Vous êtes sur la page 1sur 44

Capgemini France

Outsourcing Services Rseaux & Scurit Tour Anjou Puteaux 33, quai de Dion Bouton 92814 Puteaux cedex +33(0)1 41 26 51 00 +33(0)1 41 26 51 01

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

SNEP

Type : Usage : Version : Date : Statut : Auteur : Rfrence :

Rapport de mission Confidentiel 3.0 01/07/2004 Approuv Capgemini France CAP/OS/RM02070

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

APPROBATION DU DOCUMENT
Organisme ou entreprise SNEP CAPGEMINI Nom Date Visa

M.GOLDSMITH M.FRESNEL 01/07/2004

DIFFUSION
Destinataire Organisme ou entreprise Nombre Pour action Pour info

M. GOLDSMITH M.FRESNEL

SNEP Capgemini France

1 1

X X

MISES A JOUR
Version Date Auteur Motifs

V1.0 V2.0 V3.0

29/06/2004 30/06/2004 01/07/2004

Capgemini France Capgemini France Capgemini France

Cration Modification Modification

Capgemini France Outsourcing Services


Confidentiel

Page : 2 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

SOMMAIRE
1.
RAPPEL DU CONTEXTE DE LA MISSION ....................................................................................................4

1.1 1.2 1.3 2. 3.

Objectifs de la mission....................................................................................................................4 Dmarche adopte..........................................................................................................................4 Droulement de la mission .............................................................................................................7

PRESENTATION DU DOCUMENT...............................................................................................................8 SYNTHESE GENERALE .............................................................................................................................9 3.1 3.2


3.2.1 3.2.2

Analyse de l'existant .......................................................................................................................9 Filtrage des flux..............................................................................................................................9


Objectifs .....................................................................................................................................................................9 Solutions envisages.................................................................................................................................................10

3.3 3.4 4. 4.1


4.1.1 4.1.2 4.1.3 4.1.4 4.1.5

Solution maquette .......................................................................................................................10 Impacts .........................................................................................................................................10 Expression du besoin ....................................................................................................................11


Dfinitions................................................................................................................................................................11 Contexte ...................................................................................................................................................................13 Moyens d'change de contenu "P2P"........................................................................................................................16 Identification des flux P2P .......................................................................................................................................20 Types d'architectures et localisation .........................................................................................................................22

RAPPORT ...............................................................................................................................................11

4.2
4.2.1 4.2.2 4.2.3 4.2.4

Choix de Solution .........................................................................................................................25


Solutions du march .................................................................................................................................................25 Grille de critres pondrs........................................................................................................................................28 Grille de critres nots..............................................................................................................................................30 Conclusion................................................................................................................................................................31

4.3 4.4
4.4.1 4.4.2 4.4.3

Elements de cout...........................................................................................................................32 Maquette .......................................................................................................................................37


Architecture ..............................................................................................................................................................37 Protocole test ............................................................................................................................................................38 Recette et commentaires...........................................................................................................................................39

4.5 5.

Impacts .........................................................................................................................................43

CONCLUSION.........................................................................................................................................44

Capgemini France Outsourcing Services


Confidentiel

Page : 3 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

1.
1.1

RAPPEL DU CONTEXTE DE LA MISSION


OBJECTIFS DE LA MISSION

Une socit tierce a ralis pour le compte du SNEP une tude de faisabilit technique des outils de filtrage sur haut dbit, ayant pour objectifs :

Etudier les solutions de filtrage sur les rseaux haut dbit. Tester un systme de filtrage dans le cadre dune dmonstration de faisabilit. Proposer des recommandations.

Cette socit sera dsigne la socit VALERIE dans le reste du document. Capgemini a rpondu aux besoins suivants exprims par le SNEP : 1. Valider la mthodologie des tests raliss par la socit VALERIE 2. Valider les tests raliss par la socit VALERIE. 3. Valider la faisabilit de limplmentation de la solution retenue. 4. Mettre plat les besoins de service continus de cette architecture pour en assurer la prennit et le bon fonctionnement. 5. Raliser une prsentation crite et orale de ltude.

1.2

DEMARCHE ADOPTEE

La dmarche adopte au cours de cette mission rpond un double objectif, tout dabord satisfaire les attentes prcdemment cites et enfin garantir le bon droulement de la mission quant son organisation et la formalisation des rsultats attendus de la part du SNEP. La dmarche adopte se compose de six phases distinctes : 1. Lancement. 2. Etude de lexistant. 3. Approfondissement. 4. Tests. 5. Etude dimpacts 6. Rdaction du rapport de mission. Remarque importante : Les phases 3 et 4 ont t rendues ncessaires pour paliers aux insuffisances constates lors des phase 1 et 2. Capgemini en corrlation avec le SNEP a pris linitiative de rajouter des volets techniques et mthodologiques au sein de ltude de VALERIE .
Capgemini France Outsourcing Services
Confidentiel

Page : 4 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

Les tableaux suivants dtaillent ces phases.

Phase 1 - Lancement Objectifs Durant cette brve tape de dmarrage, Capgemini tablit lorganisation pour la la mission en sa totalit, en incluant la dfinition de lquipe projet et la dfinition des rles et des responsabilits. Capgemini conduit aussi une runion de lancement avec le SNEP et avec la participation dun reprsentant de la socit VALERIE . Sa finalit est dintroduire lquipe projet avec la mthodologie de Capgemini et de dfinir les tapes initiales de la mission. Le compte rendu de la runion de lancement documente le primtre, les objectifs, lapproche, les livrables et le planning du projet.

Dtails des activits

Livrables

Fourniture par Capgemini du document suivant : Compte rendu de la runion de lancement.

Phase 2 - Etude lexistant Objectifs Dtails des activits Cette seconde phase consiste en lanalyse de la documentation et des travaux effectus par la socit VALERIE . Une prsentation succincte des travaux raliss par VALERIE au dmarrage de la phase a t ralise au dmarrage de la phase. La prise en compte des aspects fonctionnels, techniques et organisationnels seffectue au travers de runions de travail avec les interlocuteurs de la socit VALERIE .

NOTA : Il nexiste pas proprement parler dun document dexpression des besoins. La socit VALERIE a mis disposition de Capgemini la premire version de la documentation une semaine aprs le dmarrage de la mission. Les documents de test nexistent pas. dune premire version de la

Livrables

Fourniture par la socit VALERIE documentation : Rseaux P2P.

Modes de filtrage & solutions du march. VALERIE sest appuy sur la documentation accessible ( datasheets des constructeurs) en ligne sur les sites Internet associs. Protocole exprimental.

Capgemini France Outsourcing Services


Confidentiel

Page : 5 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

Phase 3 - Approfondissement Objectifs Cette troisime phase vise approfondir avec la socit VALERIE ltude principalement sur les axes suivants : Mthodologie : dfinir des critres permettant didentifier et de classer les diffrentes solutions susceptibles de rpondre au besoin de filtrage sur haut dbit. Architectures : prendre en compte les diffrentes architectures de collecte haut dbit. Tests : dfinir les scnarii de test et les rsultats attendus. Economie : donner une estimation du cot dacquisition de la solution.

Cette phase est conclue par la slection dune solution de filtrage qui sera teste dans la phase suivante. Dtails des activits La prise en compte des aspects fonctionnels, techniques et organisationnels seffectue au travers de runions de travail avec les interlocuteurs de la socit VALERIE . Fourniture par la socit VALERIE dun complment dtude : Synthse des solutions de filtrage suivant les critres dfinis Topologies ADSL et cbles Protocole de test

Livrables

Phase 4 - Tests Objectifs Cette quatrime phase vise tester et valider la solution slectionne prcdemment dans un environnement de test. Laccent sera mis sur les aspects suivants : Dtails des activits Architecture rseau. Protocoles. Charges. Administration.

Les principales activits ralises durant cette phase sont les suivantes : NOTA : Les tests sont raliss en prsence de Capgemini et de VALERIE . Prparation de lenvironnement de test. Finalisation des tests effectuer. Ralisation des tests. Ralisation dun bilan des tests.

Livrables

Production par Capgemini du document : Bilan des tests.

Capgemini France Outsourcing Services


Confidentiel

Page : 6 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

Phase 5 Etude dimpacts Objectifs Dtails des activits Cette cinquime phase vise prsente une tude dimpact. Seulement les impacts techniques sont considrs dans cette phase. Les principales activits ralises durant cette phase sont les suivantes : Livrables Ralisation dune tude dimpact.

Le rsultat de cette tude dimpact figure dans le rapport de la mission.

Phase 6 Rdaction du rapport de mission Objectifs Dtails des activits Cette dernire phase vise prsenter au SNEP un rapport de mission. Les principales activits ralises durant cette phase sont les suivantes : Livrables Rdaction du rapport de mission. Sminaire de restitution.

Fourniture par Capgemini de la documentation suivante : Rapport de mission accompagn dune prsentation de synthse.

1.3

DEROULEMENT DE LA MISSION

Afin de raliser la mission, Capgemini dispose dun dlai de 25 jours ouvrs, exploit de la faon suivante : Entretiens avec les interlocuteurs techniques et fonctionnels. Prise en compte des objectifs, enjeux et contraintes du SNEP. Validation et approfondissement. Rdaction et prsentation du rapport de mission.

Les entretiens avec les interlocuteurs techniques de la socit VALERIE ont port essentiellement sur les thmes suivants : Identification et classification des rseaux dchange. Identification et classification des solutions de filtrage. Prise en compte des architectures des rseaux haut dbit en France (DSL, cbles). Dfinition dhypothses pour le dploiement et chiffrage dun dploiement.

Nous tenons remercier lensemble de nos interlocuteurs pour leur disponibilit et leur parfaite collaboration, qui nous a permis datteindre nos objectifs dans les meilleures conditions defficacit.

Capgemini France Outsourcing Services


Confidentiel

Page : 7 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

2.

PRESENTATION DU DOCUMENT

Conformment aux objectifs de la mission ainsi quau droulement de cette dernire, le prsent document formalise les diffrentes rflexions sur la base des diffrentes tudes ralises par la socit VALERIE pour les solutions de filtrage sur les rseaux haut dbit. Ce document doit permettre au SNEP dobtenir une visibilit globale sur la faisabilit technique des solutions possibles aujourdhui en ce qui concerne le filtrage sur les rseaux haut dbit. Les options envisageables sont matrialises et argumentes. Une maquette est galement dcrite. Les diverses rflexions menes lors de cette mission tiennent compte dans la mesure du possible des facteurs environnementaux suivants : Architectures de collecte haut dbit des FAIs. Implmentation. Prennit des solutions de filtrage. Prix des solutions.

La conduite de cette mission doit sappuyer sur une connaissance prcise du contexte et des objectifs du SNEP ainsi que des contraintes associes. Le caractre confidentiel de la mission a t galement pris en compte. La premire partie du document permet dobtenir une certaine visibilit quant ce contexte, en prenant en compte les aspects techniques, fonctionnels et organisationnels. La seconde partie identifie un ensemble de critres cls permettant de caractriser les solutions de filtrage. Ces critres servent galement de point de comparaison entre les diffrentes solutions. Une indication sur le prix dacquisition est donne. La troisime partie identifie la solution retenue pour maquettage lissue de ltude comparative. La quatrime partie prsente la maquette ralise pour valider la solution retenue dans un environnement de test. Enfin, dans une dernire partie, nous prsenterons les impacts en regard de notre comprhension du contexte, des objectifs et attentes du SNEP. Nota Nous tenons rappeler que lobjectif de cette mission est ltude de faisabilit dune solution de filtrage. Il ne constitue pas un document de spcifications pour un FAI.

Capgemini France Outsourcing Services


Confidentiel

Page : 8 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

3.

SYNTHESE GENERALE

3.1

ANALYSE DE L'EXISTANT

Le parc dabonnement Internet haut dbit a plus que doubl en 2003, passant de 1,6 3,5 millions dabonns. Les Fournisseurs dAccs Internet (FAI) offrent un service de bande passante sur Internet ses abonns. Ce service est assur par une architecture de type ADSL ou Cble. Ces rseaux ont favoris le dveloppement de rseaux dchanges de fichiers de diffrents formats (musique, films). Nous pouvons comme exemple de rseaux P2P : WPNP, FastTrack, eDonkey2K, Overnet, BitTorrent, SoulSeek, MP2P, Direct Connect, Gnutella, Earthstation 5, Filetopia, Mediaseek, Freenet, JXTA.

3.2
3.2.1

FILTRAGE DES FLUX


Objectifs

Nous entendons par filtrage la capacit limiter un type de flux (pralablement identifi). Le blocage est de fait un niveau de filtrage maximum. Diffrents modes de filtrage existent :

Filtrage URL ou adresse IP : Ce moyen est adapt pour interdire laccs des sites qui proposent des contenus illgaux mais ne rpond pas aux impratifs de neutralisation du P2P

Filtrage des Ports : Cest un moyen basique pour filtrer certains ports qui sont spcifiques aux rseaux P2P, mais des moyens de contournements existent qui rendraient trs rapidement inoprante cette solution si elle constituait lunique filtrage mis en place.

Filtrage des Protocoles : Cest, de loin, le moyen le plus efficace, et celui qui prsente les plus grandes garanties de pouvoir tre adapt lvolution des technologies P2P

Filtrage des Contenus : Cest, sur le papier une bonne solution, mais il est en ltat impossible denvisager sa mise en uvre grande chelle. Les ressources ncessaires aux processus d'identification des contenus sont lourdes. L'encryptage utilis sur certains protocoles P2P rend difficile, voir inefficace ce type de filtrage.

Capgemini France Outsourcing Services


Confidentiel

Page : 9 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

3.2.2

Solutions envisages

Il existe trois types de solutions de filtrage :

Les outils doptimisation de rseaux : Les outils de QoS (Qualit de service) grent les priorits des flux. Ils peuvent ainsi limiter ou bloquer le dbit pour un type de flux donn, et garantir de la sorte une qualit de service pour les flux de donnes critiques.

Les sondes IDS/IDP : Ces sondes permettent la dtection et la prvention des attaques Internet, en analysant chaque paquet afin dy trouver soit un comportement soit une signature connue.

Les flow-based switch : Ces commutateurs agissent par classification des flux. On diffrencie ainsi le trafic interactif du trafic non interactif qui est typiquement un trafic P2P.

Nous avons shortlist pour la prsente tude trois solutions du march : ALLOT, Packeteer et Ellacoya. Nous avons tudi ces solutions sur la base de critres : reconnaissance du filtrage, actions de filtrage, performances, administration et implmentation. A lissue de cette tude, une nouvelle shortlist a t dfinie avec les deux solutions ALLOT et Ellacoya. Ces deux solutions semblent en mesure de pouvoir rpondre la problmatique de filtrage sur haut dbit.

3.3

SOLUTION MAQUETTEE

Une maquette avec la solution ALLOT a t ralise. Elle a permis dadresser favorablement les deux objectifs suivants : Tests quantitatifs : Limitation des flux P2P et capacit traiter un trafic Gigabit. Tests qualitatifs : Identification et blocage des flux P2P.

3.4

IMPACTS

Les impacts sont dordre technique (exemples : scurit, intgration dans les architectures FAI, performances, supervision) ou lis la prennit des solutions de filtrage (veille technologique, maintenance

Capgemini France Outsourcing Services


Confidentiel

Page : 10 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

4.
4.1
4.1.1

RAPPORT
EXPRESSION DU BESOIN
Dfinitions Filtrage

Nous entendons par filtrage la capacit limiter un type de flux (pralablement identifi). Le blocage est de fait un cas particulier du filtrage.

Rseaux haut dbit Les rseaux haut dbit existent depuis une dizaine dannes et ont tout dabord t dvelopps pour recevoir la tlvision par le rseau tlphonique classique sans occuper une ligne tlphonique. Le rapide dveloppement des technologies de linformation a fait apparatre de nouveaux services consommateurs de capacit de transmission. Laccs rapide Internet, la visioconfrence, linterconnexion des rseaux P2P, le tltravail, la distribution de programmes TV et la VoIP (voix sur IP avec les offres de Free et de France Telecom) sont des exemples de ces nouveaux services multimdia que lusager dsire obtenir domicile ou au bureau. Un accs Internet est caractris par la bande passante alloue un internaute par son fournisseur daccs Internet. Nous parlons de haut dbit lorsque quun FAI offre un service daccs permanent dau moins 128 Kbit/s.

Rseaux ADSL Le systme ADSL1 (Asymmetric Digital Subscriber Line) permet de faire coexister sur une mme ligne un canal descendant (downstream) de haut dbit, un canal montant (upstream) moyen dbit ainsi quun canal de tlphonie. Le standard ADSL, finalis en 1995, prvoit : Un canal tlphonique avec raccordement analogique. Un canal montant avec une capacit maximale de 800 Kbit/s. Un canal descendant avec un dbit maximal de 8192 Kbit/s.

Comme pour toutes les technologies DSL, la distance de boucle entre le central (DSLAM) et lutilisateur ne doit pas dpasser certaines limites afin de garantir un bon dbit des donnes. Le tableau suivant prcise les dbits en fonction de la distance et du diamtre du cble

Dans les pays francophones, le terme ADSL est parfois remplac par LNPA qui signifie Ligne Numrique Paire Asymtrique . Rf. : CAP/OS/RM020704 Version : 3.0

Capgemini France Outsourcing Services


Confidentiel

Page : 11 / 44

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

Downstream [Kbit/s] 2048 2048 4096 4096 6144 6144 8192 8192

Upstream [Kbit/s] 160 160 384 384 640 640 800 800

diamtre du fil [Mm] 0.4 0.5 0.4 0.5 0.4 0.5 0.4 0.5

Distance [km] 3.6 4.9 3.3 4.3 3.0 4.0 2.4 3.3

Pour dpasser ces limites, les quipementiers travaillent aujourd'hui sur deux volutions majeures : L'ADSL2+, qui sera expriment par France Telecom en septembre et par Free ds le printemps, permettra d'augmenter le dbit maximal thorique d'une ligne jusqu' prs de 16 Mbits/s. Le Rich Extended ADSL, prvu pour l'anne 2005, permettra pour sa part d'atteindre 8 Mbits/s une distance de 3,5 km du DSLAM.

Rseaux cbls A lorigine distributeur de services audiovisuels, le cble est depuis 1999 permet galement laccs Internet. Les capacits du cble prvoient : Un canal montant avec une capacit maximale de 320Kb/s 10Mb/s. Un canal descendant avec un dbit maximal de 27 36 Mb/s.

La norme DOCSIS2 assure une meilleure qualit dans la gestion des dbits. Les fournisseurs daccs Internet via le cble proposent aujourdhui des offres allant de 160Kb/s 2560Kb/s de bande passante. La liaison est de type permanente, avec attribution dune adresse IP fixe.

DOCSIS : Data Over Cable Service Interface Specification. La norme a t cre en 1997
Page : 12 / 44 Rf. : CAP/OS/RM020704 Version : 3.0

Capgemini France Outsourcing Services


Confidentiel

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

4.1.2 4.1.2.1

Contexte Evolution des abonnements Internet haut dbit en France

Le parc dabonnements Internet haut dbit a plus que doubl en 2003, passant de 1,6 million 3,5 millions dabonns. Sur le seul quatrime trimestre 2003, plus de 700 000 nouveaux abonnements ont t enregistrs. Le parc dabonnements des accs bas dbit (< 128 kbit/s), qui na pas fait lobjet dune publication par lAFA3, est estim 7 millions fin 2003.

Afin de mieux rendre compte de lvolution de lInternet haut dbit, lobservatoire des marchs de lART restitue non seulement le nombre des abonnements auprs des oprateurs dclars, mais aussi le nombre dabonnements vendus par ces oprateurs dclars aux FAIs non dclars, qui les revendent au client final.

Abonnements (units)

Internet

4me trim 2002

1er trim 2003

2me trim 2003

3me trim 2003

4me trim 2003

Variation 4T03/4T 02 -6,3%

Abonnements Internet bas dbit 4 Abonnements Internet haut dbit (cble, xdsl, BLR) 5 Total des abonnements Internet

7 469 000

7 490 000

7 338 000

7 215 000

7 000 000

1 590 975

2 236 245

2 450 019

2 790 270

3 524 338

+121,5%

9 059 975

9 726 245

9 788 019

10 005 270

10 524 338

+16,2%

AFA : Association des Fournisseurs dAccs et de Services Internet (http://www.afa-france.com). LAFA rassemble les donnes des oprateurs suivants : AOL France, 9 Online, Aricia, Cario, Club-Internet, Free (RTC uniquement), Inter PC, NC Numricble, Noos, Tiscali France, UPC France, Wanadoo. Source : donnes de lAFA jusquau troisime trimestre 2003, estimation de lobservatoire des marchs au quatrime trimestre 2003. Selon la dfinition de lAFA, sont comptabiliss : les comptes d'accs gratuits ou facturs l'usage qui font l'objet d'au moins une connexion dans les 40 derniers jours, et tous les comptes payants sur une base forfaitaire mensuelle (incluant ou non un forfait tlphonique, particuliers et professionnels). Source : donnes de lAFA jusquau troisime trimestre 2002, donnes de lobservatoire des marchs de lART partir du quatrime trimestre 2002. Capgemini France Outsourcing Services Rf. : CAP/OS/RM020704 Version : 3.0

Page : 13 / 44

Confidentiel

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

Les abonnements Internet haut dbit (units)

4me trim 2002

1er trim 2003

2me trim 2003

3me trim 2003

4me trim 2003

Variation 4T03/4T 02 +39,2%

Abonnements Internet par le cble (source AFORM) 6 Abonnements Internet par ligne ADSL (source France Telecom)

282 992

312 707

336 668

348 295

393 854

1 361 377

1 905 463

2 041 180

2 346 120

2 967 434

+118,0%

Nota Les donns publiques de lAFORM pour le cble et de France Telecom pour lADSL sont donnes titre indicatif. Le total des deux lignes du tableau ci-dessus nest pas strictement gal aux chiffres de la rubrique " abonns Internet haut dbit " du tableau prcdent.

4.1.2.2

Architecture DSL

Une Fournisseur daccs Internet (FAI) offre un service de bande passante sur Internet des abonns. Ce service est assur par une architecture qui se dcline sous 3 options, transparentes pour lutilisateur.

Option 1 Mise disposition directe de la paire cuivre de labonn par France Telecom ses concurrents. Cette mise disposition peut tre opre sous deux formes possibles : Dgroupage total : Intgralit des bandes de frquence de la paire de cuivre Dgroupage partiel : frquence haute de la paire de cuivre seulement, utilisable pour les donnes.

Le FAI dispose dune infrastructure dgroupe jusquau nud de raccordement des abonns (NRA). Nous pouvons citer, par exemple, Free et 9Telecom.

Option 3 Les FAIs achtent un oprateur alternatif une prestation globale daccs, de collecte et de transport du trafic. La prestation de collecte du trafic DSL au niveau rgional est ralise par France Telecom. Le FAI possde son propre rseau de transport IP et sappuie sur France Telecom pour le transport ATM. Nous pouvons citer, par exemple, Tiscali.

Source : Association Franaise des Oprateurs de Rseaux Multiservices (http://www.aform.org)


Page : 14 / 44 Rf. : CAP/OS/RM020704 Version : 3.0

Capgemini France Outsourcing Services


Confidentiel

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

Option 5 Revente, sous marque propre du FAI Les offres daccs sont conues et gres par loprateur historique (France Telecom). Nous pouvons citer, par exemple, Club Internet et La Poste. Le schma ce dessous reprsente les 3 options prcdemment introduites.

DSLAM (Digital Subscriber Line Access Multiplexer) Situ sur le rseau de l'oprateur local, au niveau du rpartiteur, il fait parti des quipements utiliss pour transformer une ligne tlphonique classique en ligne ADSL permettant la transmission de donnes, et en particulier l'accs Internet, haut dbit. La fonction du DSLAM est de regrouper plusieurs lignes ADSL sur un seul support, qui achemine les donnes en provenance et destination de ces lignes. BAS (Broadband Access Server) Equipement dont la fonction est de grer le transport de donnes en mode ATM dans le cadre des offres d'accs Internet par ADSL. Sur le rseau de France Telecom, chaque BAS regroupe le trafic ATM issu d'une dizaine de DSLAM. Un BAS gre donc le trafic de l'ensemble des lignes ADSL situes dans les zones couvertes par les DSLAM qui lui sont connects. La zone ainsi couverte par un BAS est appele "plaque" par France Telecom. Il est tabli un circuit ATM "montant" et un circuit ATM "descendant" entre chaque client connect et le BAS auquel il est raccord.

4.1.2.3

Architectures cble

lorigine, les rseaux cbls taient bass sur lutilisation du cble coaxial. Avec les progrs dans les technologies de transmission grce lutilisation de la fibre optique, les oprateurs de cble utilisent des rseaux hybrides composs de liens en fibre optique et de cble coaxial HFC (Hybrid Fiber Coaxial), via le rseau tlphonique utilisant la paire torsade. Un cblo-oprateur est propritaire et exploitant de son architecture cble. Il existe deux principaux fournisseurs daccs Internet en France via le cble : Noos et NC Numricable.

Capgemini France Outsourcing Services


Confidentiel

Page : 15 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

Larchitecture se compose de CMTS (Cable Modem Termination System), quivalent au DSLAM pour lADSL, lesquelles sont relies diffrents routeurs en France. Chaque utilisateur se connecte au CMTS via le rseau HFC. Il y a cration dun tunnel pour lauthentification de la liaison point point entre labonn et un serveur PPTP ou un LNS. Le LNS est gnralement le routeur daccs au backbone IP, qui termine le tunnel pour ensuite aboutir sur un rseau IP (Regional Network sur le schma).

. 4.1.3 Moyens d'change de contenu "P2P"

Les lments constituant un rseau P2P peuvent tre de nature htrogne : PC, PDA ou tlphone portable. Ils forment un rseau virtuel, travers un protocole de communication, sappuyant sur une infrastructure existante. Les rseaux P2P peuvent tre utiliss de manires licites, pour partager des fichiers distribus (plus rapide que le ftp) ou effectuer du travail collaboratif (messages instantans, calcul intensif, applications partags, jeux). Une utilisation illicite existe, avec le tlchargement de musique (format mp3), dapplications ou de films pirats. Le rseau virtuel se dfini suivant diffrents modles et diffrentes topologies P2P. Nota Dans les schmas suivants, les traits bleus reprsentent le trafic de transfert de donnes et les traits rouges, les requtes de recherches de fichiers :

Architecture type I : Systme centralis Dans cette architecture, chaque client se connecte un serveur central. Les avantages de cette solution rsident dans une configuration statique, un management centralis et une asymtrie du rseau. Cependant, ce systme nest plus utilis actuellement cause de la simplicit de reconnaissance et de la limitation de la bande passante (point de convergence). Pour rappel, le plus connu tait Napster, arrt en septembre 2001 aprs des poursuites judiciaires.

Capgemini France Outsourcing Services


Confidentiel

Page : 16 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

Architecture type II : Systme dcentralis (ou distribus) index centralis Dans cette architecture, les clients sont en mme temps serveurs de fichiers. Seulement lindexation des fichiers est centralise. Les avantages de cette solution sont lauto organisation, la simplicit de dcouverte des peers , lvolution dynamique et la symtrie du rseau.

Architecture type III : Systme dcentralis (ou distribu) index dcentralis Avec la notion de rseau dcentralis apparat la notion dindex dcentralis. Sur un rseau de type dcentralis, certains clients agissent comme un serveur dindex pour lensemble des clients. Ces serveurs dindex, appels ultrapeer, sont lus notamment en fonction de leurs connectivits et de leurs disponibilits. Chaque requte est soumise au rseau, ensuite traite itrativement par les ultrapeers. Chaque ultrapeer agit la manire dun proxy pour les autres ultrapeer du rseau. La requte est retourne ds lors quelle contient un nombre dobjets suffisants. Lalgorithme de recherche Ultrapeer GUESS fut un des premiers tre utilis sur le rseau Gnutella2. Depuis, dautres algorithmes ont t dvelopps notamment par Kazaa.

Capgemini France Outsourcing Services


Confidentiel

Page : 17 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

Les changes Peer-to-Peer (P2P) Le P2P est un change direct de ressources et services entre ordinateurs. Chaque ordinateur est responsable du partage de ses propres ressources. Les architectures P2P sont articules autour de trois composants : Un Protocole de communication (ou rseau P2P ) : il dtermine les rgles dchange (adresses, comportements). Des clients : ils implmentent les fonctions respectant les rgles du protocole ainsi quune interface ergonomique. Un ou plusieurs serveurs.

Le tableau suivant ventile les diffrents rseaux P2P connus aujourdhui suivant les types darchitecture (types I, II, III).

Type darchitecture Type II Type I Rseaux P2P Type III

Clients

WPNP FastTrack eDonkey2K Overnet BitTorrent SoulSeek MP2P X

X X

WINMX Kazaa, Kazaa lite, Morpheus, imesh, Grokster eDonkey, emule, Shareaza

X X X X

eDonkey, Overnet, kDrive BitTorrent, The Shadow, Experimental, BT, bitTornado, Azureus SoulSeek Piolet, Blubster, RockiNet

Capgemini France Outsourcing Services


Confidentiel

Page : 18 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

Direct Connect Gnutella Earthstation 5 Filetopia Mediaseek Freenet JXTA X

X X X X

Direct Connect, DC++ Gnutella, Shareaza, Gnicleus, LimeWire, BearShare, XoloX, Morpheux Earthstation 5 Filetopia Medaiseek.pl

X X

FCP WINMX

Nous pouvons constater que la majorit des rseaux P2P daujourdhui ont une architecture de type III (c'est-dire, des systme dcentraliss index dcentralis) Nota Les rseaux Freenet et JXTA sont deux rseaux P2P sont au stade du projet. Ils ne pourront tre tests dans le cadre de la mission. Le graphe suivant donne une classification pdes rseaux P2P par nombre dutilisateurs7.

Source : Canada : http://www.itic.ca/DIC/News/archive.fr.html dat du 03/06/04.

Capgemini France Outsourcing Services


Confidentiel

Page : 19 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

4.1.4

Identification des flux P2P

Les clients obissent aux rgles et comportement dfinis par les rseaux P2P.

Adresses Sur le rseau Internet, le protocole de communication est IP (Internet protocol). Chaque machine sur le rseau possde, pour communiquer avec les autres, une adresse IP.

Ports Lorsquon utilise un ordinateur, connect en rseau Internet ou intranet, il est possible deffectuer plusieurs taches en parallle (exemple : naviguer sur Internet et recevoir un nouveau courrier). Ceci implique que lordinateur doit tre capable didentifier et de diffrencier diffrentes sources dinformations. Chacune de ces applications source dinformation se voit donc attribuer une adresse unique sur la machine : un port TCP (ou UDP). Ainsi, une application donne utilisant un port donn ninterfrera pas avec une autre application utilisant un autre port sur la mme machine. Cette combinaison, adresse IP plus port TCP (ou UDP), est forcment unique par application.

Les deux tableaux suivants listent les ports les plus connus (ports TCP et ports utiliss pour les changes P2P)

Port 21 23 25 53 80

Application ou service FTP (File Transfert protocol) Telnet SMTP (Simple Mail Transfert Protocol) DNS (Domain name Server) HTTP (Hyper Text Transfert ptotocol)

Description Transfert de fichier Prise de main distance Messagerie Rsolution de nom WEB

Capgemini France Outsourcing Services


Confidentiel

Page : 20 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

Exemples de ports utiliss par le P2P :

Application ou service WPNP

Port TCP 6669 UDP 6257

FastTrack

TCP 1214 UDP 1214 TCP 4661

eDonkey2K

TCP 4662 UDP 4672 UDP 4665

Overnet

TCP 4661 TCP 4662 UDP 4672 UDP 4665

SoulSeek

TCP 2240 TCP 2834

Signature Les rseaux P2P ont volu, ils peuvent aujourdhui emprunter un port ddi une autre application (courante comme celle cites prcdemment). La mthode consistant diffrencier les flux selon le numro de port utilis est donc ncessaire mais non suffisante pour pouvoir diffrencier les flux P2P du reste du trafic. Il est donc ncessaire dutiliser un systme de dtection de signatures qui consiste rechercher un comportement ou une chane alphanumrique dans les paquets IP afin dy retrouver un lment unique particulier dune session P2P. Par exemple, le terme Kazaa se retrouve dans les paquets des flux Kazaa. Exemples de signatures :

Application ou service WPNP FastTrack BitTorrent MP2P Gnutella Earthstation 5 Recherche de WinMX Recherche de FastTrack ou Kazaa

Signature

En dbut de connexion, les paquets laissent apparatre les cls .torrent Lanalyse des paquets sur un port alatoire laisse apparatre la rponse SIZ<file size in bytes Lanalyse des paquets laisse apparatre GNUTELLA CONNECT lors de ltablissement de la connexion. Lanalyse des paquets laisse apparatre un dialogue client serveur spcifique.

Capgemini France Outsourcing Services


Confidentiel

Page : 21 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

4.1.5

Types d'architectures et localisation

Cette section apporte des prcisions sur la localisation potentielle des botiers de filtrage pour les diffrentes architectures haut dbit. Les botiers de filtrage peuvent tre placs soit entre les FAIs, soit entre labonn et le FAI. Dans la premire option, les botiers sont placs sur les points de peering ou sur les points dinterconnexion de rseaux. Ce cas permet un filtrage entre FAI mais nautorise pas le filtrage au sein mme du FAI. La seconde option semble la plus approprie. Elle est tudie dans la suite de la prsente section sur la base des diffrentes architectures haut dbit.

Peering Mode de partage des ressources Internet dans lequel deux ou plusieurs fournisseurs locaux acceptent d'interconnecter leurs rseaux

DSL Options 1 et 3 Nous pouvons regrouper ces deux options pour ne traiter quun seul cas car leurs architectures sont similaires. Les quipements BAS servent concentrer de 1 25 DSLAM. Pour pouvoir filtrer le trafic intra et extra FAI, les botiers de filtrage sont placer entre les BAS et le rseau IP core . Les interfaces physiques entre le BAS et lIP Core Network sont priori en GigaEthernet. Cependant, il est possible que le niveau liaison ne soit pas en GigaEthernet (en POS : Packet over SDH par exemple).

DSL Option 5 Cette architecture est plus complexe. Il sagit du FAI qui ne dispose pas dune infrastructure de transport. RADIUS : serveur servant lauthentification et laccounting.
Rf. : CAP/OS/RM020704 Version : 3.0

Capgemini France Outsourcing Services


Confidentiel

Page : 22 / 44

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

EAS : Equipement dAccs au Service (Equipement fourni et gr par le transporteur pour la connexion son rseau). L2TP : Layer 2 Tunneling Protocol donne lillusion dune connexion directe entre le FAI et le BAS.

Les spcifications8 daccs au Service (EAS) par France Telecom sont trs claires. Les niveaux des dbits sont les suivants : Raccordement 10, 30, 60, 100, 300 et 600 Mbit/s Raccordement suprieur ou gal 1Gbit/s : dbit Ethernet (pour les raccordements de dbit suprieur 1 Gbit/s, plusieurs raccordements 1 Gbit/s seront dploys en attendant une solution dinterface unique)

Le tableau suivant donne les principales caractristiques de lEAS.

Type de raccordement 10 et 30 Mbit/s 60, 100, 300, 600 Mbits/s et 1 Gbit/s

Interface Fast Ethernet Giga Ethernet

Support 100 base T 1000 Base SX (FO multimode)

Connecteur RJ45 SC/PC

Standard IEEE 802.3u IEEE 802.3z

Il y a tablissement dun Tunnel L2TP persistant pour chaque abonn du FAI. L2TP stablit depuis le BAS (qui joue le rle de LAC : L2TP Access Concentrator) jusquau LNS (L2TP Network Server) du FAI. Aprs le LNS, le trafic est IP. En consquence, le botier de filtrage est placer juste aprs le LNS qui concentre les abonns du FAI. Nota

Sur le site de France Telecom, les spcifications de la collecte IP/ADSL sont donnes, et notamment les interfaces physiques. Voir http://www.francetelecom.com/fr/entreprises/grandes_entreprises/solutions/acces/internet/att00012854/STAS_CIPA.pdf

Capgemini France Outsourcing Services


Confidentiel

Page : 23 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

Avec le DSL Option 5, il nest pas rare davoir chez les FAIs plusieurs LNS (une dizaine par exemple chez NERIM) pour des questions de capacit, de redondance. Dans ce cas, autant de botiers de filtrage que de LNS sont prvoir.

Architectures cbles Lauthentification de linternaute sur le rseau cbl se ralise via le PPTP server ou le LNS (gnralement le routeur daccs au backbone IP, reprsent en haut sur le schma suivant, qui termine le tunnel pour ensuite aboutir sur un rseau IP). Il y a cration dun tunnel virtuel de la liaison point point.

CMTS

To Regional Network

Router

Basic Distribution Hub


CMTS CMTS

HFC

HFC

En consquence, le botier de filtrage est placer derrire le LNS (comme pour le cas de le DSL Option 5).

Capgemini France Outsourcing Services


Confidentiel

Page : 24 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

4.2
4.2.1

CHOIX DE SOLUTION
Solutions du march Typologie des solutions Les outils doptimisations de rseaux (QoS)

4.2.1.1

Les outils de QoS (Qualit de Service) sont des Appliances (solution packages : matriel /logiciel) permettant la gestion des priorits des flux. Ils ont t conus lorigine pour classer les flux Internet afin de leur donner une priorit destine grer la bande passante dun rseau. Ils peuvent ainsi limiter (le blocage tant un cas particulier de limitation) le dbit pour un type de flux, et garantir ainsi une qualit de service pour les flux de donnes critiques. Limplmentation de la QoS est systmatiquement en coupure , cest dire que le trafic analyser doit passer au travers de lappliance afin dtre trait.

Les IDS/IDP (Intrusion Detection and prevention)

Les IDS/IDP sont des Appliances qui permettent de dtecter et/ou de prvenir une attaque Internet. Ces outils ne possdent pas la facult de trier les diffrentes sessions par flux ; ils se contentent danalyser chaque paquet afin dy retrouver soit un comportement, soit une signature connue. Il est possible de placer ce type dappliance soit en coupure (comme pour la QoS), soit en port mirroring (redirection du trafic pour analyse).

Les Flow-Based Switch

Les flow based switch sont des commutateurs qui nagissent plus par reconnaissance exacte du trafic mais par classification par flux. Il est en effet possible de catgoriser les flux gnrs par le trafic Internet en fonction du type de trafic. On diffrencie ainsi le trafic interactif du trafic non interactif qui est typiquement un trafic P2P. Cependant, la plupart de ces Appliances nintervenant pas au niveau applicatif, il est difficile de ne pas impacter dautres trafics comme le FTP Passif.

4.2.1.2

Diffrents acteurs

Le tableau suivant liste les principales solutions de filtrage du march. Le choix de solution est ralis parmi ces solutions

Capgemini France Outsourcing Services


Confidentiel

Page : 25 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

Types de solutions Solutions orientes QoS

Principales acteurs du march ALLOT - Netenforcer KAC1020 Packeteer - PS 8500 ISP Sandvine - PPE8200 IPANEMA

Solutions orientes Flow based switch

Ellacoya 1600 - E12TX - E2GIG - AC Caspian Networks - Apeiro P-Cube

Solutions orientes filtrage rseaux

Routeurs Firewall (Cisco, Checkpoint, )

Solutions orientes IDS/IDP

Netscreen IDP1000

Solutions orientes filtrage de contenu

Audible Magic

Afin de pouvoir constituer une shortlist, nous avions procd ds le dbut llimination de solutions sur la base de certains critres.

Les solutions cartes ont t les suivantes : Une solution base de reconnaissance duvre (par fingerprint) comme Audible Magic. Aucune information prcise sur son fonctionnement, ses capacits, etc. Sa capacit traiter la vole un flux important parat incertaine. La reconnaissance par uvre implique de rfrencer chaque uvre et impose donc une grande ractivit et une administration lourde. Dans le cas de rseaux P2P avec chiffrement du contenu, ce type de solution sera certainement aveugle. Les solutions de types Firewall (PIX Cisco, Checkpoint FW-1, ). Comme nous lavons vu prcdemment (et tester lors de la maquette), les filtrages sur adresses IP et sur les ports ne sont pas suffisants. Les solutions dont les informations disponibles en ligne taient insuffisantes pour une premire valuation comparative. Ipanema technologies Ipanema.(QoS) Cette socit na pas souhait rpondre la demande dinformation quant son aptitude filtrer les trafics P2P. Sandvine PPE8500 ISP (QoS) Cette appliance ne permet que 7500 connexions concurrentes, ce qui est trop faible rapport au dbit. Il existe un nombre important de protocoles. Cependant lacquisition des licences se fait par protocole. Netscreen - IDP 1000 (IDS/IDP)
Capgemini France Outsourcing Services
Confidentiel

Page : 26 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

Cette appliance se prsente sous la forme dun logiciel et dun serveur DELL 1750.Ce serveur possde une interface Gigabit sur port cuivre, qui du fait de la limitation du bus PCI ne semble pas tre mme de traiter plus de 250 Mbit/s. le logiciel de gestion de lIDP 1000 permet de crer des signatures pour toutes sortes de protocole. Mais il nexiste pas de signatures dj existantes pour lensemble des protocoles P2P de faon native. Pour complter les fonctionnalits, il faut en faire la demande spcifique Netscreen. Sur ce point la ractivit de lditeur nest pas certaine. Il sagit avant tout dun produit orient scurit. Caspian Networks Apeiro (Flow Based Switch) Solution qui a t envisage car seule solution avec Switch ATM. Trop peu dinformations. Pas danalyse applicative formelle permettant une classification des protocoles P2P au niveau application (impact sur les applications avec port dynamique telle que FTP passif) P-Cube (Flow Based Switch) Sa solution Flow-based semble intressante. Cependant aucune documentation prcise nest disponible en ligne9. La shortlist retenue dans le cadre de ltude est la suivante. Trois solutions constituent cette shortlist.

Types de solutions

Shortlist (solutions retenues pour ltude comparative)

Solutions orientes QoS

ALLOT - Netenforcer KAC1020 Packeteer - PS 8500 ISP

Solutions orientes Flow based switch Solutions orientes filtrage rseaux Solutions orientes IDS/IDP Solutions orientes filtrage de contenu

Ellacoya 1600 - E12TX - E2GIG - AC Nant Nant Nant

La socit nest pas reprsente en France


Page : 27 / 44 Rf. : CAP/OS/RM020704 Version : 3.0

Capgemini France Outsourcing Services


Confidentiel

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

4.2.2

Grille de critres pondrs

Une grille de critres a t labore pour valuer les diffrentes solutions de filtrage retenues.Les diffrentes catgories de critres sont : Nota Il na pas t pris en compte les lments financiers. Les critres seront nots selon le barme suivant : Reconnaissance du filtrage. Actions de filtrage. Performances. Administration. Implmentation.

Note 0 1 2 3

Explication Fonction non supporte Faible Normale Fort

A chaque critre est affect un coefficient permettant de dterminer son niveau dimportance dans le contexte du SNEP. Le tableau suivant en prsente les diffrentes valeurs possibles.

Pondration 1 2 3

Explication Peu important Important Trs important

Le mode dvaluation dfinit le score de chaque critre de la faon suivante : [Score critre = Note * Coefficient contextuel]

Capgemini France Outsourcing Services


Confidentiel

Page : 28 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

La grille de critres est dtaille ci-dessous.

Critre Reconnaissance du filtrage Classification par signature Classification par port : TCP, UDP Source Destination

Coefficient contextuel

3 2

Classification par adresse : Source Destination Actions de filtrage Blocage du trafic Limitation du trafic : Entre Sortie

3 1

Nombre maximum de rseaux P2P filtrables10 Performances Tenu en charge (capacit traiter la charge en environnement de production) Nombre de connexions simultanes Administration Fonctionnalits Scurit (port de management) Sparation des interfaces dadministration et danalyse Journaux Implmentation Transparence (bypass) et redondance (lectrique) Support Interfaces physiques11

3 3

2 3

3 2 1

10

Coefficient de 1, car aujourdhui il existe peu de rseaux P2P (de lordre de la dizaine).
Page : 29 / 44 Rf. : CAP/OS/RM020704 Version : 3.0

Capgemini France Outsourcing Services


Confidentiel

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

4.2.3

Grille de critres nots

La grille de critres note se trouve ci-dessous.

Critre

Coff contextuel Note

ALLOT

Ellacoya

Packeteer

Point

Point

Reconnaissance du filtrage Classification par signature Classification par port Classification par adresses 3 2 2 Actions de filtrage Blocage du trafic Limitation du trafic Nombre Maximum de rseaux P2P filtrables 3 2 1 Performances Tenue en charge Nombre de connexions simultanes 3 3 Administration Fonctionnalits Scurit 2 3 Implmentation Transparence Support Interfaces physiques 3 2 1 2 2 2 6 4 2 2 1 2 6 2 2 2 2 2 6 4 2 2 2 4 6 2 2 4 6 2 2 4 6 2 3 6 9 3 2 9 6 1 2 3 6 2 2 3 6 4 3 2 2 3 6 4 3 2 2 3 6 4 3 3 3 3 9 6 6 3 3 3 9 6 6 3 3 3 9 6 6

TOTAL Note ramene sur 10

30

71 7,9

69 7,6

Point 65 7,2

Note

11

Coefficient de 1 car des contournements sont possibles travers lajout dquipements spcialiss dans le changement de medium physique.
Capgemini France Outsourcing Services Page : 30 / 44 Rf. : CAP/OS/RM020704 Version : 3.0

Confidentiel

Note

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

4.2.4

Conclusion

Les solutions ALLOT et Ellacoya semblent en mesure de pouvoir rpondre favorablement la problmatique de filtrage sur haut dbit. Packeteer obtient la note de 1 dans la rubrique performance pour la tenue en charge. Pour la problmatique considre, cette note est liminatoire. En effet cette solution ne supporte quau maximum un dbit de 200 Mbits/s, cest insuffisant dans un contexte oprateur. Il est noter que la socit Ellacoya na pas de reprsentant en France (do la note de 1 pour la partie support) Compte tenu des contraintes du planning de la mission et des disponibilits des matriels, nous nous sommes limits au niveau des tests la solution ALLOT.

Capgemini France Outsourcing Services


Confidentiel

Page : 31 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

4.3

ELEMENTS DE COUT

Il sagit de donner une indication uniquement sur les prix dacquisition des botiers de filtrage ALLOT. Les autres cots (maintenance, infogrance) ne sont pas intgrs cette estimation. Le cot dacquisition correspond un investissement fait 1 fois pour filtrer dfinitivement un utilisateur12. Hypothses Le calcul tient compte du : Hypothse de validation quun botier Gigabit ALLOT par BAS est cohrent travers ltude du FAI NERIM. Nombre dquipements BAS chez France Telecom. Part de march (nombre dabonns) de France Telecom sur le haut dbit.

Etude du cas du FAI NERIM13

12 13

Sous rserve de suivi du dveloppement de nouveaux protocoles P2P.

Source : NERIM fournit en ligne les statistiques sur sa collecte IP/ADSL lURL suivante : http://stats.nerim.net/nav/cipa/

Capgemini France Outsourcing Services


Confidentiel

Page : 32 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

Nous pouvons constater que 13 500 utilisateurs sont connects de manire concurrente pour un dbit de 341 Mbits/s (la moyenne du max entre trafic entrant et sortant) ; soit 26 Kbits/s en moyenne par utilisateur.

Nombre de BAS chez France Telecom On peut consulter ladresse URL suivante la localisation et le nombre de BAS chez France Telecom. Aujourdhui, ce nombre avoisine les 143 BAS.
http://www.francetelecom.com/fr/entreprises/grandes_entreprises/solutions/acces/internet/att00012854/caracteristiques.html

Si nous prenons comme hypothse un BAS Juniper ERX 1440 avec 64 000 connexions : 26 Kbits * 64 000 = 1,66 Gbps. En sachant que : Les ERX1440 sont priori les plus gros BAS de France Telecom.. Il est peu probable que les ERX14000 soient configurs pour accueillir 64 000 connexions. Le nombre de connexions serait plutt limit 32 000.

Lhypothse donc dun botier de filtrage Gigabit par BAS parat cohrente. En sachant que : Le nombre dutilisateur par BAS redback SMS1800 est : 8 000 ou 16 000 Le nombre dutilisateurs par BAS Juniper ERX1400 est : 32 000 ou 64 000 Il y a 40 BAS Redback et 103 BAS Juniper14 40 * 8000 + 103 * 32 000 = 3 616 000, ce chiffre, qui reprsente le nombre dabonne ADSL que peuvent accueillir les BAS France Telecom, parait cohrent avec le nombre dabonns qui passent par leurs BAS : 80% des 3 millions dabonns ADSL, soit 2 400 000.

Part de march France Telecom En sachant que France Telecom/Wanadoo reprsente 81% du trafic Internet haut dbit soit 2430 000 abonns.

Cot dacquisition des botiers ALLOT Le modle KAC 1010/1G-PS-I-IT Ce modle support le Gigabit, avec 256 000 connexions.

14

France Telecom aurait acquis en 2000 40 Bas Redback : www.dslvalley.com/news/news.php3?id=12

Capgemini France Outsourcing Services


Confidentiel

Page : 33 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

Cas de la collecte France Telecom Le prix public du botier ALLOT est : 75 888 Euros. Avec lhypothse dune remise de 37 %, le prix est : 47 810 Euros. Prix remis par abonn : 47 810 * 143 / 2430 000 = 2,82 Euros. A noter que ce cas reprsente 81% des abonns ADSL (rseau France Telecom) auquel devaient sajouter Free et LDcom qui disposent darchitectures comparables celle de France Telecom. Cas FAI option 5 et cble Ce cas reprsente moins dabonns que le prcdent. Rappel : du fait de la ncessite de crer un tunnel entre les abonns et les LNS du FAI, llment de filtrage devra tre intgr aprs le LNS. Le raisonnement conomique est donc fonction du nombre de LNS et de leurs caractristiques, notamment le dbit. Prenons une tude de cas avec NERIM Soit 13 LNS : http://stats.nerim.net/nav/equ_sess/ Environ 15000 abonns connects un instant. Hypothse prise pour le taux de connexion : 70%. 15000 / 0,7 = 21500 abonns au total Soit en moyenne 1 LNS pour 1650 abonns. Ceci semble cohrent avec les donnes fournies le 29 juin 14h avec 14500 abonns connects. Rpartitions des sessions sur les LNS : http://stats.nerim.net/nav/equ_sess/

Capgemini France Outsourcing Services


Confidentiel

Page : 34 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

Les besoins en terme de performances ne seraient alors pas les mmes que pour le cas prcdent. On peut essayer dencadrer le prix dacquisition dune solution de filtrage par abonn entre le plus petit matriel potentiellement rpondant la solution et celui vu dans le cas prcdent : 21 500 / 13 = 1653 abonns en moyenne par LNS 1653 * 26 Kbps = 43 Mbps. Il faut donc au minimum un botier traitant le 100 Mbps.

Capgemini France Outsourcing Services


Confidentiel

Page : 35 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

ALLOT KAC 402/100M-DK (2 ports 10/100, jusqu 100 Mbps de bande passante et 96 000 connexions simultanes) Le prix public de ce botier est de : 18 360 Euros. Avec lhypothse dune remise de 37 %, le prix est de : 11 566,8 Euros. 11566,8 /1653 = 7,0 Euros par abonn Comme pour le cas prcdent, si on part sur un ALLOT devant traiter de part la structure du FAI le Gigabit, alors le prix par abonn est le suivant : 47 810 / 1653 = 28,9 Euros. En conclusion, lencadrement du prix dacquisition est le suivant : 7,0 Euros < Prix par abonn < 28,9 Euros.

Capgemini France Outsourcing Services


Confidentiel

Page : 36 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

4.4

MAQUETTE

La maquette utilise veut adresser deux objectifs : Tests quantitatifs : limitation des flux P2P et capacit traiter du trafic Gigabit. Tests qualitatifs : identification et blocage des flux P2P.

Larchitecture de la maquette qui a t utilis est la suivante : 4.4.1 Architecture

Larchitecture de la maquette qui a t utilis est la suivante :

d i g i t a l

POWERFAULT DATA ALARM

POWERFAULT DATA ALARM

De gauche droite : Un PC avec des clients P2P (Kazaa, eDonkey,), pour corroborer les analyses du Botier ALLOT n1 quant sa capacit bloquer ou limiter le trafic P2P Le botier ALLOT N1 a pour objectif le blocage ou la limitation du trafic P2P. Il sagit dun AC402/100M avec une version software 5.1 Lquipement rseau pour but de valider les informations de charge remontes par le Botier ALLOT N1 (on ne peut pas se fier uniquement aux donnes du botier si on veut le tester, il faut un tiers). Le botier ALLOT N2 est un modle supportant un trafic Gigabit, il est positionn entre Internet et des serveurs (non reprsents sur le schma, derrire lquipement rseau) pour sassurer de sa capacit supporter un trafic proche du Gigabit par seconde. Il sagit dun AC1020-SP1/1G avec une version software 5.1.1. Un PC qui nous permettait de prendre la main sur les 4 lments prcdents.

Capgemini France Outsourcing Services


Confidentiel

Page : 37 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

4.4.2

Protocole test

Nous avons dans un premier temps test chaque rseau P2P de manire spar.. Pour chacun de ces rseaux, nous avons identifi un client propre ce rseau, et quand cela na pas t possible, nous nous sommes assur quil nutilisait quun seul rseau (client eDonkey sur rseau Overnet) Ensuite nous avons test tous les rseaux en mme temps. Nota Les rsultats des tests sont prsents en annexe. Le FAI semblent procder du filtrage.

Analyse rseau par rseau Nous avons identifi 5 tests qui peuvent tre excuts dans nimporte quel ordre. On commencera chacun de ces tests en dmarrant un client du rseau P2P considr. Et on finira chaque test en stoppant le client. Ces oprations darrts / redmarrage du client sont ncessaires car le botier ALLOT ne perturbe pas les flux dont linitiation tait autorise. Il faut donc les terminer manuellement. Ceci permet aux nouvelles connexions de se conformer aux nouvelles rgles dfinies. Pour chaque test nous relverons les dbits entrants et sortants sur lALLOT N1 et sur le port du switch connect LALLOT N1 (qui sert de tiers de confiance, de rfrentiel). Les valeurs sur le switchs tant moyennes (arithmtiquement) sur 5 minutes, chaque test durera 5 minutes.

Test 1

Dsignation Recherche et transfert sans filtrage

Description On dmarre un client P2P compatible avec le rseau P2P tester et on lance une recherche sur un artiste, et on lance plusieurs tlchargements en parallle pour avoir le maximum de dbit en tlchargement sur plus de cinq minutes.

Recherche et transfert avec blocage (port et/ou signature)

On positionne un filtre sur le Botier ALLOT N1 pour bloquer tout le trafic du rseau considr peer to peer considr. On active ce filtre. On dmarre un client P2P compatible avec le rseau P2P tester et on lance une recherche sur un artiste. Puis, si la recherche est probante, on lance plusieurs tlchargements en parallle pour avoir le maximum de dbit en tlchargement sur plus de cinq minutes Le but de cette tape est sassurer que le trafic du rseau P2P est bien bloqu.

Recherche et transfert avec limitation

On positionne un filtre sur le botier ALLOT n1 visant limiter le trafic de tlchargement comme suit : Maximum 50 Kbps tlchargement, pour le rseau P2 considr, en In (soit de linternet vers le client qui tlcharge) Maximum 10 Kbps tlchargement, pour le rseau P2
Rf. : CAP/OS/RM020704 Version : 3.0

Capgemini France Outsourcing Services


Confidentiel

Page : 38 / 44

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

considr, en Out (soit du PC client vers linternet). Le but de cette tape est de vrifier que le botier de filtrage est bien capable didentifier le trafic du rseau P2P considr et de limiter la bande passante qui lui ait alloue. Nous avons positionn des valeurs de limitation de trafic montant et descendant sensiblement diffrente pour nous assurer que la limitation est bien effective dans les deux sens. Les tests 4 et 5 par rapport la problmatique souleve napportent rien, elles servent comprendre en partie les mcanismes de recherches et transferts des rseaux P2P et sassurer que le choix de la solution avec filtrage par signature est justifi (excluant toute solution bas uniquement sur un filtrage par ports ou adresses IP) 4 Blocage des ports Le but de cette tape est de vrifier si un filtrage par ports (statiques) est ncessaire et suffisant. Comme pour les tapes prcdents, deux fonctionnalits sont testes : la recherche des titres disponibles dun artiste et le transferts de titres.

Blocage par signature

Le but de cette tape est de vrifier si un filtrage par signature est ncessaire et suffisant. Comme pour les tapes prcdents, deux fonctionnalits sont testes : la recherche des titres disponibles dun artiste et le transferts de titres.

4.4.3

Recette et commentaires Blocage et limitation dun rseauP2P

Rseau P2P WPNP FastTrack eDonkey 2000 Overnet Bit Torrent SoulSeek MP2P Direct Connect EarthStation 5 Filetopia Gnutella Mediaseek

Client WINMX v 3.31 Kazaa v 2.6.3 eMule v0.42g eDonkey 2000 v0.53 Bit Torrent v 3.4.2 SoulSekk v152 Blubster v 2.5 Direct Connect EarthStation 5 v 2.0.11 Filetopia v 3.04d Limeware v 4.0.6 Mediaseek.pl

Capacit bloquer le trafic P2P Oui Oui Oui Oui Oui Oui Oui Oui N/A Oui Oui N/A

Capacit limiter le trafic P2P Oui Oui Oui Oui Oui Oui Oui Oui N/A Oui Oui N/A

Capgemini France Outsourcing Services


Confidentiel

Page : 39 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

Nota La valeur Oui dans la colonne Capacit bloquer le trafic P2P signifie quil na pas t possible de transfrer des donnes. La valeur Oui dans la colonne Capacit limiter le trafic signifie que la limitation de trafic obtenue est conforme aux attentes soit 50 Kbps maximum depuis Internet et 10 kbps maximum vers Internet. Linstabilit du client Earthstation 5 et limpossibilit de faire fonctionner le client Mediaseek ne nous ont permis de tester les deux rseaux P2P associs.

Transfert de fichiers

A 22 :11 :30, nous avons dsactiv la limitation de trafic sur le rseau P2P WPNP. Nous pouvons voir que le tlchargement qui tait brid 50 Kbps (la valeur indique en haut droite du graphe correspond la valeur du trafic entrant 22 :11) passe dun coup 5 Mbps.

Blocage du traffic

Capgemini France Outsourcing Services


Confidentiel

Page : 40 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

Nous pouvons constater, sur ce graphe, la mise en uvre 22:55 dun filtre visant bloquer le flux du rseau P2P WPNP

Limitation de trafic sur un rseau P2P

Il sagit de la vrification de lapplication de la limitation du trafic WPNP. Les valeurs attendues sont bien respectes. Ces valeurs sont corrobores avec celles donnes par le commutateur (qui fait office de tiers de confiance pour les mesures).

Trafic rsiduel

Il est noter quil y a un petit dcalage entre les valeurs donnes par le botier ALLOT et les valeurs donnes par le Switch (elles sont toujours du mme ordre de grandeur). Ces diffrences sont dues pour la plupart par le trafic dadministration (la connexion de notre PC de prise de main sur le PC client P2P, sur le Botier ALLOT N1 et sur le switch L3).

Blocage dun ensemble de rseau P2P Nous avons regroup des rseaux P2P : WPNP, Fasttrack, eDonket2000, Overnet, BitTorrent, SoulSeek, MP2P, Direct Connect, Filetopia, EarthStation5, Filetopia, gnutella.
Capgemini France Outsourcing Services
Confidentiel

Page : 41 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

Nous avons dfini une rgle bloquant tous ces rseaux sur lALLOT N1 et nous lavons appliqu. Il na pas t possible de transfrer des fichiers via ces rseaux. Nous avons fait des tests en parallle pour nous assurer que ces filtrages taient bien limites aux rseaux P2P dfinis dans les filtres. Avec le filtre actif sur lensemble des rseaux P2P, nous avons pu sans problme naviguer sur Internet et transfrer un fichier par FTP (service de transfert de fichier classique). Nota Nous navons pu comme pour les tests unitaires, tester : EarthSation5 : Le client tait trs instable Mediaseek.pl : nous navons pas russi le faire fonctionner

Filtrage sur une adresse De mme, il est possible de filtrer ou bloquer le trafic depuis ou vers une adresse (IP ou FQDM de type www.nom.fr) Une black-list avec 3 noms a t tablie et applique. Son application entrane limpossibilit de se connecter aux trois sites depuis le poste de Test Il na pas t men de test de limitation de trafic vers ces sites. Cependant, cette rgle comme celle dfies pour les protocole P2P, nous pouvons appliquer la limitation de trafic.

Monte en charge Le botier ALLOT n2 (ALLOT 1020) a t utilis sur un rseau de production pendant 1 semaine. La somme des dbits MAX (en entre et sortie) sur la semaine est : 603 Mbps La somme des dbits moyens (en entre et sortie) sur la semaine est : 207 Mbps Nous constatons un fonctionnement avec 600 Mbps vers Internet sur les graphiques ci-dessus. Le botier supporte correctement des flux importants (de lordre de Gigabit/s).

Capgemini France Outsourcing Services


Confidentiel

Page : 42 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

4.5

IMPACTS

Les principaux impacts des solutions de filtrage sont : Impacts techniques La solution doit pouvoir : Offrir un niveau de scurit important pour viter les by-pass. Sintgrer dans larchitecture des FAIs existantes. Etre apte tenir les charges (dmontre par cette tude). Avoir les informations ncessaires sa supervision. Avoir une interface dadministration simple. Prennit des solutions de filtrage De nouveaux rseaux P2P peuvent exister lavenir. En consquence, il est important que la solution assure : Une veille technologique. La maintenance des solutions de filtrage en apportant les correctifs utiles. La solution une fois en place doit tre couverte par une maintenance et un support ncessaire pour minimiser les risques de pannes (mme si les quipements permettent dappliquer des by-pass en cas de chute). A la vue du nombre dlments actifs implmenter, il est important que larchitecture soit supervise et administre avec les moyens adquats : Soit par une socit dinfogrance rseau et scurit : Avantages : o o o Les configurations des lments actifs resteront homognes sur les diffrents FAI (contrle de lapplication). Ladministration restera centralise. Il sera possible dobtenir des remises plus importantes aux vues des remises lies lactivit.

Inconvnients : o Il risque dy avoir des oprateurs qui refusent ce principe puisque cela donnera la vue sur les flux de leurs clients.

Soit directement par les oprateurs Avantages : o Les oprateurs accepteront plus facilement la solution qui leur permettra daugmenter les possibilits de leur rseau.

Inconvnients : o Les configurations des lments actifs ne seront pas homognes sur les diffrents FAI. Il est possible que les FAIs dconnectent le systme sans en informer le SNEP.

Capgemini France Outsourcing Services


Confidentiel

Page : 43 / 44

Rf. : CAP/OS/RM020704 Version : 3.0

Etude d'outils de filtrage sur les rseaux haut dbit

Rapport de Mission

5.

CONCLUSION

La solution ALLOT nous a permis de valider la faisabilit technique du filtrage sur haut dbit. Pour plus de 80% des abonns haut dbit, le cot matriel de mise en uvre dune solution de filtrage est valu 2,82 HT par abonn investi une fois et permettant un filtrage dfinitif15. Sachant que certains FAI semblent actuellement filtrer les flux Peer to Peer au niveau des ports, il est important dtudier les moyens dj mis en place chez les oprateurs et comment les rutiliser cots minimums. Il sera notamment ncessaire dvaluer limpact des rductions de cots sur le dimensionnement des infrastructures rseaux ralises grce au filtrage. De sources concordantes le trafic issu du Peer to Peer reprsente France plus de 50 % de la bande passante totale utilise sur le rseau Internet national. Le filtrage serait donc de nature : dsengorger les rseaux, permettre de substantielles rductions des investissements lis au dimensionnement des infrastructures rseaux, le filtrage librant la capacit de transit ncessaire au dveloppement prvisible du nombre dabonns.

Lobjectif de cette mission est ltude de faisabilit dune solution de filtrage. Elle ne constitue pas un document de spcifications pour un FAI. En cas de mise en uvre, Il sera donc ncessaire dapprofondir ltude par un quivalent dappel doffres en mode confidentiel vis--vis de diffrents constructeurs nous permettant de valider les aspects techniques (applications demands et dveloppements spcifiques), aspects financiers (tarification des produits, cots rcurrents, retour sur investissement), la prennit (tant des socits que des solutions), la ractivit, ladministration et la maintenance.

15

Sous rserve de suivi du dveloppement de nouveaux protocoles P2P.


Page : 44 / 44 Rf. : CAP/OS/RM020704 Version : 3.0

Capgemini France Outsourcing Services


Confidentiel