Vous êtes sur la page 1sur 45

MI020 - Internet Nouvelle Génération

Module de M1 de la Spécialité Réseaux


(Mention Informatique)
2e semestre 2011 - 2012
Université Pierre et Marie Curie

Support de Cours n°1

Introduction
Sécurité
IPv6

Bénédicte LE GRAND
Prométhée SPATHIS
 
Organisation du module
n 20 h de cours
40 h de TDs et TMEs
Internet Nouvelle Génération n
q 6 séances de TDs
q 4 séances de TMEs

n Intervenants
q Bénédicte Le Grand
Bénédicte Le Grand n Université Pierre et Marie Curie, laboratoire LIP6
Université Pierre et Marie Curie q Prométhée Spathis
Laboratoire CNRS-LIP6
n Université Pierre et Marie Curie, laboratoire LIP6
Benedicte.Le-Grand@lip6.fr q Alice Albano
n Université Pierre et Marie Curie, laboratoire LIP6

1 2

Groupes de TD Contrôle des connaissances

n 1ère session :
n Lundi de 13h15 à 17h30 q Examen réparti 1
n Examen 1 : 30% de la note finale
n Mercredi de 8h30 à 12h45 n Présentation d’article : 10 % de la note finale
q Examen réparti 2
n Mercredi de 13h15 à 17h30
n Examen 2 : 60 % de la note finale

n 2e session :
q Session de rattrapage : 100 % de la note finale

3 4

Présentation orale

n Analyse critique
q Thématique libre ou article de recherche
n Conférence renommée
n http://conferences.sigcomm.org/sigcomm/2011/conf-program.php

n Présentation orale avec transparents


q Contexte et problématique
q Solution(s) proposée(s) / existante(s)
q Analyse critique
n Travail individuel ou en binôme (recommandé)
n ˜ 8 minutes par personne

5 6

1
Procédure pour le choix de sujet/d’article Prérequis
n Choisir 3 sujets / papiers n Module ARES
q Attention pour les conférences, papier ? session
q IPv4
n Adressage, masques, subdivision de réseau…
n Envoyer un mail à Benedicte.Le-Grand@lip6.fr avec
q Nom (s) q Routage
q Groupe de TD n Intra-domaine
q 1 er choix de papier (papier préféré) q TCP
q 2 e choix de papier n Contrôle de congestion
q 3 e choix de papier q Applications

ATTENDRE LE MAIL DE CONFIRMATION


SINON RELANCER
7 8

Objectifs du module Plan du module


n Croissance de l’Internet & Nouveaux besoins applicatifs n Introduction - Contexte
q Introduction
n Sécurité (1 TD)
n Menaces de sécurité n IPv6 (1 TD + 1 TME)
q Sécurité
n Multicast (1 TD)
n Évolutions et mécanismes d’adaptation n Routage BGP (1 TD / TME)
q IPv6
q Multicast n Architectures de Qualité de service (1 TD)
q Contrôle de congestion TCP n Extensions de TCP (1 TME)
q Qualité de Service, contrôle de trafic
q Routage n Contrôle de trafic (1 TME)
n Présentation DNS (Paul Mockapetris)
9
n Présentations orales (1 TD) 10

Programme ING février 2012 Références


Programme du cours Programme de s TD/TME

1 06/02 Introduction
2 13/02 Sécurité 1 13/02 T D Sécurité n Livres
3 20/02 IPv6 2 20/02 T D IPv6
4 27/02 Multicast 3 27/02 T D Multicast q Kurose, J. F. et Ross, K. W. (2002). Ed. : Addison Wesley,
5 05/03 Préparation TM E 1 4 05/03 T ME 1 – Contrôle de Congestion Second Edition. Computer Networking – A Top-Down
6 12/03 Préparation TM E 2 + QoS Approach Featuring the Internet
5 12/03 T ME2 – Qualité de Service
7 19/03 Révisions 6 19/03 T ME IPv6
8 02/04 BGP q Tanenbaum, A. (1997). Ed. : InterEditions, 3e édition.
7 02/04 T D QoS
09/04 Férié (Lundi de Pâques) Réseaux: Architectures, Protocoles, Applications
09/04 ou
8 07/05
T D + T ME BGP
9 30/04 DNS
9 30/04 Séance présentations orales q Pujolle, G : Les Réseaux, Ed. Eyrolles
07/05 ou
10 07/05 Révisions 10 11/05
Révisions
11

12

2
Plan du cours

Internet : contexte actuel n Historique


n Croissance
n Architecture et gouvernance
n Principes fondateurs
n Services et applications

13 14

Histoire de l’Internet Cahier des charges initial

n Situation au milieu des années 60 n Applications ciblées


q Communication entre machines possible… q Messagerie
q …mais environnement hétérogène q Transfert de fichiers
n Structures des réseaux très variées q Connexion à distance
q Pas de connectivité globale
n Contraintes
n Objectif : interconnexion q Sauvegarder l'existant
q Communication entre machines q Extensibilité
n interconnecter les réseaux à venir
q Utilisation de ressources distantes
q Diffusion gratuite et large
n Contenu
n Puissance de calcul
15 16

Histoire de l'Internet Différents types de commutation


1961-1972 : premiers principes de la commutation de paquets
n 1961 : Kleinrock – (théorie n 1972 :
des files d'attente : efficacité q Démonstration publique
prouvée de la commutation d'ARPAnet
de paquets) q NCP (Network Control
n 1964 : Baran – commutation Protocol) premier protocole
de paquets dans les réseaux hôte-hôte
militaires q Premier programme e-mail
n 1967 : ARPAnet conçu par q ARPAnet contient 15
l'Advanced Research Projects
noeuds
Agency(DoD)
n 1969 : premier noeud
ARPAnet opérationnel

17 18

3
Histoire de l'Internet Histoire de l'Internet
1961-1972 : premiers principes de la commutation de paquets 1972-1980 : Interconnexion, réseaux nouveaux et propriétaires
n 1970: réseau de satellites
n 1961 : Kleinrock – (théorie n 1972 : ALOHAnet à Hawaii Principes d'interconnexion de
des files d'attente : efficacité Cerf and Kahn’s :
q Démonstration publique n 1972 : Début des spécifications
prouvée de la commutation de TCP/IP q minimalisme, autonomie –
d'ARPAnet pas de changements
de paquets) n 1973 : la thèse de Metcalfe’s internes requis pour
q NCP (Network Control propose Ethernet
n 1964 : Baran – commutation Protocol) premier protocole interconnecter des réseaux
n 1974 : Cerf and Kahn - Modèle de service "au
de paquets dans les réseaux hôte-hôte architecture pour
q

militaires mieux" (best effort)


Premier programme e-mail l'interconnexion de réseaux
q
q Routeurs sans état
n 1967 : ARPAnet conçu par n Fin des 70’s : architectures
q ARPAnet contient 15 propriétaires : DECnet, SNA, q Contrôle décentralisé
l'Advanced Research Projects noeuds XNA
Agency(DoD)
n Fin des 70’s : paquets Définition de l'architecture
n 1969 : premier noeud commutés de longueur fixe actuelle de l'Internet
ARPAnet opérationnel (précurseur d'ATM)
n 1979 : ARPAnet contient 200
noeuds
19 20

Histoire de l'Internet Histoire de l'Internet


1980-1990 : nouveaux protocoles, prolifération de réseaux 1990, 2000’s : commercialisation, Web, nouvelles applications
n 1980 : Unix BSD 4.1 inclut TCP/IP n Nouveaux réseaux nationaux :
n 1982 : définition du protocole d'e-mail Csnet, BITnet, NSFnet, Minitel n Début des 90’s : ARPAnet Fin des 90’s – 2000’s:
SMTP décommissionné
n Plus de "killer" applications :
n 1983 : déploiement de TCP/IP n 100 000 hôtes connectés à n 1991 : NSF lève les restrictions sur messagerie instantanée,
une confédération de réseaux l'utilisation commerciale de NSFnet partage de fichiers par P2P (ex
n 1983 : ARPANET bascule sous TCP/IP (décommissioné, 1995) Napster)
n 1983 : ARPANET se sépare en 2 réseaux n Début des 90s : Web
q ARPANET pour la recherche q Hypertexte
MILNET pour les communications militaires n Sécurité des réseaux au
q
q HTML, HTTP : Berners-Lee premier plan
n 1983 : DNS défini pour la traduction q 1994 : Mosaic, plus tard Netscape
nom/adresse-IP q Activité commerciale
n 1985 : la NSF (National Science n Les liens backbone
n 1993 : Gestion de la pénurie d'adresses fonctionnent à plusieurs Gbps
Foundation) déploie un réseau fédérateur n 1994 : Décision IPv6
grande distance, NFSNET, relié à
ARPANET n 1996 : Premier déploiement du 6-BONE n 1,8 milliard d’utilisateurs de
n 1985 : définition du protocole FTP l’Internet en 2009
n 1988 : contrôle de congestion de TCP
n 1989 : Naissance du World-Wide Web au
CERN 21 22

Plan du cours Internet aujourd'hui


n Historique
n Croissance
n Architecture et gouvernance
n Principes fondateurs
n Services et applications

23 24

4
Utilisateurs d’Internet dans le monde (2009)
Croissance de l’Internet
U tilis a te ur U tilis a te ur
P opula tion P é né tr a tion C r ois s a nc e
R é gions du m onde Inte r ne t Inte r ne t
( 2 0 0 9 E s t.) (% P opula tion) 2 0 0 0 -2 0 0 9
Dec. 31, 2000 (2 0 0 9 )

A fr ique 9 9 1 ,0 0 2 ,3 4 2 4 ,5 1 4 ,4 0 0 8 6 ,2 1 7 ,9 0 0 8 .7 % 1 ,8 0 9 .8 %

A s ie 3 ,8 0 8 ,0 7 0 ,5 0 3 11 4 ,3 0 4 ,0 0 0 7 6 4 ,4 3 5 ,9 0 0 2 0 .1 % 5 6 8 .8 %

E ur ope 8 0 3 ,8 5 0 ,8 5 8 1 0 5 ,0 9 6 ,0 9 3 4 2 5 ,7 7 3 ,5 7 1 5 3 .0 % 3 0 5 .1 %

Moye n Or ie nt 2 0 2 ,6 8 7 ,0 0 5 3 ,2 8 4 ,8 0 0 5 8 ,3 0 9 ,5 4 6 2 8 .8 % 1 ,6 7 5 .1 %

A m é r ique du N or d 3 4 0 ,8 3 1 ,8 3 1 1 0 8 ,0 9 6 ,8 0 0 2 5 9 ,5 6 1 ,0 0 0 7 6 .2 % 1 4 0 .1 %

A m é r ique la tine / C a r a ïbe s 5 8 6 ,6 6 2 ,4 6 8 1 8 ,0 6 8 ,9 1 9 1 8 6 ,9 2 2 ,0 5 0 3 1 .9 % 9 3 4 .5 %

Oc é a nie / A us tr a lie 3 4 ,7 0 0 ,2 0 1 7 ,6 2 0 ,4 8 0 2 1 ,1 1 0 ,4 9 0 6 0 .8 % 1 7 7 .0 %

TOTA L MON D IA L 6 ,7 6 7 ,8 0 5 ,2 0 8 3 6 0 ,9 8 5 ,4 9 2 1 ,8 0 2 ,3 3 0 ,4 5 7 2 6 .6 % 3 9 9 .3 %

25 26
http://www.internetworldstats.com/stats.htm

Répartition des utilisateurs d’Internet Pays ayant le plus grand nombre d’utilisateurs d’Internet
h ttp ://w w w .i n te rn e tw o rld sta ts.co m/top 2 0.h tm
% P o p u l ati o n G ro w th % o f W o rl d

(2009) #

1
Co u n try o r Reg i o n

Ch i n a
(P en etrati o n )

26. 9 %
2000-2009

1, 500. 0 %
Users

20. 8 %

2 Un i ted S tates 74. 1 % 138. 8 % 13. 1 %

3 Jap an 75, 5 % 103. 9 % 5. 5 %

4 In d ia 7. 0 % 1, 520. 0 % 4. 7 %

5 Braz i l 34. 0 % 1, 250. 2 % 3. 9 %

6 G erm an y 65. 9 % 126. 0 % 3. 1 %

7 Un i ted Ki n g d o m 76. 4 % 203. 1 % 2. 7 %

8 Ru ssi a 32. 3 % 1, 359. 7 % 2. 6 %


The
9 F ran ce 69. 3 % 407. 1 % 2. 5 %
http://w
World Stats w w.internetw
| Af rica Stats | Americaorldstats.com/top20.htm
Stats | Asia Stats | Europe Internet
Stats |
10 Ko rea S o u th 77. 3 % 96. 8 % 2. 2 %
EU Stats |TOP 20 COUNTRIES
M. East Stats WITH
| Oceania Stats | Links Coaching
11 I ran THE HIGHEST NUMBER 48. 5 %OF INTERNET USERS 12, 780. 0 %
Library 1. 9 %

12 I tal y 51. 7 % 127. 5 % 1. 7 %

13 I n d o n esi a 12. 5 % 1, 400. 0 % 1. 7 %

14 S p ai n 71. 8 % 440. 0 % 1. 7 %

15 M exi co 24. 8 % 917. 5 % 1. 6 %

16 T u rkey 34. 5 % 1, 225. 0 % 1. 5 %

17 Can ad a 74. 9 % 97. 5 % 1. 4 %

18 P h i l i p p i n es 24. 5 % 1, 100. 0 % 1. 4 %

19 V i etn em 24. 8 % 10, 881. 6 % 1. 3 %

20 P o l an d 52. 0 % 615. 0 % 1. 2 %

T O P 20 Co u n tri es 30. 3 % 359. 9 % 76. 4 %

Rest o f th e W o rl d 17. 1 % 461. 5 % 23. 6 %


27 28
T o tal W o rl d - Users 25. 6 % 380. 3 % 100. 0 %

Taux de pénétration d’Internet (2009) Pays ayant les plus forts taux d’utilisateurs (2009)
HI G
TOHE
PIN
T
S 58
ON
C
R
E
TUT
ERN
N
PE
IST
EWA
RIHIO
T HR
T
NET
AE

P en etrati o n I n tern et Users P o p u l ati o n S o u rce an d Date


# Co u n try o r Reg i on
(% P o p u l ati on ) L atest Data ( 2009 E st. ) o f L atest Data
1 F al kl an d I sl and s 100. 0 % 2, 483 2, 483 I T U - S ept / 09
2 I cel an d 93. 2 % 285, 700 306, 694 I T U - S ept / 09
3 No rw ay 90. 9 % 4, 235, 800 4, 660, 539 I T U - S ept / 09
4 G reen l an d 90. 3 % 52, 000 57, 600 I T U - M ar/ 08
5 S w ed en 89. 2 % 8, 085, 500 9, 059, 651 I T U - S ept / 09
6 S ai n t Ki tts an d Nevi s 87. 2 % 35, 000 40, 131 I T U - Dec / 09
7 Neth erl an d s 85. 6 % 14, 304, 600 16, 715, 999 I T U - S ept / 09
8 Den m ark 84. 2 % 4, 629, 600 5, 500, 510 I T U - June/ 09
9 F i n l an d 83. 5 % 4, 382, 700 5, 250, 275 I T U - S ept / 09
10 New Z eal an d 83. 1 % 3, 500, 000 4, 213, 418 I W S - Dec / 09
11 Au stral i a 80. 1 % 17, 033, 826 21, 262, 641 N-O - A UG / 09
12 L u xem b o u rg 78. 7 % 387, 000 491, 775 I T U - S ept / 09
13 Ko rea 77. 3 % 37, 475, 800 48, 508, 972 I T U - June/ 08
14 F aro e I sl an d s 76. 8 % 37, 500 48, 856 I T U - Nov / 08
15 Un i ted Ki n g dom 76. 4 % 46, 683, 900 61, 113, 205 I T U - S ept / 09
16 Un i ted S tates 76. 3 % 234, 372, 000 307, 212, 123 NNV - Nov / 09
17 An ti g u a & Barb ud a 75. 9 % 65, 000 85, 632 I T U - June/ 09
18 S w i tz erl an d 75. 5 % 5, 739, 300 7, 604, 467 I T U - S ept / 09
19 Jap an 75. 5 % 95, 979, 000 127, 078, 679 I T U - S ept / 09
20 G erm an y 75. 3 % 61, 973, 100 82, 329, 758 I T U - Dec / 09
21 Berm u d a 75. 2 % 51, 000 67, 837 I T U - S ept / 09
22 Can ad a 74. 9 % 25, 086, 000 33, 487, 208 I T U - S ept / 09
23 Un i ted Arab E m i rates 74. 1 % 3, 558, 000 4, 798, 491 T RA - Dec / 09
24 I srael 72. 8 % 5, 263, 146 7, 233, 701 T NS - M ay / 08
25 S i n g ap o re 72. 4 % 3, 370, 000 4, 657, 542 I T U - S ept / 09
26 Au stri a 72. 3 % 5, 936, 700 8, 210, 281 I T U - S ept / 09
27 S p ai n 71. 8 % 29, 093, 984 40, 525, 002 N-O - A UG / 09
28 An d o rra 70. 5 % 59, 100 83, 888 I T U - June/ 09
29 G u ern sey & Al d ern ey 70. 4 % 46, 129 65, 484 I T U - S ept / 09
29 30 Bel g i u m 70. 0 % 7, 292, 300 10, 414, 336 I T U - S ept / 09
31 F ran ce 69. 3 % 43, 100, 134 62, 150, 775 N-O - A UG / 07

5
Comment représenter l’Internet ?

31 32

http://w w w.caida.org/tools/measurement/skitter/visualizations.xml

33 34

Nombre de requêtes DNS vues par l’un


des serveurs de noms .CL au Chili

http://www.caida.org/tools/visualization/mapnet/Backbones /35 36
http://www.caida.org/tools/visualization/mapnet/Backbones/ http://www.caida.org/research/dns/cl/animated_maps/

6
Index de trafic Rapports de trafic Internet
http://w w w.internettrafficreport.com/main.htm

37 38
http://www.internettrafficreport.com/main.htm

Evolution des usages Évolution des terminaux

39 40

Statistiques - Ecommerce Commerce électronique

n Nombre de terminaux Internet en 1984 : 1 000


n Nombre de terminaux Internet en 1992 : 1 000 000
n Nombre de terminaux Internet en 2008 : 1 000 000 000

n Il a fallu 38 ans au Téléphone


13 ans à la Télévision
4 ans à Internet
3 ans à l’iPod
2 ans à facebook

pour atteindre 50 millions d’utilisateurs

41 42
http://www.witiger.com/ecommerce/ecommercestatistics.htm

7
“Quaterly Internet ad revenues surpass $4 billions” Revenu SMS & Internet
Revenus générés par l'Internet
par abonné mobile chez AT&T

43 44
http://battellemedia.com/archives/2006/11/internet_revenue_breaks_4_billion http://seekingalpha.com/article/186538-at-t-verizon-and-sprint-mobile-internet-and-texting-crucial

Top 10 Global Web Parent Companies, Home & Work


Ventes surauInternet
Ventes Internet Canada au Canada May 2010 Top 10 Global Web Companies
2000 2001 2002 2003 2004 Home & Work (May 2010)
Time Per Person
Rank Parent Unique Audience Activ e Reach %
(HH:MM:SS)
Secteur privé 5.5 millions 6.3 10.8 18.1 26.4
1 Google 365,357,403 85.0% :17:43
2 Microsof t 317,289,841 73.8% :44:28
Secteur public 111.2 180.3 263.6 756.5 1,881.5
3 Facebook 239,924,802 55.8% :42:19

4 Yahoo! 235,754,055 54.8% :45:29


Total 5,661.0 6,516.9 11,078.9 18,920.9 28,319.5
5 eBay 157,914,474 36.7% :39:00

6 Wikimedia Foundation156,563,782 36.4% :13:52


% d’augmentation
par rapport à 00 to 01 = 01 to 02 = 02 to 03 = 03 to 04 = 7 AOL LLC 118,842,824 27.6% :46:46
l’année 14% 70% 68% 45%
8 News Corp. Online 115,877,066 27.0% :39:20
précédente
9 InterActiveCorp 115,874,816 27.0% :10:19

10 Amazon 115,077,182 26.8% :22:10

45
www.statcan.ca/Daily/English/050420/d050420b.htm h ttp ://e n -u s .n i e l s e n .c o m /ra n ki n g s /i n s i g h ts /ra n ki n g s /i n te rn e t

Broadband Statistics for 2011 – « Predictions » Quelques autres statistiques…


Advertising: n A dv e r tis ing
On l i n e a d ve rti s i n g , w h ic h i n cl u de s di sp l a y, se a rc h, vi d e o , a n d o th e r c a te g o ri e s, is exp e c te d to ta ll y $ 2 5 .4 b i ll io n in sp e n d in g th is ye a r a n d
$ 2 9 .1 b i l l i o n in 2 0 10 . If tho s e fo re c as t fi g u re s a re re a ch e d , th e y w i ll a cc ou n t for 2 .9 p e rce n t ye a r-o ve r-ye a r g ro w th i n 2 0 0 9 a n d 2.7 p e rce n t
n By 2011, Advertising revenues from print Yellow Pages, Internet g ro w th i n 2 0 1 0 . On l i n e ad s pe n d in g a t ne w s p ap e r W eb s ite s to ta le d $8 4 7 m il li o n (N e w s p a pe r A ss o ci ati o n o f A me ri ca ).
n B r oa dba nd
Yellow Pages and Local Search will grow from $30.6 billion in 2006 6 1 p e rc e n t o f b ro a d b a n d Inte rn e t u se rs w a tc h o n li n e vi de o (H o ro w i tz As so c ia te s). 1 3 mi l li on h o u se h o ld s w o rl d w id e re ce i ve b ro a d ca st vi a
to $38.9 billion globally, representing a 4.9 percent compound n
th e In te rn e t. P re s i d e n t Ob a m a si g ne d in to la w th e $7 8 7 b il li o n s tim u lu s p a c ka g e, w h i ch in c lu d e s $ 7 .2 b i ll io n for b ro a d b a n d p ro g ra m s.
Mobile S ta ts
annual growth rate (Group's Global Directories 2007 report) U S w i re l e s s c o mb i ne d d a ta re ve n u e s n o w to tal $ 23 b i ll io n a ye a r, a c co u n tin g for 1 7 p e rce n t o f to ta l c a rri er re ve n u e (C T IA). 2 1 p e rce n t of
yo u n g U S c o n s u m e rs us e ce ll p ho n e s fo r b a n ki ng (A i te Gro u p ). 2 5 p erc e n t of c el lp h o n e ow n e rs sh o p o n l in e o n th e ir p h o n e s (H a rri s
n By 2011, Email marketing spending will top $1.1 billion In te ra c ti ve ). 5 2 p e rc e n t o f In te rn e t us e rs c o nn e ct w i re le s sl y (P e w In te rn e t).
n Google S e a r c h S ta ts
n By 2011, Global mobile advertising market will reach $14.6 billion 1 ,0 0 0 ,0 0 0 ,0 0 0 ,0 0 0 (o n e tril l io n ) – ap p ro xi m a te n u m b er o f u n iq u e U R Ls in Go o g le ’ s i n de x. 2 ,0 0 0 ,0 0 0 ,0 00 (tw o b il l io n ) – ve ry ro u g h n u mb e r
o f Go o g l e s e a rc h e s d a i ly. $ 3 9 .9 6 – th e a ve ra g e c os t pe r c li ck fo r th e p h ra se “c on s ol i da ti on o f sc ho o l lo a n s” i n A d Wo rd s .
(Gartner) n W ik ipe dia S ta ts
2 ,6 9 5 ,2 0 5 – th e n u m b e r o f a rti cl e s i n E n gl i sh o n W iki p e d ia . 6 8 4,0 0 0 ,00 0 – the n u mb e r o f vi si to rs to Wi ki p ed i a in th e l a st ye a r. 7 5 ,0 0 0 – th e
n By 2011, The US online advertising market will reach $50.3 billion n u m b e r o f a c ti ve c o n trib u to rs to Wi ki p e di a . 10 ,0 0 0 ,0 0 0 – th e n u mb e r o f tota l arti cl e s i n W i ki pe d i a i n al l l a n gu a g e s.
n Y ouTube S ta ts
(Yankee Group) 7 0 ,0 0 0 ,0 0 0 – n u m b e r o f tota l vi de o s o n Yo u Tu b e (Ma rc h 2 0 08 ). 2 0 0 ,00 0 – nu m b e r o f vi d e o p ub l is h ers o n Yo u Tu b e (Ma rc h 2 0 0 8 ).
1 0 0 ,0 0 0 ,0 0 0 – n u m b e r o f Yo u Tu b e vi d e o s vi e w e d pe r d a y (th i s s ta t fro m 20 0 6 is the m o st re ce n t I c o u ld lo c ate )2 m in u te s 4 6 .17 s ec o n ds –
n By 2011, Global market for ad-supported mobile messaging will rise a ve ra g e l e n g th o f vi d e o . 4 1 2 .3 ye a rs – le n g th i n ti m e i t w ou l d ta ke to vi e w a ll co n te n t o n Y o u Tu b e (Ma rc h 2 0 0 8 ). $ 1,0 0 0 ,0 00 – Yo u Tu b e ’s
e s ti m a te d b a n d w i dth co s ts p er d a y.
to $12 billion (eMarketer) n B log S ta ts
1 3 3 ,0 0 0 ,0 0 0 – n u m b e r o f bl o g s in d e xe d b y Te c hn o ra ti s in c e 2 0 0 2 . 9 0 0 ,0 00 – a ve ra g e nu m b e r o f b l o g p o sts in a 24 h o u r pe ri o d . 1,7 5 0 ,00 0
n By 2011, Online advertising to surpass newspaper advertising – n u m b e r o f R S S s u b sc rib e rs to Te c hC ru n c h , th e m os t po p u la r T ec h n ol o g y b lo g (Ja n u a ry 2 0 0 9 ). 7 7% – p e rce n ta g e o f a cti ve Inte rn e t u sers
(VSS) n
w h o re a d b l o g s .
Fa c e book S ta ts
n By 2011, Podcasting to generate $400 million in ads (eMarketer) 2 0 0 ,0 0 0 ,0 0 0 – n u m b e r o f ac tive u s ers . 1 0 0,0 0 0 ,00 0 – n um b e r o f u s e rs w h o lo g o n to Fa ce b o o k a t le a st o n ce e ac h da y. 1 7 0 – n u m b er o f
c o u n tri e s /te rri to ri e s th a t us e Fa c e b oo k. 3 5 – n um b e r o f d i ffere n t l an g u a g es u se d on Fa c eb o o k.

47 48
http://www.birds-eye.net/directory/statistics/2011.htm h ttp ://w w w .s c h e rrte c h .c o m /w o rd p re s s /2 0 0 9 /0 5 /1 6 /i n te rn e t- m o b i l e -b ro a d b a n d -s o c i a l -m e d i a - u s a g e -s ta ti s ti c s -2 0 0 9 /

8
Problèmes de la croissance Nombreuses dimensions d’échelle

n Facteur d'échelle n Nombre d'hôtes globalement routables


n Nombreuses couches liaison
n Évolution permanente de la technologie
n Distance géographique
n Actuellement n Nombreuses versions logicielles et technologies
q Pénurie d'adresses (-> IPv6) matérielles
q Explosion du nombre de routes (-> BGP) n Éventail des bandes passantes
q Explosion du nombre de flots (-> Ingénierie de n Différents besoins applicatifs (QoS, etc) (-> QoS)
trafic) n Niveaux de confiance / frontières administratives
(-> Sécurité)
n Prix du matériel

49 50

Plan du cours Éléments de l'Internet


n Hôte
q PC, serveur, etc.
n Historique n Équipement terminal
router
q Exécute des applications réseau workstation
n Croissance n Système de communication server
mobile
q Ligne téléphonique, satellite, fibre
n Architecture et gouvernance optique, Ethernet, etc. local ISP
n Paquet IP
n Principes fondateurs q Unité de transfert de données dans
l'Internet
n Services et applications n Routeur : propage les paquets vers la
regional ISP

destination
q équipement intermédiaire
n Protocole
q Contrôle l'émission et la réception des
données company
51
q TCP, HTTP, FTP, PPP, IP… network 52

Organisation de l'Internet Structure de l'Internet


n Hiérarchique
n Interconnexion de réseaux
n Au centre : “tier-1” ISPs (FAI de tier1)
couverture nationale / internationale
q Réseau : système connexe sous la tutelle d'une
autorité administrative
Les fournisseurs
de tier-1 sont
Internet : constellation de différents propriétaires Les
q
fournisseurs
Tier 1 ISP aussi connectés à
NAP des points d’accès
interconnectés de tier-1 au réseau public
s'intercon- (NAPs)
-nectent
q Pas d'administration centrale ou d'opérateur entre eux Tier 1 ISP Tier 1 ISP
unique (privé)

53 54

9
Ex d’ISP de Tier-1 : Sprint Tier-1
ISP
Réseau backbone de Sprint US

55 56

Structure de l'Internet : réseau de réseaux Structure de l'Internet : réseau de réseaux


n “Tier-3” ISPs et ISPs locaux
n “Tier-2” ISPs : ISPs plus petits (souvent régionaux)
q Connectés à un ou plusieurs tier-1 ISPs, éventuellement à d'autres q Réseau du "dernier saut" (réseau d'"accès"), près des terminaux
tier-2 ISPs
local
Tier 3 local
ISP local local
ISP ISP
Les Tier-2 ISP ISP
Les ISPs
ISPs peuvent Tier-2 ISP Tier-2 ISP
un Tier-2 ISP locaux et tier-
Tier-2 ISP Tier-2 ISP aussi être
paye un tier-1 3 ISPs sont Tier 1 ISP
ISP pour la Tier 1 ISP connectés clients des NAP
connectivité au NAP entre eux et ISPs de
interconnecter niveaux
reste de
un NAP supérieurs, qui
l'Internet Tier 1 ISP Tier 1 ISP
q le tier-2 ISP Tier 1 ISP Tier 1 ISP les connectent Tier-2 ISP
est client du Tier-2 ISP au reste de local
l'Internet Tier-2 ISP Tier-2 ISP
provider Tier-2 ISP Tier-2 ISP local ISP
local local
tier-1
ISP ISP ISP
57 58

Structure de l'Internet : réseau de réseaux Protocoles de l’Internet


n Un paquet traverse de nombreux réseaux !
n IETF
local q Internet Engineering Task Force
Tier 3 local
ISP local local
ISP ISP
ISP ISP
Tier-2 ISP Tier-2 ISP
Tier 1 ISP
NAP

Tier 1 ISP Tier 1 ISP


Tier-2 ISP
local
Tier-2 ISP Tier-2 ISP
local local local ISP
ISP ISP ISP
59 60

10
Plan du cours Principes fondateurs

n Historique n Général
q Réseau numérique à commutation de paquets
n Croissance
n Architecture et gouvernance n Particuliers
n Principes fondateurs q IP
q Implémentation avant standardisation
n Services et applications

61 62

Architecture TCP/IP Principes, « Philosophie » de l’Internet

n Inter – net : Interconnexion de réseaux n Protocoles hétérogènes


q Virtualisation du réseau
n Architecture opérationnelle q Protocole fédérateur
q Conversion au niveau réseau

n Standard de fait
n Adressage hétérogène
q Adressage universel
q Procédures de conversion

63 64

Superposition à l'existant Pile de protocoles Internet


n Interface commune
n Application : supporte les applications réseau
applica
application
q Cacher la multitude des technologies tion
q FTP, SMTP, HTTP
réseaux transp
ort n Transport : transfert de données entre 2 hôtes
netwo
rk
netwo
netwo
rk netwo
q TCP, UDP
transport
rk data rk
data
q IP (Internet Protocol) link
data
link
link
physic
data
link n Réseau : routage des datagrammes d'une source
physic
al
physic
al
netwo
al
rk
physic
al vers une destination réseau
data netwo
q Un seul service utilisé : savoir link
physic
rk
data
q IP, protocoles de routage
convoyer un paquet d'un point à l'un al link
liaison
de ses voisins netwo
netwo physic n Liaison : transfert de données entre des éléments
rk al
rk
data
data de réseaux voisins
link

q Plan d'adressage unique et


link
physic
netwophysic
rk al applica
q PPP, Ethernet physique
al tion
homogène data
link transp
n Physique : bits "sur le câble"
physic ort
al netwo
rk
q Introduction de passerelles (routeurs) data
link
physic
al65 66

11
Modèle en couches Principe du bout en bout

n Encapsulation n Pas d'intelligence dans le réseau


q traitement simple dans le réseau haut débit
n Résolution d'adresse (@IP-@physique)
q Réseau généraliste évolution de l'utilisation du réseau
q Pas de redondance de contrôle

source destination n Séparation des fonctions


M application application M message
q Contrôle hôte
Ht M transport transport Ht M segment
q Acheminement routeur
Hn Ht M réseau réseau Hn Ht M datagramme
Hl Hn Ht M liaison liaison Hl Hn Ht M trame
physique physique

67 68

Principe du bout en bout Implémentation avant standardisation

n Service réseau n Un standard est promulgué après validation


q Modes d'acheminement par la preuve de son fonctionnement
n Datagramme
n Circuit virtuel
q Mode non connecté et sans garantie n Approche expérimentale

n Robustesse
q Indépendance de fonctionnement
n Le fonctionnement du système d'extrémité n'est pas lié
à celui du réseau

69 70

Plan du cours Services du réseau

n Historique n Besoins des applications


n Croissance
q Service élastique
n Architecture et gouvernance n Flux discrets
n Principes fondateurs n Information asynchrone
n Variation du service
n Services et applications
q Service fluide (stream)
n Flux continus
n Notion de "temps"
n Besoin statistique en terme de délai et de débit

71 72

12
Applications Besoins des applications
n Impact des applications dans le réseau
q Débit des données
q Type de trafic (débit constant ou rafales)
Application Pertes Bande passante Sensibilité temp.
q Cible du trafic (multipoint ou destination unique,
mobile ou fixe) Transfert de fichier Sans perte élastique Non
e-mail Sans perte élastique Non
Web Sans perte élastique Non
n Service réseau fourni à l'application Audio/vidéo Temps réel tolérant audio: 5Kb-1Mb oui, 100’s ms
q Sensibilité au délai video:10Kb-5Mb
Audio/vidéo enregistré tolérant similaire oui, quelques s
q Sensibilité à la perte de paquets Jeux interactifs tolérant Quelques kbps oui, 100’s ms
Applis financières Sans perte élastique Oui et non

n Les applications font la loi !


73 74

Données (texte, images, schémas) Tranfert de fichiers (fiable)

n Transfert de fichiers n Sensible à la perte de paquets


q Très sensible à la perte d ’information n Insensible au délai relatif au temps d'aller
n Des retransmissions peuvent être nécessaires retour
n La taille maximale de chaque bloc transmis doit être
bornée : notion de paquets n Point-à-point ou multipoint
n Par rafales
n Transactionnel
q Délai de réponse admissible dépendant de la
sensibilité des usagers : 3 secondes est
couramment admis comme la valeur limite
75 76

Connexion distante (remote login) Audio

n Sensible à la perte de paquets n Relativement faible bande passante


n Sensible au délai q Échantillons numérisés, paquétisés
q Sujet à des contraintes d'interaction n Sensible à la variation du délai
q Peut tolérer jusqu'à plusieurs centaines de n Tolérante aux pertes
millisecondes n Possibilité de multipoint, sessions de longue
n Par rafales durée
q Limite naturelle du nombre d'émetteurs
n Point-à-point simultanés

77 78

13
Voix Codage MIC
E ch an tillons

n Numérisation de la voix : codage MIC (PCM)


q Voix = signal analogique
time
q Numérisation = échantillonnage + quantification + codage Echantillonna ge
n Intérêt de la numérisation : faible taux d’erreur, facilité de
multiplexage
q Spectre transmis : 4Khz Quantification =>
n Donc 8000 échantillons/seconde L bruit de quantification
q Quantifiés sur 256 niveaux de quantification
E ch an tillons
n Codés sur 8 bit
q La voix codée MIC génère un flux périodique d ’octets : 01001100 01001100 01001100
...
1octet/125 s
time
q Et donc un débit de 64 Kbit/s 1octet/125 s =
Codage 64Kbit/s
M IC : M o d u latio n p ar Im p u ls io n C o d ée
79 80

Voix Voix : qualité de service


n La voix est très sensible au délai et à la variation de délai
n Autres codages
q Délai maximal sans annulation d ’écho : 24ms
q Délai maximal avec annulation d ’écho: 300ms
q Suppression des silences q Il y a écho car le signal entrant et sortant sont transmis sur la
n flux = suite de « talkspurts » et de silences même paire torsadée
n En codage MIC elle est peu sensible à la perte
q Elimination de la redondance d ’information
n On arrive à coder la voix à 800bit/s, le résultat est une
voix de mauvaise qualité mais intelligible n Elle devient d ’autant plus sensible à la perte qu ’elle est
n La voix GSM est souvent codée à 13Kbit/s compressée (que la redondance est éliminée)
n La voix sur Internet est parfois codée à 5.3 Kbit/s n Le destinataire doit récupérer l’horloge de la source pour
n Flux = suite de blocs d’information pouvant être de récupérer le signal original
longueur variable.
81 82

Vidéo Vidéo

n Bande passante élevée n Vidéo : signal analogique, suite périodique d’images


avec impression de continuité
n Vidéo compressée, par rafales n Numérisation = échantillonnage + quantification +
n La tolérance aux pertes dépend de la compression + codage
compression n Echantillonnage :
q vidéo VHS : 25 images/s,
n La tolérance au délai dépend de l'interactivité n Taille d’une vidéo VHS : x*y*n*25 bit/s
Image de taille (x,y)
n Possibilité de multipoint q
q n bits / pixel
n Grand nombre de sources simultanées q 25 images par seconde
q vidéo faiblement animée : jusqu ’à quelques images par
seconde
n Quantification, compression (spatiale +temporelle)
83 84

14
Vidéo : qualité de service Applications "perturbatrices"
(Killer Applications)
n Moins sensible que la voix à la variation de n Applications qui perturbent le commerce classique
délai n Difficiles à prédire
q Par exemple, des images peuvent éventuellement n Le Web peut être vu comme l'une des premières, et
être répétées peu l'ont vu venir
n Napster est un autre exemple
n Plus sensible que la voix aux pertes de n Gnutella, Kazaa, edonkey, BitTorrent
paquets
n Messagerie instantanée (icq, messenger)
q Par exemple, la perte d ’une information de
contrôle pour le décodeur peut avoir des n VoIP (skype)
conséquences importantes n Quelles seront les prochaines ?

85 86

Skype Statistiques de téléchargement de Skype

Skype est le leader sur le marché de la voix sur


IP (VoIP)

* 521 millions d’utilisateurs enregistrés (2009)

* 124 millions d’utilisateurs mensuels (juin 2010)

* aux heures de pointe : 23 millions d’utilisateurs


connectés simultanément (Mars 2010)

87 88

Nouvelles fonctions : les 3 M

n Mobilité ( UE MOB)
q Nomadisme : changement de connectivité de l'hôte
q Micro-mobilité : déplacement de l'hôte dans un réseau
cellulaire

n Multimédia
q Support des flots continus ( QoS)

n Multi-destination (communication de groupe)


q Information émise une seule fois et reçue par chaque
membre du groupe ( Multicast)

89 90

15
Multimédia Contexte actuel de l’Internet : résumé

n Définition de flux multimédia Points abordés :


q Ensemble de flux liés par des contraintes de
synchronisation
n Principes de l'Internet
n Synchronisation des lèvres
n Insertion d’images et graphiques n Historique et croissance
n Applications
n Au respect des contraintes temporelles individuelles, n Structure de l'Internet et des ISPs
s ’ajoutent les contraintes temporelles multimédia n Couches et modèle de service
q Le transfert de fichiers peut hériter les contraintes
temporelles des flux synchrones

n Remarque : les applications multimédia sont


souvent multiparties
q Besoin de mécanismes de multicast
91 92

Croissance et évolution des services Programme ING février 2012


Programme du cours Programme de s TD/TME

1 06/02 Introduction
n Adaptation du réseau 2 13/02 Sécurité 1 13/02 T D Sécurité
q Sécurité 3 20/02 IPv6 2 20/02 T D IPv6
q IPv6 4 27/02 Multicast 3 27/02 T D Multicast
5 05/03 Préparation TM E 1 4 05/03 T ME 1 – Contrôle de Congestion
q Multicast
6 12/03 Préparation TM E 2 + QoS 5 12/03 T ME2 – Qualité de Service
q Outils de simulation de réseau 7 19/03 Révisions 6 19/03 T ME IPv6
q Ingénierie de trafic 8 02/04 BGP
7 02/04 T D QoS
09/04 Férié (Lundi de Pâques)
q Architectures de QoS 8 09/04 ou
07/05
T D + T ME BGP
9 30/04 DNS
q Multicast 9 30/04 Séance présentations orales
07/05 ou
10 Révisions
q Routage inter-domaine 10 07/05 Révisions 11/05
94

93

16
Sécurité des réseaux

Sécurité Objectifs
§ Comprendre les § Sécurité en pratique
principes de la sécurité q Firewalls
des réseaux q Attaques et parades
q sécurité dans chaque
§ Cryptographie couche
q Confidentialité § Application
q Authentification § Transport
§ Réseau
q Intégrité des messages
§ Liaison
q Distribution des clés

Plan Qu'est-ce que la sécurité des réseaux ?


1 Qu'est-ce que la sécurité ? Confidentialité : seuls l'émetteur et le récepteur visé
Principes de cryptographie doivent pouvoir comprendre le contenu du message
2 Confidentialité q L'émetteur chiffre le message
q Le récepteur déchiffre message
3 Authentification
Authentification : l'émetteur et le récepteur veulent
4 Intégrité confirmer l'identité de leur correspondant
5 Distribution de clés et certification Intégrité du message : l'émetteur et le récepteur
6 Contrôle d'accès : firewalls veulent s'assurer que le message n'a pas été altéré
(durant le transit, ou après) sans que cela n'ait été
7 Attaques and parades détecté
8 Sécurité dans plusieurs couches Accès et disponibilité : les services doivent être
accessibles et disponibles pour les utilisateurs

Amis et ennemis : Alice, Bob, Trudy Qui pourraient être Bob et Alice?
§ Bien connus dans le monde de la sécurité !
§ Bob et Alice veulent communiquer "de manière sûre" § Des êtres humains !
§ Trudy (intruder) peut intercepter, effacer et ajouter § Des serveurs ou browsers Web pour des
des messages transactions électroniques (ex : achats en
ligne)
Alice Bob § Client/serveur de banque en ligne
canal Messages de
données et de § Serveurs DNS
Émetteur
contrôle
Récepteur data
§ Routeurs échangeant des mises à jour de
données
sécurisé sécurisé tables de routage
§ ...
Trudy

1
Il y a des méchants ! Vocabulaire de cryptographie
Q : Que peut faire un "méchant" ?
Clé de Clé de
R : Beaucoup de choses! K
A chiffrement K déchiffrement
d'Alice B de Bob
q Écoute : interception de messages
q Insertion active de messages dans la connection Texte en clair Algorithme Texte chiffré Algorithme Texte en clair
de chiffrement De déchiffrement
q Imitation : falsification (spoof) de l'adresse source
dans le paquet (ou tout autre champ du paquet)
q Détournement : “prise de contrôle” de la connexion
en cours en écartant l'émetteur ou le récepteur et
en prenant sa place
q Déni de service : empêcher le service d'être utilisé Cryptographie à clé symétrique : clés identiques pour
par les autres (ex : en surchargeant les l'émetteur et le récepteur
ressources) Cryptographie à clé publique : clé de chiffrement
publique, clé de déchiffrement secrète (privée)

Plan Cryptographie à clé symétrique


1 Qu'est-ce que la sécurité ? Chiffrement par substitution (Rotation / Permutation : voir TD)
q Substitution monoalphabétique : substituer une lettre par une
Principes de cryptographie autre

2 Confidentialité Texte brut: abcdefghijklmnopqrstuvwxyz


3 Authentification
Texte chiffré:mnbvcxzasdfghjklpoiuytrewq
4 Intégrité
5 Distribution de clés et certification Ex : Texte en clair : bob. i love you. alice
6 Contrôle d'accès : firewalls Texte chiffré : nkn. s gktc wky. mgsbc

7 Attaques and parades Avec quelle difficulté peut-on casser un tel chiffrement ?
q Manière brutale ?
8 Sécurité dans plusieurs couches q autre ?

Cryptographie à clé symétrique Cryptographie à clé symétrique : DES

DES: Data Encryption Standard


KA-B KA-B § Standard de chiffrement américain [NIST 1993]
§ Clé symétrique sur 56 bits, input plaintext 64 bits
Message en Algorithme msg chiffré Algorithme de Message en § À quel point le DES est-il sûr ?
clair m de chiffrement déchiffrement clair
K (m) q Challenge du DES : phrase (“Strong cryptography makes
A-B m= K
A-B
( KA-B (m) ) the world a safer place”) chiffrée avec une clé de 56 bits
déchiffrée en 4 mois (de manière brutale)
Cryptographie à clé symétrique : Bob et Alice partagent q Pas d'approche de déchiffrage "backdoor" connue
une même clé (connue) : K A-B § Rendre le DES plus sûr :
§ Ex : la clé consiste à connaître le mode de substitution dans q Utilier 3 clés successivement (3-DES) sur chaque donnée
un chiffrement par subtitution monoalphabétique
§ Comment Bob et Alice se mettent-ils d'accord sur la valeur de
la clé ?

2
AES : Advanced Encryption Standard
Crypto à clé
symétrique : DES
§ Standard NIST à clé symétrique (Nov. 2001)
Algo du DES remplaçant le DES
Permutation initiale
§ Traite les données par blocs de 128 bits
16 boucles identiques
de la fonction § Clés de 128, 192, ou 256 bits
application, utilisant § Le déchiffrement brutal (essai de toutes les
chacune 48 bits clés) prenant 1 sec avec le DES prend 149
différents de la clé
trillions d'annés pour AES
Permutation finale

Cryptographie à clé publique Cryptographie à clé publique

+
Crypto à clé symétrique
Crypto à clé publique KB Clé publique
de Bob
§ Nécessite le partage § Approche radicalement -
d'une clé entre K B Clé privée de
différente [Diffie- Bob
l'émetteur et le
Hellman76, RSA78]
récepteur
§ L'émetteur et le
§ Q: comment se mettre
récepteur ne partagent
d'accord sur la clé au Message en Algorithme Msg chiffré Algorithme de
pas de clé secrète Message en
départ (surtout s'ils ne clair m de chiffrement +
K (m) déchiffrement clair
se sont jamais § clé de chiffrement B
m= K
- +
( K (m))
publique connue de tous B B
rencontrés) ?
§ la clé de déchiffrement
privée n'est connue que
du récepteur

Algorithmes de chiffrement par clé RSA : choix des clés


publique
Besoins : 1. Choisir deux grands nombres premiers p, q.
(ex 1024 bits chacun)
1 .+
.
Besoin de K ( ) et de K - ( ) telles que
B 2. calculer n = pq, z = (p-1)(q-1)
- B
+
K (K (m)) = m 3. choisir e (avec e<n) n'ayant aucun facteur commun
B B
avec z. (e et z sont premiers entre eux).
+
2 À partir de la clé publique KB , il 4. choisir d tel que ed-1 soit divisible par z.
devrait être impossible- de (ed mod z = 1 ).
calculer la clé privée KB
5. La clé publique est (n,e). La clé privée est (n,d).
RSA : algorithme de Rivest, Shamir, Adleman K+
-
KB
B

3
RSA : chiffrement, déchiffrement Exemple RSA :
Bob choisit p=5, q=7. alors n=35, z=24.
0. soient (n,e) et (n,d) calculés comme précédemment
e=5 (e et z premiers entre eux).
1. Pour chiffrer le caractère m, calculer d=29 (ed-1 divisible par z).
e
c = m e mod n (cad le reste de la division de m par n

2. Pour déchiffrer le caractère c, calculer lettre message m me c = me mod n


d Chiffrement
m = c d mod n (cad le reste de la division de c par n) l 12 1524832 17

d
d
c c m = cd mod n lettre
m = (m e mod n) mod n Déchiffrement 17 4 8 1 9 6 8 5 7 2 1 0 6 7 5 0 9 1 5 0 9 1 4 11 8 2 5 2 2 3 0 7 1 6 9 7
12 l
c

RSA : pourquoi ? d
m = (me mod n) mod n
RSA : autre propriété importante
résultat intéressant de la théorie des nombres : La propriété suivante sera très utile plus tard:
Si p,q premiers et n = pq, alors :
y y mod (p-1)(q-1) - + + -
x mod n = x mod n K (K (m)) = m = K (K (m))
B B B B
e d ed
(m mod n) mod n = m mod n
ed mod (p-1)(q-1) Utiliser la clé Utiliser la clé
= m mod n
(en utilisant le résultat ci-dessus)
publique, PUIS privée, PUIS la
la clé privée clé publique
1
= m mod n
(puisqu’on a choisi ed ainsi Le résultat est le même !
= m

Plan Authentification
1 Qu'est-ce que la sécurité ?
Principes de cryptographie But : Bob veut qu'Alice lui “prouve” son identité
2 Confidentialité
Protocole ap1.0: Alice dit “Je suis Alice”
3 Authentification
4 Intégrité
“Je suis Alice”
5 Distribution de clés et certification Scénario d'échec ?
6 Contrôle d'accès : firewalls
7 Attaques and parades
8 Sécurité dans plusieurs couches

4
Authentification Authentification : autre tentative

Protocole ap2.0 : Alice dit “Je suis Alice” dans un paquet IP


But : Bob veut qu'Alice lui “prouve” son identité contenant son adresse IP source

Protocole ap1.0: Alice dit “Je suis Alice”

Alice’s
IP address “Je suis Alice”
Dans un réseau,
Bob ne peut pas "voir” Scénario d'échec ?
Alice, alors Trudy dit
“Je suis Alice” simplement qu'elle est
Alice

Authentification : autre tentative Authentification : autre tentative


Protocole ap2.0 : Alice dit “Je suis Alice” dans un paquet IP Protocole ap3.0 : Alice dit “Je suis Alice” et envoie son mot
contenant son adresse IP source de passe secret pour le prouver.

Ali ce’ s Ali ce’ s


“Je sui s Ali ce”
IP addr passw ord

Trudy peut créer Scénario d'échec ?


Ali ce’ s
un paquet en IP addr
OK
usurpant
Alice’s
IP address
“Je suis Alice” (“spoofant”)
l'adresse d'Alice

Authentification: autre tentative Authentification : encore un autre essai

Protocole ap3.0 : Alice dit “Je suis Alice” et envoie son mot Protocole ap3.1 : Alice dit “Je suis Alice” et envoie son mot
de passe secret pour le prouver. de passe secret chiffré pour le prouver.

Ali ce’ s Ali ce’ s “Je sui s Ali ce” Ali ce’ s encrypted"Je sui s Ali ce”
IP addr passw ord Attaque par rejeu IP addr passw ord

(replay attack) : Trudy


Ali ce’ s enregistre le paquet Ali ce’ s Scénario d'échec ?
OK OK
IP addr IP addr
d'Alice et le renvoie
plus tard à Bob
I Ali ce’ s Ali ce’ s
m “Je sui s Ali ce”
IP addr passw ord

5
Authentification : encore un autre essai Authentification : encore un autre essai

Protocole ap3.1 : Alice dit “Je suis Alice” et envoie son mot But : éviter l'attaque du rejeu
de passe secret chiffré pour le prouver. Nonce: nombre (R) utilisé seulement-une-fois
ap4.0: pour prouver qu'Alice est là “en live”, Bob envoie à
Alice un nonce, R.
Alice doit renvoyer R, chiffré avec la clé secrète
Ali ce’ s encryppted
“Je sui s Ali ce” L'enregistrement et le
IP addr passw ord
rejeu fonctionnent “Je suis Alice”
Ali ce’ s encore !
IP addr
OK R
Alice est en live,
KA-B (R) et seule Alice
I Ali ce’ s encrypted connaît la clé pour
m “Je sui s Ali ce”
IP addr passw ord chiffer nonce,
Scénario d’échec, inconvénients ? donc ça doit être
Alice!

Authentification : ap5.0 ap5.0 : trou de sécurité


Attaque d'une personne au milieu : Trudy se fait
ap4.0 nécessite le partage d'une clé symétrique passer pour Alice (vis-à-vis de Bob) et pour Bob
§ Peut-on effectuer une authentification en utilisant (vis-à-vis d'Alice)
des techniques de clé publique ? Je suis Alice Je suis Alice
R -
ap5.0: utiliser un nonce avec de la crypto à clé publique K (R)
T
R Envoi e-moi ta clé publi que
“Je suis Alice” - +
K (R)
Bob calcule A K
T
R + - Envoi e-moi ta clé publi que
- KA (KA (R)) = R +
K A (R) K +
Et sait que seule Alice A K (m)
T
peut avoir la clé qui a Trudy récupère
“envoie-moi ta clé publique” + - +
chiffré R telle que m = K (K (m))
+ K (m) T T
KA A envoie m à Alice,
+ - - +
m = K (K (m)) chiffré avec la
K
A (KA(R)) = R A A clé publique
d’Alice

ap5.0 : trou de sécurité Plan


Attaque Man in the Middle : Trudy se fait passer
pour Alice (vis-à-vis de Bob) et pour Bob (vis-à- 1 Qu'est-ce que la sécurité ?
vis d'Alice) Principes de cryptographie
2 Confidentialité
3 Authentification
Difficile à détecter : 4 Intégrité
q Bob reçoit tout ce qu'Alice envoie et vice versa.
qle problème est que Trudy reçoit également tous les
5 Distribution de clés et certification
messages ! 6 Contrôle d'accès : firewalls
7 Attaques and parades
8 Sécurité dans plusieurs couches

6
Signatures numériques Comment “signer” un message ?

Mécanisme simple pour “signer” le


Techniques cryptographiques analogues
message m :
aux signatures manuscrites. -
§ Bob signe m en chiffrant avec sa clé privée KB,
§ L'émetteur (Bob) signe le document de manière créant le message "signé" KB(m)
-
numérique et établit qu'il est le
créateur/propriétaire du document. Bob’s message, m
-
K B Bob’s private -
key
K B (m)
§ Vérifiable, non falsifiable : le récepteur (Alice) DearAl
i
ce
Bob’smessage,
peut prouver à quelqu'un que Bob et personne Oh,howIhavemissed Public key m,signed
you.I
thi
nkofyouallt
he
d'autre (y compris Alice) n’a signé ce document ti
me!… (
blahbl
ahblah) encryption (encrypt
ed)wit
h
algorithm hispr i
vatekey
Bob

Comment “signer” un message ? (suite) Messages condensés (message digests)


§ Supposons qu'Alice reçoit le msg m et la signature large
H: Hash
-
numérique KB(m) message
Function
m
§ Alice vérifie que m a été signé par Bob en appliquant la clé Le chiffrement par clé publique de
+ - + -
publique de Bob KB à KB(m) et vérifie que KB(KB(m) ) = m. longs messages est très onéreux
+ - "computationnellement" H(m)
§ Si KB(KB(m) ) = m, la personne qui a signé m a forcément
utilisé la clé privée de Bob. Propriétés de la fonction de
But : "empreinte digitale" de hachage:
Alice vérifie ainsi que : longueur fixe et facile à calculer
§ many-to-1
ü Bob a signé m. § Appliquer une fonction de
hachage H à m, recevoir un
§ Produit des messages condensés
ü Personne d'autre n'a signé m.
de taille fixe ("empreinte digitale")
ü Bob a signé m et pas m’.
message condensé de longueur
fixe, H(m). § Étant donné un message
Non-répudiation: condensé x, il est
ü Alice peut emporter m et la signature -
KB(m) à un computationnellement impossible
procès et prouver que Bob a signé m. de trouver m tel que x = H(m)

Internet checksum : fonction cryptographique de Signature numérique = message digest signé


hachage "pauvre" Bob envoie un message
Alice vérifie la signature et
l'intégrité du message signé
Le Internet checksum possède des propriétés de fonction de signé numériquement : sumériquement :
hachage :
large
ü Produit un message condensé de longueur fixe du message message H: Hash encrypted
m function H(m)
(somme sur 16-bits) msg digest
-
ü many-to-one KB(H(m))
Mais avec un message avec une valeur de hachage donnée, il est Bob’ s digital large
pri vate signature message Bob’ s
facile de trouver un autre message avec la même valeur de key -
m digital
KB (encrypt) publi c
hachage : + signature
key KB
message ASCII format message ASCII format encrypted H: Hash (decrypt)
I O U 1 49 4F 55 31 I O U 9 49 4F 55 39 msg digest function
-
0 0 . 9 30 30 2E 39 0 0 . 1 30 30 2E 31 + KB(H(m))
9 B O B 39 42 D2 42 9 B O B 39 42 D2 42 H(m) H(m)
B2 C1 D2 AC différents messages B2 C1 D2 AC equal
Mais checksums identiques ! ?

7
Algorithmes de fonctions de hachage Plan
§ Fonction de hachage MD5 largement utilisée (RFC 1 Qu'est-ce que la sécurité ?
1321) ATTENTION ! Principes de cryptographie
q Calcule un message digest de 128 bits en 4 2 Confidentialité
étapes.
3 Authentification
q Il est difficile, à partir d'une chaîne aléatoire de
128 bits, de construire un msg m dont l hash 4 Intégrité
MD5 est égal à x. 5 Distribution de clés et certification
§ SHA-1 est également utilisé. 6 Contrôle d'accès : firewalls
q Standard américain [NIST, FIPS PUB 180-1]
7 Attaques and parades
q Message condensé de 160 bits
8 Sécurité dans plusieurs couches

Intermédiaires de confiance Key Distribution Center (KDC)

Problème des clés Problème des clés § Alice et Bob doivent partager une clé symétrique.
symétriques publiques : § KDC : le serveur partage une clé secrète différente
§ Comment 2 entités établissent- § Quand Alice obtient la clé avec chaque utilisateur enregistré (nombreux
elles une clé secrète partagée publique de Bob (à partir
à travers un réseau ? d'un site Web, d'un e-mail, utilisateurs)
d'une disquette), comment § Alice et Bob possèdent leur propre clé symétrique
sait-elle que c'est la clé
Solution : publique de Bob, et pas KA-KDC KB-KDC , pour communiquer avec le KDC.
§ Centre de distribution de clé de celle de Trudy ? KDC
confiance (KDC) agissant K
KA-KDC P-KDC
comme un intermédiaire entre KX-KDC
les entités
Solution : KP-KDC KB-KDC Imp
§ Autorité de certification de ossi KY-KDC
confiance (CA) bl
KZ-KDC
KB-KDC
KA-KDC

Key Distribution Center (KDC) Autorités de certification


Q : Comment le KDC permet-il à Bob et Alice de § Certification authority (CA) : relie une clé publique
déterminer une clé secrète symétrique partagée pour à une entité particulière E.
communiquer l'un avec l'autre ? § E (personne, routeur) enregistre sa clé publique
Le KDC auprès du CA.
Impo
ssibl génère q E fournit une “preuve d'identité” au CA
KA-KDC(
A,B) e dœ KA-B q Le CA crée un lien certifié entre e et sa clé publique
q Le certificat contenant la clé publique de E est signé
Alice KA-KDC(
KA-B,KB-KDC(
A,KA-B))
obtient KA-B Bob peut utiliser KA-B numériquement par le CA :
pour communiquer le CA dit “ceci est la clé publique de E”
KB-KDC(
A,KA-B) avec Alice Bob’ s digital I
+
publi c signature KB m
+ p
key KB (encrypt)
Alice et Bob communiquent : utilisation de KA-B Imp
ossi CA
comme clé de session pour le chiffrement certificate for
Bob’ s ble pri vate -
K CA
symétrique partagé i denti fyi ng key Bob’s public key,
i nformati on signed by CA

8
Autorités de certification Un certificat contient :
§ Un numéro de série (unique pour chaque émetteur)
§ Quand Alice veut la clé publique de Bob : § info sur le propriétaire du certificat, y compris
q Elle obtient le certificat de Bob (par Bob ou l'algorithme et la valeur de la clé elle-même
autre). § info sur
q Elle applique la clé publique du CA au l'émetteur
certificat de Bob et obtient la clé publique de du certificat
Bob. § Dates de
+I digital Bob’ s validité
K Bm signature publi c
p
(decrypt) KB
+
key § Signature
numérique
CA
de
publi c K+
CA
key l'émetteur
I
m

Plan Firewalls

1 Qu'est-ce que la sécurité ? firewall


Principes de cryptographie Isole le réseau interne d'une organisation de
l'Internet, en permettant à certains paquets de
2 Confidentialité passer et en en bloquant d'autres.
3 Authentification
4 Intégrité
5 Distribution de clés et certification
6 Contrôle d'accès : firewalls Internet
réseau
7 Attaques and parades administré public

8 Sécurité dans plusieurs couches firewall

Firewalls : pourquoi ? Filtrage de paquets ce paquet entrant


doit-il être admis ?
Ce paquet sortant
Évite les attaques par déni de service : peut-il sortir ?
q SYN flooding : l'attaquant établit de nombreuses
connexions TCP "bidon", plus de ressources pour les
vraies connexions.
Évite la modification / l'accès illégal aux données internes.
q Ex : l'attaquant remplace la page du CIA par autre chose
Autorise uniquement les accès autorisés à l'intérieur du
§ Réseau interne connecté à l'Internet via un routeur
réseau (ensembles d'utilisateurs / hôtes authentifiés)
firewall
§ Le routeur filtre paquet par paquet, décide de faire
transiter ou de supprimer le paquet selon :
2 types de firewalls :
q L'adresse IP source, l'adresse IP destination
q Filtrage de paquets
q Les numéros de ports TCP/UDP source et destination
q Niveau applicatif
q Le type de message ICMP
q Les bits TCP SYN et ACK

9
Filtrage de paquets Gateway applicative gateway-to-remote
host telnet session
§ Filtre les paquets en fonction host-to-gateway
§ Exemple 1 : blocage des datagrammes IP des données applicatives telnet session

entrants et sortants avec le champ protocole = aussi bien qu'en fonction des
application router and filter
champs IP/TCP/UDP. gateway
17 et avec le port source ou destination = 23.
§ Exemple : permettre à des
q Tous les flux UDP entrants et sortants, ainsi
utilisateurs internes
que les connexions telnet, sont bloqués. autorisés d'effectuer un
§ Exemple 2 : Blocage des segments TCP telnet à l'extérieur.
entrants avec ACK=0. 1. Nécessite que tous les utilisateurs de telnet passent par
q Empêche les clients extérieurs de faire des la gateway.
connexions TCP avec des clients internes, 2. Pour des utilisateurs autorisés, la gateway établit une
connexion telnet à l'hôte de destination. La gateway fait
mais permet aux clients internes de se
transiter les données entre les 2 connexions.
connecter à l'extérieur.
3. Le filtre du routeur bloque toutes les connexions telnet ne
provenant pas de la gateway.

Limites des firewalls et des gateways Plan


§ IP spoofing : le routeur ne
peut pas savoir si les § Les filtres utilisent souvent 1 Qu'est-ce que la sécurité ?
données proviennent une politique tout ou rien
vraiment d'une source pour UDP.
Principes de cryptographie
autorisée § Compromis : degré de 2 Confidentialité
§ Si plusieurs applications communication avec le
ont besoin d'un traitement monde extérieur, niveau 3 Authentification
de sécurité
spécial, chacune a sa
§ De nombreux sites
4 Intégrité
propre gateway
applicative. hautement protégés 5 Distribution de clés et certification
souffrent toujours
§ Le logiciel client doit savoir d'attaques. 6 Contrôle d'accès : firewalls
comment contacter la
gateway. 7 Attaques and parades
q Ex : il doit configurer
l'adresse IP du proxy dans
8 Sécurité dans plusieurs couches
le browser Web

Menaces de sécurité sur Internet Menaces de sécurité sur Internet


Mapping : Mapping : parades
q Avant d'attaquer : trouver quels services sont
q Enregistrer le trafic pénétrant dans le réseau
implémentés sur le réseau
q Chercher une activité suspecte (adresses IP,
q Utiliser ping pour déterminer quels hôtes ont
ports scannés les uns après les autres)
des adresses sur le réseau
q Scan des ports : essayer d'établir des
connexions TCP avec chaque port (regarder
ce qui se passe)
q nmap (http://www.insecure.org/nmap/) mapper
§ “network exploration and security auditing”

Parades ?

10
Menaces de sécurité sur Internet Menaces de sécurité sur Internet
Reniflement de paquets (packet sniffing) : Packet sniffing : parades
q Médium à diffusion q Tous les hôtes d'une organisation utilisent des
q Une machine proche lit tous les paquets qui logiciels vérifiant périodiquement si l'interface
passent de l'hôte est en mode promiscuous.
q peut lire toutes les données en clair (par ex les q Un hôte par segment du médium à diffusion
mots de passe) (switched Ethernet at hub)
q Ex : C sniffe les paquets de B A C
A C

src:B dest:A payload


B
src:B dest:A payload
B
Parades ?

Menaces de sécurité sur Internet Menaces de sécurité sur Internet


IP Spoofing (usurpation d'adresse IP) :
IP Spoofing : ingress filtering
q Peut générer des paquets IP directement à partir
d'une application, en mettant n'importe quelle q Les routeurs ne doivent pas transmettre des
valeur dans le champ d'adresse IP source paquets sortants avec des adresses source
q Le récepteur ne peut pas dire si la source est invalides (ex : adresse source du datagramme pas
spoofée dans le réseau du routeur)
q Ex : C se fait passer pour B q Bien, mais ce filtrage ne peut pas être effectué
dans tous les réseaux
A C
A C
src:B dest:A payload
src:B dest:A payload
B
Parades ? B

Menaces de sécurité sur Internet Menaces de sécurité sur Internet


Déni de Service (DOS) : Deni de service (DOS) : parades
q Flot de paquets malicieux générés pour inonder un q Filtrer le flot de paquets (ex : SYN) avant qu'ils
récepteur n'atteignent l'hôte : on jette les bons comme
q DOS distribué (DDOS): plusieurs sources les mauvais
coordonnées pour inonder un récepteur q Remonter à la source des flots (probablement
q Ex : C et un hôte distant font une SYN-attack vers A une machine innocente, compromise)
A C A C
SYN SYN
SYN SYN
SYN SYN SYN SYN SYN SYN

B B
SYN SYN
Parade ?
SYN SYN

11
Plan E-mail sécurisé
1 Qu'est-ce que la sécurité ? q Alice veut envoyer un email sécurisé m à Bob.
Principes de cryptographie KS

2 Confidentialité m K S( ). KS(m ) KS(m )


K S( ) . m
3 Authentification + - KS
Internet
4 Intégrité
K (.) .
+ KB( )
-
KS B + +
KB(KS ) KB(KS )
5 Distribution de clés et certification -
K+
B KB
6 Contrôle d'accès : firewalls
Alice :
7 Attaques and parades q génère une clé privée symétrique aléatoire KS .
q chiffre le message avec KS (pour l'efficacité)
8 Sécurité dans plusieurs couches q chiffre aussi KS avec la clé publique de Bob.
q envoie à la fois KS (m) et KB(KS ) à Bob.

E-mail sécurisé E-mail sécurisé (suite)


q Alice veut envoyer un email sécurisé m à Bob. • Alice
veut fournir une authentification de
KS l'émetteur et l'intégrité du message.

m .
K S( )
KS(m ) KS(m )
K S( ) . m -
KA K+
A
- -
+ Internet - KS m H(.) K (.)
-
A
KA(H(m)) KA(H(m))
KA( )
+ . H(m )

KS
+
KB( ). + +
-
KB( ) . + Internet - compare
KB(KS ) KB(KS )
K+
B KB
-
m H( ) . H(m )
m
Bob :
q utilise sa clé privée pour déchiffrer et retrouver KS • Alice signe numériquement le message.
q utilise KS pour déchiffrer KS(m) pour retrouver m • envoie à la fois le message (en clair) et la signature
numérique.

E-mail sécurisé (suite) Pretty good privacy (PGP)


• Alice
veut fournir le secret, l'authentification de
§ Procédé de chiffrement d'email Message signé par PGP :
l'émetteur et l'intégrité du message. Internet, standard de-facto.
-
KA ---BEGIN PGP SIGNED MESSAGE---
- § Utilise la crypto à clé Hash: SHA1
m H( ). -
KA( ). KA(H(m))
KS symétrique, la crypto à clé
publique, une fonction de Bob:My husband is out of town
tonight.Passionately yours,
+ K S( ) . hachage et la signature
numérique.
Alice
---BEGIN PGP SIGNATURE---
Version: PGP 5.0
m + Internet
§ Garantit le secret, Charset: noconv
l'authentification de l'émetteur, yhHJRHhGJGhgg/12EpJ+lo8gE4vB3m
KS KB( )
+ . +
l'intégrité. qJhFEvZP9t6n7G6m5Gw2
---END PGP SIGNATURE---
KB(KS )
§ L'inventeur, Phil Zimmerman, a
K+
B été la cible de 3 ans d'enquête
fédérale
Alice utilise 3 clés : sa clé privée, la clé publique de
bob et la nouvelle clé symétrique créée

12
Secure sockets layer (SSL) SSL (suite)
Session chiffrée avec SSL :
§ Le browser génère une clé de § SSL : base du
§ Sécurité de niveau § Authentification du serveur : Transport Layer
transport pour toute session symétrique , la chiffre
q Le browser SSL-capable Security (TLS) de
application basée sur TCP contient les clés publiques
avec la clé publique du serveur
utilisant des services SSL. pour les CAs de confiance. et envoie la clé chiffrée au l'IETF.
serveur.
§ Utilisé entre des browsers q Le browser demande le § SSL peut être utilisé
Web, des serveurs pour le
certificat du serveur, fourni § En utilisant la clé privée, le pour des applications
par un CA de confiance. serveur décriffre la clé de
commerce électronique. q Le browser utilise la clé non-Web, ex : IMAP.
session.
§ Services de sécurité : publique du CA pour
extraire la clé publique du § Le browser et le serveur § L'authentification du
q Authentification du
serveur du certificat. connaissent la clé de session client peut être
serveur
q Vérifier le menu de sécurité q Toutes les données envoyées effectuée avec des
q Chiffrement des données de votre browser pour voir
dans la socket TCP (par le certificats de client.
q authentication du client ses CAs de confiance.
client ou par le serveur) sont
(optionnel)
chiffrées avec la clé de
session.

IPsec : Sécurité de niveau réseau Protocole Authentication Header (AH)

§ Secret de niveau réseau Network-


§ Fournit l'authentification de L'en-tête AH inclut
layer secrecy: § Pour AH et ESP, handshake la source, l'intégrité des § L'identifiant de connexion
de la source et de la données mais pas de
q L'hôte émetteur chiffre les destination : § Données d'authentification :
données dans le datagramme confidentialité message digest signé par la
q Crée un canal logique de
IP niveau réseau, appelé § En-tête AH inséré entre source et calculé à partir du
q Segments TCP et UDP; association de sécurité (SA) l'en-tête IP et le champ de datagramme IP original.
messages ICMP et SNMP. § Chaque SA est unidirectionnel. données. § Champ next header : spécifie le
§ Authentification de niveau réseau § Déterminé de manière unique § Champ protocole : 51 type des données (ex : TCP,
par :
q L'hôte de destination peut
q Un protocole de sécurité
§ Les routeurs intermédiaires UDP, ICMP)
authentifier l'adresse IP source traitent les datagrammes
(AH or ESP)
§ 2 protocoles de principe : comme d'habitude
q Adresse IP source
q Protocole d'authentication d'en-
q Identifiant de connexion sur
tête (authentication header AH) 32 bits
q Protocole encapsulation IP header AH header data (e.g., TCP, UDP segment )
security payload (ESP)

Protocole ESP Sécurité dans IEEE 802.11


§ Fournit le secret, § Le champ § Nombreux réseaux IEEE 802.11 disponibles
l'authentification de l'hôte, d'authentification La plupart n'utilisent pas de chiffrement ni
q
l'intégrité des données. d'ESP est similaire au d'authentification
§ Les données et l'ESP champ q Facile de faire du packet-sniffing et autres
d'authentification d'AH attaques !
trailer sont chiffrés.
§ Protocol = 50 § Wired Equivalent Privacy (WEP): authentification
§ Le champ next header est
comme dans le protocole ap4.0
dans l'ESP trailer.
q L'hôte demande l'authentification au point d'accès
authenticated
q Le point d'accès envoir un nonce de 128 bits
encrypted
q L'hôte chiffre le nonce en utilisant une clé
ESP ESP ESP
IP header TCP/UDP segment symétrique partagée
header trailer authent.
q Le point d'accès déchiffre le nonce et authentifie
l'hôte

13
Sécurité dans IEEE 802.11 802.11 : chiffrement WEP
Impossible dœafficher lœimage.
§ Wired Equivalent Privacy (WEP) : chiffrement des
données
q L'hôte et le point d'accès partagent une clé
symétrique de 40 bits (semi-permanente)
q L'hôte ouvre un vecteur d'initialisation (IV) de 24
bits pour créer une clé de 64 bits
q Le clé de 64 bits est utilisée pour générer un flux
de clés, kiIV
IV
q ki est utilisée pour chiffrer le i-ème octet, di : Sender-side WEP encryption
ci = di XOR kiIV
q IV et les octets chiffrés, ci sont envoyés dans la
trame

Casser le chiffrement WEP dans 802.11 Sécurité des réseaux (résumé)


Techniques de base…...
Trou de sécurité :
q cryptographie (symétrique et publique)
§ IV sur 24 bits, un IV par trame, -> l'IV peut être réutilisé
§ IV transmis en clair -> la réutilisation d'IV peut être détectée q authentification
§ Attaque : q Intégrité des messages
q Trudy contraint Alice à chiffrer du texte connu d 1 d 2 d 3 d 4 … q Distribution des clés
q Trudy voit : c i = d i XOR k iIV …. utilisées dans de nombreux scénarios de
q Trudy connait c i d i, donc peut calculer k iIV sécurité différents
q Trudy connait la séquence de chiffrement de clés k 1IV k 2IV k 3IV q Email sécurisé

q La prochaine fois que IV sera utilisé, Trudy pourra déchiffrer ! q transport sécurisé (SSL)
q IP sec
q 802.11 WEP

Ressources

§ Livre
§ Computer Networking : A Top Down Approach
Featuring the Internet,
2n d edition.
Jim Kurose, Keith Ross
Addison-Wesley, July 2002.

14
Histoire
§ Années 90:
IPv6 q

q
Croissance exponentielle
Risque de pénurie d'adresses
§ En Janvier 1996
Pourcentage d'adresses allouées
Class A - 100.00%
Class B - 61.95%
Class C - 36.44%
Ä Problèm e sur la taille de l'espace d'adressage

§ Prévision d'un épuisement de l'espace d'adressage


q Arrêt de la croissance
q en 1994 !
§ Initialement
§ Épuisement : en février 2011

Mesures d'urgences Proxy NAT


§ Affectation exceptionnelle de la classe B
§ Utilisation de la classe C Espace d'adressage public Espace d'adressage privé
§ CIDR (Classless Internet Domain Routing) [RFC 1519]
q Adresse réseau = préfixe+ longueur de préfixe
q Moins de gaspillages d'adresses 128.1.2.3
Proxy: 193.1.1.1 10.1.1.1
q Agrégation
§ Autorisation d'utilisation de plans d'adressages privés
§ Déploiement de NAT (Network Address Translation)
q Architecture similaire au pare-feu

§ Ces mesures donnent du temps pour développer un nouvelle


version de IP : IPv6
Internet Entreprise

Adresses privées Network Address Translation

§ De 10.0.0.1 à 10.255.255.254
128.1.2.3 10.1.1.1

§ De 172.16.0.1 à 172.31.255.254
193.1.1.1-> 128.1.2.3 10.1.1.1->128.1.2.3
§ De 192.168.0.1 à 192.168.255.254 128.1.2.3->193.1.1.1 128.1.2.3->10.1.1.1

Internet entreprise
Official address pool

10.1.1.1 <=> 193.1.1.1

1
NAT Pourquoi un Nouveau Protocole IP ?
§ Inconvénients : § Une solution pour les problèmes de croissance:
§ Avantages : q Sensible au facteur d'échelle
q Actuellement la taille de l'Internet double tous les 14 mois
§ épuisement des adresses IP
q Réduit le besoin q Introduit un état dans le § explosion de la taille des tables de routage
d'adresses globales réseau: § Autres motivations
q Facilite le déploiement § Redémarrage q Accélérer le traitement du datagramme
de plan privé § Changement de route q Prendre en compte de nouvelles contraintes
q Transparent aux q Traitement complexe § Faciliter la QoS
§ Routage vers le meilleur serveur parmi un ensemble de serveurs en miroir
applications q En défaut par rapport à une q Pour de nouveaux réseaux
q Securité ? : filtrage approche "peer -to-peer" § Réseaux mobiles
§ Frein aux nouvelles § Réseaux personnels, domotique …
applications q Ajouter de nouvelles fonctionnalités
q Sécurité ? : authentification+ § Autoconfiguration
§ Multicast
chiffrement
§ Sécurité
§ Mobilité

Cahier des charges Croissance des tables de routage


§ Adresser un espace (beaucoup) plus grand
q 10 E+9 réseaux au minimum

§ Routage plus efficace

§ Conserver les principes qui ont fait le succès de IP


-report.org

§ Corriger les défauts de la version actuelle


http://www.cidral

§ Résoudre les problèmes qui vont devenir critiques


q Applications temps réel
q Multipoint
q Sécurité
q ...

IPv6: Quelques Caractéristiques IPv6: Nouvelles fonctionnalités


§ Adresse plus longue : 128 bits § En-tête simplifié § Autoconfiguration : "plug and
(16 octets) q Taille fixe de l'en-tête: 40 octets play" § "Marquage" des flux
q Adressage de 340 x 10 e36 § Augmente l'e fficacité de q Gestion de la mobilité particuliers : (Flow Label )
équipements commutation des équipements de Renumérotation facile si
routage
q q Traitements particuliers
q Adressage hiérarchique changement de prestataire § Applications temps réel
Peut contenir l'adresse MAC q Nombre de champs réduit de
q
moitié q Serveurs d'adresses (DHCP : § Qualité de Service (QoS)
(IEEE802) Dynamic Host Configuration
§ Fonctions liées à l'acheminement
Protocol)
§ Sécurité
§ 3 types d'adresses : § Extension de l'en-tête pour les q SAA : Stateless Address
q Authentification
q Unicast options Autoconfiguration (RFC 1971)
q Confidentialité
q Multicast q Les options IPv6 sont placées
q Anycast dans des en-têtes séparés § Multipoint (Multicast) inclus
plus d'adresse de broadcast q intercalées entre l'en-tête IPv6 et de base § Routage à partir de la source
l'en-tête de la couche transport q Source Demand Routing
La longueur des options n'est plus q Pour les routeurs et les clients
q Protocol
limitée à 40 octets q "scope" = meilleur routage des
q introduction aisée de nouvelles paquets multicast
fonctionnalités => Plus besoin de Mbone ni de
mrouted

2
IPv4 : En-tête IPv6 : En-tête
32 bits 32 bits
5 m ots de 64 bits 4 bits 8 bits
Ver. IHL ToS Total Length

20Octets
Vers Class Flow Label
Identifier flags fragment
Payload Length Next Header Hop Lim it
TTL Protocol Checksum
16 bits 8 bits
Source Address
Destination Address Source Address
(128 bits)
40 octets

Options

Destination Address
§ Total Length (TL) --> Payload Length (128 bits)
§ Alignement 32 --> 64 bits
§ Fragmentation dans les hôtes

IPv6: En-têtes optionnelles IPv6: Extensions

§ Hop-by-Hop Header IPv6


Header TCP Header
§ Destination Header Next + DATA
Header
§ Routing Header = TCP

§ Fragmentation Header IPv6 Header


Next Header
Routing
Header
TCP Header
+ DATA
§ Authentification Header = Routing Next Header
= TCP
§ Encapsulating Security Payload
IPv6 Header Routing Header Fragm ent Header TCP Header
Next Header Next Header Next Header + DATA
= Routing = Fragm ent = TCP

En-têtes optionnelles : Ordre ICMPv6 [RFC 2463]


IPv6
§ Nouvelle version de ICMP
Hop by hop Traîté par chaque routeur
q Distinction des procédures et du format des messages
Destination Traîté par les routeurs dans l'extension de routage q Procédures de test et d'erreurs
Routing Liste des routeurs à traverser § Message ICMP : fonctionnalités
q Reprises :
Fragmentation Traîté par la destination
§ Signalement des erreurs
Authentication Après réassemblage du paquet § Test
Security Chiffrer le contenu de l'information restante § Configuration automatique
q Ajouts :
Destination Traîté seulement par la destination
§ multicast group management (ex IGMP)
§ Résolution d'adresse (ex ARP)
Upper Layer

3
Nouvelles Procédures
§ Neighbor Discovery (ND) (RFC 2461)
q Résolution d'adresses Adressage
q Détection d'inaccessibilité (NUD)
§ Autoconfiguration
q Stateless Address Autoconfiguration (RFC 2462)
q Stateful Address Autoconfiguration
§ DHCPv6 : Dynamic Host Configuration Protocol (draft)
§ Path MTU discovery (pMTU) (RFC 1981)
q MTU : Taille maximale du paquet (sans fragmentation)
§ Efficacité de transfert : E/L
q PMTU : minimum des MTU des liens traversés
§ Plus de fragmentation dans les routeurs
§ Par défaut : 1280 octets

Plan d'Adressage IPv6 Représentation des adresses [RFC 2373]

§ Contraintes § Format de base (16 octets)


q Flexible, pour suivre l'évolution du réseau q FEDC:BA98:7654:3210:FEDC:BA98:7654:3210
q Faciliter le routage en réduisant la table de routage
§ Choix
q Extension des types d'adresses :
§ Format compressé
§ Mode de communication q FF01:0:0:0:0:0:0:43 => FF01::43
§ Portée de l'adresse q FE80:0:0:0:0:0:0:0 => FE80::
§ Pour la transition
q 0:0:0:0:0:0:134.157.4.16=> ::134.157.4.16
q Principe CIDR (préfixe / longueur du préfixe)
q Représentation hexadécimale
q Les interfaces ont plusieurs adresses IPv6

IPv6 : Préfixes Adresses IPv6


§ La notion de préfixe développée par CIDR est § Loopback § Unicast
reprise: § Link local § Multicast
Adresse IPv6 / longueur du préfixe § Site local § Anycast
Exemples : § Global
5F00::/8
q 6bone : 3FFE…
5F06:B500::/32
q Official : 200x…

§ On peut indiquer qu’une adresse fait partie d’un § Pour la migration v4/v6
réseau dont le préfixe est de longueur déterminée q IPv4 mapped
(netmask) q IPv4 compatible
5F06:B500:8158:1A00::1/80 q 6to4

4
Espace d'Adressage IPv6 Adresse Unicast
Reserved 0000 0000 1/256
Unassigned 0000 0001 1/256
Reserved for NSAP Allocation 0000 001 1/128 § Communication 1 vers 1
Unassigned 0000 010 1/128
Unassigned 0000 011 1/128 § Adressage hiérarchique
Unassigned 0000 1 1/32 q Localisation du réseau
Unassigned 0001 1/16 q Identification de la machine dans le réseau
Aggregatable Global Unicast Addresses 001 1/8 [RFC2374]
Unassigned 010 1/8 64 128- 64
Unassigned 011 1/8
Unassigned 100 1/8 Subnet prefix Interface ID
Unassigned 101 1/8
Unassigned 110 1/8
Unassigned 1110 1/16
q Interface ID :
Unassigned 1111 0 1/32
Unassigned 1111 10 1/64 § A partir de l'adresse MAC : EUI -64
Unassigned 1111 110 1/128 § Aléatoire
Unassigned 1111 1110 0 1/512 § Autres ...
Link-Local Unicast Addresses 1111 1110 10 1/1024
Site-Local Unicast Addresses 1111 1110 11 1/1024
Multicast Addresses 1111 1111 1/256

Identifiant EUI-64 Aggregatable Global Unicast RFC 2374


§ Bits :
q U : universel (unique)
G : unicast ou multicast
q
24
Préfixe : 2000::/3
Impossible dœafficher lœimage.

§ Constitution à partir d'une adresse IEEE 802


24 bits 24 bits
ug vendor serial number

24 bits 16 bits 24
bits
ug vendor 0xFFFE serial number

10 vendor 0XFFFE serial number


1 78

Topologie du réseau Déploiement RFC 2450


§ Attribution d'adresses par les autorités régionales (RIR)
§ Plan d'adressage des RIR
TLA q Depuis Juillet 99
3 13 13 6 13 16 64

001 TLA Sub TLA res NLA* SLA* Interface ID

29
NLA 35
0000 000X XXXX X 2001:0000::/29 - 2001:01F8::/29 IANA
0000 001X XXXX X 2001:0200::/29 - 2001:03F8::/29 APNIC
0000 010X XXXX X 2001:0400::/29 - 2001:05F8::/29 ARIN
SLA 0000 011X XXXX X 2001:0600::/29 - 2001:07F8::/29 RIPE-NCC

0 0000 0000 0000 0x0000 2000::/16 Reserved


0 0000 0000 0001 0x0001 2001::/16 Sub-TLA Assignments
0 0000 0000 0010 0x0002 2002::/16 "6to4"
1 1111 1111 1110 0x1FFE 3FFE::/16 6bone Testing
1 1111 1111 1111 0x1FFF 3FFF::/16 Reserved

5
Exemple : Renater Adresse de Test RFC 2371
§ sTLA alloué : 2001:0660::/35 § TLA du 6Bone: 0X1FFE
2001:0660:xxx- ---- ---- ----::/48 § Préfixe du 6Bone: 3FFE::/16
Point accès Sites
§ Attribution de pTLA par ngtrans WG
q http://www.6bone.net/6bone_pTLA_list.html.
/35 /41
q G6/FR : 3FFE:0300::/24
2001:0660::/35
2001:0660:0080::/41 NIO Renater-2
2001:0660:0100::/41 Ile de France
2001:0660:0180::/41 Grenoble 3 13 x 32-x 16 64
2001:0660:0200::/41 Strasbourg
2001:0660:0280::/41 Rennes 001 1FFE pTLA pNLA SLA Interface ID
2001:0660:1000::/41 INRIA
2001:0660:1080::/41 FT R&D

Adresse locale Plan de Transition


§ Adresse à usage local : link local
10 54 64
§ Adresse compatible IPv4
1111111010 00...00 Interface ID 000000 ................................ 0000000 0000 IPv 4 Address

FE80

q Non routable q Communication IPV6 par tunnel automatique

§ Adresse à usage local : site local


§ Adresse IPv4 imbriquée (mapped)
10 38 16 64
000000 ................................ 0000000 FFFF IPv 4 Address
1111111011 00...00 Subnet ID Interface ID

FEC0 80 bits 16 bits 32 bits

Adresse Multicast Relation @ MAC et IPv6


8 4 4 112

11111111 Flag Scope Group ID

FF

Flag: 00 0T Scope
T=0 pe rm a ne nte
T=1 te m pora ire 1 : Node local
2 : Link local
5 : Site local
§ Groupes ID prédéfinis 8 : Org. local
q 1 noeuds E : Global
q 2 routeurs
q 9 routeurs utilisant RIP
Remarque :
§ Multicast sollicité Les @ multicast sont
q FF02::1:FF00:0/104 traduites en @ MAC et
q 24 derniers bits extraits de l'adresse mises dans la carte
unicast IPv6 Ethernet. (RFC 2464)
q Pour la résolution d'adresses IPv6

6
Adresse Particulière

§ Adresse de bouclage :
q 0:0:0:0:0:0:0:1 => ::1 Nouvelles Procédures
§ Adresse indéterminée:
q 0:0:0:0:0:0:0:0 => ::
q Ne peut jamais être adresse destination

Neighbor Discovery Résolution d'adresse

§ Fonctionnalités § Configuration pour le routage § Principe


q Résolution d'adresses q Router Solicitation (RS)
q Requête avec l'adresse de multicast sollicité
q Détection d'inaccessibilité q Router Advertisement (RA)
(NUD) q la liste des préfixes utilisés sur le q Réponse en unicast
lien local (autoconf)
q Configuration
q une valeur possible de Max Hop
§ Localisation des routeurs Limit (TTL de IPv4) Impossible dœafficher lœimage.
§ Découverte des préfixes q et la valeur du link MTU
§ Détection des adresses q Redirect
dupliquées (DAD)
§ Indication de redirection
§ Echanges entre voisins
q Neighbor Solicitation (NS)
q Neighbor Advertisement (NA)

Auto-configuration Autoconfiguration sans état (stateless)


§ Rendre les hôtes "plug & play" § IPv6 Stateless Address Autoconfiguration
q Apprentissage automatique § ne s'applique pas aux routeurs

§ Au démarrage, le client démande ses § Permet à une machine de fabriquer une


paramètres : adresse globale à partir de :
q Préfixe
q son adresse MAC
q Routeur par défaut
q des annonces de préfixes faites par les routeurs
q Nom de domaine
q …

§ Les routeurs doivent être configurés

7
Auto-configuration

Transition
Internet

0. Création d'une adresse locale au lien

Routeur Machine
2. RS 4. DHCP

3. RA 1. NS

Procédure DAD

De IPv4 vers IPv6 Motivations à la migration


§ Objectif § Pénurie d'adresses
q Connectivité globale quelle que soit la version d'IP q Nouveaux réseaux
complexité
(pays, téléphonie
mobile, domotique, …)
§ Problème de la coexistence des 2 protocoles
q Configuration
automatique
§ Tous les routeurs ne passeront pas en même temps en IPv6 q Nouveaux services sur
q Pas de jour J IPv6 la base du peer-to-peer
q Fin de IPv4 : pas pour tout de suite (jamais ?)
q Introduction progressive § Moins de mécanismes de
transition
§ A commencé – expérimentale et commerciale
q Moins de réseaux IPv4
IPv4 q Plus d'applications IPv6

IPv4 IPv4 & IPv6 IPv6


Temps

T0 T1 T2 temps

Objectifs de la transition Méthodes de migration

§ Besoins § Activités § Applications


q Construction d'une q V6fier l'OS q Produire du trafic IPv6
infrastructure IPv6 q V6fier l'application q Transparent (adaptations simples)
q Accès à un réseau IPv6 § Une même application portée gère IPv6 et IPv4
q V6fier le réseau
§ NAT dans l'Hôte IPv4 - IPv6
q Production de trafic IPv6
q Relais applicatif (ALG)
q Cohabitation avec IPv4
§ Couches réseau RFC 2893
q Acheminer du trafic IPv6
§ 2 problèmes q Machines à double pile (v4, V6)
q Service q Encapsulation de IPv6 dans IPv4 (tunelling)
q Infrastructure q Traduction d’en-têtes (IPv6 <--> IPv4)

8
Piles IPv6 Compatibilité des applications

§ FreeBSD § Microsoft § Adresse IPv4 Imbriquée


q 4.x : included q Windows 2000
client server
q 3.x : «INRIA», KAME q 9x : Trumpet stack
§ NetBSD: § Solaris 8 IPv4 IPv6
application application
q -current : included § AIX 4.3 : included
1.4.2; «INRIA», KAME
q
§ Compaq IPv4 IPv4
§ Linux q True64 : included ::FFFF:128.1.2.3 ->::FFFF.128.1.2.4
2.2 : included
q
§ Cisco IOS 12.1 128.1.2.3 128.1.2.4
§ Apple q Beta,
q MacOS X : included q Supported: Q3
128.1.2.3 ->128.1.2.4

Intégration : traducteurs Double Pile


§ Passerelle applicative § Les équipements ont une adresse dans chacun des plans
q Par ex : une vieille imprimante sans IPv6 d'adressage IPv4 et IPv6
§ Ils acheminent le trafic IPv4 et le trafic IPv6
Client Spooler Printer

v4
IPv6 IPv4

§ Bump In The Stack (RFC 2767)


q v6fier l'application sans recompiler IP v4
q Equivalent à un NAT dans chaque hôte IPv4
application
IP v6
v6<->v4

3ffe:305:1002::1->3ffe:305:1002::2

Tunnel Tunnel Automatique

§ Hôte IPv6 isolé


IPv6 encapsulé dans IPv4 q Aux début des expérimentations IPv6

§ Utilise l'adresse IPv4 compatible


>ping6 ::128.93.1.21
trying to get source for ::128.93.1.21
source should be ::192.108.119.131
PING ::128.93.1.21 (::128.93.1.21): 56 data bytes
64 bytes from ::128.93.1.21: icmp6_seq=0 ttl=255 time=16.862 ms
64 bytes from ::128.93.1.21: icmp6_seq=1 ttl=255 time=13.410 ms
64 bytes from ::128.93.1.21: icmp6_seq=2 ttl=255 time=13.171 ms
...

9
Tunnel Automatique Tunnel Configuré

IPv6/IPv4
v6 v6
IPv6/IPv4

IPv6 IPv6
IPv4
IPv4

6 To 4 (RFC 3056) 6 to 4
§ Une autre manière de construire une infrastructure tunnelée
DNS
q Configuration simplifiée
§ Pas de tunnels configurés
q Plan d'adressage spécial
§ Préfixe: 2002::/16
3 13 32 16 64
1.2.3.4
B
001 0x0002 IPv4ADDR SLA Interface ID

§ Le préfixe du site est obtenu de l'adresse IPv4 du routeur de


bordure
q Technique transitoire
IPv6 192.1.2.3
1.2.3.4 128.1.2.3
IPv4 A
2002:0102:0304::/48

Interaction avec le 6-bone Traduction rfc 2765,rfc 2766


Le r elais est un r outeur
avec une inter face sur
§ Traduction des en-têtes IPv4 <--> IPv6
chaq ue r éseau. q interopérabilité entre les équipements seulement IPv4 et les
équipements seulement IPv6.
6-Bone q redevient très en vogue ... avec le NAT !
q Exemple : Routeurs B et E

relay
relay

relay
192.1.2.3 128.1.2.3
A

10
Traduction d’en-tête IPv6 – IPv4

Stratégie de migration
v6
v4
IP v4
v4

IP v6

Phase 0 : site IPv4 Phase 1 : Routeurs et serveurs en double pile

v4 NFS
NFS
v4 /v6
routers v4 /v6
web pop
v4 web pop ro u te rs
v4 /v6

client
IPv4 Internet IPv4 Internet
v4 client
v4

routers v4
client Exit router ro u te rs
v4 client Exit router
NATv 4+ v4
NATv 4+
IPv4 site ALG
v4/v6 site ALG

IP v4 o n l y h o s t
H yb ri d v4 /v6 h o s t
IP v4 o n l y ro u te r
H yb ri d v6 /v6 ro u te r
IP v4 o n l y n e tw o rk
H yb ri d v4 /v6 n e tw o rk

Phase 2 : Clients en double pile Phase 3 : Connexion au 6-Bone

IPv4 Internet

NFS v4 /v6
NFS
v 4 /v6

v4 /v6 v4 /v6
web pop ro u te rs web pop ro u te rs
v4 /v6
v4 /v6
tunnel
client client IPv4 Internet client
v4 /v6
client 6bone
v4 /v6

client client v4 Exit router


v4 v4 Exit router v4
ro u te r
ro u te r
NATv 4+ NATv 4+
ALG v4/v6 site ALG
v4/v6 site conf igured tunnel

11
Phase 4 : hôtes IPv6 Phase 5 : Hôtes IPv6 avec des serveurs IPv4

IPv4 Internet IPv4 Internet


NFS v4
web
v4 /v6 v4
ro u te r
v4 /v6

v4 /v6 web pop ro u te rs

tunnel proxy tunnel


v4 /v6
client
v4 /v6
client 6bone 6bone
v4 /v6
ro u te r

client v6 o n l y Exit router client v6


Exit router
v6 v6
ro u te r ro u te r
NATv 4+ NATv 4+
v4/v6 site ALG ALG
conf igured tunnel
v4/v6 site
conf igured tunnel

IP v6 o n l y h o s t

IP v6 o n l y ro u te r
IP v6 o n l y n e tw o rk

Phase 6 : Site IPv6 ou 6to4 Phase 7 : IPv6 site et Internet IPv6

IPv4 Internet IPv6 Internet


NFS
NFS v6
v6 NAT-PT
v6 or
v6
web pop ro u te rs
web pop ro u te rs v6 proxies
v6
6to4 tunnel 6to4 client client IPv4
client client v6
v6
site Internet
client v6 Exit router
client v6 v6
v6 Exit router ro u te rs
to IPv 6 ISP
ro u te rs
NAT-PT+
IPv6 site ALG IPv6 site
6to4 router

Le 6-bone
§ Premier Réseau IPv6
Premières expériences q Réseau expérimental
§ pré-déploiement de l’Internet version 6
q construit au dessus de l’Internet IPv4
§ tunnel IPv4 pour interconnecter les nuages IPv6
q Topologie virtuelle
§ nuages de machines connectés en IPv6
§ Lancé le 15 Juillet 1996 par 3 sites (WIDE/JP, UNI-
C/DK, G6/FR)
§ Fin en 2006

12
IPv6: Bibliographie
§ IPv6
q http://playground.sun.com/pub/ipng/html
q http://www.urec.cnrs.fr/ip v6/

§ IETF IPv6 WG
q http://www.ietf.org/html.charters/ipngwg-
charter.html

§ Associations :
q http://www.ipv6.org/
q http://www.ipv6forum.com

§ Livre
q Cizault, G. (2005). Ed.: O'Reilly&Associates.
IPv6: Théorie et Pratique – http://livre.g6.asso.fr/
Tran s p aren ts réalisés av ec le s up port du G6

13