Sécurité des réseaux : comprendre le détournement BGP pour protéger les systèmes d’entreprise

Par Melchior Aelmans, de Juniper Networks

L’émergence du SD-WAN (Software Defined Wide Area Networks) impacte considérablement la sécurité des réseaux externes. Ceux-ci utilisent en effet le web comme infrastructure de réseau physique (ou « sous-couche »). Internet est cependant très différent des réseaux traditionnels « privés » MPLS (Multiprotocol Label Switching networks). Il est également très important de noter que bon nombre des protocoles web couramment utilisés ne sont pas suffisamment « sécurisés », ce qui est le cas du Border Gateway Protocol (BGP).

Ce protocole « à deux couches » conçu pour le routage du trafic de données entre les différents réseaux est un élément central du web. Il a été développé il y a quelques décennies pour permettre à un nombre restreint de réseaux d’échanger des données. Chacun d’entre eux, confié à une seule entité, était alors doté d’un numéro de système autonome (ASN). Aujourd’hui, les cinq registres Internet régionaux (RIR) suivants distribuent les numéros AS : AFRINIC, ARIN, APNIC, LACNIC ou RIPE NCC. Les entreprises reçoivent également des adresses IP publiques de la part des RIR.

S’intéresser à l’évolution du protocole BGP

On appelle « peers » deux routeurs ayant établi une connexion via le protocole BGP pour l’échange d’informations de routage. Ces peers échangent via des sessions BGP qui s’exécutent sur TCP. Une fois la session BGP établie, les routeurs peuvent visualiser et évaluer la table de routage, une liste des différents réseaux auxquelles ils ont accès, afin de trouver le parcours le plus court.

Lorsque le protocole BGP a été créé en 1989, les utilisateurs de ces réseaux se connaissaient. Il n’était alors pas nécessaire de prendre des mesures pour tester la fiabilité des informations reçues. Ils pouvaient ainsi utiliser librement leurs réseaux mutuels pour échanger des informations sur le web.

Aujourd’hui, BGP remplit toujours sa tâche première qui est d’organiser le routage du trafic Internet. Toutefois, l’échange d’informations via Internet devenant de plus en plus important et critique, la bonne foi ne suffit plus pour accepter d’ouvrir ses réseaux.

Comme mentionné précédemment, les propriétaires d’ASN (fournisseurs d’accès internet et entreprises) reçoivent des adresses IP publiques d’un registre Internet régional (RIR). Cela ne garantit toutefois pas qu’ils soient les seuls à pouvoir les utiliser. Toute personne disposant d’un réseau utilisant le protocole BGP peut diffuser ces adresses IP à d’autres réseaux, intentionnellement ou non.

Cela signifie que, même si ces adresses IP sont attribuées à une entreprise, d’autres peuvent les utiliser. De cette façon, il est possible de se faire passer pour une tierce partie. Cela rend alors le protocole BGP vulnérable aux abus des cybercriminels. Ce phénomène a été révélé ces dernières années sous le nom de « détournement BGP » ou « BGP hijack ».

Comprendre le détournement BGP

Une telle attaque est définie comme la divulgation de réseaux BGP à des tiers sans l’autorisation du propriétaire de la source (l’utilisateur légitime des préfixes). Selon le RIPE NCC, ce piratage, ou vol, se produit de manière quasi quotidienne. Ils peuvent aussi bien se produire à l’échelle mondiale (répartis sur tous les réseaux) qu’à une échelle limitée (un seul ou quelques réseaux). Il existe en outre une différence entre les détournements accidentels ou intentionnels. La nature de ce type d’actions est généralement facile à déterminer en fonction de paramètres tels que la durée, la fréquence, les cibles ou la masse de blocs d’adresses détournés.

Les exemples sont nombreux et le phénomène en tant que tel n’est pas nouveau. Un cas bien connu s’est d’ailleurs produit il y a une dizaine d’années. Une société nationale de télécommunications a commencé à publier les adresses IP de YouTube pour tenter de bloquer un service local spécifique. En raison d’une erreur de configuration et du fait que le fournisseur de transit en amont a permis à l’entreprise de se servir de cette plage d’adresses IP, celle-ci l’a diffusée sur Internet. De ce fait, une grande partie du trafic de données a été détournée. Comme les entreprises n’ont pas utilisé les bons filtres, un « simple » changement de routage a entraîné un détournement BGP mondial.

Un incident plus récent concerne le détournement d’adresses IP des serveurs DNS d’Amazon. Il s’agissait ici d’une attaque ciblée. Les pirates ont ainsi détourné le trafic de MyEtherWallet via un faux portail, leur permettant d’accéder à une cryptomonnaie. Cela aurait facilement pu être évité si les réseaux concernés avaient utilisé les bons filtres.

Limiter l’accès au réseau en choisissant une solution appropriée

Une des principales questions est de savoir ce que les propriétaires d’ASN peuvent faire pour sécuriser leurs tables de routage et ainsi prévenir les détournements BGP. Traditionnellement, ce sont les pare-feu et les systèmes IDS/IPS qui sont utilisés pour sécuriser le réseau, en répondant au trafic provenant d’Internet. Cela signifie que le  » trafic malveillant  » a déjà pénétré dans le réseau avant de pouvoir être bloqué. Les  » malfaiteurs  » communiquent donc déjà avec les serveurs. Il est alors recommandé d’utiliser une solution de routage sécurisée, afin que le réseau ne puisse pas être exposé aux malfaiteurs. Ce système est appliqué aux routeurs BGP qui bordent le réseau DFZ (zone libre par défaut). Ceux-ci autorisent des routages via des sessions BGP avec des clients, des fournisseurs de transit et des collègues. Ils signalent également les parcours qui proviennent de leur propre réseau et de celui de leurs clients avec une combinaison de préfixe, de longueur de préfixe, d’AS d’origine et d’AS-pad.

Ce niveau de sécurité vise à réduire le nombre de messages potentiellement invalides qu’un réseau reçoit en refusant les messages d’itinéraire invalides et en s’assurant que seul le propriétaire peut communiquer les préfixes corrects.

La prise de mesures appropriées sur les routeurs edge BGP permet d’éviter que le réseau de l’AS n’atteigne un préfixe non valide. Cela rend alors impossible l’établissement d’une communication bidirectionnelle et complique considérablement la propagation des menaces.