• # ROA

    Posté par  . Évalué à 4.

    Et encore, ça ne tient compte que du ROA si je ne me trompe pas, ce qui veut dire l'annonce d'origine, quelqu'un peut encore spoofé l'annonce en se mettant comme plus cours chemin vers la cible.

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: ROA

      Posté par  . Évalué à 2.

      Ça dépasse largement mes maigres compétences techniques. Ce qui est fou c'est que les opérateurs n'ont apparemment toujours pas pris les mesures de sécurité qui devraient s'imposer alors que le problème est connu de puis des années.
      https://www.bortzmeyer.org/securite-routage-bgp-rpki-roa.html

      • [^] # Re: ROA

        Posté par  . Évalué à 4.

        Oui, c'est connu depuis des années mais comme DNSSEC ça a de gros impact dès que tu as un problème de clef, tu te retrouve avec ton AS coupée de tout le monde. Donc, tu corrige une faille exploitable dans certains cas avec un DoS potentiel. Je ne dis pas qu'il ne faut pas l'implémenter (comme DNSSEC d'ailleurs) mais que ça ne se fait pas en un claquement de doigt si tu veux éviter des problèmes de connectivité. Ensuite, comme je le dis, ça ne corrige qu'une partie du problème, donc tu vas mettre en place un système compliqué sans être vraiment protégé. Enfin, les détournements sont relativement visible et peu fréquent, ça ne motive pas.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: ROA

          Posté par  . Évalué à 1.

          relativement visible et peu fréquent
          

          Ca j en doute. Car quand c est peu fréquent, c est peu surveillé donc peu visible. Mais l inverse est vrai ausi, c est quand c est peu visible cela paraît peu fréquent même si c est omniprésent.

          Ce que je veux signifier par la c est que même pour les experts, les operateurs il est très difficile d analyser le routage. Ca marche, les algorithmes sont éprouvés mais l humain y met rarement son nez a part pour les grandes lignes. Alors oui un détournement massif du réseau paraît peu probable mais de multiples petits détournement seront très difficile a detecter.

          On peux juste miser sur le fait que ce soit relativement complexe au sens sophistiqué a faire pour un résultat difficile a exploiter pour la pluspart des hack. Mais pour un service de renseignement étatique c est une faille utile.

          • [^] # Re: ROA

            Posté par  . Évalué à 4.

            Ca j en doute. Car quand c est peu fréquent, c est peu surveillé donc peu visible. Mais l inverse est vrai ausi, c est quand c est peu visible cela paraît peu fréquent même si c est omniprésent.

            Pourtant, il y a plein d'outils qui le font (qradar, bgpgmon…), tu le vois aussi dans les annonces que tu reçois, tu peux regarder aussi le RIS.

            Ce que je veux signifier par la c est que même pour les experts, les operateurs il est très difficile d analyser le routage. Ca marche, les algorithmes sont éprouvés mais l humain y met rarement son nez a part pour les grandes lignes.

            L'humain y met quand même régulièrement son nez, il y a régulièrement un problème sur subnet donné.

            On peux juste miser sur le fait que ce soit relativement complexe au sens sophistiqué a faire pour un résultat difficile a exploiter pour la pluspart des hack.

            C'est simple à faire et ça arrive régulièrement que les gens le fasse par erreur (c'est ce qui permet de dire que c'est visible, avec le fait que ce soit dans le protocole). Le seul problème c'est que ça se voit. Tu as un maillon de la chaîne qui va annoncer une mauvaise route et tu va le voir sur toute la chaine. Si un service étatique veut faire ça, il demande aux T1 ou aux IX de mettre une sonde pour eux, c'est beaucoup plus simple et discret.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Critique

    Posté par  (site Web personnel) . Évalué à 5. Dernière modification le 21/04/20 à 16:42.

    Il y a eu quelques critiques de Cloudflare pour cette campagne également : https://twitter.com/Benjojo12/status/1251538757595148291.

    Notamment :

    I might also point out that seeing journalists claim that deploying something that fundamentally changes what parts of the internet your network can and can't reach, is a basic security change is wonderfully ignorant

    The same journalists of course that would crucify networks for messing it up (or anything up) during a historic period where almost everyone is working from home.

    Traduction rapide :

    Je dois aussi noter que les journalistes qui rapportent que déployer quelque chose qui change aussi fondamentalement quelle partie d’Internet ton réseau peut ou ne peut pas joindre est équivalent à une simple modification de sécurité, m’impressionnent par leur ignorance.

    Les mêmes journaliste qui, bien sûr, crucifieraient les réseaux qui foireraient ce changement (ou n’importe quoi d’autre) en cette période historique ou presque tout le monde travail de la maison.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.