Il serait plutôt souhaitable de remettre un titre de sujet du style : peut-on remplacer l'ont ?
Et après de le verrouiller ou pas ?
Mais ce qui est dommage, c'est que le fond de la question n'a pas été abordé : le SLID suffit-il pour s'authentifier sur l'arbre ou il y a-t-il des sécurités supplèmentaires ?
Hello,
1er message pour moi sur ce forum (fraichement inscrit
) !
Je suis client Numéricâble depuis 3ans (en FTTLa @ 200/20Mbps) et je m'intéresse plus en détail à l'architecture FTTH et plus particulièrement au GPON (et ses dérivés) depuis qu'Orange à installer un PBO sur ma façade de maison la semaine dernière...
J'ai un routeur Mikrotik (un RB3011UAs-RM dans ma baie réseau) et pour le côté geek, je m'étais posé la question de bypasser* l'ONT Huawei ou Alcatel par le GPON-ONU de Mikrotik le jour où on m'installera la fibre Orange à la maison (
https://routerboard.com/SFPONU). (* et la LB mais le sujet est plus facile et déjà traité sur ce forum).
Cela m’amène à lire ce forum et notamment ce thread dans lequel on trouve pas mal de question, de réponse plus ou moins erronée, du troll & co... et pas mal d’erreur de certain
Bref un 1er message pour resynchroniser tout le monde par rapport à ma compréhension de l’architecture GPON et tenter une réponse à la question initiale de ce thread résumé par mattmatt73 en citation ci-dessus.
(ps : je suis « nouveau » dans le monde du GPON, donc n’hésitez pas à me corriger si je dis des bêtises).
Comme tout le monde le sait, on utilise une seule fibre pour faire passer le « downstream » (flux descendant) et le « upstream » (flux montant) en utilisant deux longueurs d'onde différentes (1310 et 1490nm respectivement) pour une bande passante jusqu’à 2.4Gbps dans les deux sens (il y a en fait 7 combinaisons de vitesse de transmission mais celle la plus rependu est de 1,25 en UP et 2,4 en DL).
Cette fibre au domicile (accessible sur le PTO) rejoint le PBO sur la voie publie ou sur le palier dans un immeuble et remonte au PMZ, le point de mutualisation de zone (armoire de rue) ou au BPI (boitier de pied d’immeuble). Jusque-là on est en point à point (p2p) et c’est ici que les FAI peuvent se connecter sur notre fibre.
En GPON, donc avec Orange/Sosh, "notre" fibre est mutualisée avec d'autre via des coupleurs. Le ratio de « splittage » des fibres est de 1:64 voire 1:128 (en fonction de la classe GPON utilisée, donc en fonction des spécifications de la puissante du laser utilisé). C’est-à-dire qu’on a 64 (ou 128) fibres qui se rejoigne en une au niveau du PMZ/BPI grâce au coupleur et qui remonte jusqu'au NRO pour être connecté à un OLT. C'est en gros ce que résume la norme G984.1.
En descente, l'OLT "broadcast" le trafic des 64 (ou 128) fibres à tout le monde sur cette arbre (car la fibre est splittée via les coupleurs). En fait l'OLT èmet dans la fibre à un intervalle de 125uS « n » frames contenant des données (payload) précédé d'un "PCBd" (Physical Control Block Downstream), une sorte d’entête qui définit (entre autre) « à qui » est destiné le « payload ».
On trouvera aussi dans le "PCBd" le "Uplink Bandwith Map" qui définit comment se partager la bande passante "Uplink" (on y revient après).
Le PCBd est en clair, donc dans chaque foyer, l'ONT/ONU connecté sur la prise optique (PTO) "lit" le signal optique pour sélectionner les « payloads » qui le concerne (défini dans le PCBd).
Question sécurité, une fois le payload récupéré pour un ONU donné, il faut le décrypter car en effet, tout le monde reçoit le trafic de tout le monde sur l'arbre GPON. Le payload est donc crypté en AES 128bits (spec G.984.3).
Pour entrer dans le detail, au moment de l'identification de l'ONU sur l'arbre GPON, c'est que l'ONU envoi à l'OLT son S/N pour s'identifier. Si l'ONU est bien reconnu sur le réseau, l'OLT demande (c'est optionnel dans la norme mais utilisé dans le réseau Orange) le mot de passe (Request_Password).
D'après ce que j'ai compris, pour Alcatel on nomme cela le "Subscriber Location ID" ou SLID. On trouve aussi l'acronyme LOID. Ce mot de passe est entré dans l'ONU soit via une interface Web ou telnet comme le montre des screenshots dans ce thread, soit on peut aussi imaginer (appartement le cas sur des neufbox) que la box elle-même configure implicitement le mot de passe de l'ONU.
Quoi qu'il en soit, si le mot de passe est le bon, l'OLT demande ensuite une clé de cryptage "Request_Key" et c'est l'ONU qui la choisie et l'envoi à l'OLT. Ainsi les deux parties (ONU & OLT) on connaissance d'un secret commun qui servira de clé de cryptage pour les données descendantes.
Notons que la clé de cryptage est envoyée en clair à l'OLT, la sécurité étant assurée par le fait que la typologie du réseau GPON ne peut pas être sniffé en monté.
Par contre si on arrive à avoir un accès physique à la fibre (soit dans le PMZ, le BPI dans un immeuble ou encore le BPO) et qu'on arrive à se mettre en "man-in-the-middle" pour à la fois "lire" le signal et le se laisser passer (en gros, on viendrait splitter le signal en 1>2 pour « récupérer une copie ») on pourrait connaitre la clé de cryptage et donc, en étant connecté sur l'arbre GPON, déchiffrer le trafic.
Bien sûr pas à la portée de tout le monde, il faut des moyens mais ça n’est pas techniquement impossible. Il faudrait plutôt un mécanisme de challenge (type Diffie Hellman comme en SSL) pour contre-carrer çà. On peut aussi simuler un OLT car il n'y a pas d’authentification de l'OLT par l'ONU.
Question sécurité, un vieux papier (2009) sur le sujet :
https://docbox.etsi.org/workshop/2009/200901_securityworkshop/telecomitalia_delutiis_nextgenerationaccessnetwork(in)security.pdfCôté "uplink", comme tous les signaux optiques émis par les ONU sont fusionnés dans la même fibre et comme la norme défini qu'une seule et unique longueur d'onde pour tout le monde, on est obligé de multiplexer par le temps (TDMA), c'est à dire qu'il ne peut y avoir qu'un seul ONU èmetteur au même moment : en gros, chacun à son temps de parole.
Cette synchronisation est organisée dans le "Upstream Bandwidth Map" qu'on recoit régulièrement (au moins toutes les 125uS) dans chaque « PCBd » dans le downstream. Cette "map" contient "l'ordre de passage" des "T-CONT".
Les T-CONT (Transmission Containers) sont des conteneurs qui "bufferise" les données à envoyer en attendant d'avoir une fenêtre de tir pour les envoyer. L'ONU envoie donc les données dans la FO en fonction des slots (on parle de « time slot ») qu'on lui a alloués dans la "Upstream Bandwidth Map".
Cette "map" d'allocation de la bande passante est négociée dynamiquement via le protocole DBA pour "Dynamic Bandwidth Assignment".
Le DBA prend en charge une notion de SLA pour allouer le temps de parole. En effet un "T-CONT" est associé à un type (video, audio, data, ...). On peut donc prioriser du flux montant en fonction des services (par exemple la voix est prioritaire sur les datas). On peut aussi garantir une bande passante minimale et garantie.
Si je suis le seul à vouloir èmettre sur mon arbre GPON, alors le DBA m'allouera la quasi-totalité de la bande passante en uplink car il n'y aura que mes "T-CONT" qui seront référencés dans la "Upstream Bandwidth Map" (vu que personnes d’autre n’a de données, donc de T-CONT à envoyer).
De ce fait pour que cela fonctionne, l'ONU envoie également dans les données montantes un "DBA report" (dans les headers des frames Upstream). Ce "rapport" DBA permet à chaque ONU d'informer l'OLT de ce qu'il a à envoyer sur le réseau, c'est à dire combien de "T-CONT" en attente, de quel type et à quelle taille.
En collectant les "DBA report" des différents ONU de l'arbre, et en fonction du type et de la taille de chaque "T-CONT", l'OLT peut donc allouer la bande passante de montée en informant chaque ONU de ses « time-slots » via la "Upstream Bandwidth Map" contenu dans chaque frame en downlink. Ce mode est appelé SR-DBA pour Status Reporting.
A noter aussi un autre mode de fonctionnement du DBA le NSR-DBA (Non Status Reporting) qui se base le trafic actuel pour calculer le taux d’utilisation et donc prédire et allouer le trafic à venir en tenant compte des limites de l’arbre.
Tout cela est normalisé, 984.1 pour la description d’un réseau GPON, 984.2 pour les spécs optique sur les liens montants et descendants et autres spécificités physiques, 984.3 pour l’organisation de la couche transport (enregistrement et identification des ONU, multiplexage, frames GTC, le DBA, sécurité AES, …) et 984.4 relatif à la configuration des ONT par l’OLT (OMCI).
Donc en principe, on peut utiliser n’importe quel ONT du moment où il respecte bien toutes ces normes.
Mais dans la réalité, certain type de matériel « ajoute » certaines fonctionnalités qui ne sont pas dans les specs et donc casse l’interopérabilité. C’est vrai dans plein de domaine, prenez le DLNA sur vos TV et le nombre d’ajout qui font qu’en fait le DLNA ne fonctionne vraiment qu’entre deux devices d’une même marque (Sony, Samsung, etc..). Donc le côté « standard » pour l’interopérabilité tombe à l’eau.
Quelques articles de 2013 et le 2ème de 2015 :
On peut y voir que 53% des FAI GPON ont déclaré des problèmes liés à des problèmes d'interopérabilité entre les ONU et OLT de différents fournisseurs/marques, 44% problème de performance et 41% de problème de management/configuration et que l'interopérabilité est classée au deuxième rang des critères de sélection des ONU pour les opérateurs derrière le prix (41%).
Fait intéressant, cette incompatibilité entre OLT & ONT a donné lieu à un nouveau marché en soi (outils / émulateurs / simulateurs de différentes sociétés comme: TraceSpan, MT2, Technalia, etc.).
Donc de nouveau, « oui en théorie » on peut changer l’ONT par un autre du moment qu’il respecte bien toutes les normes. Après dans la pratique, il faut « tester » car rien n’est garanti (cependant ça devrait aller en s’améliorant, car les FAI, c’est-à-dire les clients des fournisseurs de matériels GPON, sont demandeurs de cette interopérabilité, donc le marché sera forcé de proposer des solutions interopérable pour pouvoir vendre).
Dans le commerce, on a par exemple l’ONU de TP-Link, le TX6610 mais l’intérêt est limité car dépenser 40euros pour remplacer celui prêté « gratuitement » par Orange (le Alcatel ou Huwai) ca revient au même.
Dans mon cas, celui de Mikrotik offre l’avantage d’un ONU au format SPF donc directement insérable dans mon router RB3011UiAS-RM sans équipement/câble/transfo supplèmentaire.
Cependant, pour fonctionner il faudra connaitre et configurer sur le nouvel ONT deux choses :
- Le Serial Number de l’ONT qui permet d’être reconnu par l’OLT, indispensable pour le lien montant, car c’est l’identifiant
- Le « Password » ou SLID qui permet de s’authentifier auprès de l’OLT afin de générer la clé de cryptage qui servira pour le lien descendant
C’est deux informations peuvent être récupérées sur les ONT Orange (Alcatel ou Huwai) d’après les screenshots que j’ai trouvé sur ce forum.
L’ONT de TP-Link permet de configurer ces deux éléments :
http://forum.mikrotik.com/viewtopic.php?t=103383#p527227Par contre sur l’ONU de Mikrotik, la version actuelle de RouterOS ne permet ni de redéfinir un S/N ni même d’utiliser un mot de passe pour l’authentification GPON (authentification par mot de passe étant je le rappelle optionnel dans les specs GPON).
Bref voilà l’état de ma compréhension, n’hésitez pas à corriger si j’ai commis des erreurs.
Bonne journée