Observatoire de la résilience de l’Internet français         Rapport 2011 : état des lieux  Guillaume Valadon, François Co...
Présentation de l’observatoireQuelques mots sur l’Observatoire     Les motivations à l’origine de l’observatoire :       ▶...
Présentation de l’observatoireLa première année d’activité       ▶   donner vie au concept ;       ▶   énoncer les bases d...
Présentation de l’observatoireRapport 2011 : état des lieux       ▶   56 pages rédigées par l’ANSSI et l’AFNIC ;          ...
BGPIndicateurs BGP      Sources d’information        ▶   RIS : collecteurs de route distribués sur l’ensemble de la       ...
BGPConnectivité des AS - IPv4                             6/18
BGPConnectivité des AS - IPv6                             7/18
BGPUsurpation de préfixes        ▶   classification des usurpations :                      1. AS usurpateur directement conn...
BGPVérification des déclarations avec l’Internet      Objet route : un AS déclare au RIPE la route qui sera annoncée       ...
BGPFiltrage sur les objets route : constat      ▶   base de données de départ : préfixes des tables de routage ;      ▶   c...
DNSLes indicateurs DNS      ▶   Nombre et variété (AS, pays) des serveurs de noms de chaque          zone sous .fr      ▶ ...
DNSLa méthode DNS active      1. Interrogation active des domaines sous .fr avec DNSwitness         http://www.dnswitness....
DNSLa méthode DNS passive      1. Collecte passive de données auprès des serveurs de noms de         .fr gérés par l’AFNIC...
DNSLes résultats DNS      1. Pas assez de serveurs de noms par zone  : 2,2 en moyenne         (record à 8, mximum permis p...
DNSLes résultats DNS, suite      1. Très peu de DNSSEC (∼100 zones signées) ← Cela a         énormément changé en 2012,   ...
ConclusionConclusion du rapport 2011      1. recommendations concernant les protocoles BGP et DNS :             ▶   déclar...
ConclusionPerspectives pour l’Observatoire      1. effectuer des collectes BGP et DNS axées sur la France ;               ▶...
Questions ?              18/18
Prochain SlideShare
Chargement dans…5
×

JCSA 2012 04 François Contat & Guillaume Valandon (ANSSI) et Stéphane Bortzmeyer (Afnic) : Restitution des résultats 2011 de l'Observatoire de la résilience de l'Internet en France

1 075 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 075
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
12
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

JCSA 2012 04 François Contat & Guillaume Valandon (ANSSI) et Stéphane Bortzmeyer (Afnic) : Restitution des résultats 2011 de l'Observatoire de la résilience de l'Internet en France

  1. 1. Observatoire de la résilience de l’Internet français Rapport 2011 : état des lieux Guillaume Valadon, François Contat, Stéphane Bortzmeyer guillaume.valadon@ssi.gouv.fr, francois.contat@ssi.gouv.fr, bortzmeyer@nic.fr 4 juillet 2012 1/18
  2. 2. Présentation de l’observatoireQuelques mots sur l’Observatoire Les motivations à l’origine de l’observatoire : ▶ l’Internet reste méconnu ; ▶ les analyses d’incidents sont rarement orientées sur la France ; ▶ l’étude de l’utilisation des bonnes pratiques. Placé sous l’égide de l’ANSSI, l’observatoire vise à : ▶ étudier en détails la résilience de l’Internet français ; ▶ favoriser les échanges techniques entre acteurs de l’Internet ; ▶ publier ses résultats ; ▶ diffuser des bonnes pratiques. L’AFNIC est moteur de l’initiative depuis ses débuts. 2/18
  3. 3. Présentation de l’observatoireLa première année d’activité ▶ donner vie au concept ; ▶ énoncer les bases de l’étude de la résilience de l’Internet ; ▶ identifier puis mesurer des indicateurs représentatifs ; ▶ étudier le comportement de différents protocoles critiques ; ▶ développer et tester des outils ; ▶ amorcer les discussions relatives à la résilience. 3/18
  4. 4. Présentation de l’observatoireRapport 2011 : état des lieux ▶ 56 pages rédigées par l’ANSSI et l’AFNIC ; ▶ disponible en ligne sur les sites de l’ANSSI et de l’AFNIC 1 ; ▶ deux protocoles étudiés : BGP et DNS ; ▶ sept indicateurs présentés de façons identiques : ▶ description, méthodologie de mesure, résultats et analyse ; 1. <http://1link4.me/rv6oELc1> 4/18
  5. 5. BGPIndicateurs BGP Sources d’information ▶ RIS : collecteurs de route distribués sur l’ensemble de la planète ; ▶ RIPE : base de données whois. Analyse de quatre grands opérateurs français. Indicateurs ▶ connectivité des AS (IPv4 et IPv6) ; ▶ usurpations de préfixes ; ▶ objets route et routage Internet. 5/18
  6. 6. BGPConnectivité des AS - IPv4 6/18
  7. 7. BGPConnectivité des AS - IPv6 7/18
  8. 8. BGPUsurpation de préfixes ▶ classification des usurpations : 1. AS usurpateur directement connecté à l’usurpé ; 2. AS usurpateur pas directement connecté à l’usurpé ; ▶ plus l’AS a de préfixes, plus il est sujet à des usurpations. La plupart des usurpations détectées sont issues de mauvaises déclarations. 6 AS-fr1 4 2 0 Préfixes usurpés 120 AS-fr2 80 40 0 40 30 AS-fr3 20 10 0 01 03 05 07 09 11 Mois classe 1 classe 2 8/18
  9. 9. BGPVérification des déclarations avec l’Internet Objet route : un AS déclare au RIPE la route qui sera annoncée ▶ base de données de départ : objets route (RIPE) ; ▶ chaque objet route est comparé avec les informations des tables de routage. AS existe multiple  inutilisé AS-fr1 94.7% 0% 5.3% AS-fr2 94.5% 0% 5.5% AS-fr3 51.6% 0% 48.4% AS-fr4 52.3% 17.1% 47.7% 9/18
  10. 10. BGPFiltrage sur les objets route : constat ▶ base de données de départ : préfixes des tables de routage ; ▶ chaque route annoncée est comparée aux objets routes déclarés. AS existe usurpation  non déclaré AS-fr1 100% 0% 0% AS-fr2 100% 0% 0% AS-fr3 88% 0% 12% AS-fr4 76.7% 10.1% 13.2% 10/18
  11. 11. DNSLes indicateurs DNS ▶ Nombre et variété (AS, pays) des serveurs de noms de chaque zone sous .fr ▶ Port source imprévisible chez les résolveurs (faille Kaminsky) ▶ Utilisation de DNSSEC, d’IPv6 et de SPF (pas utilisé ici) dans les zones 11/18
  12. 12. DNSLa méthode DNS active 1. Interrogation active des domaines sous .fr avec DNSwitness http://www.dnswitness.net/ 2. Récupération des adresses IP, des numéros d’AS et des pays des serveurs de noms 3. Domaine signé avec DNSSEC  ? Adresses IPv6 pour des noms comme www.LEDOMAINE.fr  ? 12/18
  13. 13. DNSLa méthode DNS passive 1. Collecte passive de données auprès des serveurs de noms de .fr gérés par l’AFNIC avec DNSwitness 2. Utilisation répétée du même port source, transport sur IPv6, type de données demandé 13/18
  14. 14. DNSLes résultats DNS 1. Pas assez de serveurs de noms par zone  : 2,2 en moyenne (record à 8, mximum permis par l’AFNIC), 2. Pas assez d’AS par zone  : 1,2 en moyenne (record à 7), 80 % des zones n’ont qu’un seul AS ← La plus grosse faiblesse 3. Concentration  : un AS a 36 % des serveurs de noms, 4. Une grande majorité des serveurs de noms sont en France, 5. 10 % des résolveurs toujours pas patchés, quatre ans après la faille Kaminsky, 14/18
  15. 15. DNSLes résultats DNS, suite 1. Très peu de DNSSEC (∼100 zones signées) ← Cela a énormément changé en 2012, 2. Peu d’IPv6 (40 % des zones ont au moins un serveur de noms en IPv6 mais moins d’1 % ont au moins un serveur Web en IPv6  ; 2 % des requêtes DNS entrantes utilisent le transport IPv6). 15/18
  16. 16. ConclusionConclusion du rapport 2011 1. recommendations concernant les protocoles BGP et DNS : ▶ déclaration systématique et cohérente des objets route ; ▶ plus grande dispersion des serveurs DNS faisant autorité. 2. les déploiements d’IPv6 sont peu nombreux : ▶ pas de changement notable en 2011 ; ▶ question de la qualité des implémentations ; ▶ appel à la vigilance face à la facilité qu’apporte le NAT64. 3. différents avis de sécurité sur les implémentations de BGP et DNS : ▶ risque de reposer sur un seul équipementier ; ▶ importance des bonnes pratiques de déploiements et d’architectures. La situation est aujourd’hui acceptable, mais rien ne garantit que cela suffise à l’avenir. 16/18
  17. 17. ConclusionPerspectives pour l’Observatoire 1. effectuer des collectes BGP et DNS axées sur la France ; ▶ BGP : appairage à un collecteur du RIS ou à celui de l’Observatoire ; ▶ DNS : déploiement de DNSmezzo chez les opérateurs. 2. diffuser des bonnes pratiques de déploiement BGP ; 3. impliquer d’avantage les acteurs de l’Internet. De nouveaux indicateurs pour le rapport 2012 ▶ BGP : définition d’un AS français, étude de RPKI, analyse des AS PATH, ... ▶ DNS : indicateur de qualité des zones sous .fr avec ZoneCheck, analyse fine du déploiement de DNSSEC, classement des résolveurs, ... 17/18
  18. 18. Questions ? 18/18

×