IPv6, BGP et plus si affinités

Transcription

1 IPv6, BGP et plus si affinités Philippe CONCHONNET (Orange Business Services)

2 IPv6, contexte Historique : Dernière version de la RFC IPv4 en 1981 (RFC 791) Premier draft IPv6 en1995 Première RFC IPv6 achevé 1998 (RFC 2460) IPv6 est arrivé : Epuisement des adresses IANA le 3 février 2011 Epuisement de l APNIC s le15 avril 2011 Test mondial le 8 juin 2011 «World IPv6 day» 2

3 IP v4 IP : Internet Protocol (rfc-791 septembre 1981) Pourquoi IP? Protocole léger Protocole ouvert Protocole évolutif Rôle d IP : Protocole correspondant à la couche réseau (3) du modèle OSI Acheminement de blocs de données (datagramme) d une source à une destination Datagramme -> mode non-connecté. Réseau "best effort" Aucune garantie d acheminement des paquets, Aucune garantie de l ordre d arrivée des paquets 3

4 L'adressage IPv4 Un plan de numérotation globale (Internet) Unique, défini par l'ietf Distribué par une chaine d'acteurs: IANA, RIR, LIR, AS/company network Admin Potentiellement hiérarchique mais pas de hiérarchie pré-définie/imposée Une adresse host peut être agrégée N fois et annoncée dans un bloc d'adresse plus ou moins grand. Possibilité d'utiliser un plan d'adressage privé (rfc-1918 février 1996) : 10/8 ( ) /12 ( ) /16 ( ) Pas d'accès à l'internet mondial sans utiliser un NAT ; 4

5 Protocoles TCP/IP Protocoles de résolution d'adresses MAC/IP (L2/L3): ARP (rfc-826 novembre 1982) : Permet de connaître l'adresse physique d'une carte réseau à partir d'une adresse IP ; RARP (rfc-903 juin 1984) : Permet de connaître l'adresse IP d'une carte réseau à partir de son adresse physique ; Protocoles de la couches transport (L4): UDP (rfc-768 août 1980) : Sans connexion ; TCP (rfc-793 septembre 1981) : Orientée connexion ; Protocoles de routage dynamique : RIPv2 (rfc-1058 juin 1988) ; OSPFv2 (rfc-2328 avril 1998), OSPFv3 pour l'ipv6 (rfc-5340 juillet 2008) IS-IS (rfc-1195 décembre 1990) ; BGPv4 (rfc-1771 mars 1995) ; Gestion et administration des réseaux SNMP (de rfc-1901 à rfc-1908 janvier 1996) ; NETCONF (de rfc-4741 à rfc-4744 décembre 2006) Services applicatifs : FTP (rfc-959 octobre 1985) : Transfert de fichiers ; SMTP (rfc-2821 avril 2001) : Messagerie électronique ; Telnet (rfc-854 mai 1983) : Connexion à distance ; HTTP (rfc-2616 juin 1999) : Transfert de données hypertexte ; 5

6 IPv6 : pourquoi? L'espace d'adressage IPv4 publique est trop limité (2^32 adresses) pour les besoins actuels et futur de l'internet. Il EST épuisé! 6

7 L'adressage IPv6 La version 6 du protocole spécifie des adresses codées sur 16 octets (128 bits): 2^128 = 3x10^38 adresses ; Notation : similaire à la notation CIDR d'ipv4 : Adresse / masque réseau Hexadécimale, groupe de 2 octets séparés par ":" E.g.: FEDC:BA98:7654:3210:EDCB:A987:6543:210F/128 Simplification d'une plage de 0 possibles : FEDC:0:0:0:400:A987:6543:210F/128= FEDC::400:A987:6543:210F/128 0:0:0:0:400:A987:6543:210F/128 = ::400:A987:6543:210F/128 7

8 différences protocolaires entre IPv6 et IPv4 Format d'adresses 4 fois plus grand = 4 De 2 32 à adresses théoriquement 2 96 fois plus d'adresses = Pas de fragmentation par les routeurs Plus petit nombre de champs Notamment pas de checksum Pas d'options mais des extensions Gestion plus souple et évolutive (ex. MobileIP) Ajout du champ "flow label" Pour l'instant pas d'utilisation 8

9 déploiement de l'internet IPv6 Originellement: Pas de jour J pour une migration IPv4 vers IPv6 Déploiement progressif d'ipv6 en plus d'ipv4 host dual stack La grande majorité (tous?) des utilisateurs seront dual stack avant la fin de disponibilité des adresses IPv4 Le plan d'origine n'a pas fonctionné, faute de motivation pour déployer IPv6. Maintenant: Il est maintenant trop tard pour appliquer le plan d'origine Le problème est qu'ipv6 n'est pas compatible ascendant: Un host IPv6 only, ne peut communiquer qu'avec des hosts IPv6 soit quasiment personne actuellement. Il faudra donc utiliser (temporairement??) une étape supplémentaire Distribution d'une adresse IPv4 privée Ajout d'une fonction de NAT de le réseau Internet CGN: Carrier Grade NAT DS light: Dual Stack Light Pour des applications privées au sein d'un réseau l'utilisation d'ipv6 est possible indépendamment de l'internet En particulier si le nombre de clients dépasse le nombre d'adresses IPv4 privées (disponibles) e.g. VoIP, VOD 9

10 IPv6, ce qui change Ce qui disparaît : Broadcast remplacé par le Multicast local ARP remplacé par ICMPv6 Neighbour Discovery / Solicitation IGMP remplacé par MLD(Multicast Listener Discovery) (RFC2710) MLD s appuie sur ICMPv6 La fragmentation ne se fait plus au niveau routeur L affectation manuelle des adresses IP remplacée par DHCPv6 sauf sur les serveurs critiques!!! Le NAT : remplacé par du routage pur approche «end-to-end» tout est à plat (de nouvelles menaces pour le client ) 10

11 IPv6, 10 avantages annoncés d IPv6 sur IPv4 IPv6 fournit plus d adresses IP Couverture de bout en bout (sans passer par le NAT) Idéale dans le contexte d aujourd hui (P2P, streaming, VoIP, domotique, machine to machine, ) Auto-découverte & Auto-configuration («plug-and-play») ICMPv6 et DHCPv6 Structure des en-têtes simplifiée (améliore les performances) Les équipements traitent plus rapidement (TTL, checksum en-tête, ) Pas de lecture des informations optionnelles Fragmentation gérée par l émetteur! (ICMPv6 Packet Too Big) IPv6 fournit une meilleure sécurité (!!!) Parce que IPSEC est natif (!!!) 11

12 IPv6, 10 avantages annoncés d IPv6 sur IPv4 (suite) La QoS est plus performante (RFC2475) IPv4 = Differentiated Services Code Point (ToS), IPv6 = Traffic class Ajout du champ «flow label» pour le marquage des flux en fonction ce que l on véhicule (applications, protocole, ) Le Multicast est natif et amélioré Meilleure gestion de la mobilité (MIPv6) «route optimisation» amélioré «foreign agent» disparaît Facilite l administration et l auto-reconfiguration Conçut pour la migration (stack IPv4+IPv6) stratégie de migration plus simple à mettre en œuvre 12

13 IPv6, de IPv4 à IPv6 Vers la migration : Fort investissement Matériel (le coût diminu avec le temps) Humain (formation, sensibilisation, ) Fonctionnel (adaptation des processus et politiques) pour des avantages par toujours évidents Essentiellement les ISP, Opérateurs, R&D, etc Les nouveaux sites? Migration longue et lente Peur de l impact opérationnel et donc économique Convergence de IPv4 vers IPv6 Dégradation du service IPv4 13

14 Les options de transitions Tunneling Les hôtes IPv6 communique en IPv6 quelque soit le support de communication (à travers IPv4 ) Techniques de 6to4 où l on consomme systématiquement une adresse IPv4 pour l établissement du tunnel (exemple : 6RD) Translation Convertir les informations IPv6 en IPv4 et vice versa NAT64 (standardisé RFC6146) Dual Stack Les hôtes communiquent IPv4 ou IPv6 en fonction de l hôte avec qui ils parlent 14

15 Stratégie du groupe FT Périmètre global : Fixe/mobile Residentiel/Entreprise Ensemble des services pro Architecture basée sur du Dual Stack Service IPv6 VPN disponible depuis 2009 Conseil autour d IPv6 également disponible (mobilité, VoIP, transition, ) 15

16 (Quelques) leçons retenues de notre expérience La difficulté dans le passage à IPv6 réside dans la transition! Besoin de continuité de service sur les ressources IPv4 Elaboration de la stratégie de migration L IT devrait être migrée en premier Nombreux constructeurs ne pensent pas encore IPv6 Vos applications doivent être indépendantes de la famille d adresses (AF_INET ou AF_INET6) Et donc fonctionner sans se soucier de la couche 3 Communiquer! IPv6 est une opportunité d activité et non une contrainte 16

17 Menaces 17

18 IPv6, vous avez dit «blackhat»? Tunnel IPv6 6to4 par les backdoors Non détectable par les scanneurs Activation de la pile une fois la machine compromise Vers Rbot.dud, Rabat, Maroc (en mars 2007!) Le fonctionnement de certains vers ne sera plus adapté SQL-Slammer passe de 75K nœud en 10min à 1 nœud tous les 30 ans Attaque unicast, le schéma reste le même : Prise d information / scan Recherche de vulnérabilité Scénario d attaque Exploitation / Rebond 18

19 IPv6, des outils d attaque? Outils génériques : Scan : nmap, halfscan6 Rebond : relay6, 6tunnel, nt6tunnel, asybo DoS : 6tunneldos Forger des paquets: isic6, scapy6 Outils spécifiques (2005) : Alive6 : trouver les hôtes locaux ou distants «vivants» Parsite6 : MiTM (similaire à l ARP poisonning), ICMP Neighbor spoofer Redir6 : similaire à l ICMP redirect (tout rediriger vers sa machine) Fake_router6 : «rogue router» pour devenir la «default gateway» Detect-new-ipv6 DoS-new-ipv6 : DoS sur les systèmes accédant au réseau (DAD spoofing) SMURF6 & RSMURF6 : sur l adresse Multicast du lien local (local et distant) Fake_mipv6 : redirection des mobiles (si IPSEC désactivé) DNSdict6 : similaire à dnswalker 19

20 IPv6, des outils d attaque? Mais aussi 20

21 Ipv6, vulnérabilités intrinsèques Reconnaissance : IPv4 : peu d adresses à scanner (2^8) => 30 sec Nmap, amap, unicornscan, IPv6 : scan trop gourmand (2^64) => années hôtes possibles par sous réseau Outils de scan actuels peu adaptés (alive6) Scan sur 2^128 : siècles Tout reposera sur les serveurs DNS (nslookup, dig, ) DNS public pour les serveurs public DNS privé pour faciliter l administration des hôtes DNS = première source d information = critique = cible 21

22 Ipv6, vulnérabilités intrinsèques Reconnaissance, les nouvelles opportunités : L adresse multicast du lien local Permet de trouver les machines sur le réseau FF02::1, FF02::2, FF05::1, de nouveaux protocoles pour identifier les composants clés ICMPv6 ND ICMPv6 RA DHCPv6 22

23 Ipv6, vulnérabilités intrinsèques (exemple) Attaque type MITM (ARP/DHCP) encore présent Aucune sécurité ajoutée «Duplicate Address Detection» (attaque DoS) requête pour vérifier qu il n y a pas de doublon d adresse IP tout le monde peu répondre (dos-new-ipv6)! ICMPv6 Neighbour Discovery / Solicitation = ARP en couche 3 La requête s effectue à destination de l adresse multicast locale tout le monde peu répondre (parasite6)! ICMPv6 Stateless auto configuration (SLAAC) = DHCP light (less) Le routeur envoie périodiquement des annonces (RA) sur l adresse Multicast locale Les clients adaptent leur table de routage (gateway/prefix) en fonction de l annonce Tout le monde peut envoyer des Router Advertisements! (fake_router6) 23

24 Ipv6, ICMPv6 Stateless auto configuration (2) Le client émet un NS (Neighbor Sollicitation) pour tester que son adresse est unique (DAD, Duplicate Address Detection) avec le protocole ND (Neighbor Discovery) (3) Aucune réponse (1) Le client crée son adresse I locale depuis son adresse MAC (4) Le client affecte l adresse IP locale à son interface réseau (5.b) Le client reçoit un «Router Advertisement» (RA) qui annonce la configuration réseau (gateway, DHCP pour son adresse IP globale) (5.a) Le client émet un «Router Sollicitation» (RS) du protocole ND pour identifier le routeur et demander une annonce de configuration réseau. 24

25 Ipv6, attaque sur ICMPv6 Duplicate Address Detection ICMPv6 DAD attack (2) Le client A émet un NS pour vérifier si locale existe déjà : Type ICMPv6 = 135 (1) Le client A construit une locale IP Src = :: IP Dst = FF02::1 (Link-local All nodes address) Query = Qui a l IP locale A? Client A Pirate C (2) Le pirate répond à toutes les requêtes de type DAD et le client n accède pas au réseau (dos-new-ipv6) 25

26 Ipv6, attaque sur ICMPv6 Neighbor Discovery ICMPv6 ND attack (1) Le client A émet un NS : Type ICMPv6 = 135 IP Src A IP Dst = FF02::1 (Link-local All nodes address) (3) Le client met en cache les informations B C B Query = Qui a l IP locale B? Client A A Client C A (2) B voit la requête et répond (NA) : Type ICMPv6 = 136 IP Src B IP Dst A Data B (4) Le pirate répond à tout les NS Pirate C (parasite6) 26

27 Ipv6, vulnérabilités intrinsèques dunky : dunky : gw : AA:AA:AA:AA:AA:AA Attaque par ARP poisoning (2) Le pirate émet du poisoning ARP et se fait passer pour la user : user : gw ( ) : (3) Les communications entre user et la gateway transitent par le pirate (2) Le pirate émet du poisoning ARP et se fait passer pour gw: AA:AA:AA:AA:AA:AA CC:CC:CC:CC:CC:CC (1) L utilisateur se connecte à Internet à travers sa gateway dont il connaît l adresse gw : user ( ) : BB:BB:BB:BB:BB:BB 27

28 Ipv6, attaque sur ICMPv6 Stateless auto-configuration ICMPv6 SLAAC attack Client B (0) Le client B émet un RS : Type ICMPv6 = 133 IP Src = :: IP Dst = FF02::2 (Link-local All routers address) Query = RA? (1) Le routeur émet des annonces de configuration réseau RA : Type ICMPv6 = 134 Src A Dst = FF02::1 (Link-local All nodes address) Data = options, préfixe, autoconfig information (i.e. serveur DHCP) Routeur A (2) Le pirate émet des RA avec un niveau de priorité plus élevé que le routeur légitime : (fake_router6) Type ICMPv6 = 134 Pirate C Src C Dst = FF02::1 (Link-local All nodes address) Data = options, préfixe, autoconfig information (c.a.d. serveur DHCP) 28

29 Ipv6, vulnérabilités intrinsèques (suite) D autres attaques? Attaque de type SMURF : Envoie d une requête type ICMPv6 vers une adresse multicast bien choisie c.a.d : FF02::1 ou FF02::2 L adresse source est l adresse IP usurpée de la victime (spoofing) ou pire une adresse multicast normalement interdite en ICMP (RFC) mais accepté par certains systèmes Impact : DoS sur la victime et génération de beaucoup de trafic! Routage : ICMPv6 Redirect Le pirate envoie un paquet «Echo request» src=target, dst=victim Victim envoie un «Echo reply» à Target Le pirate envoie un paquet «redirect» avec src=router,dst=victim et redirige le trafic vers le pirate Attaque par fragmentation : La fragmentation est faite par la source, le réassemblage par la destination (MTU IPv6 >= 1280 bytes) Les routeurs intermédiaires ne peuvent bloquer un paquet avec des en-têtes de routage si il est fragmenté DoS sur la destination Rogue DHCPv6 et «First-hop router spoofing attack» 29

30 Ipv6, vulnérabilités intrinsèques (suite) Bypass des mesures de sécurité : (1) Le firewall bloque cette activité IPv4 : C:\Users\dbg1.000>ping Pinging with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out Ping statistics for : Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), (2) Le firewall laisse passer cette activité IPv6 : C:\Users\dbg1.000>tracert 2002:44f7:120d::44f7:120d Tracing route to 2002:44f7:120d::44f7:120d over a maximum of 30 hops 1 4 ms 2 ms 2 ms 2610:f8:c38:: ms 112 ms 98 ms d r06.asbnva01.us.bb.gin.ntt.net [2001:418:8000:5000::11] ms 122 ms 126 ms p r21.asbnva01.us.bb.gin.ntt.net [2001:418:0:2000::21d] ms 139 ms 140 ms xe-1-2.r03.stngva01.us.bb.gin.ntt.net [2001:418:0:2000::4e] ms 161 ms 167 ms fa gw.stngva.ameri.ca [2001:418:0:5000::42] ms 389 ms 444 ms 2002:44f7:120d::44f7:120d Trace complete. «Routing Header 0» : routage par la source Boucle sur le réseau / surchage Boomrang / surcharge contournement de la politique de sécurité Traceroute distant Denial of Service Combinaison d attaque : injection de route à distance Les nœuds ayant une pile IPv6 doivent traiter les paquets Le traitement des paquets doit s effectuer dans l ordre des «next headers» 30

31 IPv6, vulnérabilités 31

32 IPv6, quelques exemples Quelques vulnérabilités d implémentation : Python getaddrinfo Function Remote Buffer Overflow Vulnerability FreeBSD IPv6 Socket Options Handling Local Memory Disclosure Vulnerability Juniper JUNOS Packet Forwarding Engine IPv6 Denial of Service Vulnerability Apache Web Server Remote IPv6 Buffer Overflow Vulnerability Exim Illegal IPv6 Address Buffer Overflow Vulnerability Cisco IOS IPv6 Processing Remote Denial Of Service Vulnerability Linux Kernel IPv6_Setsockopt IPv6_PKTOPTIONS Integer Overflow Vulnerability Postfix IPv6 Unauthorized Mail Relay Vulnerability Microsoft IPv6 TCPIP Loopback LAND Denial of Service Vulnerability Cisco IOS Dual-stack Router IPv6 Denial Of Service Vulnerability 32

33 Ipv6, quelques exemples Quelques vulnérabilités d implémentation : Microsoft Internet Connection Firewall IPv6 Traffic Blocking Vulnerability Microsoft Windows 2000/XP/2003 IPv6 ICMP Flood Denial Of Service Vulnerability Ethereal OSI Dissector Buffer Overflow Vulnerability SGI IRIX Snoop Unspecified Vulnerability SGI IRIX IPv6 InetD Port Scan Denial Of Service Vulnerability Apache Web Server FTP Proxy IPv6 Denial Of Service Vulnerability Sun Solaris IPv6 Packet Denial of Service Vulnerability Multiple Vendor HTTP Server IPv6 Socket IPv4 Mapped Address Handling Vulnerability BSD ICMPV6 Handling Routines Remote Denial Of Service Vulnerability 33

34 Ipv6, quelques exemples Quelques vulnérabilités d implémentation : Cisco IOS IPv6 Processing Arbitrary Code Execution Vulnerability Linux Kernel IPv6 Unspecified Denial of Service Vulnerability HP Jetdirect 635n IPv6/IPsec Print Server IKE Exchange Denial Of Service Vulnerability Tunnel Connection Close State Denial of Service Vulnerability HP-UX DCE Client IPv6 Denial of Service Vulnerability Multiple Vendor IPv4-IPv6 Transition Address Spoofing Vulnerability ZMailer SMTP IPv6 HELO Resolved Hostname BufferOverflow Vulnerability Linux Kernel IPv6 FlowLable Denial Of Service Vulnerability Linux Kernel IP6_Input_Finish Remote Denial Of Service Vulnerability Cisco IOS/ASA & Windows DoS with IPv6 ND RA (CVE [69,70,71]) 34

35 Sécurité? 35

36 Ipv6, sécurité? Approche similaire à IPv4 : firewall (bloquer le RH0, RFC5095), IPS, patchs, etc.. IPv6 fournit de nombreux outils de sécurité : IPSec SeND (Secure Neighbor Discovery, RFC3971 et RFC3972) : signature du paquet (RSA option), option CGA transportant la clé publique, option d horodatage, option «nonce» pour associer la requête à la réponse et lutter contre le rejeu, Peu déployé, nécessite une syncrho NTP, une PKI avec le support de OCSP (Online Certificate Status Protocol) et un accès à la CRL! CGA (Crypto-generated Address) : inclut dans SEND, construction de l adresse en fonction d une clé publique ULA (Unique Local Addresses) RA Guard (RF6104 et RFC6105) : propagation sélective des RA par les switchs (ACL, SeND, ) <= techniques d évasion existantes (fragmentation entre autre) 36

37 Ipv6, sécurité? Au sujet de SeND : N assure pas confiance pour les services (comme DHCPv6, NTP, etc.)! N assure pas la fonction d autorisation! 37

38 Ipv6, recommandations ANSSI Recommandations de l'anssi 1. Filtrer toutes les adresses IPv6 du réseau au niveau du pare-feu de sortie vers l'internet. ex : ne pas oublier qu'une machine utilise plusieurs adresses IPv6. 2. Employer des adresses IPv6 conformes, mais pas prévisibles pour les systèmes critiques. 3. Bloquer tous les services inutiles au niveau du pare-feu. ex. : pour éviter les tunnels sortants, bloquer le protocole 41 des paquets IPv4. ex. : pour interdire Teredo, bloquer les ports UDP 3544 (src/dst). 4. Filtrer de manière sélective les paquets ICMP (ICMPv4 et ICMPv6). ex : distinguer les différents type de messages (erreurs et information, adressage, etc) (RFC4890 : ICMPv6 Filtering recommandations) 5. Interdire la fragmentation des paquets au niveau IPv6, si cela est possible. Sinon, celle-ci doit être correctement filtrée (tailles min et max). 6. Sélectionner les extensions des entêtes IPv6 qui ont légitimité dans le réseau. ex : faut-il autoriser les jumbogrammes, ou l'extension Router Alert? 7. Utiliser IPsec pour les communications avec des systèmes critiques, et pour les protocoles de routage. L'authentification doit être déployée dès que possible, via IPsec et IEEE 802.1X (Radius, etc). 8. Renforcer la sécurité au niveau des stations (antivirus, pare-feu, services nécessaires strictement). 9. Garder les bonnes pratiques IPv4 pour appliquer les correctifs de sécurité et les mises à jour. 10. Développer des surveillances adaptées à IPv6 (blocage de périmètres, surveillance du volume, etc). Vérifier que les outils de sécurité utilisés comprennent correctement IPv6. 38

39 Quelques orientations supplémentaires Protéger vos équipements d infrastructure analyser les messages type «Rogue RA messages» dans un contexte datacenter maintenir une politique de filtrage détaillée maîtriser l adressage des composants critiques Préserver la confidentialité du trafic : utiliser des méthodes de chiffrement (IPSec) Activer des fonctions comme «urpf» (Unicast Reverse Path Forwarding) sur Cisco Ne pas oublier que la fragmentation peut cacher une attaque! Les fragments de paquets dont la taille est inférieure à 1280 octets devraient être bloqués Centraliser la sécurité Tracer/Journaliser les adresses IPv6 activé 39

40 Quelques orientations supplémentaires (suite) A titre d exemples concernant la politique du firewall : mettre en place les fonctions d anti-spoofing Autoriser les GUA légitimes (2001::/16, 2002::/16, ) Filtrer les paquets ICMPv6 non autorisé (redirect, ) Bloquer les tunnels illégitimes (2001:0000::/32 pour Teredo, ) Bloquer la fragmentation (si possible) Réassembler pour analyser les next-headers Bloquer les headers dangereux (exemple : RH0 même si cette option est obsolète) interne Groupe France Télécom 40

41 Ipv6, les vrais enjeux Une problématique plus organisationnelle que technique : Définir des guides de bonnes pratiques Conduire des audits (état des lieux, rationalisation du plan d adressage, étude d impacts, ) Définir VOTRE stratégie de migration IPv6! Rester simple Définir/réadapter toutes les politiques de sécurité (et vos habitudes) Identifier et vérifier toutes les mesures de sécurité Compliance IPv6? Fixer les adresses et ne laisser pas la main au système Former Sensibiliser Eduquer NAT IPv6 Migrer toute l infrastructure en IPv6 Eviter la cohabitation! Tunnel IPv4 NAT 41

42 L'Internet

43 Accords d'interconnexion Accord de transit Des clients paient pour traverser l'as Pour recevoir et envoyer du trafic de tous l'internet Au prix du marché (pas de régulation) Plusieurs accords de transit sont possibles, Concurrence, redondance, partage de charge, Accord de peering Interconnexion gratuite entre AS Pour recevoir et envoyer du trafic entre les clients de ces 2 AS Objectif : améliorer les performances (délais, congestion), diminuer les coûts Un AS n'ayant que des accords de peering est appelé "tier one" i.e. il ne paie pas pour acheminer son trafic. 43

44 Accessibilité Chaque réseau veut être connecté à l'internet Avoir une connectivité au reste de l'internet, Pouvoir être accessible de n'importe qui sur l'internet. Contrôler le routage en fonction de ses priorités Le routage du trafic sortant est facile à contrôler, par exemple sur des critères de : Coûts (accords négociés), Performances, Sécurisation. Le routage du trafic entrant n'est pas facilement contrôlable. Ceci implique de décider les routes à privilégier : Configuration de ses équipements, Politique de routage entre domaine. Le routage 44

45 Internet table de routage L'internet est constitué d'environ routes IPv4 (full routing) Source: Le routage 45

46 Internet topologie (estimée) L'internet est constitué de Systèmes Autonomes (AS) Source: lanet-vi//gallery/autonomous_system+.html Le routage 46

47 Merci questions?