L'évolution de la téléphonie mobile. 12 ans d'ecart entre les deux si je me souviens bien.
Phillips Fizz et Apple iPhone.
Mitigation.
Cf. Wikipedia : la Mitigation (d'après le mot latine mitigare) est utilisée - dans le domaine du risque ou des études d'impact et surtout dans les pays anglo-saxons - pour désigner des systèmes moyens et mesures d'atténuation d'effets, par exemple en matière de risques majeurs naturels ou dans le cas d'impacts négatifs pour l'environnement induits par un aménagement.
Il est je pense vital de faire la lumière sur une technologie que nous avons en production depuis quelques mois grâce à nos amis et confrères de NeoTelecoms et qui mérite toute l'attention des professionnels qu'elle adresse : le contrôle et la réduction d'effet des attaques par déni de service distribué. (DDOS)
C'est un marcher de niche, je ne connais qu'un seul acteur viable et capable de traiter le sujet ; j'aurai bien mis des concurrents pour prouver à la face du monde que cet article n'est pas sponsorisé, mais malheureusement... point n'est possible !
Les attaques DDOS étant un sujet sensible ces derniers jours, je m'abstiendrai de rentrer dans les turpitudes des mécanismes de défense - l'information, c'est le pouvoir - , l'important c'est le principe de la solution. :)
Comment se nomme l'éditeur de cette solution incroyable et miraculeuse ? Arbor Networks.
Que font les boitiers Arbor, quel est leur business, qui achete ce produit et en quoi ça nous a aidé ?
Arbor Networks a de mon point de vue deux utilités primordiales : l'analyse de statistiques NetFlow d'équipement réseau (incluant les rapports d'analyse, les graphs etc...) et, découlant de cette analyse statistique détaillée de l'ensemble du trafic du réseau, la détection de comportements pouvant avoir un impact pour la production ainsi que le filtrage des paquets indésirables.
Le produit d'analyse statistique s'appelle PeakFlow ; les restitutions sont magnifiques, et on pourrait organiser des keynotes Apple-Like pour présenter le produit en bourrant de "Gorgeous" et autre "revolutionnary" le speech du vendeur, avec un auditoire purement réseau et acquis à la cause, cela va s'en dire. Dans un réseau de fourniture de service Internet, le produit permet de repérer les AS avec lesquels vous discutez, la bande passante mobilisée vers chaques AS, et ainsi réguler votre réseau, vous aidant à prendre des décisions de peering, de transit.... Je ne m'étends pas sur ce sujet, n'ayant pas moi même de réseau sous ma responsabilité équipé de ce système d'analyse. D'autre en parlerait mieux que moi !
Le produit qui nous intéresse vraiment s'appelle PeakFlow SP TMS : Threat Management System. Le TMS est une grosse appliance - qui coute un bras - et qui va capter le trafic indésirable, l'analyser en détail et dropper les paquets inutiles.
- "AWESOME ! How does this work ?" you might say.
Je vous ai préparé quelques slides, qui vous permettront de comprendre le fonctionnement. Ca ira plus vite qu'ici en plusieurs paragraphes de blabla.
Il y a d'autre implémentations possibles. Je n'ai traité que le cas mutualisé au sein d'un réseau opérateur. Mais on peut très bien envisager un achat du boitier et son intégration au sein d'une infrastructure disposant d'interconnexions Internet suffisemment imposantes pour pouvoir supporter la charge. Le point principal étant là : il ne faut pas saturer les fibres !Et si possible, il ne faut pas payer pour recevoir des paquets poubelles lors d'un DDOS... Il faudra certe payer l'Arbor, mais à la différence des paquets poubelles, votre service est rendu.
Update : Je suis tombé par hasard sur un concurrent d'Arbor. Ce n'est pas tout à fait la même implémentation et les services possibles sont plus larges, mais l'idée est la même : ne pas faire arriver les paquets inutiles sur votre infrastructure. La société s'appelle Prolexic Technologies. Je vais me renseigner sur leurs produits et faire un article sur le sujet quand j'aurai un peu de temps.
J'ai employé une demi heure de mon dimanche pour mettre à disposition du monde un service indispensable quand on forme un padawan : une manière simple mais efficace de lui signifier qu'il a subi un échec tout en l'instruisant sur la meilleure méthode pour corriger le tir.
Exemple : Omar ne se souvient plus de son blog. Je lui signifie donc son echec et je lui rappelle l'adresse : http://youfail.fr/omar
Have fun.
Change : lose a well known current reality towards an insecure future, motivated by an expected progress
J'ai publié un article ce matin sur le nouveau réseau de transport Ethernet d'Intrinsec.
Ca fait un peu plus d'un an que je conduis le projet, et on est dans la dernière ligne droite pour la mise en production ! :-)
Quand on veut avoir une infrastructure réseau redondée, on fait du BGP. Un numéro d'AS, des préfixes, on annonce le tout à deux opérateurs et voilà hop l'infrastructure est sécurisée et sans les explosions synaptiques d'un système de loadbalancing et ses mécanismes de NAT, de gestion de la route par défaut , etc etc...
Quand on a un numéro d'AS, des transitaires, des clients qui demandent et achetent toujours plus de bande passante avec une latence minimale entre leur infrastructure et les Box des opérteurs grands publiques, on est amené dans sa réflexion à s'orienter vers les points de Peering publique.
Un point de peering, c'est une infrastructure neutre et localisée dans une aglomération dense en réseau telecom, où les backbones de plusieurs opérateurs, fournisseurs de contenus et réseau d'entreprise de grande taille se trouvent. Chacune de ces entités cible dispose d'un numéro d'AS, identifiant leur réseau publiquement.
Preque toutes ces différentes entités achetent à un opérateur du transit vers "Internet". Seul les plus gros (les opérateurs "Tier 1") n'ont pas ce besoin. Le plus gros est selon le classement CAIDA l'opérateur "Level3" de par l'étendu de son réseau et des réseaux qui y sont raccordés.
L'achat de transit a un coût. C'est un coût au mégabit par seconde ramené au 95ème percentile pour les offres wholesale et au biling au service souscrit avec limitation de la bande passante maximale pour les offres plus "Entreprise". C'est à dire que dans un cas vous avez toute la capacité du port disponible et vous payez selon ce que vous consommez avec un calcule réalisé en fin de mois, et dans l'autre vous êtes bloqué à une bande passante maximale garantie, que vous payez quoi qu'il arrive.
Dans les deux cas le paquet transmis est facturé, et il coûte cher. Quand votre réseau grandit, que votre consommation de bande passante décolle, en bon père de famille vous allez acheter plus de bande passante à vos transitaires et la facture va monter ; le but du peering est de limiter l'hémoragie des coûts récurents de transmission vers Internet des paquets, avec une constation simple : si vous payez pour émettre un paquet sur votre transit, le réseau en face va payer lui aussi pour recevoir le paquet auprès de son fournisseur de transit. Comment éviter de payer du transit pour ces flux importants ? Etablir une connexion directement entre votre réseau et le réseau partenaire. C'est un peering.
Les points de peering publiques sont dans la plupart des cas des infrastructures neutres et financées par les réseaux qui s'y connectent. Leur objectif est de mettre à disposition une infrastructure permettant de relier ensemble les différents réseaux qui s'échangent du trafique. En orientant les paquets sur un point de peering plutôt que sur un lien de transit, on réduit le coût du paquet. En effet, les infrastructures des points de peering sont bien plus abordable que les services de transit.
Il y en a partout autour de la planete, des points de peering. Si on se concentre sur l'Europe, les principaux qui me viennent à l'esprit sont le LINX à Londres, et l'AMS-IX à Amsterdam. Au final, chaque grand Pays a son point de Peering. Chaque ... Sauf la France qui y est allée de sa petite exception culturelle ! :-) C'est dans notre folklore, on ne va pas se renier !
A Paris, des points d'échange, il n'y en a pas un... Il y a le SFINX, opéré par Renater, le Free-IX opéré par Free mais où il n'y a plus de nouveaux arrivant, Le PANAP de Club Internet, qui avait bien grossis mais qui est maintenat aux mains de Bytel et qui va être migré vers un autre, le France-IX dont on parlera plus tard... Et la liste continue :
- PAR-IX de France Telecom
- CHTIX d'OVH
- POUIX de Gitoyen
- FNIX6 de Novso, spécialisé sur IPv6
- FR-IX de la coopérative Odpop
- Mixt, peering VOIP d'Acropolis
- et le point d'échange d'Equinix, disponnible sur tous les datacenter Equinix du monde.
Bon. ça fait du monde pour Paris. Et c'est pas fini, il y en a en province !
- MAIX à Marseille opéré par Jaguar Network
- Lyonix à Lyon
- Touix à Toulouse
- ... Et quelques autres, mais j'ai posé mon point. :)
Quand vous souhaitez raccorder votre réseau sur un point d'échange à Paris, le choix n'est donc pas facile... Qui choisir ? Combien en choisir ? Doit-on tous les brancher ???
Ce choix a dû être fait pour Intrinsec. En réalité le choix numéro un était de savoir si nous ferions du peering ou pas. La décision a été prise dans un package plus global de réorganisation de nos liaisons. Le choix s'est porté sur France-IX, le point d'échange qui à mon sens apporte le plus de garantis de pérennité et de qualité de service. De plus, la liste des réseaux disponnible est très convaincante. Ce qui l'est encore plus c'est le route server.
Qu'est ce qu'un route server ? C'est un équipement avec lequel vous montez une session BGP. Tous les autres membres du point de peering montent leur session BGP sur ce route server. Vous annoncez vos préfixes, et le route server renvoie aux autres membres qu'ils peuvent vous joindre via votre IP au sein du point d'échange. A l'inverse, vous recevez les préfixes des autres membres afin d'envoyer votre trafique vers leurs équipements. Sur France-IX, 80% des membres participent au route server. Dont Google, pour ne citer qu'eux. Les ingénieurs réseaux d'Intrinsec seront donc heureux de ne pas avoir à négocier et configurer la session BGP pour le peering au cas par cas avec chacun des réseaux présents. On le fait une fois, et on récupère le gros du trafique ! Awesome !
Pour s'interconnecter avec le point d'échange, il vaut mieux être déjà présent dans les Datacenters où celui-ci a décidé de s'implanter. France-IX fait le tour des Interxion, Telehouse et Telecity RedBus a Courbevoie. C'est assez large, mais il en manque.
Intrinsec sera présent dans les semaines à venir sur France-IX, le projet est dans le tuyaux. Je ferai une note quand notre interface pingera. (#geek) Il faut d'ailleurs noter que notre second datacenter de production se trouvant à Lyon, il y a là bas le Lyonix, avec des acteurs assez intéressants dessus. :-)
En effet, nous revoyons globalement notre politique afin d'être mieux positionné, d'avoir des latences affutées vers les réseaux "Eyeball" grand publiques, et une qualité de service optimale. Cela passe par une sélection attentive des transitaires, une vérification des chemins réseaux empruntés vers les destinations les plus importantes pour nos clients en Europe ainsi qu'une qualité d'interconnexion sans faille vers les Box en France;
Et enfin, pour clore le sujet, il y a l'IPv6, qui passera bien un jour en production lourde. France-IX fait partie de notre plan de déploiement IPv6. Il n'y a plus qu'à avoir des clients motivés à publier des plateformes en v6 après ça !
Quelques liens :
Je suis en ce moment sur un projet de refonte du réseau d'Intrinsec (la boite qui m'emploie, ndlr ;-D), et j'ai eu l'envie aujourd'hui de faire un customer feedback sur une entreprise que je me félicite d'avoir accepté de rencontrer lors de la recherche du bon constructeur pour bien répondre à notre besoin et nous accompagner. Après avoir cherché dans toutes les directions, d'en avoir rencontré un certain nombre, d'avoir cherché la meilleure méthode de production, je suis tombé sur les bonnes personnes pour accompagner le projet et réussir au mieux les challenges qu'Intrinsec a à relever du fait de notre croissance et de l'importance centrale d'un réseau robuste, flexible, mais segmenté (siloté comme on dit chez nous).
Cette boîte c'est Brocade, et je leur tire mon chapeau, tant au commerciaux qu'aux avant-ventes. Avec eux, j'ai pu redessiner totalement l'infrastructure initialement prévue et fournir un design plus que convaincant pour que la décision prise d'investir sur Brocade soit éclairée.
On a eu un test-bed, on a eu un accompagnement au test-bed, on a un accompagnement à la mise en production, et par les mêmes personnes qui ont dessiné avec nous l'infrastructure avant de l'acheter. ( et mine de rien, avoir un test-bed, c'est pas si facile chez d'autre constructeur) La phase de pré-production arrive à grands pas pour ce nouveau réseau, mais déjà les phases d'installations et de tests préliminaires sont plus que convaincantes, tout comme le matériel.
Pour parler un peu plus du projet, c'est un backbone MPLS/VPLS pour supporter l'infrastructure de collecte des liaisons privées Fibre Optique de nos clients, jusqu'à la distribution sur les fermes ESX. On a besoin de résilience, on a besoin d'un réseau qui ne bagote pas et qui est facile à configurer, on a besoin de s'affranchir de Spanning-Tree et de faire du traffic-engineering sur nos liaisons longues distances. VPLS sur d'autre fondeurs avait l'air particulièrement imbuvable niveau configuration, surtout si on doit automatiser derrière. On nous a prouvé par A + B qu'en fait, pas du tout, c'est super simple. Et facilement automatisable de notre point de vue.
On avait demandé sur FRnOG des feedbacks sur Brocade, je mets le mien ici, si ça peut servir à un futur client qui se demanderait si c'est une bonne idée de faire des infidélités à son fondeur de toujours. (La réponse est oui, "because new is always better", B.S. ;-) )
Je suis tombé grâce à Sylvain Kalache sur un site internet promettant aux dirigeant d'une entreprise de pouvoir surveiller leurs salariés. Le but est d'augmenter la productivité globale des salariés en les épiants... Le moyen technique : une application "invisible" sur votre poste de travail Windows (encore une bonne raison de passer sur Mac), qui va envoyer un screenshot toutes les secondes à votre employeur et enregistrer toutes les lettres que vous tapez sur votre clavier.
C'est stupide. C'est juste de l'espionnage pur et simple, à la limite du voyeurisme. Il y a des normes, des standards, et des best practice à suivre pour éviter que les salariés utilisent le réseau informatique de l'entreprise pour des usages personnels ! aucun besoin d'aller vérifier ce qu'ils font en s'immisçant dans leur vie privée !
Comment ?
Des solutions de filtrage applicatifs existent sur le marcher et sont très simples à mettre en place. Et ont un coût de loin très inférieur à ce que propose la société derrière "surveillermonsalarie.com".
Pour maximum 3000€, matériel et temps ingénieur, vous pouvez empécher une cinquantaine de postes clients d'aller sur des sites improductifs... et bien plus ! protection anti-virale en directe, protection contre les sites choquants, filtrage précis des catégories violentes et non professionnelles, filtrage des protocoles à risque... un vrai réseau sécurisé !
La solution intrusive proposée ne fait qu'une chose : espionner le salarié, qui a la possibilité via l'infrastructure mise en place par l'entreprise d'accéder aux différents sites à impacte sur la productivité, au lieu de l'empêcher purement et simplement sans s'occuper de ce qu'il fait de sa vie.
Analysons les coûts de la solution "surveillermonsalarié" :
790€ par poste.
Je veux épier mes salariés sur 50 postes : 19750€ HT (cf. site web du produit, tout en bas)
Maintenant, le coût ingéniérie et mise en place de la matrice de filtrage applicative comprise d'une solution de protection d'un LAN client :
2 Journée ingénieur dans une SSII qui coûte cher : 2000€ HT
Matériel adéquate pour gérer une à deux lignes ADSL 20 mbps sans redondance particulière : 2500€
Capacité : jusqu'à une centaine de poste clients
Total : 4500€
CQFD. Pour bien moins cher, vous avez beaucoup mieux. Il n'en reste pas moins que si l'employeur achète ce système, c'est pour espionner le salarié sur son poste de travail. Il a d'autre solutions disponibles pour s'en affranchir.
Des fondeurs de matériels qui savent répondre à la problématique :
1°) Fortinet avec ses Fortigates (www.fortinet.com)
2°) Juniper sur ses Netscreen (www.juniper.net)
3°) StoneSoft et son Stonegate ISP (www.stonesoft.com/fr/)
Le site proposant d'épier les salariés. : surveillermonsalarie.com
That's it, après avoir été rebuté par le côté hégémonique de Google et le fait qu'ils contrôlent un peu trop d'informations critiques de ma vie, je leur sers sur un plateau le détail de mon surf ! Aprioris ils ont déjà sniffé mes mots de passe en faisant la collecte de google street view, alors on est plus à ça près !!!
Blague à part, le navigateur de Google poutre le Safari d'Apple et le Firefox de Mozilla. C'est juste tout simplement agréable. J'ai pas de fenetre qui popup pour les downloads, j'ai juste à cliquer en bas pour qu'il s'ouvre. Je cherche quelques chose, je tape la recherche directement dans la barre d'adresse, j'ai pas à gérer deux champs textes dans ma tête : un pour l'URL, un pour la recherche.
C'est avec ce genre de features toutes bêtes que le produit Google, pensé pour faciliter la vie de l'utilisateur sans le surcharger de détails inutiles et compliqués (ou qui font ramer la machine quand elle est déjà bien chargée, comme la vue 3D de Safari), que Chrome m'a convaincu.
Ils sont vraiment forts chez Google.
Curieux, je clique dessus. Et là, stupéfaction. Mon Twitter et mon Facebook, comme par magie, aspirés. Et sans un seul pseudo formulaire d'approbation vous demandant de confirmer que vous souhaitez afficher à la terre entière vos histoires. Oh My Dear Gods. Sylvain me l'avait dit, je l'avais cru d'une oreille, mais la réalité m'a frappé en pleine face comme un vieux bout de Marouale.
Force est de constaté que l'inventeur mal avisé de Google Buzz Flop, qui a des vues particulièrement avant-gardistes sur le voyeurisme et l'impudeur, n'a pas jugé bon de prévenir les utilisateurs de Google Mail, qui n'ont pas tous la même ouverture d'esprit.
Aussi ai-je emboité le pas de mon camarade Sylvain, et ai-je désactivé promptement la fonctionnalité indésirable.
Une chose est sûre, ma messagerie personnelle va partir ailleurs que chez Google. Tous les oeufs ne doivent pas aller dans le même panier. :)