Abonnez-vous pour recevoir des notifications sur les nouveaux articles :

Le BGP est-il devenu sûr ? Non. Mais nous suivons de près son évolution

17/04/2020

Lecture: 5 min.

Cela fait bien trop longtemps que les fuites et les détournements BGP sont considérés comme inévitables sur Internet. Nous avons toujours compté sur la protection des couches supérieures comme TLS et DNSSEC pour transmettre les paquets sans les altérer, mais il suffit souvent qu’un itinéraire soit détourné pour que l’adresse IP soit injoignable. Cela se traduit par une panne d’Internet.

Internet est trop indispensable pour que ce problème connu subsiste. Il est temps que les réseaux empêchent que les fuites et les détournements aient un quelconque impact. Le temps est venu de sécuriser le protocole BGP. Nous n’avons plus d’excuses.

Border Gateway Protocol (BGP), un protocole d’échange d’itinéraires d’acheminement, existe depuis les années 1980 et a évolué depuis. Au fil des ans, il a été doté de dispositifs de sécurité. Le plus important d’entre eux est l’infrastructure à clé publique de ressources (ICPR), qui constitue un mécanisme de sécurité pour le routage. Cela a fait l’objet de plusieurs articles sur le blog ayant fait suite à notre déploiement en 2018.

De nos jours, les entreprises estiment que l’ICPR est suffisamment aboutie pour que son utilisation soit généralisée, avec un écosystème de logiciels et d’outils suffisant, y compris des outils que nous avons écrits et publiés en open source. Nous avons entièrement déployé un système de validation de l’origine pour toutes nos sessions BGP avec nos homologues et avons signé nos préfixes.

Toutefois, Internet ne sera sécurisé que si les principaux fournisseurs de réseaux mettent en place l’ICPR. Que ce soit par inadvertance ou délibérément, ces réseaux peuvent propager une fuite ou un piratage à grande échelle. Ils doivent donc participer à l’éradication des problèmes liés au protocole BGP.

Nombreux sont ceux qui, comme AT&T et Telia, ont été les premiers à se doter de l’ICPR au niveau mondial en 2019. Cogent et NTT les ont suivis en 2020. Des centaines de réseaux de toutes tailles ont accompli un excellent travail ces dernières années, mais il reste encore beaucoup à faire.

Si l’on observe les entonnoirs de clients des réseaux qui ont adopté l’ICPR, on constate qu’environ 50 % d’Internet est mieux protégé contre les fuites au niveau des itinéraires. C’est très bien, mais loin d’être suffisant.

Aujourd’hui, nous vous présentons isBGPSafeYet.com, un site web permettant de suivre les déploiements et le filtrage des itinéraires incorrects par les grands réseaux.

Nous espérons que cela aidera la communauté et nous allons mettre à disposition les informations sur le site web. Le code source est disponible sur GitHub, et vos suggestions et contributions sont les bienvenues.

Nous espérons que cette initiative permettra de rendre l’ICPR plus accessible à tous et, à terme, de réduire l’impact des fuites sur le routage. Faites passer le message à vos fournisseurs d’accès à Internet (FAI), à vos fournisseurs d’hébergement et à vos réseaux de transit pour bâtir un Internet plus sûr.

En outre, afin de surveiller et de tester les déploiements, nous avons décidé de signaler deux préfixes malveillants que nous avons relevés dans nos quelque 200 datacenters et via les quelque 233 points d’échange Internet (IXP) auxquels nous sommes connectés :

  • 103.21.244.0/24
  • 2606:4700:7000::/48

Ces deux préfixes doivent être considérés comme non valides et ne doivent pas être acheminés par votre fournisseur si l’ICPR est appliquée au sein de son réseau. Cela permet de démontrer facilement jusqu’où peut aller un itinéraire malveillant et de vérifier si l’ICPR fonctionne dans des conditions réelles.

Une autorisation d’origine de routage pour 103.21.244.0/24 sur rpki.cloudflare.com

Dans le cadre du test que vous pouvez exécuter sur isBGPSafeYet.com, votre navigateur tentera de télécharger deux pages : la première, valid.rpki.cloudflare.com, contient un préfixe valide pour l’ICPR et la seconde, invalid.rpki.cloudflare.com, contient un préfixe non valide pour l’ICPR.

Le test donne deux résultats :

  • Si les deux pages ont été correctement chargées, cela signifie que votre FAI a accepté l’itinéraire non valide. Il n’a pas mis en place l’ICPR.
  • Si seul valid.rpki.cloudflare.com a été chargé, cela signifie que votre FAI a mis en place l’ICPR. Les fuites d’itinéraires vous poseront moins de problèmes.
diagram showing a simple test of RPKI invalid reachability
Un simple test d’accessibilité ICPR

Nous allons effectuer des tests en utilisant ces préfixes pour vérifier la propagation. Traceroutes et les sondages nous ont permis par le passé de créer des représentations graphiques de déploiements.

Il suffit de calculer le nombre de réseaux qui envoient l’itinéraire accepté à leurs homologues et aux collecteurs :

RIPE
État de l’itinéraire selon l’outil de collecte d’itinéraires en ligne RIPE Stat

En décembre 2019, nous avons publié une courbe de Hilbert de l’espace d’adressage IPv4. Chaque pixel représente un préfixe /20. Si un point est jaune, le préfixe ne répond qu’à la sonde d’un espace IP validé par l’ICPR. S’il est bleu, le préfixe répond aux sondes provenant à la fois de l’espace IP valide et de l’espace IP non valide.

En bref, les zones jaunes sont les espaces IP situés derrière les réseaux qui ignorent les préfixes invalidés par l’ICPR. Internet ne sera pas sûr tant que la zone bleue ne sera pas devenue jaune.

Courbe de Hilbert de l’espace d’adressage IP derrière les réseaux filtrant les préfixes invalidés par l’ICPR

Pour finir, nous aimerions remercier tous les réseaux qui ont déjà mis en place l’ICPR et tous les développeurs qui ont travaillé sur les bases de code des logiciels de validation. Les deux années qui viennent de s’écouler ont montré qu’Internet peut devenir plus sûr et nous attendons avec impatience le jour où nous pourrons considérer les fuites et les détournements d’itinéraires comme de l’histoire ancienne.

Nous protégeons des réseaux d'entreprise entiers, aidons nos clients à développer efficacement des applications à l'échelle d'Internet, accélérons tous les sites web ou applications Internet, repoussons les attaques DDoS, tenons les pirates informatiques à distance et pouvons vous accompagner dans votre parcours d'adoption de l'architecture Zero Trust.

Accédez à 1.1.1.1 depuis n'importe quel appareil pour commencer à utiliser notre application gratuite, qui rend votre navigation Internet plus rapide et plus sûre.

Pour en apprendre davantage sur notre mission, à savoir contribuer à bâtir un Internet meilleur, cliquez ici. Si vous cherchez de nouvelles perspectives professionnelles, consultez nos postes vacants.
FrançaisBGP (FR)Security (FR)DNSSEC (FR)

Suivre sur X

Louis Poinsignon|@lpoinsig
Cloudflare|@cloudflare

Publications associées

22 mai 2024 à 13:00

AI Gateway est en disponibilité générale : une interface unifiée pour maîtriser la gestion et l'évolutivité de vos charges de travail d'IA générative

AI Gateway est une plateforme AI Ops qui offre vitesse, fiabilité et observabilité à vos applications IA. Avec une seule ligne de code, vous pouvez bénéficier de puissantes fonctionnalités telles que le contrôle du volume des requêtes, la mise en cache personnalisée, la journalisation en temps...

22 mai 2024 à 13:00

Allgemeine Verfügbarkeit von AI Gateway: Eine einheitliche Schnittstelle für die Verwaltung und Skalierung Ihrer Workloads mit generativer KI

AI Gateway ist eine Plattform, die KI für den IT-Betrieb bereitstellt und die Geschwindigkeit, Zuverlässigkeit und Beobachtbarkeit Ihrer KI-Anwendungen gewährleistet. Mit einer einzigen Zeile Quellcode stehen Ihnen leistungsstarke Funktionen wie Durchsatzbegrenzung, benutzerdefiniertes Caching...

22 mai 2024 à 13:00

تحسين مرونة تكوين الخدمات الإقليمية للعملاء

يسعدنا اليوم أن نعلن عن إمكانيات موسّعة تسمح لك بإعداد الخدمات الإقليمية وتكوينها لمجموعة أكبر من المناطق المُحدّدة مسبقًا، وذلك لمساعدتك على تلبية متطلباتك الخاصة بالتحكم في مكان معالجة حركة البيانات الخاصة بك ...

22 mai 2024 à 13:00

AI Gateway, interfaz unificada para gestionar y escalar tus cargas de trabajo de IA generativa, ya disponible de forma general

AI Gateway es una plataforma de operaciones de IA que mejora la velocidad, la fiabilidad y la observabilidad de tus aplicaciones de IA. Con una sola línea de código, puedes acceder a funciones eficaces como la limitación de velocidad, el almacenamiento en caché personalizado, los registros...