BGP et DNS: attaques sur les protocoles critiques de l’Internet

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.
AFNOG 2006 Aspects Techniques du Peering Jean Robert HOUNTOMEY
Alain AINA AFNOG VI MAPUTO, Avril 2005
Protocole IGRP* *Interior Gateway Routing Protocol.
RIP* *Routing Information Protocol. Sommaire 1)Théorie 1)Configuration 1)Vérification.
Routage Classless VLSM/CIDR. Sommaire 1)Introduction au routage classless 1)CIDR* 1)VLSM** 1)Configuration * Classless Inter-Domain Routing ** Variable.
Firewall sous Linux Netfilter / iptables.
– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité
DUDIN Aymeric MARINO Andrès
Conception de la sécurité pour un réseau Microsoft
Guillaume CACHO Pierre-Louis BROUCHUD
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
PLAN DU COURS Outils de traitement des risques
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec
Open System Interconnect reference model
Réseaux Privés Virtuels
Authentification contre Masquarade
Atelier Portail SAP Durée : 2h.
Cours Présenté par …………..
FIN. Lycée Général et Technologique Simone de BEAUVOIR Quest-ce quInternet? On compare souvent Internet à une « autoroute » FIN.
Configuration de Windows Server 2008 Active Directory
Introduction à BGP AfNOG 2011 David Lopoi.
INF4420: Éléments de Sécurité Informatique
Plateforme de gestion de données de capteurs
Introduction aux réseaux
Cycle de vie d’une vulnérabilité
Analyseurs Réseaux(Renifleur) DSNIFF
SECURITE DU SYSTEME D’INFORMATION (SSI)
Lycée Général et Technologique du Rempart - Marseille.
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Analyse des protocoles de la couche application
Guérin Julien Mézerette Marius GTR FI 2A
African Network Operators Group Groupe Africain dOperateurs Réseau Atelier 4 (F2) : Infrastructure Réseau (Français) MAPUTO 18 au 22 avril 2005
Virtual Local Area Network
Présenté par : Albéric Martel Fabien Dezempte 1.
Le protocole FTP.
Aspects Techniques du Peering
L'équilibrage de charge Utilisation, principe et solutions
Introduction RADIUS (Remote Authentication Dial-In User Service)
Routage Routage = trouver le chemin optimal Opération à la couche 3
@SSR – Installation des applications eduscol.education.fr/securite - février 2007 © Ministère de l'Éducation nationale, de l'Enseignement supérieur et.
SSO : Single Sign On.
802.1x Audric PODMILSAK 13 janvier 2009.
Comment choisir un métier…
Les nombres.
Authentification à 2 facteurs
Aymeric BERNARD Stéphane BRINSTER Guillaume LECOMTE.
Novembre – Décembre 2005 Version Conclusion État de lart de la sécurité informatique Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE.
Commutation de niveau 5 Guillaume CASSIN Charles DESMOULINS 24 Mars 2001.
IPSec : IP Security Protocole fournissant un mécanisme de
Le trafic local doit rester local !
Les Access-lists sur routeurs Cisco
9 paires séries de 3 étuis ( n° 1 à 27 )
La sécurité dans les réseaux mobiles Ad hoc
SECURITE DES RESEAUX WIFI
Réseau Infrastructure Partage ressources Protocole Sécurité.
Projet Implémentation du protocole MMT sous Linux
Module Routage Où dois-je envoyer ce paquet ???
Les réseaux locaux virtuels : VLAN
Département Informatique Les Réseaux Informatiques Plans d’adressage Laurent JEANPIERRE.
Les listes de contrôle d’accès
Institut Supérieur d’Informatique
Le Routage.
Module 3 : Création d'un domaine Windows 2000
IPSec Formation.
-7- Notions de Routage.
Sécurité des Web Services
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Transcription de la présentation:

BGP et DNS: attaques sur les protocoles critiques de l’Internet Nicolas Dubée – ndubee@secway.fr Secway / BD Consultants Mai 2003 Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

Plan de la présentation Les infrastructures critiques Aperçu de BGP Vulnérabilités de BGP Risques sous-jacents Solutions pour la sécurisation Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

Infrastructures critiques Les infrastructures critiques, un axe à la mode dans la problématique de défense nationale Notion d’infrastructures critiques Notion d’interdépendance des IC Identification des infrastructures critiques Protection de celles-ci Depuis récemment, Internet vu comme une infrastructure critique Notamment aux USA Nombreuses réflexions engagées dans la plupart des pays occidentaux President's Commission on Critical Infrastructure Protection (PCCIP): EO 13010 defined critical infrastructures to include telecommunications, electrical power systems, gas and oil storage and transportation, banking and finance, transportation, water supply systems, emergency services (including medical, police, fire, and rescue), and continuity of government. Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

Infrastructures critiques sur Internet (1/2) On ne considère pas ici les réseaux physiques, l’électricité… Sont eux-mêmes d’autres infrastructures critiques Sont considérés comme critiques pour Internet[2] : DNS BGP La caféine ! Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

Infrastructures critiques sur Internet (2/2) “National Strategy to Secure Cyberspace” (17 fév. 2003) Stratégie "whose goal is to engage and empower Americans, to secure the portions of cyberspace that they own, operate, control, or with which they interact." Plan à 5 ans Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

BGP et DNS : Attaques sur les protocoles critiques de l’Internet Cadre de l’exposé Nous nous attacherons dans la suite à BGP uniquement Nous verrons les vulnérabilités du protocole BGPv4 Nous évaluerons les risques associés, au niveau de l’infrastructure Transition slide suivante: pourquoi s’attacher à BGP que peut de monde utilise, alors que DNS, tout le monde l’a ??? Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

BGP et DNS : Attaques sur les protocoles critiques de l’Internet BGP, Internet et nous BGP est au cœur du routage sur Internet Assure le partage d’informations de routage entre systèmes (routeurs) Des incidents passés (mauvaises configurations) ont montré les risques liés à BGP : AS7007 en 1997 Attention du public importante autour de BGP, nombreuses rumeurs[4] BGP est aussi présent là où on ne l’attend pas MBGP utilisé pour propagation de routes pour VPNs sur backbones d’opérateurs en MPLS[3] L0pht: « we could take the Internet down in 30 seconds » en 1998. Faisaient-ils référence à BGP, à DNS ??? Blackhat 2003: discours alarmiste à propos de la sécurité de BGP. Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

BGP et DNS : Attaques sur les protocoles critiques de l’Internet Aperçu de BGP (1) Version actuelle 4, définie en 1994 par RFC 1654 et 1771 Notion d’AS, Autonomous System Groupe d’un ou plusieurs préfixes (=réseaux) ayant une politique de routage commune Identifié par un numéro Exemple: 194.51.23.0/24 appartient à l’AS3215 de France Telecom Transpac BGP est un protocole permettant l’échange d’informations d’accessibilité entre AS Maintien de la table de routage Internet globale Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

BGP et DNS : Attaques sur les protocoles critiques de l’Internet Aperçu de BGP (2) Construit au dessus de TCP, port 179 Donc pas de broadcast/multicast Propagation entre pairs préconfigurés, non forcément adjacents Pas de topologie dans les connexions entre pairs Machine à états finis Échange de messages simples Open Update Notification, Keepalive AS path constitué pour chaque préfixe annoncé Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

BGP et DNS : Attaques sur les protocoles critiques de l’Internet Aperçu de BGP (3) Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

BGP et DNS : Attaques sur les protocoles critiques de l’Internet Vulnérabilités Pas d’authentification requise des pairs Par défaut la seule barrière est la négociation TCP Authentification MD5 par secret partagé optionnelle Pas de validation des informations Nécessité de faire confiance à ses voisins sur les préfixes qu’il annonce Possibilité (très recommandée) de filtrer Mais très difficile quand on se rapproche du cœur du réseau… Impossible de vérifier la validité du message en terme d’insertion, modification, replay Pas de confidentialité (mais rarement requis) Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

Dénis de service ciblés Le routeur BGP est pris pour cible d’un déni de service classique SYN flood sur port 179 Attaque par oscillation, router flap et flap par ses peers Faisabilité Aisée si aucune mesure n’a été prise pour réduire ce trafic parasite et si routeur mal dimensionné Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

Réinitialisation de sessions (1) Spoof d’un RST TCP pour fermer la connexion BGP entre deux routeurs Flush des routes associées au pair en question La session de peering est redémarrée par l’un des pairs Déni de Service efficace si réitéré continuellement Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

Réinitialisation de sessions (2) Faisabilité ? Nécessite d’avoir: IP SRC, Port SRC TCP SEQ dans window IP TTL à 1 (selon les implémentations courantes) En pratique difficilement faisable sans pouvoir sniffer le réseau Ce qui est souvent encore plus difficile ! Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

BGP et DNS : Attaques sur les protocoles critiques de l’Internet Hijacking de sessions Injection de messages dans un flux BGP établi Donc insertion/retrait de routes, fin de session, … Faisabilité ? Nécessite de spoofer tous les paramètres TCP Plus informations propres à la session BGP Très difficile sans sniffer le réseau des peers Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

BGP et DNS : Attaques sur les protocoles critiques de l’Internet Constats L’attaque par un tiers hors BGP est très délicate Attention au hack de routeurs cependant !!! Les risques sont plus liés aux acteurs de BGP La plupart des risques qui vont suivre peuvent être aussi bien des mauvaises configurations que des hacks En BGP, les « oops! » ne pardonnent pas C’est ce qui rend BGP dangereux… Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

BGP et DNS : Attaques sur les protocoles critiques de l’Internet Désagrégation Annonce de préfixes plus spécifiques En BGP, les préfixes plus spécifiques prennent précédence Principalement un déni de service important Possibilité de partitionner le réseau cible en préfixes plus longs et annoncer ces préfixes au monde entier Faisabilité Forte si l’upstream ne filtre pas les annonces reçues du réseau pirate, propagation probablement limitée cependant Incident AS7007, 04/1997, désagrégation de tout Internet Ce risque est donné car bien illustré par l’exemple de AS7007 Il peut aussi être utilisé pour rediriger du trafic, … Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

BGP et DNS : Attaques sur les protocoles critiques de l’Internet Injection de routes (1) Annonce de préfixes pour lequel l’émetteur n’a pas autorité Couplé avec un préfixe plus long Risque de détournement du trafic destiné au réseau victime vers cible arbitraire Soit déni de service (blackhole, cible de trafic) Soit hack : Interception de trafic Takeover complet de flux par Man-in-the-Middle Masquerade de serveurs Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

BGP et DNS : Attaques sur les protocoles critiques de l’Internet Injection de routes (2) Faisabilité Peu (pas?) de malveillances volontaires connues, plutôt des négligences Théoriquement faisable, nécessite un filtrage laxiste de la part des upstreams Possibilité de rebonds : p.e., injections sur les préfixes de root-servers DNS plutôt que de la cible… Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

BGP et DNS : Attaques sur les protocoles critiques de l’Internet Injection de routes (3) Cas particuliers : Annonce de préfixes non alloués Saturation des tables Couplée à des DDoS classiques, remontée importante d’ICMP Unreach vers les routeurs annonçant Annonce de préfixes DUSA (192.168.0.0/16 par exemple) Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

Attaques sur les implémentations Comme toute implémentation, celle faite de BGP dans les routeurs est sujette à problèmes Le parc des core routers est-il suffisamment hétérogène pour éviter une avalanche si bug trouvé dans une implémentation ??? Exemple des root-servers DNS : remplacement de BIND par NSD surk.root-servers.net (fév. 2003) Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

BGP et DNS : Attaques sur les protocoles critiques de l’Internet Sécurisation (1) Un protocole urgent selon certains : S-BGP IPsec pour la communication inter-peers Framework PKI entre tous les participants Autorisations pour annoncer des préfixes RR CA opérés par RIPE, ARIN, APNIC, … Extension concurrente : SOBGP (Cisco) Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

BGP et DNS : Attaques sur les protocoles critiques de l’Internet Sécurisation (2) Pour l’instant, flux remontant via un ISP Forcer l’authentification MD5 des peers Utiliser un loopback ou une adresse secondaire pour le peering Autoriser les clients à annoncer seulement leurs préfixes Autoriser seulement les préfixes de l’ISP à en sortir Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

BGP et DNS : Attaques sur les protocoles critiques de l’Internet Sécurisation (3) Flux descendant des upstreams Forcer l’authentification MD5 des peers Utiliser un loopback ou une adresse secondaire pour le peering Valider autant que possible ce qui arrive des peers (difficile…) Filtrer les « bogons » et DUSA Ne pas avoir de route par défaut Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

BGP et DNS : Attaques sur les protocoles critiques de l’Internet Conclusion (1/2) Erik Shrek, MCI (NANOG’28) “To be honest we have never seen any real attacks directed at BGP. There seem to be a lot of people focused on this, but the attacks are relatively hard to do compared to a ton of other attacks that are much easier to do.” Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

BGP et DNS : Attaques sur les protocoles critiques de l’Internet Conclusion (2/2) Des vulnérabilités ont été identifiées dans BGPv4 Risques potentiels allant du déni de service à la redirection de trafic Peu de cas de malveillances connus actuellement Améliorations du protocole difficilement exploitables L’application des BCP devrait cependant limiter l’impact d’attaques BGP Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

BGP et DNS : Attaques sur les protocoles critiques de l’Internet Références [1] Barry Greene, BGPv4 Security Risk Assessment, 06/2002 [2] Barry Greene, Is the sky falling?, présentation à NANOG25 – Toronto [3] E. Rosen, Y. Rekhter, BGP/MPLS VPNs, RFC 2547 [4] Robert Lemos, Expert: Router holes threaten Net, http://zdnet.com.com/2100-1105-990608.html [5] Iljitsch van Beijnum, BGP, O’Reilly 2002 [6] Y. Rekhter, T. Li, A Border Gateway Protocol 4 (BGP-4), RFC 1771, 03/1995 [7] Stephen Kent, Transitioning Secure BGP into the Internet, BBN janv. 2001 [8] James Ng, Secure Origin BGP (soBGP), IETF Internet Draft oct. 2002 Nicolas Dubée Secway, 05/2003 BGP et DNS : Attaques sur les protocoles critiques de l’Internet

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.