Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Sécurité du protocole BGP. 1

  • Печать
Обновлено 01.10.2025 11:25

Je pense que tout le monde comprend que le réseau Internet est vulnérable aux attaques utilisant des protocoles de routage et que le protocole BGP ne fait pas exception. Des sources d'informations d'itinéraire défectueuses, mal configurées ou délibérément déformées peuvent fausser considérablement le fonctionnement d'Internet en insérant de fausses informations d'itinéraire dans les bases de données d'itinéraire distribuées par BGP (en modifiant, remplaçant ou réutilisant les paquets BGP). Il existe également certaines méthodes pour perturber le réseau dans son ensemble en rompant les liens dans le système d'échange d'informations entre les nœuds BGP. Les sources de fausses informations peuvent être à la fois des hôtes externes (outsider) et des nœuds BGP légitimes.

L'authentification cryptographique de l'échange de données entre partenaires n'est pas prévue dans le protocole BGP. Le protocole BGP, comme la pile TCP/IP, peut être la cible de toutes les attaques réseau dont nous avons parlé dans les articles précédents. Tout nœud tiers peut inclure des messages BGP plausibles dans l'échange de données entre les partenaires BGP et, par conséquent, inclure de fausses routes dans les tables ou rompre la connexion entre les partenaires. Toute interruption de la communication entre les partenaires entraîne une modification du schéma de routage distribué. De plus, les nœuds externes peuvent aussi rompre les connexions entre les partenaires BGP en interrompant les sessions TCP avec de faux paquets. Les sources externes de fausses informations BGP peuvent être situées n'importe où sur Internet.

Exiger la prise en charge d'un mécanisme d'authentification ne signifie pas encore qu'il soit utilisé en pratique. Ainsi, le mécanisme d'authentification est basé sur l'utilisation d'un secret partagé prédéfini (shared secret, mot de passe partagé que tous les participants à l'échange de données doivent utiliser) et n'inclut pas la capacité d'IPsec à négocier dynamiquement ce secret. Par conséquent, l'utilisation de l'authentification doit être une décision éclairée et ne peut pas être activée automatiquement ou par défaut.

La spécification BGP actuelle permet également aux implémentations de protocole d'accepter des connexions provenant de partenaires non spécifiés dans la configuration. Cependant, la spécification manque une définition claire de « non spécifié dans la configuration

ou des moyens d'utiliser l'authentification pour de tels cas.

Les nœuds BGP eux-mêmes peuvent inclure de fausses informations de routage en se faisant passer pour un autre nœud BGP légitime ou en envoyant des informations de routage en leur nom sans autorisation. Il y a eu des cas où des routeurs mal configurés ou défectueux étaient à l'origine de graves perturbations dans le fonctionnement d'Internet. Les nœuds BGP légitimes ont le contexte et les informations nécessaires pour créer des données de routage crédibles mais fausses et peuvent donc être à l'origine de violations graves. La protection cryptographique et la protection des appareils en cours d'exécution ne permettent pas d'exclure les fausses informations reçues d'un partenaire légitime, de sorte que toutes les exigences de cryptage dans ce cas seront respectées. Le risque de violations causées par des partenaires légitimes du BGP est réel et doit nécessairement être pris en compte. Autrement dit, ne vous fiez pas entièrement aux fournisseurs voisins, vous devez effectuer des paramètres supplémentaires, qui seront discutés dans les prochains articles.

En cas de transmission de fausses informations de routage, divers problèmes peuvent survenir. Par exemple, si de fausses données suppriment des informations de routage correctes pour un réseau particulier, elles pourraient ne pas être disponibles pour la partie d'Internet qui accepte les fausses données. Et si de fausses informations modifient l'itinéraire vers le réseau, les paquets adressés à ce réseau peuvent être envoyés sur un chemin non optimal, ce qui peut entraîner des pertes financières pour le Fournisseur. De plus, le chemin de transfert ne sera pas conforme à la politique attendue ou le trafic sera tout simplement perdu. En conséquence, le trafic vers ce réseau peut être retardé sur un chemin plus long que nécessaire. Le réseau peut devenir inaccessible aux zones qui acceptent de fausses données. Le trafic peut également être acheminé le long d'un chemin sur lequel les données peuvent être visualisées de manière indésirable ou déformées. Par exemple, en utilisant un renifleur dont on a déjà parlé. Si de fausses informations indiquent qu'un système autonome comprend des réseaux qui ne le font pas réellement, les paquets pour ces réseaux pourraient ne pas être livrés à partir des parties d'Internet qui ont accepté de fausses informations. Les fausses annonces d'appartenance des réseaux à un système autonome peuvent également mener à la fragmentation des blocs d'adresses agrégés dans d'autres parties d'Internet et causer des problèmes de routage pour d'autres réseaux.

Comme vous pouvez le constater, il y a beaucoup de problèmes liés à la sécurité du protocole BGP. Quelles perturbations du réseau peuvent survenir à la suite de ces attaques ?

Les violations résultant de telles attaques sont les suivantes.

Violation de starvation (perte de paquets). Le trafic adressé à l'hôte est transmis à la partie du réseau qui ne peut pas le livrer, ce qui entraîne une perte de trafic.

Violation de la congestion du réseau. Plus de données seront transmises à travers une partie du réseau que ce réseau est capable de traiter. C'est une sorte d'attaque par déni de service.

Violation du trou noir (trou noir). Une grande quantité de trafic est acheminée à travers un seul routeur qui ne peut pas faire face à l'augmentation du trafic et rejettera une partie, la plupart ou la totalité des paquets.

Violation delay (retard). Les données adressées à l'hôte sont transmises sur un chemin plus long que d'habitude. Cette violation peut entraîner à la fois des retards dans le transfert de données, ce qui est particulièrement évident lors de la diffusion de contenu vidéo ou audio en continu, et une perte de trafic, car certains paquets peuvent expirer la valeur Time to Live, la durée de vie, en raison d'un chemin trop long.

Violation de boucle (boucles). Les données sont transmises sur un chemin fermé et ne seront jamais livrées.

Violation d'eavesdrop (interception). Les données sont transmises par un routeur ou un réseau qui n & apos; n'a pas besoin de les voir, et les renseignements peuvent être consultés lors de cette transmission. En règle générale, dans ces violations, les attaquants acheminent spécifiquement le trafic via un segment de réseau qu'ils peuvent écouter. Habituellement, de cette manière, des renseignements confidentiels sur les cartes de crédit, les mots de passe, les codes d'accès, etc. sont extraites.

Violation de partition (partition du réseau). Certaines parties semblent être séparées du réseau, bien que ce ne soit pas le cas. À la suite de cette violation, le trafic pourrait ne pas traverser les parties, ce qui affectera négativement le fonctionnement du réseau dans son ensemble.

Coupe coupée (déconnexion). Certaines parties du réseau peuvent sembler coupées du réseau, bien qu'elles soient réellement connectées. Par analogie avec la violation précédente, le trafic peut ne pas passer par certaines parties.

Perturbation des ondes. La vitesse de transfert vers le réseau change rapidement, ce qui entraîne des variations importantes du modèle de livraison des paquets (et peut affecter négativement le fonctionnement du système de contrôle de saturation).

Instabilité durable (instabilité). Le fonctionnement du BGP devient instable et il est impossible d'obtenir une convergence de l'image des routes.

Violation par surcharge. Les messages BGP deviennent eux-mêmes une partie importante du trafic réseau.

Violation de l'épuisement des ressources. Les messages BGP eux-mêmes consomment trop de ressources du routeur (par exemple, de l'espace de table).

Violation address-spoofing (adresses trompeuses). Les données sont transmises par un routeur ou un réseau, qui sont de fausses informations et peuvent servir à intercepter ou à déformer des informations. Cette violation est semblable à la violation d'interception.

Petukhov Oleg, avocat en droit international et protection des renseignements personnels, spécialiste de l'information sécurité, protection de l'information et des données personnelles.

Canal Telegram: https://t.me/protecciondelainformacion

Groupe au Télégramme: https://t.me/securiteinformatique2

Site: https://legascom.ru

Courriel: online@legascom.ru

#sécuritéinformations #informationsécurité

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.