Académique Documents
Professionnel Documents
Culture Documents
Introduction
Sécurité
IPv6
Bénédicte LE GRAND
Prométhée SPATHIS
Organisation du module
n 20 h de cours
40 h de TDs et TMEs
Internet Nouvelle Génération n
q 6 séances de TDs
q 4 séances de TMEs
n Intervenants
q Bénédicte Le Grand
Bénédicte Le Grand n Université Pierre et Marie Curie, laboratoire LIP6
Université Pierre et Marie Curie q Prométhée Spathis
Laboratoire CNRS-LIP6
n Université Pierre et Marie Curie, laboratoire LIP6
Benedicte.Le-Grand@lip6.fr q Alice Albano
n Université Pierre et Marie Curie, laboratoire LIP6
1 2
n 1ère session :
n Lundi de 13h15 à 17h30 q Examen réparti 1
n Examen 1 : 30% de la note finale
n Mercredi de 8h30 à 12h45 n Présentation d’article : 10 % de la note finale
q Examen réparti 2
n Mercredi de 13h15 à 17h30
n Examen 2 : 60 % de la note finale
n 2e session :
q Session de rattrapage : 100 % de la note finale
3 4
Présentation orale
n Analyse critique
q Thématique libre ou article de recherche
n Conférence renommée
n http://conferences.sigcomm.org/sigcomm/2011/conf-program.php
5 6
1
Procédure pour le choix de sujet/d’article Prérequis
n Choisir 3 sujets / papiers n Module ARES
q Attention pour les conférences, papier ? session
q IPv4
n Adressage, masques, subdivision de réseau…
n Envoyer un mail à Benedicte.Le-Grand@lip6.fr avec
q Nom (s) q Routage
q Groupe de TD n Intra-domaine
q 1 er choix de papier (papier préféré) q TCP
q 2 e choix de papier n Contrôle de congestion
q 3 e choix de papier q Applications
1 06/02 Introduction
2 13/02 Sécurité 1 13/02 T D Sécurité n Livres
3 20/02 IPv6 2 20/02 T D IPv6
4 27/02 Multicast 3 27/02 T D Multicast q Kurose, J. F. et Ross, K. W. (2002). Ed. : Addison Wesley,
5 05/03 Préparation TM E 1 4 05/03 T ME 1 – Contrôle de Congestion Second Edition. Computer Networking – A Top-Down
6 12/03 Préparation TM E 2 + QoS Approach Featuring the Internet
5 12/03 T ME2 – Qualité de Service
7 19/03 Révisions 6 19/03 T ME IPv6
8 02/04 BGP q Tanenbaum, A. (1997). Ed. : InterEditions, 3e édition.
7 02/04 T D QoS
09/04 Férié (Lundi de Pâques) Réseaux: Architectures, Protocoles, Applications
09/04 ou
8 07/05
T D + T ME BGP
9 30/04 DNS
9 30/04 Séance présentations orales q Pujolle, G : Les Réseaux, Ed. Eyrolles
07/05 ou
10 07/05 Révisions 10 11/05
Révisions
11
12
2
Plan du cours
13 14
17 18
3
Histoire de l'Internet Histoire de l'Internet
1961-1972 : premiers principes de la commutation de paquets 1972-1980 : Interconnexion, réseaux nouveaux et propriétaires
n 1970: réseau de satellites
n 1961 : Kleinrock – (théorie n 1972 : ALOHAnet à Hawaii Principes d'interconnexion de
des files d'attente : efficacité Cerf and Kahn’s :
q Démonstration publique n 1972 : Début des spécifications
prouvée de la commutation de TCP/IP q minimalisme, autonomie –
d'ARPAnet pas de changements
de paquets) n 1973 : la thèse de Metcalfe’s internes requis pour
q NCP (Network Control propose Ethernet
n 1964 : Baran – commutation Protocol) premier protocole interconnecter des réseaux
n 1974 : Cerf and Kahn - Modèle de service "au
de paquets dans les réseaux hôte-hôte architecture pour
q
23 24
4
Utilisateurs d’Internet dans le monde (2009)
Croissance de l’Internet
U tilis a te ur U tilis a te ur
P opula tion P é né tr a tion C r ois s a nc e
R é gions du m onde Inte r ne t Inte r ne t
( 2 0 0 9 E s t.) (% P opula tion) 2 0 0 0 -2 0 0 9
Dec. 31, 2000 (2 0 0 9 )
A fr ique 9 9 1 ,0 0 2 ,3 4 2 4 ,5 1 4 ,4 0 0 8 6 ,2 1 7 ,9 0 0 8 .7 % 1 ,8 0 9 .8 %
A s ie 3 ,8 0 8 ,0 7 0 ,5 0 3 11 4 ,3 0 4 ,0 0 0 7 6 4 ,4 3 5 ,9 0 0 2 0 .1 % 5 6 8 .8 %
E ur ope 8 0 3 ,8 5 0 ,8 5 8 1 0 5 ,0 9 6 ,0 9 3 4 2 5 ,7 7 3 ,5 7 1 5 3 .0 % 3 0 5 .1 %
Moye n Or ie nt 2 0 2 ,6 8 7 ,0 0 5 3 ,2 8 4 ,8 0 0 5 8 ,3 0 9 ,5 4 6 2 8 .8 % 1 ,6 7 5 .1 %
A m é r ique du N or d 3 4 0 ,8 3 1 ,8 3 1 1 0 8 ,0 9 6 ,8 0 0 2 5 9 ,5 6 1 ,0 0 0 7 6 .2 % 1 4 0 .1 %
Oc é a nie / A us tr a lie 3 4 ,7 0 0 ,2 0 1 7 ,6 2 0 ,4 8 0 2 1 ,1 1 0 ,4 9 0 6 0 .8 % 1 7 7 .0 %
TOTA L MON D IA L 6 ,7 6 7 ,8 0 5 ,2 0 8 3 6 0 ,9 8 5 ,4 9 2 1 ,8 0 2 ,3 3 0 ,4 5 7 2 6 .6 % 3 9 9 .3 %
25 26
http://www.internetworldstats.com/stats.htm
Répartition des utilisateurs d’Internet Pays ayant le plus grand nombre d’utilisateurs d’Internet
h ttp ://w w w .i n te rn e tw o rld sta ts.co m/top 2 0.h tm
% P o p u l ati o n G ro w th % o f W o rl d
(2009) #
1
Co u n try o r Reg i o n
Ch i n a
(P en etrati o n )
26. 9 %
2000-2009
1, 500. 0 %
Users
20. 8 %
4 In d ia 7. 0 % 1, 520. 0 % 4. 7 %
14 S p ai n 71. 8 % 440. 0 % 1. 7 %
18 P h i l i p p i n es 24. 5 % 1, 100. 0 % 1. 4 %
20 P o l an d 52. 0 % 615. 0 % 1. 2 %
Taux de pénétration d’Internet (2009) Pays ayant les plus forts taux d’utilisateurs (2009)
HI G
TOHE
PIN
T
S 58
ON
C
R
E
TUT
ERN
N
PE
IST
EWA
RIHIO
T HR
T
NET
AE
5
Comment représenter l’Internet ?
31 32
http://w w w.caida.org/tools/measurement/skitter/visualizations.xml
33 34
http://www.caida.org/tools/visualization/mapnet/Backbones /35 36
http://www.caida.org/tools/visualization/mapnet/Backbones/ http://www.caida.org/research/dns/cl/animated_maps/
6
Index de trafic Rapports de trafic Internet
http://w w w.internettrafficreport.com/main.htm
37 38
http://www.internettrafficreport.com/main.htm
39 40
41 42
http://www.witiger.com/ecommerce/ecommercestatistics.htm
7
“Quaterly Internet ad revenues surpass $4 billions” Revenu SMS & Internet
Revenus générés par l'Internet
par abonné mobile chez AT&T
43 44
http://battellemedia.com/archives/2006/11/internet_revenue_breaks_4_billion http://seekingalpha.com/article/186538-at-t-verizon-and-sprint-mobile-internet-and-texting-crucial
45
www.statcan.ca/Daily/English/050420/d050420b.htm h ttp ://e n -u s .n i e l s e n .c o m /ra n ki n g s /i n s i g h ts /ra n ki n g s /i n te rn e t
47 48
http://www.birds-eye.net/directory/statistics/2011.htm h ttp ://w w w .s c h e rrte c h .c o m /w o rd p re s s /2 0 0 9 /0 5 /1 6 /i n te rn e t- m o b i l e -b ro a d b a n d -s o c i a l -m e d i a - u s a g e -s ta ti s ti c s -2 0 0 9 /
8
Problèmes de la croissance Nombreuses dimensions d’échelle
49 50
destination
q équipement intermédiaire
n Protocole
q Contrôle l'émission et la réception des
données company
51
q TCP, HTTP, FTP, PPP, IP… network 52
53 54
9
Ex d’ISP de Tier-1 : Sprint Tier-1
ISP
Réseau backbone de Sprint US
55 56
10
Plan du cours Principes fondateurs
n Historique n Général
q Réseau numérique à commutation de paquets
n Croissance
n Architecture et gouvernance n Particuliers
n Principes fondateurs q IP
q Implémentation avant standardisation
n Services et applications
61 62
n Standard de fait
n Adressage hétérogène
q Adressage universel
q Procédures de conversion
63 64
11
Modèle en couches Principe du bout en bout
67 68
n Robustesse
q Indépendance de fonctionnement
n Le fonctionnement du système d'extrémité n'est pas lié
à celui du réseau
69 70
71 72
12
Applications Besoins des applications
n Impact des applications dans le réseau
q Débit des données
q Type de trafic (débit constant ou rafales)
Application Pertes Bande passante Sensibilité temp.
q Cible du trafic (multipoint ou destination unique,
mobile ou fixe) Transfert de fichier Sans perte élastique Non
e-mail Sans perte élastique Non
Web Sans perte élastique Non
n Service réseau fourni à l'application Audio/vidéo Temps réel tolérant audio: 5Kb-1Mb oui, 100’s ms
q Sensibilité au délai video:10Kb-5Mb
Audio/vidéo enregistré tolérant similaire oui, quelques s
q Sensibilité à la perte de paquets Jeux interactifs tolérant Quelques kbps oui, 100’s ms
Applis financières Sans perte élastique Oui et non
77 78
13
Voix Codage MIC
E ch an tillons
Vidéo Vidéo
14
Vidéo : qualité de service Applications "perturbatrices"
(Killer Applications)
n Moins sensible que la voix à la variation de n Applications qui perturbent le commerce classique
délai n Difficiles à prédire
q Par exemple, des images peuvent éventuellement n Le Web peut être vu comme l'une des premières, et
être répétées peu l'ont vu venir
n Napster est un autre exemple
n Plus sensible que la voix aux pertes de n Gnutella, Kazaa, edonkey, BitTorrent
paquets
n Messagerie instantanée (icq, messenger)
q Par exemple, la perte d ’une information de
contrôle pour le décodeur peut avoir des n VoIP (skype)
conséquences importantes n Quelles seront les prochaines ?
85 86
87 88
n Mobilité ( UE MOB)
q Nomadisme : changement de connectivité de l'hôte
q Micro-mobilité : déplacement de l'hôte dans un réseau
cellulaire
n Multimédia
q Support des flots continus ( QoS)
89 90
15
Multimédia Contexte actuel de l’Internet : résumé
1 06/02 Introduction
n Adaptation du réseau 2 13/02 Sécurité 1 13/02 T D Sécurité
q Sécurité 3 20/02 IPv6 2 20/02 T D IPv6
q IPv6 4 27/02 Multicast 3 27/02 T D Multicast
5 05/03 Préparation TM E 1 4 05/03 T ME 1 – Contrôle de Congestion
q Multicast
6 12/03 Préparation TM E 2 + QoS 5 12/03 T ME2 – Qualité de Service
q Outils de simulation de réseau 7 19/03 Révisions 6 19/03 T ME IPv6
q Ingénierie de trafic 8 02/04 BGP
7 02/04 T D QoS
09/04 Férié (Lundi de Pâques)
q Architectures de QoS 8 09/04 ou
07/05
T D + T ME BGP
9 30/04 DNS
q Multicast 9 30/04 Séance présentations orales
07/05 ou
10 Révisions
q Routage inter-domaine 10 07/05 Révisions 11/05
94
93
16
Sécurité des réseaux
Sécurité Objectifs
§ Comprendre les § Sécurité en pratique
principes de la sécurité q Firewalls
des réseaux q Attaques et parades
q sécurité dans chaque
§ Cryptographie couche
q Confidentialité § Application
q Authentification § Transport
§ Réseau
q Intégrité des messages
§ Liaison
q Distribution des clés
Amis et ennemis : Alice, Bob, Trudy Qui pourraient être Bob et Alice?
§ Bien connus dans le monde de la sécurité !
§ Bob et Alice veulent communiquer "de manière sûre" § Des êtres humains !
§ Trudy (intruder) peut intercepter, effacer et ajouter § Des serveurs ou browsers Web pour des
des messages transactions électroniques (ex : achats en
ligne)
Alice Bob § Client/serveur de banque en ligne
canal Messages de
données et de § Serveurs DNS
Émetteur
contrôle
Récepteur data
§ Routeurs échangeant des mises à jour de
données
sécurisé sécurisé tables de routage
§ ...
Trudy
1
Il y a des méchants ! Vocabulaire de cryptographie
Q : Que peut faire un "méchant" ?
Clé de Clé de
R : Beaucoup de choses! K
A chiffrement K déchiffrement
d'Alice B de Bob
q Écoute : interception de messages
q Insertion active de messages dans la connection Texte en clair Algorithme Texte chiffré Algorithme Texte en clair
de chiffrement De déchiffrement
q Imitation : falsification (spoof) de l'adresse source
dans le paquet (ou tout autre champ du paquet)
q Détournement : “prise de contrôle” de la connexion
en cours en écartant l'émetteur ou le récepteur et
en prenant sa place
q Déni de service : empêcher le service d'être utilisé Cryptographie à clé symétrique : clés identiques pour
par les autres (ex : en surchargeant les l'émetteur et le récepteur
ressources) Cryptographie à clé publique : clé de chiffrement
publique, clé de déchiffrement secrète (privée)
7 Attaques and parades Avec quelle difficulté peut-on casser un tel chiffrement ?
q Manière brutale ?
8 Sécurité dans plusieurs couches q autre ?
2
AES : Advanced Encryption Standard
Crypto à clé
symétrique : DES
§ Standard NIST à clé symétrique (Nov. 2001)
Algo du DES remplaçant le DES
Permutation initiale
§ Traite les données par blocs de 128 bits
16 boucles identiques
de la fonction § Clés de 128, 192, ou 256 bits
application, utilisant § Le déchiffrement brutal (essai de toutes les
chacune 48 bits clés) prenant 1 sec avec le DES prend 149
différents de la clé
trillions d'annés pour AES
Permutation finale
+
Crypto à clé symétrique
Crypto à clé publique KB Clé publique
de Bob
§ Nécessite le partage § Approche radicalement -
d'une clé entre K B Clé privée de
différente [Diffie- Bob
l'émetteur et le
Hellman76, RSA78]
récepteur
§ L'émetteur et le
§ Q: comment se mettre
récepteur ne partagent
d'accord sur la clé au Message en Algorithme Msg chiffré Algorithme de
pas de clé secrète Message en
départ (surtout s'ils ne clair m de chiffrement +
K (m) déchiffrement clair
se sont jamais § clé de chiffrement B
m= K
- +
( K (m))
publique connue de tous B B
rencontrés) ?
§ la clé de déchiffrement
privée n'est connue que
du récepteur
3
RSA : chiffrement, déchiffrement Exemple RSA :
Bob choisit p=5, q=7. alors n=35, z=24.
0. soient (n,e) et (n,d) calculés comme précédemment
e=5 (e et z premiers entre eux).
1. Pour chiffrer le caractère m, calculer d=29 (ed-1 divisible par z).
e
c = m e mod n (cad le reste de la division de m par n
d
d
c c m = cd mod n lettre
m = (m e mod n) mod n Déchiffrement 17 4 8 1 9 6 8 5 7 2 1 0 6 7 5 0 9 1 5 0 9 1 4 11 8 2 5 2 2 3 0 7 1 6 9 7
12 l
c
RSA : pourquoi ? d
m = (me mod n) mod n
RSA : autre propriété importante
résultat intéressant de la théorie des nombres : La propriété suivante sera très utile plus tard:
Si p,q premiers et n = pq, alors :
y y mod (p-1)(q-1) - + + -
x mod n = x mod n K (K (m)) = m = K (K (m))
B B B B
e d ed
(m mod n) mod n = m mod n
ed mod (p-1)(q-1) Utiliser la clé Utiliser la clé
= m mod n
(en utilisant le résultat ci-dessus)
publique, PUIS privée, PUIS la
la clé privée clé publique
1
= m mod n
(puisqu’on a choisi ed ainsi Le résultat est le même !
= m
Plan Authentification
1 Qu'est-ce que la sécurité ?
Principes de cryptographie But : Bob veut qu'Alice lui “prouve” son identité
2 Confidentialité
Protocole ap1.0: Alice dit “Je suis Alice”
3 Authentification
4 Intégrité
“Je suis Alice”
5 Distribution de clés et certification Scénario d'échec ?
6 Contrôle d'accès : firewalls
7 Attaques and parades
8 Sécurité dans plusieurs couches
4
Authentification Authentification : autre tentative
Alice’s
IP address “Je suis Alice”
Dans un réseau,
Bob ne peut pas "voir” Scénario d'échec ?
Alice, alors Trudy dit
“Je suis Alice” simplement qu'elle est
Alice
Protocole ap3.0 : Alice dit “Je suis Alice” et envoie son mot Protocole ap3.1 : Alice dit “Je suis Alice” et envoie son mot
de passe secret pour le prouver. de passe secret chiffré pour le prouver.
Ali ce’ s Ali ce’ s “Je sui s Ali ce” Ali ce’ s encrypted"Je sui s Ali ce”
IP addr passw ord Attaque par rejeu IP addr passw ord
5
Authentification : encore un autre essai Authentification : encore un autre essai
Protocole ap3.1 : Alice dit “Je suis Alice” et envoie son mot But : éviter l'attaque du rejeu
de passe secret chiffré pour le prouver. Nonce: nombre (R) utilisé seulement-une-fois
ap4.0: pour prouver qu'Alice est là “en live”, Bob envoie à
Alice un nonce, R.
Alice doit renvoyer R, chiffré avec la clé secrète
Ali ce’ s encryppted
“Je sui s Ali ce” L'enregistrement et le
IP addr passw ord
rejeu fonctionnent “Je suis Alice”
Ali ce’ s encore !
IP addr
OK R
Alice est en live,
KA-B (R) et seule Alice
I Ali ce’ s encrypted connaît la clé pour
m “Je sui s Ali ce”
IP addr passw ord chiffer nonce,
Scénario d’échec, inconvénients ? donc ça doit être
Alice!
6
Signatures numériques Comment “signer” un message ?
7
Algorithmes de fonctions de hachage Plan
§ Fonction de hachage MD5 largement utilisée (RFC 1 Qu'est-ce que la sécurité ?
1321) ATTENTION ! Principes de cryptographie
q Calcule un message digest de 128 bits en 4 2 Confidentialité
étapes.
3 Authentification
q Il est difficile, à partir d'une chaîne aléatoire de
128 bits, de construire un msg m dont l hash 4 Intégrité
MD5 est égal à x. 5 Distribution de clés et certification
§ SHA-1 est également utilisé. 6 Contrôle d'accès : firewalls
q Standard américain [NIST, FIPS PUB 180-1]
7 Attaques and parades
q Message condensé de 160 bits
8 Sécurité dans plusieurs couches
Problème des clés Problème des clés § Alice et Bob doivent partager une clé symétrique.
symétriques publiques : § KDC : le serveur partage une clé secrète différente
§ Comment 2 entités établissent- § Quand Alice obtient la clé avec chaque utilisateur enregistré (nombreux
elles une clé secrète partagée publique de Bob (à partir
à travers un réseau ? d'un site Web, d'un e-mail, utilisateurs)
d'une disquette), comment § Alice et Bob possèdent leur propre clé symétrique
sait-elle que c'est la clé
Solution : publique de Bob, et pas KA-KDC KB-KDC , pour communiquer avec le KDC.
§ Centre de distribution de clé de celle de Trudy ? KDC
confiance (KDC) agissant K
KA-KDC P-KDC
comme un intermédiaire entre KX-KDC
les entités
Solution : KP-KDC KB-KDC Imp
§ Autorité de certification de ossi KY-KDC
confiance (CA) bl
KZ-KDC
KB-KDC
KA-KDC
8
Autorités de certification Un certificat contient :
§ Un numéro de série (unique pour chaque émetteur)
§ Quand Alice veut la clé publique de Bob : § info sur le propriétaire du certificat, y compris
q Elle obtient le certificat de Bob (par Bob ou l'algorithme et la valeur de la clé elle-même
autre). § info sur
q Elle applique la clé publique du CA au l'émetteur
certificat de Bob et obtient la clé publique de du certificat
Bob. § Dates de
+I digital Bob’ s validité
K Bm signature publi c
p
(decrypt) KB
+
key § Signature
numérique
CA
de
publi c K+
CA
key l'émetteur
I
m
Plan Firewalls
9
Filtrage de paquets Gateway applicative gateway-to-remote
host telnet session
§ Filtre les paquets en fonction host-to-gateway
§ Exemple 1 : blocage des datagrammes IP des données applicatives telnet session
entrants et sortants avec le champ protocole = aussi bien qu'en fonction des
application router and filter
champs IP/TCP/UDP. gateway
17 et avec le port source ou destination = 23.
§ Exemple : permettre à des
q Tous les flux UDP entrants et sortants, ainsi
utilisateurs internes
que les connexions telnet, sont bloqués. autorisés d'effectuer un
§ Exemple 2 : Blocage des segments TCP telnet à l'extérieur.
entrants avec ACK=0. 1. Nécessite que tous les utilisateurs de telnet passent par
q Empêche les clients extérieurs de faire des la gateway.
connexions TCP avec des clients internes, 2. Pour des utilisateurs autorisés, la gateway établit une
connexion telnet à l'hôte de destination. La gateway fait
mais permet aux clients internes de se
transiter les données entre les 2 connexions.
connecter à l'extérieur.
3. Le filtre du routeur bloque toutes les connexions telnet ne
provenant pas de la gateway.
Parades ?
10
Menaces de sécurité sur Internet Menaces de sécurité sur Internet
Reniflement de paquets (packet sniffing) : Packet sniffing : parades
q Médium à diffusion q Tous les hôtes d'une organisation utilisent des
q Une machine proche lit tous les paquets qui logiciels vérifiant périodiquement si l'interface
passent de l'hôte est en mode promiscuous.
q peut lire toutes les données en clair (par ex les q Un hôte par segment du médium à diffusion
mots de passe) (switched Ethernet at hub)
q Ex : C sniffe les paquets de B A C
A C
B B
SYN SYN
Parade ?
SYN SYN
11
Plan E-mail sécurisé
1 Qu'est-ce que la sécurité ? q Alice veut envoyer un email sécurisé m à Bob.
Principes de cryptographie KS
m .
K S( )
KS(m ) KS(m )
K S( ) . m -
KA K+
A
- -
+ Internet - KS m H(.) K (.)
-
A
KA(H(m)) KA(H(m))
KA( )
+ . H(m )
KS
+
KB( ). + +
-
KB( ) . + Internet - compare
KB(KS ) KB(KS )
K+
B KB
-
m H( ) . H(m )
m
Bob :
q utilise sa clé privée pour déchiffrer et retrouver KS • Alice signe numériquement le message.
q utilise KS pour déchiffrer KS(m) pour retrouver m • envoie à la fois le message (en clair) et la signature
numérique.
12
Secure sockets layer (SSL) SSL (suite)
Session chiffrée avec SSL :
§ Le browser génère une clé de § SSL : base du
§ Sécurité de niveau § Authentification du serveur : Transport Layer
transport pour toute session symétrique , la chiffre
q Le browser SSL-capable Security (TLS) de
application basée sur TCP contient les clés publiques
avec la clé publique du serveur
utilisant des services SSL. pour les CAs de confiance. et envoie la clé chiffrée au l'IETF.
serveur.
§ Utilisé entre des browsers q Le browser demande le § SSL peut être utilisé
Web, des serveurs pour le
certificat du serveur, fourni § En utilisant la clé privée, le pour des applications
par un CA de confiance. serveur décriffre la clé de
commerce électronique. q Le browser utilise la clé non-Web, ex : IMAP.
session.
§ Services de sécurité : publique du CA pour
extraire la clé publique du § Le browser et le serveur § L'authentification du
q Authentification du
serveur du certificat. connaissent la clé de session client peut être
serveur
q Vérifier le menu de sécurité q Toutes les données envoyées effectuée avec des
q Chiffrement des données de votre browser pour voir
dans la socket TCP (par le certificats de client.
q authentication du client ses CAs de confiance.
client ou par le serveur) sont
(optionnel)
chiffrées avec la clé de
session.
13
Sécurité dans IEEE 802.11 802.11 : chiffrement WEP
Impossible dœafficher lœimage.
§ Wired Equivalent Privacy (WEP) : chiffrement des
données
q L'hôte et le point d'accès partagent une clé
symétrique de 40 bits (semi-permanente)
q L'hôte ouvre un vecteur d'initialisation (IV) de 24
bits pour créer une clé de 64 bits
q Le clé de 64 bits est utilisée pour générer un flux
de clés, kiIV
IV
q ki est utilisée pour chiffrer le i-ème octet, di : Sender-side WEP encryption
ci = di XOR kiIV
q IV et les octets chiffrés, ci sont envoyés dans la
trame
Ressources
§ Livre
§ Computer Networking : A Top Down Approach
Featuring the Internet,
2n d edition.
Jim Kurose, Keith Ross
Addison-Wesley, July 2002.
14
Histoire
§ Années 90:
IPv6 q
q
Croissance exponentielle
Risque de pénurie d'adresses
§ En Janvier 1996
Pourcentage d'adresses allouées
Class A - 100.00%
Class B - 61.95%
Class C - 36.44%
Ä Problèm e sur la taille de l'espace d'adressage
§ De 10.0.0.1 à 10.255.255.254
128.1.2.3 10.1.1.1
§ De 172.16.0.1 à 172.31.255.254
193.1.1.1-> 128.1.2.3 10.1.1.1->128.1.2.3
§ De 192.168.0.1 à 192.168.255.254 128.1.2.3->193.1.1.1 128.1.2.3->10.1.1.1
Internet entreprise
Official address pool
1
NAT Pourquoi un Nouveau Protocole IP ?
§ Inconvénients : § Une solution pour les problèmes de croissance:
§ Avantages : q Sensible au facteur d'échelle
q Actuellement la taille de l'Internet double tous les 14 mois
§ épuisement des adresses IP
q Réduit le besoin q Introduit un état dans le § explosion de la taille des tables de routage
d'adresses globales réseau: § Autres motivations
q Facilite le déploiement § Redémarrage q Accélérer le traitement du datagramme
de plan privé § Changement de route q Prendre en compte de nouvelles contraintes
q Transparent aux q Traitement complexe § Faciliter la QoS
§ Routage vers le meilleur serveur parmi un ensemble de serveurs en miroir
applications q En défaut par rapport à une q Pour de nouveaux réseaux
q Securité ? : filtrage approche "peer -to-peer" § Réseaux mobiles
§ Frein aux nouvelles § Réseaux personnels, domotique …
applications q Ajouter de nouvelles fonctionnalités
q Sécurité ? : authentification+ § Autoconfiguration
§ Multicast
chiffrement
§ Sécurité
§ Mobilité
2
IPv4 : En-tête IPv6 : En-tête
32 bits 32 bits
5 m ots de 64 bits 4 bits 8 bits
Ver. IHL ToS Total Length
20Octets
Vers Class Flow Label
Identifier flags fragment
Payload Length Next Header Hop Lim it
TTL Protocol Checksum
16 bits 8 bits
Source Address
Destination Address Source Address
(128 bits)
40 octets
Options
Destination Address
§ Total Length (TL) --> Payload Length (128 bits)
§ Alignement 32 --> 64 bits
§ Fragmentation dans les hôtes
3
Nouvelles Procédures
§ Neighbor Discovery (ND) (RFC 2461)
q Résolution d'adresses Adressage
q Détection d'inaccessibilité (NUD)
§ Autoconfiguration
q Stateless Address Autoconfiguration (RFC 2462)
q Stateful Address Autoconfiguration
§ DHCPv6 : Dynamic Host Configuration Protocol (draft)
§ Path MTU discovery (pMTU) (RFC 1981)
q MTU : Taille maximale du paquet (sans fragmentation)
§ Efficacité de transfert : E/L
q PMTU : minimum des MTU des liens traversés
§ Plus de fragmentation dans les routeurs
§ Par défaut : 1280 octets
§ On peut indiquer qu’une adresse fait partie d’un § Pour la migration v4/v6
réseau dont le préfixe est de longueur déterminée q IPv4 mapped
(netmask) q IPv4 compatible
5F06:B500:8158:1A00::1/80 q 6to4
4
Espace d'Adressage IPv6 Adresse Unicast
Reserved 0000 0000 1/256
Unassigned 0000 0001 1/256
Reserved for NSAP Allocation 0000 001 1/128 § Communication 1 vers 1
Unassigned 0000 010 1/128
Unassigned 0000 011 1/128 § Adressage hiérarchique
Unassigned 0000 1 1/32 q Localisation du réseau
Unassigned 0001 1/16 q Identification de la machine dans le réseau
Aggregatable Global Unicast Addresses 001 1/8 [RFC2374]
Unassigned 010 1/8 64 128- 64
Unassigned 011 1/8
Unassigned 100 1/8 Subnet prefix Interface ID
Unassigned 101 1/8
Unassigned 110 1/8
Unassigned 1110 1/16
q Interface ID :
Unassigned 1111 0 1/32
Unassigned 1111 10 1/64 § A partir de l'adresse MAC : EUI -64
Unassigned 1111 110 1/128 § Aléatoire
Unassigned 1111 1110 0 1/512 § Autres ...
Link-Local Unicast Addresses 1111 1110 10 1/1024
Site-Local Unicast Addresses 1111 1110 11 1/1024
Multicast Addresses 1111 1111 1/256
24 bits 16 bits 24
bits
ug vendor 0xFFFE serial number
29
NLA 35
0000 000X XXXX X 2001:0000::/29 - 2001:01F8::/29 IANA
0000 001X XXXX X 2001:0200::/29 - 2001:03F8::/29 APNIC
0000 010X XXXX X 2001:0400::/29 - 2001:05F8::/29 ARIN
SLA 0000 011X XXXX X 2001:0600::/29 - 2001:07F8::/29 RIPE-NCC
5
Exemple : Renater Adresse de Test RFC 2371
§ sTLA alloué : 2001:0660::/35 § TLA du 6Bone: 0X1FFE
2001:0660:xxx- ---- ---- ----::/48 § Préfixe du 6Bone: 3FFE::/16
Point accès Sites
§ Attribution de pTLA par ngtrans WG
q http://www.6bone.net/6bone_pTLA_list.html.
/35 /41
q G6/FR : 3FFE:0300::/24
2001:0660::/35
2001:0660:0080::/41 NIO Renater-2
2001:0660:0100::/41 Ile de France
2001:0660:0180::/41 Grenoble 3 13 x 32-x 16 64
2001:0660:0200::/41 Strasbourg
2001:0660:0280::/41 Rennes 001 1FFE pTLA pNLA SLA Interface ID
2001:0660:1000::/41 INRIA
2001:0660:1080::/41 FT R&D
FE80
FF
Flag: 00 0T Scope
T=0 pe rm a ne nte
T=1 te m pora ire 1 : Node local
2 : Link local
5 : Site local
§ Groupes ID prédéfinis 8 : Org. local
q 1 noeuds E : Global
q 2 routeurs
q 9 routeurs utilisant RIP
Remarque :
§ Multicast sollicité Les @ multicast sont
q FF02::1:FF00:0/104 traduites en @ MAC et
q 24 derniers bits extraits de l'adresse mises dans la carte
unicast IPv6 Ethernet. (RFC 2464)
q Pour la résolution d'adresses IPv6
6
Adresse Particulière
§ Adresse de bouclage :
q 0:0:0:0:0:0:0:1 => ::1 Nouvelles Procédures
§ Adresse indéterminée:
q 0:0:0:0:0:0:0:0 => ::
q Ne peut jamais être adresse destination
7
Auto-configuration
Transition
Internet
Routeur Machine
2. RS 4. DHCP
3. RA 1. NS
Procédure DAD
T0 T1 T2 temps
8
Piles IPv6 Compatibilité des applications
v4
IPv6 IPv4
3ffe:305:1002::1->3ffe:305:1002::2
9
Tunnel Automatique Tunnel Configuré
IPv6/IPv4
v6 v6
IPv6/IPv4
IPv6 IPv6
IPv4
IPv4
6 To 4 (RFC 3056) 6 to 4
§ Une autre manière de construire une infrastructure tunnelée
DNS
q Configuration simplifiée
§ Pas de tunnels configurés
q Plan d'adressage spécial
§ Préfixe: 2002::/16
3 13 32 16 64
1.2.3.4
B
001 0x0002 IPv4ADDR SLA Interface ID
relay
relay
relay
192.1.2.3 128.1.2.3
A
10
Traduction d’en-tête IPv6 – IPv4
Stratégie de migration
v6
v4
IP v4
v4
IP v6
v4 NFS
NFS
v4 /v6
routers v4 /v6
web pop
v4 web pop ro u te rs
v4 /v6
client
IPv4 Internet IPv4 Internet
v4 client
v4
routers v4
client Exit router ro u te rs
v4 client Exit router
NATv 4+ v4
NATv 4+
IPv4 site ALG
v4/v6 site ALG
IP v4 o n l y h o s t
H yb ri d v4 /v6 h o s t
IP v4 o n l y ro u te r
H yb ri d v6 /v6 ro u te r
IP v4 o n l y n e tw o rk
H yb ri d v4 /v6 n e tw o rk
IPv4 Internet
NFS v4 /v6
NFS
v 4 /v6
v4 /v6 v4 /v6
web pop ro u te rs web pop ro u te rs
v4 /v6
v4 /v6
tunnel
client client IPv4 Internet client
v4 /v6
client 6bone
v4 /v6
11
Phase 4 : hôtes IPv6 Phase 5 : Hôtes IPv6 avec des serveurs IPv4
IP v6 o n l y h o s t
IP v6 o n l y ro u te r
IP v6 o n l y n e tw o rk
Le 6-bone
§ Premier Réseau IPv6
Premières expériences q Réseau expérimental
§ pré-déploiement de l’Internet version 6
q construit au dessus de l’Internet IPv4
§ tunnel IPv4 pour interconnecter les nuages IPv6
q Topologie virtuelle
§ nuages de machines connectés en IPv6
§ Lancé le 15 Juillet 1996 par 3 sites (WIDE/JP, UNI-
C/DK, G6/FR)
§ Fin en 2006
12
IPv6: Bibliographie
§ IPv6
q http://playground.sun.com/pub/ipng/html
q http://www.urec.cnrs.fr/ip v6/
§ IETF IPv6 WG
q http://www.ietf.org/html.charters/ipngwg-
charter.html
§ Associations :
q http://www.ipv6.org/
q http://www.ipv6forum.com
§ Livre
q Cizault, G. (2005). Ed.: O'Reilly&Associates.
IPv6: Théorie et Pratique – http://livre.g6.asso.fr/
Tran s p aren ts réalisés av ec le s up port du G6
13