[uylug-varios] Se va el MSN, bloquear skype

Carlos M. Martinez carlosmarcelomartinez at gmail.com
Wed Dec 12 12:53:52 PST 2012


Hola!

On 12/12/12 12:22 PM, Eduardo Trápani wrote:
>> Cualquier herramienta de DPI me genera muchas, muchas dudas y
> ¿Cualquiera?  Cuando puedas mirá esto[1][2] (mi sugerencia original).
> Acá[3] está la biblioteca y explican para qué la hicieron.
>
> ¿Qué dudas te genera?  Salteemos la parte de la sigla, sí, es un DPI,
> pero tiene un objetivo claro que es útil.  Endiosar (por ejemplo ipv6) o
> "endiablar" (por ejemplo DPI) una tecnología de manera tan general no
> puede ser el resultado de un buen análisis.
Creo que fui bastante claro con las dudas que me genera. Podes no
compartirlas, y esta todo bien. No bien que tiene que ver el IPv6 en
esto. Y si por 'generar dudas' entiendes que estoy 'endiablando', bueno,
estas leyendo lo que quieres leer.

Conocer una tecnología y tener una opinión crítica sobre _los usos_ (ya
que las tecnologías no son ni buenas ni malas per se) de la misma, es
parte de ese análisis que a ti no te convence. Yo compartí mi visión,
que tu no tienes porque compartir.
> Igual, si ese proyecto mencionado te genera dudas, me encantaría
> leerlas.  Hay instalaciones que obligan a los equipos a creer en un
> certificado de manera de poder hacer MITM sobre SSL.  Eso no hace malo a
> SSL ni a los proxies ni al sistema de certificados, que seguimos
> necesitando para transacciones seguras.
El hecho de que algo se pueda hacer no quiere decir que sea buena idea
hacerlo, o que no tenga otras implicancias.
> En resumen, hay usos legítimos de DPI (y un montóoooon de ilegítimos).
> Creo que la *detección de protocolos* a los efectos de dar forma al
> tráfico es uno de ellos (en contextos donde no debería aplicarse la
> neutralidad, obviamente y nótese que no se trata del contenido, sino del
> protocolo).
De todo hay usos legítimos, hasta de las armas nucleares probablemente.
El punto (y de nuevo, creo que fui bastante claro en mi opinión al
respecto) es bajo que _normas o códigos_ ese uso se hace.

El hecho de que algo "X" se pueda hacer fácil, barato o con software
libre no confiere una licencia ni un derecho para hacerlo a diestra y
siniestra.
> Me parece que un administrador de red debería tener las herramientas
> para dar forma al tráfico y administrar su ancho de banda *sin entrar*
> en lo que hacen los usuarios individualmente y eso es justamente lo que
> hace ndpi-netfilter.  Ya a nivel de ISP o país o IXP ... es bien
> diferente.  No abogo por nada más que ndpi-netfilter en un contexto
> local específico.  Las otras cosas que hayan en la vuelta usando DPI,
> merecen su análisis por separado.
El administrador de sistemas no es Dios en una empresa u organización ni
tiene derecho a ser un déspota. Tiene que estar sujeto a reglas y
políticas razonables y tener objetivos claros alineados con los de la
organización (otro de mis puntos que se ve elegiste no leer). En el
marco adecuado, alguna forma de DPI puede ser aceptable.

Lamentablemente, esta visión despótica del IT es muy común. La
historieta del BOFH no surgió de la nada :-)

Ahora, fijate que en tu propio texto ya estas abriendo el paraguas y 
diciendo 'no entrar en lo que hacen los usuarios'. En ese punto, estamos
100% de acuerdo, probablemente entonces el problema con la tecnologia
que mencionas es el nombre, no deberia llamarse DPI sino detección de
protocolos o algo asi.

Ademas, y para terminar, hay formas de hacer detección de protocolos sin
hacer DPI, como [1], [2], que incluso pueden aplicarse a flujos cifrados
de datos (en algunos casos) sin necesidad de hacer MITM de certificados.

[1] http://dl.acm.org/citation.cfm?id=1815396.1815572
[2] http://dl.acm.org/citation.cfm?id=1064220

s2

Carlos




More information about the Uylug-varios mailing list