Upload
afnic
View
992
Download
0
Embed Size (px)
DESCRIPTION
Citation preview
Observatoire de la résilience de l’Internet françaisRapport 2011 : état des lieux
Guillaume Valadon, François Contat, Stéphane [email protected], [email protected], [email protected]
4 juillet 2012
1/18
Présentation de l’observatoireQuelques mots sur l’Observatoire
Les motivations à l’origine de l’observatoire :▶ l’Internet reste méconnu ;▶ les analyses d’incidents sont rarement orientées sur la France ;▶ l’étude de l’utilisation des bonnes pratiques.
Placé sous l’égide de l’ANSSI, l’observatoire vise à :▶ étudier en détails la résilience de l’Internet français ;▶ favoriser les échanges techniques entre acteurs de l’Internet ;▶ publier ses résultats ;▶ diffuser des bonnes pratiques.
L’AFNIC est moteur de l’initiative depuis ses débuts.
2/18
Présentation de l’observatoireLa première année d’activité
▶ donner vie au concept ;▶ énoncer les bases de l’étude de la résilience de l’Internet ;▶ identifier puis mesurer des indicateurs représentatifs ;
▶ étudier le comportement de différents protocoles critiques ;▶ développer et tester des outils ;▶ amorcer les discussions relatives à la résilience.
3/18
Présentation de l’observatoireRapport 2011 : état des lieux
▶ 56 pages rédigées par l’ANSSI et l’AFNIC ;▶ disponible en ligne sur les sites de l’ANSSI et de l’AFNIC 1 ;
▶ deux protocoles étudiés : BGP et DNS ;▶ sept indicateurs présentés de façons identiques :
▶ description, méthodologie de mesure, résultats et analyse ;
1. <http://1link4.me/rv6oELc1>4/18
BGPIndicateurs BGP
Sources d’information▶ RIS : collecteurs de route distribués sur l’ensemble de la
planète ;▶ RIPE : base de données whois.
Analyse de quatre grands opérateurs français.Indicateurs
▶ connectivité des AS (IPv4 et IPv6) ;▶ usurpations de préfixes ;▶ objets route et routage Internet.
5/18
BGPConnectivité des AS - IPv4
6/18
BGPConnectivité des AS - IPv6
7/18
BGPUsurpation de préfixes
▶ classification des usurpations :1. AS usurpateur directement connecté à l’usurpé ;2. AS usurpateur pas directement connecté à l’usurpé ;
▶ plus l’AS a de préfixes, plus il est sujet à des usurpations.La plupart des usurpations détectées sont issues de mauvaisesdéclarations.
0 10 20 30 40
01 03 05 07 09 11
Mois
AS-fr3
classe 1 classe 2
0
40
80
120
Pré
fixe
s usu
rpés
AS-fr2
0
2
4
6AS-fr1
8/18
BGPVérification des déclarations avec l’Internet
Objet route : un AS déclare au RIPE la route qui sera annoncée▶ base de données de départ : objets route (RIPE) ;▶ chaque objet route est comparé avec les informations des
tables de routage.
AS existe multiple inutiliséAS-fr1 94.7% 0% 5.3%AS-fr2 94.5% 0% 5.5%AS-fr3 51.6% 0% 48.4%AS-fr4 52.3% 17.1% 47.7%
9/18
BGPFiltrage sur les objets route : constat
▶ base de données de départ : préfixes des tables de routage ;▶ chaque route annoncée est comparée aux objets routes
déclarés.
AS existe usurpation non déclaréAS-fr1 100% 0% 0%AS-fr2 100% 0% 0%AS-fr3 88% 0% 12%AS-fr4 76.7% 10.1% 13.2%
10/18
DNSLes indicateurs DNS
▶ Nombre et variété (AS, pays) des serveurs de noms de chaquezone sous .fr
▶ Port source imprévisible chez les résolveurs (faille Kaminsky)▶ Utilisation de DNSSEC, d’IPv6 et de SPF (pas utilisé ici) dans
les zones
11/18
DNSLa méthode DNS active
1. Interrogation active des domaines sous .fr avec DNSwitnesshttp://www.dnswitness.net/
2. Récupération des adresses IP, des numéros d’AS et des paysdes serveurs de noms
3. Domaine signé avec DNSSEC ? Adresses IPv6 pour des nomscomme www.LEDOMAINE.fr ?
12/18
DNSLa méthode DNS passive
1. Collecte passive de données auprès des serveurs de noms de.fr gérés par l’AFNIC avec DNSwitness
2. Utilisation répétée du même port source, transport sur IPv6,type de données demandé
13/18
DNSLes résultats DNS
1. Pas assez de serveurs de noms par zone : 2,2 en moyenne(record à 8, mximum permis par l’AFNIC),
2. Pas assez d’AS par zone : 1,2 en moyenne (record à 7), 80 %des zones n’ont qu’un seul AS ← La plus grosse faiblesse
3. Concentration : un AS a 36 % des serveurs de noms,4. Une grande majorité des serveurs de noms sont en France,5. 10 % des résolveurs toujours pas patchés, quatre ans après la
faille Kaminsky,
14/18
DNSLes résultats DNS, suite
1. Très peu de DNSSEC (∼100 zones signées) ← Cela aénormément changé en 2012,
2. Peu d’IPv6 (40 % des zones ont au moins un serveur de nomsen IPv6 mais moins d’1 % ont au moins un serveur Web enIPv6 ; 2 % des requêtes DNS entrantes utilisent le transportIPv6).
15/18
ConclusionConclusion du rapport 2011
1. recommendations concernant les protocoles BGP et DNS :▶ déclaration systématique et cohérente des objets route ;▶ plus grande dispersion des serveurs DNS faisant autorité.
2. les déploiements d’IPv6 sont peu nombreux :▶ pas de changement notable en 2011 ;▶ question de la qualité des implémentations ;▶ appel à la vigilance face à la facilité qu’apporte le NAT64.
3. différents avis de sécurité sur les implémentations de BGP etDNS :
▶ risque de reposer sur un seul équipementier ;▶ importance des bonnes pratiques de déploiements et
d’architectures.
La situation est aujourd’hui acceptable, mais rien ne garantit quecela suffise à l’avenir.
16/18
ConclusionPerspectives pour l’Observatoire
1. effectuer des collectes BGP et DNS axées sur la France ;▶ BGP : appairage à un collecteur du RIS ou à celui de
l’Observatoire ;▶ DNS : déploiement de DNSmezzo chez les opérateurs.
2. diffuser des bonnes pratiques de déploiement BGP ;3. impliquer d’avantage les acteurs de l’Internet.
De nouveaux indicateurs pour le rapport 2012▶ BGP : définition d’un AS français, étude de RPKI, analyse des
AS PATH, ...▶ DNS : indicateur de qualité des zones sous .fr avec
ZoneCheck, analyse fine du déploiement de DNSSEC,classement des résolveurs, ...
17/18
Questions ?
18/18