Sécuriser le routage sur Internet



Documents pareils
Sécuriser le routage sur Internet

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

Domain Name System Extensions Sécurité

Gestion des Clés Publiques (PKI)

D31: Protocoles Cryptographiques

Etude et validation de l'application du paradigme des pots de miel aux attaques visant les protocoles de routage

Cours 14. Crypto. 2004, Marc-André Léger

Service de VPN de niveau 3 sur RENATER (L3VPN MPLS)

DNSSEC. Que signifie DNSSEC? Pourquoi a-t-on besoin de DNSSEC? Pour la sécurité sur Internet

Public Key Infrastructure (PKI)

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

TD n o 8 - Domain Name System (DNS)

Processus 2D-Doc. Version : 1.1 Date : 16/11/2012 Pôle Convergence AGENCE NATIONALE DES TITRES SECURISÉS. Processus 2D-Doc.

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Bibliographie. Gestion des risques

Travaux soutenus par l ANR. Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting)

Fiche descriptive de module

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Introduction à la sécurité Cours 8 Infrastructure de clés publiques. Catalin Dima

Devoir Surveillé de Sécurité des Réseaux

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Les certificats numériques

Algorithmique et langages du Web

Mise à jour de sécurité

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Notions de sécurités en informatique

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Parcours en deuxième année

Gilles GUETTE IRISA Campus de Beaulieu, Rennes Cedex, France

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

Description des UE s du M2

Document de présentation technique. Blocage du comportement

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011

Les infrastructures de clés publiques (PKI, IGC, ICP)

Le protocole SSH (Secure Shell)

Protection des protocoles

Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft

Gérer son DNS. Matthieu Herrb. tetaneutral.net. Atelier Tetaneutral.net, 10 février

VoIP ( H323,SIP) et sécurits. curité. Kamel HJAIEJ SUP COM

Groupe Eyrolles, 2006, ISBN : X

Les risques liés à la signature numérique. Pascal Seeger Expert en cybercriminalité

Mécanismes de configuration automatique d une interface réseau, aspects sécurité

La sécurité dans les grilles

La citadelle électronique séminaire du 14 mars 2002

Le Passeport Biométrique. Benoit LEGER CISSP ISO LD

Cryptographie. Master de cryptographie Architectures PKI. 23 mars Université Rennes 1

Gestion des certificats digitaux et méthodes alternatives de chiffrement

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

Pare-feu VPN sans fil N Cisco RV120W

Mettre en place un accès sécurisé à travers Internet

NORMES TECHNIQUES POUR UNE INTEROPERABILITE DES CARTES D IDENTITE ELECTRONIQUES

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Formations. «Produits & Applications»

Comment monter son propre ISP dans son garage

PROGRAMME DETAILLE. Parcours en première année en apprentissage. Travail personnel CC + ET réseaux

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Programme formation pfsense Mars 2011 Cript Bretagne

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

CA SIC Directives de certification Certificate Practice Statement (CPS) du SIC Customer ID CA 1024 Level 2

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Réseaux Privés Virtuels Virtual Private Networks

Du 03 au 07 Février 2014 Tunis (Tunisie)

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

ECTS CM TD TP. 1er semestre (S3)

Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille. Diffusion Restreinte

Il est recommandé de fermer les serveurs DNS récursifs ouverts

La sécurité des Réseaux Partie 7 PKI

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Outils d administration

Architectures PKI. Sébastien VARRETTE

Le Multicast. A Guyancourt le

Vulnérabilités et sécurisation des applications Web

Master d'informatique. Réseaux. Supervision réseaux

Le NIC France. Annie Renard INRIA. BP , Le Chesnay CEDEX Septembre 1995

Protocoles d authentification

LAB : Schéma. Compagnie C / /24 NETASQ

Open Vulnerability Assessment System

EJBCA PKI. Yannick Quenec'hdu Reponsable BU sécurité

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Infrastructure à Clé Publique (PKI Public Key Infrastructure)

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

L'infonuagique, les opportunités et les risques v.1

Groupe Eyrolles, 2004, ISBN :

Retour d'expérience sur le déploiement de biométrie à grande échelle

Transcription:

Sécuriser le routage sur Internet Guillaume LUCAS UFR Mathématique-Informatique Université de Strasbourg 7 mai 2013 Guillaume LUCAS (M1 RISE) Sécuriser le routage sur Internet 7 mai 2013 1 / 18

Introduction Sécuriser le routage inter-domaine comme sujet de TER Routage = cœur de tout réseau Importance d Internet Guillaume LUCAS (M1 RISE) Sécuriser le routage sur Internet 7 mai 2013 2 / 18

1 Rappels 2 Attaques sur BGP 3 Solutions 4 RPKI+ROA 5 Qu ai-je fait? 6 Conclusion Guillaume LUCAS (M1 RISE) Sécuriser le routage sur Internet 7 mai 2013 3 / 18

Rappels -> Allocation des ressources uniques Ressources numériques uniques = ASN, préfixe v4, préfixe v6 Besoin d unicité globale Donc besoin d une distribution cohérente au niveau mondial Au commencement (70 s - mi-90 s) SRI NIC (puis d autres) Dès le début des 90 s : émergence de l idée d un modèle hiérarchique Mi-90 s - aujourd hui Modèle hiérarchique IANA -> 5 RIR -> multitude de LIR Quid des ressources obtenues avant l apparition du modèle hiérarchique? Guillaume LUCAS (M1 RISE) Sécuriser le routage sur Internet 7 mai 2013 4 / 18

Rappels -> BGP Protocole de routage inter-as Meilleure route? choix subjectif Pas d authentification des annonces N importe qui peut faire n importe quoi? S annoncer comme l origine d un préfixe quelconque Relayer/manipuler une annonce Guillaume LUCAS (M1 RISE) Sécuriser le routage sur Internet 7 mai 2013 5 / 18

Attaques sur BGP Deux catégories d attaques Attaquer la communication entre pairs -> en dehors du sujet Injecter de fausses annonces Objectifs RFC 4272 «BGP Security Vulnerabilities Analysis» Empêcher ou ralentir l accès à un préfixe Rediriger des flux de données Attaques actives sur les couches supérieures Mauvaise utilisation de ressources (émission de spam, attaques,...) Guillaume LUCAS (M1 RISE) Sécuriser le routage sur Internet 7 mai 2013 6 / 18

Attaques sur BGP "Historiques" Détournement de (sous-)préfixe Modification AS-PATH Performances : fluctuations, désagrégation,... Kapela&Pilosov Été 2008 But : intercepter du trafic de manière plus silencieuse Nouvelle méthodologie, combinaison de techniques existantes Plus facile Guillaume LUCAS (M1 RISE) Sécuriser le routage sur Internet 7 mai 2013 7 / 18

Attaques sur BGP -> IRL Des incidents 1997 : AS 7007 désagrège tous les préfixes qu il reçoit en /24 2008 : cas d école Pakistan Télécom/Youtube Utilisation du préfixe non alloué 2.0.0.0/12 pour du phishing Et tous les autres incidents? Les incidents ont tendance à se multiplier ces dernières années Ceux jamais publiés comme 42/8, OSIRIS,... Zones d ombre Relativiser? Facteurs limitants : coût (financier/administratif/technique) de mise en œuvre, réactivité humaine, méthodes plus efficaces,... Guillaume LUCAS (M1 RISE) Sécuriser le routage sur Internet 7 mai 2013 8 / 18

Solutions -> Ce qu il faut faire 2 problèmes = 2 solutions Validation de l origine «Est-ce que X était bien autorisé à annoncer ce préfixe?» Relativement simple : peu de préfixes au final, normalement enregistrés et de rares changements BGPdemisec (Hugo Salgado) Validation du chemin «Est-ce qu Y avait le droit de relayer cette annonce? Et Z?» Complexité supérieure : explosion combinatoire, performances, changements fréquents,... Validation de l origine + validation du chemin = BGPSec (H.S.) Certaines solutions tentent d apporter une réponse aux deux problèmes. Les autres sont réalistes. Guillaume LUCAS (M1 RISE) Sécuriser le routage sur Internet 7 mai 2013 9 / 18

Solutions historiques Systèmes d alarme : surveiller les annonces BGP Passifs, basés sur la réactivité humaine, zones d ombres Best Current Practice : ensemble de bonnes pratiques (filtrer les annonces invalides, limiter le nombre maximal de préfixes,...) Très peu suivies, n est pas une solution en soi. Secure-BGP : BBN, Mi-90 s. Pairs + origine + chemin. PKI. Complexité en une seule fois, performances? Secure Origin BGP : Cisco, 2003. Origine + chemin. Réseau de confiance. Problèmes des réseaux de confiance (expiration? révocation?), complexité en une seule fois, modification de BGP. Guillaume LUCAS (M1 RISE) Sécuriser le routage sur Internet 7 mai 2013 10 / 18

Solutions historiques Pretty Secure BGP : Carleton, 2005. Origine + chemin. Reprendre le meilleur de S-BGP et SoBGP. Complexité++ en une seule fois, problèmes habituels des réseaux de confiance (expiration? révocation?) Pretty Good BGP : New Mexico, 2006. Prendre le temps d accorder sa confiance aux nouvelles routes. Pas de cryptographie, faux positifs, réactivité humaine. Et tant d autres papiers de recherche (Listen and Whisper, Reachability Validation Graph,...) Guillaume LUCAS (M1 RISE) Sécuriser le routage sur Internet 7 mai 2013 11 / 18

Solutions actuelles ROute Origin VERification Validation de l origine en utilisant le DNS Nouveaux enregistrements dans les zones reverse (in-addr.arpa / ip6.arpa) Avantage : se base sur une infrastructure de confiance existante Inconvénient : dépend du DNS et surtout de DNSSEC dont le déploiement débute RPKI+ROA Guillaume LUCAS (M1 RISE) Sécuriser le routage sur Internet 7 mai 2013 12 / 18

RPKI+ROA -> Généralités Janvier 2013 : solution normalisée à l IETF Validation de l origine Cryptographie asymétrique habituelle (paire de clés, certificats x509,...) Ne casse pas BGP Resource Public Key Infrastructure + Route Origin Authorizations Une PKI dédiée à la certification des ressources uniques d Internet Des autorisations signées concernant l origine d un préfixe Guillaume LUCAS (M1 RISE) Sécuriser le routage sur Internet 7 mai 2013 13 / 18

RPKI+ROA -> Détails Guillaume LUCAS (M1 RISE) Sécuriser le routage sur Internet 7 mai 2013 14 / 18

RPKI+ROA -> Limites Des manques dans la normalisation (délais, procédures de validation des Manifest, roulement des certificats racines,...) L infrastructure actuelle est-elle suffisante? Supportera-t-elle la charge? Grande inconnue. Manque d intérêt? 3000 ROA, 4000/467000 préfixes, qui valide? Manque de logiciels libres production-ready? De nouveaux pouvoirs aux RIR? Complexité? Exclusion de réseaux des Internets Guillaume LUCAS (M1 RISE) Sécuriser le routage sur Internet 7 mai 2013 15 / 18

Qu ai-je fait? Me documenter Maquette RPKI+ROA Rapporter des bugs RPKI tools : bug mineur web UI + impossible de créer des ROA v6. Corrigés (https://rpki.net/ticket/414). RIPE RPKI-Validator 2.7 : blocage de la validation si Ghostbusters présent dans un point de publication. Corrigé dans 2.8. BGP-SRX : états de validation fluctuants + support v6 incomplet (?). Toujours en cours. Guillaume LUCAS (M1 RISE) Sécuriser le routage sur Internet 7 mai 2013 16 / 18

Conclusion Bilan RPKI+ROA Une solution normalisée Des points à améliorer Une inertie à prendre (10, 15, 20, 20+ ans?) D ici là : BGPSec? Pas simple. Bilan TER Une maquette réalisée Prolongement des cours RO et SSR Capable de mettre en place une technique récente Contribution mineure à l amélioration des logiciels existants Guillaume LUCAS (M1 RISE) Sécuriser le routage sur Internet 7 mai 2013 17 / 18

Any questions? Figure : Source : https ://somkritya.files.wordpress.com/2012/01/burning-question.jpg. Guillaume LUCAS (M1 RISE) Sécuriser le routage sur Internet 7 mai 2013 18 / 18

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back