VPN

IP security Protocol

Architectures VPN
Communication layers Security protocols
Application layer

ssh, S/MIME, PGP

Transport layer

SSL, TLS, WTLS

Network layer

IPsec

Data Link layer

PPTP, L2TP

Physical layer

Scrambling, Hopping,
Quantum Communications

MPLS

Ahmed Mehaoua - 2

Scurisation des
communications IP
Pour scuriser les changes ayant lieu sur un rseau TCP/IP, il
existe plusieurs approches :
- niveau applicatif (PGP)
- niveau transport (protocoles TLS/SSL, SSH)
- niveau physique (botiers chiffrant).
IPsec vise scuriser les changes au niveau de la couche rseau.
rseau.
IPsec veut dire IP Security Protocols : ensemble de mcanismes de
scurit commun IPv4 et IPv6.

I. Normalisation d'IPsec
d'IPsec
II. Modes d
dIPsec
III. Protocoles de s
scurit
curit AH
IV. Protocole de s
scurit
curit ESP
V. Fonctionnement SA, SAD, SPD
VI. Gestion, distribution des clefs IKE / ISAKMP
VII. Faiblesses d'IPsec
d'IPsec
VIII. Application et solutions IPsec : les VPN

IPSec : le standard

Norme prvue pour IPv6

Adapte IPv4, vu la lenteur de dploiement IPv6 et
les besoins forts des entreprises
Srie de RFC : 2401, 2402, 2406, 2408
Trs nombreuses pages !!

Ahmed Mehaoua - 5

IPsec et larchitecture TCP/IP

IPsec

IPsec

Physique

Cuivre, Fibre Optique, Ondes Radio, ...

I. Normalisation d'IPsec
) lIETF (Internet Engineering Task Force) d
dbute la normalisation de
IPv6 en 1994.
) Introduction des services de s
scurit
curit: IPSec (Internet Protocol
Security)
Security) 1995.
) IPsec natif sur IPv6 et optionnel sur IPv4.
) 1998 IPsec int
intgre son protocole d'
d'change de cl
cls (IKE - Internet
Key Exchange).
) Publication des RFC du protocole IPsec en 1995 puis 1998.
) A la fin de llann
anne 1999 IPsec simpose sur le march
march.

Les services IPsec

Services de s
scurit
curits offerts par IPsec :
- Authentification des extr
extrmit
mits
- Confidentialit
Confidentialit des donn
donnes chang
changes
- Authenticit
Authenticit des donn
donnes
- Int
Intgrit
grit des donn
donnes chang
changes
- Protection contre les coutes et analyses de trafic
- Protection contre le rejeu
2 modes d
dexploitation dIPsec :
- Transport : Prot
Protge juste les donn
donnes transport
transportes (LAN)
- Tunnel : Prot
Protge en plus l'enl'en-tte IP (VPN)

IPsec permet :
La mise en place de VPN
Scuriser les acc
accs distants (Utilisation nomade)
Protection d
dun serveur sensible

Composants dIPsec
Protocoles de scurit :
Authentication Header (AH)
Encapsulation Security Payload (ESP)

Protocole d'change de clefs :

Internet Key Exchange (IKE)

Bases de donnes internes :

Security Policy Database (SPD)
Security Association Database (SAD)

I. Normalisation d'IPsec par lIETF

RFC 2401

RFC 2402

RFC 2406

Security
Architecture for
the Internet
Protocol

IP
Authentication
Header

S. Kent,
R.
Atkinson

Novembre
1998

STANDARD

IP
Encapsulating
Security
Payload (ESP)

Ahmed Mehaoua - 10

Quel protocole pour quel service

de scurit ?

Ahmed Mehaoua - 11

I. Normalisation d'IPsec
Problmes IP

1. saturation de lespace dadressage prvue pour 2010

a. Utiliser les adresses IP prives avec un protocole de
translation dadresse (NAT: Network Address Translation)
b. Augmenter la taille du champ adresse (IP version 6 avec
champ adresse de 128 bits -> incompatibilit)

2. Lacunes en scurisation des communications

a. Rseaux Privs IP virtuels ou Virtual Private Network IP (VPN)
b. IP security (IPsec)
IPsec)

Adresses IP Prives
Classe A :
Classe B :
Classe C :

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

NAT

Network Address Translation :

IPv6 : Objectifs
1. Rsoudre le problme de pnurie d'adresses d'IPv4 :
4.3 Milliards IPv4 disponibles 240 Millions rellement utilisables
172 millions de hosts IPv4 actifs (Janv. 2003)
73 % des adresses IPv4 sont octoyes aux organismes nord-amricains

Vietnam (100 Millions dhab. 4 classes C)

Sngal (10 millions dhab. - 16 adresses de classe C)
Tunisie (8 milions dhab. 16 classes C pour ladministration)

2. Rsoudre les problmes de dimensionnement des tables de routage :

Mars 2002: 150 000 routes IP4 + 400 routes IP6 ds les routeurs backbones BGP
Accroissement de 20% par an
Lhorizon de lInternet est de 40 routeurs
Route moyenne traverse 25 routeurs;

3. Inclure de nouvelles fonctionnalits :

La scurit, La mobilit,
La configuration automatique des stations
La qualit de service, etc

Solutions IPsec avec IPv6

CISCO IOS 12.2 et suprieure

JUNIPER JUNOS 5.1 et suprieure

Windows NT et Windows 2000 avec linstallation dun patch

Research.microsoft.com/msripv6/
www.microsoft.com/Windows2000/technologies/communications/ipv6/

Windows XP en natif

Taper la commande ipv6 install puis vrifier avec ipv6 if

Aplications IPv6 livres : ping6, traceroute, ftp, telnet, IE, IPsec,

MacOS 10.1 et MacOS X

IBM AIX 4.3 et suprieure

Solaris 8 et suprieure
Compaq True64 UNIX et OpenVMS v5.1 et suprieure,
HP-UX 11i et suprieure
Linux 2.4 et suprieure (RedHat 7.1 Mandrake 8.0)
FreeBSD 4.0 et suprieure

IPv4 vs IPv6
IPv4 Packet Header
Ver IHL

Service
Type

Total
Total Length
Length

20 octets

Identification

Flags

TTL

Header Checksum

Protocol

IPv6 Packet Header

Traffic
Class (8)

Ver

Offset (13)

Payload Length

Source Address

Flow Label (20)

Next
Header

Hop
Limit

Source Address
(128)

Destination Address
Options + Padding
32 bits
40 octets

Destination Address
(128)

IPv6 : adressage

Passage de 4 16 octets pour l'adressage

2 128 3x10 38 quipements adressables

6x10 22 adresses au m2 sur terre

Plan dadressage agrg : Adressage hirarchique (RFC 2374)

Diminution taille des tables de routage / temps de traitement des paquets

En pratique :

10 33 adresses (d la hirarchie)
3x10 18 adresses par mtre carr sur la terre

3 niveaux de hirarchie :
1. Une topologie publique (48 bits)
2. Une topologie de site (16 bits)
3. Un identifiant dinterface (64 bits)

(RFC 3513):

: TLA Top Level Aggregator

: SLA Site Level Aggregator
: IID Interface Identifier

3 types dadresse IPv6 :

1. globales (utilisation du plan agrge),
2. site local ou link local, etc (adresses prives)
3. compatible IPv4 ou adresse "mappe (tunneling)

Plan dadressage Agrg

Format Prefix (3 bits)

Type de Plan dadressage

001 : plan agrg

010 : plan de test

Top Level Aggregator (13 bits) identifie les fournisseurs/oprateurs internat.

Reserved (8 bits)
pour utilisation future (entre TLA et NLA)
Next Level Aggregator (24 bits) identifie les fournisseurs/oprateurs rgionaux
ainsi que lidentifiant du site (dcomposition et
allocation sous la responsabilit du TLA)
Site Level Aggregator (16 bits) identifie les sous-rseaux dans le site (sous la
responsabilit de ladministrateur du site)

Allocation des Adresses

Internet Corporation
For Assigned Names
and Numbers

RIR
Regional Internet
Registries

NIR
National Internet
Registries

LIR
Local Internet
Registries

End Users

10

Attribution des
Adresses
z Pour obtenir un prfixe subsub-TLA de 32 bits en Europe (dlais 48h):

tre membre du RIPE-NCC (Rseaux IP Europen-Network Coordination Centre)

Remplir le formulaire RIPE-195 sur www.ripe.net puis lenvoyer

hostmaster@ripe.net

Abonnementt annuel : 2750-3750-5250 Euros (dpend du nbre @ utiliss)

France Telecom
Renater
Nerim
Tiscali

2001:0688::/32
2001:0660::/32
2001:07A8::/32
2001:BC8::/32

(depuis juin 2000)

4 Conditions dattribution vrifier (Phase de BootStrap):

BootStrap):
1. tre un oprateur IPv4 avec au moins 3 peering actifs avec dautres AS
2. Avoir au moins 40 clients IPv4 ou une exprience sur le rseau test 6bone
(pTLA)
3. Envisager doffrir des services IPv6 dans les 12 prochains mois
4. Maintenir un service DNS forward (AAAA) et reverse (ip6.int)

Allocation des Adresses

3
001

13

13

TLA

sTLA

Res

2001

0660

sTLAsTLA-ID RENATER

NLA

/32

2001:0660::/32

SLA

/48

Interface ID

/64

/128

/40

POP ID Versailles
2001:0660:30
00::/40
2001:0660:3000::/40
NLANLA-ID Univ.
Univ. de Versailles
2001:0660:300F
::/48
2001:0660:300F::/48
SLASLA-ID Laboratoire CNRS PRISM
2001:0660:300F:0004
:/64
2001:0660:300F:0004:/64
HostHost-ID lune.prism.uvsq.fr
2001:0660:300F:0004:0030:80FF:FE1A:079C
2001:0660:300F:0004:0030:80FF:FE1A:079C

11

II. Modes dIPsec

mode transport
- insertion transparente entre TCP et IP
- pas de masquage d
dadresse
- facilit

de
mise
en
uvre
facilit
scurise de bout en bout les changes entre deux utilisateurs.

mode tunnel
- insertion apr
aprs IP
- encapsulation des datagrammes IP dans d'autres datagrammes IP
- masquage d
dadresse
scurise lien par lien les segments de r
rseau.
utilis
utilis quand au moins une des deux extr
extrmit
mits d
dIPsec se
comporte comme une passerelle

IPsec : Mode Transport

12

Transport Mode Encapsulation

Ahmed Mehaoua - 25

IPsec : Mode Tunnel

13

Tunnel Mode Encapsulation

Ahmed Mehaoua - 27

III.
III. Protocole de s
scurit
curit AH
AH = Authentication Header : 1er protocole et aussi le plus simple
dfinit dans le RFC 2402
Garantit :
- l'authentification.
- lunicit
unicit (anti(anti-rejeu)
rejeu)
- l'int
l'intgrit
grit
! Pas de confidentialit
confidentialit !
=> les donn
donnes sont seulement sign
signes mais pas chiffr
chiffres
support des algorithmes MD5 (128 bits) et SHASHA-1

14

IPSec protocols AH protocol

AH - Authentication Header

Defined in RFC 1826

Integrity: Yes,
Yes, including IP header
Authentication: Yes
NonNon-repudiation: Depends on cryptography algorithm.
Encryption: No
Replay Protection: Yes
Transport Packet layout

IP Header AH Header

Payload (TCP, UDP, etc)

Tunnel Packet layout

IP Header AH Header IP Header

Payload (TCP. UDP,etc)

III.
III. Protocole de s
scurit
curit AH

15

IV.
IV. Protocole de s
scurit
curit ESP
ESP = Encapsulating Security Payload
dfinit dans le RFC 2406
Seules les donn
donnes sont prot
protges (pas de protection enen-tte)
Garantit:
- l'authentification.
- lunicit
unicit (anti(anti-rejeu)
rejeu)
- l'int
l'intgrit
grit
- la confidentialit
confidentialit

IPSec protocols ESP protocol

ESP Encapsulating Security Payload

Defined in RFC 1827

Integrity: Yes
Authentication: Depends on cryptography algorithm.
NonNon-repudiation: No
Encryption: Yes
Replay Protection: Yes

Transport Packet layout

IP Header ESP Header

Payload (TCP, UDP, etc)

Tunnel Packet layout

IP Header ESP Header IP Header

Unencrypted

Payload (TCP. UDP,etc)

Encrypted

16

IV.
IV. Protocole de s
scurit
curit ESP

V. Fonctionnement SA, SAD, SPD

n SA : Security Association
Association

Les Associations de scurit (SA) dfinissent les paramtres des

divers mcanismes utiliss pour la scurisation des flux sur le rseau
priv virtuel
A chaque SA correspond un bloc de donnes identifi par un index et
contenant les informations correspondantes
Plus prcisment, chaque association est identifie de manire unique
unique
l'aide d'un triplet compos de :
- le SPI (Security
(Security Parameter Index)
Index) : index de la SA dfini par le rcepteur
- l'adresse de destination des paquets
- l'identifiant du protocole de scurit (AH ou ESP)

17

V. Fonctionnement SA, SAD, SPD

n SA : Security Association
Association (suite)
Les informations chang
changes sont :
- index de la SA appel
appel SPI (pour Security Parameter Index)
- un num
numro de s
squence, indicateur utilis
utilis pour le service d'antid'anti-rejeu
- une fentre d'antid'anti-rejeu : compteur 32 bits
- dpassement de s
squence
- param

tres
d'authentification
(algorithmes et cl
param
cls)
- param

tres
de
chiffrement
(idem)
param
- temps de vie de la SA
- mode du protocole IPsec (tunnel ou transport)
Attention : un SA est Unidirectionnelle:
Unidirectionnelle: prot
protger les deux sens d'une
communication classique requiert deux associations.
associations.

SA : exemple

Destination : 192.78.42.76
Protocole : ESP
index : 10314
Mode : tunnel
algorithme de chiffr : AES
cl de chiffrement : 0xEB3167C....
algorithme d'authent : SHA1
cl d'authentification : 0xC372F4....
politique associe : #23
date d'expiration : 061120 15:30:00
Ahmed Mehaoua - 36

18

Combinaison des SA

Ahmed Mehaoua - 37

V. Fonctionnement SA, SAD, SPD

o SAD : Security Association Database

- base de donn
donnes des SA pour la gestion des associations de s
scurit
curit
actives
- consult
consulte pour savoir quels m
mcanismes il faut appliquer chaque
paquet re
reu ou mettre.

p SPD : Security Policy Database

- base de donn
donnes des politiques de s
scurit
curit (SPD).
- Pour savoir comment appliquer les m
mcanismes sur les paquets

19

V. Fonctionnement SA, SAD, SPD

V. Fonctionnement SA, SAD, SPD

Exemple 1 : trafic sortant

1) IPsec re
reoit des donn
donnes envoyer
2) Consultation de la base de donn
donnes SPD (quel traitement pour ces donn
donnes ?)
3) M
Mcanismes de s
scurit
curit pour ce trafic ?
4) Oui rcup
cupration des caract
caractristiques requises pour la SA et consultation de la
base SAD
5) SA existe ?
6) Oui utilis
utilise pour traiter le trafic en question
Non appel IKE pour tablir une nouvelle SA

20

V. Fonctionnement SA, SAD, SPD

Exemple 2 : trafic entrant

1) R
Rception paquet
2) Examen l'enl'en-tte: services IPsec appliqu
appliqus ?
3) Oui rfrences de la SA ? consultation de la SAD
4) D
Dchiffrement
5) Consultation de la SPD : SA du paquet correspond bien celle
requise par les politiques de s
scurit
curit ?

VI.
VI. Gestion, distribution des clefs IKE / ISAKMP
Problmatique : afin dchanger des donnes de faon scurise, il est
ncessaire de se mettre daccord sur les paramtres utiliser, et
notamment dchanger les clefs de session
Il faut 2 paires de cls (AH et ESP) : soit 2 par direction.
1er solution : configuration manuelle des quipements
(unique mthode propose dans la premire version dIPSec)

2eme solution : gestion dynamique des paramtres au moyen dun

protocole scuris adapt
systme automatique pour la creation la demande des cls pour les SA
Plusieurs solutions : SKIP, Prothuris,
Prothuris, Oakley, SKEME and ISAKMP IKE
IKE est un protocole orient connexion utilis par les quipements
quipements IPsec pour
changer et grer les associations de scurit travers lInternet
lInternet :
Echange de clefs laide de protocoles cryptographiques
Fournit une authentification des entits
Permet un tablissement de SA travers un rseau non scuris

21

VI.
VI. Gestion, distribution des clefs IKE / ISAKMP
n IKE : Internet Key Exchange : Qu
Quest ce que cest ?

IKE est un ensemble de protocoles et de m

mcanismes assurant
une gestion s
scuris
curise et dynamique des param
paramtres de s
scurit
curit
utilis
utiliss dans IPSec
IKE = change de cl
cls d'authentification + gestion des SA
Bas
Bas sur des am
amlioration des protocoles ISAKMP/Oakley
ISAKMP/Oakley (dont la
scurit
curit et la scalabilit
scalabilit taient limit
limites)
RFC 2409
Deux mani
manires d'
d'changer des clefs :
- clefs pr
pr-partag
partages
- certificats X.509

relations IPSec-IKE-SA
SA->traitement mettre en oeuvre sur un paquet IP
quand il faut appliquer IPSec
IKE->gestionnaire de SA
IPSec->utilisateur de SA

Ahmed Mehaoua - 44

22

VI.
VI. Gestion, distribution des clefs IKE / ISAKMP
n IKE : Internet Key Exchange

VI.
VI. Gestion, distribution des clefs IKE / ISAKMP

o ISAKMP : Internet Security Association and Key Management Protocol

associ
associ une partie des protocoles SKEME et Oakley
ngociation des param
paramtres (algorithmes de chiffrement
chiffrement)
mcanisme de n
ngociation d
dcoup
coup en deux phases:
- Phase 1:
1: d
dfinition des moyens pour prot
protger les changes suivants.
2 modes possibles :
- normal (6 messages et protection d
didentit
identit)
- agressif (3 messages)
- Phase 2:
2: n
ngociation des param
paramtres des futures SA.

23

IKE (Internet Key Exchange)

Phase I: Oakley Main Mode (DH key exchange & authentication)

To negotiate bi-directional ISAKMP Security Association (SA)
[ISAKMP: Internet Security Association & Key Management Protocol]
An encryption algorithm
A hash algorithm
A Diffie-Hellman group identifier

Authentication methods
Pre-Shared Secret
Digital Signature (Digital Certificate)
Public Key Encryption (Encrypted Nonce)

Phase I: Oakley Aggressive Mode

Phase II: Oakley Quick Mode

No identity protection
To negotiate IPSec Security Association (SA)
<Security Parameter Index, IP Destination Address, Security Protocol>

To negotiate keys to protect data traffic

Internet Security Association and Key

Management Protocol (ISAKMP)
Defines procedures and packet formats to establish,
negotiate, modify and delete security associations
Defines payloads for exchanging key generation and
authentication data
ISAKMP message consists of an ISAKMP header
followed by one or more payloads

24

VII.
VII. Faiblesses d'IPsec
d'IPsec
Limitations dues la gestion manuelle des clefs
- AH et ESP s'appuient sur des num
numros de s
squence initialis
initialiss 0
lors de la cr
cration d'une SA et incr
incrment
ments lors de l'envoi de chaque
datagramme.
datagramme.
- Num
Numros de s
squence sont stock
stocks dans un entier de 32 bits 4
milliards
- Pass
Pass cette limite, n
ncessit
cessit de cr
crer une nouvelle SA et donc une
nouvelle clef.
- Possibilit
Possibilit de d
dsactivation des num
numros apr
aprs la limite.
Broadcast et multicast
Probl
Problme de performance et impossibilit
impossibilit de r
rsolution par
laugmentation de la puissance.

VII.
VII. Faiblesses d'IPsec
d'IPsec (suite)
Firewalls
Le filtrage de datagrammes IPsec est d
dlicat pour deux raisons :
- les RFCs ne pr

cisent
pas
si,
sur
un syst
pr
systme remplissant
simultan

ment
les
fonctions
de
passerelle
de s
simultan
scurit
curit et de firewall,
firewall,
le d

codage
de
l'IPsec
IPsec
doit
avoir
lieu
avant
ou
apr

s
l'application
des
d
l'
apr
rgles de firewalling ;
-il n'est pas possible au code de firewalling de lire certaines donn
donnes,
par exemple des num

ros
de
port,
dans
des
donn

es
chiffr

num
donn
chiffr es, ou
transmises dans un format qu'il ne conna

t
pas.
conna
NATs
Th
Thoriquement, aucune translation d'adresse ne devrait affecter un
datagramme IPsec,
IPsec, car ce type d'op
d'opration modifie le contenu des
datagrammes,
,
ce
qui
est
incompatible
avec les m
datagrammes
mcanismes de
protection de l'int

grit

des
donn

es
d'IPsec
IPsec.
.
l'int grit
donn
d'

- Partie 3 VPN IP scuris avec IPsec -

25

VII.
VII. Faiblesses d'IPsec
d'IPsec (suite 2)
Non support de protocoles r
rseaux autres qu'IP
IPsec est un protocole qui ne pr
prvoit que le convoyage s
scuris
curis de
datagrammes IP
Ceci n'est pas suffisant, car d'autres standards comme IPX et
NetBIOS sont utilis
utiliss sur un grand nombre de r
rseaux. Il existe
cependant une solution ce probl
problme : encapsuler les donn
donnes
prot
protger dans du PPP, luilui-mme transport
transport par IPsec.
IPsec. Le rle de PPP
est en effet de permettre la transmission de diff
diffrents protocoles auaudessus d'un lien existant.

- Partie 3 VPN IP scuris avec IPsec -

VIII. Application de IPsec : les VPN

26

Typologie des technologies VPN

VPN de niveau 2
- IP avec IPSEC
VPN
- IP avec MPLS
VPN
- SSL
VPN

VIII. Application de IPsec : les VPN

Access

Access

IPsec to Core VPN

IPsec tunnel

IPsec tunnel

MPLS
CPE

MPLS PE

MPLS PE CPE

mapping

IPsec

IP

IPsec over Core

VPN

mapping

MPLS VPN

IPsec

IP

IPsec tunnel

MPLS
CPE

IP

MPLS PE

IPsec

MPLS PE CPE

MPLS VPN

IPsec

IP

27

Extranet VPN : IPsec to MPLS to VLAN

Branch
Office

Access/
Peering PoPs

Corporate
Intranet

MPLS Core

Leased Line/
Frame Relay/ATM/
DSL Dedicated
IOS
Access

MPLS
PE

Local or
DirectDial ISP

MPLS
Internet

MPLS VPNs

Cable/DSL/
ISDN ISP

VLANs
Bi-directional
IPsec Session

Remote Users/
Telecommuters
Cisco VPN client software is tunnel
source for access VPNs and branchoffice; router originates site-to-site
tunnel with VPN concentrator

Cisco router terminates

IPsec tunnels and maps
sessions into MPLS
VPNs

IPsec Session

IP

VLANs

MPLS VPNs

IP

Easy VPN Remote/Server

HUB site with static known IP address, client have dynamic addresses
addresses

Single User

IOS
Router
With
Unity
Client

Cisco Unity VPN Clients

Gateway options:
Cisco VPN 30xx
Cisco IOS 12.2(8)T
PIX 6.0

PIX501
uBR900

Home Office

IOS
Router
With
Unity
Client

Ca
ble

DSL

Internet

HQ

800

Small Office

IOS
Router
With
Unity
Client

T1

=IPsec tunnel

Advantages:
Home Office
VPN3002

1700

IOS
Router

Unity is the common language

within Cisco VPN environment
Policy push applies to CPE
routers as well.

28

Les offres commerciales de VPN

pour l'entreprise
Les grands acteurs en France et en Europe aujourd'hui:
Level 3
France Telecom (Oleane
(Oleane VPN)
Easynet
Qwest
Global Crossing

VPN IP- Offre en France Il existent 10 offrent de rseaux privs virtuel IP en France (01rseaux/Sept. 2002)

Cable & Wireless

Cegetel/Infonet
Colt
FT/Global One
KPNQwest
Maiaah
QoS Networks
LDcom/Siris
Worldcom

(IPsec, aucune classe, 50 PoP nat, 49 PoP int.)

(MPLS, 3 classes: Std, Data, Tps rel, 160, 55 pays)
(IPsec, 4, 13, via offre IP Corporate)
(MPLS, 3, 60, 140)
(IPSec, 5 classes, 30, 300)
(MPLS, 5, 7, via rseaux tiers)
(IPSec, 5 classes, 1, 9)
(MPLS, 4 classes, 77, 0)
(MPLS)

29

Critre des choix d'un fournisseur de VPN

La bande passante propos
propose
La qualit
qualit de service n
ngoci
gocie (SLA)
Gamme d'options d'acc
d'accs en boucles locales
Assistance

30