Oct 25 2010
le DPI, c’est quoi exactement ?
Ah
On entend et on lit plein de chose en ce moment sur le Deep Packet Inspection (DPI).
Je voudrais apporter mon petit éclairage sur la question sans ajouter à l’imprécision ambiante.
C’est quoi ?
« le Deep packet inspection (DPI) est l’activité pour un équipement d’infrastructure de réseau d’analyser le contenu (au-delà de l’en-tête) d’un paquet réseau (paquet IP le plus souvent) de façon à en tirer des statistiques, à filtrer ceux-ci ou à détecter des intrusions, du spam ou tout autre contenu prédéfini. » (Wikipedia)
C’est quoi la différence entre DPI ET SPI ?
Dans le DPI, Il s’agit bien d’ouvrir le contenu des trames et paquets TCP/IP pour en regarder le contenu. Cette méthode est hautement intrusive.
Il ne s’agit pas de simplement regarder l’en-tête des paquets comme dans le cas du Stateful Packet Inspection.
Dans le cas du DPI, on peut voir le contenu exact de ce qui est pratiqué par un internaute. Dans le cas du SPI, on ne regarde que les « protocoles » utilisés par une application.
Aujourd’hui, qu’en est-il du DPI ?
Pour le moment, aucun FAI n’a déployé de DPI (en entreprise c’est une pratique plus courante mais si lourde qu’elle est peu employée).
Mais tout le monde dit que tel ou tel FAI fait du DPI sur son réseau pour bloquer certaine pratique ?
Bah oui mais non. Ce n’est pas du DPI.
Dans la plupart des cas, le FAI va faire de la priorisation de paquet (FREE avec son abo TV par exemple) et dans ce cas il s’agit de simple QOS.
Dans d’autre cas, le FAI pratique un filtrage de port ou de protocole. Dans le cas du filtrage de port, le FAI va vérifier par quel port l’internaute va communiquer. Pour passer outre ces protections, il suffit de changer de port si l’application l’autorise. Dans le cas du filtrage de protocole, le changement de port n’aura aucun effet. Seul un encapsulage du protocole dans un autre pour changer la nature des trames permet de passer outre cette protection (par exemple un VPN).
Ca pourrait donner quoi le DPI ?
Si le DPI était déployé, il deviendrait beaucoup plus difficile d’échapper au filtrage du FAI. Soit celui-ci pratique le DPI white list, dans ce cas seules les trames autorisées peuvent circuler (et on peut toujours se glisser dans un VPN SSL). Soit celui-ci pratique le DPI Black List, dans ce cas seules les trames interdites sont filtrées.
Dans la plupart des cas de figure, l’emploi d’un VPN SSL permet de contourner le problème :
– port filtré … on pratique le SSL ou le VPN sur un autre port ou le VPN
– trame filtrée … le VPN SSL est normalement crypté … il suffit d’élever le chiffrement à des niveaux ou les machines des FAI ne pourront, à l’échelle d’un pays, plus scruter les trames.
DPI … pareil, un VPN SSL ne permet plus ou très difficilement le DPI à l’échelle d’un pays.
Dans les deux derniers cas, il n’y a pas d’impossibilité technique à casser le VPN SSL (tout dépend de son niveau) mais l’impossibilité deviendrait « pécuniaire ». Déployer autant de puissance de calcul pour « choper du leacher » ne serait pas viable économiquement.
Et puis le VPN n’existe pas que sous le format SSL. Le jeu du chat et de la souris en la matière tourne à l’avantage … de la souris !
octobre 25, 2010 @ 2:46
>Pour le moment, aucun FAI n’a déployé de DPI …
mon devoir de réserve, (que je me donne), m’interdit d’infirmer cette option … mais sans le faire, j’ai des doutes sur le « aucun » …. au moins au niveau international.
Il est à comprendre que le DPI se faisait précédemment dans des équipements additionnels, donc des coûts plus élevés et problématique de déploiements. Aujourd’hui, cette fonction est maintenant « embarquée » aux coeurs des équipements qui peuvent prendre des DECISIONS sur le routages des paquets et leur QoS … donc des coûts moindres. Il y a fort à parier qu’elle sera aussi de plus en plus « hard codée », pour décharger le CPU d’équipements qui ont un vrai travail à faire … donc encore plus facilement généralisable, encore.
>DPI … pareil, un VPN SSL ne per met plus ou très difficile ment le DPI à l’échelle d’un pays.
au risque de me répéter … le problème n’est pas là ou plutôt le risque est qu’à trop répéter cette assertion, on en arrive à nous restreindre les conditions de CHIFFRER en France, comme on le faisait jusqu’en 1996.
En clair, la bande des lobbys pourrait très bien dire que les internautes jouent aux cons avec les VPN, qu’en plus ils font courir à la France un risque important (cf l’affaire US / FR) … DONC … on interdit le chiffrement à des gens qui n’en ont pas un besoin prouvé. Et comme ils sont malins, ils ne diront pas « interdire », mais AUTORISER un chiffrement « limité » … qui permettra de différencier des chiffrement facilement cassable des autres et donc forcer les vrais vilains à utiliser du chiffrement « dur », qui ne pourra plus se cacher aussi facilement qu’avant.
octobre 25, 2010 @ 3:02
Merci JM pour tes corrections
Sur le premier commentaire, je me restreignais volontairement à la France (et ne faisait en fait que répondre à des assertions selon lesquels Numéricâble fait du DPI).
Ton auguste lumière sur le DPI Worldwide est autrement plus inquiétante.
Limiter le VPN serait une solution …. Mais comment le pratiquer ? (il suffit de s’abonner dans un pays aux mœurs plus libérales et Hop … il devient a mon sens extrêmement complexe de distinguer un VPN SSL d’un traffic SSL commun). Sans compter les VPS …
Qu’en pense-t-il ?
octobre 25, 2010 @ 3:08
Le VPN est une idée canada dry … cela ressemble à une bonne idée, cela en à la couleur mais … cela n’en est pas.
Le VPN tel qu’il est discuté aujourd’hui conduit à aller de plus en plus vers une Minitelisation totale de l’Internet et participe absolument à l’inverse des valeurs qui sont les « bonnes ». (lire sur le sujet notre ami @bluetouff)
Il faut juste se rappeler que la session est chiffrée entre le poste et le fournisseur du VPN mais qu’après … elle est en clair.
Et je ne parle même pas de la CONFIANCE nécessaire dans son prestataire … en effet, qui nous assure que 1/ nous ne cotoyons pas le diable dans une session du fournisseur et 2/ que le prestataire n’est pas en train d’espionner et de vendre tout ce que je fais à plus offrant … voir pire (cf Iran)
LBL, pour « débloquer » la situation, je le redis, il suffit de dire que pour les e-glandus (ceux incapables de discuter avec le fort de Rosny), la clé sera limitée à … disons 4 bits … et le tour est joué : 1/ les vrais méchants ne seront plus « noyés » et cachés et 2/ les e-glandus seront Pascal Nègre repérable à moindre coût.
octobre 25, 2010 @ 3:11
On est ok.
(je reste a bien aimer le VPN même s’il minitelise le NET. Il permet de sortir de France. C’est déjà etre moins Pascal Nègre compliant.
octobre 25, 2010 @ 11:56
>Pour le moment, aucun FAI n’a déployé de DPI …
J’abonde dans le sens de Jean-Michel, pas plus tard qu’il y a deux semaines, Marc Guez de la SCPP affirmait sur un plateau TV que le DPI était en usage chez certains FAI en France.
Alors, ok, c’est loin d’être une autorité en la matière, mais une chose est certaine, il savait que la question du DPI allait arriver, et il avait préparé la réponse.
Sinon, le billet de Bluetouff sur le drame que l’usage massif du DPI serait pour l’écologie du réseau est un must read. Celui-ci est très bien ceci dit. Vous seriez bien en duo Stan & Dam pour hoster un plateau sur le DPI destiné au grand public :-)))
http://bluetouff.com/2010/10/19/notre-internet-est-malade-ne-lachevez-pas/
octobre 26, 2010 @ 8:38
Merci JM pour tes précisions très précieuses. Bel article mon Stan ! Fabrice a raison, va falloir qu’on se colle à animer un plateau sur le sujet (sur techtoctv par ex ? 😉 )
octobre 27, 2010 @ 12:11
quand vous voulez !
octobre 29, 2010 @ 4:14
@Stan & Dam
A fond ! Vous pouvez proposer votre propre émission en cliquant sur ‘proposez un tournage’ sur techtoc.tv :-)))
Je peux vous amener des pros du VPN sur le plateau sans soucis.
octobre 30, 2010 @ 10:09
Comme ca on sera ridicule
lol
Why not faut voir avec les RP
Daaaammm …