Вы находитесь на странице: 1из 34

MI020 - Internet Nouvelle Génération

Module de M1 de la Spécialité Réseaux


(Mention Informatique)
2e semestre 2010 - 2011
Université Pierre et Marie Curie

Support de Cours n°1

Introduction
Sécurité

Bénédicte LE GRAND
Prométhée SPATHIS
 
Organisation du module
 20 h de cours

Internet Nouvelle Génération  40 h de TDs et TMEs


 7 séances de TDs
 3 séances de TMEs

 Intervenants
 Bénédicte Le Grand
Bénédicte Le Grand  Université Pierre et Marie Curie, laboratoire LIP6
Université Pierre et Marie Curie  Prométhée Spathis
Laboratoire CNRS-LIP6
 Université Pierre et Marie Curie, laboratoire LIP6
Benedicte.Le-Grand@lip6.fr

1 2

Groupes de TD Contrôle des connaissances

 1ère session :
 Mercredi de 8h30 à 12h45  Examen réparti 1
 Bâtiment 41 salle 313
 Examen 1 : 30% de la note finale
 Présentation d’article : 10 % de la note finale

 Mercredi de 13h15 à 17h30  Examen réparti 2


 Bâtiment 41 salle 320  Examen 2 : 60 % de la note finale

 2e session :
 Session de rattrapage : 100 % de la note finale

3 4

Présentation orale

 Analyse critique
 Thématique libre ou article de recherche
 Conférence renommée
 http://conferences.sigcomm.org/sigcomm/2010/program.php

 Présentation orale avec transparents


 Contexte et problématique
 Solution(s) proposée(s) / existante(s)
 Analyse critique
 Travail individuel ou en binôme (recommandé)
 10 minutes par personne

5 6

1
Procédure pour le choix de sujet/d’article Prérequis
 Choisir 3 sujets / papiers  Module ARES
 Attention pour les conférences, papier ≠ session
 IPv4
 Adressage, masques, subdivision de réseau…
 Envoyer un mail à Benedicte.Le-Grand@lip6.fr avec
 Nom (s)  Routage
g
 Groupe de TD  Intra-domaine
 1er choix de papier (papier préféré)  TCP
 2e choix de papier  Contrôle de congestion
 3e choix de papier  Applications

ATTENDRE LE MAIL DE CONFIRMATION


SINON RELANCER
7 8

Objectifs du module Plan du module


 Croissance de l’Internet & Nouveaux besoins applicatifs  Introduction - Contexte
Introduction

 Sécurité (1 TD)
 Menaces de sécurité  Multicast (1 TD)
Sécurité

 Routage
g BGP ((1 TD))
 Évolutions et mécanismes d’adaptation  Architectures de Qualité de service (1 TD)
Multicast

 Routage  Extensions de TCP (1 TME)
 Contrôle de congestion TCP  Contrôle de trafic (1 TME)
 Qualité de Service, contrôle de trafic
 IPv6  Présentation DNS (Paul Mockapetris)
 IPv6 (1 TD)
 Présentations orales (1 TD)
9 10

Programme ING février 2011 Références


Programme du cours Programme des TD/TME

1 07/02 Introduction
2 14/02 Sécurité 1 16/02 TD sécurité  Livres
3 21/02 Multicast 2 23/02 TD Multicast
3 02/03 TD IPv6
4 28/02 IPv6  Kurose, J. F. et Ross, K. W. (2002). Ed. : Addison Wesley,
5 07/03 Révisions 4 09/03 Révisions Second Edition. Computer Networking – A Top-Down
6 21/03 Préparation TME1 5 23/03 TME 1 - NS A
ApproachhFFeaturing
t i the
th Internet
I t t
7 28/03 Préparation TME2 + QoS 6 30/03 TME2 – NS
8 04/04 BGP 7 06/04 TD QoS  Tanenbaum, A. (1997). Ed. : InterEditions, 3e édition.
25/04 Férié (Lundi de Pâques) 8 27/04 TD BGP Réseaux: Architectures, Protocoles, Applications
9 02/05 DNS 9 04/05 Séance présentations orales
10 11/05 Révisions  Pujolle, G : Les Réseaux, Ed. Eyrolles
10 16/05 Révisions
11

12

2
Plan du cours

Internet : contexte actuel  Historique


 Croissance
 Architecture et gouvernance
 Principes fondateurs
 Services et applications

13 14

Histoire de l’Internet Cahier des charges initial

 Situation au milieu des années 60  Applications ciblées


 Communication entre machines possible…  Messagerie
 …mais environnement hétérogène  Transfert de fichiers
 Structures des réseaux très variées  Connexion à distance
 P de
Pas d connectivité
i i é globale
l b l
 Contraintes
 Objectif : interconnexion  Sauvegarder l'existant
 Communication entre machines  Extensibilité
 interconnecter les réseaux à venir
 Utilisation de ressources distantes
 Diffusion gratuite et large
 Contenu
 Puissance de calcul
15 16

Histoire de l'Internet Différents types de commutation


1961-1972 : premiers principes de la commutation de paquets
 1961 : Kleinrock – (théorie  1972 :
des files d'attente : efficacité  Démonstration publique
prouvée de la commutation d'ARPAnet
de paquets)
 NCP (Network Control
 1964 : Baran – commutation Protocol)
otoco ) p
premier
e e p protocole
otoco e
de paquets dans les réseaux hôte-hôte
militaires
 Premier programme e-mail
 1967 : ARPAnet conçu par
 ARPAnet contient 15
l'Advanced Research Projects
noeuds
Agency(DoD)
 1969 : premier noeud
ARPAnet opérationnel

17 18

3
Histoire de l'Internet Histoire de l'Internet
1961-1972 : premiers principes de la commutation de paquets 1972-1980 : Interconnexion, réseaux nouveaux et propriétaires
 1970: réseau de satellites
 1961 : Kleinrock – (théorie  1972 : ALOHAnet à Hawaii Principes d'interconnexion de
des files d'attente : efficacité Cerf and Kahn’s :
 Démonstration publique  1972 : Début des spécifications
 minimalisme, autonomie –
prouvée de la commutation d'ARPAnet de TCP/IP
pas de changements
de paquets)  1973 : la thèse de Metcalfe’s internes requis pour
 NCP (Network Control
propose Ethernet interconnecter des réseaux
 1964 : Baran – commutation Protocol) premier protocole  1974 : Cerf and Kahn -  Modèle de service "au
de paquets dans les réseaux hôte-hôte architecture pour
militaires mieux" (best effort)
 Premier programme e-mail
l'interconnexion de réseaux
 Routeurs sans état
 1967 : ARPAnet conçu par  Fin des 70’s : architectures
 ARPAnet contient 15  Contrôle décentralisé
l'Advanced Research Projects propriétaires : DECnet, SNA,
noeuds XNA
Agency(DoD)
 Fin des 70’s : paquets Définition de l'architecture
 1969 : premier noeud commutés de longueur fixe actuelle de l'Internet
ARPAnet opérationnel (précurseur d'ATM)
 1979 : ARPAnet contient 200
noeuds
19 20

Histoire de l'Internet Histoire de l'Internet


1980-1990 : nouveaux protocoles, prolifération de réseaux 1990, 2000’s : commercialisation, Web, nouvelles applications
 1980 : Unix BSD 4.1 inclut TCP/IP  Nouveaux réseaux nationaux :
 1982 : définition du protocole d'e-mail Csnet, BITnet, NSFnet, Minitel  Début des 90’s : ARPAnet Fin des 90’s – 2000’s:
SMTP décommissionné
 Plus de "killer" applications :
 1983 : déploiement de TCP/IP  100 000 hôtes connectés à  1991 : NSF lève les restrictions sur messagerie instantanée,
une confédération de réseaux l'utilisation commerciale de NSFnet partage de fichiers par P2P (ex
 1983 : ARPANET bascule sous TCP/IP (décommissioné, 1995) Napster)
 1983 : ARPANET se sépare en 2 réseaux  Début des 90s : Web
 ARPANET pour la recherche  Hypertexte
MILNET pour les communications militaires  Sécurité des réseaux au
 HTML, HTTP : Berners-Lee

 1983 : DNS défini pour la traduction premier plan


 1994 : Mosaic, plus tard Netscape
nom/adresse-IP  Activité commerciale
 1985 : la NSF (National Science  Estimation de 50 millions
 1993 : Gestion de la pénurie d'adresses d'hôtes, plus de 100 millions
Foundation) déploie un réseau fédérateur
grande distance, NFSNET, relié à  1994 : Décision IPv6 d'utilisateurs
ARPANET  1996 : Premier déploiement du 6-BONE
 1985 : définition du protocole FTP  Les liens backbone
 1988 : contrôle de congestion de TCP fonctionnent à plusieurs Gbps
 1989 : Naissance du World-Wide Web au
CERN
21 22

Plan du cours Internet aujourd'hui


 Historique
 Croissance
 Architecture et gouvernance
 Principes fondateurs
 Services et applications

23 24

4
Utilisateurs d’Internet dans le monde (2009)
Croissance de l’Internet
Population Internet Users Internet Users Penetration Growth
World Regions
( 2009 Est.) Dec. 31, 2000 Latest Data (% Population) 2000-2009

Africa 991,002,342 4,514,400 86,217,900 8.7 % 1,809.8 %

Asia 3,808,070,503 114,304,000 764,435,900 20.1 % 568.8 %

Europe 803,850,858 105,096,093 425,773,571 53.0 % 305.1 %

Middle East 202,687,005 3,284,800 58,309,546 28.8 % 1,675.1 %

North America 340,831,831 108,096,800 259,561,000 76.2 % 140.1 %

Latin America/Caribbean 586,662,468 18,068,919 186,922,050 31.9 % 934.5 %

Oceania / Australia 34,700,201 7,620,480 21,110,490 60.8 % 177.0 %

WORLD TOTAL 6,767,805,208 360,985,492 1,802,330,457 26.6 % 399.3 %

25 26
http://www.internetworldstats.com/stats.htm

Répartition des utilisateurs d’Internet Pays ayant le plus grand nombre d’utilisateurs d’Internet
http://www.internetworldstats.com/top20.htm

(2009)
% Population Growth % of World
# Country or Region
(Penetration) 2000-2009 Users
1 China 26.9 % 1,500.0 % 20.8 %
2 United States 74.1 % 138.8 % 13.1 %
3 Japan 75,5 % 103.9 % 5.5 %
4 India 7.0 % 1,520.0 % 4.7 %
5 Brazil 34.0 % 1,250.2 % 3.9 %
6 Germany 65.9 % 126.0 % 3.1 %
7 United Kingdom 76.4 % 203.1 % 2.7 %
8 Russia 32.3 % 1,359.7 % 2.6 %
The
9 France 69.3 % 407.1 % 2.5 %
http://www.internetworldstats.com/top20.htm
World Stats | Africa Stats | America Stats | Asia Stats | Europe Stats |
Internet
10 K
Korea S
South
th 77 3 %
77.3 96 8 %
96.8 22%
2.2
EU Stats |TOP 20 COUNTRIES
M. East WITH
Stats | Oceania Stats | Links Coaching
11 Iran THE HIGHEST NUMBER 48.5 %OF INTERNET USERS 12,780.0 % 1.9 %
Library
12 Italy 51.7 % 127.5 % 1.7 %
13 Indonesia 12.5 % 1,400.0 % 1.7 %
14 Spain 71.8 % 440.0 % 1.7 %
15 Mexico 24.8 % 917.5 % 1.6 %
16 Turkey 34.5 % 1,225.0 % 1.5 %
17 Canada 74.9 % 97.5 % 1.4 %
18 Philippines 24.5 % 1,100.0 % 1.4 %
19 Vietnem 24.8 % 10,881.6 % 1.3 %
20 Poland 52.0 % 615.0 % 1.2 %
TOP 20 Countries 30.3 % 359.9 % 76.4 %
Rest of the World 17.1 % 461.5 % 23.6 %
27 28
Total World - Users 25.6 % 380.3 % 100.0 %

Taux de pénétration d’Internet (2009) Pays ayant les plus forts taux d’utilisateurs (2009)
TOP 58 COUNTRIES WITH THE
HIGHEST INTERNET PENETRATION RATE

Penetration Internet Users Population Source and Date


# Country or Region
(% Population) Latest Data ( 2009 Est. ) of Latest Data
1 Falkland Islands 100.0 % 2,483 2,483 ITU - Sept/09
2 Iceland 93.2 % 285,700 306,694 ITU - Sept/09
3 Norway 90.9 % 4,235,800 4,660,539 ITU - Sept/09
4 Greenland 90.3 % 52,000 57,600 ITU - Mar/08
5 Sweden 89.2 % 8,085,500 9,059,651 ITU - Sept/09
6 Saint Kitts and Nevis 87.2 % 35,000 40,131 ITU - Dec/09
7 Netherlands 85.6 % 14,304,600 16,715,999 ITU - Sept/09
8 Denmark 84.2 % 4,629,600 5,500,510 ITU - June/09
9 Finland 83.5 % 4,382,700 5,250,275 ITU - Sept/09
10 New Zealand 83.1 % 3,500,000 4,213,418 IWS - Dec/09
11 Australia 80.1 % 17,033,826 21,262,641 N-O - AUG/09
12 Luxembourg 78.7 % 387,000 491,775 ITU - Sept/09
13 Korea 77.3 % 37,475,800 48,508,972 ITU - June/08
14 Faroe Islands 76.8 % 37,500 48,856 ITU - Nov/08
15 United Kingdom 76.4 % 46,683,900 61,113,205 ITU - Sept/09
16 United States 76.3 % 234,372,000 307,212,123 NNV - Nov/09
17 Antigua & Barbuda 75.9 % 65,000 85,632 ITU - June/09
18 Switzerland 75.5 % 5,739,300 7,604,467 ITU - Sept/09
19 Japan 75.5 % 95,979,000 127,078,679 ITU - Sept/09
20 Germany 75.3 % 61,973,100 82,329,758 ITU - Dec/09
21 Bermuda 75.2 % 51,000 67,837 ITU - Sept/09
22 Canada 74.9 % 25,086,000 33,487,208 ITU - Sept/09
23 United Arab Emirates 74.1 % 3,558,000 4,798,491 TRA - Dec/09
24 Israel 72.8 % 5,263,146 7,233,701 TNS - May/08
25 Singapore 72.4 % 3,370,000 4,657,542 ITU - Sept/09
26 Austria 72.3 % 5,936,700 8,210,281 ITU - Sept/09
27 Spain 71.8 % 29,093,984 40,525,002 N-O - AUG/09
28 Andorra 70.5 % 59,100 83,888 ITU - June/09
29 Guernsey & Alderney 70.4 % 46,129 65,484 ITU - Sept/09
29 30 Belgium 70.0 % 7,292,300 10,414,336 ITU - Sept/09
31 France 69.3 % 43,100,134 62,150,775 N-O - AUG/07

5
Comment représenter l’Internet ?

31 32

http://www.caida.org/tools/measurement/skitter/visualizations.xml

33 34

Number of DNS queries seen


by one of the .CL nameservers in Chile

http://www.caida.org/tools/visualization/mapnet/Backbones/ 35 36
http://www.caida.org/tools/visualization/mapnet/Backbones/ http://www.caida.org/research/dns/cl/animated_maps/

6
Index de trafic Internet Traffic Report
http://www.internettrafficreport.com/main.htm

37 38
http://www.internettrafficreport.com/main.htm

Evolution des usages Évolution des terminaux

39 40

Statistiques - ecommerce Commerce électronique

 Nombre de terminaux Internet en 1984 : 1 000


 Nombre de terminaux Internet en 1992 : 1 000 000
 Nombre de terminaux Internet en 2008 : 1 000 000 000

 Il a fallu 38 ans au Téléphone


13 ans à la Télévision
4 ans à Internet
3 ans à l’iPod
2 ans à facebook

pour atteindre 50 millions d’utilisateurs

41 42
http://www.witiger.com/ecommerce/ecommercestatistics.htm

7
Quaterly Internet ad revenues surpass $4 billions SMS & Internet revenue
Revenus générés par l'Internet per AT&T mobile subscriber

43 44
http://battellemedia.com/archives/2006/11/internet_revenue_breaks_4_billion http://seekingalpha.com/article/186538-at-t-verizon-and-sprint-mobile-internet-and-texting-crucial

Ventes surau Internet


Ventes Internet Canada au Canada Top 10 Global Web Parent Companies
Top 10 Global Web Parent Companies, Home & Work
May 2010

2000 2001 2002 2003 2004 Home & Work (May 2010)
Time Per Person
Rank Parent Unique Audience Active Reach %
(HH:MM:SS)

Secteur privé 5.5 millions 6.3 10.8 18.1 26.4


1 Google 365,357,403 85.0% :17:43

2 Microsoft 317,289,841 73.8% :44:28


Secteur public 111.2 180.3 263.6 756.5 1,881.5
3 Facebook 239,924,802 55.8% :42:19

4 Yahoo! 235,754,055 54.8% :45:29


Total 5,661.0 6,516.9 11,078.9 18,920.9 28,319.5
5 eBay 157,914,474 36.7% :39:00

6 Wikimedia Foundation 156,563,782 36.4% :13:52


%
d’augmentation 7 AOL LLC 118,842,824 27.6% :46:46
00 to 01 = 01 to 02 = 02 to 03 = 03 to 04 =
par rapport à
14% 70% 68% 45%
l’année 8 News Corp. Online 115,877,066 27.0% :39:20
précédente
9 InterActiveCorp 115,874,816 27.0% :10:19

10 Amazon 115,077,182 26.8% :22:10

45
www.statcan.ca/Daily/English/050420/d050420b.htm http://en-us.nielsen.com/rankings/insights/rankings/internet

Broadband Statistics for 2011 - Predictions Quelques autres statistiques…


Advertising:  Advertising
Online advertising, which includes display, search, video, and other categories, is expected to tally $25.4 billion in spending this year and
$29.1 billion in 2010. If those forecast figures are reached, they will account for 2.9 percent year-over-year growth in 2009 and 2.7 percent
 By 2011, Advertising revenues from print Yellow Pages, Internet growth in 2010. Online ad spending at newspaper Web sites totaled $847 million (Newspaper Association of America).

Yellow Pages and Local Search will grow from $30.6 billion in 2006  Broadband
61 percent of broadband Internet users watch online video (Horowitz Associates). 13 million households worldwide receive broadcast via
to $38.9 billion globally, representing a 4.9 percent compound 
the Internet. President Obama signed into law the $787 billion stimulus package, which includes $7.2 billion for broadband programs.
Mobile Stats
annual growth rate (Group's Global Directories 2007 report) US wireless combined data revenues now total $23 billion a year, accounting for 17 percent of total carrier revenue (CTIA). 21 percent of
young US consumers use cell phones for banking (Aite Group). 25 percent of cellphone owners shop online on their phones (Harris
 By 2011, Email marketing spending will top $1.1 billion Interactive). 52 percent of Internet users connect wirelessly (Pew Internet).
 Google Search Stats
 Byy 2011,, Global mobile advertisingg market will reach $14.6
$ billion 1,000,000,000,000 (one trillion) – approximate number of unique URLs in Google’s index. 2,000,000,000 (two billion) – very rough number
off Google
G l searches
h d daily.
il $39
$39.96
96 – the
th average costt per click
li k for
f the
th phrase
h “consolidation
“ lid ti off school
h l lloans”” iin AdW
AdWords.
d
(Gartner)  Wikipedia Stats
2,695,205 – the number of articles in English on Wikipedia. 684,000,000 – the number of visitors to Wikipedia in the last year. 75,000 – the
 By 2011, The US online advertising market will reach $50.3 billion number of active contributors to Wikipedia. 10,000,000 – the number of total articles in Wikipedia in all languages.
YouTube Stats
(Yankee Group)

70,000,000 – number of total videos on YouTube (March 2008). 200,000 – number of video publishers on YouTube (March 2008).
100,000,000 – number of YouTube videos viewed per day (this stat from 2006 is the most recent I could locate)2 minutes 46.17 seconds –
 By 2011, Global market for ad-supported mobile messaging will rise average length of video. 412.3 years – length in time it would take to view all content on YouTube (March 2008). $1,000,000 – YouTube’s
estimated bandwidth costs per day.
to $12 billion (eMarketer)  Blog Stats
133,000,000 – number of blogs indexed by Technorati since 2002. 900,000 – average number of blog posts in a 24 hour period. 1,750,000
 By 2011, Online advertising to surpass newspaper advertising – number of RSS subscribers to TechCrunch, the most popular Technology blog (January 2009). 77% – percentage of active Internet users
(VSS) 
who read blogs.
Facebook Stats
 By 2011, Podcasting to generate $400 million in ads (eMarketer) 200,000,000 – number of active users. 100,000,000 – number of users who log on to Facebook at least once each day. 170 – number of
countries/territories that use Facebook. 35 – number of different languages used on Facebook.

47 48
http://www.birds-eye.net/directory/statistics/2011.htm http://www.scherrtech.com/wordpress/2009/05/16/internet-mobile-broadband-social-media-usage-statistics-2009/

8
Problèmes de la croissance Nombreuses dimensions d’échelle

 Facteur d'échelle  Nombre d'hôtes globalement routables


 Nombreuses couches liaison
 Évolution permanente de la technologie
 Distance géographique
 Actuellement  Nombreuses versions logicielles et technologies
 Pénurie
Pén rie d'adresses (->
( > IPv6)
IP 6) matérielles
 Explosion du nombre de routes (-> BGP)  Éventail des bandes passantes
 Explosion du nombre de flots (-> Ingénierie de  Différents besoins applicatifs (QoS, etc) (-> QoS)
trafic)  Niveaux de confiance / frontières administratives
(-> Sécurité)
 Prix du matériel

49 50

Plan du cours Éléments de l'Internet


 Hôte
 PC, serveur, etc.
 Historique  Équipement terminal
router
 Exécute des applications réseau workstation
 Croissance  Système de communication server
mobile
 Ligne téléphonique, satellite, fibre
 Architecture et gouvernance optique, Ethernet, etc. local ISP
 Paq et IP
Paquet
 Principes fondateurs  Unité de transfert de données dans
l'Internet
 Services et applications  Routeur : propage les paquets vers la
regional ISP

destination
 équipement intermédiaire
 Protocole
 Contrôle l'émission et la réception des
données company
51
 TCP, HTTP, FTP, PPP, IP… network 52

Organisation de l'Internet Structure de l'Internet


 Hiérarchique
 Interconnexion de réseaux
 Au centre: “tier-1” ISPs
couverture nationale / internationale
 Réseau : système connexe sous la tutelle d'une
autorité administrative
Less fournisseurs
L f iss s
de tier-1 sont
Les
 Internet : constellation de différents propriétaires
fournisseurs
Tier 1 ISP aussi connectés à
NAP des points d’accès
interconnectés de tier-1 au réseau public
s'intercon- (NAPs)
-nectent
 Pas d'administration centrale ou d'opérateur entre eux Tier 1 ISP Tier 1 ISP
unique (privé)

53 54

9
Ex d’ISP de Tier-1 : Sprint Tier-1
ISP
Réseau backbone de Sprint US

55 56

Structure de l'Internet : réseau de réseaux Structure de l'Internet : réseau de réseaux


 “Tier-3” ISPs et ISPs locaux
 “Tier-2” ISPs : ISPs plus petits (souvent régionaux)
 Connectés à un ou plusieurs tier-1 ISPs, éventuellement à d'autres  Réseau du "dernier saut" (réseau d'"accès"), près des terminaux
tier-2 ISPs
local
Tier 3 local
ISP local local
ISP ISP
Les Tier-2 ISP ISP
Les ISPs
ISP peuventt
ISPs Tier 2 ISP
Tier-2 Tier-2
Ti 2 ISP
un Tier-2 ISP locaux et tier-
Tier-2 ISP Tier-2 ISP aussi être
paye un tier-1 3 ISPs sont Tier 1 ISP
ISP pour la Tier 1 ISP connectés clients des NAP
connectivité au NAP entre eux et ISPs de
reste de interconnecter niveaux
un NAP supérieurs, qui
l'Internet Tier 1 ISP Tier 1 ISP
 le tier-2 ISP Tier 1 ISP Tier 1 ISP les connectent Tier-2 ISP
est client du Tier-2 ISP au reste de local
l'Internet Tier-2 ISP Tier-2 ISP
provider local ISP
Tier-2 ISP Tier-2 ISP local local
tier-1
ISP ISP ISP
57 58

Structure de l'Internet : réseau de réseaux Protocoles de l’Internet


 Un paquet traverse de nombreux réseaux !
 IETF
local
local
 Internet Engineering Task Force
ISP Tier 3 local local
ISP ISP
ISP ISP
Tier-2
Tier 2 ISP Tier-2 ISP
Tier 1 ISP
NAP

Tier 1 ISP Tier 1 ISP


Tier-2 ISP
local
Tier-2 ISP Tier-2 ISP
local local local ISP
ISP ISP ISP
59 60

10
Plan du cours Principes fondateurs

 Historique  Général
Réseau numérique à commutation de paquets
 Croissance 

 Architecture et gouvernance  Particuliers


 Principes fondateurs  IP
 Bout en bout
 Services et applications  "Libéral" quand on reçoit, "conservateur" quand on
transmet
 Implémentation avant standardisation

61 62

Architecture TCP/IP Principes, « Philosophie » de l’Internet

 Inter – net : Interconnexion de réseaux  Protocoles hétérogènes


 Virtualisation du réseau
 Architecture opérationnelle  Protocole fédérateur
 Conversion au niveau réseau

 Standard de fait
 Adressage hétérogène
 Adressage universel
 Procédures de conversion

63 64

Superposition à l'existant Pile de protocoles Internet


 Interface commune
 Application : supporte les applications réseau
application
 Cacher la multitude des technologies applica
tion
 FTP, SMTP, HTTP
réseaux transp
ort  Transport : transfert de données entre 2 hôtes
netwo
rk
netwo
netwo
rk netwo  TCP, UDP transport
rk data rk
data
 IP ((Internet Protocol)) link
data
link
link
physic
data
link  Réseau : routage des datagrammes d
d'une
une source
réseau
physic netwoal
physic physic
al
al rk al vers une destination
data netwo
 Un seul service utilisé : savoir link rk  IP, protocoles de routage
physic data
convoyer un paquet d'un point à l'un al link
 Liaison : transfert de données entre des éléments liaison
de ses voisins netwo
netwophysic
rk al
rk data de réseaux voisins
data link

 Plan d'adressage unique et


link
physic
netwophysic
rk al applica
 PPP, Ethernet physique
homogène
al data
link
tion
transp
 Physique : bits "sur le câble"
physic ort
al netwo
rk
 Introduction de passerelles (routeurs) data
link
physic
65
al 66

11
Modèle en couches Principe du bout en bout

 Encapsulation  Pas d'intelligence dans le réseau


traitement simple dans le réseau -> haut débit
 Résolution d'adresse (@IP-@physique) 

 Réseau généraliste -> évolution de l'utilisation du réseau


 Pas de redondance de contrôle

source destination  Séparation des fonctions


M application application M message  Contrôle -> hôte
Ht M transport transport Ht M segment
 Acheminement -> routeur
Hn Ht M réseau réseau Hn Ht M datagramme
Hl Hn Ht M liaison liaison Hl Hn Ht M trame
physique physique

67 68

Principe du bout en bout Bout en bout : avantages


 Simplicité
Pas de gestion d'états
Service réseau

  Interconnexion hétérogène plus facile
 Modes d'acheminement
 Débit écoulé plus important
 Datagramme
 Circuit virtuel  Évite les contrôles redondants
 Mode non connecté et sans garantie
 Infrastructure indépendante du service
 Évolution du réseau

 Robustesse  Réaction face à la panne


 Indépendance de fonctionnement
 Fonctionnement du système d'extrémité indépendant du réseau
 Le fonctionnement du système d'extrémité n'est pas lié
à celui du réseau  Utilise la puissance de calcul disponible (hôtes)

 L'enrichissement du service dépend de l'application


69 70

Libéral / conservateur Implémentation avant standardisation

 Garantit une connectivité maximale  Un standard est promulgué après validation


 On accepte tout, au risque de conduire à un par la preuve de son fonctionnement
fonctionnement en mode dégradé
 On se restreint aux standards p
pour transmettre
 Approche expérimentale

 Opposé à l'approche OSI (Open System


Interconnection)
 Besoin d'une standardisation poussée

71 72

12
Plan du cours Services du réseau

 Historique  Besoins des applications


 Croissance
 Service élastique
 Architecture et gouvernance  Flux discrets
 Pi i
Principes ffondateurs
d t  Information asynchrone
 Variation du service
 Services et applications
 Service fluide (stream)
 Flux continus
 Notion de "temps"
 Besoin statistique en terme de délai et de débit

73 74

Applications Besoins des applications

 Impact des applications dans le réseau


 Débit des données
 Type de trafic (débit constant ou rafales) Application Pertes Bande passante Sensibilité temp.
 Cible du trafic (multipoint ou destination unique, Transfert de fichier Sans ppertesélastique
q Non
mobile
bil ou fifixe)) e-mail Sans pertes élastique Non
Web tolérant élastique Non
Audio/vidéo Temps réel tolérant audio: 5Kb-1Mb oui, 100’s msec
 Service réseau fourni à l'application video:10Kb-5Mb
 Sensibilité au délai Audio/vidéo enregistré tolérant similaire oui, quelques secs
Jeux interactifs tolérant Quelques kbps oui, 100’s msec
 Sensibilité à la perte de paquets Applis financières Sans pertes élastique Oui et non

 Les applications font la loi !


75 76

Les données (texte, images, schémas) Tranfert de fichiers fiable

 Transfert de fichiers  Sensible à la perte de paquets


 Très sensible à la perte d ’information  Insensible au délai relatif au temps d'aller
 Des retransmissions peuvent être nécessaires retour
 La taille maximale de chaque bloc transmis doit être
bornée : notion de paquets  Point à point ou multipoint
Point-à-point
 Par rafales
 Transactionnel
 Délai de réponse admissible dépendant de la
sensibilité des usagers : 3 secondes est
couramment admis comme la valeur limite
77 78

13
Connexion distante (remote login) Audio

 Sensible à la perte de paquets  Relativement faible bande passante


 Sensible au délai  Échantillons numérisés, paquétisés
 Sujet à des contraintes d'interaction  Sensible à la variation du délai
 Peut tolérer jusqu
jusqu'à
à plusieurs centaines de  Tolérante aux ppertes
millisecondes  Possibilité de multipoint, sessions de longue
 Par rafales durée
 Limite naturelle du nombre d'émetteurs
 Point-à-point simultanés

79 80

La voix Codage MIC


Echantillons

 Numérisation de la voix : codage MIC (PCM)


 Voix = signal analogique
 Numérisation = échantillonnage + quantification + codage time
Echantillonnage
 Intérêt de la numérisation : faible taux d’erreur, facilité de
multiplexage
 S
Spectre
t transmis
t i : 4Khz
4Kh Quantification
Q tifi ti => >
 Donc 8000 échantillons/seconde  bruit de quantification
 Quantifiés sur 256 niveaux de quantification
Echantillons
 Codés sur 8 bit
 La voix codée MIC génère un flux périodique d ’octets : 01001100 01001100 01001100 ...
1octet/125s
time
 Et donc un débit de 64 Kbit/s 1octet/125s =
Codage 64Kbit/s
MIC : Modulation par Impulsion Codée
81 82

La voix Qualité de service


 La voix est très sensible au délai et à la variation de délai
 Autres codages
 Délai maximal sans annulation d ’écho : 24ms
 Délai maximal avec annulation d ’écho: 300ms
 Suppression des silences  Il y a écho car le signal entrant et sortant sont transmis sur la
 flux = suite de « talkspurts » et de silences même paire torsadée
 En codage MIC elle est peu sensible à la perte
 Elimination de la redondance d ’information
 On arrive à coder la voix à 800bit/s, le résultat est une
voix de mauvaise qualité mais intelligible  Elle devient d ’autant plus sensible à la perte qu ’elle est
 La voix GSM est souvent codée à 13Kbit/s compressée (que la redondance est éliminée)
 La voix sur Internet est parfois codée à 5.3 Kbit/s  Le destinataire doit récupérer l’horloge de la source pour
 Flux = suite de blocs d’information pouvant être de récupérer le signal original
longueur variable.
83 84

14
Vidéo Vidéo : Qualité de service

 Bande passante élevée  Moins sensible que la voix à la variation de


 Vidéo compressée, par rafales délai
 Par exemple, des images peuvent éventuellement
 La tolérance aux pertes dépend de la être répétées
compression
 La tolérance au délai dépend de l'interactivité  Plus sensible que la voix aux pertes de
 Possibilité de multipoint paquets
 Par exemple, la perte d ’une information de
 Grand nombre de sources simultanées contrôle pour le décodeur peut avoir des
conséquences importantes

85 86

La vidéo Web

 Vidéo : signal analogique, suite périodique d’images  Trafic transactionnel


avec impression de continuité
 Requêtes courtes, réponses potentiellement
 Numérisation = échantillonnage + quantification +
longues
compression + codage
 Echantillonnage :  Peu sensible à la perte de de paquets (!)
 vidéo VHS : 25 images/s,  Sensible au délai
 Taille d’une vidéo VHS : x*y*n*25 bit/s
 Image de taille (x,y)  Interactivité humaine
n bits / pixel

 25 images par seconde
 Point-à-point (le multipoint est asynchrone)
 vidéo faiblement animée : jusqu ’à quelques images par
seconde
 Quantification, compression (spatiale +temporelle)
87 88

Applications "perturbatrices" Skype


(Killer Apps)
 Applications qui perturbent le commerce classique Skype est le leader sur le marché de la voix sur
 Difficiles à prédire IP (VoIP)
 Le Web peut être vu comme l'une des premières, et
peu l'ont vu venir
* Plus de 24 millions d’utilisateurs
d utilisateurs enregistrés
 Napster est un autre exemple
 Gnutella, Kazaa, edonkey, BitTorrent * SkypeOut : plus de 735 000 utilisateurs dans le
 Messagerie instantanée (icq, messenger) monde
 VoIP (skype)
 Quelles seront les prochaines ?

89 90

15
Statistiques de téléchargement de Skype Stats des utilisateurs Skype par mois

91 92

Nouvelles fonctions : les 3 M Multimédia

 Mobilité (-> UE MOB)  Définition de flux multimédia


 Nomadisme : changement de connectivité de l'hôte  Ensemble de flux liés par des contraintes de
synchronisation
 Micro-mobilité : déplacement de l'hôte dans un réseau
 Synchronisation des lèvres
cellulaire
 Insertion d’images et graphiques

 Multimédia  Au respect des contraintes temporelles individuelles,


 Support des flots continus s ’ajoutent les contraintes temporelles multimédia
 Le transfert de fichiers peut hériter les contraintes
temporelles des flux synchrones
 Multi-destination (communication de groupe)
 Information émise une seule fois et reçue par chaque
membre du groupe (-> Multicast)  Remarque : les applications multimédia sont
souvent multiparties
 Besoin de mécanismes de multicast
93 94

Exemples de services Classification des services


 Vidéo-téléphonie  Interactifs
 Vidéoconférence  Conversationnels
 Télé-enseignement  téléphonie
 Télé-médecine  De messagerie
 Travail en groupe  E-mail, messagerie unifiée
 Calcul distribué  Transactionnels
 Jeux distribués dans un environnement de réalité virtuelle  Achat en ligne
(télé-cyberspace)
 Vidéosurveillance  De distribution
 Liés à la géolocalisation  Sans contrôle de la part des destinataires
 Navigation  Radio, Télévision
 Peer-to-peer (P2P)  Avec contrôle de la part des destinataires
 Commerce électronique  Vidéo à la demande
 Filtrage de news
95 96

16
Contexte actuel de l’Internet : résumé Croissance et évolution des services

Points abordés :  Adaptation du réseau


 Sécurité
 Principes de l'Internet
 Historique et croissance  Outils de simulation de réseau
 Applications  Ingénierie de trafic
 Structure de l'Internet et des ISPs  Architectures de QoS
 Couches et modèle de service  Multicast
 IPv6
 Routage inter-domaine

97 98

Programme ING février 2011


Programme du cours Programme des TD/TME

1 07/02 Introduction
2 14/02 Sécurité 1 16/02 TD sécurité
3 21/02 Multicast 2 23/02 TD Multicast
4 28/02 IPv6 3 02/03 TD IPv6
5 07/03 Révisions 4 09/03 Révisions
6 21/03 Préparation TME1 5 23/03 TME 1 - NS
7 28/03 Préparation TME2 + QoS 6 30/03 TME2 – NS
8 04/04 BGP 7 06/04 TD QoS
25/04 Férié (Lundi de Pâques) 8 27/04 TD BGP
9 02/05 Intervention extérieure 9 04/05 TME IPv6
10 11/05 Séance présentations orales
10 16/05 Révisions
99

17
 
Sécurité des réseaux

Sécurité Objectifs
ƒ Comprendre les ƒ sécurité en pratique
principes de la sécurité ‰ firewalls
des réseaux ‰ sécurité dans les
‰ Cryptographie et ses couches
nombreux usages en ƒ Application
dehors de la ƒ Transport
confidentialité ƒ Réseau
‰ Authentification ƒ Liaison
‰ Intégrité des messages
‰ Distribution des clés

1 2

Plan Qu'est-ce que la sécurité des réseaux ?


Confidentialité : seuls l'émetteur et le récepteur visé
1 Qu'est-ce que la sécurité ? doivent pouvoir comprendre le contenu du message
2 Principes de cryptographie ‰ L'émetteur chiffre le message

‰ Le récepteur déchiffre message


3 Authentification
Authentification : l'émetteur et le récepteur veulent
4 Intégrité
confirmer l'identité de leur correspondant
5 Distribution de clés et certification Intégrité du message : l'émetteur et le récepteur
6 Contrôle d'accès : firewalls veulent s'assurer que le message n'a pas été altéré
(durant le transit, ou après) sans que cela n'ait été
7 Attaques and parades
détecté
8 Sécurité dans plusieurs couches Accès et disponibilité : les services doivent être
3
accessibles et disponibles pour les utilisateurs 4

Amis et ennemis : Alice, Bob, Trudy Qui pourraient être Bob et Alice?
ƒ Bien connus dans le monde de la sécurité !
ƒ Bob, Alice (amants !) veulent communiquer "de ƒ … des êtres humains !
manière sûre" ƒ Des serveurs ou browsers Web pour des
ƒ Trudy (intrus) peut intercepter, effacer et ajouter transactions électroniques (ex : achats en
des messages ligne)
Alice Bob ƒ Client/serveur de banque en ligne
Messages de
canal ƒ Serveurs DNS
données et de
contrôle
Émetteur Récepteur data
ƒ Routeurs échangeant des mises à jour de
données
sécurisé sécurisé tables de routage
ƒ ...
Trudy
5 6

1
Il y a des méchants ! Plan
Q : Que peut faire un "méchant" ?
R : Beaucoup de choses! 1 Qu'est-ce que la sécurité ?
‰ Écoute : interception de messages
2 Principes de cryptographie
‰ Insertion active de messages dans la connection

‰ Imitation : falsification (spoof) de l'adresse source 3 Authentification


dans le paquet (ou tout autre champ du paquet) 4 Intégrité
‰ Détournement : “prise de contrôle” de la connexion
en cours en écartant l'émetteur ou le récepteur et 5 Distribution de clés et certification
en prenant sa place 6 contrôle d'accès : firewalls
‰ Déni de service : empêcher le service d'être utilisé
7 Attaques and parades
par les autres (ex : en surchargeant les
ressources) 8 Sécurité dans plusieurs couches
7 8

Vocabulaire de cryptographie Cryptographie à clé symétrique


Clé de Clé de Chiffrement par substitution
K chiffrement K déchiffrement ‰ Substitution monoalphabétique : substituer une lettre par une
A
d'Alice B de Bob autre

Texte en clair Algorithme Texte chiffré Algorithme Texte en clair Texte brut: abcdefghijklmnopqrstuvwxyz
de chiffrement De déchiffrement
Texte chiffré:mnbvcxzasdfghjklpoiuytrewq

Ex : Texte en clair : bob. i love you. alice


Texte chiffré : nkn. s gktc wky. mgsbc
Cryptographie à clé symétrique : clés identiques pour
l'émetteur et le récepteur Avec quelle difficulté peut-on casser un tel chiffrement ?
‰ Manière brutale ?
Cryptographie à clé publique : clé de chiffrement ‰ autre ?
publique, clé de déchiffrement secrète (privée)
9 10

Cryptographie à clé symétrique Cryptographie à clé symétrique : DES

DES: Data Encryption Standard


KA-B KA-B
ƒ Standard de chiffrement américain [NIST 1993]
ƒ Clé symétrique sur 56 bits, input plaintext 64 bits
Message en Algorithme msg chiffré Algorithme de Message en ƒ À quel point le DES est-il sûr ?
clair m de chiffrement déchiffrement clair
K (m) ‰Challenge du DES : phrase (“Strong cryptography makes
A-B m=K
A-B
( KA-B(m) ) the world a safer place”) chiffrée avec une clé de 56 bits
déchiffrée en 4 mois (de manière brutale)
Cryptographie à clé symétrique : Bob et Alice partagent ‰ Pas d'approche de déchiffrage "backdoor" connue

une même clé (connue) : K A-B ƒ Rendre le DES plus sûr :


ƒ Ex : la clé consiste à connaître le mode de substitution dans ‰ Utilier 3 clés successivement (3-DES) sur chaque donnée
un chiffrement par subtitution monoalphabétique
‰ Utiliser le chaînage par bloc
ƒ Comment Bob et Alice se mettent-ils d'accord sur la valeur de
la clé ?
11 12

2
AES : Advanced Encryption Standard
Crypto à clé
symétrique : DES
ƒ Standard NIST à clé symétrique récent (Nov.
Algo du DES 2001), remplaçant le DES
Permutation initiale
ƒ Traite les données par blocs de 128 bits
16 boucles identiques
de la fonction ƒ Clés de 128, 192, ou 256 bits
application, utilisant ƒ Le déchiffrement brutal (essai de toutes les
chacune 48 bits clés) prenant 1 sec avec le DES prend 149
différents de la clé
trillions d'annés pour AES
Permutation finale

13 14

Cryptographie à clé publique Cryptographie à clé publique

+ Clé publique
Crypto à clé symétrique Crypto à clé publique K
B de Bob
ƒ Nécessite le partage ƒ Approche radicalement - Clé privée de
d'une clé entre K
différente [Diffie- B Bob
l'émetteur et le Hellman76, RSA78]
récepteur
ƒ L'émetteur et le
ƒ Q: comment se mettre récepteur ne partagent
d'accord sur la clé au Message en Algorithme Msg chiffré Algorithme de Message en
pas de clé secrète clair m de chiffrement + déchiffrement
départ (surtout s'ils ne K (m) clair
ƒ clé de chiffrement B - +
se sont jamais m = K B(K (m))
publique connue de tous B
rencontrés) ?
ƒ la clé de déchiffrement
privée n'est connue que
du récepteur

15 16

Algorithmes de chiffrement par clé RSA : choix des clés


publique
Besoins : 1. Choisir deux grands nombres premiers p, q.
(ex 1024 bits chacun)
1 Besoin de K +( ) et de K -( ) telles que
. . 2. calculer n = pq, z = (p-1)(q-1)
B B
- +
K (K (m)) = m 3. choisir e (avec e<n) n'ayant aucun facteur commun
B B
avec z. (e et z sont premiers entre eux).
+
2 À partir de la clé publique KB , il
4. choisir d tel que ed-1 soit divisible par z.
devrait être impossible de (ed mod z = 1 ).
-
calculer la clé privée K B
5. La clé publique est (n,e). La clé privée est (n,d).
RSA : algorithme de Rivest, Shamir, Adelson KB
+
KB
-

17 18

3
RSA : chiffrement, déchiffrement Exemple RSA :
Bob choisit p=5, q=7. alors n=35, z=24.
0. soient (n,e) et (n,d) calculés comme précédemment
e=5 (e et z premiers entre eux).
1. Pour chiffrer le caractère m, calculer d=29 (ed-1 divisible par z).
e
c = m e mod n (cad le reste de la division de m par n

2. Pour déchiffrer le caractère c, calculer letter m me c = me mod n


d Chiffrement
m = c d mod n (cad le reste de la division de c par n) l 12 1524832 17

d
c c m = cd mod n letter
m = (m e mod n) d mod n Déchiffrement 17 481968572106750915091411825223071697 12 l
c

19 20

RSA : pourquoi ? m = (m e mod n) d mod n


RSA : autre propriété importante

résultat intéressant de la théorie des nombres : If La propriété suivante sera très utile plus tard:
p,q premiers et y y mod (p-1)(q-1)
n = pq, then: x mod n = x mod n
- + -
+
K (K (m)) = m = K (K (m))
B B B B
e
(m mod n) d mod n = medmod n
ed mod (p-1)(q-1) Utiliser la clé Utiliser la clé
= m mod n
privée, PUIS la
(using number theory result above)
publique, PUIS
la clé privée clé publique
1
= m mod n
(since we chose ed to be divisible by Le résultat est le même !
(p-1)(q-1) with remainder 1 )

= m
21 22

Plan Authentification

1 Qu'est-ce que la sécurité ? But : Bob veut qu'Alice lui “prouve” son identité
2 Principes de cryptographie
Protocole ap1.0: Alice dit “Je suis Alice”
3 Authentification
4 Intégrité
“Je suis Alice”
5 Distribution de clés et certification Scénario d'échec ?
6 contrôle d'accès : firewalls
7 Attaques and parades
8 Sécurité dans plusieurs couches
23 24

4
Authentification Authentification : autre tentative

Protocole ap2.0 : Alice dit “Je suis Alice” dans un paquet IP


But : Bob veut qu'Alice lui “prouve” son identité contenant son adresse IP source

Protocole ap1.0: Alice dit “Je suis Alice”

Alice’s
“Je suis Alice”
IP address
Dans un réseau,
Bob ne peut pas "voir” Scénario d'échec ?
Alice, alors Trudy dit
“Je suis Alice” simplement qu'elle est
Alice

25 26

Authentification : autre tentative Authentification : autre tentative


Protocole ap2.0 : Alice dit “Je suis Alice” dans un paquet IP Protocole ap3.0 : Alice dit “Je suis Alice” et envoie son mot
contenant son adresse IP source de passe secret pour le prouver.

Alice’s Alice’s
“Je suis Alice”
IP addr password

Trudy peut créer Scénario d'échec ?


Alice’s
un paquet en IP addr
OK
usurpant
Alice’s
IP address
“Je suis Alice” (“spoofing”)
l'adresse d'Alice

27 28

Authentification: autre tentative Authentification : encore un autre essai

Protocole ap3.0 : Alice dit “Je suis Alice” et envoie son mot Protocole ap3.1 : Alice dit “Je suis Alice” et envoie son mot
de passe secret pour le prouver. de passe secret chiffré pour le prouver.

Alice’s Alice’s Alice’s encrypted


“Je suis Alice” "Je suis Alice”
IP addr password IP addr password
Attaque par rejeu :
Alice’s Trudy enregistre le Alice’s Scénario d'échec ?
OK OK
IP addr paquet d'Alice et le IP addr
renvoie plus tard à Bob

Alice’s Alice’s
“Je suis Alice”
IP addr password

29 30

5
Authentification : encore un autre essai Authentification : encore un autre essai

Protocole ap3.1 : Alice dit “Je suis Alice” et envoie son mot But : éviter l'attaque du rejeu
de passe secret chiffré pour le prouver. Nonce: nombre (R) utilisé seulement-une-fois
ap4.0: pour prouver qu'Alice est “en live”, Bob envoie à
Alice nonce, R. Alice
Alice’s encryppted
doit renvoyer R, chiffré avec la clé secrète
IP addr password
“Je suis Alice” L'enregistrement et le “Je suis Alice”
rejeu fonctionnent
Alice’s encore ! R
OK
IP addr
KA-B(R) Alice est en live,
et seule Alice
Alice’s encrypted connaît la clé pour
“Je suis Alice”
IP addr password chiffer nonce,
Échecs, inconvénients ? donc ça doit être
31
Alice! 32

Authentification : ap5.0 ap5.0 : trou de sécurité


Attaque d'une personne au milieu : Trudy se fait
ap4.0 nécessite le partage d'une clé symétrique passer pour Alice (vis-à-vis de Bob) et pour Bob
ƒ Peut-on authentifier en utilisant des techniques de (vis-à-vis d'Alice)
clé publique ? I am Alice I am Alice
R -
ap5.0: utiliser nonce, crypto à clé publique K (R)
“Je suis Alice” R
T
Bob calcule - Send me your public key
+ - K (R) +
R KA(KA (R)) = R A K
- T
K A (R) Et sait que seule Alice
Send me your public key
+
K
peut avoir la clé qui a A +
“envoie-moi ta clé publique” K (m)
+ chiffré R telle que Trudy gets T
KA +
- +
m = K (K (m))
+ -
K (K (R)) = R K (m)
A sends T T Alice
m to
A A - + encrypted with
m = K (K (m))
A A Alice’s public key
33 34

ap5.0 : trou de sécurité Plan


Attaque d'une personne au milieu : Trudy se fait
passer pour Alice (vis-à-vis de Bob) et pour Bob
(vis-à-vis d'Alice) 1 Qu'est-ce que la sécurité ?
2 Principes de cryptographie
3 Authentification
Difficile à détecter : 4 Intégrité
‰ Bob reçoit tout ce qu'Alice envoie et vice versa.
5 Distribution de clés et certification
‰le problème est que Trudy reçoit également tous les
messages ! 6 contrôle d'accès : firewalls
7 Attaques and parades
8 Sécurité dans plusieurs couches
35 36

6
Signatures numériques Signatures numériques

Signature numérique simple pour le


Technique cryptographique analogue aux
message
-
m: -
signatures manuscrites.
ƒ Bob signe m en chiffrant avec sa clé privée KB,
ƒ L'émetteur (Bob) signe le document de manière créant le message "signé" KB(m)
numérique et établit qu'il est le
créateur/propriétaire du document. -
Bob’s message, m K B Bob’s private -
K B(m)
key
ƒ Vérifiable, non falsifiable: le récepteur (Alice) Dear Alice
Bob’s message,
peut prouver à quelqu'un que Bob et personne Oh, how I have missed Public key m, signed
you. I think of you all the
d'autre (y compris Alice) a signé ce document time! …(blah blah blah) encryption (encrypted) with
algorithm his private key
Bob

37 38

Signatures numériques (suite) Messages condensés (message digests)


ƒ Supposons qu'Alice reçoit le msg m et la signature -
large
H: Hash
message
numérique KB(m) Function
m
ƒ Alice vérifie que m a été signé par Bob en appliquant la clé Le chiffrement par clé publique de
+ - + -
publique de Bob KB à KB(m) et vérifie que KB(KB(m) ) = m. longs messages est très onéreux
-
ƒ Si KB+(KB(m) ) = m, la personne qui a signé m a forcément
"computationnellement" H(m)
utilisé la clé privée de Bob. Propriétés de la fonction de
But : "empreinte digitale" de
hachage:
Alice vérifie ainsi que : longueur fixe et facile à calculer
ƒ many-to-1
9 Bob a signé m. ƒ Appliquer une fonction de
hachage H à m, recevoir un ƒ Produit des messages condensés
9 Personne d'autre n'a signé m.
message condensé de longueur de taille fixe ("empreinte digitale")
9 Bob a signé m et pas m’.
fixe, H(m). ƒ Étant donné un message
Non-répudiation: condensé x, il est
9 Alice peut emporter m et la signature K- B(m) à un computationnellement impossible
procès et prouver que Bob a signé m. de trouver m tel que x = H(m)
39 40

Internet checksum : fonction cryptographique de Signature numérique = message digest signé


hachage "pauvre" Alice vérifie la signature et
Bob envoie un message l'intégrité du message signé
Le Internet checksum possède des propriétés de fonction de signé numériquement :
hachage : sumériquement :
large
9 Produit un message condensé de longueur fixe du message message H: Hash
H(m) encrypted
(somme sur 16-bits) m function msg digest
-
9 many-to-one KB(H(m))
Mais avec un message avec une valeur de hachage donnée, il est Bob’s digital large
private signature message
facile de trouver un autre message avec la même valeur de - Bob’s
key KB (encrypt) m public
digital
hachage : + signature
key KB
message ASCII format message ASCII format encrypted H: Hash (decrypt)
I O U 1 49 4F 55 31 I O U 9 49 4F 55 39 msg digest function
-
0 0 . 9 30 30 2E 39 0 0 . 1 30 30 2E 31 + KB(H(m))
9 B O B 39 42 D2 42 9 B O B 39 42 D2 42 H(m) H(m)

B2 C1 D2 AC différents messages B2 C1 D2 AC equal


Mais checksums identiques! ?
41 42

7
Algorithmes de fonctions de hachage Plan
ƒ Fonction de hachage MD5 largement utilisée (RFC
1321) 1 Qu'est-ce que la sécurité ?
‰ Calcule un message digest de 128 bits en 4 2 Principes de cryptographie
étapes. 3 Authentification
‰ Il est difficile, à partir d'une chaîne aléatoire de
4 Intégrité
128 bits, de construire un msg m dont l hash
MD5 est égal à x. 5 Distribution de clés et certification
ƒ SHA-1 est également utilisé. 6 contrôle d'accès : firewalls
‰ Standard américain [NIST, FIPS PUB 180-1] 7 Attaques and parades
‰ Message condensé de 160 bits
8 Sécurité dans plusieurs couches
43 44

Intermédiaires de confiance Key Distribution Center (KDC)

Problème des clés Problème des clés ƒ Alice et Bob doivent partager une clé symétrique.
symétriques publiques : ƒ KDC : le serveur partage une clé secrète différente
ƒ Comment 2 entités établissent- ƒ Quand Alice obtient la clé avec chaque utilisateur enregistré (nombreux
elles une clé secrète partagée publique de Bob (à partir
à travers un réseau ? d'un site Web, d'un e-mail, utilisateurs)
d'une disquette), comment ƒ Alice et Bob possèdent leur propre clé symétrique
sait-elle que c'est la clé
Solution : publique de Bob, et pas KA-KDC KB-KDC , pour communiquer avec le KDC.
ƒ Centre de distribution de clé de celle de Trudy ? KDC
confiance (KDC) agissant
KA-KDC KP-KDC
comme un intermédiaire entre KX-KDC
les entités
Solution : KP-KDC KB-KDC
ƒ Autorité de certification de KY-KDC
confiance (CA)
KZ-KDC
KA-KDC KB-KDC
45 46

Key Distribution Center (KDC) Autorités de certification


ƒ Certification authority (CA) : relie une clé publique
Q : Comment le KDC permet-il à Bob et Alice de à une entité particulière E.
déterminer une clé secrète symétrique partagée pour
communiquer l'un avec l'autre ? ƒ E (personne, routeur) enregistre sa clé publique
KDC auprès du CA.
generates ‰ E fournit une “preuve d'identité” au CA
KA-KDC(A,B) R1
‰ Le CA crée un lien certifié entre e et sa clé publique
Alice KA-KDC(R1, KB-KDC(A,R1) ) ‰ Le certificat contenant la clé publique de E est signé
Bob knows to
knows use R1 to
numériquement par le CA – le CA dit “ceci est la clé
R1 KB-KDC(A,R1) communicate
publique de E”
digital
with Alice Bob’s +
public +
signature KB
key KB (encrypt)
Alice et Bob communiquent : utilisation de R1
CA
comme clé de session pour le chiffrement Bob’s private - certificate for
K CA Bob’s public key,
symétrique partagé identifying key
47 information signed by CA48

8
Autorités de certification Un certificat contient :
ƒ Un numéro de série (unique pour chaque émetteur)
ƒ Quand Alice veut la clé publique de Bob : ƒ info sur le propriétaire du certificat, y compris
‰ Elle obtient le certificat de Bob (par Bob ou l'algorithme et la valeur de la clé elle-même
autre). ƒ info sur
‰ Elle applique la clé publique du CA au l'émetteur
certificat de Bob et obtient la clé publique de du certificat
Bob. ƒ Dates de
+ digital Bob’s validité
KB signature public
(decrypt)
+
KB key ƒ Signature
numérique
CA
public +
K CA
de
key l'émetteur
49 50

Plan Firewalls
firewall
1 Qu'est-ce que la sécurité ? Isole le réseau interne d'une organisation de
l'Internet, en permettant à certains paquets de
2 Principes de cryptographie passer et en en bloquant d'autres.
3 Authentification
4 Intégrité
5 Distribution de clés et certification
6 contrôle d'accès : firewalls
réseau Internet
7 Attaques and parades administré public

8 Sécurité dans plusieurs couches firewall

51 52

Firewalls : pourquoi ? Filtrage de paquets ce paquet entrant


doit-il être admis ?
Ce paquet sortant
Évite les attaques par déni de service : peut-il sortir ?
‰ SYN flooding : l'attaquant établit de nombreuses
connexions TCP "bidon", plus de ressources pour les
vraies connexions.
Évite la modification / l'accès illégal aux données internes.
‰ Ex : l'attaquant remplace la page du CIA par autre chose

Autorise uniquement les accès autorisés à l'intérieur du ƒ Réseau interne connecté à l'Internet via un routeur
réseau (ensembles d'utilisateurs / hôtes authentifiés) firewall
2 types de firewalls : ƒ Le routeur filtre paquet par paquet, décision de faire
‰ Niveau applicatif
transiter ou de supprimer le paquet selon :
‰ Filtrage de paquets
‰ L'adresse IP source, l'adresse IP destination
‰ Les numéros de ports TCP/UDP source et destination
‰ Le type de message ICMP
‰ Les bits TCP SYN et ACK
53 54

9
Filtrage de paquets Gateway aplicative gateway-to-remote
host telnet session
ƒ Filtre les paquets en fonction host-to-gateway
ƒ Exemple 1 : blocage des datagrammes IP des données applicatives telnet session

entrants et sortants avec le champ protocole = aussi bien qu'en fonction des
application router and filter
champs IP/TCP/UDP. gateway
17 et avec le port source ou destination = 23.
ƒ Exemple : permettre à des
‰ Tous les flux UDP entrants et sortants, ainsi utilisateurs internes
que les connexions telnet, sont bloqués. autorisés d'effectuer un
ƒ Exemple 2 : Blocage des segments TCP telnet à l'extérieur.
inbound avec ACK=0. 1. Nécessite que tous les utilisateurs de telnet passent par
‰ Empêche les clients extérieurs de faire des la gateway.
connexions TCP avec des clients internes, 2. Pour des utilisateurs autorisés, la gateway établit une
connexion telnet à l'hôte de destination. La gateway fait
mais permet aux clients internes de se
transiter les données entre les 2 connexions.
connecter à l'extérieur.
3. Le filtre du routeur bloque toutes les connexions telnet ne
provenant pas de la gateway.
55 56

Limites des firewalls et des gateways Plan


ƒ IP spoofing : le routeur ne
peut pas savoir si les ƒ Les filtres utilisent souvent
données proviennent une politique tout ou rien 1 Qu'est-ce que la sécurité ?
vraiment d'une source pour UDP.
autorisée ƒ Compromis : degré de 2 Principes de cryptographie
ƒ Si plusieurs applications communication avec le
3 Authentification
ont besoin d'un traitement monde extérieur, niveau
spécial, chacune a sa de sécurité 4 Intégrité
propre gateway ƒ De nombreux sites
applicative. hautement protégés 5 Distribution de clés et certification
souffrent toujours
ƒ Le logiciel client doit savoir d'attaques. 6 contrôle d'accès : firewalls
comment contacter la
gateway. 7 Attaques and parades
‰ Ex : il doit configurer 8 Sécurité dans plusieurs couches
l'adresse IP du proxy dans
le browser Web
57 58

Menaces de sécurité sur Internet Menaces de sécurité sur Internet


Mapping :
Mapping : parades
‰ Avant d'attaquer : trouver quels services sont
‰ Enregistrer le trafic pénétrant dans le réseau
implémentés sur le réseau
‰ Chercher une activité suspecte (adresses IP,
‰ Utiliser ping pour déterminer quels hôtes ont
ports scannés les uns après les autres)
des adresses sur le réseau
‰ Scan des ports : essayer d'établir des
connexions TCP avec chaque port (regarder
ce qui se passe)
‰ nmap (http://www.insecure.org/nmap/) mapper
ƒ “network exploration and security auditing”

Parades ?
59 60

10
Menaces de sécurité sur Internet Menaces de sécurité sur Internet
Reniflement de paquets (packet sniffing) : Packet sniffing : parades
‰ Médium à diffusion ‰ Tous les hôtes d'une organisation utilisent des
‰ Une machine proche lit tous les paquets qui logiciels vérifiant périodiquement si l'interface
passent de l'hôte est en mode promiscuous.
‰ peut lire toutes les données en clair (par ex les ‰ Un hôte par segment du médium à diffusion
mots de passe) (switched Ethernet at hub)
‰ Ex : C sniffe les paquets de B A C
A C

src:B dest:A payload


B
src:B dest:A payload
B
Parades ? 61 62

Menaces de sécurité sur Internet Menaces de sécurité sur Internet


IP Spoofing (usurpation d'adresse IP) :
‰ Peut générer des paquets IP directement à partir d'une
IP Spoofing : ingress filtering
application, en mettant n'importe quelle valeur dans le ‰ Les routeurs ne doivent pas transmettre des
champ d'adresse IP source paquets sortants avec des adresses source
‰ Le récepteur ne peut pas dire si la source est spoofée invalides (ex : adresse source du datagramme pas
‰ Ex : C se fait passer pour B dans le réseau du routeur)
‰ Bien, mais ce filtrage ingress ne peut pas être
effectué dans tous les réseaux
A C
A C
src:B dest:A payload

B src:B dest:A payload

Parades ? B
63 64

Menaces de sécurité sur Internet Menaces de sécurité sur Internet


Déni de Service (DOS) : Deni de service (DOS) : parades
‰ Flot de paquets malicieux générés pour inonder un ‰ Filtrer le flot de paquets (ex : SYN) avant qu'ils
récepteur n'atteignent l'hôte : on jette les bons comme
‰ DOS distribué (DDOS): plusieurs sources les mauvais
coordonnées pour inonder un récepteur ‰ Remonter à la source des flots (probablement
‰ Ex : C et un hôte distant font une SYN-attack vers A une machine innocente, compromise)
A C A C
SYN SYN
SYN SYN
SYN SYN SYN SYN SYN SYN

B B
Parade ?
SYN SYN
SYN SYN
65 66

11
Plan E-mail sécurisé

1 Qu'est-ce que la sécurité des réseaux ? ‰ Alice veut envoyer un email sécurisé m à Bob.
2 Principes de cryptographie KS
3 Authentification KS(m ) KS(m )
4 Intégrité m KS( ) . KS( ) . m
5 Distribution de clés et certification
+ Internet
- KS
6 Contrôle d'accès : firewalls
7 attaques et parades KS KB(.)
+
+ +
-
KB( ) .
KB(KS ) KB(KS )
8 Sécurité dans plusieurs couches + -
KB KB
8.1. Email sécurisé
8.2. Sockets sécurisées Alice :
‰ génère une clé privée symétrique aléatoire KS.
8.3. IPsec ‰ chiffre le message avec KS (pour l'efficacité)
8.4. 802.11 WEP ‰ chiffre aussi KS avec la clé publique de Bob.
‰ envoie à la fois KS(m) et KB(KS) à Bob.
67 68

E-mail sécurisé E-mail sécurisé (suite)


‰ Alice veut envoyer un email sécurisé m à Bob. • Alice veut fournir une authentification de
KS l'émetteur et l'intégrité du message.
KS(m ) KS(m )
m KS( ). KS( ) . m KA
- KA
+
- -
+ Internet
- KS m .
H( )
-
KA( ). KA(H(m)) KA(H(m))
KA( )
+ . H(m )

KS
+
KB( ). + +
-
KB( ) . + Internet
- compare
KB(KS ) KB(KS )
+ K
- .
KB B m H( ) H(m )
m
Bob :
‰ utilise sa clé privée pour déchiffrer et retrouver KS • Alice signe numériquement le message.
‰ utilise KS pour déchiffrer KS(m) pour retrouver m
• envoie à la fois le message (en clair) et la signature
numérique.
69 70

E-mail sécurisé (suite) Pretty good privacy (PGP)


• Alice veut fournir le secret, l'authentification de
ƒ Procédé de chiffrement d'email Message signé par PGP :
l'émetteur et l'intégrité du message. Internet, standard de-facto.
K
- ---BEGIN PGP SIGNED MESSAGE---
A
- ƒ Utilise la crypto à clé Hash: SHA1
- . KA(H(m))
m H( ). KA( ) KS symétrique, la crypto à clé
publique, une fonction de
Bob:My husband is out of town
tonight.Passionately yours,
+ KS( ) . hachage et la signature
numérique.
Alice
---BEGIN PGP SIGNATURE---
+
Version: PGP 5.0
m Internet
ƒ Garantit le secret, Charset: noconv
l'authentification de l'émetteur, yhHJRHhGJGhgg/12EpJ+lo8gE4vB3m
KS
+
KB( ). +
l'intégrité. qJhFEvZP9t6n7G6m5Gw2
---END PGP SIGNATURE---
KB(KS )
+ ƒ L'inventeur, Phil Zimmerman, a
KB été la cible de 3 ans d'enquête
fédérale
Alice utilise 3 clés : sa clé privée, la clé publique de
bob et la nouvelle clé symétrique créée
71 72

12
Secure sockets layer (SSL) SSL (suite)
Session chiffrée avec SSL :
ƒ Le browser génère une clé de
ƒ SSL : base du
ƒ Sécurité de niveau ƒ Authentification du serveur : Transport Layer
transport pour toute session symétrique, la chiffre
‰ Le browser SSL-capable Security (TLS) de
application basée sur TCP contient les clés publiques
avec la clé publique du serveur
utilisant des services SSL. pour les CAs de confiance. et envoie la clé chiffrée au l'IETF.
serveur.
ƒ Utilisé entre des browsers ‰ Le browser demande le ƒ SSL peut être utilisé
Web, des serveurs pour le
certificat du serveur, fourni ƒ En utilisant la clé privée, le pour des applications
par un CA de confiance. serveur décriffre la clé de
commerce électronique ‰ Le browser utilise la clé non-Web, ex : IMAP.
(shttp). session.
publique du CA pour
ƒ Services de sécurité : extraire la clé publique du ƒ Le browser et le serveur ƒ L'authentification du
‰ Authentification du
serveur du certificat. connaissent la clé de session client peut être
‰ Vérifier le menu de sécurité ‰ Toutes les données envoyées effectuée avec des
serveur
de votre browser pour voir dans la socket TCP (par le
‰ Chiffrement des données ses CAs de confiance. certificats de client.
client ou par le serveur) sont
‰ authentication du client chiffrées avec la clé de
(optionnel) session.
73 74

IPsec : Sécurité de niveau réseau Protocole Authentication Header (AH)

ƒ Secret de niveau réseau Network- ƒ Fournit l'authentification de L'en-tête AH inclut


layer secrecy: ƒ Pour AH et ESP, handshake la source, l'intégrité des ƒ L'identifiant de connexion
de la source et de la données mais pas de
‰ L'hôte émetteur chiffre les destination : ƒ Données d'authentification :
données dans le datagramme confidentialité message digest signé par la
‰ Crée un canal logique de
IP niveau réseau, appelé ƒ En-tête AH inséré entre source et calculé à partir du
‰ Segments TCP et UDP; association de sécurité (SA) l'en-tête IP et le champ de datagramme IP original.
messages ICMP et SNMP. ƒ Chaque SA est unidirectionnel. données. ƒ Champ next header : spécifie le
ƒ Authentification de niveau réseau ƒ Déterminé de manière unique ƒ Champ protocole : 51 type des données (ex : TCP,
par :
‰ L'hôte de destination peut ƒ Les routeurs intermédiaires UDP, ICMP)
authentifier l'adresse IP source ‰ Un protocole de sécurité
(AH or ESP) traitent les datagrammes
ƒ 2 protocoles de principe : comme d'habitude
‰ Adresse IP source
‰ Protocole d'authentication d'en-
‰ Identifiant de connexion sur
tête (authentication header AH) 32 bits
‰ Protocole encapsulation IP header AH header data (e.g., TCP, UDP segment)
security payload (ESP)
75 76

Protocole ESP Sécurité dans IEEE 802.11


ƒ Fournit le secret, ƒ Le champ ƒ Nombreux réseaux IEEE 802.11 disponibles
l'authentification de l'hôte, d'authentification La plupart n'utilisent pas de chiffrement ni
‰
l'intégrité des données. d'ESP est similaire au d'authentification
ƒ Les données et l'ESP champ ‰ Facile de faire du packet-sniffing et autres
d'authentification d'AH attaques !
trailer sont chiffrés.
ƒ Protocol = 50 ƒ Wired Equivalent Privacy (WEP): authentification
ƒ Le champ next header est
comme dans le protocole ap4.0
dans l'ESP trailer.
‰ L'hôte demande l'authentification au point d'accès
authenticated
‰ Le point d'accès envoir un nonce de 128 bits
encrypted
‰ L'hôte chiffre le nonce en utilisant une clé
ESP ESP ESP
IP header TCP/UDP segment symétrique partagée
header trailer authent.
‰ Le point d'accès déchiffre le nonce et authentifie
l'hôte
77 78

13
Sécurité dans IEEE 802.11 802.11 : chiffrement WEP

ƒ Wired Equivalent Privacy (WEP) : chiffrement des IV


(per frame)
données
KS: 40-bit key sequence generator
‰ L'hôte et le point d'accès partagent une clé secret ( for given KS, IV)
symmetric
symétrique de 40 bits (semi-permanente) k1IV k2IV k3IV … kNIV kN+1IV… kN+1IV 802.11
IV
WEP-encrypted data
header plus CRC
‰ L'hôte ouvre un vecteur d'initialisation (IV) de 24 plaintext
frame data d1 d2 d3 … dN CRC1 … CRC4
bits pour créer une clé de 64 bits plus CRC
‰ Le clé de 64 bits est utilisée pour générer un flux c1 c2 c3 … cN cN+1 … cN+4

de clés, kiIV
Sender-side WEP
802.11encryption
IV
‰ ki est utilisée pour chiffrer le i-ème octet, di : Figure 7.8-new1: WEP protocol

ci = di XOR kiIV
‰ IV et les octets chiffrés, ci sont envoyés dans la
trame
79 80

Casser le chiffrement WEP dans 802.11 Sécurité des réseaux (résumé)


Techniques de base…...
Trou de sécurité :
‰ cryptographie (symétrique et publique)
ƒ IV sur 24 bits, un IV par trame, -> l'IV peut être réutilisé
ƒ IV transmis en clair -> la réutilisation d'IV peut être détectée ‰ authentification
ƒ Attaque : ‰ Intégrité des messages
‰ Trudy contraint Alice à chiffrer du texte connu d1 d2 d3 d4 … ‰ Distribution des clés
‰ Trudy voit : ci = di XOR kiIV …. utilisées dans de nombreux scénarios de
‰ Trudy connait ci di, donc peut calculer kiIV sécurité différents
‰ Trudy connait la séquence de chiffrement de clés k1IV k2IV k3IV ‰ Email sécurisé

‰ La prochaine fois que IV sera utilisé, Trudy pourra déchiffrer !
‰ transport sécurisé (SSL)
‰ IP sec
‰ 802.11 WEP
81 82

Ressources

ƒ Livre
ƒ Computer Networking : A Top Down Approach
Featuring the Internet,
2nd edition.
Jim Kurose, Keith Ross
Addison-Wesley, July 2002.

83

14