Le 21/11/2014 15:35, Hugo Deprez a écrit : > je voulais aborder un sujet que je n'ai pas vu passer sur la mailing-list > (j'espère ne pas me tromper !) : le BGP Hijacking.
C'est pas secret, c'est discret. Parce que c'est un vrai problème. > Existe-t-il des parades contre ce genre d'attaque ? Es-ce que le fait de > faire tomber/remonter le peering avec son opérateur est suffisant pour > reprendre la main ? Clearer une session permet de rendre la route plus récente chez ton peer, donc potentiellement de redéclencher un best-path-selection, ce qui peut suffire si les autres critères de sélection sont équivalents. Mais c'est rarement le cas. > Existe-t-il des bonnes pratiques afin de réduire les risques ? Oui : gagner la visibilité par la conception de ton réseau. Il va s'agir, en version simplifiée, de mettre en place les décisions suivantes : - Regrouper tes services critiques (DNS, mail, frontaux web) sur un /24 (en fait un ou deux /25) de ton réseau et désagréger cette annonce (et uniquement celle ci). Tu peux proposer à tes peers directs de désagréger le /25 afin de garantir qu'il sera préféré et jamais hijacké, mais tu ne peux pas balancer le /25 sur des route-server ou des transits qui sont censés le filtrer. - Être le plus interconnecté possible avec le plus grand nombre d'AS possible pour s'assurer d'avoir les paths les plus courts dans la plupart des cas de figure. Donc présence sur tous les IX possibles. - Avoir le maximum de contacts avec le maximum d'opérateurs possibles afin de pouvoir leur demander de shooter une annonce illégitime. En clair : un mec qui fait tous les *nog, *ix et *RIR meetings pour serrer les bonnes paluches. - Surveiller les annonces concernant tes prefixes, avec les différents projets de monitoring existants : le RIS, NLNog-Ring, Cymru et j'en passe. - Bien entendu, signer tes routes (RPKI+ROA) et tenir tes enregistrement (IRR) de façon très strictes. Ca vaut pas grand chose comme contre-mesure, mais ça facilite la détection. Attention toutefois : plus d'interconnexions, c'est plus de boulot à maintenir, plus de boulot pour les routeurs, et plus de points d'entrée dans ton réseau, qu'il faudra sécuriser si tu veux aussi te prémunir de DDoS. La facture peut monter très haut, très rapidement. > Si le ce genre d'attaque est si "simple", pourquoi les grands acteurs ne > semblent pas régulièrement impactés ? Parce que c'est difficile à détecter, surtout pour une grosse structure inertielle dont les décideurs ne comprennent rien à la technique. -- Jérôme Nicolle 06 19 31 27 14 --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
