La sécurité du protocole
La sécurité du protocole
C'est dans le
Comment fonctionnent ces systèmes d'alarme ? En exploitant
justement ce qui fait la vulnérabilité de BGP, le fait que n'importe
qui puisse s'y connecter. Le système d'alarme a donc un certain nombre
de
Un système d'alarme qui n'aurait qu'un seul point d'observation serait sans doute insuffisant. En effet, il ne verrait pas tous les problèmes mais uniquement ceux qui l'atteignent. Par exemple, une attaque par usurpation n'atteindra pas un service mono-point d'observation (et ne sera donc pas signalée) si le routeur légitime est situé plus près. Il est donc préférable d'avoir un système distribué avec plusieurs points d'observation de BGP.
BGPmon est sans doute le plus simple et le plus efficace de ces systèmes d'alarme. On crée un compte sur le site Web et on indique les préfixes IP que l'on veut surveiller (rappelez-vous qu'il n'y a pas d'authentification du « responsable » d'un préfixe, on peut donc surveiller aussi ceux des concurrents).
Par exemple, je déclare que je veux surveiller
Normalement, bien sûr, chaque AS connait ses pairs et sa politique
d'annonces, et la publie dans un
Une fois qu'il est ainsi configuré, BGPmon envoie un courrier
électronique en cas d'annonce ne rentrant pas dans ce cadre (nouvel AS
d'origine, ou bien AS de transit non listé) :
You received this email because you are subscribed to BGPmon.net.
For more details about these updates please visit:
http://bgpmon.net/showupdates.php
====================================================================
Change of upstream AS (Code: 31)
====================================================================
Your prefix: 192.134.0.0/22:
Update time: 2009-04-18 05:11 (UTC)
Detected by #peers: 1
Detected prefix: 192.134.0.0/22
Announced by: AS2486 (NICFR-DNS-GIX-PARIS -- AFNIC)
Upstream AS: AS15412 (FLAG-AS Flag Telecom Global Internet AS)
ASpath: 29073 24785 15412 2486
Mark as false alert: http://bgpmon.net/fp.php?aid=21227935
--------------------------------------------------------------
*for questions regarding the change code or other question, please see:
http://bgpmon.net/faq.php
On notera la possibilité de déclarer immédiatement qu'il s'agissait
d'une fausse alerte (par exemple parce qu'on avait oublié un AS dans
la liste), bien pratique. J'apprécie également le fait que les numéros
d'AS soient automatiquement traduits en noms. On peut également voir les alertes sur sa page Web
BGPmon est donc simple, facile à utiliser et efficace. Un autre système est Information Services (IS)
(ex-myASN) du
Pour utiliser IS, on se crée un compte gratuitement sur le serveur
du RIPE-NCC, et, comme avec BGPmon, on déclare ses préfixes.
Les alarms peuvent être envoyées par courrier ou bien par
Subject: [RIPE NCC Alarm] AS 2486 transit
To: bortzmeyer+ripealarm@nic.fr
Date: Thu, 7 May 2009 00:15:43 +0000
The condition for your alarm 'AS 2486 transit' was triggered.
One of your "MyASN Monitor Transit" alarms was triggered based on the following conditions:
Prefix: 192.134.0.0/22
AS Path: 25152 23148 8928 2486
Neighbor of Origin: 8928 2486
Seen by Route Collector: 16
Peer IP: 198.32.124.146
Peer AS Number: 25152
Timestamp (GMT): 14:38, May 6 2009
Par rapport aux alarmes de BGPmon, on note l'identité du routeur qui a
perçu le problème (ici le 16). Les alarmes peuvent aussi se voir sur l'interface Web :
Un autre service d'alarme est Cyclops. Fondé sur des
sources obtenues de nombreux routeurs, il permet également de
configurer des alarmes et de les voir sur le site Web.
This message lists 1 out of a total of 1 alerts detected recently. You can mark each
alert bellow as a "false alert" so that you won't receive more alerts with the same
root-cause in the future.
To view all your alerts please go to: http://cyclops.cs.ucla.edu/?v=ma&tab=4
--------------------------------------------------
Mark as false alert (need to be logged in):
http://cyclops.cs.ucla.edu?v=false_alert&uid=365&aid=3590692
Alert ID: 3590692
Alert type: next-hop change
Monitored ASN,prefix: 192.134.0.0/22
Offending attribute: 192.134.0.0/22-174
Date: 2009-05-18 08:15:35 UTC
Duration: 00:00:01 (hh:mm:ss)
No. monitors: 1
(http://cyclops.cs.ucla.edu/view_monitors.html?aid=3590692)
Announced prefix: 192.134.0.0/22
Announced ASPATH: 3267 174 2486
BGP message:
http://cyclops.cs.ucla.edu/show_myalert.html?aid=3590692
--------------------------------------------------
Le principal problème que je lui trouve est que le serveur Web est
très lent.
Enfin, dernier service testé, le moins riche (mais sérieux, et qui marche), IAR. Il gère uniquement
les AS, pas les préfixes. Voici un exemple des alarmes reçues :
Subject: [IAR] An alert from the Internet Alert Registry
From: IAR@cs.unm.edu
Date: Tue, 28 Apr 2009 06:32:34 -0600 (MDT)
AS 2200 is now announcing 134.206.0.0/16 which is historically
announced by ASes: 1725.
Time: Tue Apr 28 13:37:07 2009 GMT
Observed path: 812 1273 2200
...
On peut aussi explorer interactivement la table BGP du moment avec
les looking
glasses ou bien les serveurs de route (attention, la plupart de
connaissent que les routes locales, par exemple que celles de leur
Le mécanisme standard de validation cryptographique des annonces de route se nomme RPKI+ROA et est, début 2012, encore très peu déployé.
Merci à Andree Toonk, l'auteur de BGPmon pour son aide et sa réactivité.