La nécessité de sécuriser les protocoles de routage dynamique a été mise en lumière lors de la publication de failles BGP il y a maintenant quelques années (voir le module du professeur Audenard pour plus de détails). Si BGP est un protocole fondamental car assurant le routage du trafic Internet, l’ensemble des protocoles assurant le bon fonctionnement des LAN internes a globalement été passé sous silence. Ainsi, je n’ai lu pour ma part que très peu d’articles sur les protocoles comme EIGRP, OSPF ou encore ISIS. Ce statut me semble dommageable car il s’agit là d’un axe d’attaque qui ouvre de nombreuses possibilités allant du déni de service jusqu’au détournement d’informations.
une petite définition pour la route
Pour rappel, un protocole de routage dynamique gère les tables de routage qui permettent la prise de décision et l’acheminement du trafic de la source vers la destination sur un réseau, ou des réseaux, constitués de routeurs ou de châssis réseau possédant un processus de niveau 3.
historique de la boîte à outil
Les outils permettant de tester les éléments de sécurité de ces protocoles sont assez peu nombreux et pas toujours simple à la mise en œuvre. Pour ma part, j’ai identifié les outils suivants ces dernières années:
la nouveauté
Ces scripts ne sont clairement pas récents. Il s’agissait d’un premier pas dans la bonne direction, mais les possibilités d’interactions avec les protocoles et les moyens de contourner certaines fonctionnalités de sécurité sont finalement assez pauvres.
C’est pourquoi je souhaite aujourd’hui parler de l’outil LOKI. Ce dernier a été présenté lors des conférences Blackhat 2010 et n’a finalement que peu été relayé sur Internet ou parmi les consultants sécurité (il s’agit là de ma propre perception), alors qu’il me semble apporter un vent nouveau sur ce domaine.
En effet, il met non seulement à disposition la capacité d’interagir très facilement avec le protocole OSPF, mais également de réaliser des attaques de type brute force pour essayer de contourner des protections de type authentification MD5 qui pourraient être implémentées (quoique cela soit rarement réalisé). Cerise sur le gâteau, tout se fait au travers d’une interface graphique assez claire, il n’est donc pas nécessaire de se perdre dans un man pour comprendre la ligne de commande.
Voici une petite mise en pratique pour vous donner envie d’aller plus loin :
une conclusion ?
Comme pour la plupart des protocoles réseau, le routage possède de nombreuses options permettant de renforcer sa sécurité. Ces dernières ne sont que rarement mises en œuvre mais apportent pourtant des outils simples pour asseoir la stabilité d’un réseau et limiter certaines attaques. Voici donc une petite liste sur laquelle réfléchir pour démarrer cette nouvelle année :
- Implémentation des mécanismes d’authentification entre routeurs participant au processus de routage dynamique.
- Mise en œuvre des fonctions de filtrage pour limiter l’envoi d’information sur le LAN utilisateur. Ceux-ci n’en ont pas l’utilité et cela complique la tache d’une personne éventuellement mal intentionnée.
- Remontée d’alerte en cas d’apparition ou de disparition d’un routeur dans les adjacences.
Cedric
Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité », de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche au challenge et à l'envie d'apprendre.