Pour le chiffrement de l’Ethernet filaire c'est 802.1AE plus connu sous le nom de MACsec, qui est a utiliser en complèment de 802.1x pour l’authentification. Je n'ai jamais eu l'occasion de le mettre en place, mais il doit avoir la cote sur les liaisons intercontinentale en ce moment

Bonsoir Krtman,

Pourrais tu préciser pour le passage "coté" sur les lien Intercontinentaux ?

Cdt

Bensay

On a désormais la preuve que la NSA a intercepté des dark fiber de Google.

Quelqu'un sait comment ils  ont pu "intercepter" des fibres inter-DC car je vois pas comment en pratique ca se fait...
Faut deja se 'brancher" physiquement (ou?, comment?) puis transporter (idem) ce qu'on écoute et ensuite le stocker (ou l'analyser en temps reel).. vu le volume inter-DC chez Google en plus.

Pourrais tu préciser pour le passage "coté" sur les lien Intercontinentaux ?

C’était de l'ironie, et comme l'a dit thenico certains services de renseignement interceptent les communications et cela ne s’arrête pas aux communications entre DC. Ils ne monitor pas seulement internet, c'est aussi le cas pour les réseaux fermés. Ceux des opérateurs, et par conséquence les réseaux privés de leurs clients. Il y a l'exemple des liens inter DC de Google et Yahoo, ou du réseau interbancaire Swift, et probablement bien d'autres. Et quant on voit les précautions qu'ils prennent avec les opérateurs étrangers, ça en dit long sur ce que eux doivent faire.

ps: A chaque RMLL, je voyais des équipements de chiffrement line-rate dans les DC des universités hôtes et je ne comprenais pas pourquoi les DSI en achetait car cela semblait overkill.
Maintenant, je comprends mieux et je soupçonne que c'était un ordre des services de contre-renseignement ...

Des équipements de ce genre la ?

Quelqu'un sait comment ils  ont pu "intercepter" des fibres inter-DC car je vois pas comment en pratique ca se fait...
Faut deja se 'brancher" physiquement (ou?, comment?) puis transporter (idem) ce qu'on écoute et ensuite le stocker (ou l'analyser en temps reel).. vu le volume inter-DC chez Google en plus.

Et bien ils mettent des TAPs sur les fibres optiques, avec l'accord des opérateurs télécoms.


Et ces derniers se refuse a parler car tout cela est probablement classé secret défense, et ils s'exposeraient a des poursuites s'ils le faisaient (voir le cas Lavabit, etc). Ou bien a minima a une très mauvaise publicité.

Cela faisait longtemps que ça se savait. La première preuve et arrivé par un ancien employé d'AT&T (Mark Klein cité plus haut), qui a eu accès a une salle d'interception. Il a noté les modèles d'équipements utilisés. Les détailles techniques sont ici. Il y  avait des splitters optique, l'équipement clé qui analyse le trafic est un Narus STA 6400, des routeurs Juniper, des serveurs SUN. L'affaire de la Spy room chez AT&T et bien antérieur a Prism, depuis, il y a eu les révélation de Snowden, mais pour le moment et a ma connaissance aucun document sur les produits utilisés par la NSA n'a été publié. On sait juste que la NSA a dépensé des millions en 2009 pour moderniser ses stations. Glimmer Glass est par contre soupçonné d'avoir fourni la NSA.

le mistral c'est du layer 3.
les fournisseurs comme ADVA proposent des équipements de transmission optiques ou la liaison est chiffrée au niveau le plus bas.

Je préfère le chiffrement des couches hautes, cela permet du bout en bout (https au lieu de http, sftp au lieu de ftp, ssh au lieu de telnet, ect...)

Je vais d'ailleurs proposer de tester son débit en https dans quelques semaines sur https://testdebit.info

Cela prend tant de ressources que ça ?

Le fait d'avoir passé lafibre.info en https c'est passé de façon indolore sur la charge CPU.
J'arrive à monter à 1 Gb/s il me semble avec des échanges en SFTP.