SlideShare uma empresa Scribd logo

JCSA 2012 05 05 Frank Simon (France-IX) : Résilience de l'Internet vue d'un opérateur de point d'échange Internet français

Transferir como PPTX, PDF
Afnic
Afnic
1 de 10
Résilience de l’Internet, vue d’un opérateur de point d’échange Internet français Franck SIMON – France IX Directeur général fsimon@franceix.net Journée Conseil Scientifique de l’AFNIC – 04/07/2012
Architecture ‘simplifiée’ de l’Internet • ‘Box’ ou ‘routeur’ utilisateur • Equipement de collecte (équipement ‘edge’) de l’opérateur • Equipement de cœur de réseau (équipement ‘core’) de l’opérateur • Interconnexions de l’opérateur avec les éléments extérieurs : – autres opérateurs, hébergeurs, CDNs … via • du peering public (interconnexion mutualisée à travers des points d’échange Internet) • du peering privé (interconnexion dédiée/spécifique) • des accès ‘IP transit’ Journée Conseil Scientifique de l’AFNIC – 04/07/2012
Résilience de l’Internet La résilience globale de l’Internet est possible grâce à assemblage et une résilience de plusieurs ‘briques’, notamment : • Résilience des architectures sur les réseaux d’opérateurs • Résilience des interconnexions physiques • Résilience des interconnexions logiques • Résilience des ressources ‘critiques’ de l’Internet • Résilience de la supervision et mise en place d’une politique de sécurité Journée Conseil Scientifique de l’AFNIC – 04/07/2012
Résilience des architectures sur les réseaux d’opérateurs (1/2) • Résilience des infrastructures physiques de liaisons (double adduction, chemins fibres redondants …) . Résistance à des coupures, incidents divers (erreur humaine, rongeurs, coup de pelleteuse, vol de cuivre, vandalisme, catastrophe naturelle ou technologique…). • Résilience des équipements (équipements optiques, commutateurs, routeurs …) : redondance partielle/totale des châssis Journée Conseil Scientifique de l’AFNIC – 04/07/2012
Résilience des architectures sur les réseaux d’opérateurs (2/2) • Résilience de l’hébergement des équipements : diversité des PoPs, répartition des équipements dans des locaux techniques sécurisés, idéalement dans ‘datacenters’ (pas toujours possible pour tous les types d’équipements, notamment les équipements de transmission optiques des opérateurs hébergés dans des ‘shelters’ – petits locaux techniques - à intervalles réguliers, le long du chemin fibre optique pour amplifier le signal optique ou le régénérer). • Résilience de la topologie ‘logique’ des réseaux : définition topologie IS-IS ou OSPF, résilience couche 2, re-routage possible au niveau de la couche 3, re-routage MPLS … Journée Conseil Scientifique de l’AFNIC – 04/07/2012
Résilience des interconnexions physiques • Résilience des connexions des opérateurs sur les points d’échange Internet : connexion sur plusieurs point d’échange, voire connexion sur plusieurs PoPs d’un même point d’échange – Résilience des points d’échange eux-mêmes : plusieurs PoPs, redondance des équipements dans les PoPs, maillage inter- PoPs, re-routage ‘transparent’ de type MPLS/VPLS (sur les points d’échange ‘dernière génération’) dans le coeur • Résilience des accès IP transit des opérateurs (au moins 2 accès IP transit distincts), et des infrastructures backbone des opérateurs de transit • Résilience des hébergeurs, CDN (architecture distribuée basée sur du Cloud, solutions de type Anycast …) Journée Conseil Scientifique de l’AFNIC – 04/07/2012
Résilience des interconnexions logiques • Multiplicité des interconnexions BGP : peering privé, peering public, peering avec serveurs de routes des points d’échange Internet (nécessité de redondance et disponibilité de ces serveurs) • Résilience du routage BGP (plusieurs chemins possibles pour joindre une même destination) : définition d’une politique de routage. • Sécurisation des interconnexions BGP et validation des informations transmises : authentification MD5 sur sessions BGP, limitation sur nombre de préfixes autorisés en réception, vérification/validation des routes transmises/reçues… => Maîtrise de la stabilité duScientifique de l’AFNIC – 04/07/2012 Journée Conseil routage BGP
Résilience des ressources ‘critiques’ de l’Internet • Résilience/redondance des DNS • Diversité des répliques des serveurs DNS racine, et positionnement de ces ressources dans des lieux à forte connectivité (point d’échange Internet par exemple) : résistance du service DNS à des attaques de type DDos. Journée Conseil Scientifique de l’AFNIC – 04/07/2012
Résilience de la supervision et politique de sécurité • Il reste indispensable, à l’échelle de chaque infrastructure réseau de prévoir aussi la résilience des accès de supervision et une résilience/diversité des OS utilisés sur les équipements (serveurs, commutateurs, routeurs) pour minimiser l’impact potentiel d’une vulnérabilité, d’un bogue … • Supervision ‘InBand’ (supervision via un sous-réseau dédié, via un canal optique spécifique …), et idéale ‘Out-of- Band’ préférable car permet de superviser les équipements indépendamment de la disponibilité des liens backbone) • Définition d’une politique de sécurité, afin que la résilience physique et logique ne soit pas mise à mal par de vulgaires vulnérabilités, et mise en place d’une coopération via cellules de type CERT (Computer Emergency Response Team) Journée Conseil Scientifique de l’AFNIC – 04/07/2012
Résilience de l’Internet Conclusion / Questions Journée Conseil Scientifique de l’AFNIC – 04/07/2012

Recomendados

Nerim Quick Overview 2009
Nerim Quick Overview 2009Nerim Quick Overview 2009
Nerim Quick Overview 2009Robin FERRIERE
 
Submarine cables structuring and financing options
Submarine cables structuring and financing optionsSubmarine cables structuring and financing options
Submarine cables structuring and financing optionsAmy Walls
 
Submarine Cables by Niall Toh
Submarine Cables by Niall TohSubmarine Cables by Niall Toh
Submarine Cables by Niall TohMyNOG
 
Cable landing station
Cable landing stationCable landing station
Cable landing stationchoudhurygargi
 
Implémentation du FTTH dans le Système d’Information d’un opérateur télécom
Implémentation du FTTH dans le Système d’Information d’un opérateur télécomImplémentation du FTTH dans le Système d’Information d’un opérateur télécom
Implémentation du FTTH dans le Système d’Information d’un opérateur télécomaurelienmartin
 
Alternative Dispute Resolution Trends 2015 (1st Semester)
Alternative Dispute Resolution Trends 2015 (1st Semester)Alternative Dispute Resolution Trends 2015 (1st Semester)
Alternative Dispute Resolution Trends 2015 (1st Semester)Afnic
 
Tendances PARL 2015 (1er trimestre)
Tendances PARL 2015 (1er trimestre)Tendances PARL 2015 (1er trimestre)
Tendances PARL 2015 (1er trimestre)Afnic
 
Securing Internet communications end-to-end with the DANE protocol
Securing Internet communications end-to-end with the DANE protocolSecuring Internet communications end-to-end with the DANE protocol
Securing Internet communications end-to-end with the DANE protocolAfnic
 

Recomendados

Nerim Quick Overview 2009
Nerim Quick Overview 2009Nerim Quick Overview 2009
Nerim Quick Overview 2009Robin FERRIERE
 
Submarine cables structuring and financing options
Submarine cables structuring and financing optionsSubmarine cables structuring and financing options
Submarine cables structuring and financing optionsAmy Walls
 
Submarine Cables by Niall Toh
Submarine Cables by Niall TohSubmarine Cables by Niall Toh
Submarine Cables by Niall TohMyNOG
 
Cable landing station
Cable landing stationCable landing station
Cable landing stationchoudhurygargi
 
Implémentation du FTTH dans le Système d’Information d’un opérateur télécom
Implémentation du FTTH dans le Système d’Information d’un opérateur télécomImplémentation du FTTH dans le Système d’Information d’un opérateur télécom
Implémentation du FTTH dans le Système d’Information d’un opérateur télécomaurelienmartin
 
Alternative Dispute Resolution Trends 2015 (1st Semester)
Alternative Dispute Resolution Trends 2015 (1st Semester)Alternative Dispute Resolution Trends 2015 (1st Semester)
Alternative Dispute Resolution Trends 2015 (1st Semester)Afnic
 
Tendances PARL 2015 (1er trimestre)
Tendances PARL 2015 (1er trimestre)Tendances PARL 2015 (1er trimestre)
Tendances PARL 2015 (1er trimestre)Afnic
 
Securing Internet communications end-to-end with the DANE protocol
Securing Internet communications end-to-end with the DANE protocolSecuring Internet communications end-to-end with the DANE protocol
Securing Internet communications end-to-end with the DANE protocolAfnic
 
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANESécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANEAfnic
 
Deploying DNSSEC: what, how and where ?
Deploying DNSSEC: what, how and where ?Deploying DNSSEC: what, how and where ?
Deploying DNSSEC: what, how and where ?Afnic
 
Déployer DNSSEC, comment, quoi, où ?
Déployer DNSSEC, comment, quoi, où ?Déployer DNSSEC, comment, quoi, où ?
Déployer DNSSEC, comment, quoi, où ?Afnic
 
.fr domain name life cycle
.fr domain name life cycle .fr domain name life cycle
.fr domain name life cycle Afnic
 
Cycle de vie d'un nom de domaine en .fr
Cycle de vie d'un nom de domaine en .frCycle de vie d'un nom de domaine en .fr
Cycle de vie d'un nom de domaine en .frAfnic
 
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...Afnic
 
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...Afnic
 
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...Afnic
 
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'InternetJCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'InternetAfnic
 
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'InternetJCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'InternetAfnic
 
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...Afnic
 
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013Afnic
 
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...Afnic
 
New gTLDs: a new Big Bang for domain names
New gTLDs: a new Big Bang for domain namesNew gTLDs: a new Big Bang for domain names
New gTLDs: a new Big Bang for domain namesAfnic
 
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaineNouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaineAfnic
 
Observatoire sur la résilience Internet en France-2012
Observatoire sur la résilience Internet en France-2012Observatoire sur la résilience Internet en France-2012
Observatoire sur la résilience Internet en France-2012Afnic
 
Afnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 charactersAfnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 charactersAfnic
 
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractères
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractèresSynthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractères
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractèresAfnic
 
Afnic Rapport d'activite 2012
Afnic Rapport d'activite 2012Afnic Rapport d'activite 2012
Afnic Rapport d'activite 2012Afnic
 
Afnic Annual Report 2012
Afnic Annual Report 2012Afnic Annual Report 2012
Afnic Annual Report 2012Afnic
 

Mais conteúdo relacionado

Mais de Afnic

Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANESécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANEAfnic
 
Deploying DNSSEC: what, how and where ?
Deploying DNSSEC: what, how and where ?Deploying DNSSEC: what, how and where ?
Deploying DNSSEC: what, how and where ?Afnic
 
Déployer DNSSEC, comment, quoi, où ?
Déployer DNSSEC, comment, quoi, où ?Déployer DNSSEC, comment, quoi, où ?
Déployer DNSSEC, comment, quoi, où ?Afnic
 
.fr domain name life cycle
.fr domain name life cycle .fr domain name life cycle
.fr domain name life cycle Afnic
 
Cycle de vie d'un nom de domaine en .fr
Cycle de vie d'un nom de domaine en .frCycle de vie d'un nom de domaine en .fr
Cycle de vie d'un nom de domaine en .frAfnic
 
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...Afnic
 
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...Afnic
 
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...Afnic
 
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'InternetJCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'InternetAfnic
 
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'InternetJCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'InternetAfnic
 
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...Afnic
 
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013Afnic
 
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...Afnic
 
New gTLDs: a new Big Bang for domain names
New gTLDs: a new Big Bang for domain namesNew gTLDs: a new Big Bang for domain names
New gTLDs: a new Big Bang for domain namesAfnic
 
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaineNouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaineAfnic
 
Observatoire sur la résilience Internet en France-2012
Observatoire sur la résilience Internet en France-2012Observatoire sur la résilience Internet en France-2012
Observatoire sur la résilience Internet en France-2012Afnic
 
Afnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 charactersAfnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 charactersAfnic
 
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractères
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractèresSynthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractères
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractèresAfnic
 
Afnic Rapport d'activite 2012
Afnic Rapport d'activite 2012Afnic Rapport d'activite 2012
Afnic Rapport d'activite 2012Afnic
 
Afnic Annual Report 2012
Afnic Annual Report 2012Afnic Annual Report 2012
Afnic Annual Report 2012Afnic
 

Mais de Afnic (20)

Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANESécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
 
Deploying DNSSEC: what, how and where ?
Deploying DNSSEC: what, how and where ?Deploying DNSSEC: what, how and where ?
Deploying DNSSEC: what, how and where ?
 
Déployer DNSSEC, comment, quoi, où ?
Déployer DNSSEC, comment, quoi, où ?Déployer DNSSEC, comment, quoi, où ?
Déployer DNSSEC, comment, quoi, où ?
 
.fr domain name life cycle
.fr domain name life cycle .fr domain name life cycle
.fr domain name life cycle
 
Cycle de vie d'un nom de domaine en .fr
Cycle de vie d'un nom de domaine en .frCycle de vie d'un nom de domaine en .fr
Cycle de vie d'un nom de domaine en .fr
 
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
 
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
 
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
 
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'InternetJCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
 
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'InternetJCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
 
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
 
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
 
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
 
New gTLDs: a new Big Bang for domain names
New gTLDs: a new Big Bang for domain namesNew gTLDs: a new Big Bang for domain names
New gTLDs: a new Big Bang for domain names
 
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaineNouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
 
Observatoire sur la résilience Internet en France-2012
Observatoire sur la résilience Internet en France-2012Observatoire sur la résilience Internet en France-2012
Observatoire sur la résilience Internet en France-2012
 
Afnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 charactersAfnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 characters
 
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractères
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractèresSynthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractères
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractères
 
Afnic Rapport d'activite 2012
Afnic Rapport d'activite 2012Afnic Rapport d'activite 2012
Afnic Rapport d'activite 2012
 
Afnic Annual Report 2012
Afnic Annual Report 2012Afnic Annual Report 2012
Afnic Annual Report 2012
 

JCSA 2012 05 05 Frank Simon (France-IX) : Résilience de l'Internet vue d'un opérateur de point d'échange Internet français

  • 1. Résilience de l’Internet, vue d’un opérateur de point d’échange Internet français Franck SIMON – France IX Directeur général fsimon@franceix.net Journée Conseil Scientifique de l’AFNIC – 04/07/2012
  • 2. Architecture ‘simplifiée’ de l’Internet • ‘Box’ ou ‘routeur’ utilisateur • Equipement de collecte (équipement ‘edge’) de l’opérateur • Equipement de cœur de réseau (équipement ‘core’) de l’opérateur • Interconnexions de l’opérateur avec les éléments extérieurs : – autres opérateurs, hébergeurs, CDNs … via • du peering public (interconnexion mutualisée à travers des points d’échange Internet) • du peering privé (interconnexion dédiée/spécifique) • des accès ‘IP transit’ Journée Conseil Scientifique de l’AFNIC – 04/07/2012
  • 3. Résilience de l’Internet La résilience globale de l’Internet est possible grâce à assemblage et une résilience de plusieurs ‘briques’, notamment : • Résilience des architectures sur les réseaux d’opérateurs • Résilience des interconnexions physiques • Résilience des interconnexions logiques • Résilience des ressources ‘critiques’ de l’Internet • Résilience de la supervision et mise en place d’une politique de sécurité Journée Conseil Scientifique de l’AFNIC – 04/07/2012
  • 4. Résilience des architectures sur les réseaux d’opérateurs (1/2) • Résilience des infrastructures physiques de liaisons (double adduction, chemins fibres redondants …) . Résistance à des coupures, incidents divers (erreur humaine, rongeurs, coup de pelleteuse, vol de cuivre, vandalisme, catastrophe naturelle ou technologique…). • Résilience des équipements (équipements optiques, commutateurs, routeurs …) : redondance partielle/totale des châssis Journée Conseil Scientifique de l’AFNIC – 04/07/2012
  • 5. Résilience des architectures sur les réseaux d’opérateurs (2/2) • Résilience de l’hébergement des équipements : diversité des PoPs, répartition des équipements dans des locaux techniques sécurisés, idéalement dans ‘datacenters’ (pas toujours possible pour tous les types d’équipements, notamment les équipements de transmission optiques des opérateurs hébergés dans des ‘shelters’ – petits locaux techniques - à intervalles réguliers, le long du chemin fibre optique pour amplifier le signal optique ou le régénérer). • Résilience de la topologie ‘logique’ des réseaux : définition topologie IS-IS ou OSPF, résilience couche 2, re-routage possible au niveau de la couche 3, re-routage MPLS … Journée Conseil Scientifique de l’AFNIC – 04/07/2012
  • 6. Résilience des interconnexions physiques • Résilience des connexions des opérateurs sur les points d’échange Internet : connexion sur plusieurs point d’échange, voire connexion sur plusieurs PoPs d’un même point d’échange – Résilience des points d’échange eux-mêmes : plusieurs PoPs, redondance des équipements dans les PoPs, maillage inter- PoPs, re-routage ‘transparent’ de type MPLS/VPLS (sur les points d’échange ‘dernière génération’) dans le coeur • Résilience des accès IP transit des opérateurs (au moins 2 accès IP transit distincts), et des infrastructures backbone des opérateurs de transit • Résilience des hébergeurs, CDN (architecture distribuée basée sur du Cloud, solutions de type Anycast …) Journée Conseil Scientifique de l’AFNIC – 04/07/2012
  • 7. Résilience des interconnexions logiques • Multiplicité des interconnexions BGP : peering privé, peering public, peering avec serveurs de routes des points d’échange Internet (nécessité de redondance et disponibilité de ces serveurs) • Résilience du routage BGP (plusieurs chemins possibles pour joindre une même destination) : définition d’une politique de routage. • Sécurisation des interconnexions BGP et validation des informations transmises : authentification MD5 sur sessions BGP, limitation sur nombre de préfixes autorisés en réception, vérification/validation des routes transmises/reçues… => Maîtrise de la stabilité duScientifique de l’AFNIC – 04/07/2012 Journée Conseil routage BGP
  • 8. Résilience des ressources ‘critiques’ de l’Internet • Résilience/redondance des DNS • Diversité des répliques des serveurs DNS racine, et positionnement de ces ressources dans des lieux à forte connectivité (point d’échange Internet par exemple) : résistance du service DNS à des attaques de type DDos. Journée Conseil Scientifique de l’AFNIC – 04/07/2012
  • 9. Résilience de la supervision et politique de sécurité • Il reste indispensable, à l’échelle de chaque infrastructure réseau de prévoir aussi la résilience des accès de supervision et une résilience/diversité des OS utilisés sur les équipements (serveurs, commutateurs, routeurs) pour minimiser l’impact potentiel d’une vulnérabilité, d’un bogue … • Supervision ‘InBand’ (supervision via un sous-réseau dédié, via un canal optique spécifique …), et idéale ‘Out-of- Band’ préférable car permet de superviser les équipements indépendamment de la disponibilité des liens backbone) • Définition d’une politique de sécurité, afin que la résilience physique et logique ne soit pas mise à mal par de vulgaires vulnérabilités, et mise en place d’une coopération via cellules de type CERT (Computer Emergency Response Team) Journée Conseil Scientifique de l’AFNIC – 04/07/2012
  • 10. Résilience de l’Internet Conclusion / Questions Journée Conseil Scientifique de l’AFNIC – 04/07/2012