Salut Jean-Philippe :) Juniper & Cisco ont tous les deux publié des bulletins de sécurité relatifs a la vulnerabilité de TCP au paquets spoofés.
Le bulletin Juniper (disponible pour peu d'avoir un acces client a juniper.net) renvoie sur ce lien: <http://www.uniras.gov.uk/vuls/2004/236929/index.htm> qui explique assez bien le probleme. le bulletin Cisco est ici: <http://www.cisco.com/warp/public/707/cisco-sa-20040420-tcp-ios.shtml> D'une maniere generale la vulnerabilite affecte tous les stacks TCP. Les documents soulignent la vulnerabilité plus importante de BGP a cette faille car BGP fonctionne sur des sessions TCP continues dans le temps, et cette vulnerabilite permettrait de reinitialiser les sessions (je ne te detaille pas les consequences sur l'Internet suite au damping des routes qui flappent, etc. tu connais tout ca). Toutefois, comme tu le soulignes, cela fait deja bien longtemps que BGP est vulnerable a un nombre impressionnant d'attaques, sans que cela n'ait jamais gené personne. D'une maniere generale, tout protocole de routage non authentifié est vulnerable a des attaques de type spoofing (encore pire, un IGP link-state sur media partagé (ethernet) est encore plus vulnerable). Bref, les 'hackers de l'internet' ont beaucoup de failles plus interessantes a exploiter sur les OS que celles qui consistent a attaquer les routeurs. Cela n'empeche que le mouvement de paranoia de ces derniers jours est finalement plutot positif, car on ne peut nier l'utilité d'authentifier les sessions BGP. A+ --On jeudi 22 avril 2004 10:30 +0200 Jean-Philippe MARCEL <[EMAIL PROTECTED]> wrote: > Bonjour la liste, > > Je voudrais vous soumettre mon interrogation sur un embalement qui semble se > declarer chez les operateurs IP, a savoir la securisation des sessions BGP > via authentification MD5. > Est-ce une mesure de protection face a un reele trou de securité majeur, ou > est ce le resultat d'un embalement paranoïaque de la part des ISP. > Toujours est il que l'on ne compte plus les demandes de securisation MD5 des > sessions inter-operateurs sur les noeuds d echanges tel que le SFINX, Parix, > FreeIX. > Quand on interroge les initiateurs de ces demandes, on n'obtient pas de > reponses. Est-ce pour eviter d'ébruiter le fait qu'il y ai une faille > potentielle de leur systeme ? > Neanmoins, un rapport de Juin 2003 diffusé sur Nanog faisait le bilan des > vulnerabilités de BGP. > Donc paranoia ou danger réel, c est a vous de me dire .... > > JPh > > ---------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > ----------------------------------------------- > Archives : > http://www.frnog.org/archives.php > ----------------------------------------------- -- Jerome Fleury Tiscali France Network Engineer Tel: +33 1 45082314 ---------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ ----------------------------------------------- Archives : http://www.frnog.org/archives.php -----------------------------------------------
