- visant les protocoles de routage. - Les problèmes des protocoles de routage ...14. - Boucles de routage. - Croissance de la table de routage ...15. - Empoisonnement de table de routage. - Détection d’attaques visant les protocoles de routage ...19. - Les approches de renforcement de protocoles de routage ...22. - CHAPITRE 3 – LA FAISABILITE DES ATTAQUES VISANT LES PROTOCOLES DE ROUTAGE. - Arbre des attaques de routage. - Validation de la faisabilité des attaques de routage. - L’insertion de messages de routage ...32. - La rétention de messages de routage ...32. - Les tentatives vers les ports et les protocoles de routage ...36. - Validation de l’approche de « routeur de miel » dans la détection d’attaques de routage ...39. - Le système IDS de routage Netflow. - Les tentatives de communication de routage vers Leurré.com. - La capacité de détecter des attaques de routage par « routeur de miel » et IDS Netflow. - Depuis longtemps, l’infrastructure de routage sur l’Internet a été considérée très vulnérable à plusieurs types d’attaque. - Les protocoles de routage se classifie en 2 types selon la taille du réseau qu'ils desservent: intra-domaine (RIP, OSPF. - Plusieurs solutions pour améliorer les protocoles de routage ont été proposées.. - Les vulnérabilités des protocoles de routage ont été déterminée théoriquement en examinant les possibilités d'abus et les résultats de simulation. - La détection des attaques visant l'infrastructure de routage est encore un nouveau sujet pour le domaine de sécurité. - La validation de l'arbre des attaques visant les protocoles de routage et la détection d'attaques contre les routeurs sont des sujets de pointe dans le domaine de sécurité de réseau. - Sur le plan théorique, j'ai approfondi le protocole BGP, l'arbre des attaques contre l'infrastructure de routage. - protocoles de routage. - ● Les données de routage BGP du projet Route-Views [33]. - Les problèmes des protocoles de routage. - Cependant, l'authentification MD5 ne fournit pas le chiffrage des données de routage. - Un autre problème des protocoles de routage est l'intégrité et la fiabilité des données. - Le temps de convergence pour les protocoles de routage intra-domaine est plus court mais il dépends fortement de la taille et le topologie du réseau.. - Ainsi la convergence de routage devient un problème critique avec le développement rapide de l'Internet.. - En théorie, les protocoles de routage ont des mécanismes pour assurer le cheminement sans boucles. - L'inconsistance de routage forme des boucles temporaires pendant la convergence. - trouvent une corrélation forte entre les boucles et le changement de routage inter-domaine [9].. - Croissance de la table de routage. - On croit certainement que les erreurs de configuration de routage perturbent ou interrompent la connectivité d'Internet. - et retransmettent les vraies informations de routage est court.. - Il a toute possibilité de injecter des fausses routes car les protocoles de routage ne sont pas muni d’un mécanisme de les vérifier.. - La falsification de messages de routage RIP et OSPF est beaucoup plus faisable.. - L’insertion périodique des annonces de routage sont visée à provoquer l’instabilité permanente sur le réseau.. - Les attaquants envoient des annonces avec les préfixes longs (/24) pour remplir la table de routage et causer les anomalies de trafic.. - Détection d’attaques visant les protocoles de routage. - La détection d'attaques visant les protocoles de routage ou la détection d'anomalies dans les routeurs est un sujet très focalisé dans le monde de sécurité, à cause de l'importance de l'infrastructure de routage. - Cependant comme aucune attaque de routage n’est publiquement documentée, les techniques de détection sont testées souvent sur un environnement de simulation. - L’énormité des annonces de routage cause aussi un problème à la détection en temps réel. - au lieu d’une attaque de routage réelle. - Les travaux courants sur la détection d'anomalie exigent le traitement complexe sur des données de routage. - proposent un système qui est capable de détecter les messages de routage attaquants par la surveillance passive de trafic BGP [21]. - Les approches de renforcement de protocoles de routage. - Les protocoles de routage sont fortement vulnérables aux attaques. - Mais le problème de sécurité existe toujours puisque la falsification des données de routage est considérée faisable.. - Les règles de filtrage sont utiles pour partiellement empêcher les attaques contre les activités de routage. - ● L’utilisation d’un loopback ou d’une adresse secondaire pour les échanges de routage. - ● Accepter seulement les messages de routage qui proviennent des adresses partenaires. - ● Appliquer BGP TTLH ou BTSH (BGP TTL Security Hack) qui exige de mettre la valeur TTL en maximum (255) et les routeurs n’accepteront que les paquets de routage avec un TTL de 254 (puisque la distance entre 2 routeurs partenaires est 1). - ● L'authentification d'un routeur qui participe à la communication de routage. - soBGP vise à authentifier deux aspects d'information de routage.. - La faisabilité des attaques visant les protocoles de routage. - Les attaques visant les protocoles de routage sont théoriquement nombreuses et faisables. - RIP est une protocole de routage de type vecteur de distance. - La capture des messages de routage de RIP donne une image complète de la topologie du réseau. - ● L'insertion de fausse route pour rediriger le trafic ou empoisonner la table de routage. - Il peut aussi empoisonner la table de routage par de fausses routes pour cause l'instabilité.. - OSPF est un protocole de routage de type « état de lien » (Link-State). - La capture des messages de routage OSPF donne une image complète de la topologie du réseau. - Après avoir gagné à l'élection, l'attaquant peut modifier les informations de routage comme ce qu'il veut.. - BGP est un protocole de routage de type vecteur de chemin (path vector). - BGP est le seul protocole de routage à utiliser TCP comme protocole de transport.. - BGP ne fournit pas de mesures pour vérifier l'authenticité et l'intégrité des informations de routage. - Puisque BGP utilise plusieurs attributs de préférence pour un chemin: préférence locale (LOCAL-PREFERENCE), chemin des AS (AS- PATH), type d'origine (ORIGIN-TYPE), discriminateur multi-sortie (multi-exit- discriminator MED), une modification dans le message de routage peut changer le trafic du réseau. - Pourtant si un routeur enlève les messages de routage (par mauvaise configuration ou malveillance), il risque de causer des boucles de routage et des isolations permanentes.. - ● L'attaquant peut inonder la table de routage BGP par des longs préfixes qui ne peuvent pas être agrégés. - Il ajoute des duplicats de l'AS 2 à l'attribut AS-PATH dans les messages de routage destinés à l'AS 4.. - L'insertion de message de routage. - Il semble que les routeurs ne vérifient pas les défauts dans les annonces de routage. - La rétention de message de routage. - La rétention de message de routage peut causer des boucles de routage et l'isolation du réseau. - En conclusion, la rétention de message de routage est un type d'attaque élégant et difficile de détecter. - L’attaquant a la possibilité d'intervenir dans la communication de routage entre deux routeurs avec des messages ARP falsifiés. - Les tentatives vers les ports et les protocoles de routage. - Depuis 2003 jusqu’à maintenant, on a trouvé dans la base de données Leurré.com des tentatives de scanner les ports de routage. - Protocole/Port Nombre des tentatives Tentatives uniquement vers le port de routage. - La détection de boucles de routage par les messages ICMP type 11 code 0. - Depuis 2005, on a déployé à Eurécom un routeur de miel pour observer les tentatives d’attaque vers l’infrastructure de routage (Figure 4.4). - Tentatives vers protocoles de routage. - Les données du routeur de miel ne montrent aucune tentative vers les protocoles de routage (Table 4.3). - Validation de l’approche de « routeur de miel » dans la détection d’attaques de routage. - ● Une ensemble des instances d’émulation des protocoles de routage Quagga [39]. - ● Un détecteur d'anomalies sur les protocoles de routage. - Par contre l'approche « routeurs de miel » ne permet de détecter une attaque de routage que dans ses premières phases comme des tentatives de compromettre un routeur via les ports administratifs (http, telnet, ssh) et les tentatives de reconnaître un routeur par traceroute ou nmap [42] (outil de fingerprint). - Les problèmes dans les protocoles de routage sont nombreux et susceptibles d’être exploités par plusieurs types d’attaque. - sous la même administration et politique de routage. - informations de routage de facto qui assure la connectivite entre les AS. - Protocole de routage intra- domaine propriétaire de Cisco. - Protocol Protocole de routage intra-. - Protocole de routage de type d’état de lien proposé par ISO. - LSA Link-State Advertisement Message de routage de OSPF. - OSPF Open Shortest Path First Protocole de routage de type. - RIP Routing Information Protocol Protocole de routage de type. - politiques de routage