-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Bonjour,
Je ne suis pas un expert en routage dynamique et donc je ne connais pas en profondeur BGP; par contre, je te recommanderais la lecture de CERT Technical Cyber Security Alert TA04-111A -- Vulnerabilities in TCP du 20 avril 2004 mais bon les BGPd ne sont surement pas accessible au public...
Ces problemes de securite repausent essentiellement sur la possibilite de determiner l'ISN sur les systemes d'exploitation *BSD, en l'occurance, ces nombres sont generes de facon reelement aleatoire. D'autres techniques ont donc emerge mais elles sont des lors relativement difficiles a mettre en pratique pour ce que j'en sais mais encore une fois, s'il y a un vrai expert en matiere de routage dans l'assemblee, il devrait pouvoir t'en apprendre plus.
Je doute fort qu'il y ait des trous de securite majeure sur les palteformes d'exchange inter-operateur par contre AMHA il vaut mieux entre paranoique que laxiste.
Par suite, on ne peut que difficilement critiquer une politique visant a "securise" des echanges de donnees a moins que ces-derniers nuisent de facon certaines aux performances et/ou a la stabilite d'une architecture.
Le 22 avr. 04, à 09:30, Jean-Philippe MARCEL a écrit :
Bonjour la liste,
Je voudrais vous soumettre mon interrogation sur un embalement qui semble se
declarer chez les operateurs IP, a savoir la securisation des sessions BGP
via authentification MD5.
Est-ce une mesure de protection face a un reele trou de securité majeur, ou
est ce le resultat d'un embalement paranoïaque de la part des ISP.
Toujours est il que l'on ne compte plus les demandes de securisation MD5 des
sessions inter-operateurs sur les noeuds d echanges tel que le SFINX, Parix,
FreeIX.
Quand on interroge les initiateurs de ces demandes, on n'obtient pas de
reponses. Est-ce pour eviter d'ébruiter le fait qu'il y ai une faille
potentielle de leur systeme ?
Neanmoins, un rapport de Juin 2003 diffusé sur Nanog faisait le bilan des
vulnerabilités de BGP.
Donc paranoia ou danger réel, c est a vous de me dire ....
JPh
---------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ ----------------------------------------------- Archives : http://www.frnog.org/archives.php -----------------------------------------------
Cordialement
/Olivier
- --
Warin Olivier
Xview dot net - Net & Web Services for Un*x Geeks
The Caudium Webserver (http://www.caudium.net)"Ce n'est pas parce que les choses sont difficiles que nous n'osons pas
mais c'est parce que nous n'osons pas que les choses sont difficiles."
Sénèque
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (Darwin)iD8DBQFAh60LsBj9sTvtXyoRAsT1AJ4hXU8N6Ct3uk5YInu41BqhDrb5DgCfQuux ujptBgRe+SKJFNzfv9d8ig4= =kcHt -----END PGP SIGNATURE-----
---------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ ----------------------------------------------- Archives : http://www.frnog.org/archives.php -----------------------------------------------
