Merci pour ces explications ! Et dans le cas d'une infrastructure plus petite : AS avec un simple /24 et multi-homing via deux operateurs X et Y, Dans ce cas de figure on délègue notre visibilité à nos opérateurs.
Es-ce que ces opérateurs ont un rôle à jouer dans ce cas de figure ? Hugo 2014-11-21 15:46 GMT+01:00 Jérôme Nicolle <jer...@ceriz.fr>: > > > Le 21/11/2014 15:35, Hugo Deprez a écrit : > > je voulais aborder un sujet que je n'ai pas vu passer sur la mailing-list > > (j'espère ne pas me tromper !) : le BGP Hijacking. > > C'est pas secret, c'est discret. Parce que c'est un vrai problème. > > > Existe-t-il des parades contre ce genre d'attaque ? Es-ce que le fait de > > faire tomber/remonter le peering avec son opérateur est suffisant pour > > reprendre la main ? > > Clearer une session permet de rendre la route plus récente chez ton > peer, donc potentiellement de redéclencher un best-path-selection, ce > qui peut suffire si les autres critères de sélection sont équivalents. > Mais c'est rarement le cas. > > > Existe-t-il des bonnes pratiques afin de réduire les risques ? > > Oui : gagner la visibilité par la conception de ton réseau. > > Il va s'agir, en version simplifiée, de mettre en place les décisions > suivantes : > > - Regrouper tes services critiques (DNS, mail, frontaux web) sur un /24 > (en fait un ou deux /25) de ton réseau et désagréger cette annonce (et > uniquement celle ci). Tu peux proposer à tes peers directs de désagréger > le /25 afin de garantir qu'il sera préféré et jamais hijacké, mais tu ne > peux pas balancer le /25 sur des route-server ou des transits qui sont > censés le filtrer. > > - Être le plus interconnecté possible avec le plus grand nombre d'AS > possible pour s'assurer d'avoir les paths les plus courts dans la > plupart des cas de figure. Donc présence sur tous les IX possibles. > > - Avoir le maximum de contacts avec le maximum d'opérateurs possibles > afin de pouvoir leur demander de shooter une annonce illégitime. En > clair : un mec qui fait tous les *nog, *ix et *RIR meetings pour serrer > les bonnes paluches. > > - Surveiller les annonces concernant tes prefixes, avec les différents > projets de monitoring existants : le RIS, NLNog-Ring, Cymru et j'en passe. > > - Bien entendu, signer tes routes (RPKI+ROA) et tenir tes enregistrement > (IRR) de façon très strictes. Ca vaut pas grand chose comme > contre-mesure, mais ça facilite la détection. > > Attention toutefois : plus d'interconnexions, c'est plus de boulot à > maintenir, plus de boulot pour les routeurs, et plus de points d'entrée > dans ton réseau, qu'il faudra sécuriser si tu veux aussi te prémunir de > DDoS. La facture peut monter très haut, très rapidement. > > > > Si le ce genre d'attaque est si "simple", pourquoi les grands acteurs ne > > semblent pas régulièrement impactés ? > > Parce que c'est difficile à détecter, surtout pour une grosse structure > inertielle dont les décideurs ne comprennent rien à la technique. > > -- > Jérôme Nicolle > 06 19 31 27 14 > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
