L’ANSSI et l’AFNIC publient le rapport de l’Observatoire sur la résilience de l’Internet français

Le but de cette étude est de contrôler, au travers des protocoles BGP pour la connectivité et DNS, les capacités de résilience de l’Internet français. Cette résilience est définie en tant que capacité fonctionnelle à supporter un incident, depuis sa survenue jusqu’au rétablissement nominal.

Il découle de cette étude quatre recommandations aux acteurs français d’Internet :

• déployer IPv6 ;
• répartir les serveurs DNS faisant autorité au sein de différents opérateurs ;
• déclarer systématiquement les objets route et les maintenir à jour ;
• appliquer les bonnes pratiques BGP.

On peut noter que le document a été mis en page en LaTeX. ☺

Sommaire

• Étude sur BGP
  • Définition de l’Internet français
  • Mesures effectuées
    • Résilience des routes
    • Usurpation de préfixe et cohérence des objets route
    • Utilisation de la RPKI
    • Déploiement d’IPv6
• Étude du DNS
  • Dispersion des serveurs de noms
  • Déploiement d’IPv6 sous l’angle du DNS
    • Enregistrements
    • Requêtes
  • Résolveurs les plus demandeurs
  • Déploiement de DNSSEC
• Conclusion

Étude sur BGP

Définition de l’Internet français

Bien que la notion d’Internet français puisse être assez floue, les critères suivants ont été choisis. Un AS BGP est considéré comme français si :

• la description dans la base whois du RIPE-NCC contient des mots‐clés français ;
• plus de 75 % des adresses IP sont localisées en France par la bibliothèque GeoIP ;
• la description dans la base whois contient des mots clés issus de la liste des opérateurs déclarés auprès de l’ARCEP ;
• l’organisation gérant l’AS a une adresse postale en France dans la base du RIPE-NCC ;
• les administrateurs de l’AS ont une adresse postale en France dans la base du RIPE-NCC ;
• il s’agit d’un des 32 AS français identifiés manuellement par les membres de l’étude ;
• c’est un AS directement connecté à l’un de ces trente‐deux AS ;
• Son numéro d’AS a été attribué par le RIPE-NCC.

Ces critères ont servi d’entrées à un algorithme d’apprentissage, afin de sélectionner, parmi les près de 25 000 AS, les 1 270 AS français, dont environ 700 annoncent des préfixes BGP.

Mesures effectuées

Résilience des routes

En analysant les annonces de routes BGP, on peut visualiser les interconnexions du réseau et identifier les AS pivots (dont la perte entraînerait une perte de connectivité entre d’autres AS français).

Il y a relativement peu d’AS (19, dont 8 non français) dont la perte couperait plus de deux autres AS du reste du réseau. On peut donc considérer que l’aspect maillé d’Internet joue bien son rôle sur le territoire.

Usurpation de préfixe et cohérence des objets route

Une étude des routes annoncées durant toute l’année 2012 a permis de les classer selon quatre catégories, en regard des préfixes déclarés auprès du RIPE pour chaque AS :

• valide : l’annonce correspond à un objet route déclaré pour cet AS ;
• direct : l’AS « usurpateur » est directement connecté à l’AS « usurpé » (probable délégation) ;
• indirect : l’AS usurpé est présent dans le chemin entre l’AS usurpateur et le collecteur ;
• anormal : tout le reste (erreur de configuration ou usurpation frauduleuse).

Après analyse, il y a relativement peu d’événements réellement anormaux, mais l’étude des déclarations des routes auprès du whois montre un taux d’erreurs assez important qui pourrait entraîner jusqu’à la perte de connectivité avec 10 % des préfixes, s’ils étaient utilisés pour filtrer les annonces BGP…

Utilisation de la RPKI

Ce mécanisme permet, via des signatures cryptographiques dont la racine est l’IANA, de garantir qu’un AS à bien le droit d’annoncer une route. Il est encore très peu déployé (≃ 10 % des préfixes). L’usage reste marginal : seuls quatre AS l’utilisent, et un seul AS concentre les trois quarts des préfixes déclarés dans les ROA.

Déploiement d’IPv6

Malgré une évolution importante, il reste assez peu déployé.

Étude du DNS

Afin de caractériser l’Internet français, il a été choisi de ne prendre en compte que la zone .fr — ce qui représente tout de même 2,5 millions de zones déléguées.

Dispersion des serveurs de noms

Cette étude permet d’analyser la répartition des serveurs faisant autorité par zone. Il apparaît que si le nombre de serveurs par zone a augmenté depuis un an pour atteindre 3,6 en moyenne, leur répartition n’a pas évolué. Ainsi, il n’y a que 1,25 AS par zone, laissant 80 % des zones vulnérables à une panne type Go Daddy. De plus, 75 % des serveurs sont hébergés par seulement cinq hébergeurs de DNS.
Ceci fait penser qu’une panne réseau chez l’un de ces cinq hébergeurs entraînerait la perte d’accès à un grand nombre de zones.

Déploiement d’IPv6 sous l’angle du DNS

L’étude cherche pour chaque zone les enregistrements AAAA de type NS, MX et pour www.[domaine].fr, www.ipv6.[domaine].fr et [domaine].fr. De plus, les serveurs de la zone fr ont été supervisés afin de compter les requêtes récursives effectuées par des résolveurs en IPv6.

Enregistrements

Environ deux zones sur trois ont au moins un enregistrement AAAA, mais il s’agit souvent du serveur de noms de domaine (NS). Vu que ces serveurs sont peu répartis chez quelques gros opérateurs, je pense (ce n’est pas dans l’étude) que cette proportion d’enregistrements NS en AAAA représente surtout le déploiement d’IPv6 chez ces gros opérateurs.
Un demi pourcent des zones ont les trois types de serveurs qui sont compatibles IPv6 : serveur de noms de domaines (enregistrements NS), serveur échangeur de courriel (enregistrements MX) et serveur Web. C’est peu, mais ça monte. Il y a près de 60 % des serveurs DNS, 10 % des serveurs de courriel et 4 % des serveurs Web.

Requêtes

Onze pourcents (7 % en 2011) des requêtes sur les serveurs fr gérés par l’AFNIC sont effectuées en IPv6. Attention, ce sont surtout des résolveurs caches d’opérateurs, pas des clients finaux. Cela montre l’évolution de l’infrastructure des opérateurs.

Treize pourcents (11 % en 2011) des requêtes demandent un enregistrement AAAA (64 %, contre 72 % des enregistrements A). La proportion de requêtes évolue donc relativement peu.

Résolveurs les plus demandeurs

L’étude de la provenance des requêtes montre que les plus demandeurs de noms de domaine en .fr sont dans l’ordre :

• 2 gros fournisseurs d’accès à Internet américains ;
• 1 moteur de recherche ;
• 2 fournisseurs d’accès à Internet français.

Déploiement de DNSSEC

Le déploiement de DNSSEC commence doucement, avec 1,3 % des zones signées.

Conclusion

Il reste des efforts à faire concernant l’enregistrement des préfixes dans le whois et le déploiement de RPKI, afin de permettre un filtrage efficace et limiter les usurpations volontaires ou non de préfixes ; et, en général, dans l’application des bonnes pratiques BGP.

Le déploiement d’IPv6 avance, mais il reste encore du chemin.

Les classifications choisies et utilisées, les méthodologies, et l’ensemble des analyses, sont disponibles dans le rapport de l’Agence nationale de la sécurité des systèmes d’information, qui est anonyme pour les organisations actrices, leurs données publiques et les configurations observées sur l’année 2012.

Aller plus loin

• Le document (PDF de 2,5 Mio) (1230 clics)
• L’ANSSI (56 clics)
• L’AFNIC (32 clics)