Auteur Sujet: Un shunt BGP observé  (Lu 4045 fois)

0 Membres et 1 Invité sur ce sujet

krtman

  • Expert
  • Abonné Free adsl
  • *
  • Messages: 141
Un shunt BGP observé
« le: 07 décembre 2013 à 17:52:00 »
La technique du "shunt BGP" vient d’être observée pour la première fois sur Internet par la société de sécurité IT Renesys. Cette attaque du protocole BGP consiste pour l'attaquant a annoncer les routes appartenant a une cible pour rediriger son trafic vers un point qu'il maitrise et ou il pourra l'intercepter ou le modifier. Pour que cette technique soit efficace, il faut aussi pouvoir renvoyer le trafic détourné vers la cible de manière a ce que celle-ci ne se doute de rien.

Source (anglais) : http://www.renesys.com/2013/11/mitm-internet-hijacking/

Analyse (Francais) : http://www.bortzmeyer.org/bgp-shunt.html

Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 5 971
Un shunt BGP observé
« Réponse #1 le: 07 décembre 2013 à 18:19:12 »
Merci pour l'article. Ca n'est pas très rassurant. Je suis toujours étonné du peu de protections mises en place dans les interconnexions, et tous les mécanismes d'annonce BGP. OK, il y a 20 ans, il n'y avait pas beaucoup d'opérateurs, et on pouvait se passer de telles protections. Mais maintenant, c'est autre chose!

Leon.

Synack

  • AS16080 Rentabiliweb Telecom
  • Expert
  • *
  • Messages: 689
Un shunt BGP observé
« Réponse #2 le: 08 décembre 2013 à 17:11:59 »
La bascule d'un Internet basé sur la "confiance" à un Internet protégé est lente est difficile. C'est vrai que les opérateurs se multiplient et les risques avec. On voit régulièrement encore des gens leaker une full view par maladresse sur un point d'échange (souvent des petits opérateurs pas encore très expérimentés) ou des préfixes RFC1918 etc et d'autres opérateurs envoyer leur trafic vers lui faute de filtrage (un max prefix est quand même le minimum et certains l'oublient tout de même).

Le problème c'est que s'il est simple de filtrer certaines choses (ses propres préfixes, les martians/bogons, les préfixes plus petits que /24), il est nettement plus chiant de contrôler les 472K routes restantes.

Filtrer les préfixes de tes peers, c'est bien quand il en a une poignée, bon courage avec un HE ou un Init7, ou même moins extrême avec un Jaguar (~240 préfixes). Les petits sont les plus risqués ceci dit. Egalement si tu te raccordes à un route-server de point d'échange, le problème est encore augmenté.

Alors il y a les bases RIPE, on peut aussi s'amuser à filtrer sur l'AS path (mais là encore s'il y a plein de clients, bonjour la liste), reste que c'est lourd, pas toujours à jour et correctement renseigné, etc.

Parce qu'hormis le RIPE (quand c'est bien rempli), personne ne peut te garantir que l'opérateur qui t'envoie la route d'un site n'est pas un de ses transitaires...

Et encore là on parle des routes apprises, parce que même si c'est interdit, rien en routage ne t'empêche réellement de forcer une route statique vers une IP d'un point d'échange et d'envoyer du trafic illégitime à un opérateur.

Mais c'est pas nouveau, j'imagine que c'est très à la mode en ce moment avec toutes les attaques et les outils d'analyses de "flow" type Arbor ou autres qui montrent beaucoup mieux les choses et permettent d'agir plus efficacement et rapidement.


cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 401
    • Ukrainian Resilient Data Network
Un shunt BGP observé
« Réponse #3 le: 08 décembre 2013 à 19:24:29 »
Observée pour la première fois ? Wtf?