Differences

This shows you the differences between two versions of the page.

--- detournement_de_prefixes [2015/11/15 17:25] – [Existe-t-il des solutions à ce problème ?] samer
+++ detournement_de_prefixes [2015/11/15 17:54] – [Le détournement de préfixes IP dans l'actualité] samer
@@ Line 1: / Line 1: @@
 ====== Détournement de préfixes et routage externe ======
-Nous analysons dans ce document un évènement fréquent sur Internet qui consiste en un détournement de préfixes IP. Nous considérons l'épisode qui a eu lieu le **6 novembre 2015** et concernait le préfixe de la banque //Associated Bank// située aux Etats-Unis.
+Nous analysons dans ce document un évènement fréquent sur Internet qui consiste en un détournement de préfixes d'adresses IP. Nous considérons l'épisode qui a eu lieu le **6 novembre 2015** et concernait le préfixe de la banque //Associated Bank// située aux Etats-Unis.
 <WRAP round tip 100%>
@@ Line 11: / Line 11: @@
 [{{ :schema-irisa-bgp-mooc-wiki-2.png?nolink&300 |Figure 1. Annonces de routage}}]
-De cette façon, les routeurs BGP des différents réseaux sur Internet sélectionnent un chemin vers le réseau de la banque. Ils peuvent maintenant routeur du trafic vers le préfixe 12.180.184.0/24 comme représenté sur la figure 2. En particulier, le serveur qui héberge le site web de la banque associatedbbank.com et qui est identifié par l'adresse IP 12.180.184.143 devient joignable.
+De cette façon, les routeurs BGP des différents réseaux sur Internet sélectionnent un chemin vers le réseau de la banque. Ils peuvent maintenant routeur le trafic vers le préfixe 12.180.184.0/24 comme représenté sur la figure 2. En particulier, le serveur qui héberge le site web de la banque associatedbbank.com et qui est identifié par l'adresse IP 12.180.184.143 devient joignable.
 [{{ :schema-irisa-bgp-mooc-wiki-3.png?nolink&300 |Figure 2. Acheminement du trafic}}]
@@ Line 21: / Line 21: @@
 Pour cela, observons une capture vidéo de l'outil BGPlay déployé par RIPE NCC. Cet outil permet de suivre les informations de routage sur des sondes installées dans différents points du monde. Dans cette vidéo, les réseaux sont identifiés par les numéros de système autonome : par exemple 14561 correspond à //Associated Bank//, 7018 à //AT&T//, 3356 à //Level 3//, et 9498 à //Airtel//.
-Au début de la vidéo, le système autonome 14561 annonce le préfixe 12.180.184.0/24. Les sondes installées par exemple en Suisse (25091), en Grande Bretagne (3252), à Singapore (24482), ou en Russie (20632), sélectionnent des chemins vers le préfixe 12.180.184.0/24 qui passent par //AT&T// pour aboutir sur le réseau de la banque //Associated Bank// (représenté en rouge avec le numéro 14561).
+Au début de la vidéo, le système autonome 14561 annonce le préfixe 12.180.184.0/24. Les sondes installées en Suisse (25091), en Grande Bretagne (3252), à Singapore (24482), ou en Russie (20632), sélectionnent des chemins vers le préfixe 12.180.184.0/24 qui passent par //AT&T// et aboutissent sur le réseau de la banque //Associated Bank// (représenté en rouge avec le numéro 14561).
-A la séquence 0:24 de la vidéo, qui correspond à 5h53 le 6-11-2015, le système autonome //Airtel// commence à annoncer le préfixe 12.180.184.0/24. Les systèmes autonomes 20632 et 9002 situés en Russie sélectionnent maintenant des chemins vers le préfixe de la banque qui aboutissent sur le réseau de l'opérateur indien !
+A la séquence 00:04 de la vidéo, qui correspond à 5h53 le 6-11-2015, le système autonome //Airtel// commence à annoncer le préfixe 12.180.184.0/24. Les systèmes autonomes 20632 et 9002 situés en Russie sélectionnent maintenant des chemins vers le préfixe de la banque qui aboutissent sur le réseau de l'opérateur indien !
 Petit à petit, les annonces de l'opérateur indien se propagent et à 00:10, les systèmes autonomes en Suisse, Grande Bretagne, à Singapore, ou en Russie sélectionnent des chemins vers //Airtel//. Par conséquent, le trafic qui devait être routé vers //Associated Bank// est détourné vers //Airtel//.
-Le problème est résolu à la fin de la vidéo et le trafic converge comme prévu vers le réseau de la banque.
+Le problème est résolu à la fin de la vidéo et le trafic converge comme prévu initialement vers le réseau de la banque.
+===== Le détournement de préfixes IP dans l'actualité =====
+Le problème de détournement de préfixe d'adresses IP est un problème connu sur Internet. Des épisodes célèbres comme [[http://www.bortzmeyer.org/pakistan-pirate-youtube.html | le piratage de YouTube par Pakistan Telecom ]] a été très médiatisé. Le site [[https://bgpstream.com|bgpstream.com]] permet de suivre en temps réel l'occurence de tels évènements sur Internet.
 <WRAP round important 100%>
 Un détournement n'est pas nécessairement un acte malveillant, mais peut être le résultat d'une mauvaise configuration du routage BGP.
 </WRAP>
+===== Existe-t-il des solutions à ce problème ?=====
+La solution actuelle qui contribue à éviter le détournement de préfixes IP consiste à utiliser l'infrastructure RPKI. Un routeur BGP peut valider l'authenticité d'une annonce de routage à l'aide de certificats numériques. Comme indiqué dans l'exemple ci-dessous, le préfixe 12.180.184.0/24 n'est pas associé à un certificat qui permet de valider l'annonce de routage en provenance de la banque. Ceci aurait pu éviter le détournement par l'opérateur indien (à condition que les routeurs BGP qui reçoivent les annonces effectuent la validation). Contrairement, le préfixe 81.194.0.0/16 annoncé par RENATER dispose d'un certificat associé. Tout routeur qui reçoit une annonce de ce préfixe peut procéder à la validation et potentiellement écarter une annonce mensongère ou baisser sa priorité.
-===== Le détournement de préfixes IP dans l'actualité =====
+<code>
-Le problème de détournement de préfixe IP est un problème très connu. Des épisodes célèbres comme [[http://www.bortzmeyer.org/pakistan-pirate-youtube.html | le piratage de YouTube par Pakistan Telecom ]] a été très médiatisé. Le site [[https://bgpstream.com|bgpstream.com]] permet de suivre en temps réel l'occurence de tels évènements sur Internet.
+$ whois -h whois.bgpmon.net 12.180.184.0/24
-===== Existe-t-il des solutions à ce problème ?=====
+Prefix:              12.180.184.0/24
-La solution actuelle qui contribue à éviter le détournement de préfixes IP consiste à utiliser des certificats qui permettent de vérifier l'authenticité d'une annonce de routage.
+Prefix description:  Fiserv
+Country code:        US
+Origin AS:           14561
+Origin AS Name:      Associated Bank
+RPKI status:         No ROA found
+First seen:          2011-10-19
+Last seen:           2015-11-15
+Seen by #peers:      217
+$ whois -h whois.bgpmon.net 81.194.0.0/16
+Prefix:              81.194.0.0/16
+Prefix description:  FRANCE
+Country code:        FR
+Origin AS:           2200
+Origin AS Name:      Reseau National de telecommunications pour la Technologie
+RPKI status:         ROA validation successful
+First seen:          2011-10-19
+Last seen:           2015-11-15
+Seen by #peers:      224
+</code>
-http://rpki-monitor.antd.nist.gov
+Comme indiqué sur le site http://rpki-monitor.antd.nist.gov, l'utilisation de l'infrastructure RPKI est encore à ses débuts.