cira d zone overview risq-fr
TRANSCRIPT
PROTÉGEZ VOTRE ENTREPRISE
Jacques Latour, dirigeant principal de la technologie
INTRO/ L’ACEI EN BREF (AU CAS OÙ VOUS LE NE
SAURIEZ PAS…)
2
1. Gère le registre du domaine de premier niveau .CA
Titulaire Registraire Registre DNS .CA
2. Gère le DNS du domaine de premier niveau .CA
Racine « . » de l’IANA « .CA » domaines .CA de 2e niveau
Internautes FSI « .CA »
3. Travaille au bénéfice d’Internet du Canada
Favorise l’élaboration d’IXP et l’adoption de l’IPv6 et des DNSSEC
Test de performance Internet (TPI)
Programme d’investissement communautaire .CA (PIC/CIC)
Service de DNS secondaire Anycast D-Zone
L’ACEI est une organisation dirigée par ses membres qui compte plus de 80 employés et un conseil
d’administration élu auquel siègent 15 personnes.
RÉSEAUX DE RECHERCHE
• Les réseaux de recherche, des partenaires formidables pour l’ACEI lorsqu’il s’agit de bâtir un meilleur Canada en ligne.
3
4
SOUTIENT LES RÉSEAUX RISQ
IXP
RÉSILIENCE ET
SÉCURITÉ
DU DNS
Favorise le développement
d’une infrastructure nationale
d’IXP
IXP ET ROUTAGE DU TRAFIC
5
Internet
Canada
É.-U. - IXP aux É.-U. - FSI canadien
Dernier
kilomètre Dernier
kilomètre
Le trafic Internet canadien
passe par les points
d’échange situés aux É.-U.
DES CENTAINES DE RÉSEAUX PRATIQUENT L’APPAIRAGE AFIN D’AMÉLIORER LA PERFORMANCE, DE RÉDUIRE LA LATENCE ET D’AUGMENTER LA RÉSILIENCE.
6
LES IXP ET L’AMÉLIORATION DU ROUTAGE DU TRAFIC
7
- IXP aux É.-U. - FSI canadien
Internet
Dernier
kilomètre
Canada
É.-U.
Transit
$
Transit
$ Transit
$
Transit
$
Transit
$
Transit
$
Appairage
$
Appairage
$
IXP de Toronto Dernier
kilomètre
Transit
$
Routage du trafic Internet par
le point d’échange de
Toronto. Terminé, le détour
par les É.-U.
8
RÉSILIENCE ET
SÉCURITÉ
DU DNS
Des services évolués de
sécurité du DNS pour une
nouvelle réalité
SOUTIENT LES RÉSEAUX RISQ
IXP
Favorise le développement
d’une infrastructure nationale
d’IXP
DNS : UN RECYCLAGE
9
2001:500:80:2::12 184.168.193.47
cegepjonquiere.ca
(Compris par les ordinateurs) (Compris par les humains)
LE DNS EST VULNÉRABLE
• Les sources de défaillances sont nombreuses :
- Les pannes de matériel;
- Les interruptions de service des réseaux;
- Les catastrophes naturelles;
- La diversité des besoins.
• Les attaques par DDoS qui exploitent le DNS comptent
pour 10 % de toutes ces attaques :
– Le DNS comme cible;
– Le DNS en tant que vecteur d’attaque;
– Ces attaques sont faciles à lancer, mais difficiles à
esquiver.
Le DNS est vulnérable aux défaillances et aux
attaques.
RÉCENTES DÉFAILLANCES DU DNS
11
DNS ANYCAST D-ZONE – UTILISER LES IXP POUR OFFRIR UN DNS MONDIAL FAISANT AUTORITÉ
12
Résilience aux attaques par DDoS
102 % plus rapide au Canada
Fiable – assurant une disponibilité du service de 100%
DNS ANYCAST ET UNICAST
Unicast – Déploiements DNS
classiques
• Les serveurs de noms sont
implémentés sur des nœuds
uniques dont chacun a une
adresse IP unique.
Anycast – Augmente la résilience
de votre DNS
• Les serveurs de noms sont
implémentés sur plusieurs nœuds
géographiquement dispersés
partageant une seule adresse IP.
• Le routage de la couche 3 envoie
les paquets au serveur de noms
le plus rapproché physiquement.
• Fondé sur la redondance, le
basculement et la répartition de
charge.
UNICAST
ANYCAST
RÉSILIENCE AUX ATTAQUES PAR DDOS
14
Architecture de nœud
Les IXP au Canada
sont en appairage
avec 2 000 réseaux
Utilisateurs
canadiens
et mondiaux
Internet
DNS Anycast D-Zone La seule infrastructure DNS qui établit le contact direct avec les Canadiennes et les Canadiens et avec le monde.
Nœud D-Zone canadien*
10 Go
10 Go
*Les nœuds internationaux ont une structure semblable ou supérieure.
• Un DNS connecté au transit Internet.
• Un DNS en appairage direct avec des milliers de réseaux.
• Au cours d’une attaque, chaque réseau en appairage reste accessible.
INCONVÉNIENTS PROPRES À ANYCAST
Il est coûteux d’installer et d’exploiter une
infrastructure Anycast.
• Complexe à gérer, il exige une importante dépense en capital tout
comme des frais d’exploitation élevés.
• Sur le marché, il est offert en tant que service.
• Ceux qui l’adoptent sont de plus en plus nombreux.
EXEMPLE DE TRAFIC DNS PAR LE PORTAIL WEB D-ZONE
QUOI D’AUTRE? D-ZONE RECURSIVE / PARE-FEU
• Un service récursif fiable et sécurisé situé aux IXP.
• Protège les internautes contre les logiciels malveillants et rançonneurs et les sites malintentionnés.
• Une couche additionnelle pour contribuer à protéger votre réseau contre le trafic malveillant.
17
METTRE À PROFIT L’EMPREINTE IXP CANADIENNE
• Premiers emplacements à Montréal, à Toronto et à Vancouver.
• Une architecture anycast pour une performance et une résilience optimales.
18
19
Pour en apprendre plus, passez nous voir à notre kiosque ou communiquez avec nous : [email protected]
L’IPv6, QU’EST-CE QUI SE TRAME?
L’AN DERNIER, SON ADOPTION A DOUBLÉ
21
Utilisation de l’IPv6 pour le Canada (CA)
CERTAINS SONT EN TRAIN DE SE PRÉPARER À INTERNET DES OBJETS…
22
TELUS : > 70 % DE PRISE EN CHARGE DU PROTOCOLE IPv6
23
Déploiement de l’IPv6 par pays pour l’AS852:ASN852 – Telus Communications inc., Canada (CA)
ROGERS : > 50 % DE PRISE EN CHARGE DU PROTOCOLE IPV6 IMPORTANT PROGRÈS LE MOIS DERNIER
24
Déploiement de l’IPv6 pour l’AS812 : ROGERS-CABLE – Rogers Communications inc.
INTERNET DES OBJETS, IoT C’EST L’AVENIR, N’EST-CE PAS…
ET L’INFRASTRUCTURE QUI LE
SOUTIENDRA FONCTIONNERA SUR L’IPv6 ET LES DNSSEC
MAIS... LA PLUPART D’ENTRE VOUS NE
SONT PAS PRÊTS POUR L’IPv6 ET LES DNSSEC
25
IL Y A BEAUCOUP DE PAIN SUR LA PLANCHE, MAIS L’IPV6 EST À LA TÂCHE… ET L’HEURE A SONNÉ
26
• Comment démarrer avec l’IPv6.
– http://www.internetsociety.org/deploy360/ipv6/
(en anglais)
• Où est-ce que je me situe selon le rapport?
– http://stats.labs.apnic.net/ipv6
(en anglais)
• À présent, le Canada est au 12e rang mondial.
– Nous pourrions nous retrouver au sommet.
• Signaux :
– L’IPv4 est arrivé à saturation…
– Telus et Rogers ont entrepris l’implémentation.
DES QUESTIONS ?
COMMUNIQUEZ AVEC :
Richard Chamberland , Ventes et développements des affaires Autorité canadienne des enregistrements Internet 979, rue Bank, bureau 400, Ottawa (Ontario) K1S 5K5 Bureau : 613 237-5335, poste 212
www.acei.ca/d-zone