Présentation

Article

1 - APERÇU DU PROTOCOLE BGP ET SES APPLICATIONS

  • 1.1 - Concepts principaux autour du protocole BGP
  • 1.2 - Modèles d'interconnexions BGP

2 - RISQUES PORTANT SUR LES INTERCONNEXIONS BGP

  • 2.1 - Erreur sur le paquet BGP
  • 2.2 - Usurpation d'AS
  • 2.3 - Usurpation de préfixe
  • 2.4 - Usurpation de chemin
  • 2.5 - Risque sur la session BGP

3 - SÉCURITÉ DE LA SESSION EBGP

  • 3.1 - Sécurité protocolaire
  • 3.2 - Optimisation de la disponibilité d'une session BGP

4 - FILTRAGE DES ANNONCES DE ROUTAGE

  • 4.1 - Filtres sur le chemin d'AS
  • 4.2 - Filtres sur les valeurs des préfixes
  • 4.3 - Filtres sur le nombre de routes reçues

5 - LUTTE CONTRE LE DÉTOURNEMENT DE PRÉFIXES

  • 5.1 - Définition de RPKI
  • 5.2 - Domaine d'application
  • 5.3 - Politique d'implémentation possible de RPKI
  • 5.4 - Lutte contre l'usurpation de chemin

6 - CONCLUSION

7 - GLOSSAIRE

8 - SIGLES

Article de référence | Réf : TE7531 v1

Sécurité de la session eBGP
Sécurité du protocole BGP et des interconnexions IP sur l'Internet

Auteur(s) : Sarah NATAF

Date de publication : 10 mai 2015

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

RÉSUMÉ

Le protocole BGP est le seul protocole inter-domaine sur l'Internet reliant deux réseaux distincts : la fiabilité des interconnexions et la résilience de l'Internet dépendent donc exclusivement des propriétés de ce protocole. Cet article présente brièvement BGP puis expose les risques principaux tels que l'usurpation de pair BGP, l'effondrement d'une architecture BGP par propagation de messages malformés, l'injection de routes et le détournement de trafic, ainsi que les principales mesures de protection mises en oeuvre par les opérateurs, que ce soient par des mécanismes intrinsèques au protocole ou en application des bonnes pratiques opérationnelles.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

The Border Gateway Protocol is the only protocol interconnecting all IP networks composing the Internet. Hence Internet interconnection security and robustness depend exclusively on the security of BGP. This article presents some weaknesses of this protocol, such as the ability to spoof a BGP peer, global incidents due to malformed messages or human errors, BGP route injection and traffic hijacking. After discussing the risks, this article presents all the countermeasures available for the operators such as inherent security mechanisms and operational best practices that aim to build a more reliable and resilient Internet.

Auteur(s)

  • Sarah NATAF : Architecte réseau, Orange, Paris, France

INTRODUCTION

L'Internet est un réseau composé de l'interconnexion deux à deux de dizaines de milliers de réseaux IP. Ces interconnexions reposent sur un unique protocole de communication : BGP, ou Border Gateway Protocol, qui se charge dynamiquement de calculer les meilleurs chemins vers une destination et de les propager. La version 4 de ce protocole est apparue au milieu des années 1990, 1995 pour être exact, à une époque où le nombre d'opérateurs et acteurs de l'Internet était limité, de même que le nombre de blocs d'adresses IP annoncés dans ce réseau. Après l'essor de la bulle Internet dans les années 2000, l'explosion de la taille de la table de routage, l'introduction d'une nouvelle version d'IP et l'arrivée en masse de nombreux participants dans le réseau mondial, l'architecture même de ce protocole n'a finalement été que très légèrement modifiée : BGP n'a subi que des évolutions mineures jusqu'à présent, ses principes structurants étant toujours identiques.

Pourtant, toute la fiabilité de l'Internet, ainsi que sa résilience aux pannes dépendent de cette technologie BGP. Le premier incident majeur sur l'Internet a eu lieu dans la fin des années 1990, lorsqu'un opérateur a malencontreusement propagé des routes incorrectes sur l'ensemble du réseau, provoquant son effondrement (cet événement est analysé dans le cours de l'article ainsi que certains autres). Avec l'apparition de services faisant partie intégrante de la vie quotidienne de millions d'individus, la robustesse du réseau est devenue un enjeu majeur : les personnes et services se doivent d'être connectés et joignables sans interruption. D'autre part, si la sécurité des données est toujours primordiale, de plus en plus d'attention est portée sur la façon dont elles sont acheminées entre l'expéditeur et la destination ; les risques d'interception pour écoute sont grandissants et une attention particulière est portée sur les chemins parcourus par ces données.

Détournement de trafic, injoignabilité des destinations, usurpations, propagation de pannes, isolement de tout ou partie du réseau : dans cet article, nous listerons les différents risques de sécurité applicables aux interconnexions de réseau. Puis, nous expliquerons quelles sont les contre-mesures disponibles, tant au niveau protocolaire qu'au niveau des opérations à mettre en œuvre par les différents opérateurs et acteurs du réseau. Enfin, nous détaillerons les nouveaux mécanismes à la disposition des opérateurs pour améliorer la sécurité de l'Internet et pour lutter contre les menaces comme l'usurpation d'annonces et le détournement des paquets d'information.

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

IP   |   network security   |   internet   |   telecommunications   |   security   |   BGP   |   IP

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-te7531


Cet article fait partie de l’offre

Réseaux Télécommunications

(163 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation

3. Sécurité de la session eBGP

Cette section décrit les mécanismes de sécurité à mettre en œuvre dans le cadre de la configuration des sessions eBGP, pour lutter contre l'ensemble des risques présentés jusqu'ici. Elles font partie d'un ensemble de bonnes pratiques dont l'usage est recommandé.

3.1 Sécurité protocolaire

HAUT DE PAGE

3.1.1 Vérifications automatiques des implémentations BGP

Par défaut, la configuration d'une session eBGP ne nécessite sur un routeur que les informations suivantes : AS local du routeur, adresse IP locale du routeur, AS du routeur distant, adresse IP du routeur distant. Dans la pratique, l'adresse IP locale du routeur n'est pas toujours précisée pour une session BGP donnée, le routeur étant capable de choisir une adresse IP parmi les adresses déjà présentes dans la configuration de l'équipement.

Les implémentations BGP effectuent automatiquement un certain nombre de vérifications lors de l'établissement d'une session BGP, et en particulier eBGP. En effet, les messages de type OPEN contiennent notamment l'information de numéro d'AS du pair BGP. Si le numéro d'AS présenté n'est pas celui attendu par le routeur, une NOTIFICATION est émise et la session est close.

D'autre part, un pair BGP s'attend à recevoir des paquets TCP dont l'adresse IP source est celle du voisin telle que configurée sur le routeur. Par ce mécanisme d'identification rudimentaire du voisin, un pair BGP n'établit pas de session BGP si l'adresse IP source des paquets TCP est incorrecte. Enfin, un pair BGP s'attend par défaut à ce que les paquets des voisins eBGP soit émis avec un TTL (time-to-live ) de 1 lorsque les voisins sont directement connectés.

HAUT DE PAGE

3.1.2 Options de sécurité

Le paragraphe 3.1.1 décrit des fonctions d'identification basiques pouvant facilement être contournées. Pour cette raison, des mécanismes optionnels plus robustes sont apparus au...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Réseaux Télécommunications

(163 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Sécurité de la session eBGP
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - REKHTER (Y.), LI (T.), HARES (S.) -   A border gateway protocol 4 (BGP-4).  -  IETF Request for Comments (RFC) 4271 (2006).

  • (2) - POSTEL (J.) -   Transmission control protocol.  -  IETF Request for Comments (RFC) 793 (1981).

  • (3) - VOHRA (Q.), CHEN (E.) -   BGP support for four-octet AS number space.  -  IETF Request for Comments (RFC) 4893 (2007).

  • (4) - PILOSOV (A.), KAPELA (T.) -   Stealing the internet, an internet-scale man in the middle attack.  -  Defcon, 16 (2008) http://www.defcon.org/images/defcon-16/dc16-presentations/defcon-16-pilosov-kapela.pdf

  • (5) - MEYER (D.), SAVOLA (P.) -   The generalized TTL security mechanism (GTSM).  -  IETF Request for Comments (RFC) 5082 (2007).

  • (6) - HEFFERNAN (A.) -   Protection of BGP sessions via TCP-MD5 signatures.  -  IETF Request for Comments...

1 Sites Internet

ANSSI (Agence nationale de la sécurité des systèmes d'information). – portail « recommandations et guides » : Le guide des bonnes pratiques de configuration de BGP. http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/securite-des-reseaux/le-guide-des-bonnes-pratiques-de-configuration-de-bgp.html

RADb, The Routing Assets Database http://www.ra.net/index.php

HAUT DE PAGE

2 Normes et standards

RFC 4271 - 2006 - A border gateway protocol 4 (BGP-4), IETF request for comments - -

RFC 793 - 1981 - Transmission control protocol, IETF request for comments. - -

RFC 4893 - 2007 - BGP support for four-octet AS number space, IETF request for comments - -

- 2008 - Stealing the internet, an internet-scale man in the middle attack, Defcon 16 http://www.defcon.org/images/defcon-16/dc16-presentations/defcon-16-pilosov-kapela.pdf - -

RFC 5082 - 2007 - The generalized TTL security mechanism (GTSM), IETF request for comments - -

RFC 2385 - 1998 - Protection of BGP sessions via TCP-MD5 signatures, IETF request for comments...

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Réseaux Télécommunications

(163 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS