Bonjour à tous,
pour compléter la discussion « Souveraineté - petit exercice special 'dredi »
qui adresse principalement le sourcing, j’essaie de créer un modèle
opérationnel et visuel de « l’Internet » pour faire ressortir les aspects
résilience et souveraineté. La présentation traditionnelle OSI ne me convient
pas mais illustre ce que je cherche à faire. Je voudrais contribuer ce modèle
auprès du BEREC dans le cadre de l’article 6 du Digital Network Act
(identification des dépendances).
Cette représentation devrait aider à distinguer des couches fonctionnelles (je
vais mélanger sciemment protocoles et fonctions) comme:
- transport = comment acheminer des bits d’un point A à un point B; par
ecxemple fibres , fréquence, longueur d’onde et tous les éléments qui
permettent d’établir des « circuits » façon VLAN, TSN, DWDM, ATM, MPLS, Frame
Relay [;-)]
- Réseau = comment envoyer des paquets d’une adresse à une autre (cela
couvre comment obtenir ces adresses, le cryptage (MACsec IPsec), le routage);
DHCP, Radius, CGNAT, 6to4, IS-IS, [e|i]BGP, IRR, URPF,…; ddos mitigation, fw,
RPKI
- Session = comment établir une session authentifiée et cryptée (pas le
protocole applicatif lui-même) entre deux « End-Point » ; DNS, PKI, HTTP(s),
SMTP, IMAP, NTP,PTP
- Application = l’ensemble des sessions end-point (il est parfois
nécessaire d’avoir plusieurs sessions pour qu’une application fonctionne)
nécessaires pour « faire le boulot »: HTML, Javascript, WebAssembly, SMTP
Il y a des empilements réflexifs comme le FW hébergé dans le cloud qui peuvent
rendre la représentation obscure. Je laisse ceci de côté pour le moment.
1) Quelles seraient la liste des couches fonctionnelles vraiment utiles
(proche de l’opérationnel, pas du théorique, ma proposition des 4 couches est
certainement trop simpliste)? Mon focus est la couche réseau.
2) Pour chaque couche, quelles sont les éléments constitutifs et les
faiblesses/dépendances associées sachant que:
- il y a des sujets transverses comme « booter un élément » (serveur,
carte routage dans châssis, microcontrolleur…). Notamment, s’il y a un full
disk encryption avec un TPM pour le boot dun routeur: le routeur peut devenir
imbootable pour cause de tripatouillages PKI par une puissance étatique
étrangère.
- Il y a des dependences pas évidentes telles que celles qui peuvent
rendre le MFA inopérant par des attaques NTP/PTP/signal GPS (ou stations au
sol).
- Un DWDM sans OAM est inutile car s’il reboote pas configuré, il ne
sert à rien
3. L’esprit du modèle est d’être « suffisamment correct » pour guider
l’inventaire des dépendances pour la résilience et la souveraineté, pas pour
faire un papier scientifique…
Au plaisir de vous lire...
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
