Академический Документы
Профессиональный Документы
Культура Документы
conguration de BGP
Document ralis par lANSSI (Agence nationale de la scurit des systmes dinformation), en collaboration avec les oprateurs suivants :
lAssociation Kazar ;
France-IX ;
Jaguar Network ;
Neo Telecoms ;
Orange ;
RENATER ;
SFR.
Document mis en page laide de LATEX. Figures ralises avec loutil TikZ.
Vous pouvez adresser vos commentaires et remarques ladresse suivante :
guide.bgp@ssi.gouv.fr
1 Recommandations de conguration
1.3 Recommandations
11
15
15
19
19
29
29
32
35
38
3.7 Filtrage sur lAS_PATH des routes annonces par les pairs
42
47
47
51
55
55
60
63
Bibliographie
65
Acronymes
69
Introduction
.
Systme dexploitation
Version utilise
SR-OS (Alcatel-Lucent)
10.0r5
IOS (Cisco)
15.2(4)S
Junos (Juniper)
11.4R3.7
OpenBGPD (OpenBSD)
5.3
Les extraits de configuration donns ont tous t tests sur les implmentations indiques. Ces extraits ne sont donns qu titre dexemple : ils doivent tre adapts
lenvironnement de dploiement. LANSSI 4 dcline toute responsabilit quant aux
consquences de lusage qui pourrait tre fait de ces exemples.
1.
2.
3.
4.
Chapitre 1
.
Recommandations de configuration
Ce chapitre rassemble diffrentes bonnes pratiques de configuration mentionnes
dans ce document, et donne les niveaux de recommandations associs.
Les types dinterconnexions et de relations entre AS concerns par ces bonnes pratiques sont explicits dans les sections suivantes.
Description
Interconnexion 1 :
peering 1 bilatral dans un
point dchange.
Ce type dinterconnexion est
tabli au moyen dun quipement gr par le point
dchange (non reprsent
sur le schma). Chaque AS
tablit une ou plusieurs sessions avec un ou plusieurs
autres AS.
Schma
Point
dchange
1. Peering ou appairage : accord entre pairs ou chacun annonce les prfixes quil gre.
Interconnexion 2 :
peering laide dun
serveur de routes dans un
point dchange.
Ce type dinterconnexion
permet aux pairs relis
un serveur de routes de
recevoir lensemble des
routes annonces par les
autres pairs.
Point
dchange
Interconnexion 3 :
peering priv entre deux
AS dans un Network Access Point, ou interconnexion dans une salle tlcom .
Ce type dinterconnexion est
effectu grce une liaison point--point entre deux
pairs.
Interconnexion 4 :
session tablie en multihop .
Linterconnexion entre les
routeurs BGP nest pas
directe.
Description
Relation 1 : transitaire /
client feuille .
Ce type de relation existe
entre un AS transitaire et un
AS feuille , qui noffre pas
de service de transit.
Schma
AS transitaire
AS feuille
.
Relation 2 : transitaire /
petit transitaire .
Ce type de relation existe
entre un transitaire et un AS
client, ce dernier tant galement fournisseur daccs
pour un ou plusieurs autres
AS.
AS transitaire
AS
petit transitaire
Relation 3 : peering.
Ce type de relation existe
entre deux AS schangeant
des prfixes, sans que lun de
ces AS ne fournisse lautre
un service de transit.
1.3 Recommandations
Les niveaux de recommandation sappliquant un lment de configuration donn
sont dfinis sur une chelle trois toiles :
: souhaitable
: recommand
: fortement recommand
Bonnes pratiques
Interconnexion
Interconnexions
1 et 4
TCP-MD5 (2.1)
Interconnexion 2
Niveau de
recommandation
Remarques
Le recours ce
mcanisme est
fortement
recommand sur les
interconnexions non
ddies.
Interconnexion 3
Filtrage sur le
numro dAS du
pair (3.7)
Interconnexions
1, 3 et 4
Filtrage systmatique
sur le numro dAS
voisin.
Bonnes pratiques
Types de relation
Niveaux de
recommandation
Remarques
Ct transitaire :
Relation 1
Ct client : -
Ct transitaire :
Filtrage systmatique
pour des AS
feuilles .
Relation 2
Ct client : -
Relation 3
Ct transitaire :
Filtrage sur la
limite du nombre
maximum de
prfixes reus
(3.6)
Filtrage mettre en
uvre ct transitaire.
Relations 1 et 2
Ct client : -
Filtrage mettre en
uvre par chacun des
pairs.
Relation 3
Suppression des
numros dAS
privs (3.5)
Bonnes pratiques
Niveaux de
recommandation
Remarques
Filtrage systmatique.
Journalisation (4.1)
Ce mcanisme permet de
renforcer la robustesse des
interconnexions avec la
conservation du transfert des
paquets pendant le redmarrage
du processus BGP.
Chapitre 2
.
TCP MD5 nest pas un mcanisme cryptographique robuste. En particulier, ce mcanisme nest pas conforme lannexe B1 du Rfrentiel Gnral de Scurit de lANSSI
[9]. Cependant, les implmentations existantes la date dcriture de ce document
ne proposent pas lAuthentication Option de TCP, dfinie dans la RFC 5925 [10],
qui doit permettre lutilisation dautres algorithmes. Malgr son obsolescence, TCP
MD5 constitue un lment de scurit supplmentaire aux autres bonnes pratiques
de configuration. En labsence de mcanisme plus robuste, TCP MD5 devrait tre
systmatiquement utilis lorsque linterconnexion est effectue en multi-hop, ou au
moyen dun quipement partag (par exemple, un commutateur) au sein dun point
dchange. Lorsque linterconnexion est effectue entre deux routeurs proposant un
mcanisme cryptographique plus robuste, ce mcanisme doit tre utilis en lieu et
place de TCP MD5.
Un secret diffrent doit tre configur pour chaque interconnexion. Le secret utilis
doit tre fort, sans quoi le mcanisme fourni par TCP MD5 ne prsente plus dintrt. La force dun secret dpend de sa longueur et des classes de caractres qui
le composent. LANSSI a publi une note technique, Recommandations de scurit
relatives aux mots de passe [11], qui donne des critres pour choisir judicieusement
un mot de passe.
. TCP MD5 - Routeurs Alcatel-Lucent
Extrait 2.1 Commande permettant de congurer lauthentication MD5
neighbor <ip-address > authentication-key <secret >
.
Extrait 2.5 - Commentaires
Cet extrait montre comment configurer lauthentification TCP MD5 sur un routeur Juniper laide de la commande .set authentication-key. La cl demande est la chane de caractres constituant le secret sur lequel les pairs se
sont pralablement accords.
Chapitre 3
.
LIANA alloue des prfixes aux RIR 3 (registres rgionaux) qui proviennent uniquement
du prfixe 2000::/3, correspondant aux adresses dites Global Unicast [19]. la date
de rdaction du document, le bloc na pas t entirement allou. Les tableaux A.1
et A.2 de lannexe A indiquent les prfixes rservs au 15 fvrier 2013. Les listes de
prfixes rservs voluent au cours du temps. Par consquent, si un filtrage des blocs
non allous du prfixe 2000::/3 est effectu, il est ncessaire de maintenir jour
les filtres bass sur ces listes.
Les exemples suivants indiquent comment configurer des filtres pour les martians. Par
souci de concision, seul lexemple de configuration sur les routeurs Alcatel-Lucent est
exhaustif.
Prfixes IPv4 rservs
0.0.0.0/8
127.0.0.0/8
169.254.0.0/16
198.18.0.0/15
192.0.0.0/24
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
192.0.2.0/24
198.51.100.0/24
203.0.113.0/24
100.64.0.0/10
240.0.0.0/4
255.255.255.255/32
::/128
::ffff:0:0/96
100::/64
2001::/23
2001::/32
2001:2::/48
2001:10::/28
2001:db8::/32
fc00::/7
fe80::/10
ff00::/8
entry 10
from
prefix-list " v4-martians "
exit
action reject
exit
exit
default-action accept
exit
neighbor192.0.2.3
exit
exit
entry 10
from
prefix-list " v6-martians "
exit
action reject
exit
exit
entry 20
from
prefix-list " v6-authorized "
exit
action accept
exit
exit
default-action reject
exit
prefix-list
prefix-list
prefix-list
prefix-list
ipv6-filter
ipv6-filter
ipv6-filter
ipv6-filter
deny ::1/128
deny ::/128
permit 2002::/16
deny 2002::/16 le
.
Extrait 3.9 Dnition de laction effectuer pour le ltre ipv4-martians
[edit policy-options policy-statement ipv4-martians ]
root@Juniper # set then reject
}
then reject ;
.
::1/128
::/128
:: ffff :0:0/96 prefixlen >= 96
64: ff9b ::/96 prefixlen >= 96
3.2
.
Extrait 3.15 Filtrage des prxes IPv6 plus spciques que /48
>config >router > policy-options #
prefix-list " v6-too-specific "
prefix ::/0 prefix-length-range 49 -128
exit
Extrait 3.19 Filtrage des prxes IPv6 plus spciques que /48
.
Extrait 3.21 Filtrage des prxes IPv6 plus spciques que /48
deny from any inet6 prefixlen > 48
3.4
La route par dfaut (0.0.0.0/0 pour IPv4, ::/0 pour IPv6) ne doit pas tre annonce,
sauf pour un client qui le demande. Cela permet dviter de devenir malencontreusement un AS de transit, ce qui pourrait conduire une utilisation trs importante de
la bande passante, ainsi qu une surcharge au niveau des routeurs. Dautre part, la
route par dfaut doit seulement tre accepte par un client accdant lInternet via
une route par dfaut.
. Filtrage des routes par dfaut - Routeurs Alcatel-Lucent
Extrait 3.22 Filtrage de la route par dfaut (IPv4 et IPv6)
>config >router > policy-options #
prefix-list " default-v4 "
prefix 0.0.0.0/0 exact
exit
prefix-list " default-v6 " .
prefix ::/0 exact
exit
policy-statement " reject-default-v4 "
entry 10
from
prefix-list " default-v4 "
exit
action reject
exit
.
deny from any inet prefix 0.0.0.0/0 prefixlen = 0
deny from any inet6 prefix ::/0 prefixlen = 0
3.5
Il nest pas toujours ncessaire davoir un numro dAS unique. Par exemple, un AS
client peut tre connect un unique transitaire (par un ou plusieurs liens) qui lui
permet daccder lensemble de lInternet. Le transitaire annonce alors les prfixes
du client la place de ce dernier. Dans ce cas, le transitaire attribue un numro dAS
dit priv cet AS. Les numros dAS priv stendent de 64512 65534 [36].
Afin de faire face la croissance du nombre dAS, des numros dAS sur 32 bits ont
t introduits [37] : les numros de 4200000000 4294967294 sont rservs pour
lusage priv.
Les numros dAS privs ne doivent pas tre prsents sur Internet dans les annonces
puisquils peuvent tre utiliss simultanment par plusieurs AS. Un filtrage en sortie,
permettant de supprimer les numros dAS privs, est donc ncessaire. Des exemples
de configuration sont donns pour toutes les implmentations testes lexception
dOpenBGPD. En effet, OpenBGPD ne permet pas de retirer les numros dAS privs.
.
Extrait 3.27 Exemple de suppression de numros dAS privs dans les annonces un pair
>config >router >bgp#
group "EBGP"
remove-private
neighbor192.0.2.3
exit
exit
3.6
Le filtrage sur le nombre maximal de prfixes annoncs par un pair a pour but de
protger les routeurs dune surcharge, surtout dans le cas o ceux-ci ne sont pas
dimensionns pour effectuer un grand nombre de traitements. Cependant, ce type
de filtre doit galement tre mis en place pour protger la cohrence du routage. Par
exemple, un AS client peut annoncer par erreur lintgralit de la table de routage de
lInternet son transitaire. Si ce dernier neffectue aucun filtrage et accepte ces annonces, il est fort probable quil choisisse les routes associes aux prfixes annoncs
et les rannonce par la suite ses pairs. En effet, pour des raisons dordre conomique, les valeurs des attributs LOCAL_PREF associs aux routes des clients sont en
gnral plus leves que celles des routes des autres pairs. Par consquent, suite
lannonce des prfixes du client, un certain nombre de pairs risquent leur tour de
choisir ces routes comme tant les meilleures, rendant ainsi les prfixes inaccessibles.
Des incidents de ce type sont survenus plusieurs reprises [39].
Afin de se prmunir dune rannonce de la table de routage, il est fortement recommand dappliquer un filtre sur le nombre maximal de prfixes annoncs par un client
ou un AS avec lequel une relation de peering est tablie. En gnral, les quipements
offrent une certaine flexibilit en permettant de configurer partir de quel nombre
de prfixes annoncs la session sera coupe, et de configurer un seuil pour gnrer
des messages davertissement ou des trap SNMP 9 , en fonction des implmentations.
Par exemple, pour un pair annonant 200 prfixes, il est possible de fixer une limite
maximale 1000 prfixes, et un seuil dalerte de 400 prfixes.
. Filtrage sur le nombre maximum de prxes reus - Routeurs Alcatel-Lucent
Extrait 3.31 Commande permettant de congurer le nombre maximal de prxes
>config >router >bgp > group #
# neighbor <address > prefix-limit
<limit > [ log-only ] [
.
threshold <percentage >]
.
Voici les paramtres et options disponibles pour cette commande :
maximum est la valeur maximale du nombre de prfixes autoriss pour
le pair ;
.
threshold est le pourcentage du nombre maximal de prfixes autoriss partir duquel le routeur gnre des messages davertissement.
Par dfaut, des messages sont gnrs ds lors que le seuil de 75 % du
nombre maximal est dpass ;
3.7
Dune manire gnrale, il ne faut pas accepter les annonces pour lesquelles le premier numro dAS de lAS_PATH (cest--dire, le numro dAS le plus gauche) nest
pas celui du pair. Par exemple, dans le cas dune interconnexion entre un transitaire
et un client feuille , les annonces des clients devraient tre filtres afin dliminer
les annonces dont lAS_PATH ne contient pas uniquement le numro dAS du client.
. Filtrage sur lAS_PATH - Routeurs Alcatel-Lucent
Extrait 3.38 Commande permettant de crer une rgle de ltrage sur les
AS_PATH
>config >router > policy-options #
as-path <"name"> <" regular expression ">
action accept
exit
exit
default-action reject
exit
Chapitre 4
.
.
Jul 15 11:24:07 JUNIPER rpd [1176]:
bgp_peer_mgmt_clear :5992:
NOTIFICATION sent to 192.0.2.1 ( External AS 64501) : code 6
(Cease ) subcode 4 ( Administratively Reset ), Reason :
Management session cleared BGP neighbor
Jul 15 11:24:07 JUNIPER rpd [1176]:
RPD_BGP_NEIGHBOR_STATE_CHANGED : BGP peer 192.0.2.1 (
External AS 64501) changed state from Established to Idle
( event Stop)
Jul 15 11:24:39 JUNIPER rpd [1176]:
RPD_BGP_NEIGHBOR_STATE_CHANGED : BGP peer 192.0.2.1 (
External AS 64501) changed state from OpenConfirm to
4.2
Le mcanisme de Graceful Restart, spcifi pour BGP dans la RFC 4724 [43], permet
de limiter lindisponibilit des prfixes de au redmarrage du processus BGP sur un
routeur. Sur une interconnexion BGP entre deux pairs, lannonce de la capacit dite
de Graceful Restart permet de conserver le transfert des paquets pendant le redmarrage du processus BGP dun des deux routeurs. Le transfert seffectue pendant
une dure limite au-del de laquelle les routes utilises sont supprimes. Une fois
le redmarrage effectu, le routeur slectionne les meilleures routes parmi celles que
ses pairs lui ont envoyes, et met jour sa RIB 1 et sa FIB 2 .
. Graceful Restart - Routeurs Alcatel-Lucent
Extrait 4.7 Commande permettant de congurer le mcanisme de Graceful
Restart sur des routeurs Alcatel-Lucent
>config >router >bgp > group #
group "EBGP"
graceful-restart [ stale-routes-time <time >]
.
Extrait 4.7 - Commentaires
Le paramtre stale-routes-time permet de fixer la dure maximale pendant
laquelle le routeur conserve les routes marques comme primes avant de
. des valeurs de 1 3600 secondes.
les supprimer. Cette dure peut prendre
La valeur par dfaut est de 360 secondes. Ce mcanisme se configure sur un
voisin, un groupe ou dans le contexte BGP.
Chapitre 5
.
Sens du trafic
Figure 5.1
Pour ces trois modes, si les conditions ne sont pas vrifies, les paquets sont rejets.
Le mode strict ne peut pas tre employ en cas de routage asymtrique, comme
lillustre la figure5.1, puisquil entranerait llimination dune partie du trafic lgitime. Par exemple, sur la figure 5.1, si lURPF est activ en mode strict au niveau du
routeur de lAS A, le trafic venant de lAS B serait rejet. En effet, la route emprunte
(de lAS B vers lAS D, puis de lAS D vers lAS A) est diffrente de celle utilise pour
envoyer du trafic vers cet AS (de lAS A vers lAS C, puis de lAS C vers lAS B).
Dans ce cas de figure, il est possible de recourir au mode feasible path, qui prend en
compte la route alternative passant par lAS D. Cependant, le mode feasible path est
implment sur les routeurs Juniper, mais pas sur les routeurs Alcatel-Lucent, Cisco
ou OpenBGPD. Pour ces dernires implmentations, en cas de multihoming, seul le
mode loose peut tre utilis.
. Conguration de lURPF - Routeurs Alcatel-Lucent
Extrait 5.1 Commande permettant de congurer lURPF
config
.
router <router-name >
interface <ip-int-name >
urpf-check
mode { strict | loose }
no mode
ipv6
urpf-check
mode { strict | loose}
no mode
loose est configur, alors le test russit. Cependant, si ladresse source dun
paquet correspond une route utilise pour du black-holing, alors le test de
.
lURPF choue.
Par dfaut, les paquets ne satisfaisant pas le test sont rejets silencieusement.
5.2
Les guides de configuration proposs par les quipementiers donnent les lments de
configuration permettant de durcir la configuration des quipements et implmentations.
Annexe A
.
0100::/8
0400::/6
0800::/5
1000::/4
4000::/3
6000::/3
8000::/3
a000::/3
c000::/3
e000::/4
f000::/5
f800::/6
fe00::/9
0200::/7
fec0::/10
2e00:0000::/7
3000:0000::/4
3ffe::/16
5f00::/8
Bibliographie
.
[1]
[2]
RIPE-NCC, RIPE Routing Working Group Recommendations on Route Aggregation . <http://www.ripe.net/ripe/docs/ripe-399>, dcembre 2006.
[3]
[4]
[5]
A. Ramaiah, R. Stewart et M. Dalal, Improving TCPs Robustness to Blind InWindow Attacks . RFC 5961 (Proposed Standard), aot 2010.
[6]
J. Touch, Defending TCP Against Spoofing Attacks . RFC 4953 (Informational), juil. 2007.
[7]
[8]
A. Heffernan, Protection of BGP Sessions via the TCP MD5 Signature Option .
RFC 2385 (Proposed Standard), aot 1998. Obsoleted by RFC 5925, updated
by RFC 6691.
[9]
Agence nationale de la scurit des systmes dinformation (ANSSI), Rfrentiel Gnral de Scurit - version 1.0 . <http://www.ssi.gouv.fr/IMG/pdf/
RGS_B_1.pdf>, janvier 2010.
[10] J. Touch, A. Mankin et R. Bonica, The TCP Authentication Option . RFC 5925
(Proposed Standard), juin 2010.
[11] Agence nationale de la scurit des systmes dinformation (ANSSI), Recommandations de scurit relatives aux mots de passe . <http://www.ssi.gouv.
fr/fr/bonnes-pratiques/recommandations-et-guides/securite-duposte-de-travail-et-des-serveurs/mot-de-passe.html>, mai 2012.
Bonnes pratiques de configuration de BGP . 65
[25] M. Cotton, L. Vegoda et D. Meyer, IANA Guidelines for IPv4 Multicast Address
Assignments . RFC 5771 (Best Current Practice), mars 2010.
[26] S. Deering, Host extensions for IP multicasting . RFC 1112 (INTERNET STANDARD), aot 1989. Updated by RFC 2236.
[27] J. Mogul, Broadcasting Internet Datagrams . RFC 919 (INTERNET STANDARD), oct. 1984.
[28] N. Hilliard et D. Freedman, A Discard Prefix for IPv6 . RFC 6666 (Informational), aot 2012.
[29] R. Hinden, S. Deering, R. Fink et T. Hain, Initial IPv6 Sub-TLA ID Assignments .
RFC 2928 (Informational), sept. 2000.
[30] C. Huitema, Teredo : Tunneling IPv6 over UDP through Network Address
Translations (NATs) . RFC 4380 (Proposed Standard), fv. 2006. Updated
by RFCs 5991, 6081.
[31] C. Popoviciu, A. Hamza, G. V. de Velde et D. Dugatkin, IPv6 Benchmarking
Methodology for Network Interconnect Devices . RFC 5180 (Informational),
mai 2008.
[32] P. Nikander, J. Laganier et F. Dupont, An IPv6 Prefix for Overlay Routable Cryptographic Hash Identifiers (ORCHID) . RFC 4843 (Experimental), avril 2007.
[33] G. Huston, A. Lord et P. Smith, IPv6 Address Prefix Reserved for Documentation . RFC 3849 (Informational), juil. 2004.
[34] B. Carpenter et K. Moore, Connection of IPv6 Domains via IPv4 Clouds . RFC
3056 (Proposed Standard), fv. 2001.
[35] R. Hinden et B. Haberman, Unique Local IPv6 Unicast Addresses . RFC 4193
(Proposed Standard), oct. 2005.
[36] IANA, Autonomous System (AS) Numbers . <http://www.iana.org/
assignments/as-numbers/as-numbers.txt>, avril 2013.
[37] J. Mitchell, Autonomous System (AS) Reservation for Private Use . RFC 6996
(Best Current Practice), juil. 2013.
[38] C. Systems, Cisco IOS IP Routing : BGP Command Reference .
<http://www.cisco.com/en/US/docs/ios/iproute_bgp/command/
reference/irg_book.html>, mars 2011.
Bonnes pratiques de configuration de BGP . 67
[39] F. Contat, S. Nataf et G. Valadon, Influence des bonnes pratiques sur les incidents BGP . <https://www.sstic.org/2012/presentation/influence_
des_bonnes_pratiques_sur_les_incidents_bgp/>, juin 2012.
[40] Juniper Networks, Technical Documentation - prefix-limit . <http:
//www.juniper.net/techpubs/en_US/junos11.4/topics/reference/
configuration-statement/prefix-limit-edit-protocols-bgp.html>,
octobre 2011.
[41] OpenBSD, OpenBGPD : Manual pages . <http://www.openbgpd.org/
manual.html>, janvier 2013.
[42] R. Gerhards, The Syslog Protocol . RFC 5424 (Proposed Standard), mars
2009.
[43] S. Sangli, E. Chen, R. Fernando, J. Scudder et Y. Rekhter, Graceful Restart
Mechanism for BGP . RFC 4724 (Proposed Standard), jan. 2007.
[44] F. Baker et P. Savola, Ingress Filtering for Multihomed Networks . RFC 3704
(Best Current Practice), mars 2004.
[45] Agence nationale de la scurit des systmes dinformation (ANSSI),
Guide dhygine informatique . <http://www.ssi.gouv.fr/fr/bonnespratiques/recommandations-et-guides/securite-du-poste-detravail-et-des-serveurs/l-anssi-publie-la-version-finaliseedu-guide-d-hygiene-informatique.html>, janvier 2013.
[46] T. Ylonen et C. Lonvick, The Secure Shell (SSH) Protocol Architecture . RFC
4251 (Proposed Standard), jan. 2006.
[47] D. Dugal, C. Pignataro et R. Dunn, Protecting the Router Control Plane . RFC
6192 (Informational), mars 2011.
[48] B. Carpenter, RFC 1888 Is Obsolete . RFC 4048 (Informational), avril 2005.
Updated by RFC 4548.
[49] C. Huitema et B. Carpenter, Deprecating Site Local Addresses . RFC 3879
(Proposed Standard), sept. 2004.
Acronymes
.
ANSSI
AS
ASIC
BGP
EBGP
FIB
IANA
IETF
IRR
MAC
RIB
RIR
SNMP
URPF
propos de lANSSI
LAgence nationale de la scurit des systmes dinformation (ANSSI) a t cre le
7 juillet 2009 sous la forme dun service comptence nationale.
En vertu du dcret n 2009-834 du 7 juillet 2009 modifi par le dcret n 2011-170
du 11 fvrier 2011, lagence assure la mission dautorit nationale en matire de
dfense et de scurit des systmes dinformation. Elle est rattache au Secrtaire
gnral de la dfense et de la scurit nationale, sous lautorit du Premier ministre.
Pour en savoir plus sur lANSSI et ses missions, rendez-vous sur www.ssi.gouv.fr.
. 2013
Septembre
Licence information publique librement rutilisable (LIP V1 2010.04.02)
Agence nationale de la scurit des systmes dinformation
ANSSI - 51 boulevard de la Tour-Maubourg - 75700 PARIS 07 SP
Sites internet : www.ssi.gouv.fr et www.securite-informatique.gouv.fr
Messagerie : communication [at] ssi.gouv.fr