3. 3
.CA Services de cybersécurité
Leadership
Internet mondial
Initiatives
canadiennes
Initiatives
communautaires
2,8 millions de domaines
.CA, temps utilisable à 100 %
100 000 nouvelles menaces de
cybersécurité bloquées chaque jour
par le Pare-feu D-Zone
Service de registres
Produits et services
fiables pour domaines de
premier niveau
Bâtissons un meilleur Canada en ligne
Nos
membres
4. 4
En tant que membre du RISQ,
vous disposez de toute la
vitesse qu’il faut pour votre
trafic sur le réseau de
recherche. Mais en dehors du
RISQ…
L’infrastructure de
l’Internet évolue
rapidement.
6. 6
Le transit internet – l’envoi d’un paquet est
gratuit et peut se rendre partout.
Votre FSI
(RISQ et
autres)
Votre
réseau
7. 7
Pour pouvoir recevoir un paquet, vous devez
annoncer vos routes : votre FSI & le RISQ s’en occupe.
Votre FSI
(RISQ et
autres)
Votre
réseau
ICI
Votre
réseau
Votre
réseau
ICI
Votre
réseau
ICI
Votre
réseau
ICI
8. 8
Où a lieu l’échange de trafic ?
Avec qui ?
Quels mécanismes de sécurité
assurent l’intégrité de votre DNS
Par où votre trafic passe-t-il ?
Qui contrôle le routage
sur l’Internet ?
Quels mécanismes de sécurité
assurent l’intégrité de votre
trafic Internet ?
Comment assurer le cryptage
et la confidentialité de bout
en bout ?
10. 1. Attaques par DDoS
10
Les attaques par DDoS sont de plus en plus intelligentes
(semblables à du vrai trafic) et le scrubbing est plus
difficile à faire
Les attaques par DDoS deviennent plus importantes, à 2 Tbs, 10 Tbs, 100 Tbs?
Ajout de plus en plus d’appareils sur l’Internet des objets
Votre
réseau
14. Confidentialité
14
69 % des Canadiens
s’inquiètent de la sécurité ou
de la confidentialité de leurs
renseignements personnels
si ces derniers transitent ou
sont conservés aux É.-U.
17. 17
Les mauvais joueurs planifient mieux leurs attaques.
Ils recherchent les faiblesses dans le routage BGP pour trouver
le meilleur « train » à attaquer.
18. Attaques BGP
18
• Attaques de sous-préfixes (publicité / 24 sur a / 23)
– Pas furtif, impact global
• Attaque avec préfixe local spécifique égal / 23 sur un local / 23
– Plus furtif, impact local, plus de planification requise
• Empoisonnement AS Path
– Interception de trafic, furtive, annoncer / 24 sur a / 23, et
retour par la / 23
• Utilisation multiple:
– Processus de signature d’autorité de certification - validation -
Let’s encrypt, GoDaddy, Comodo, Symantec, GlobalSign...
– Detournement de serveurs DNS et SMTP et autres
19. La prochaine fois:
19
• Annoncé le /24 sur /23 de
Route 53 (AWS DNS)
• Réplique de Route 53
DNS servers avec fausse
données pour
myetherwallet pointant
en Russie
• Server WEB répliquant les
vrais (sans HTTPS)
• Vol d’identifiants de
compte
• USD $150,000
21. Control your traffic.
21
Comment ? Connectez-vous
directement à vos clients.
Au moyen d’un Internet
canadien résilient.
Voyons comment l’ACEI s’en
charge.
22. L’ACEI contrôle la livraison de notre trafic de
service infonuagique directement vers le réseau
canadien des FSI.
Nous nous connectons aux réseaux de recherche
et aux FSI canadiens et effectuons un appairage
direct pour maximiser la performance et la
résilience.
22Appairage = Peering
25. 25
• Les services infonuagiques
appairés présentent plus
d’avantages de performance et de
sécurité
• Tout déploiement SD-WAN utilisant
d’autres fournisseurs devrait penser
à ses relations d’appairage
• Faites passer le mot !
L’appairage, c’est maintenant !
L’appairage : un
avantage clé de votre
adhésion au RISQ.
26. DNSSEC DANE peux aider, faut l’adopter!
26
Le TLSA prouve que le certificat SSL appartiens au nom de domaine.
TLSA pour:
• Web (HTTPS)
• Email (SMTP)
• IM (XMPP over TLS)
• OPENPGPKEY et SMIMEA par usagé
• et autre
27. Autre méthodes de mitigation
27
• Surveillance externe des services (DNS, HTTPS) avec
DANE TLSA
• Surveillances BGP (BGPMON, ThousandEyes)
• Entrée DNS CAA
• Entrée DNS DANE TLSA
• BGPsec, RPKI, filtrage de routes
• ISOC MANRS (https://www.internetsociety.org/issues/manrs/)
28. 3. Logiciels
malveillants
28
La création et la
distribution de logiciels
malveillants continuent de
croître. Les cybervoleurs
utilisent des techniques
d’infiltration manuelles et
automatisées.
Source : av-test.org
32. Pare-feu DNS D-Zone
32
DNS propre – L’objectif de ce service est d’obtenir un déploiement dans tous les
IXP canadiens afin de servir tous les Canadiens.
33. Programme d’écoles
cybersécurisées de
l’ACEI
33
• Plus de 600 000 étudiants
canadiens
• Plus de 70 commissions
scolaires et établissements
d’études supérieures
• Nouveau déploiement de la
maternelle à la 12e année
dans toute la province
(SaskEd)