1. Observatoire de la résilience de l’Internet français
Rapport 2011 : état des lieux
Guillaume Valadon, François Contat, Stéphane Bortzmeyer
guillaume.valadon@ssi.gouv.fr, francois.contat@ssi.gouv.fr, bortzmeyer@nic.fr
4 juillet 2012
1/18

2. Présentation de l’observatoire
Quelques mots sur l’Observatoire
Les motivations à l’origine de l’observatoire :
▶ l’Internet reste méconnu ;
▶ les analyses d’incidents sont rarement orientées sur la France ;
▶ l’étude de l’utilisation des bonnes pratiques.
Placé sous l’égide de l’ANSSI, l’observatoire vise à :
▶ étudier en détails la résilience de l’Internet français ;
▶ favoriser les échanges techniques entre acteurs de l’Internet ;
▶ publier ses résultats ;
▶ diffuser des bonnes pratiques.
L’AFNIC est moteur de l’initiative depuis ses débuts.
2/18

3. Présentation de l’observatoire
La première année d’activité
▶ donner vie au concept ;
▶ énoncer les bases de l’étude de la résilience de l’Internet ;
▶ identifier puis mesurer des indicateurs représentatifs ;
▶ étudier le comportement de différents protocoles critiques ;
▶ développer et tester des outils ;
▶ amorcer les discussions relatives à la résilience.
3/18

4. Présentation de l’observatoire
Rapport 2011 : état des lieux
▶ 56 pages rédigées par l’ANSSI et l’AFNIC ;
▶ disponible en ligne sur les sites de l’ANSSI et de l’AFNIC 1 ;
▶ deux protocoles étudiés : BGP et DNS ;
▶ sept indicateurs présentés de façons identiques :
▶ description, méthodologie de mesure, résultats et analyse ;
1. <http://1link4.me/rv6oELc1>
4/18

5. BGP
Indicateurs BGP
Sources d’information
▶ RIS : collecteurs de route distribués sur l’ensemble de la
planète ;
▶ RIPE : base de données whois.
Analyse de quatre grands opérateurs français.
Indicateurs
▶ connectivité des AS (IPv4 et IPv6) ;
▶ usurpations de préfixes ;
▶ objets route et routage Internet.
5/18

6. BGP
Connectivité des AS - IPv4
6/18

7. BGP
Connectivité des AS - IPv6
7/18

8. BGP
Usurpation de préfixes
▶ classification des usurpations :
1. AS usurpateur directement connecté à l’usurpé ;
2. AS usurpateur pas directement connecté à l’usurpé ;
▶ plus l’AS a de préfixes, plus il est sujet à des usurpations.
La plupart des usurpations détectées sont issues de mauvaises
déclarations.
6
AS-fr1
4
2
0
Préfixes usurpés
120
AS-fr2
80
40
0
40
30 AS-fr3
20
10
0
01 03 05 07 09 11
Mois
classe 1 classe 2 8/18

9. BGP
Vérification des déclarations avec l’Internet
Objet route : un AS déclare au RIPE la route qui sera annoncée
▶ base de données de départ : objets route (RIPE) ;
▶ chaque objet route est comparé avec les informations des
tables de routage.
AS existe multiple inutilisé
AS-fr1 94.7% 0% 5.3%
AS-fr2 94.5% 0% 5.5%
AS-fr3 51.6% 0% 48.4%
AS-fr4 52.3% 17.1% 47.7%
9/18

10. BGP
Filtrage sur les objets route : constat
▶ base de données de départ : préfixes des tables de routage ;
▶ chaque route annoncée est comparée aux objets routes
déclarés.
AS existe usurpation non déclaré
AS-fr1 100% 0% 0%
AS-fr2 100% 0% 0%
AS-fr3 88% 0% 12%
AS-fr4 76.7% 10.1% 13.2%
10/18

11. DNS
Les indicateurs DNS
▶ Nombre et variété (AS, pays) des serveurs de noms de chaque
zone sous .fr
▶ Port source imprévisible chez les résolveurs (faille Kaminsky)
▶ Utilisation de DNSSEC, d’IPv6 et de SPF (pas utilisé ici) dans
les zones
11/18

12. DNS
La méthode DNS active
1. Interrogation active des domaines sous .fr avec DNSwitness
http://www.dnswitness.net/
2. Récupération des adresses IP, des numéros d’AS et des pays
des serveurs de noms
3. Domaine signé avec DNSSEC ? Adresses IPv6 pour des noms
comme www.LEDOMAINE.fr ?
12/18

13. DNS
La méthode DNS passive
1. Collecte passive de données auprès des serveurs de noms de
.fr gérés par l’AFNIC avec DNSwitness
2. Utilisation répétée du même port source, transport sur IPv6,
type de données demandé
13/18

14. DNS
Les résultats DNS
1. Pas assez de serveurs de noms par zone : 2,2 en moyenne
(record à 8, mximum permis par l’AFNIC),
2. Pas assez d’AS par zone : 1,2 en moyenne (record à 7), 80 %
des zones n’ont qu’un seul AS ← La plus grosse faiblesse
3. Concentration : un AS a 36 % des serveurs de noms,
4. Une grande majorité des serveurs de noms sont en France,
5. 10 % des résolveurs toujours pas patchés, quatre ans après la
faille Kaminsky,
14/18

15. DNS
Les résultats DNS, suite
1. Très peu de DNSSEC (∼100 zones signées) ← Cela a
énormément changé en 2012,
2. Peu d’IPv6 (40 % des zones ont au moins un serveur de noms
en IPv6 mais moins d’1 % ont au moins un serveur Web en
IPv6 ; 2 % des requêtes DNS entrantes utilisent le transport
IPv6).
15/18

16. Conclusion
Conclusion du rapport 2011
1. recommendations concernant les protocoles BGP et DNS :
▶ déclaration systématique et cohérente des objets route ;
▶ plus grande dispersion des serveurs DNS faisant autorité.
2. les déploiements d’IPv6 sont peu nombreux :
▶ pas de changement notable en 2011 ;
▶ question de la qualité des implémentations ;
▶ appel à la vigilance face à la facilité qu’apporte le NAT64.
3. différents avis de sécurité sur les implémentations de BGP et
DNS :
▶ risque de reposer sur un seul équipementier ;
▶ importance des bonnes pratiques de déploiements et
d’architectures.
La situation est aujourd’hui acceptable, mais rien ne garantit que
cela suffise à l’avenir.
16/18

17. Conclusion
Perspectives pour l’Observatoire
1. effectuer des collectes BGP et DNS axées sur la France ;
▶ BGP : appairage à un collecteur du RIS ou à celui de
l’Observatoire ;
▶ DNS : déploiement de DNSmezzo chez les opérateurs.
2. diffuser des bonnes pratiques de déploiement BGP ;
3. impliquer d’avantage les acteurs de l’Internet.
De nouveaux indicateurs pour le rapport 2012
▶ BGP : définition d’un AS français, étude de RPKI, analyse des
AS PATH, ...
▶ DNS : indicateur de qualité des zones sous .fr avec
ZoneCheck, analyse fine du déploiement de DNSSEC,
classement des résolveurs, ...
17/18

18. Questions ?
18/18