Certains ici ont tentés de m'eSpliquer comment il est pas possible de
filtrer les flux, trop de charge toussa, sans vraiment a voir donné d'autres
explication technique que celle que "eux" connaissent le fonctionnement
d'internet et sans avoir le moins du monde rebondit que la répartition de
charge et la mutualisation que représente la technologie a la mode que l'on
nomme le Cloud ...
D'autres, agaces par cette perspective qui pourrait leur donner du boulot
(ce qui les empêcherait de jouer a l'helicoptere dans les couloirs), ont
préférés se moquer.
Je rappelle mon point de vue :
- L'internet devrait être filtré, soit depuis les noeuds majeurs soit depuis
les serveurs des FAI. Cela nettoierait ce qui parvient a notre prise
gigogne** et serait sans doute plus efficace que les misérables applications
clientes que l'on installe sur chaque poste.
** Gigogne car je parle de la France bien sur.
Et bien je suis heureux de vous faire part de ce lien
http://cert.lexsi.com/weblog/index.php/2010/11/05/396-filtrage-2-les-initiatives-de-filtrages-de-malware-par-les-fai
qui indique que je ne suis pas le seul a le penser ;-)
C'est juste dommage que ces grands esprits ne pense qu' en faire une
récupération commerciale (service payant) et que des techniciens "inventent"
des "pop-up pour prévenir le client du FAI qu'il est infecté" de la même
façon que le font des rogues comme la très célèbre série des Win Antivirus
et plus récemment les truc genre registry booster qui inquiètent
l'utilisateur pour lui faire acheter le produit en échange d'une promesse de
nettoyage.
Enfin les rogues ne sont pas nouveau, c'est juste pour donner 1 exemple...
L'idée d'un internet limité, voire scindé en réseaux parallèles et
distincts, est peut être une solution.
Par exemple, tout ce qui est pilotage d'appareils électro
ménager/alarmes/vidéo surveillance ne devrait pas être interconnecté au
reste de l'internet comme le web ou la messagerie qui représentent l'immense
majorité des usage de l'internet pour les particuliers.
De même il ressort de cet article que la tendance est de "dire au client
qu'il est infecté". Personnellement je ne suis pas d'accord, pour être
infectée, la machine du client a reçu les codes malicieux que le FAI lui a
transmis ! Or cela revient a lui dire qu'il est coupable et que c'est a lui
de prendre en charge nettoyage et protection.
C'est l'inverse qui est vrai : le responsable n'est pas l'utilisateur final,
avec son savoir au mieux parcellaire et ses outils, au mieux abordables,
mais celui qui délivre le paquet.
Imagine t on que les avions transporteraient des explosifs dans leurs soutes
?
ah mais je ne conteste pas cela, c'est un fait. Un fait auquel les réponses du style "il faut leur apprendre" n'ont quasiment pas d'efficacité.
Parce que tout le monde continue à marteler que l'informatique c'est simple et à la portée de tous, alors que ça ne l'est pas du tout! Les sociétés d'informatique ne vont quand même pas se tirer une balle dans le pied, même si cela se fait au détriment de l'utilisateur…
ah bon c'est dangereux ? je ne savais pas.
Ben maintenant tu sais que ça donne un explosif ultra-puissant Les jardiniers conaissent bien ce truc, très efficace pour se débaraser des vieilles souches!
les iframes, l'obfuscation et les buffer overflow non plus bien entendu. tiens, un petit exemple qui sort en 1ère place de google http://forum.malekal.com/les-exploits-sur-les-sites-web-pieges-t3563.html
On parle bien de sites piégés et peu recommandables. Sites qui n'ont aucune chance (ou alors extrèment faible) d'être visités avec un minimum de bon sens et de surf raisonnable.
pff. Tu peux t'accrocher aussi fort que tu veux a cette idée de non-formation comme unique coupable, il n'en reste pas moins Mme Michu n'a pas la connaissance nécessaire au sortir du caddie et même 6 mois plus tard et que le fait est des gens même déjà formes se font attrapés et servent de relais ...
On est donc tout à fait d'accord que Madame Michu n'aurait JAMAIS du avoir un PC dans son caddie, et encore moins le considéré comme « utilisable » dès la sortie du caddie!
Quelle pieuse prière. A répéter Matin et soir bien sur pour que le doute ne s'installe pas surtout.
Et pourtant… Réfléchir 10s avant de cliquer sur un lien dans un mail ou d'installer le dernier jeu flash à la mode téléchargé dont ne sait où économiserait un ou deux bons malwares au passage!
non, que ne comprends tu pas dans "ajout" ?
Que pour « ajouter » il faudra d'abord comprendre ce qu'on veut ajouter Et ça finira exactement comme aujourd'hui, le tout complètement désactivé « parce que j'y comprend rien » ou « que ça m'empêche de faire ce que je veux »
mdr... voir les liens que j'ai déjà donné dans ce fil.
J'ai pas vu de filtrage dans tes liens… Sinon des délires de paranoïaque. Le filtrage est impossible en France, puisque personne ne contrôle le réseau. Au pire, je passe par un VPN ou je prend OpenDNS et basta! C'est tout l'intérêt du système décentralisé qu'est Internet, le réseau est capable de trouver d'autres routes tout seul comme un grand
Ouah, Tu fais tout toi, consultant pour les grands débutants, administration d'un parc international, administrateur réseau gérant du , le tout dans l'édition du jeux vidéo.
Ben je suis consultant en informatique et fondateur d'une société de jeux vidéo sur le net. Donc oui, j'en fais des choses
Mais quand donc as tu le temps de jouer a l'hélicoptère ?
Hum, moi c'est plutôt le vaisseau spatial =)
En plus tu as même le temps de parler a un sous développé sur Usenet, c'est dingue !
Sous-développé je ne pense pas Qui parle à propos de sujets qu'il ne maîtrise absolument pas conviendrait mieux
Allez, je vais regarder passer mes petits paquets par des dizaines de routes différentes ayant toutes pour origine 1 même point de départ et pour destination le serveur de mon FAI sur lequel ma Box est autorisée. ;-)
Ravi de savoir que ta box est autorisé sur un serveur de ton FAI Et même ravi de savoir que ton FAI met des serveurs sur son réseau de trafic Ravi aussi de savour que tes paquets sont à destination du serveur de ton FAI
Ta box est uniquement relié à un des routeurs de ton FAI, boîte qui est juste capable de dire « IP W.X.Y.Z c'est par là » et guère plus C'est bien justement là où ça coincerait en cas de DPI… Les boiboites connes comme leurs ports devraient se transformer en véritable centre de calcul. Et tous tes paquets te sont adressés directement, sans aucun autre point de passage obligé. Tous les points de passage intermédiaires ne sont que le résultat fortuit des conditions topologiques d'Internet au moment d'envoyer le paquet. Ce qui complique aussi le DPI car PERSONNE ne peux forcer les paquets à prendre une route déterminée ou à passer par une machine spécifique.
Az Sam wrote:
ah mais je ne conteste pas cela, c'est un fait.
Un fait auquel les réponses du style "il faut leur apprendre" n'ont
quasiment pas d'efficacité.
Parce que tout le monde continue à marteler que l'informatique c'est simple
et à la portée de tous, alors que ça ne l'est pas du tout!
Les sociétés d'informatique ne vont quand même pas se tirer une balle dans
le pied, même si cela se fait au détriment de l'utilisateur…
ah bon c'est dangereux ? je ne savais pas.
Ben maintenant tu sais que ça donne un explosif ultra-puissant
Les jardiniers conaissent bien ce truc, très efficace pour se débaraser des
vieilles souches!
les iframes, l'obfuscation et les buffer overflow non plus bien entendu.
tiens, un petit exemple qui sort en 1ère place de google
http://forum.malekal.com/les-exploits-sur-les-sites-web-pieges-t3563.html
On parle bien de sites piégés et peu recommandables.
Sites qui n'ont aucune chance (ou alors extrèment faible) d'être visités
avec un minimum de bon sens et de surf raisonnable.
pff. Tu peux t'accrocher aussi fort que tu veux a cette idée de
non-formation comme unique coupable, il n'en reste pas moins Mme Michu n'a
pas la connaissance nécessaire au sortir du caddie et même 6 mois plus
tard et que le fait est des gens même déjà formes se font attrapés et
servent de relais ...
On est donc tout à fait d'accord que Madame Michu n'aurait JAMAIS du avoir
un PC dans son caddie, et encore moins le considéré comme « utilisable » dès
la sortie du caddie!
Quelle pieuse prière. A répéter Matin et soir bien sur pour que le doute
ne s'installe pas surtout.
Et pourtant…
Réfléchir 10s avant de cliquer sur un lien dans un mail ou d'installer le
dernier jeu flash à la mode téléchargé dont ne sait où économiserait un ou
deux bons malwares au passage!
non, que ne comprends tu pas dans "ajout" ?
Que pour « ajouter » il faudra d'abord comprendre ce qu'on veut ajouter
Et ça finira exactement comme aujourd'hui, le tout complètement désactivé «
parce que j'y comprend rien » ou « que ça m'empêche de faire ce que je veux
»
mdr...
voir les liens que j'ai déjà donné dans ce fil.
J'ai pas vu de filtrage dans tes liens…
Sinon des délires de paranoïaque.
Le filtrage est impossible en France, puisque personne ne contrôle le
réseau. Au pire, je passe par un VPN ou je prend OpenDNS et basta!
C'est tout l'intérêt du système décentralisé qu'est Internet, le réseau est
capable de trouver d'autres routes tout seul comme un grand
Ouah, Tu fais tout toi, consultant pour les grands débutants,
administration d'un parc international, administrateur réseau gérant du ,
le tout dans l'édition du jeux vidéo.
Ben je suis consultant en informatique et fondateur d'une société de jeux
vidéo sur le net. Donc oui, j'en fais des choses
Mais quand donc as tu le temps de jouer a l'hélicoptère ?
Hum, moi c'est plutôt le vaisseau spatial =)
En plus tu as même le temps de parler a un sous développé sur Usenet,
c'est dingue !
Sous-développé je ne pense pas
Qui parle à propos de sujets qu'il ne maîtrise absolument pas conviendrait
mieux
Allez, je vais regarder passer mes petits paquets par des dizaines de
routes différentes ayant toutes pour origine 1 même point de départ et
pour destination le serveur de mon FAI sur lequel ma Box est autorisée.
;-)
Ravi de savoir que ta box est autorisé sur un serveur de ton FAI
Et même ravi de savoir que ton FAI met des serveurs sur son réseau de trafic
Ravi aussi de savour que tes paquets sont à destination du serveur de ton
FAI
Ta box est uniquement relié à un des routeurs de ton FAI, boîte qui est
juste capable de dire « IP W.X.Y.Z c'est par là » et guère plus
C'est bien justement là où ça coincerait en cas de DPI… Les boiboites connes
comme leurs ports devraient se transformer en véritable centre de calcul.
Et tous tes paquets te sont adressés directement, sans aucun autre point de
passage obligé. Tous les points de passage intermédiaires ne sont que le
résultat fortuit des conditions topologiques d'Internet au moment d'envoyer
le paquet. Ce qui complique aussi le DPI car PERSONNE ne peux forcer les
paquets à prendre une route déterminée ou à passer par une machine
spécifique.
ah mais je ne conteste pas cela, c'est un fait. Un fait auquel les réponses du style "il faut leur apprendre" n'ont quasiment pas d'efficacité.
Parce que tout le monde continue à marteler que l'informatique c'est simple et à la portée de tous, alors que ça ne l'est pas du tout! Les sociétés d'informatique ne vont quand même pas se tirer une balle dans le pied, même si cela se fait au détriment de l'utilisateur…
ah bon c'est dangereux ? je ne savais pas.
Ben maintenant tu sais que ça donne un explosif ultra-puissant Les jardiniers conaissent bien ce truc, très efficace pour se débaraser des vieilles souches!
les iframes, l'obfuscation et les buffer overflow non plus bien entendu. tiens, un petit exemple qui sort en 1ère place de google http://forum.malekal.com/les-exploits-sur-les-sites-web-pieges-t3563.html
On parle bien de sites piégés et peu recommandables. Sites qui n'ont aucune chance (ou alors extrèment faible) d'être visités avec un minimum de bon sens et de surf raisonnable.
pff. Tu peux t'accrocher aussi fort que tu veux a cette idée de non-formation comme unique coupable, il n'en reste pas moins Mme Michu n'a pas la connaissance nécessaire au sortir du caddie et même 6 mois plus tard et que le fait est des gens même déjà formes se font attrapés et servent de relais ...
On est donc tout à fait d'accord que Madame Michu n'aurait JAMAIS du avoir un PC dans son caddie, et encore moins le considéré comme « utilisable » dès la sortie du caddie!
Quelle pieuse prière. A répéter Matin et soir bien sur pour que le doute ne s'installe pas surtout.
Et pourtant… Réfléchir 10s avant de cliquer sur un lien dans un mail ou d'installer le dernier jeu flash à la mode téléchargé dont ne sait où économiserait un ou deux bons malwares au passage!
non, que ne comprends tu pas dans "ajout" ?
Que pour « ajouter » il faudra d'abord comprendre ce qu'on veut ajouter Et ça finira exactement comme aujourd'hui, le tout complètement désactivé « parce que j'y comprend rien » ou « que ça m'empêche de faire ce que je veux »
mdr... voir les liens que j'ai déjà donné dans ce fil.
J'ai pas vu de filtrage dans tes liens… Sinon des délires de paranoïaque. Le filtrage est impossible en France, puisque personne ne contrôle le réseau. Au pire, je passe par un VPN ou je prend OpenDNS et basta! C'est tout l'intérêt du système décentralisé qu'est Internet, le réseau est capable de trouver d'autres routes tout seul comme un grand
Ouah, Tu fais tout toi, consultant pour les grands débutants, administration d'un parc international, administrateur réseau gérant du , le tout dans l'édition du jeux vidéo.
Ben je suis consultant en informatique et fondateur d'une société de jeux vidéo sur le net. Donc oui, j'en fais des choses
Mais quand donc as tu le temps de jouer a l'hélicoptère ?
Hum, moi c'est plutôt le vaisseau spatial =)
En plus tu as même le temps de parler a un sous développé sur Usenet, c'est dingue !
Sous-développé je ne pense pas Qui parle à propos de sujets qu'il ne maîtrise absolument pas conviendrait mieux
Allez, je vais regarder passer mes petits paquets par des dizaines de routes différentes ayant toutes pour origine 1 même point de départ et pour destination le serveur de mon FAI sur lequel ma Box est autorisée. ;-)
Ravi de savoir que ta box est autorisé sur un serveur de ton FAI Et même ravi de savoir que ton FAI met des serveurs sur son réseau de trafic Ravi aussi de savour que tes paquets sont à destination du serveur de ton FAI
Ta box est uniquement relié à un des routeurs de ton FAI, boîte qui est juste capable de dire « IP W.X.Y.Z c'est par là » et guère plus C'est bien justement là où ça coincerait en cas de DPI… Les boiboites connes comme leurs ports devraient se transformer en véritable centre de calcul. Et tous tes paquets te sont adressés directement, sans aucun autre point de passage obligé. Tous les points de passage intermédiaires ne sont que le résultat fortuit des conditions topologiques d'Internet au moment d'envoyer le paquet. Ce qui complique aussi le DPI car PERSONNE ne peux forcer les paquets à prendre une route déterminée ou à passer par une machine spécifique.
Aeris
Kevin Denis wrote:
Quand je lis ces articles, je me dis que les équipements qui font du DPI ne sont pas qu'un délire futuriste. Et lorsque je vois des gars "clients finaux" qui réclament du DPI, ça m'inquiète, oui.
C'est un délire futuriste si. Tous les exemples que tu donnes ne sont pas du DPI mais une simple politique de routage, ce qui est bien différent
Aujourd'hui, on sait très bien dire « tous les paquets en provenance de unGrosPirateConnu et à destination de monServeurSécurisé, direction poubelle ». Iptables ou tout routeur même bas de gamme le fait très bien et toutes les informations nécessaires sont disponibles dans chaque paquet IP qui arrivera sur le routeur
Le DPI réclame d'aller *COMPRENDRE le CONTENU* du trafic pour l'interdire, avec des règles du style « tout paquet SMTP contenant comme sujet de mail « i love you », destination poubelle ». Ceci est bien plus compliqué que la situation précédente.
Déjà à cause de la multitude de protocoles à gérer. Alors qu'un routeur n'a que le protocole IP à connaître (couche 3 du modèle OSI), le DPI réclame de connaître tous les protocoles applicatifs (couche 7 du modèle OSI): HTTP, SMTP, POP, IMAP, SIP, SSL, IRC, XMPP…
*1ère limitation du DPI*: impossible de DPIser des protocoles fermés ou propriétaires (Skype, MSN…)
*2nde limitation du DPI*: alors que IP est relativement bien standardisé (sinon personne ne pourrait communiquer!), la couche 7 est extrèmement hétérogène et chaque constructeur implémente son propre protocole. IMAP de Exchange n'est pas IMAP de Postfix et le HTML de IE6 pas celui de Firefox. La complexité du décodage en vue du DPI est astronomique
*3ème limitation du DPI*: les supports cryptés échappent au DPI. Impossible d'analyser un flux SSL ou un tunnel SSH
*4ème limitation du DPI*: les protocoles « exotiques » ( Gopher, UUCP, Webdav, Netbios… ) ne seraient pas pris en compte
Ensuite, de par le fonctionnement même d'IP. Chaque contenu est fragmenté en paquets (généralement de 1500 octets).
*5ème limitation du DPI*: la fragmentation rend impossible le DPI. En effet, si j'envoi un mail avec comme sujet « I Love You », la machine de DPI peut très bien voir passer 2 paquets, un avec « I Lov » et l'autre avec « e you ». Echec total du filtrage…
Encore avec IP, les paquets sont ensuite routés dans le réseau et il n'y a aucune garanti qu'ils transitent par les mêmes routeurs.
*6ème limitation du DPI*: même en supposant que le DPI réassemble les paquets avant analyse, il peut très bien ne recevoir qu'un des 2 paquets précédents, l'autre ayant emprunté une autre route. Échec total à nouveau.
Pour finir, une machine de DPI devra traiter, décoder et analyser des centaines de millions de paquets de paquets à la seconde. Si les routeurs savent très bien réaliser cette tâche car ne fonctionnent qu'avec des règles simples ( recherche dans un arbre ) et avec du contenu directement exploitables ( en-têtes IP ou ATM ), le DPI nécessite des algorithmes parmis les plus complexes au monde ( décryptage, analyse syntaxique, analyse contextuelle, chaînes de Markov ou réseau Bayésien de prises de décisions… ).
*7ème limitation du DPI*: l'application d'un DPI sur un réseau engendrerait des latences phénoménales au niveau des paquet IP, sauf à disposer d'une puissance de calcul phénoménale elle-aussi
*8ème limitation du DPI*: tous les points précédents cumulés font du DPI une technologie extrèmement hasardeuse. La plupart des paquets échapperaient à son filtrage ( SSL, SSH, fragmentation, routage, protocole inconnu , buggé ou propriétaire ) pour une pénalisation massive du réseau ( latence ) et un coût astronomique ( capacité de calcul ). Le rapport gain/perte ( ou signal/bruit pour les connaisseurs ) est proche du zéro pointé.
Kevin Denis wrote:
Quand je lis ces articles, je me dis que les équipements qui font du DPI
ne sont pas qu'un délire futuriste. Et lorsque je vois des gars "clients
finaux" qui réclament du DPI, ça m'inquiète, oui.
C'est un délire futuriste si.
Tous les exemples que tu donnes ne sont pas du DPI mais une simple politique
de routage, ce qui est bien différent
Aujourd'hui, on sait très bien dire « tous les paquets en provenance de
unGrosPirateConnu et à destination de monServeurSécurisé, direction poubelle
». Iptables ou tout routeur même bas de gamme le fait très bien et toutes
les informations nécessaires sont disponibles dans chaque paquet IP qui
arrivera sur le routeur
Le DPI réclame d'aller *COMPRENDRE le CONTENU* du trafic pour l'interdire,
avec des règles du style « tout paquet SMTP contenant comme sujet de mail «
i love you », destination poubelle ».
Ceci est bien plus compliqué que la situation précédente.
Déjà à cause de la multitude de protocoles à gérer. Alors qu'un routeur n'a
que le protocole IP à connaître (couche 3 du modèle OSI), le DPI réclame de
connaître tous les protocoles applicatifs (couche 7 du modèle OSI): HTTP,
SMTP, POP, IMAP, SIP, SSL, IRC, XMPP…
*1ère limitation du DPI*: impossible de DPIser des protocoles fermés ou
propriétaires (Skype, MSN…)
*2nde limitation du DPI*: alors que IP est relativement bien standardisé
(sinon personne ne pourrait communiquer!), la couche 7 est extrèmement
hétérogène et chaque constructeur implémente son propre protocole. IMAP de
Exchange n'est pas IMAP de Postfix et le HTML de IE6 pas celui de Firefox.
La complexité du décodage en vue du DPI est astronomique
*3ème limitation du DPI*: les supports cryptés échappent au DPI. Impossible
d'analyser un flux SSL ou un tunnel SSH
*4ème limitation du DPI*: les protocoles « exotiques » ( Gopher, UUCP,
Webdav, Netbios… ) ne seraient pas pris en compte
Ensuite, de par le fonctionnement même d'IP. Chaque contenu est fragmenté en
paquets (généralement de 1500 octets).
*5ème limitation du DPI*: la fragmentation rend impossible le DPI. En effet,
si j'envoi un mail avec comme sujet « I Love You », la machine de DPI peut
très bien voir passer 2 paquets, un avec « I Lov » et l'autre avec « e you
». Echec total du filtrage…
Encore avec IP, les paquets sont ensuite routés dans le réseau et il n'y a
aucune garanti qu'ils transitent par les mêmes routeurs.
*6ème limitation du DPI*: même en supposant que le DPI réassemble les
paquets avant analyse, il peut très bien ne recevoir qu'un des 2 paquets
précédents, l'autre ayant emprunté une autre route. Échec total à nouveau.
Pour finir, une machine de DPI devra traiter, décoder et analyser des
centaines de millions de paquets de paquets à la seconde. Si les routeurs
savent très bien réaliser cette tâche car ne fonctionnent qu'avec des règles
simples ( recherche dans un arbre ) et avec du contenu directement
exploitables ( en-têtes IP ou ATM ), le DPI nécessite des algorithmes parmis
les plus complexes au monde ( décryptage, analyse syntaxique, analyse
contextuelle, chaînes de Markov ou réseau Bayésien de prises de décisions…
).
*7ème limitation du DPI*: l'application d'un DPI sur un réseau engendrerait
des latences phénoménales au niveau des paquet IP, sauf à disposer d'une
puissance de calcul phénoménale elle-aussi
*8ème limitation du DPI*: tous les points précédents cumulés font du DPI une
technologie extrèmement hasardeuse. La plupart des paquets échapperaient à
son filtrage ( SSL, SSH, fragmentation, routage, protocole inconnu , buggé
ou propriétaire ) pour une pénalisation massive du réseau ( latence ) et un
coût astronomique ( capacité de calcul ). Le rapport gain/perte ( ou
signal/bruit pour les connaisseurs ) est proche du zéro pointé.
Quand je lis ces articles, je me dis que les équipements qui font du DPI ne sont pas qu'un délire futuriste. Et lorsque je vois des gars "clients finaux" qui réclament du DPI, ça m'inquiète, oui.
C'est un délire futuriste si. Tous les exemples que tu donnes ne sont pas du DPI mais une simple politique de routage, ce qui est bien différent
Aujourd'hui, on sait très bien dire « tous les paquets en provenance de unGrosPirateConnu et à destination de monServeurSécurisé, direction poubelle ». Iptables ou tout routeur même bas de gamme le fait très bien et toutes les informations nécessaires sont disponibles dans chaque paquet IP qui arrivera sur le routeur
Le DPI réclame d'aller *COMPRENDRE le CONTENU* du trafic pour l'interdire, avec des règles du style « tout paquet SMTP contenant comme sujet de mail « i love you », destination poubelle ». Ceci est bien plus compliqué que la situation précédente.
Déjà à cause de la multitude de protocoles à gérer. Alors qu'un routeur n'a que le protocole IP à connaître (couche 3 du modèle OSI), le DPI réclame de connaître tous les protocoles applicatifs (couche 7 du modèle OSI): HTTP, SMTP, POP, IMAP, SIP, SSL, IRC, XMPP…
*1ère limitation du DPI*: impossible de DPIser des protocoles fermés ou propriétaires (Skype, MSN…)
*2nde limitation du DPI*: alors que IP est relativement bien standardisé (sinon personne ne pourrait communiquer!), la couche 7 est extrèmement hétérogène et chaque constructeur implémente son propre protocole. IMAP de Exchange n'est pas IMAP de Postfix et le HTML de IE6 pas celui de Firefox. La complexité du décodage en vue du DPI est astronomique
*3ème limitation du DPI*: les supports cryptés échappent au DPI. Impossible d'analyser un flux SSL ou un tunnel SSH
*4ème limitation du DPI*: les protocoles « exotiques » ( Gopher, UUCP, Webdav, Netbios… ) ne seraient pas pris en compte
Ensuite, de par le fonctionnement même d'IP. Chaque contenu est fragmenté en paquets (généralement de 1500 octets).
*5ème limitation du DPI*: la fragmentation rend impossible le DPI. En effet, si j'envoi un mail avec comme sujet « I Love You », la machine de DPI peut très bien voir passer 2 paquets, un avec « I Lov » et l'autre avec « e you ». Echec total du filtrage…
Encore avec IP, les paquets sont ensuite routés dans le réseau et il n'y a aucune garanti qu'ils transitent par les mêmes routeurs.
*6ème limitation du DPI*: même en supposant que le DPI réassemble les paquets avant analyse, il peut très bien ne recevoir qu'un des 2 paquets précédents, l'autre ayant emprunté une autre route. Échec total à nouveau.
Pour finir, une machine de DPI devra traiter, décoder et analyser des centaines de millions de paquets de paquets à la seconde. Si les routeurs savent très bien réaliser cette tâche car ne fonctionnent qu'avec des règles simples ( recherche dans un arbre ) et avec du contenu directement exploitables ( en-têtes IP ou ATM ), le DPI nécessite des algorithmes parmis les plus complexes au monde ( décryptage, analyse syntaxique, analyse contextuelle, chaînes de Markov ou réseau Bayésien de prises de décisions… ).
*7ème limitation du DPI*: l'application d'un DPI sur un réseau engendrerait des latences phénoménales au niveau des paquet IP, sauf à disposer d'une puissance de calcul phénoménale elle-aussi
*8ème limitation du DPI*: tous les points précédents cumulés font du DPI une technologie extrèmement hasardeuse. La plupart des paquets échapperaient à son filtrage ( SSL, SSH, fragmentation, routage, protocole inconnu , buggé ou propriétaire ) pour une pénalisation massive du réseau ( latence ) et un coût astronomique ( capacité de calcul ). Le rapport gain/perte ( ou signal/bruit pour les connaisseurs ) est proche du zéro pointé.
Benoit Izac
Bonjour,
le 05/12/2010 à 02:00, Aeris a écrit dans le message <4cfae426$0$1237$ :
*2nde limitation du DPI*: alors que IP est relativement bien standardisé (sinon personne ne pourrait communiquer!), la couche 7 est extrèmement hétérogène et chaque constructeur implémente son propre protocole. IMAP de Exchange n'est pas IMAP de Postfix et le HTML de IE6 pas celui de Firefox. La complexité du décodage en vue du DPI est astronomique
Petite remarque en passant, Postfix ne fait pas serveur IMAP.
-- Benoit Izac
Bonjour,
le 05/12/2010 à 02:00, Aeris <aeris@imirhil.fr> a écrit dans le message
<4cfae426$0$1237$426a74cc@news.free.fr> :
*2nde limitation du DPI*: alors que IP est relativement bien
standardisé (sinon personne ne pourrait communiquer!), la couche 7 est
extrèmement hétérogène et chaque constructeur implémente son propre
protocole. IMAP de Exchange n'est pas IMAP de Postfix et le HTML de
IE6 pas celui de Firefox. La complexité du décodage en vue du DPI est
astronomique
Petite remarque en passant, Postfix ne fait pas serveur IMAP.
le 05/12/2010 à 02:00, Aeris a écrit dans le message <4cfae426$0$1237$ :
*2nde limitation du DPI*: alors que IP est relativement bien standardisé (sinon personne ne pourrait communiquer!), la couche 7 est extrèmement hétérogène et chaque constructeur implémente son propre protocole. IMAP de Exchange n'est pas IMAP de Postfix et le HTML de IE6 pas celui de Firefox. La complexité du décodage en vue du DPI est astronomique
Petite remarque en passant, Postfix ne fait pas serveur IMAP.
-- Benoit Izac
Az Sam
"Kevin Denis" a écrit dans le message de news:
Peu importe, Hadopi est un exemple. Le fait est que tu voudrais qu'on te surveille et qu'on te coupe éventuellement ta connexion, rigoureusement ce que fait hadopi.
non Kevin. pas que l'on "me" surveille pas que l'on "me" coupe Par contre que l'on "me" protège, oui.
Relis tout ce que j'ai floodé hier et aussi fin septembre si tu veux réellement trouver des point d'achoppements à ma volonté. Il y a matière, mais n'invente pas n'importe quoi pour me faire un procès d'intention a la Paris Match.
Bon dimanche.
-- Cordialement, Az Sam.
"Kevin Denis" <kevin@nowhere.invalid> a écrit dans le message de
news:slrnifldlv.m3q.kevin@slackwall.local.tux...
Peu importe, Hadopi est un exemple.
Le fait est que tu voudrais qu'on te surveille et qu'on te coupe
éventuellement ta connexion, rigoureusement ce que fait hadopi.
non Kevin.
pas que l'on "me" surveille
pas que l'on "me" coupe
Par contre que l'on "me" protège, oui.
Relis tout ce que j'ai floodé hier et aussi fin septembre si tu veux
réellement trouver des point d'achoppements à ma volonté. Il y a matière,
mais n'invente pas n'importe quoi pour me faire un procès d'intention a la
Paris Match.
Peu importe, Hadopi est un exemple. Le fait est que tu voudrais qu'on te surveille et qu'on te coupe éventuellement ta connexion, rigoureusement ce que fait hadopi.
non Kevin. pas que l'on "me" surveille pas que l'on "me" coupe Par contre que l'on "me" protège, oui.
Relis tout ce que j'ai floodé hier et aussi fin septembre si tu veux réellement trouver des point d'achoppements à ma volonté. Il y a matière, mais n'invente pas n'importe quoi pour me faire un procès d'intention a la Paris Match.
Bon dimanche.
-- Cordialement, Az Sam.
Az Sam
"Stephane CARPENTIER" a écrit dans le message de news:4cfab978$0$18810$
Non. Sur vos postes clients, les antivirus ne scannent pas les paquets mais le contenu de certains paquets après réassemblage. C'est fondamentalement différent.
----- les paquetes sont reassembles et le fichier est scanné dans son enesemble. Seuls les octets d'en tete et d'encpsulation de transport lié au protocole Ethernet sont eliminés. Le dpi a donc cette charge/fichiers supplementaire c'est vrai. Avec les debits actuels, la puissance de calcul actuelle, la rapidite des bus actuelle et les espaces de stockage actuels, on peu se permettre de ralentir un peu la mise a disposition vers l'internaute final et on peut se permettre de realiser ce travail. La latence ok, le cout financier ok et meme l'empreinte ecologique sont a evaluer.
Pour les boucliers web, le site est betement comparé a une liste noire, ca ne coute rien. Tous les AV avec cette fonction on un avantage sur ceux ne la possedant pas. De meme que l'on remplit nos hosts avec des adresses ou des nomls de domaines, tout cela pourrait/devrait etre en place deja chez le FAI. Ca pose de probleme de faux positifs par contre, je ne dis pas que c'est si simple.
Si le mail est chiffré, tu fais comment ? Tu demande au fai de bloquer l'envoi du mail tant qu'il n'a pas réussit à bruteforcer l'encodage pour l'analyser ?
----- Le pki devrait aussi deja etre en place par le FAI, comme le WPa2 par exemple. Le cryptage est mauvaise idée dans une optique de securite globale, puisque c'est un moyen de dissimuler on peut tout autant y mettre du legitime confidentiel que du hors la loi dangeureux...
Si ce systeme de filtrage est insufisant pour les echanges confidentiels, il reste l'idee d'une scission en reseaux distincts, dont l'un d'eux au moins serait VERITABLEMENT securisé en fonction de ce qu'il transporte.
Hein ? Tu considères que les FAI ont d'énormes serveurs inutilisés ? Pour quelle raison ? Ils en ont commandé plein pour Noël et le père Noël a été plus généreux que prévu ?
--- FAI et surtout sous traitants oui. Le Cloud, il le vendent comment ? par pré commande ? Ils achèteront le matériel (et le bâtiment) et brancherons la prise quand ils auront atteint leur quota de rentabilité ? non, tu veux du Cloud, tu l'a immédiatement, les ressources sont déjà dispo. Donc en attendant que tu l'achètes, elles dorment (restent sous exploitées si tu préfères)...
-- Cordialement, Az Sam.
"Stephane CARPENTIER" <stef.carpentier@free.fr> a écrit dans le message de
news:4cfab978$0$18810$426a34cc@news.free.fr...
Non. Sur vos postes clients, les antivirus ne scannent pas les paquets mais
le contenu de certains paquets après réassemblage. C'est fondamentalement
différent.
-----
les paquetes sont reassembles et le fichier est scanné dans son enesemble.
Seuls les octets d'en tete et d'encpsulation de transport lié au protocole
Ethernet sont eliminés. Le dpi a donc cette charge/fichiers supplementaire
c'est vrai.
Avec les debits actuels, la puissance de calcul actuelle, la rapidite des
bus actuelle et les espaces de stockage actuels, on peu se permettre de
ralentir un peu la mise a disposition vers l'internaute final et on peut se
permettre de realiser ce travail.
La latence ok, le cout financier ok et meme l'empreinte ecologique sont a
evaluer.
Pour les boucliers web, le site est betement comparé a une liste noire, ca
ne coute rien. Tous les AV avec cette fonction on un avantage sur ceux ne la
possedant pas. De meme que l'on remplit nos hosts avec des adresses ou des
nomls de domaines, tout cela pourrait/devrait etre en place deja chez le
FAI.
Ca pose de probleme de faux positifs par contre, je ne dis pas que c'est si
simple.
Si le mail est chiffré, tu fais comment ? Tu demande au fai de bloquer
l'envoi du mail tant qu'il n'a pas réussit à bruteforcer l'encodage pour
l'analyser ?
-----
Le pki devrait aussi deja etre en place par le FAI, comme le WPa2 par
exemple.
Le cryptage est mauvaise idée dans une optique de securite globale, puisque
c'est un moyen de dissimuler on peut tout autant y mettre du legitime
confidentiel que du hors la loi dangeureux...
Si ce systeme de filtrage est insufisant pour les echanges confidentiels, il
reste l'idee d'une scission en reseaux distincts, dont l'un d'eux au moins
serait VERITABLEMENT securisé en fonction de ce qu'il transporte.
Hein ? Tu considères que les FAI ont d'énormes serveurs inutilisés ? Pour
quelle raison ? Ils en ont commandé plein pour Noël et le père Noël a été
plus généreux que prévu ?
---
FAI et surtout sous traitants oui.
Le Cloud, il le vendent comment ? par pré commande ?
Ils achèteront le matériel (et le bâtiment) et brancherons la prise quand
ils auront atteint leur quota de rentabilité ?
non, tu veux du Cloud, tu l'a immédiatement, les ressources sont déjà dispo.
Donc en attendant que tu l'achètes, elles dorment (restent sous exploitées
si tu préfères)...
"Stephane CARPENTIER" a écrit dans le message de news:4cfab978$0$18810$
Non. Sur vos postes clients, les antivirus ne scannent pas les paquets mais le contenu de certains paquets après réassemblage. C'est fondamentalement différent.
----- les paquetes sont reassembles et le fichier est scanné dans son enesemble. Seuls les octets d'en tete et d'encpsulation de transport lié au protocole Ethernet sont eliminés. Le dpi a donc cette charge/fichiers supplementaire c'est vrai. Avec les debits actuels, la puissance de calcul actuelle, la rapidite des bus actuelle et les espaces de stockage actuels, on peu se permettre de ralentir un peu la mise a disposition vers l'internaute final et on peut se permettre de realiser ce travail. La latence ok, le cout financier ok et meme l'empreinte ecologique sont a evaluer.
Pour les boucliers web, le site est betement comparé a une liste noire, ca ne coute rien. Tous les AV avec cette fonction on un avantage sur ceux ne la possedant pas. De meme que l'on remplit nos hosts avec des adresses ou des nomls de domaines, tout cela pourrait/devrait etre en place deja chez le FAI. Ca pose de probleme de faux positifs par contre, je ne dis pas que c'est si simple.
Si le mail est chiffré, tu fais comment ? Tu demande au fai de bloquer l'envoi du mail tant qu'il n'a pas réussit à bruteforcer l'encodage pour l'analyser ?
----- Le pki devrait aussi deja etre en place par le FAI, comme le WPa2 par exemple. Le cryptage est mauvaise idée dans une optique de securite globale, puisque c'est un moyen de dissimuler on peut tout autant y mettre du legitime confidentiel que du hors la loi dangeureux...
Si ce systeme de filtrage est insufisant pour les echanges confidentiels, il reste l'idee d'une scission en reseaux distincts, dont l'un d'eux au moins serait VERITABLEMENT securisé en fonction de ce qu'il transporte.
Hein ? Tu considères que les FAI ont d'énormes serveurs inutilisés ? Pour quelle raison ? Ils en ont commandé plein pour Noël et le père Noël a été plus généreux que prévu ?
--- FAI et surtout sous traitants oui. Le Cloud, il le vendent comment ? par pré commande ? Ils achèteront le matériel (et le bâtiment) et brancherons la prise quand ils auront atteint leur quota de rentabilité ? non, tu veux du Cloud, tu l'a immédiatement, les ressources sont déjà dispo. Donc en attendant que tu l'achètes, elles dorment (restent sous exploitées si tu préfères)...
-- Cordialement, Az Sam.
MELMOTH
Ce cher mammifère du nom de Eric Demeester nous susurrait, le samedi 04/12/2010, dans nos oreilles grandes ouvertes mais un peu sales tout de même, et dans le message , les doux mélismes suivants :
Une machine sous Windows sans antivirus ni firewall branchée pour la première fois à Internet via une connexion permanente, est statistiquement infectée en moins de 10 minutes à compter de l'établissement de la connexion.
???... À partir du moment où la machine fonctionne par l'intermédiaire d'une "box", elle est protégée !... Madame Michot n'a pas besoin d'un parefeu logiciel (Perso, ça fait belle lurette que Je n'en utilise plus...Et Je fais dans l'informatique comme toi depuis 1976) plus ou moins difficile à _bien_ configurer pour naviguer avec un minimum de sécurité, Me semble-t-il...
-- Car avec beaucoup de science, il y a beaucoup de chagrin ; et celui qui accroît sa science accroît sa douleur. [Ecclésiaste, 1-18] MELMOTH - souffrant
Ce cher mammifère du nom de Eric Demeester nous susurrait, le samedi
04/12/2010, dans nos oreilles grandes ouvertes mais un peu sales tout
de même, et dans le message
<rg6jf6p00r1ecdrmgq1d2if2flf9dpbhqj@4ax.com>, les doux mélismes
suivants :
Une machine sous Windows sans antivirus ni firewall branchée pour la
première fois à Internet via une connexion permanente, est
statistiquement infectée en moins de 10 minutes à compter de
l'établissement de la connexion.
???...
À partir du moment où la machine fonctionne par l'intermédiaire d'une
"box", elle est protégée !...
Madame Michot n'a pas besoin d'un parefeu logiciel (Perso, ça fait
belle lurette que Je n'en utilise plus...Et Je fais dans l'informatique
comme toi depuis 1976) plus ou moins difficile à _bien_ configurer pour
naviguer avec un minimum de sécurité, Me semble-t-il...
--
Car avec beaucoup de science, il y a beaucoup de chagrin ; et celui qui
accroît sa science accroît sa douleur.
[Ecclésiaste, 1-18]
MELMOTH - souffrant
Ce cher mammifère du nom de Eric Demeester nous susurrait, le samedi 04/12/2010, dans nos oreilles grandes ouvertes mais un peu sales tout de même, et dans le message , les doux mélismes suivants :
Une machine sous Windows sans antivirus ni firewall branchée pour la première fois à Internet via une connexion permanente, est statistiquement infectée en moins de 10 minutes à compter de l'établissement de la connexion.
???... À partir du moment où la machine fonctionne par l'intermédiaire d'une "box", elle est protégée !... Madame Michot n'a pas besoin d'un parefeu logiciel (Perso, ça fait belle lurette que Je n'en utilise plus...Et Je fais dans l'informatique comme toi depuis 1976) plus ou moins difficile à _bien_ configurer pour naviguer avec un minimum de sécurité, Me semble-t-il...
-- Car avec beaucoup de science, il y a beaucoup de chagrin ; et celui qui accroît sa science accroît sa douleur. [Ecclésiaste, 1-18] MELMOTH - souffrant
Az Sam
"Kevin Denis" a écrit dans le message de news:
Puisqu'on envoie du lien, je ne peux que renvoyer vers: http://sid.rstack.org/blog/index.php/194-de-l-utilite-des-analogies
Très bon lien. L'analogie a ses limites c'est certain. Et si j'applique ce que dis l'auteur de l'article, ca doit être car je les utilise ici, m'adressant a des professionnels que les réponses sont presque exclusivement detractives. Sauf que pro ou pas, personne n'est insensible a cette forme de communication et des échos se forment en chacun. Je l'espère en tout cas. Car au moment de Hadopi, et de loppsi, ces mêmes professionnels n'ont pas fait beaucoup de bruits...
Là on les lit hurler au loup, mais finalement tout passe dans une force tranquille ou tout devient possible !
Tu me demandais ou j'avais lu que le législateur s'était emparé du thème de la scission/filtrage du net, un lien parmi d'autres : http://www.lemonde.fr/technologies/article/2010/11/15/nathalie-kosciusko-morizet-la-parenthese-numerique_1440091_651865.html
et pour ajouter encore un peu d'eau au moulin de ce que je suppute être la "catastrophe IPv6 à venir" : http://www.energie2007.fr/actualites/fiche/3037/linky_vie_privee_cnil_compteur_smart_grid_erdf_021210.html
tout ca sur un même prise... trop cool pour les vrais méchants réellement dangereux car haineux de la différence de l'autre.
-- Cordialement, Az Sam.
"Kevin Denis" <kevin@nowhere.invalid> a écrit dans le message de
news:slrnifleg7.m3q.kevin@slackwall.local.tux...
Puisqu'on envoie du lien, je ne peux que renvoyer vers:
http://sid.rstack.org/blog/index.php/194-de-l-utilite-des-analogies
Très bon lien. L'analogie a ses limites c'est certain.
Et si j'applique ce que dis l'auteur de l'article, ca doit être car je les
utilise ici, m'adressant a des professionnels que les réponses sont presque
exclusivement detractives.
Sauf que pro ou pas, personne n'est insensible a cette forme de
communication et des échos se forment en chacun.
Je l'espère en tout cas. Car au moment de Hadopi, et de loppsi, ces mêmes
professionnels n'ont pas fait beaucoup de bruits...
Là on les lit hurler au loup, mais finalement tout passe dans une force
tranquille ou tout devient possible !
Tu me demandais ou j'avais lu que le législateur s'était emparé du thème de
la scission/filtrage du net, un lien parmi d'autres :
http://www.lemonde.fr/technologies/article/2010/11/15/nathalie-kosciusko-morizet-la-parenthese-numerique_1440091_651865.html
et pour ajouter encore un peu d'eau au moulin de ce que je suppute être la
"catastrophe IPv6 à venir" :
http://www.energie2007.fr/actualites/fiche/3037/linky_vie_privee_cnil_compteur_smart_grid_erdf_021210.html
tout ca sur un même prise... trop cool pour les vrais méchants réellement
dangereux car haineux de la différence de l'autre.
Puisqu'on envoie du lien, je ne peux que renvoyer vers: http://sid.rstack.org/blog/index.php/194-de-l-utilite-des-analogies
Très bon lien. L'analogie a ses limites c'est certain. Et si j'applique ce que dis l'auteur de l'article, ca doit être car je les utilise ici, m'adressant a des professionnels que les réponses sont presque exclusivement detractives. Sauf que pro ou pas, personne n'est insensible a cette forme de communication et des échos se forment en chacun. Je l'espère en tout cas. Car au moment de Hadopi, et de loppsi, ces mêmes professionnels n'ont pas fait beaucoup de bruits...
Là on les lit hurler au loup, mais finalement tout passe dans une force tranquille ou tout devient possible !
Tu me demandais ou j'avais lu que le législateur s'était emparé du thème de la scission/filtrage du net, un lien parmi d'autres : http://www.lemonde.fr/technologies/article/2010/11/15/nathalie-kosciusko-morizet-la-parenthese-numerique_1440091_651865.html
et pour ajouter encore un peu d'eau au moulin de ce que je suppute être la "catastrophe IPv6 à venir" : http://www.energie2007.fr/actualites/fiche/3037/linky_vie_privee_cnil_compteur_smart_grid_erdf_021210.html
tout ca sur un même prise... trop cool pour les vrais méchants réellement dangereux car haineux de la différence de l'autre.
Le cryptage est mauvaise idée dans une optique de securite globale, puisque c'est un moyen de dissimuler on peut tout autant y mettre du legitime confidentiel que du hors la loi dangeureux...
Je ne sais pas si tu te rends bien compte de ce que tu écris. Mais je ne veux définitivement pas du monde que tu appelles de tes voeux...
-- OM> Je viens d'être inscrit contre mon gré sur une liste hébergée OM> par listbot (sexyliens). Je l'ai reçu aussi, et je me suis fait engueuler par ma femme !!! -+-CV in <http://www.le-gnu.net> : Les (sexy)liens du mariage -+-
"Az Sam" <me@home.net> writes:
Le cryptage est mauvaise idée dans une optique de securite globale,
puisque c'est un moyen de dissimuler on peut tout autant y mettre du
legitime confidentiel que du hors la loi dangeureux...
Je ne sais pas si tu te rends bien compte de ce que tu écris.
Mais je ne veux définitivement pas du monde que tu appelles de tes
voeux...
--
OM> Je viens d'être inscrit contre mon gré sur une liste hébergée
OM> par listbot (sexyliens).
Je l'ai reçu aussi, et je me suis fait engueuler par ma femme !!!
-+-CV in <http://www.le-gnu.net> : Les (sexy)liens du mariage -+-
Le cryptage est mauvaise idée dans une optique de securite globale, puisque c'est un moyen de dissimuler on peut tout autant y mettre du legitime confidentiel que du hors la loi dangeureux...
Je ne sais pas si tu te rends bien compte de ce que tu écris. Mais je ne veux définitivement pas du monde que tu appelles de tes voeux...
-- OM> Je viens d'être inscrit contre mon gré sur une liste hébergée OM> par listbot (sexyliens). Je l'ai reçu aussi, et je me suis fait engueuler par ma femme !!! -+-CV in <http://www.le-gnu.net> : Les (sexy)liens du mariage -+-
Jean-Francois BILLAUD
Aeris écrivait:
Non, aucun malware ne peut véroler un système sans action extérieure.
Sasser (à quoi d'insister contre l'évidence ?)
JFB
-- Qu'importe le flocon pourvu qu'on ait l'Everest.
Aeris écrivait:
Non, aucun malware ne peut véroler un système sans action extérieure.
Sasser (à quoi d'insister contre l'évidence ?)
JFB
--
Qu'importe le flocon pourvu qu'on ait l'Everest.
