To93p!!
« RIP mon épaule et mon polo noir sur l'IRL1 »
De mon côté, j’y ai laissé mon genou gauche…
puet
http://www.youtube.com/watch?v=qzitgB7pnpg
loak50'000sockets ouverts simultanément c'est bien ça?
- Le traffic d'une LAN n'est *vraiment* pas comparable à celui d'une entreprise (niveau hétérogénéité et quantité de traffic. Je me suis également occupé de réseaux d'entreprises, et je t'assure que tu as rarement 50 personnes qui font du p2p, 50 qui font du hon, 50 qui font du LoL, 50 qui pompent sur megaupload, et le reste qui essaie d'avoir un bon ping à CS
loakVyddo
- Dans le cadre de mon métier je travaille en collaboration avec l'admin réseau de ma société ( une grande caisse maladie de +1000 employé ). Nous avons un produit que je trouve révolutionnaire qui s’appelle un Paloalto. C'est un firewall applicatif qui filtre les softs. La différence avec les produits qu'il y a sur le marché c'est qu'il ne fonctionne pas sur les ports UDP/TCP mais belle est bien avec la signature des logiciels. Je m'explique, si on dit “ le P2P say le mal, ca mange toute la bande passante” oui mais des programmes utilisent le P2P pour update ou autre. Ce firewall lui est capable de différentier les softs et de bloquer du torrent mais pas Skype par exemple. Il est aussi possible de filtrer le contenus sécurisé ( SSL ) et de voir ce qu'il y a dans les paquets pour les filtrer. Après je suis conscient que ça à un coût, et que vous ne pouvez pas vous amuser à acheter du matos toutes les 2 éditions.
Idem avec ma possibilité d'utiliser deux gateway. Pourquoi ne pas utilisé une gateway pour les jeux et autres applications “importante” et une autre gateway avec le port 80,443,21 et tout le reste ?
Merci pour ton post constructif au milieu de tout le reste.
Alors en fait si j'ai bien compris de quoi tu parles on a plus ou moins l'équivalent en place (mais en gratuit) ( http://l7-filter.sourceforge.net/ ).
Ce n'est cependant pas suffisant, car il y a deux problèmes :
- Le traffic d'une LAN n'est *vraiment* pas comparable à celui d'une entreprise (niveau hétérogénéité et quantité de traffic. Je me suis également occupé de réseaux d'entreprises, et je t'assure que tu as rarement 50 personnes qui font du p2p, 50 qui font du hon, 50 qui font du LoL, 50 qui pompent sur megaupload, et le reste qui essaie d'avoir un bon ping à CS
- La petite croix “encrypt bittorrent protocol” ou équivalente dans ton client qui rend toute classification impossible… Si le traffic est crypté il est impossible de le reconnaître… Et on ne peut pas se permettre de bloquer ce qu'on ne reconnaît pas, vu que tous les jeux ont des protocoles de m***
Ce n'est donc pas suffisant de mettre ceci en place tout seul. Et c'est ce qu'on essaie de faire intéragir depuis plusieurs éditions. Dans la config actuelle, ce qui est identifiable à coup sur est throttlé très très lent directement, et le reste est shapé en fonction de la durée de vie du socket: Premier burst à 100Megs, et plus le socket reste ouvert longtemps plus il ralentit.
Quant à ton idée de mettre en place une deuxième gateway, c'est effectivement un truc auquel on a pensé dimanche, (mais trop tard…) et qu'on risque de mettre en place pour la prochaine. “Il n'y a plus qu'à” convaincre l'EPFL
puetloakVyddo
- Dans le cadre de mon métier je travaille en collaboration avec l'admin réseau de ma société ( une grande caisse maladie de +1000 employé ). Nous avons un produit que je trouve révolutionnaire qui s’appelle un Paloalto. C'est un firewall applicatif qui filtre les softs. La différence avec les produits qu'il y a sur le marché c'est qu'il ne fonctionne pas sur les ports UDP/TCP mais belle est bien avec la signature des logiciels. Je m'explique, si on dit “ le P2P say le mal, ca mange toute la bande passante” oui mais des programmes utilisent le P2P pour update ou autre. Ce firewall lui est capable de différentier les softs et de bloquer du torrent mais pas Skype par exemple. Il est aussi possible de filtrer le contenus sécurisé ( SSL ) et de voir ce qu'il y a dans les paquets pour les filtrer. Après je suis conscient que ça à un coût, et que vous ne pouvez pas vous amuser à acheter du matos toutes les 2 éditions.
Idem avec ma possibilité d'utiliser deux gateway. Pourquoi ne pas utilisé une gateway pour les jeux et autres applications “importante” et une autre gateway avec le port 80,443,21 et tout le reste ?
Merci pour ton post constructif au milieu de tout le reste.
Alors en fait si j'ai bien compris de quoi tu parles on a plus ou moins l'équivalent en place (mais en gratuit) ( http://l7-filter.sourceforge.net/ ).
Ce n'est cependant pas suffisant, car il y a deux problèmes :
- Le traffic d'une LAN n'est *vraiment* pas comparable à celui d'une entreprise (niveau hétérogénéité et quantité de traffic. Je me suis également occupé de réseaux d'entreprises, et je t'assure que tu as rarement 50 personnes qui font du p2p, 50 qui font du hon, 50 qui font du LoL, 50 qui pompent sur megaupload, et le reste qui essaie d'avoir un bon ping à CS
- La petite croix “encrypt bittorrent protocol” ou équivalente dans ton client qui rend toute classification impossible… Si le traffic est crypté il est impossible de le reconnaître… Et on ne peut pas se permettre de bloquer ce qu'on ne reconnaît pas, vu que tous les jeux ont des protocoles de m***
Ce n'est donc pas suffisant de mettre ceci en place tout seul. Et c'est ce qu'on essaie de faire intéragir depuis plusieurs éditions. Dans la config actuelle, ce qui est identifiable à coup sur est throttlé très très lent directement, et le reste est shapé en fonction de la durée de vie du socket: Premier burst à 100Megs, et plus le socket reste ouvert longtemps plus il ralentit.
Quant à ton idée de mettre en place une deuxième gateway, c'est effectivement un truc auquel on a pensé dimanche, (mais trop tard…) et qu'on risque de mettre en place pour la prochaine. “Il n'y a plus qu'à” convaincre l'EPFL
Pour la premiere solution évoqué c'est du DPI et effectivement ça coûte un bras http://en.wikipedia.org/wiki/Deep_packet_inspection
Il me semble que watchguard a des model entrée de gamme, mais je sais pas ce que sa vaut http://www.watchguard.com/products/xtm-2/overview.asp
Mais pour un truc pro c'est dans les 5 a 10 000 chez le grossiste (j'imagine que l'epfl à des accès fournisseurs)
Mais c'est un peu l'arme nucléaire pour combatte des fourmis, sans compter qu'utiliser les technique du gouvernement chinois sur des pauvres gamers c'est mal .
Je pense aussi que la solution avec deux gateway pourrais être viable, après, éduquer l'interface chaise clavier a coup de fouet ça coûte rien est c'est très efficaces
puetLe problème n'est pas de détecter le protocole bittorrent, car ça c'est “facile”. Le problème c'est de détecter le bittorrent encrpté:
Ok au temps pour moi je connais pas le produit, mais je t'assure que les solution de chez watchguard peuvent allers pourrir les clients bittorent et emule, ca peut meme grappiller des info dans certains liaisons SSL et avec le bon plugin/script je suis sur que tu peu même allers chercher des identifiant dans les protocoles utiliser dans les jeux réseau. Maintenant c'est claire qu'il ne pourra pas inspecter une liaison VPN, par contre il peu la reconnaître et la bloqué d'office.
Rapitor
Nuked un bout
puet
Ok au temps pour moi je connais pas le produit, mais je t'assure que les solution de chez watchguard peuvent allers pourrir les clients bittorent et emule, ca peut meme grappiller des info dans certains liaisons SSL et avec le bon plugin/script je suis sur que tu peu même allers chercher des identifiant dans les protocoles utiliser dans les jeux réseau. Maintenant c'est claire qu'il ne pourra pas inspecter une liaison VPN, par contre il peu la reconnaître et la bloqué d'office.
@Leo Ouais j'imagine que ça peut poser problème au niveau légal, le contexte d'une lan n'est pas pareil qu'une société.
choG
- Deuxième chose, je plussoie vraiment le coup de l'anim qui regroupe une grosse partie de la LAN, c'est vraiment super sympa, ça met dans le bain et ça renforce un peu l'aspect “on se marre tous ensemble” ! (que ça soit lotto /quiz comme ça a été dit ou même genre Mount&Blade l'année dernière en début de LAN qui regroupait une énorme partie des joueurs)
AlbertRaccoon
ni lâcher une caisse dans l'ascenseur.