Skip to main content
BlogSécuritéBorder Gateway Protocol et la sécurisation de vos Linodes

Border Gateway Protocol et sécurisation de vos Linodes

Border Gateway Protocol et sécurisation de vos Linodes

Aujourd'hui, nous allons parler du protocole BGP (Border Gateway Protocol ) et d'une mesure récente que nous avons prise pour le sécuriser dans nos réseaux. Alors que nous signons nos préfixes avec des autorisations d'origine de route (ROA) depuis un certain temps, nous avons mis en œuvre la validation de route sur tous nos routeurs de passerelle de périphérie dans le monde entier et nous abandonnons maintenant les préfixes RPKI-invalides.

Pour comprendre ce changement, nous devons comprendre le fonctionnement du protocole TCP. BGP est l'un des protocoles qui font fonctionner l'internet. L'internet est un vaste réseau de réseaux. Ces réseaux indépendants ont leurs propres plages d'adresses IP fournies par les registres Internet régionaux (RIR ). Ces plages sont ce que BGP appelle des préfixes.


Ensuite, ces préfixes sont regroupés dans un système abstrait appelé système autonome (AS), identifié par un numéro appelé numéro de système autonome (ASN). Enfin, le routeur de bord parlant BGP de chaque réseau indépendant est appelé Peer. Pour que BGP fonctionne, chaque pair échange des informations de routage avec ses pairs voisins sous la forme d'annonces de préfixes de réseau. Comme les pairs peuvent échanger toutes les routes dont ils disposent en fonction de la politique de routage, un AS n'a pas besoin d'être directement connecté à un autre AS pour connaître ses préfixes. Dans ce cas, l'AS intermédiaire joue le rôle d'un AS de transit qui échange des informations de routage avec les AS de périphérie.

Appairage BGP avec l'AS de transit : AS 22222
Appairage BGP avec l'AS de transit : AS 22222

Détournement de BGP

La fausse annonce de préfixes que l'on ne contrôle pas, qu'elle soit intentionnelle ou accidentelle, est appelée détournement BGP. Il en résulte divers types d'attaques comme les DDoS, la surveillance, le spam, etc. 

Un détournement BGP réussi depuis l'AS 66666
Un détournement BGP réussi depuis l'AS 66666

Pour qu'une attaque par détournement BGP réussisse, les autres réseaux doivent sélectionner le chemin détourné comme le meilleur chemin de l'une des manières suivantes : 

  1. Puisque BGP préfère généralement la longueur de chemin AS la plus courte, l'adversaire peut offrir une longueur de chemin AS plus courte que le propriétaire légitime du préfixe. D'autres attributs BGP peuvent également être utilisés pour préférer un chemin, mais ce comportement dépend beaucoup des politiques de routage d'un ASN.
  2. L'adversaire doit annoncer un préfixe plus spécifique que celui qui peut être annoncé par le véritable AS d'origine. Les détournements basés sur la longueur des préfixes ont plus de chances de réussir car ils ne reposent pas sur des politiques BGP potentiellement compliquées. 

Bien que la complexité de l'attaque soit assez élevée pour qu'une telle attaque réussisse, le détournement de BGP est presque impossible à arrêter sans une certaine forme d'autorisation. Et c'est là que RPKI entre en jeu. 

RPKI

Pensez à RPKI comme à des signatures numériques ; il fournit une attestation que les routeurs parlant BGP n'acceptent que certains systèmes autonomes qui sont autorisés à créer des préfixes particuliers. Essentiellement, avec RPKI, les annonces de route BGP émises par un routeur peuvent être signées et validées sur la base du certificat ROA pour garantir que la route provient du détenteur de la ressource et qu'il s'agit d'une route valide. 

Lorsque la fonction RPKI est activée dans nos réseaux, nous signons nos préfixes de route avec les ROA et abandonnons les annonces BGP provenant de sources dont la signature RPKI est invalide. Il s'agit d'une mesure préventive contre de nombreuses menaces associées au détournement de BGP, notamment le DDoS, le spam, le phishing, la surveillance des données, etc. 

Nous faisons notre part pour rendre l'Internet plus sûr. Pour en savoir plus sur RPKI, consultez cette documentation d'ARIN.

Si vous êtes intéressé par des statistiques, voici un moniteur RPKI du NIST.

Commentaires

Laissez un commentaire

Votre adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.