Il y a PLEIN de raisons pour dire que c'est une connerie et que cela
ne peut pas fonctionner ...
Entre autre, il suffit de voir les catastrophes régulières des
apprentis qui découvrent BGP dans le guide Marabout du petit ingénieur
réseau et qui sont aux 35h.
Ensuite, le nombre de route / chemins n'est pas un épiphénomène,
regardez svp la notion de dampening pour comprendre que certains
protègent (à juste titre) leurs routeurs et leur puissance devant des
routes qui ne font qu'aller et venir.
Ensuite, cela a été dit, considérer qu'URL = IP relève d'une
méconnaissance totale des technologies du 21ième siècle. C'était peut
être le cas en 1991, mais plus vraiment maintenant.
Ensuite, il faut considérer que les équipementiers eux mêmes ne sont
pas à l'abris de bugs et autres impairs. Un réseau de routeurs, avec
des annonces BGP partout, nécessite un certain doigté pour être
optimum et ne pas arriver à des performances catastrophiques, des
asymétries de routage, des "tempêtes de routage" (sourire ;-) ). Bref,
tout cela + la non régression de code de certains fabricants fait
qu'en plus vouloir tripoter les annonces pour des raisons
métaphysiques touche de la douce hystérie et va à l'encontre d'un
RESEAU ELECTRIQUEMENT NEUTRE, OUVERT, INTEROPERABLE, SYMETRIQUE ...
bref, cela va à l'encontre de ma notion d'Internet.
Cela a été dit de nombreuses fois ... la qualité de service, le
filtrage et pas mal de chose n'ont pas leur place dans le coeur
réseau. Là, ce n'est pas que moi qui le dit.
Ce n'est pourtant pas extraordinairement compliqué ce problème, non ?
Si on avait moins de gens autour de la table ou plutôt si on avait les
bons, cela irait vite.
Ensuite si les gens comprenaient la nature des enjeux et du problème
et là, oui, il faut évangéliser, cela irait mieux.
Et enfin, une fois compris la nature différente de l'Internet, (j'ai
assez écrit et dit de chose dessus), on se rendrait compte qu'il faut
responsabiliser tous les acteurs, mais aussi l'extrémité :
l'utilisateur final.
Au lieu de chiffrer des plans en centaines de millions d'euro, il
suffit de prendre un dixième de cette somme pour investir dans
quelques startups Françaises qui vont développer la solution.
La solution passe par un système qui replacerait le filtrage en
périphérie du réseau et de son coeur : chez l'abonné lui même. Ce
système serait activé par défaut et permettrait de protéger les
postes / les comptes (personnes) que l'on souhaite protéger. Il
fonctionnerait en bonne intelligence avec ce qui existe déjà sur un
Windows ou un Mac.
Les specs de ce systèmes seraient open source / ouvertes et plusieurs
startups pourraient développer leurs propres vision de la chose que
les opérateurs seraient ravis d'implémenter chez eux. (la partie
dialogue avec cette intelligence déportée).
En plus c'est facile comme tout à lancer comme idée ... suffirait que
les quelques gros opérateurs prennent en main le sujet, avant qu'on le
fasse pour eux.
Il suffirait par exemple qu'ils lancent un concours, bière et pizza,
quelques millions d'euros (c'est à dire leur budget plante verte pour
2 semaines) à gagner pour les 10 premiers, lors d'un
BarCampSolutionnerMoiLeMerdier. Et le tour est joué.
On a assez de très bons en France pour savoir le faire !
-----------------------------
Jean-Michel Planche blog:
http://www.jmp.net
Chairman and co-founder Witbe web :
http://www.witbe.net
Follow me
http://www.twitter.com/jmplanche
-------------------------------------------
2.0 Monitoring : relevant End to End monitoring for critical app. and
carrier class services
Le 14 juin 08 à 18:42, [EMAIL PROTECTED] a écrit :
On Saturday 14 June 2008 17:31:11 Greg VILLAIN wrote:
Donc je pense qu'il s'agit juste d'un manque de synchro dans l'April
la :)
Non, comme je l'ai dit dans mon mail, je suis à la recherche
d'éléments
techniques sur la faisabilité et les dommages collatéraux d'une
solution que
certains avancent. Je n'ai pas dit que je trouvais cette solution
légitime/utile ou non, pas plus que l'April ne le dit.
J'ai pas dû être clair :)
En l'espèce, j'ai volontairement éviter d'aborder la question du
principe même
du filtrage ou l'aspect juridique car je suis venu chercher des
réponses à
des interrogations techniques, étant sur ce sujet du filtrage d'url
via bgp
shunt en limite de connaissances. Je ne mesure pas la difficulté à
configurer
le réseau d'un opérateur national pour faire cela et si j'ai une
idée des
dommages collatéraux, j'aimerai avoir des détails sur le pourquoi.
J'effectue cette démarche car je veux bien comprendre pour pouvoir
ensuite
vulgariser dans une note, compréhensible par tous, y compris par des
décideurs politiques qui n'ont jamais touché un ordinateur mais qui
sont
convaincus que "c'est possible sans gros dommages" car le fils de la
meilleure amie de leur femme qui bosse chez machin leur a dit...
Ceci étant, pour info une réponse technique qui m'est parvenu en
privé (merci
Mister White :)
***
Faire du blackhole via BGP pour une URL/URI donné ne fonctionne pas
et c'est
une source de problèmes. Si cela fonctionnait, on pourrait le faire
avec les C&C des malware ;-)
Pour plusieurs raisons :
- Dans le cas ou un URL peux donner n*IP : Content delivery network
(e.g. akamai), large virtual
hoster, reverse proxy, RNAT, ...
--> on blackhole du traffic légitime. (source de problème pour les
ISP de taille moyenne)
- Dans le cas ou un URL donne une seule IP, cela semble plus simple
mais beaucoup utilise du virtual host en HTTP. Et donc on tue un
paquet de
trafic légitime.
Un autre soucis, c'est la stabilité BGP. Si on commence à envoyer des
message UPDATE à gogo dans une infrastructure... les problèmes
commencent même
en I-BGP.
Si je prends flow-spec, cela pourrait aider dans ce cadre de filtrage
massif (au niveau technique). Mais les autres problèmes sont toujours
présents.
Et puis pour info quand même, ca avait été plutôt caucasse quand un
certain ISP avait tenté le blackhole d'un subnet de Youtube sur
lequel
se trouvaient leur DNS (l'idée a la base est pas trop stupide, même
si je la soutiens pas), demandez leur, la communauté les avaient
traités de gros boulets et plusieurs types de PCCW s'étaient bien
bien faits afficher. Je suis pas sûr qu'un seul des ISPs sur cette
liste puisse certifier que TOUS ses transitaires filtrent les
annonces
malheureuses...(par compte je sais que certains continuent
consciencieusement à le faire)
Greg VILLAIN
Artisan Internet
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
