Afin de garantir la sécurité du point d'échange, un ensemble de règles sont appliquées sur la plateforme France-IX :
- Une seule adresse MAC par membre est autorisée. Cela permet de limiter le risque de boucle sur le réseau.
- Seuls les 3 ethertypes suivants sont autorisés :
- 0x0800 - IPv4
- 0x0806 - ARP
- 0x86dd - IPv6
Les paquets non unicast ne sont pas autorisés, à l'exception de :
- ICMPv6 Neighbor Advertisement / Solicitation ;
- ARP.
Le multicast IPv4 n'est pas autorisé.
Une taille de MTU égale à 1500 octets est préconisée sur l’interface.
Les trafics ICMPv6 et ARP sont "rate-limités" au niveau des ports des membres, de même que le trafic de type "unknown-unicast", diffusé sur l'ensemble des ports.
Les autres protocoles, notamment les protocoles "lien-local", ainsi que les messages IPv6 Router Advertisement/Router Solicitation (RA/RS), sont filtrés sur la plateforme.
Afin de s'assurer que ces règles sont respectées :
- Nos outils de supervision alertent systématiquement nos équipes techniques dès qu'une nouvelle entrée ARP est vue sur la plateforme.
- Des serveurs de capture sont installés en coeur de réseau afin d'analyser le trafic broadcast et s'assurer qu'aucun trafic illégitime ne s'écoule sur nos nœuds d'échange.