CR IETF 63 Paris. Futur: test de l'impact des PKI: CRL (Certificate Revocation List) vs OCSP (Online Certificate Status Protocol)



Documents pareils
Service de VPN de niveau 3 sur RENATER (L3VPN MPLS)

OneAccess 16xx EAD Ethernet Access Device / 1.0 / AH / Public

Les réseaux de campus. F. Nolot

Groupe Eyrolles, 2000, 2004, ISBN :

Le service IPv4 multicast pour les sites RAP

de trafic sur l infrastructure de production MPLS de RENATER

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

IPFIX (Internet Protocol Information export)

Filière : Génie Réseaux & Télécoms. Rapport du projet de semestre. Etude et simulation sur GNS 3 du service MP- BGP/VPN-IP. Réalisé par : Asmaa KSIKS

1 PfSense 1. Qu est-ce que c est

IPv6: from experimentation to services

Plan. Rappels sur Netflow v1 v8. Netflow v9. Collecteur UTC «IPFlow» Cisco IOS : Implémentation de Netflow IPv6

Completed Projects / Projets terminés

Présentation et portée du cours : CCNA Exploration v4.0

Pare-feu VPN sans fil N Cisco RV120W

Fonctions Réseau et Télécom. Haute Disponibilité

Introduction aux Technologies de l Internet

Présentation et portée du cours : CCNA Exploration v4.0

Programme formation pfsense Mars 2011 Cript Bretagne

Chapitre 11 : Le Multicast sur IP

Réseaux IUP2 / 2005 IPv6

ROUTEURS CISCO, PERFECTIONNEMENT

Configuration de Serveur 2003 en Routeur

IP Exchange Network Architecture et Services. EFORT

DESCRIPTION DU CONCOURS QUÉBÉCOIS INFORMATIQUE (GESTION DE RÉSEAUX)

Introduction. Adresses

ECTS CM TD TP. 1er semestre (S3)

Système Téléphonique. Séminaire RHDM. IP sur ATM. Plan du Séminaire. RNIS-BE : Services INTERNET LARGE BANDE & ATM

Les Virtual LAN. F. Nolot 2008

Travaux pratiques IPv6

Hypervision et pilotage temps réel des réseaux IP/MPLS

ÉCOLE DE TECHNOLOGIE SUPÉRIEURE UNIVERSITÉ DU QUÉBEC MÉMOIRE PRÉSENTÉ À L'ÉCOLE DE TECHNOLOGIE SUPÉRIEURE

Le protocole SSH (Secure Shell)

TD 2 Chapitre 4 : Support des Services et Serveurs. Objectifs : Maîtriser l'exploitation des tables de routage dynamique.

Chapitre 1 Le routage statique

2. DIFFÉRENTS TYPES DE RÉSEAUX

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Commutateur Cisco SRW ports Gigabit : WebView Commutateurs gérés Cisco Small Business

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

Pare-feu VPN sans fil N Cisco RV110W

Compte-rendu du TP n o 2

Spécifications de raccordement au service de Téléphonie sur IP (ToIP) de RENATER

Algorithmique et langages du Web

SSL ET IPSEC. Licence Pro ATC Amel Guetat

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

La supervision des services dans le réseau RENATER

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

(In)sécurité de la Voix sur IP [VoIP]

Administration Avancée de Réseaux d Entreprises (A2RE)

Chapitre 7. Le Protocole SNMP 7.1 INTRODUCTION COMPOSANTES POUR L UTILISATION FONCTIONNEMENT LE PAQUET SNMPV1...

Travaux pratiques : collecte et analyse de données NetFlow

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Dr Rim Belhassine-Cherif Directeur de Développement de Produits et Services.

Gestion et Surveillance de Réseau

AGREGATION DE LIENS ENTRE UNE APPLIANCE FAST360 ET UN COMMUTATEUR. Table des matières PRINCIPES DE L'AGREGATION DE LIENS... 2

Routeur VPN Wireless-N Cisco RV215W

DIFF AVANCÉE. Samy.

Plan. Programmation Internet Cours 3. Organismes de standardisation

Rapport de projet de fin d études

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Contrôle du trafic aérien en Europe sur le chemin de la Voix sur IP

Fiche descriptive de module

Cisco Certified Network Associate

JIP'05. Sécurité des plate-formes d'hébergement - Les défis des FSI - Yann Berthier / FHP yb@bashibuzuk.net

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Check Point Certified Security Expert R75. Configurer et administrer des solutions avancées de la suite des produits de sécurité Check Point R71.

Rapport projet SIR 28/06/2003

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Proxy Proxy = passerelle applicative Exemple: proxy/cache FTP, proxy/cache HTTP. Conclusion. Plan. Couche réseau Filtres de paquets (routeur)

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

NIMBUS TRAINING. Administration de Citrix NetScaler 10. Déscription : Objectifs. Publics. Durée. Pré-requis. Programme de cette formation

Rapport de certification

Thèse de Doctorat Université Pierre et Marie Curie Paris 6 EDITE de Paris. Ahmed Amamou. Isolation réseau dans un datacenter virtualisé

CONVENTION AVEC LES MAITRES D OUVRAGES DES RESEAUX DE COLLECTE

CheckPoint R76 Security Engineering niveau 2 (Cours officiel)

Date : 08/02/12 SISR1 tp.topologie.reseau.wan Durée : 2 h

Sécuriser le routage sur Internet

Note technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau

Vue d'ensemble de NetFlow. Gestion et Supervision de Réseau

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

pfsense Manuel d Installation et d Utilisation du Logiciel

Sécurité GNU/Linux. Virtual Private Network

L3 informatique Réseaux : Configuration d une interface réseau

Mettre en oeuvre Cisco Data Center Unified Fabric

1. Formation F5 - Local Traffic Manager Configuring (LTM)

Détection d'intrusions et analyse forensique

Adresse 15 avenue du Hoggar Parc Victoria - Le Vancouver ZA de Courtaboeuf LES ULIS. Site web Téléphone

Commutateur Cisco SRW ports Gigabit : WebView Commutateurs gérés Cisco Small Business

FORMATION FIBRE OPTIQUE

Figure 1a. Réseau intranet avec pare feu et NAT.

Les Réseaux Informatiques

Commutateur 48 ports Gigabit Cisco SGE2010 Commutateurs de gestion Cisco Small Business

Commutateur sûr, efficace et intelligent pour petites entreprises

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

TESTING NETWORK HARDWARE

Transcription:

CR IETF 63 Paris rpsec Routing Protocols Security Requirements WG Envoyés à la mailing-list: besoins en sécurité pour BGP Travail des 2 prochains mois: vulnérabilités d'ospf, BGP attack tree Après: MANET? IP mobile? IS-IS? RIP? ***** Efficient BGP security, Meiyuan Zhao, Sean Smith, David Nicol S-BGP transporte une RA (Route Attestation) et une AA (Address Attestation) sous forme de PKI. La RA permet d'authentifier un AS path. A chaque nœud, authentification des données BGP => éventuels problèmes de performance: tailles des messages x8, mémoire x10. => Signature Amortization: vérification rapide de la signature par agrégation des signatures de chaque AS par hachage. 2 variantes de signature: GAS (General Aggregation Signature) / SAS (Sequential Aggregation Signature) 2 variantes d'agrégation: par vecteurs de bits / par arbre Après tests, solution retenue: GAS-V Futur: test de l'impact des PKI: CRL (Certificate Revocation List) vs OCSP (Online Certificate Status Protocol) mpls MultiProtocol Label Switching WG ***** MPLS extensions to ICMP, Ron Bronica draft-ietf-mpls-icmp-03 Update d'un draft écrit il y a cinq ans et qui bien que largement implémenté, n'est jamais devenu un RFC car l'iesg considère qu'il y a une "violation de couches": informations MPLS transportées par de l'icmp Pourtant, ce draft est nécessaire car le RFC 792 (ICMP) ne définit pas de mécanisme permettant de reporter un header MPLS dans un message ICMP. Problème à résoudre au cœur du réseau MPLS : le LSR enlève le stack de labels pour forger le paquet ICMP quid du transport du résultat?? ***** Nouveau RFC : RFC 4090 Fast Reroute Extensions for RSVP-TE for LSP Tunnels ***** Drafts en cours de rédaction par le WG : draft-ietf-mpls-lsr-self-test draft-ietf-mpls-oam-frmwk draft-ietf-mpls-oam-requirements-06 draft-ietf-mpls-over-l2tpv3 draft-ietf-mpls-p2mp-sig-requirement draft-ietf-mpls-rsvp-te-p2mp draft-ietf-mpls-rfc3036bis-01 Emilie Camisard GIP RENATER 1

draft-ietf-mpls-soft-preemption ***** LDP to draft standards, Ina Minei draft-ietf-mpls-rfc3036bis-01 draft-minei-ldp-operational-experience-01 Dernières relectures. Utilisation de LDP, comment le déployer, dans quel cadre Questionnaire de besoins envoyé, mais peu de réponses. ***** LSR self test, George Swallow draft-ietf-mpls-lsr-self-test A été en attente de la spécification du ping LSP. Draft désormais prêt, dernier appel à contributions. ***** P2MP LSP Ping draft-yasukawa-mpls-p2mp-lsp-ping-02 Depuis Minneapolis, les objectifs du draft ont été précisés. Il est possible d effectuer un ping sur un arbre ou d un équipement particulier. Va très certainement devenir un WG document. draft-nadeau-mpls-interas-lspping-00 Utilisation du ping LSP en milieu inter-as. Problème si l adresse IP contenue dans le paquet n est pas annoncée à tous les AS traversés. Solution indiquée : l ASBR doit se souvenir qu un ping LSP a transité par lui, de manière à ce que les erreurs éventuelles de routage lui soient remontées. ***** P2MP OAM requirements draft-yasukawa-mpls-p2mp-oam-reqs-00.txt Détection et reporting d erreurs liées au plan de contrôle. Le document est à relire et à clarifier davantage, avant d en faire très certainement un WG document. ***** Detecting P2MP dataplane failures, Rahul Aggarwal draft-ietf-mpls-rsvp-te-p2mp-02 draft-yasukawa-mpls-p2mp-lsp-ping-02 draft-nadeau-mpls-interas-lspping Manque de clarté du RFC 3032 (MPLS Label Stacking) sur les définitions des LSP utilisés par l unicast ou le multicast. Trois aspects différents sont traités dans chacun des drafts. UAL: Upstream label allocation. Plus pratique pour l ajout d un équipement à un arbre multicast. Suggestion qu au lieu de différencier l unicast du multicast, il serait plus opportun de distinguer l upstream allocated du downstream allocated. ***** MPLS multicast encapsulation draft-leroux-mpls-mp-ldp-reqs-01 Emilie Camisard GIP RENATER 2

draft-rosen-mpls-multicast-encaps-00 draft-raggarwa-mpls-upstream-label-00 Préfèrent l'attribution de labels en upstream pour pouvoir ajouter facilement un nouveau client en gardant une homogénéité dans les numéros de labels: à spécifier car le RFC3031 réduit la distribution de label à du downstream. Proposition d'ajouter un objet RSVP-TE: UPSTREAM_ASSIGNED_LABEL. En cas de réception de cet objet, le LSR ne renverrait pas de label en retour de la demande d'établissement de LSP. ***** LDP et P2MP, Jean-Louis Leroux, FT Propose : - Un nouveau type de FEC avec root address et LSP identifier - Unsollicited label distribution, ordered distribution of labels, egress initiated draft-minei-mpls-ldp-p2mp-01 draft-yasukawa-mpls-ldp-mcast-over-p2mp-lsps-00 draft-raggarwa-mpls-rsvp-ldp-upstream-00 draft-wijnands-mpls-ldp-mcast-ext-00 Proposent de créer un nouveau type de FEC à partir : - de l'adresse de la racine de l'arbre - du type d'arbre - de l'"opaque value" : sorte d'id de LSP l3vpn Layer 3 Virtual Private Network WG ***** Déjà publiés sous forme de RFC: generic requirements, terminology, service requirements, framework, security framework. ***** Travaux actuels : - Requirement for multicast - Multicast solution in bgp ip vpn - CE-CE member verification - l3vpn import export verification - appl stat, framework - definition textual convention mib for bgp/mpls ip vpn. ***** Multicast VPN Requirements - Thomas Morin draft-ietf-l3vpn-ppvpn-mcast-reqts-01 Un update a été fait récemment, avec les changements suivants: ajout de parties sur les CsC requirements et la QoS. Les besoins pour le déploiement figurent sous la forme de use cases. Questionnaire pour les ISP sur le VPN multicast: quels déploiements prévus, avec quelles technologies Réponse avant le15/9. Reste à compléter le draft avec les résultats du questionnaire + revoir les besoins (protocoles PE- CE, inter-as, CsC ) ***** Multicast VPN MIB - Tom Nadeau draft-svaidya-mcast-vpn-mib-02 Emilie Camisard GIP RENATER 3

Management des technos proposées dans le draft multicast de Rosen. pwe3 Pseudo Wire Emulation Edge to Edge WG ***** Luca Martini, Requirements for inter domain Pseudo-Wires draft-ietf-pwe3-ms-pw-requirements-00 Définit les bases de la signalisation pour l interaction entre LDP, L2TPv3, liens statiques PW «single segment» (SS) avec LDP PW «multi segment» (MS) avec RSVP-TE ***** Matthew Bocci, An Architecture for Multi-Segment Pseudo Wire Emulation Edge-to- Edge draft-bocci-bryant-pwe3-ms-pw-arch-00 Modèle de couches de protocoles: RFC 3985 excepté que le PW est indépendant du tunnel PSN (Packet Switched Network). Modèle de S-PE : ------------------------------------------------------- S-PE<-----> single PW instance forwarder single PW instance <-------> S-PE ------------------------------------------------------- L2 protocol L2 protocol PW demux <--------PW SEGMENT -----------> PW demux PSN physical layer <--------PSN TUNNEL -----------> PSN physical layer ***** Rahul Aggarwal, draft-raggarwa-rsvpte-pw-02 Création de LSP avec RSVP-TE car de nombreux mécanismes sont déjà fournis par ce protocole et on évite le full-mesh des U-PE et des Tunnels PSN. ***** Multi-Segment Pseudowire Setup and Maintenance using LDP, Florin Balus draft-balus-mh-pw-control-protocol-02 Création dynamique d un MS-PW, qui est constitué de plusieurs SS-PW Next hop déterminé par BGP ou statique. ***** Multi-Segment Pseudo Wire Signaling Himanshu Shah draft-shah-bocci-pwe3-ms-pw-signaling-01 Extensions de protocoles de signalisation car les PW ne sont pas des LSP normaux : signalisation amorcée par le U-PE downstream l1vpn Layer 1 Virtual Private Network WG Spécification de mécanismes nécessaires à la fourniture de services de VPN de niveau 1 (connexions de niveau 1 entre des CE) sur un réseau d ISP basé sur du GMPLS. Emilie Camisard GIP RENATER 4

***** Actions: Sept 05: Draft Framework + Basic mode specs Dec 05: MIB basic mode Jun 06: first drafts of enhanced mode specs ***** Overview of L1VPN Framework and Requirements, Marco Carugi Liaison entre ITU-T SG13 et IETF Questionnaire de besoins émis par l'itu, pas beaucoup de réponses. A abouti à 2 recommandations: Y.1312 (L1 VPN Generic Requirements and Architecture elements) : septembre 2003 Y.1313 (L1 VPN service and network architectures) : mai 2004 ***** draft-takeda-l1vpn-framework-04, Tomonori Takeda Deux modèles de services sont définis : - basic mode : les fonctions de l interface CE-PE sont limitées aux aspects de signalisation. Le réseau du provider n est pas impliqué dans la distribution des informations de routage propres au réseau du client. - enhanced mode : les fonctions de l interface CE-PE sont celles du «basic mode» + échange limité d informations entre les plans de contrôle du provider et du client. ***** Overview of Existing Solutions Drafts draft-ouldbrahim-ppvpn-gvpn-bgpgmpls-06 draft-ietf-ccamp-gmpls-overlay-06 Unité de base d'un L1VPN: le LSP entre des CE concept de GVPN: Generalised VPN. 2 services offerts par GVPN: - GVPW (Generalised Virtual Private Wire) : basic mode - GVPXC (Generalised Virtual Private Crossconnect): enhanced mode ***** GMPLS UNI: RSVP-TE for overlay model UNI entre le CE et le PE, pas d'échange d'information de routage au niveau du client. ccamp Common Control and Measurement Plane WG ***** Drafts en cours de rédaction: - GMPLS addressing - GMPLS - ASON lexicography - ASON routing evaluation - LSP stitching - interdomain RSVP-TE - path computation per-domain - ASON signalling ***** Interactions avec autres groupes de travail: - Q.14: routing signalling req lexicographie Emilie Camisard GIP RENATER 5

- Q.9/11/12 : Ethernet functions / interfaces GFP et LCAS / Ethernet : architecture et services + ASON - OIF: fin de UNI 2.0 et début de E-NNI 2.0 ***** Inter-domain Stitching - draft-ietf-ccamp-lsp-stitching-01 Problématique non résolue: quelle signalisation pour créer des LSP bidirectionnels? Solutions : envois de labels en upstream, ajout de flags dans LDP, envoi d un seul label pour les 2 sens. Possibilité de passer de PSC-n à PSC-n+1 interdite. Soulevé également : jusqu'à maintenant, aucun algorithme CSPF spécifié ***** GMPLS Addressing - draft-ietf-ccamp-gmpls-addressing-01 A résoudre: par quel biais un routeur egress peut-il connaître un routeur ingress et savoir qu'une FA (forwarding adjacency) est présente dans le LSP? ***** GMPLS Lexicography, Igor Bryskin Ce lexique doit permettre aux personnes maîtrisant la terminologie ASON de saisir rapidement le contenu d un RFC sur GMPLS. ***** GMPLS for Ethernet, Dimitri Papadimitriou draft-papadimitriou-ccamp-gmpls-ethernet-framework-00 Identifie les fonctionnalités requises dans les plans de contrôle : link discovery, signalisation, routage. Scénarios dans lesquels le GMPLS pourrait être utile : - Aggregation: réseaux d accès - Metro - Unified / Core: réseau intégrant les paquets IP, les trames Ethernet, la commutation de circuits. - Transport / Core: passage à travers plusieurs AS. ***** Prochains sujets d'étude: - MPLS-GMPLS migration - GMPLS interoperability issues - L1VPN => new WG - PCE (Path computation elements) requirements ***** Nouveaux sujets récents: - control and use of VCAT/LCAS - control plane saturation - MIB for IGP-TE/ GMPLS - Advertisements for TE/GMPLS capabilities - interpretation of CSPF constraints Emilie Camisard GIP RENATER 6

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back