 +0200, Paul Rolland (ポール・ロラン) <[EMAIL PROTECTED]> a osé(e) écrire : > Pour les autres debits, de toute facon, le calcul se fait assez > rapidement en convertissant le nombre d'octets dans le paquet du ping > en nombre de bits, en ajustant au debit de la ligne, et en faisant x2 > pour le retour. Ca donne une indication grossiere de ce a quoi on > peut s'attendre... Sacrément grossière l'estimation alors :) ICMP est loin de se comporter comme du TCP ni même traité de la même manière sur les routeurs ... a +. -- Jérôme Benoit aka fraggle La Météo du Net - http://grenouille.com OpenPGP Key ID : 9FE9161D Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D pgpoWMFpiw1Vq.pgp Description: PGP signature
Re: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation)
Bonjour, Je me répond à moi même pour vous signaler que j'ai mis en ligne une version pour commentaires de la note que je rédige. http://www.laquadrature.net/files/note-quadrature-filtrage-hybride.odt http://www.laquadrature.net/files/note-quadrature-filtrage-hybride.pdf Cette note décrit l'architecture dite de "filtrage hybride" (l'expression n'est pas de moi), présente rapidement ses interêts et ses limites, puis énumère plusieurs risques identifiés, en s'appuyant notamment sur des travaux d'universitaires. En annexe, elle présente succintement les autres techniques de filtrage connues, s'attardant sur le filtrage DNS que certains proposent de mettre en oeuvre "dans un premier temps", pendant que serait étudié la possibilité de déploiement de solutions type "filtrage hybride". Il y a aussi une photo que je trouve très explicite sur la page de couv :) Je remercie chaleureusement tous ceux qui ont contribué, que ce soit sur la liste ou en privé. Ce fut très instructif pour ma part (et je ne doute pas que cela va continuer). Je vous copie/colle la conclusion et le post-scriptum ci-dessous, comme j'y mentionne la liste (dont les archives sont référencées dans l'annexe "Ressources utilisées"). Je souhaite savoir si je ne trahis pas la pensée de ceux qui se sont exprimés en concluant comme je le fais. Merci encore, Christophe PS : la question à "mais où est le txt de la note complète ?" expose à une réponse en trois lettres ;) * Conclusion La mise en place d'une solution de filtrage hybride, si elle apparaît séduisante sur le papier, présente des risques conséquents pour une efficacité limitée. Son coût direct et indirect pourrait à l'usage exploser, et utilisateurs comme fournisseurs de contenus pédophiles pourront toujours la contourner facilement, mais aussi l'attaquer. Sa mise en oeuvre risque de durcir les techniques utilisées par les pédophiles et les fournisseurs de contenus pédopronographique pour se cacher et entraver l'activité des enquêteurs. Elle présente en outre des risques de fuite de la liste noire. Les spécialistes réseaux intérrogés sont consternés que cette solution soit envisagée, vu ses failles et les risques qu'elle présente pour le réseau dans son entier. Sa mise en oeuvre constituerait pour eux une régression. Ils considèrent qu'il serait irresponsable que l'État encourage cette solution et engage sa responsabilité si elle était utilisée par un opérateur. * Post scriptum : Plus largement, les acteurs techniques qui se sont exprimés considèrent que l'idée d'un filtrage « coeur de réseau » doit être définitivement abandonnée. D'une part, les autres techniques de ce type (voire Annexe I) impliquent soit un surblocage important, voir très important, et une efficacité très limitée (DNS), soit un surblocage très important et une efficacité limitée (IP), soit un coût exhorbitant, voire pharaonnique, et une efficacité limitée (proxies généralisés, RST). Mais surtout, leur déploiement irait à l'encontre de l'architecture même d'Internet et de son développement souhaitable, en recentralisant le trafic. Au cours de la discussion qui a contribué à la rédaction de cette note, plusieurs abonnés à la liste FRnOG ont dès lors évoqué l'installation de dispositifs de filtrage par les FAI dans les boîtiers de connexion des abonnés (les boxes). Pour les professionnels qui se sont exprimés, cette solution serait la seule envisageable sur le plan architectural. Cette solution pose cependant des problèmes concrets, dont certains abordés sur la liste FrnOG. Leur faisabilité fera l'objet d'un examen ultérieur, tout comme l'examen des aspects juridiques et politiques inhérents à tout projet gouvernemental de filtrage d'internet. > Comme le veut l'usage pour un premier mail, je me présente, Christophe > Espern. Je suis internaute militant à défaut d'être assureur :) > > Je suis notamment représentant de l'association April (http://april.org) au > Forum des Droits sur Internet (http://foruminternet.org). J'ai aussi > co-fondé http://eucd.info qui a mené campagne contre la loi DADVSI et > http://laquadrature.net qui vise à informer sur les projets des pouvoirs > publiques qui se heurtent ... au problème de la quadrature du net :) > > Je me suis inscrit sur cette liste suite à la lecture sur le web de > messages , extraits du récent fil sur les projets de charte "de confiance" > et de loi sur le filtrage, qui ont généré des unités de bruit médiatique > cette semaine. > > Vu mes activités associatives, je suis amené à intervenir sur ce dossier > pour donner un avis et faire des propositions soit dans le cadre du Forum > des Droits sur Internet, soit directement auprès des pouvoirs publics. > > Dans ce cadre, je m'intéresse aux solutions techniques de filtrage que le > gouvernement souhaiterait voir déployer par les fournisseurs d'accès > français pour bloquer l'accès des internautes français aux contenus > pédopornographiques hébergés à l'étranger. >
Re: [FRnOG] temps de réponse moyen sur transfix 2.0
Bonjour, On Mon, 16 Jun 2008 19:27:24 +0200 Jerome Benoit <[EMAIL PROTECTED]> wrote: > Le Wed, 4 Jun 2008 09:06:16 +0200, > Paul Rolland (ポール・ロラン) <[EMAIL PROTECTED]> a osé(e) écrire : > > > > Pour les autres debits, de toute facon, le calcul se fait assez > > rapidement en convertissant le nombre d'octets dans le paquet du ping > > en nombre de bits, en ajustant au debit de la ligne, et en faisant x2 > > pour le retour. Ca donne une indication grossiere de ce a quoi on > > peut s'attendre... > > Sacrément grossière l'estimation alors :) ICMP est loin de se comporter > comme du TCP ni même traité de la même manière sur les routeurs ... > La question de depart etait : "...le temps de réponse moyen constaté sur une liaison louée de type Transfix 2.0..." Jusqu'a present, une Tfx, ca n'inclut pas de routeur... ;) Donc, oui, c'est une estimation, mais pas si grossiere que ca si on ne la sort pas trop de son contexte :) Cdt, Paul -- Paul RollandE-Mail : rol(at)witbe.net CTO - Witbe.net SA Tel. +33 (0)1 47 67 77 77 Les Collines de l'Arche Fax. +33 (0)1 47 67 77 99 F-92057 Paris La DefenseRIPE : PR12-RIPE Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un navigateur "Some people dream of success... while others wake up and work hard at it" "I worry about my child and the Internet all the time, even though she's too young to have logged on yet. Here's what I worry about. I worry that 10 or 15 years from now, she will come to me and say 'Daddy, where were you when they took freedom of the press away from the Internet?'" --Mike Godwin, Electronic Frontier Foundation --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re : [FRnOG] RE: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ présentation )
Selon Joel EJC le 16/06/08 9:38: > Est-ce à quoi pense le ministère de l'intérieur en déclarant ? > > Contre les "petits" hackers, je propose la mise en place de peines > alternatives d'intérêt général. Beaucoup veulent tester la vulnérabilité des > sites Internet sans véritable intention criminelle. Ils pourront ainsi mettre > leur savoir-faire informatique au service de la collectivité. Vous traiterez > de ce sujet cet après-midi, je vous demande de me faire des propositions > concrètes. Bah, rien de nouveau sous le soleil, c'est juste l'officialisation d'une pratique vieille de quelques décennies :-) Alec, -- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RE: [FRnOG] RE: [FRnOG] Filtrage d'URL via BGP shunt : quelle faisabilité ? (+ pré sentation )
Selon Yann JOUANIN le 15/06/08 12:51: > A l'heure où tous les FAI déploient des box chez l'abonné, y installer un > petit proxy transparent avec une blacklist mise à jour régulièrement serait > il possible? > Quel coûts (hors dev) cela pourrait-il engendrer? Euh... à la base, les boxes (tout comme les DSLAMs d'ailleurs) n'ont pas été conçues pour ça, et ne disposent pas de la puissance de calcul suffisante (sur la partie accès) pour assurer cette fonction *de façon généralisée*. C'est pas parce que c'est possible sur le port 25 qu'il faut en déduire que c'est forcément réplicable à plus large échelle. Déjà qu'on leur reproche à ces boxes d'être un peu énergivores, donc si en plus faut les overclocker pour qu'elles puissent tenir la charge... Et changer un paquet de millions de boxes, c'est pas vraiment indolore. Enfin (grumble, pourquoi ça se pignole toujours le WE sur des sujets intéressants ?), je le répète, le filtrage / blocage généralisé dans le réseau (y compris dans la box, car elle fait partie du réseau de l'opérateur) n'est pas possible juridiquement à ce jour. Oui, je sais, une loi, cela se modifie. Alec, qui adore la façon avec laquelle la Rue de Valois interprète à sa façon le fameux avis -- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] temps de réponse moyen sur transfix 2.0
On Mon, 16 Jun 2008 19:55:44 +0200, "Paul Rolland" <[EMAIL PROTECTED]> said: > Donc, oui, c'est une estimation, mais pas si grossiere que ca si on ne la > sort pas trop de son contexte :) Pas seulement grossiere mais aussi tres inexacte. Ca peut marcher sur des transfix (ou tout autre tuyau en general) dans le meme departement, mais a partir de 200-300km on ne peut plus negliger les milisecondes. -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] temps de réponse moyen sur transfix 2.0
Desole, je n'ai plus de Tfx sous la main pour faire les tests, mais a l'epoque, la regle s'est verifiee sur les differents upgrades d'une liaison comme Vincennes - Grenoble (un des premiers liens d'Oleane a etre arrive a 2MBps, bien qu'ayant demarre bcp plus bas ;) Paul On Tue, 17 Jun 2008 08:49:11 +0200 "Radu-Adrian Feurdean" <[EMAIL PROTECTED]> wrote: > > On Mon, 16 Jun 2008 19:55:44 +0200, "Paul Rolland" <[EMAIL PROTECTED]> > said: > > > Donc, oui, c'est une estimation, mais pas si grossiere que ca si on ne la > > sort pas trop de son contexte :) > > Pas seulement grossiere mais aussi tres inexacte. Ca peut marcher sur > des transfix (ou tout autre tuyau en general) dans le meme departement, > mais a partir de 200-300km on ne peut plus negliger les milisecondes. > -- Paul RollandE-Mail : rol(at)witbe.net CTO - Witbe.net SA Tel. +33 (0)1 47 67 77 77 Les Collines de l'Arche Fax. +33 (0)1 47 67 77 99 F-92057 Paris La DefenseRIPE : PR12-RIPE Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un navigateur "Some people dream of success... while others wake up and work hard at it" "I worry about my child and the Internet all the time, even though she's too young to have logged on yet. Here's what I worry about. I worry that 10 or 15 years from now, she will come to me and say 'Daddy, where were you when they took freedom of the press away from the Internet?'" --Mike Godwin, Electronic Frontier Foundation --- Liste de diffusion du FRnOG http://www.frnog.org/