Le mardi 23 mars 2010 à 10:45 +0000, Thomas Mangin a écrit : > >> Généralement, quand tu veux brider: tu priorise ce que tu peux analyser, > >> si ce n'est pas analysable, c'est crypte et P2P et tu brides. > >> Pour cela NBAR de cisco ca suffit - je peux même poster une config si tu > >> veux tester :p > > > > montre nous comment tu fais cela pour du p2p dans un tunnel ssh svp > > Ca donne quelque chose comme ca. Maintenant NBAR c'est vraiment la plus > simple des solutions DPI, les produit commerciaux spécialisé font beaucoup > mieux. Mais tu as l'idee. > Sans "match protocol ssh" le tunnel passe dans la classe default qui comme > tu peux le voir n'a pas grand chose (je suis dur ...:p) >
Ta conf DPI est static, et si je peux mettre en évidence un filtrage sur un protocole particulier par des tests de performance, je vais direct l'abandonner et en chercher un autre. En gros, la class-map , sans la connaître, peut être retrouver en testant proprement les perfs du réseaux. Dans ta conf Tu as mis ipsec/gre dans "good-traffic", et là je n'ai même pas besoin de récrire mon appli p2p, il me suffit de configurer la bonne interface kivabien avec mes peers. A ma connaissance (je veux bien qu'on apporte la preuve du contraire) les protocoles de l'internet peuvent pratiquement tous supporter un "hidden channel". Il suffit d'avoir eu à faire face à des tunnels IP dans icmp ou dans DNS pour comprendre ce que je veux dire. Il me semble risqué de dire que la DPI les mettra tous en évidence. Et vu à une echelle de temps de l'ordre de l'année, l'Internet n'est pas un systeme informatique, mais un système biologique . Si pour l'instant la DPI fonctionne sur les applies existantes, elle devra forcement s'adapter aux nouvelles applies que les programmeurs mettront au point pour la combattre. Je pense que le cauchemar de la DPI sera atteint quand le p2p reposera sur plusieurs protocoles standards, et non 1 seul comme ssh dans ma proposition. En créant un canal caché réparti sur dnssec, http, https (on peut allonger la liste comme on veux) et si l'encapsulation respecte les propriétés statistiques des protocoles utilisés, je souhaite bonne chance aux designers des boards et du soft pour rester dans les clous des perfs demandées. Chaque progrès de la DPI incitera les développeurs à modifier les protocoles traqués pour en augmenter la complexité. Pour l'instant la DPI semble efficace à un coût raisonnable, mais pour combien de temps encore ? En gros mon avis sur la DPI est le meme avis que celui de la NSA sur l'HADOPI version US, cela prendra plus de temps qu'avec l'HADOPI mais on aboutira au même résultat. Dans l'imagerie militaire, on a affaire au combat "blindage contre canon" et la puissance de la crypto/stegano finira par pulvériser tous les blindages que la DPI proposera. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
