[uylug-varios] Se va el MSN, bloquear skype

Eduardo Trápani etrapani at unesco.org.uy
Thu Dec 13 05:55:27 PST 2012


>> ¿Qué dudas te genera?  Salteemos la parte de la sigla, sí, es un DPI,
>> pero tiene un objetivo claro que es útil.  Endiosar (por ejemplo ipv6) o
>> "endiablar" (por ejemplo DPI) una tecnología de manera tan general no
>> puede ser el resultado de un buen análisis.
> Creo que fui bastante claro con las dudas que me genera. Podes no
> compartirlas, y esta todo bien. No bien que tiene que ver el IPv6 en
> esto. Y si por 'generar dudas' entiendes que estoy 'endiablando', bueno,
> estas leyendo lo que quieres leer.

¡No dijiste ni una palabra de lo que hace ndpi y por qué *ESO* es malo o
ilegal o peligroso!  Perdoname pero no le veo la claridad, frente a una
pregunta bien concreta sobre una aplicación en particular.  Hablando de
leer, lo que te pedía era opinar *sobre* ndpi-netfilter, no DPI en
general (en lo general creo que estamos de acuerdo).

>> Me parece que un administrador de red debería tener las herramientas
>> para dar forma al tráfico y administrar su ancho de banda *sin entrar*
>> en lo que hacen los usuarios individualmente y eso es justamente lo que
>> hace ndpi-netfilter.  Ya a nivel de ISP o país o IXP ... es bien
>> diferente.  No abogo por nada más que ndpi-netfilter en un contexto
>> local específico.  Las otras cosas que hayan en la vuelta usando DPI,
>> merecen su análisis por separado.
> El administrador de sistemas no es Dios en una empresa u organización ni
> tiene derecho a ser un déspota. Tiene que estar sujeto a reglas y

Estás sensible con el tema.  Te muestro que únicamente se reconocen
protocolos solamente e insistís en cosas como déspota, privacidad, ...
¿Podrás por un segundo meterte en ndpi y discutir *ESO*?  A DPI como
concepto genérico con aplicaciones espantosas le podemos pegar en patota
hasta liquidarlo, te ayudo, no dejamos ni una traza :) y no creo que
alguien lo vaya a defender (en la lista al menos).  Pero lleva un
poquito más de rato ver ndpi-netfilter y su alcance, ¿es mucho pedir
salir de lo general?

Si querés seguirla lee de ndpi-netfilter, lo que hace con la biblioteca
ndpi y ahí discutimos sus peligros en un marco menos teórico y más
práctico (del tipo, quiero saber qué hacer con Skype).

Saber que está pasando Skype por el caño *NO* es lo mismo que saber que
se está hablando en la conversación.  Supongo que estamos de acuerdo en eso.

> políticas razonables y tener objetivos claros alineados con los de la
> organización (otro de mis puntos que se ve elegiste no leer). En el
> marco adecuado, alguna forma de DPI puede ser aceptable.

¿Por ejemplo la de simplemente detectar flujos sin meterse en el
contenido de modo de poder repartir el limitado ancho de banda? :)
¿Será que todo el tiempo estuvimos hablando de algo que desde el
principio era aceptable?

> Lamentablemente, esta visión despótica del IT es muy común. La
> historieta del BOFH no surgió de la nada :-)

Pero *acá* esa visión sólo la traés vos.  Nadie sugirió usar DPI para
otra cosa que no fuera bloquear Skype.  Viste DPI y saltaste como una
pelota, te invito a reconsiderar el salto.

> Ahora, fijate que en tu propio texto ya estas abriendo el paraguas y 
> diciendo 'no entrar en lo que hacen los usuarios'. En ese punto, estamos
> 100% de acuerdo, probablemente entonces el problema con la tecnologia
> que mencionas es el nombre, no deberia llamarse DPI sino detección de
> protocolos o algo asi.

A ver ... crudamente, el meterse en el contenido de capa 7 y aplicar
heurísticas para reconocer algo que no está directamente accesible *ES*
inspección profunda de paquetes - DPI.  Puede ser para detectar palabras
en un chat o para detectar protocolos bajo SSL.  Me parece que el
problema es al revés, vos tendrías que ponerle un nombre completo a eso
que es "malo", como hacen muchos, que le llaman "DPI surveillance" o
cosas por el estilo.

Sos buenísimo con los nombres, yo creo que te podés dar cuenta de que no
es que haya que cambiarle el nombre a DPI, en tu caso vos le tenés que
agregar el "apellido" ;) cuando corresponda.  Si te fijás, los que (con
razón) advierten sobre el uso de la tecnología, rara vez usan "DPI" a
secas, sino que aclaran el uso que se critica, eso debería dar una pista
(el resaltado es mío):

"Privacy International believes that *online behavioural targeting for
online commercial advertising* using the technology of Deep Packet
Inspection (DPI) is a dangerous and potentially unlawful technique that
is fraught with unethical practice." [1]

Ves, lo que es peligroso es el "combo", no solamente DPI.

[1]
https://nodpi.org/2009/04/20/privacy-internationals-official-reponse-on-deep-packet-inspection/

> Ademas, y para terminar, hay formas de hacer detección de protocolos sin
> hacer DPI, como [1], [2], que incluso pueden aplicarse a flujos cifrados
> de datos (en algunos casos) sin necesidad de hacer MITM de certificados.

Sí, es cierto.  De hecho el flujo de Skype y de Windows Update es
cifrado y se detecta sin mirar el contenido (que es imposible sin MITM).

Sólo tengo acceso al abstract y las dos formas parecen usar DPI.  Si
tenés acceso a los PDF fijate vos bien, parece claro que en las dos el
filtro bayesiano se alimenta con datos previos que vienen de inspección
(que yo diría profunda) de paquetes.  Ojo, después que alimentan el
filtro aparentemente pueden correr utilizando la información que no es
profunda (ahí está la gracia).

Igual en este caso, la "culpa" es de Skype.  Viste que DPI no es un tema
que aparezca en la lista (si es que ya había aparecido).  Aparece cuando
alguien diseña algo para tener cheque en blanco sobre el ancho de banda.

Vos preguntabas razones para querer bloquear Skype.  ¿Ves ahora más
claro el porqué?  Es lo que decía al principio del hilo, a nadie le
gusta tener una caja negra que consuma ancho de banda a piaccere sin
posibilidad de control.  Si un inocente (sí, ndpi-netfilter es para mí
inocente en términos generales de uso de DPI) programa ayuda a tenerlo a
raya ... entiendo que alguien lo use.

Los administradores tienen que asegurar una buena calidad de servicio y
eso implica evitar que una aplicación/protocolo/usuario acapare los
recursos.  Si hay una aplicación diseñada específicamente para evadir
controles y no podemos vivir sin ella ... ¿por qué no usar algo
ndpi-netfilter (no otra cosa, *eso*) para tenerlo a raya?

Y sí, entendí, dados los posibles usos nefastos de DPI, hasta puedo
reconocer que la mayoría amplia de usos son nefastos, si no se sabe qué
se está haciendo, mejor huírle.  Estamos básicamente de acuerdo.
Solamente que *en este caso* (ndpi-netfilter), miré lo que estaba
haciendo y entiendo que uno se puede quedar tranquilo ;).  Pero
obviamente sos libre de seguir dudando a pesar de tener el código
adelante y poder saber exactamente qué hace y cuál es su alcance.

Si la seguimos, de repente es bueno definir qué entendemos por DPI
primero.  Arrancando por ahí de repente nos hubiéramos ahorrado algunos
párrafos :).

Eduardo.



More information about the Uylug-varios mailing list