Contenu
- Qu'est-ce que BGP?
- Pourquoi devrais-je m'en soucier?
- Pas de bugs, pas de stress - Votre guide étape par étape pour créer un logiciel qui change la vie sans vous détruire
- L'avenir de BGP
À emporter:
Lorsque BGP a été développé, la sécurité du réseau n’était plus un problème. C’est pourquoi le problème avec BGP est aussi son principal avantage: sa simplicité.
En termes de vulnérabilités en matière de sécurité, les attaques par dépassement de mémoire tampon, les attaques par déni de service distribuées et les intrusions Wi-Fi ont été largement valorisées. Alors que ces types d'attaques ont attiré beaucoup d'attention dans les magazines, blogs et sites Web informatiques les plus populaires, leur attrait sexuel a souvent occulté un secteur de l'industrie des technologies de l'information qui constitue peut-être l'épine dorsale de toutes les communications sur Internet: le protocole sur la passerelle frontalière. (BGP). Il s'avère que ce protocole simple est ouvert à l'exploitation - et tenter de le sécuriser ne serait pas une mince affaire. (Pour en savoir plus sur les menaces technologiques, voir Logiciels malveillants: vers, chevaux de Troie et bots, oh mon dieu!)
Qu'est-ce que BGP?
Le protocole de passerelle frontalière est un protocole de passerelle extérieure qui achemine essentiellement le trafic d'un système autonome (AS) vers un autre système autonome. Dans ce contexte, "système autonome" fait simplement référence à tout domaine dans lequel un fournisseur de services Internet (ISP) est autonome. Ainsi, si un utilisateur final s’appuie sur AT & T en tant que fournisseur de services Internet, il appartiendra à l’un des systèmes autonomes d’AT & T. La convention de dénomination pour un AS donné ressemblera probablement à quelque chose comme AS7018 ou AS7132.
BGP s'appuie sur TCP / IP pour maintenir les connexions entre deux routeurs de système autonomes ou plus. Il a acquis une grande popularité au cours des années 90, alors qu'Internet se développait à un taux exponentiel. Les FAI avaient besoin d’un moyen simple d’acheminer le trafic vers des nœuds appartenant à d’autres systèmes autonomes, et la simplicité de BGP lui permettait de devenir rapidement la norme de facto en matière de routage interdomaine. Ainsi, lorsqu'un utilisateur final communique avec une personne utilisant un fournisseur de services Internet différent, ces communications ont traversé un minimum de deux routeurs compatibles BGP.
L'illustration d'un scénario BGP courant peut permettre de mieux comprendre la mécanique réelle du BGP. Supposons que deux FAI concluent un accord pour acheminer le trafic de et vers leurs systèmes autonomes respectifs. Une fois que tous les documents ont été signés et que les contrats ont été approuvés par leurs avocats respectifs, les communications sont transmises aux administrateurs du réseau. Un routeur compatible BGP dans AS1 initie la communication avec un routeur compatible BGP dans AS2. La connexion est établie et maintenue via le port TCP / IP 179 et, puisqu'il s'agit d'une connexion initiale, les deux routeurs échangent leurs tables de routage.
Dans les tables de routage, les chemins d'accès à chaque nœud existant au sein d'un AS donné sont conservés. Si aucun chemin complet n’est disponible, une route vers le système sous-autonome approprié est conservée. Une fois que toutes les informations pertinentes ont été échangées au cours de l'initialisation, le réseau est dit convergé et toute communication future impliquera des mises à jour et des communications vous êtes toujours en vie.
Assez simple non? Il est. Et c’est précisément le problème, car c’est sa simplicité même qui a conduit à des vulnérabilités très inquiétantes.
Pourquoi devrais-je m'en soucier?
C'est très bien, mais comment cela affecte-t-il quelqu'un qui utilise son ordinateur pour jouer à des jeux vidéo et regarder Netflix? Tous les utilisateurs finaux doivent garder à l’esprit que l’Internet est très sensible à l’effet domino et que BGP joue un rôle important à cet égard. Si cela est fait correctement, pirater un routeur BGP pourrait entraîner un déni de service pour tout un système autonome.
Disons que le préfixe d’adresse IP pour un système autonome donné est 10.0.x.x. Le routeur compatible BGP dans cet AS annonce ce préfixe aux autres routeurs compatibles BGP au sein d'autres systèmes autonomes. Cela est généralement transparent pour les milliers d'utilisateurs finaux au sein d'un AS donné, car la plupart des utilisateurs à domicile sont souvent isolés des activités au niveau des fournisseurs de services Internet. Le soleil brille, les oiseaux chantent et le trafic Internet bourdonne. La qualité des images Netflix, YouTube et Hulu est irréprochable, et la vie numérique n’a jamais été meilleure.
Pas de bugs, pas de stress - Votre guide étape par étape pour créer un logiciel qui change la vie sans vous détruire
Vous ne pouvez pas améliorer vos compétences en programmation lorsque personne ne se soucie de la qualité des logiciels.
Maintenant, disons qu’un individu néfaste d’un autre système autonome commence à annoncer son propre réseau en tant que propriétaire du préfixe d’adresse IP 10.0.x.x. Pour aggraver les choses, ce réseau méchant annonce que son espace d'adressage 10.0.x.x a un coût inférieur à celui du propriétaire légitime de ce préfixe. (Par coût, j'entends moins de sauts, plus de débit, moins de congestion, etc. Les finances sont sans importance dans ce scénario). Tout à coup, tout le trafic destiné au réseau de l’utilisateur final est soudainement redirigé vers un autre réseau, et un fournisseur de services Internet ne peut tout simplement pas faire grand-chose pour empêcher cela.
Un scénario très similaire à celui que nous venons de mentionner s'est produit le 8 avril 2010, lorsqu'un fournisseur de services Internet en Chine a annoncé quelque chose du genre de 40 000 itinéraires fictifs. Pendant 18 minutes complètes, des quantités indicibles de trafic Internet ont été détournées vers le système autonome chinois AS23724. Dans un monde idéal, tout ce trafic mal acheminé se trouverait dans un tunnel VPN crypté, ce qui rendrait une grande partie du trafic inutile pour la partie qui intercepte, mais il est prudent de dire que ce n’est pas un monde idéal. (En savoir plus sur les réseaux privés virtuels dans un réseau privé virtuel: la solution de succursale.)
L'avenir de BGP
Le problème avec BGP est également son principal avantage: sa simplicité. Lorsque BGP a commencé à s'imposer parmi les différents FAI du monde entier, les concepts tels que la confidentialité, l'authenticité ou la sécurité globale n'ont pas été pris en compte. Les administrateurs réseau souhaitaient simplement communiquer entre eux. Le groupe de travail d'Ingénierie Internet poursuit ses études sur les solutions aux nombreuses vulnérabilités de BGP, mais tenter de sécuriser une entité décentralisée telle qu'Internet n'est pas une mince affaire et les millions de personnes qui l'utilisent actuellement devront peut-être simplement tolérer la exploitation occasionnelle de BGP.