Infrastructures critiques



Documents pareils
Rappels réseaux TCP/IP

Sécuriser le routage sur Internet

Sécurité des réseaux Les attaques

ROUTEURS CISCO, PERFECTIONNEMENT

Service de VPN de niveau 3 sur RENATER (L3VPN MPLS)

Architecture Principes et recommandations

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Le service IPv4 multicast pour les sites RAP

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad

Influence des bonnes pratiques sur les incidents BGP

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Devoir Surveillé de Sécurité des Réseaux

Charte d installation des réseaux sans-fils à l INSA de Lyon

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

TCP/IP, NAT/PAT et Firewall

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Les réseaux de campus. F. Nolot

FORMATION CN01a CITRIX NETSCALER

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security

Fonctions Réseau et Télécom. Haute Disponibilité

Etude et validation de l'application du paradigme des pots de miel aux attaques visant les protocoles de routage

KASPERSKY DDOS PROTECTION. Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS

Groupe Eyrolles, 2004, ISBN :

Test d un système de détection d intrusions réseaux (NIDS)

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Sécurité Nouveau firmware & Nouvelles fonctionnalités

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Groupe Eyrolles, 2006, ISBN : X

Protection des protocoles

Groupe Eyrolles, 2000, 2004, ISBN :

Réseaux Privés Virtuels Virtual Private Networks

SECURITE. Figure 1. Incident réseau, source CERT. Nombre. Sécurité

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Dénis de service : la vision de l opérateur

(Third-Man Attack) PASCAL BONHEUR PASCAL 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

DIFF AVANCÉE. Samy.

F5 : SECURITE ET NOUVEAUX USAGES

(In)sécurité de la Voix sur IP [VoIP]

Pare-feu VPN sans fil N Cisco RV120W

Sécurité de la ToIP Mercredi 16 Décembre CONIX Telecom

Sécurité des réseaux IPSec

PACK SKeeper Multi = 1 SKeeper et des SKubes

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

Fiche descriptive de module

Master d'informatique. Réseaux. Supervision réseaux

DIGITAL NETWORK. Le Idle Host Scan

Hypervision et pilotage temps réel des réseaux IP/MPLS

Les firewalls libres : netfilter, IP Filter et Packet Filter

Security and privacy in network - TP

Figure 1a. Réseau intranet avec pare feu et NAT.

Botnets, les fantômes de l internet. 6 Novembre Iheb Khemissi - iheb.khemissi@gmail.com Joris Brémond - joris.bremond@gmail.

Formation Iptables : Correction TP

Prototype de canal caché dans le DNS

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

COTISATIONS VSNET 2015

Sécurité des Réseaux et d internet. Yves Laloum

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

TP DHCP et DNS. Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

Un concept multi-centre de données traditionnel basé sur le DNS

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Gestion et Surveillance de Réseau

FILTRAGE de PAQUETS NetFilter

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

Spécialiste Systèmes et Réseaux

IPFIX (Internet Protocol Information export)

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Positionnement produit

Accès aux ressources informatiques de l ENSEEIHT à distance

Plan. Rappels sur Netflow v1 v8. Netflow v9. Collecteur UTC «IPFlow» Cisco IOS : Implémentation de Netflow IPv6

Administration réseau Firewall

Routeur VPN Wireless-N Cisco RV215W

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Le protocole SSH (Secure Shell)

Mise en service d un routeur cisco

CONVENTION AVEC LES MAITRES D OUVRAGES DES RESEAUX DE COLLECTE

Sécurité des réseaux sans fil

Infocus < >

Check Point Certified Security Expert R75. Configurer et administrer des solutions avancées de la suite des produits de sécurité Check Point R71.

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

SSH, le shell sécurisé

LAB : Schéma. Compagnie C / /24 NETASQ

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement

Multicast & IGMP Snooping

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

Guide de connexion à. RENAULT SA et PSA PEUGEOT CITROËN. via ENX

Détection d'intrusions et analyse forensique

Transcription:

Faiblesses de BGP

Infrastructures critiques Les infrastructures critiques, un axe à la mode dans la problématique de défense nationale Identification des infrastructures critiques Notion d interdépendance des IC Protection de celles-ci Depuis récemment, Internet vu comme une infrastructure critique Notamment aux USA Nombreuses réflexions engagées dans la plupart des pays occidentaux

Infrastructures critiques sur Internet On ne considère pas ici les réseaux physiques, l électricité Sont eux-mêmes d autres infrastructures critiques Sont considérés comme critiques pour Internet : DNS BGP National Strategy to Secure Cyberspace (17 fév. 2003) Stratégie "whose goal is to engage and empower Americans, to secure the portions of cyberspace tha they own, operate, control, or with which they interact." Plan à 5 ans

BGP un protocole clé d Internet BGP (Border Gateway Protocol) est le protocole qui structure le routage Internet aujourd'hui. BGP est au cœur du routage sur Internet Assure le partage d informations de routage entre systèmes (routeurs) Des incidents passés (mauvaises configurations) ont montré les risques liés à BGP : AS7007 en 1997 Attention du public importante autour de BGP, nombreuses rumeurs BGP est aussi présent là où on ne l attend pas MBGP utilisé pour propagation de routes pour VPNs sur backbones d opérateurs en MPLS De nouvelles attaques ont récemment été proposées contre ce système

BGP : Vulnérabilités Pas d authentification requise des pairs Pas de validation des informations Nécessité de faire confiance à ses voisins sur les préfixes qu il annonce Impossible de vérifier la validité du message en terme d insertion, modification, replay Pas de confidentialité

BGP : Dénis de service ciblés Le routeur BGP est pris pour cible d un déni de service classique SYN flood sur port 179 Attaque par oscillation, router flap et flap par ses peers Faisabilité Aisée si aucune mesure n a été prise pour réduire ce trafic parasite et si routeur mal dimensionné

BGP : Réinitialisation de sessions Spoof d un Reset TCP pour fermer la connexion BGP entre deux routeurs Flush des routes associées au pair en question La session de peering est redémarrée par l un des pairs Déni de Service efficace si réitéré continuellement Faisabilité? Nécessite d avoir: IP SRC, Port SRC Numéro de paquet TCP IP TTL à 1 (selon les implémentations courantes) En pratique difficilement faisable sans pouvoir sniffer le réseau Ce qui est souvent encore plus difficile!

BGP : Hijacking de sessions Injection de messages dans un flux BGP établi Donc insertion/retrait de routes, fin de session, Faisabilité? Nécessite de spoofer tous les paramètres TCP Plus informations propres à la session BGP Très difficile sans sniffer le réseau des peers

BGP : Constats L attaque par un tiers hors BGP est très délicate Attention au hack de routeurs cependant!!! Les risques sont plus liés aux acteurs de BGP La plupart des risques qui vont suivre peuvent être aussi bien des mauvaises configurations que des hacks

BGP : Désagrégation Annonce de préfixes plus spécifiques En BGP, les préfixes plus spécifiques prennent précédence Principalement un déni de service important Possibilité de partitionner le réseau cible en préfixes plus longs et annoncer ces préfixes au monde entier Faisabilité Forte si l upstream ne filtre pas les annonces reçues du réseau pirate, propagation probablement limitée cependant Incident AS7007, 04/1997, désagrégation de tout Internet

BGP : Injection de routes Annonce de préfixes pour lequel l émetteur n a pas autorité Couplé avec un préfixe plus long Risque de détournement du trafic destiné au réseau victime vers cible arbitraire Faisabilité Peu (pas?) de malveillances volontaires connues, plutôt des négligences Théoriquement faisable, nécessite un filtrage laxiste de la part des upstreams Possibilité de rebonds : p.e., injections sur les préfixes de root-servers DN plutôt que de la cible Cas particuliers : Annonce de préfixes non alloués Saturation des tables Couplée à des DDoS classiques, remontée importante d ICMP Unrea vers les routeurs annonçant

BGP : Attaques sur les implémentations Comme toute implémentation, celle faite de BGP dans les routeurs est sujette à problèmes Le parc des core routers est-il suffisamment hétérogène pour éviter une avalanche si bug trouvé dans une implémentation??? Exemple des root-servers DNS : remplacement de BIND par NSD surk.root-servers.net (fév. 2003)

Sécurisation pour BGP Un protocole urgent selon certains : S-BGP IPsec pour la communication inter-peers Infrastructure à clé publique Autorisations pour annoncer des préfixes Certifications opérés par RIPE, ARIN, APNIC, Extension concurrente : SOBGP (Cisco) Pour l instant : authentification MD5 des peers Filtrer les paquets de mise à jour via des access-list Filtrer les «bogons» et DUSA

BGP : Conclusion sur les vulnérabilités Erik Shrek, MCI (NANOG 28) To be honest we have never seen any real attacks directed at BGP. There seem to be a lot of people focused on this, but the attacks are relatively hard to do compared to a ton of other attacks that are much easier to do. Des vulnérabilités ont été identifiées dans BGPv4 Risques potentiels allant du déni de service à la redirection de trafic Peu de cas de malveillances connus actuellement Améliorations du protocole difficilement exploitables L application des BCP devrait cependant limiter l impact d attaques BGP

BGP : En conclusion Successeur de BGP-4 : MBGP : Multiprotocol Border Gateway Protocol (RFC 2283) 2 nouveaux attributs MP_REACH_NLRI MP_UNREACH_NLRI

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back