wikiroute

networking recipes

User Tools

Site Tools

Trace:
detournement_de_prefixes

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
Next revisionBoth sides next revision
detournement_de_prefixes [2015/11/15 17:53] – [Détournement de préfixes et routage externe] samerdetournement_de_prefixes [2015/11/15 17:58] – [Existe-t-il des solutions à ce problème ?] samer
Line 30: Line 30:
  
 ===== Le détournement de préfixes IP dans l'actualité ===== ===== Le détournement de préfixes IP dans l'actualité =====
-Le problème de détournement de préfixe IP est un problème très connu. Des épisodes célèbres comme [[http://www.bortzmeyer.org/pakistan-pirate-youtube.html | le piratage de YouTube par Pakistan Telecom ]] a été très médiatisé. Le site [[https://bgpstream.com|bgpstream.com]] permet de suivre en temps réel l'occurence de tels évènements sur Internet.+Le problème de détournement de préfixe d'adresses IP est un problème connu sur Internet. Des épisodes célèbres comme [[http://www.bortzmeyer.org/pakistan-pirate-youtube.html | le piratage de YouTube par Pakistan Telecom ]] a été très médiatisé. Le site [[https://bgpstream.com|bgpstream.com]] permet de suivre en temps réel l'occurence de tels évènements sur Internet, marqués comme ''Possible Hijack''.
  
 <WRAP round important 100%> <WRAP round important 100%>
Line 36: Line 36:
 </WRAP> </WRAP>
 ===== Existe-t-il des solutions à ce problème ?===== ===== Existe-t-il des solutions à ce problème ?=====
-La solution actuelle qui contribue à éviter le détournement de préfixes IP consiste à utiliser l'infrastructure RPKI. Un routeur BGP peut valider l'authenticité d'une annonce de routage à l'aide de certificats numériques. Comme indiqué dans l'exemple ci-dessous, le préfixe 12.180.184.0/24 n'est pas associé à un certificat qui permet de valider l'annonce de routage en provenance de la banque. Ceci aurait pu éviter le détournement par l'opérateur indien (à condition que les routeurs BGP qui reçoivent les annonces effectuent la validation). Contrairement, le préfixe 81.194.0.0/16 annoncé par RENATER dispose d'un certificat associé. Tout routeur qui reçoit une annonce de ce préfixe peut procéder à la validation et potentiellement écarter une annonce mensongère ou baisser sa priorité.  +La solution actuelle qui contribue à éviter le détournement de préfixes IP consiste à utiliser l'infrastructure [[http://www.bortzmeyer.org/securite-routage-bgp-rpki-roa.html|RPKI]]. Un routeur BGP peut valider l'authenticité d'une annonce de routage à l'aide de certificats numériques. Comme indiqué dans l'exemple ci-dessous, le préfixe 12.180.184.0/24 n'est pas associé à un certificat qui permet de valider l'annonce de routage en provenance de la banque. Ceci aurait pu éviter le détournement par l'opérateur indien (à condition que les routeurs BGP qui reçoivent les annonces effectuent la validation). Contrairement, le préfixe 81.194.0.0/16 annoncé par RENATER dispose d'un certificat associé. Tout routeur qui reçoit une annonce de ce préfixe peut procéder à la validation et potentiellement écarter une annonce mensongère ou baisser sa priorité.  
  
 <code> <code>
detournement_de_prefixes.txt · Last modified: 2022/11/23 23:40 by samer