Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Finalement la question n'est pas vraiment technique. Est ce qu'il est possible d'intercepter du traffic avec un routeur ? Oui bien sur, sans doute possible. La question est : est ce que ca va se voir ? Bein... ca depend qui regarde :) Y'a pas besoin d'intercepter des Gb/s pour espionner. Si tu recuperes toute la topologie d'un reseau et que t'as toutes les regles de routage, tu pars deja d'un bon pied. Si en plus tu peux rajouter des regles a toi sans que l'admin puisse le voir (la bonne grosse backdoor de base quoi) c'est la fete du slip. Plus c'est gros, mieux ca passe :) -- Laurent ker2x Laborde Sysadmin DBA at http://www.over-blog.com/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 1 juil. 2013 à 20:15, Thomas Mangin thomas.man...@exa-networks.co.uk a écrit : On 1 Jul 2013, at 19:01, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Pourtant je lui ai bien dit tout de suite après son premier mail que non seulement cela était possible, IMHO - l'interception que tu décris est possible, et en pratique ne causerait que quelques bugs a de plus dans l'OS du routeur :-) mais j'ai vu que cela se faisait. Mais la', tu en as dit trop ou pas assez ... Interception Légale (pas de hack) à Fujairah (EAU), vous voulez aussi les coordonnées GPS :-). Kv Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 2 juil. 2013 à 17:04, Francois Petillon fan...@proxad.net a écrit : On 07/02/2013 04:58 PM, Kavé Salamatian wrote: Pourtant je lui ai bien dit tout de suite après son premier mail que non seulement cela était possible, IMHO - l'interception que tu décris est possible, et en pratique ne causerait que quelques bugs a de plus dans l'OS du routeur :-) mais j'ai vu que cela se faisait. Mais la', tu en as dit trop ou pas assez ... Interception Légale (pas de hack) à Fujairah (EAU), vous voulez aussi les coordonnées GPS :-). J'avais cru comprendre que la question concernait l'espionnage à l'insu du propriétaire du routeur. Là, on est sur de l'écoute mise en place avec les administrateurs du routeur. Si vous lisez mon mail initial, j'avais indiqué que ce que j'avais vu moi même était en interception légale. Par ailleurs dans le cas que j'ai vu, le propriétaire du réseau n'était pas au courant. C'est un prestataire extérieur qui l'avait mis en place grâce à l'accès général donné aux autorités (accès root aux routeurs). Le propriétaire du réseau ne s'était jamais rendu compte (après plus de 8 mois de mise en place) et c'est lors d'un audit réseau qu'on a découvert le pot aux roses :-). Donc le même scénario peut être facilement mis en place par une backdoor et donc en interception à l'insu. Kv François --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 29/06/2013 20:02, Michel Py a écrit : Stephane Bortzmeyer Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html Un tel dispositif matériel ne resterait sans doute pas longtemps secret (lisez un récit de découverte d'un tel dispositif). Et ce serait la fin des ambitions commerciales du constructeur qui serait ainsi attrapé la main dans le sac. Je ne suis pas d'accord avec cette partie. Le constructeur ne ferait probablement pas ça sans que les autorités de son pays soient au courant ou soient la source de la demande. Imagines que Cisco ou Juniper se fasse piquer à faire quelque chose comme ça, l'explication pourrait bien être si vous voulez des explications, allez demander à la NSA. Dans le cas récent de PRISM, ce n'est pas Microsoft, Yahoo, Google ou Facebook qui ont été inquiétés, alors que techniquement c'est eux qui on espionné. Le même principe s'appliquerait, je pense, au constructeur qui aurait une porte dérobée dans leur routeurs de cœur de réseau. Michel. Les éléments transmis par la presse ne parlent que eux car ils évoquent la collecte des metadonnées. On ignore le reste et je pense que l'accusation concernant huawei a été vite oubliée , de peur pt que l'on s'interesse aux équipementiers américains ils sont rentrés dans la plupart des maisons, on ne souhaite pas juger trop vite mais qui acepterait que l'on visite sa maison meme si l'on ne vole rien de l'lmpérialisme au fascisme y a qu'un pas il a été, je crois, franchi. PRISM et ces cousins sont un véritable acte de guerre, heureusement virtuel. On oubliera aussi que si il n'y avait pas autant d'ingérence et de pillage de ressources d'autris pour permettre que le prix du baril aux US ne dépasse pas le 1 dollar... il y aurait pt bien moins de terrorisme. a+ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Stephane Bortzmeyer a écrit: Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html Il y a deux façons d'espionner le trafic : analyser sur le routeur et envoyer au maître espion une synthèse. Ou bien transmettre la totalité du trafic au maître qui pourra alors l'analyser. Il y a plus que deux façons. Dans ton article, il y a un sous-entendu que le routeur qui analyse les données est également celui qui les copie et qui les envoie au maître espion. Le problème de ça, c'est que à la périphérie tu as la puissance CPU (comparée à la bande passante à analyser) mais pas de bande passante et plus proche du cœur tu as la bande passante mais pas de CPU à sa taille. L'analyse et la transmission sont deux fonctions distinctes. On peut très bien imaginer un système ou l'analyse de fait à la périphérie (y compris jusqu'au niveau de la machinbox) et donne l'ordre à un autre routeur au niveau cœur ou distribution de transmettre les données. Ainsi on a accès à un grand nombre de processeurs (certes pas terribles, mais la somme de milliers d'entre eux est considérable) qui peuvent détecter la phrase Hey pt j'ai du plutonium enrichi, t'en veux et également à une bande passante plus proche du cœur, ou son utilisation se fait moins remarquer. De même, le déclencheur peut être d'une autre technologie que l'analyse en profondeur du paquet (visite de site web, etc). Dans ce cas (typique PRISM) il est encore plus intéressant de pourvoir capturer le flux IP complet et non pas seulement l'email. Dans l'espionnage de grand-papa, l'agent secret qui prend la photo du machin ultra confidentiel n'est pas forcément le même que celui qui passe le microfilm à la frontière du pays espionné. Je suggère que la question suivante serait plus appropriée: Dans quelle mesure un routeur de cœur de réseau peut-il participer à un système qui espionne le trafic ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Ca ne sert à rien d'expliquer à Stéphane. Il a sa petite idée dans la tête et rien ne lien en fera démordre. Pourtant je lui ai bien dit tout de suite après son premier mail que non seulement cela était possible, mais j'ai vu que cela se faisait. La solution consiste tout simplement à rajouter (à l'insu de l'utilisateur) dans la table de routage un masque d'adresse (le masque à surveiller) et le renvoyer vers une interface virtuelle qui forwarde tout le traffic reçu vers une adresse de collecte. Sur un routeur de coeur qui gère de l'ordre de quelque milliers de flots en parallèle, un tel flot additionnel passe totalement inaperçu et ça ne coupe pas cher en CPU. De plus l'interface virtuelle n'est compatibilisé ni dans le SNMP ni dans le netflow. Le rajout du masque d'adresse ce fait par un paquet ICMP oui un no de port qui trigger dans l'ASIC la backdoor. En réponse à cela je n'en ai récolté qu'une insinuation comme quoi je frimais. Comme si à mon âge j'ai encore besoin de frimer :-). troll Donc, répétons en choeur, oui le grand Stéphane Botzmeyer, a toujours raison, surtout quand il a tord :-) . Il n'ya pas plus sourd que les gens qui ne veulent pas entendre et qui sont persuadé qu'ils ont raison. Kv Le 1 juil. 2013 à 19:45, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Stephane Bortzmeyer a écrit: Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html Il y a deux façons d'espionner le trafic : analyser sur le routeur et envoyer au maître espion une synthèse. Ou bien transmettre la totalité du trafic au maître qui pourra alors l'analyser. Il y a plus que deux façons. Dans ton article, il y a un sous-entendu que le routeur qui analyse les données est également celui qui les copie et qui les envoie au maître espion. Le problème de ça, c'est que à la périphérie tu as la puissance CPU (comparée à la bande passante à analyser) mais pas de bande passante et plus proche du cœur tu as la bande passante mais pas de CPU à sa taille. L'analyse et la transmission sont deux fonctions distinctes. On peut très bien imaginer un système ou l'analyse de fait à la périphérie (y compris jusqu'au niveau de la machinbox) et donne l'ordre à un autre routeur au niveau cœur ou distribution de transmettre les données. Ainsi on a accès à un grand nombre de processeurs (certes pas terribles, mais la somme de milliers d'entre eux est considérable) qui peuvent détecter la phrase Hey pt j'ai du plutonium enrichi, t'en veux et également à une bande passante plus proche du cœur, ou son utilisation se fait moins remarquer. De même, le déclencheur peut être d'une autre technologie que l'analyse en profondeur du paquet (visite de site web, etc). Dans ce cas (typique PRISM) il est encore plus intéressant de pourvoir capturer le flux IP complet et non pas seulement l'email. Dans l'espionnage de grand-papa, l'agent secret qui prend la photo du machin ultra confidentiel n'est pas forcément le même que celui qui passe le microfilm à la frontière du pays espionné. Je suggère que la question suivante serait plus appropriée: Dans quelle mesure un routeur de cœur de réseau peut-il participer à un système qui espionne le trafic ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 01/07/2013 20:01, Kavé Salamatian a écrit : Ca ne sert à rien d'expliquer à Stéphane. Il a sa petite idée dans la tête et rien ne lien en fera démordre. Pourtant je lui ai bien dit tout de suite après son premier mail que non seulement cela était possible, mais j'ai vu que cela se faisait. La solution consiste tout simplement à rajouter (à l'insu de l'utilisateur) dans la table de routage un masque d'adresse (le masque à surveiller) et le renvoyer vers une interface virtuelle qui forwarde tout le traffic reçu vers une adresse de collecte. Sur un routeur de coeur qui gère de l'ordre de quelque milliers de flots en parallèle, un tel flot additionnel passe totalement inaperçu et ça ne coupe pas cher en CPU. De plus l'interface virtuelle n'est compatibilisé ni dans le SNMP ni dans le netflow. Le rajout du masque d'adresse ce fait par un paquet ICMP oui un no de port qui trigger dans l'ASIC la backdoor. En réponse à cela je n'en ai récolté qu'une insinuation comme quoi je frimais. Comme si à mon âge j'ai encore besoin de frimer :-). troll Donc, répétons en choeur, oui le grand Stéphane Botzmeyer, a toujours raison, surtout quand il a tord :-). Il n'ya pas plus sourd que les gens qui ne veulent pas entendre et qui sont persuadé qu'ils ont raison. Kv c'est bien bo. Quel marque le coeur de réseau ? cisco ? a+ Le 1 juil. 2013 à 19:45, Michel Pymic...@arneill-py.sacramento.ca.us a écrit : Stephane Bortzmeyer a écrit: Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html Il y a deux façons d'espionner le trafic : analyser sur le routeur et envoyer au maître espion une synthèse. Ou bien transmettre la totalité du trafic au maître qui pourra alors l'analyser. Il y a plus que deux façons. Dans ton article, il y a un sous-entendu que le routeur qui analyse les données est également celui qui les copie et qui les envoie au maître espion. Le problème de ça, c'est que à la périphérie tu as la puissance CPU (comparée à la bande passante à analyser) mais pas de bande passante et plus proche du cœur tu as la bande passante mais pas de CPU à sa taille. L'analyse et la transmission sont deux fonctions distinctes. On peut très bien imaginer un système ou l'analyse de fait à la périphérie (y compris jusqu'au niveau de la machinbox) et donne l'ordre à un autre routeur au niveau cœur ou distribution de transmettre les données. Ainsi on a accès à un grand nombre de processeurs (certes pas terribles, mais la somme de milliers d'entre eux est considérable) qui peuvent détecter la phrase Hey pt j'ai du plutonium enrichi, t'en veux et également à une bande passante plus proche du cœur, ou son utilisation se fait moins remarquer. De même, le déclencheur peut être d'une autre technologie que l'analyse en profondeur du paquet (visite de site web, etc). Dans ce cas (typique PRISM) il est encore plus intéressant de pourvoir capturer le flux IP complet et non pas seulement l'email. Dans l'espionnage de grand-papa, l'agent secret qui prend la photo du machin ultra confidentiel n'est pas forcément le même que celui qui passe le microfilm à la frontière du pays espionné. Je suggère que la question suivante serait plus appropriée: Dans quelle mesure un routeur de cœur de réseau peut-il participer à un système qui espionne le trafic ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On 1 Jul 2013, at 19:01, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Pourtant je lui ai bien dit tout de suite après son premier mail que non seulement cela était possible, IMHO - l'interception que tu décris est possible, et en pratique ne causerait que quelques bugs a de plus dans l'OS du routeur :-) mais j'ai vu que cela se faisait. Mais la', tu en as dit trop ou pas assez ... Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
bon dsl si je dis des bétise, je ss encore au lycéé, donc bon je connai pas tout ce que vs parlez, mais sa m'étonerai que vs en sachiez bcp + que moi. franchemant, fo au moins étre ingénieur pour savoir ce ke fait un routeur, alors arréter de vous la pétez a tt conanitre, lol. en fait, ya stéphane blogmeyer ki a eu des info anonymous (jadore ces mecs lol, mon réve c'st de les rejoindre si je suis assez bon, fo faire quels études pour ça? X)) enfin comme wikipedia vous savez, le site de julien assange le chef des anonymous, donc il a eu des infos top secrétes kom koi les routeurs nous espionnaint pour le fbi ou jsé pas koi, et personne le croit. vs saver ce que je crois? vs etes juste jaloux, lol! jvous laisse, ma mère fait chiez pour ke je laisse l'ordi a ma seur. Le 1 juillet 2013 20:01, Kavé Salamatian kave.salamat...@univ-savoie.fr a écrit : Ca ne sert à rien d'expliquer à Stéphane. Il a sa petite idée dans la tête et rien ne lien en fera démordre. Pourtant je lui ai bien dit tout de suite après son premier mail que non seulement cela était possible, mais j'ai vu que cela se faisait. La solution consiste tout simplement à rajouter (à l'insu de l'utilisateur) dans la table de routage un masque d'adresse (le masque à surveiller) et le renvoyer vers une interface virtuelle qui forwarde tout le traffic reçu vers une adresse de collecte. Sur un routeur de coeur qui gère de l'ordre de quelque milliers de flots en parallèle, un tel flot additionnel passe totalement inaperçu et ça ne coupe pas cher en CPU. De plus l'interface virtuelle n'est compatibilisé ni dans le SNMP ni dans le netflow. Le rajout du masque d'adresse ce fait par un paquet ICMP oui un no de port qui trigger dans l'ASIC la backdoor. En réponse à cela je n'en ai récolté qu'une insinuation comme quoi je frimais. Comme si à mon âge j'ai encore besoin de frimer :-). troll Donc, répétons en choeur, oui le grand Stéphane Botzmeyer, a toujours raison, surtout quand il a tord :-) . Il n'ya pas plus sourd que les gens qui ne veulent pas entendre et qui sont persuadé qu'ils ont raison. Kv Le 1 juil. 2013 à 19:45, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Stephane Bortzmeyer a écrit: Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html Il y a deux façons d'espionner le trafic : analyser sur le routeur et envoyer au maître espion une synthèse. Ou bien transmettre la totalité du trafic au maître qui pourra alors l'analyser. Il y a plus que deux façons. Dans ton article, il y a un sous-entendu que le routeur qui analyse les données est également celui qui les copie et qui les envoie au maître espion. Le problème de ça, c'est que à la périphérie tu as la puissance CPU (comparée à la bande passante à analyser) mais pas de bande passante et plus proche du cœur tu as la bande passante mais pas de CPU à sa taille. L'analyse et la transmission sont deux fonctions distinctes. On peut très bien imaginer un système ou l'analyse de fait à la périphérie (y compris jusqu'au niveau de la machinbox) et donne l'ordre à un autre routeur au niveau cœur ou distribution de transmettre les données. Ainsi on a accès à un grand nombre de processeurs (certes pas terribles, mais la somme de milliers d'entre eux est considérable) qui peuvent détecter la phrase Hey pt j'ai du plutonium enrichi, t'en veux et également à une bande passante plus proche du cœur, ou son utilisation se fait moins remarquer. De même, le déclencheur peut être d'une autre technologie que l'analyse en profondeur du paquet (visite de site web, etc). Dans ce cas (typique PRISM) il est encore plus intéressant de pourvoir capturer le flux IP complet et non pas seulement l'email. Dans l'espionnage de grand-papa, l'agent secret qui prend la photo du machin ultra confidentiel n'est pas forcément le même que celui qui passe le microfilm à la frontière du pays espionné. Je suggère que la question suivante serait plus appropriée: Dans quelle mesure un routeur de cœur de réseau peut-il participer à un système qui espionne le trafic ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On 01/07/2013 20:15, Thomas Mangin wrote: On 1 Jul 2013, at 19:01, Kavé Salamatiankave.salamat...@univ-savoie.fr wrote: Pourtant je lui ai bien dit tout de suite après son premier mail que non seulement cela était possible, IMHO - l'interception que tu décris est possible, et en pratique ne causerait que quelques bugs a de plus dans l'OS du routeur :-) mais j'ai vu que cela se faisait. Mais la', tu en as dit trop ou pas assez ... bonsoir est ce que cela a un sens dans la discussion ? http://en.wikipedia.org/wiki/Steganography#Network (lecteur novice) j Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
We've got a winner here! Ca tombe plutôt bien que tu sois encore au lycée, tu peux encore rattraper ta grammaire et ton orthographe Pour ne faire que lire les échanges de ce groupe, je lis de l'intelligence et de la connaissance à chaque échange! (quand ca ne troll pas :) ) Le 1 juillet 2013 21:49, J34n K3v1n j34nk3...@gmail.com a écrit : bon dsl si je dis des bétise, je ss encore au lycéé, donc bon je connai pas tout ce que vs parlez, mais sa m'étonerai que vs en sachiez bcp + que moi. franchemant, fo au moins étre ingénieur pour savoir ce ke fait un routeur, alors arréter de vous la pétez a tt conanitre, lol. en fait, ya stéphane blogmeyer ki a eu des info anonymous (jadore ces mecs lol, mon réve c'st de les rejoindre si je suis assez bon, fo faire quels études pour ça? X)) enfin comme wikipedia vous savez, le site de julien assange le chef des anonymous, donc il a eu des infos top secrétes kom koi les routeurs nous espionnaint pour le fbi ou jsé pas koi, et personne le croit. vs saver ce que je crois? vs etes juste jaloux, lol! jvous laisse, ma mère fait chiez pour ke je laisse l'ordi a ma seur. Le 1 juillet 2013 20:01, Kavé Salamatian kave.salamat...@univ-savoie.fr a écrit : Ca ne sert à rien d'expliquer à Stéphane. Il a sa petite idée dans la tête et rien ne lien en fera démordre. Pourtant je lui ai bien dit tout de suite après son premier mail que non seulement cela était possible, mais j'ai vu que cela se faisait. La solution consiste tout simplement à rajouter (à l'insu de l'utilisateur) dans la table de routage un masque d'adresse (le masque à surveiller) et le renvoyer vers une interface virtuelle qui forwarde tout le traffic reçu vers une adresse de collecte. Sur un routeur de coeur qui gère de l'ordre de quelque milliers de flots en parallèle, un tel flot additionnel passe totalement inaperçu et ça ne coupe pas cher en CPU. De plus l'interface virtuelle n'est compatibilisé ni dans le SNMP ni dans le netflow. Le rajout du masque d'adresse ce fait par un paquet ICMP oui un no de port qui trigger dans l'ASIC la backdoor. En réponse à cela je n'en ai récolté qu'une insinuation comme quoi je frimais. Comme si à mon âge j'ai encore besoin de frimer :-). troll Donc, répétons en choeur, oui le grand Stéphane Botzmeyer, a toujours raison, surtout quand il a tord :-) . Il n'ya pas plus sourd que les gens qui ne veulent pas entendre et qui sont persuadé qu'ils ont raison. Kv Le 1 juil. 2013 à 19:45, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Stephane Bortzmeyer a écrit: Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html Il y a deux façons d'espionner le trafic : analyser sur le routeur et envoyer au maître espion une synthèse. Ou bien transmettre la totalité du trafic au maître qui pourra alors l'analyser. Il y a plus que deux façons. Dans ton article, il y a un sous-entendu que le routeur qui analyse les données est également celui qui les copie et qui les envoie au maître espion. Le problème de ça, c'est que à la périphérie tu as la puissance CPU (comparée à la bande passante à analyser) mais pas de bande passante et plus proche du cœur tu as la bande passante mais pas de CPU à sa taille. L'analyse et la transmission sont deux fonctions distinctes. On peut très bien imaginer un système ou l'analyse de fait à la périphérie (y compris jusqu'au niveau de la machinbox) et donne l'ordre à un autre routeur au niveau cœur ou distribution de transmettre les données. Ainsi on a accès à un grand nombre de processeurs (certes pas terribles, mais la somme de milliers d'entre eux est considérable) qui peuvent détecter la phrase Hey pt j'ai du plutonium enrichi, t'en veux et également à une bande passante plus proche du cœur, ou son utilisation se fait moins remarquer. De même, le déclencheur peut être d'une autre technologie que l'analyse en profondeur du paquet (visite de site web, etc). Dans ce cas (typique PRISM) il est encore plus intéressant de pourvoir capturer le flux IP complet et non pas seulement l'email. Dans l'espionnage de grand-papa, l'agent secret qui prend la photo du machin ultra confidentiel n'est pas forcément le même que celui qui passe le microfilm à la frontière du pays espionné. Je suggère que la question suivante serait plus appropriée: Dans quelle mesure un routeur de cœur de réseau peut-il participer à un système qui espionne le trafic ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Stephane Bortzmeyer Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html Un tel dispositif matériel ne resterait sans doute pas longtemps secret (lisez un récit de découverte d'un tel dispositif). Et ce serait la fin des ambitions commerciales du constructeur qui serait ainsi attrapé la main dans le sac. Je ne suis pas d'accord avec cette partie. Le constructeur ne ferait probablement pas ça sans que les autorités de son pays soient au courant ou soient la source de la demande. Imagines que Cisco ou Juniper se fasse piquer à faire quelque chose comme ça, l'explication pourrait bien être si vous voulez des explications, allez demander à la NSA. Dans le cas récent de PRISM, ce n'est pas Microsoft, Yahoo, Google ou Facebook qui ont été inquiétés, alors que techniquement c'est eux qui on espionné. Le même principe s'appliquerait, je pense, au constructeur qui aurait une porte dérobée dans leur routeurs de cœur de réseau. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Bonsoir la liste, Comme c'est trolldi et que je me réveille sur le sujet de la semaine : je pose le postulat que plein de switchs Cisco sont vendus en refurb par Alturna, sans leur oreilles. Est ce que ca laisse à penser que les switchs non rackables en refurb, vendus depuis Asmterdam échappent à Prism ?! Bon WE et bonnes vacances à tous, Cordialement, Eric ROLLAND RÉSEAUX ARTEWAN AS42929 - RE515-RIPE *Artefact communication interactive* | Bat. Artechnopole - 3 rue des Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33 SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z | TVA Intracom FR87444110936 | ORG-ARTE2-RIPE - PGPKEY-32DDEF07 www.artefact.fr http://www.artefact.fr - Communication interactive www.artewan.fr http://www.artewan.fr - Opérateur de réseaux *Découvrez Artechnopole http://www.artechnopole.fr, un espace IT de 380 M2, intégrant un Datacenter climatisé, ondulé et secouru. * --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
EM versus fibre, il y a une sacree difference. pas tant que ça quand tu as accès au media, il y a des techniques partiellement invasives qui n'alterent pas le signal. Pareil, ecouter un cable tout entier (plusieurs 100 de Gbps) pour sortir des morceaux bien choisis. hmmm il y a des meilleures approches. certes mais la on traite le cas specifique où le cable est dans des eaux étrangères et où n'a pas accès. Ne pas oublier, comme l'a dit Michel Py plus haut dans le thread, la taille de poches des gouvernements. pas difficile de submerger un container rempli de disques et le poser a coté de la fibre. d'ailleurs je viens de voir un truc que font les Arista et peut etre d'autres: il y a un FPGA embarqué user-programmable pour descendre des fonctions applicatives sur le switch, dans l'exemple c'etait un module de HFT. pourquoi ne pas imaginer un parseur wirerate? 2013/6/26 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net On Wed, Jun 26, 2013, at 15:30, Michel Moriniaux wrote: http://en.wikipedia.org/wiki/Operation_Ivy_Bells pas de la fibre a l’époque, mais les techniques sont les mêmes, voir ci dessus le Jimmy Carter EM versus fibre, il y a une sacree difference. Pareil, ecouter un cable tout entier (plusieurs 100 de Gbps) pour sortir des morceaux bien choisis. hmmm il y a des meilleures approches. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 2013-06-26 10:31, Stephane Bortzmeyer a écrit : Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html http://www.amazon.fr/Holon-Philippe-Colonna/dp/2020087960 a+ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Bonjour Stéphane, Affinons plusieurs scénarii: 1- L'état (ou la boite) surveilleur a accès à l'infrastructure du réseau. Dans ce cas la solution la plus simple n'est pas de demander au routeur de récupérer les paquets mais de mettre un splitter (optique) et de récupérer le flot sur une sonde de capture. Ainsi ni vu, ni connu. C'est ce qui est fait dans la plupart des systèmes de surveillance (genre échelon), donc pas besoin de mettre de la charge sur le routeur. 2- L'état surveilleur n'a pas accès à l'infrastructure. Je repête qu'on est dans le coeur de réseau. Dans ce cas tu peux toujours récupérer une partie du trafic et le renvoyer à une adresse de collecte. Ce trafic recopié et renvoyé, noyé dans le trafic normal, et puisque tu ne capture pas la totalité du trafic mais seulement une partie (définie par un masque d'adresse ou une règle genre ACL), tu ne vois pas une augmentation notable. Si l'augmentation est notable tu peux même être un peu vicieux et ne pas le montrer sur le SNMP ou le netflow. Etant donné que dans un routeur de coeur personne ne regarde en détail son traffic (jusqu'à vérifier la validité de tous les flots car il y'en a généralement une dizaine de mille en parallèle) , ça passe. J'ai des infos que ce que je décris à été fait et est fait dans certains cas. La plupart par l'ajout par l'opérateur dans sa table de routage sur demande des autorités. Il est très facile d'imaginer que cela puisse être fait à l'insu de l'opérateur par backdoor (en court-circuitant les règles BGP) 3- IPFIX (évolution de Netflow) permet de faire de la capture de paquet et le renvoi de ce paquet. La aussi sur une partie du trafic. Le surveilleur récupère ensuite les données ou sur une adresse de collecte particulière. Ou en hackant le serveur de collecte de l'opérateur (tournant fréquemment sur CACTI ou autre sur des serveurs linux). Donc c'est possible et pire c'est fait. Maintenant il n'y a aucune raison de soupçonner Huawei de le faire plus que CISCO ou Juniper … J'en parlerai la semaine prochaine juste après Bockel : http://econflicts.blogspot.fr/2013/06/conference-chine-strategies-et.html A+ Kavé Salamatian Le 26 juin 2013 à 10:31, Stephane Bortzmeyer bortzme...@nic.fr a écrit : Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 2013-06-26 10:31, Stephane Bortzmeyer a écrit : Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html - l'avis technique complémentaire est que l'information traverse de nombreux routeurs, la requête qui filtrerait le contenu à espioner serait une requête qui prendrait des morceaux de l'information et les reconstituraient ailleurs. - mais le plus simple est de mettre une sonde qui dupliquerait l'onde électromagnétique des tuyaux optiques des liens trans-continentaux sous-marin, plus l' espionnage via les satellite des ondes radios. la crypto a un poids si il y a encore des mathématiciens capables de casser les codes qui seraient concernés par les droits des citoyens et qui ne seraient pas salarié de l'administration américaine. la probabilité est faible d'être dans les meilleures conditions. Un fait intéressant, le gouvernement.fr, Tests IP sur www.gouvernement.fr. = 4.23.61.126 [US] , LEVEL 3. Propriétaire du réseau = LVLT-ORG-4-8 Réseau = 4.0.0.0 - 4.255.255.255 donc juridiquement sous l'autorité américaine et du patriotact. donc pas la peine le backdoor, il suffit de demander. On se rappellera de la visite du réseau de l'état pendant la guerre en lybie par les Américains ? sous l'autorité du démocrate Obama... ? je dois être trop parano :) les américains sont nos alliés ! (A oui ! alliés veut pas dire ami...) a+ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Hello, Le 6/26/13 11:25 AM, Frédéric a écrit : Un fait intéressant, le gouvernement.fr, Tests IP sur www.gouvernement.fr. = 4.23.61.126 [US] , LEVEL 3. Propriétaire du réseau = LVLT-ORG-4-8 Réseau = 4.0.0.0 - 4.255.255.255 donc juridiquement sous l'autorité américaine et du patriotact. donc pas la peine le backdoor, il suffit de demander. Si je ne dis pas de bêtise, tu es en train de sous-entendre qu'avoir un CDN pour mirrorer des pages webs publiques d'un site de l'état est lié à un problème de sécurité des données des infras derrière ? On ne mélangerait pas un peu tout là ? A+, Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
- Mail original - De: Frédéric frede...@placenet.org À: frnog@frnog.org Envoyé: Mercredi 26 Juin 2013 11:25:47 Objet: Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ? Le 2013-06-26 10:31, Stephane Bortzmeyer a écrit : Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html - l'avis technique complémentaire est que l'information traverse de nombreux routeurs, la requête qui filtrerait le contenu à espioner serait une requête qui prendrait des morceaux de l'information et les reconstituraient ailleurs. - mais le plus simple est de mettre une sonde qui dupliquerait l'onde électromagnétique des tuyaux optiques des liens trans-continentaux sous-marin, plus l' espionnage via les satellite des ondes radios. ou alors dans le monde réel : http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/lawful/intercept/65LIch1.html tu peut filtrer sur ip/port/proto (dixit la doc/mib) tu combine ca avec un google qui t'identifie l'ip d'un mec a partir des cookie et des paquet udp qui qui passe a travers les acl pour arriver au cpu depuis une ip particulierement bien hard codé et roule ma poule --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 2013-06-26 11:35, Frederic Dhieux a écrit : Hello, Le 6/26/13 11:25 AM, Frédéric a écrit : Un fait intéressant, le gouvernement.fr, Tests IP sur www.gouvernement.fr. = 4.23.61.126 [US] , LEVEL 3. Propriétaire du réseau = LVLT-ORG-4-8 Réseau = 4.0.0.0 - 4.255.255.255 donc juridiquement sous l'autorité américaine et du patriotact. donc pas la peine le backdoor, il suffit de demander. Si je ne dis pas de bêtise, tu es en train de sous-entendre qu'avoir un CDN pour mirrorer des pages webs publiques d'un site de l'état est lié à un problème de sécurité des données des infras derrière ? On ne mélangerait pas un peu tout là ? je dis que les Ips américaine sont sous autorité des états unis et que les logs des ips qui consultent, quoi et quand sont donc juridiquement accessibles. a+ A+, Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On Wed, Jun 26, 2013, at 11:25, Frédéric wrote: - mais le plus simple est de mettre une sonde qui dupliquerait l'onde électromagnétique des tuyaux optiques des liens trans-continentaux sous-marin, plus l' espionnage via les satellite des ondes radios. Tu connais le principe de fonctionnement de la fibre optique ? Tu as une idee de ce qu'il faut pour reccuperer en orbite un signal lance depuis le fond de l'ocean (ou enterre a plus d'un metre dans le trottoir) ? Un fait intéressant, le gouvernement.fr, Tests IP sur www.gouvernement.fr. = 4.23.61.126 [US] , LEVEL 3. Il me semble que ca a ete deja discute ici, et que ca a ete explique pourquoi ce n'est pas un probleme. Mot-cle : CDN --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
un exemple de pure fiction : toute ressemblance avec un fait ou une personne ayant existé serait purement fortuite... j'identifie les ips qui se connectent à l'admin du site web. j'identifie donc les personnes habitlités à communiquer ET ne pas communiquer les informations du gouvernement. donc une personne en relation et au fait de l'action gouvernementale la suite serait simple... :) a+ Le 2013-06-26 11:35, Frederic Dhieux a écrit : Hello, Le 6/26/13 11:25 AM, Frédéric a écrit : Un fait intéressant, le gouvernement.fr, Tests IP sur www.gouvernement.fr. = 4.23.61.126 [US] , LEVEL 3. Propriétaire du réseau = LVLT-ORG-4-8 Réseau = 4.0.0.0 - 4.255.255.255 donc juridiquement sous l'autorité américaine et du patriotact. donc pas la peine le backdoor, il suffit de demander. Si je ne dis pas de bêtise, tu es en train de sous-entendre qu'avoir un CDN pour mirrorer des pages webs publiques d'un site de l'état est lié à un problème de sécurité des données des infras derrière ? On ne mélangerait pas un peu tout là ? A+, Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 26 juin 2013 à 11:55, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Jun 26, 2013, at 11:25, Frédéric wrote: - mais le plus simple est de mettre une sonde qui dupliquerait l'onde électromagnétique des tuyaux optiques des liens trans-continentaux sous-marin, plus l' espionnage via les satellite des ondes radios. Tu connais le principe de fonctionnement de la fibre optique ? Tu as une idee de ce qu'il faut pour reccuperer en orbite un signal lance depuis le fond de l'ocean (ou enterre a plus d'un metre dans le trottoir) ? Tu connais c'est qu' est un splitter optique :-) C'est ce dont il parle dans la première partie de sa phrase. Dans la seconde il parle d'onde radio. Qui peuvent très bien être surveillé par satellite ! Un fait intéressant, le gouvernement.fr, Tests IP sur www.gouvernement.fr. = 4.23.61.126 [US] , LEVEL 3. Il me semble que ca a ete deja discute ici, et que ca a ete explique pourquoi ce n'est pas un probleme. Mot-cle : CDN --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On Wed, Jun 26, 2013, at 11:47, Frédéric GANDER wrote: ou alors dans le monde réel : http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/lawful/intercept/65LIch1.html tu peut filtrer sur ip/port/proto (dixit la doc/mib) Je cite: The LEA delivers a request for a wiretap to the target's service provider, who is responsible for intercepting data communication to and from the individual. Donc oui, un routeur peut espioner du traffic, mai a condition qui les gens qui l'operent se fatiguent a bien le configurer pour la tache. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 2013-06-26 11:55, Radu-Adrian Feurdean a écrit : On Wed, Jun 26, 2013, at 11:25, Frédéric wrote: - mais le plus simple est de mettre une sonde qui dupliquerait l'onde électromagnétique des tuyaux optiques des liens trans-continentaux sous-marin, plus l' espionnage via les satellite des ondes radios. Tu connais le principe de fonctionnement de la fibre optique ? Tu as une idee de ce qu'il faut pour reccuperer en orbite un signal lance depuis le fond de l'ocean (ou enterre a plus d'un metre dans le trottoir) ? j'avais lu, l'existance d'un équipement capable de dupliquer le signal en étant positionné à coté de la fibre optique je vais recherche la source et tu y vas au fond de l'ocean en grande profondeur ? je crois qu'il y a que les militaires capables de cela... Un fait intéressant, le gouvernement.fr, Tests IP sur www.gouvernement.fr. = 4.23.61.126 [US] , LEVEL 3. Il me semble que ca a ete deja discute ici, et que ca a ete explique pourquoi ce n'est pas un probleme. Mot-cle : CDN je vois pas ce que change le CDN dans l' empêchement de l'espionnage ? a+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 26/06/2013 10:31, Stephane Bortzmeyer a écrit : Des avis techniques sur cette analyse ? Plusieurs points : - On a aucune idée de ce qu'il y a exactement dans les ASIC. On sait par contre qu'ils savent à minima matcher des patterns sur les entêtes. Pourquoi pas sur le contenu ? Une analyse basée sur la consommation du chip et la taille du die suffit à écarter l'hypothèse, mais on ne peut pas exclure que certains modèles export en soient capables. - La duplication des contenus sur un routeur d'un réseau non accessible physiquement est trop improbable pour en faire une hypothèse viable. Rasoir d'Occam, tout ça... - Les écoutes sur les landing points des câbles sont un fait avéré. Au cas ou vous ayez déjà visité un de ces landing points, même avec des privilèges d'accès élevés, vous noterez qu'il y a toujours au moins une salle à laquelle vous n'aurez jamais accès. Seuls les gens d'Alcatel et Bull (et leurs homologues) l'ont. Dans d'autres cas, pour les transmissions terrestres, notez que certains tracés longue distance passent juste pile poil au milieu de bases militaires plus ou moins désaffectées, ou de stations de renseignement connues. C'est le cas du Paris-Hendaye dans les Yvelines, par exemple. Aucun intérêt à forker le contenu depuis des réseaux tiers donc, surtout que... - L'intérêt des backdoors sur des routeurs de coeur de réseau est justement de ne s'en servir que de control-plane. Il suffit de s'arranger pour que le flux ciblé passe par un câble équipé pour récupérer le contenu. Ou bien d'autre choses d'ailleurs (pilosov-kapella, anyone ?) @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On 26 Jun 2013, at 11:18, Jérôme Nicolle jer...@ceriz.fr wrote: Une analyse basée sur la consommation du chip et la taille du die suffit à écarter l'hypothèse, mais on ne peut pas exclure que certains modèles export en soient capables. http://www.cl.cam.ac.uk/~sps32/ches2012-backdoor.pdf Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Bonjour FNnOG, On Wed, Jun 26, 2013 at 12:03:28PM +0200, Frédéric wrote: (Où ça parle de dupliquer le trafic d'une fibre optique...) et tu y vas au fond de l'ocean en grande profondeur ? je crois qu'il y a que les militaires capables de cela... Pour info, l'US Navy n'a pas construit le sous-marin USS Jimmy Carter et sa chambre spéciale de plongée pour rien : https://fr.wikipedia.org/wiki/USS_Jimmy_Carter_%28SSN-23%29 PS : sont moqueurs dans l'US Navy, appeler un sous-marin spécial Spy du nom du président démocrate le moins va-t'en guerre du XXème siècle ;) Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On Wed, Jun 26, 2013, at 12:02, Kavé Salamatian wrote: - mais le plus simple est de mettre une sonde qui dupliquerait l'onde électromagnétique des tuyaux optiques des liens trans-continentaux sous-marin, plus l' espionnage via les satellite des ondes radios. Tu connais le principe de fonctionnement de la fibre optique ? Tu as une idee de ce qu'il faut pour reccuperer en orbite un signal lance depuis le fond de l'ocean (ou enterre a plus d'un metre dans le trottoir) ? Tu connais c'est qu' est un splitter optique :-) C'est ce dont il parle dans la première partie de sa phrase. Dans la seconde il parle d'onde radio. Qui peuvent très bien être surveillé par satellite ! Il n'y a que moi qui pense qu'il y a plus simple pour intercepter ce qui passe sur un lien trans-atlantique ? Quand aux autres cables sous-marins, c'est soit le meme chose, soit pas possible sans laisser des traces, en fonction de qui veut faire l'ecoute (les US taper sur un des SMW par exemple, ca doit etre de la belle acrobatie politique). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
Le 26 juin 2013 à 13:35, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Jun 26, 2013, at 12:02, Kavé Salamatian wrote: - mais le plus simple est de mettre une sonde qui dupliquerait l'onde électromagnétique des tuyaux optiques des liens trans-continentaux sous-marin, plus l' espionnage via les satellite des ondes radios. Tu connais le principe de fonctionnement de la fibre optique ? Tu as une idee de ce qu'il faut pour reccuperer en orbite un signal lance depuis le fond de l'ocean (ou enterre a plus d'un metre dans le trottoir) ? Tu connais c'est qu' est un splitter optique :-) C'est ce dont il parle dans la première partie de sa phrase. Dans la seconde il parle d'onde radio. Qui peuvent très bien être surveillé par satellite ! Il n'y a que moi qui pense qu'il y a plus simple pour intercepter ce qui passe sur un lien trans-atlantique ? Y'a rien de plus simple. 1- tu met un splitter au point de arrimage. 2- tu envois un sous marins mettre un splitter sur le cable? Quand aux autres cables sous-marins, c'est soit le meme chose, soit pas possible sans laisser des traces, en fonction de qui veut faire l'ecoute (les US taper sur un des SMW par exemple, ca doit etre de la belle acrobatie politique). Non aucune acrobatie politique. J'ai vu des splitters sur le point de connexion de Fujairah du SEA-ME-WE 4. Il y'en a surement aux autres points de connexion (Arabie Saoudite, Egypte, Thailand, etc…. Kv --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
C'est comme ça que tu avais fais la dernière fois pour filtrer le p2p chez Free ? -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Frédéric GANDER Envoyé : mercredi 26 juin 2013 11:47 À : frede...@placenet.org Cc : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ? - Mail original - De: Frédéric frede...@placenet.org À: frnog@frnog.org Envoyé: Mercredi 26 Juin 2013 11:25:47 Objet: Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ? Le 2013-06-26 10:31, Stephane Bortzmeyer a écrit : Des avis techniques sur cette analyse ? http://www.bortzmeyer.org/porte-derobee-routeur.html - l'avis technique complémentaire est que l'information traverse de nombreux routeurs, la requête qui filtrerait le contenu à espioner serait une requête qui prendrait des morceaux de l'information et les reconstituraient ailleurs. - mais le plus simple est de mettre une sonde qui dupliquerait l'onde électromagnétique des tuyaux optiques des liens trans-continentaux sous-marin, plus l' espionnage via les satellite des ondes radios. ou alors dans le monde réel : http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/lawful/intercept/65LIch1.html tu peut filtrer sur ip/port/proto (dixit la doc/mib) tu combine ca avec un google qui t'identifie l'ip d'un mec a partir des cookie et des paquet udp qui qui passe a travers les acl pour arriver au cpu depuis une ip particulierement bien hard codé et roule ma poule --- Liste de diffusion du FRnOG http://www.frnog.org/ - Aucun virus trouvé dans ce message. Analyse effectuée par AVG - www.avg.fr Version: 2013.0.3345 / Base de données virale: 3199/6439 - Date: 25/06/2013 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On Wed, Jun 26, 2013, at 14:02, Kavé Salamatian wrote: Non aucune acrobatie politique. J'ai vu des splitters sur le point de connexion de Fujairah du SEA-ME-WE 4. Il y'en a surement aux autres points de connexion (Arabie Saoudite, Egypte, Thailand, etc…. Et a Fujairah ils peuvent intercepter le traffic entre Europe et Hong-Kong ? Quand a l'interceptions sans impunite aux extremites, J'aimerais bien savoir comment les services secret US arrivent a utiliser le splitter a Penmarch ou a Hong-Kong J'accepte bien que c'est techniquement possible dans certains cas (valide par la justice, ou des interets communs de celui qui veut ecouter et de celui qui a la jurisdiction sur la landing-station), mais que ca peut etre fait en secret, j'ai quand-meme des fortes doutes. Il faut aussi se poser la question si ce n'est pas plus simle d'ecouter beaucoup plus pres d'une des destinations, sans se compliquer a intercepter les comms sur la partie long-distance. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
http://en.wikipedia.org/wiki/Operation_Ivy_Bells pas de la fibre a l’époque, mais les techniques sont les mêmes, voir ci dessus le Jimmy Carter 2013/6/26 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net On Wed, Jun 26, 2013, at 14:02, Kavé Salamatian wrote: Non aucune acrobatie politique. J'ai vu des splitters sur le point de connexion de Fujairah du SEA-ME-WE 4. Il y'en a surement aux autres points de connexion (Arabie Saoudite, Egypte, Thailand, etc…. Et a Fujairah ils peuvent intercepter le traffic entre Europe et Hong-Kong ? Quand a l'interceptions sans impunite aux extremites, J'aimerais bien savoir comment les services secret US arrivent a utiliser le splitter a Penmarch ou a Hong-Kong J'accepte bien que c'est techniquement possible dans certains cas (valide par la justice, ou des interets communs de celui qui veut ecouter et de celui qui a la jurisdiction sur la landing-station), mais que ca peut etre fait en secret, j'ai quand-meme des fortes doutes. Il faut aussi se poser la question si ce n'est pas plus simle d'ecouter beaucoup plus pres d'une des destinations, sans se compliquer a intercepter les comms sur la partie long-distance. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un routeur de cœur de réseau peut-il espionner le trafic ?
On Wed, Jun 26, 2013, at 15:30, Michel Moriniaux wrote: http://en.wikipedia.org/wiki/Operation_Ivy_Bells pas de la fibre a l’époque, mais les techniques sont les mêmes, voir ci dessus le Jimmy Carter EM versus fibre, il y a une sacree difference. Pareil, ecouter un cable tout entier (plusieurs 100 de Gbps) pour sortir des morceaux bien choisis. hmmm il y a des meilleures approches. --- Liste de diffusion du FRnOG http://www.frnog.org/