Présentation
EnglishRÉSUMÉ
Le protocole BGP est le seul protocole inter-domaine sur l'Internet reliant deux réseaux distincts : la fiabilité des interconnexions et la résilience de l'Internet dépendent donc exclusivement des propriétés de ce protocole. Cet article présente brièvement BGP puis expose les risques principaux tels que l'usurpation de pair BGP, l'effondrement d'une architecture BGP par propagation de messages malformés, l'injection de routes et le détournement de trafic, ainsi que les principales mesures de protection mises en oeuvre par les opérateurs, que ce soient par des mécanismes intrinsèques au protocole ou en application des bonnes pratiques opérationnelles.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Sarah NATAF : Architecte réseau, Orange, Paris, France
INTRODUCTION
L'Internet est un réseau composé de l'interconnexion deux à deux de dizaines de milliers de réseaux IP. Ces interconnexions reposent sur un unique protocole de communication : BGP, ou Border Gateway Protocol, qui se charge dynamiquement de calculer les meilleurs chemins vers une destination et de les propager. La version 4 de ce protocole est apparue au milieu des années 1990, 1995 pour être exact, à une époque où le nombre d'opérateurs et acteurs de l'Internet était limité, de même que le nombre de blocs d'adresses IP annoncés dans ce réseau. Après l'essor de la bulle Internet dans les années 2000, l'explosion de la taille de la table de routage, l'introduction d'une nouvelle version d'IP et l'arrivée en masse de nombreux participants dans le réseau mondial, l'architecture même de ce protocole n'a finalement été que très légèrement modifiée : BGP n'a subi que des évolutions mineures jusqu'à présent, ses principes structurants étant toujours identiques.
Pourtant, toute la fiabilité de l'Internet, ainsi que sa résilience aux pannes dépendent de cette technologie BGP. Le premier incident majeur sur l'Internet a eu lieu dans la fin des années 1990, lorsqu'un opérateur a malencontreusement propagé des routes incorrectes sur l'ensemble du réseau, provoquant son effondrement (cet événement est analysé dans le cours de l'article ainsi que certains autres). Avec l'apparition de services faisant partie intégrante de la vie quotidienne de millions d'individus, la robustesse du réseau est devenue un enjeu majeur : les personnes et services se doivent d'être connectés et joignables sans interruption. D'autre part, si la sécurité des données est toujours primordiale, de plus en plus d'attention est portée sur la façon dont elles sont acheminées entre l'expéditeur et la destination ; les risques d'interception pour écoute sont grandissants et une attention particulière est portée sur les chemins parcourus par ces données.
Détournement de trafic, injoignabilité des destinations, usurpations, propagation de pannes, isolement de tout ou partie du réseau : dans cet article, nous listerons les différents risques de sécurité applicables aux interconnexions de réseau. Puis, nous expliquerons quelles sont les contre-mesures disponibles, tant au niveau protocolaire qu'au niveau des opérations à mettre en œuvre par les différents opérateurs et acteurs du réseau. Enfin, nous détaillerons les nouveaux mécanismes à la disposition des opérateurs pour améliorer la sécurité de l'Internet et pour lutter contre les menaces comme l'usurpation d'annonces et le détournement des paquets d'information.
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
4. Filtrage des annonces de routage
Afin d'éviter ou limiter les phénomènes d'usurpations de préfixes et les détournements de trafic associés, les incohérences de routage, ou encore de potentielles erreurs d'implémentation du code BGP, toute session eBGP sur l'Internet se doit d'être configurée avec un filtrage approprié des routes selon différents critères. Ce paragraphe décrit les bonnes pratiques de configuration des sessions BGP sur l'Internet.
4.1 Filtres sur le chemin d'AS
4.1.1 Filtres sur la longueur de l'AS PATH
Sur l'Internet, le graphe des AS est finalement relativement concentré. Sur certains réseaux très bien connectés, plus de la majorité des destinations peuvent être joignables par une route avec un chemin d'AS de longueur 2. La longueur moyen de l'AS_PATH dépend bien entendu de la connectivité du réseau, mais est pour la plupart des destinations bien inférieure à 10, même en incluant les chemins provenant d'opérateurs ayant utilisé des techniques de prepending d'AS (voir encadré 2).
C'est une technique consistant à allonger artificiellement la longueur de l'attribut AS_PATH des routes annoncées, en ajoutant en fin de chemin son propre numéro d'AS n fois. En général, ces routes proviennent d'AS multi-connectés. L'objectif est, lorsque l'AS annonce un même préfixe à plusieurs endroits, de favoriser l'une des routes en dégradant les autres chemins grâce au prepending. En effet, à préfixe égal, l'une des toutes premières étapes des algorithmes de sélection des meilleurs chemins en BGP est de préférer la route ayant l'attribut AS_PATH le plus court.
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Filtrage des annonces de routage
BIBLIOGRAPHIE
-
(1) - REKHTER (Y.), LI (T.), HARES (S.) - A border gateway protocol 4 (BGP-4). - IETF Request for Comments (RFC) 4271 (2006).
-
(2) - POSTEL (J.) - Transmission control protocol. - IETF Request for Comments (RFC) 793 (1981).
-
(3) - VOHRA (Q.), CHEN (E.) - BGP support for four-octet AS number space. - IETF Request for Comments (RFC) 4893 (2007).
-
(4) - PILOSOV (A.), KAPELA (T.) - Stealing the internet, an internet-scale man in the middle attack. - Defcon, 16 (2008) http://www.defcon.org/images/defcon-16/dc16-presentations/defcon-16-pilosov-kapela.pdf
-
(5) - MEYER (D.), SAVOLA (P.) - The generalized TTL security mechanism (GTSM). - IETF Request for Comments (RFC) 5082 (2007).
-
(6) - HEFFERNAN (A.) - Protection of BGP sessions via TCP-MD5 signatures. - IETF Request for Comments...
DANS NOS BASES DOCUMENTAIRES
ANNEXES
ANSSI (Agence nationale de la sécurité des systèmes d'information). – portail « recommandations et guides » : Le guide des bonnes pratiques de configuration de BGP. http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/securite-des-reseaux/le-guide-des-bonnes-pratiques-de-configuration-de-bgp.html
RADb, The Routing Assets Database http://www.ra.net/index.php
HAUT DE PAGE
RFC 4271 - 2006 - A border gateway protocol 4 (BGP-4), IETF request for comments - -
RFC 793 - 1981 - Transmission control protocol, IETF request for comments. - -
RFC 4893 - 2007 - BGP support for four-octet AS number space, IETF request for comments - -
- 2008 - Stealing the internet, an internet-scale man in the middle attack, Defcon 16 http://www.defcon.org/images/defcon-16/dc16-presentations/defcon-16-pilosov-kapela.pdf - -
RFC 5082 - 2007 - The generalized TTL security mechanism (GTSM), IETF request for comments - -
RFC 2385 - 1998 - Protection of BGP sessions via TCP-MD5 signatures, IETF request for comments...
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive