Le 2012-06-26 21:37, Stephane Bortzmeyer a écrit :
On Tue, Jun 26, 2012 at 05:09:59PM +0200,
Je ne suis pas sûr d'être d'accord, surtout avec le « avant tout ».
Il
y a deux raisons pour lesquelles le rapport ne contient pas de
mesures
sur la résilience physique (celles des câbles) :
Je continue de penser que la Couche 1 mérite toute notre attention.
Démontrer la solidité du DNS ou du BGP français est intéressant, mais
BGP et DNS sont connus pour être des protocoles résistants.
La sécurité d'une chaîne équivaut au plus faible de ces maillons, et la
couche physique est le maillon faible.
La résilience d'Internet c'est aussi de savoir quelle probabilité de
tomber en panne a une liaison peer to peer entre un abonné fibre Orange
et un abonné ADSL Free.
Bien sûr, pour des raisons diverses ces infos sont confidentielles ou
stratégique. Mais c'est là que le rôle d'autorité ou d'agence
gouvernementale prend tout son sens.
2) À l'échelle de tout l'Internet (mais pas à celle d'un service
particulier), la résistance aux pannes physiques est grande, comme
l'avait montré le séisme de mars 2011
On parle de la résilience de l'Internet français. Planter Internet à
l'échelle mondiale est difficile, les réseaux aux USA me laissent
rêveur, mais notre très jacobin Internet français me parait plus
fragile.
Pour en revenir au contenu de l'étude, j'aurais quelques questions.
Vous étudiez la dispersion et la dispersion des serveurs DNS d'autorité
en termes géographiques et de routage IP.
La remarque est légitime, trop d'autorités DNS sont dans les mêmes AS
ou le mêmes plages IP, et j'espère que les opérateurs en ont pris note.
Mais quid de la variété logicielle. Sur les serveurs d'autorité ne
faudrait t'il pas mettre un unboud en backup d'un bind ou inversement ?
Si un bug ou un 0-day touche l'un ou l'autre des logiciels, la reprise
n'en sera que plus facile, non ?
Quand au fait que les enregistrements DNS sont concentrés dans un petit
nombre de serveur d'autorité, c'est directement dû au fait que la
plupart des clients conservent les NS du registrar du domaine. Très peu
installent leur propre NS et se délèguent la gestion de zone, quand à
installer DNSSEC sur des serveurs auto-géré, c'est beaucoup demander.
Quand à la disponibilité des serveur NS en IPv6, les seuls que je
connaissent sont ceux d'OVH. C'est pas gagné.
D'ailleurs merci pour l'étude IPv6, les données sont très intéressantes
et seront utiles à beaucoup.
Cordialement
--
Raphaël Durand
www.ultrawaves.net
Cet e-mail est protégé par les lois françaises sur le secret de la
correspondance.
Les mails postés depuis cette boite personnelle n'engagent en aucune
façon mon employeur.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
