>> Michel Py >> Attention au contexte: ces billets étaient dans le domaine de >> l'hébergement, pas de l'accès grand public, deux choses totalement >> différentes. Aussi, ne pas confondre détection et remédiation.
> RobOEM a écrit: > Totalement différentes? Dans les termes de service actuels, oui, > nous sommes tout à fait d'accords. Cependant en pratique, sachant > que d'une part une minorité vocale tient à pouvoir héberger des > services @home, sur un accès 'grand public', et que d'autre part > certains font héberger des applications pas tellement mieux > sécurisées que l'ensemble windows+applications+utilisateur grand > public, la seule différence que je pourrais voir c'est qu'a priori, > il n'y a pas d'utilisateur en permanence actif sur un serveur > hébergé, et qu'il n'y a pas toujours de poste actif derrière un > accès au net grand public (à part les box, mais bon, autre débat). Intellectuellement, je suis à peu près d'accord. Mais d'un point de vu opérationnel, très différent et voici pourquoi: 1. Le serveur hébergé qui se fait contaminer (disons par une vulnérabilité, puisque personne n'est devant pour cliquer sur le lien qui tue). Impact sur le réseau: fort; un serveur qui a un lien GE ça va tuer la moitié du réseau d'un petit hébergeur. Même à 100Mbps ça va impacter un très petit hébergeur. Impact sur l'Internet: fort. Détection: facile. A la limite, pas besoin de s'occuper de cette partie-là: le téléphone va se mettre à sonner et la boite abuse@ se remplir. Les sous: garder ce serveur actif coûte nettement plus que ce que paie le client. Résultat des courses: on bloque tout de suite. Seuls les très gros hébergeurs peuvent se permettre d'attendre, et c'est là ou il faut leur taper sur les doigts s'ils le font. 2. Le PC de Mme Michu qui récolte un merdiciel parce qu'elle a cliqué sur un truc et dit à UAC que c'était OK. Impact sur le réseau: faible. Avec son upstream de 1Mbps, elle ne va pas faire tomber l'infra. Impact sur l'Internet: faible. C'est malheureux à dire, mais le PC de Mme Michu qui envoie du spam à 1Mbps, ça n'empêche pas l'Internet de marcher. Détection: Il faut s'en occuper. Surtout dans le cas d'un spambot, presque plus personne ne se donne la peine d'avertir le FAI. Les sous: 1Mbps c'est plus rien aujourd'hui, garder le PC de Mme Michu actif n'empêche pas d'être profitable, même si ça écorne la marge. Résultat des courses: personne ne fait rien. Ce que fait Comcast dans ce domaine (RFC 6108), c'est bien. Mais ne pas s'attendre à ce que tous les FAI fassent pareil, en particulier les petits qui n'ont pas les économies d'échelle ni les ressources des gros. Michel --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
