Aller au contenu principal

12. Considérations de Sécurité

L'introduction de protocoles de routage qui prennent en charge les préfixes sans classe et un passage à un modèle de transfert qui exige que les routes plus spécifiques (correspondance la plus longue) soient préférées lorsqu'elles se chevauchent avec des routes vers des préfixes moins spécifiques introduit au moins deux préoccupations de sécurité:

12.1. Détournement de Trafic (Traffic Hijacking)

Le trafic peut être détourné en annonçant un préfixe pour une destination donnée qui est plus spécifique que l'agrégat normalement annoncé pour cette destination. Par exemple, supposons qu'un système terminal populaire avec l'adresse 192.168.17.100 soit connecté à un fournisseur de services qui annonce 192.168.16.0/20.

Un opérateur de réseau malveillant intéressé par l'interception du trafic pour ce site pourrait annoncer, ou au moins tenter d'annoncer, 192.168.17.0/24 dans le système de routage global. Parce que ce préfixe est plus spécifique que le préfixe "normal", le trafic sera détourné du système terminal légitime vers le réseau appartenant à l'opérateur malveillant.

Avant l'avènement de CIDR, il était possible d'induire le trafic de certaines parties du réseau à suivre une fausse annonce qui correspondait exactement à un numéro de réseau particulier; CIDR aggrave quelque peu ce problème, car le routage par correspondance la plus longue fait généralement que tout le trafic préfère les routes plus spécifiques aux routes moins spécifiques.

Le remède à l'attaque basée sur CIDR est cependant le même que pour une attaque pré-CIDR: établissement de relations de confiance entre fournisseurs, couplé à de forts filtres de politique de routage aux frontières des fournisseurs. Malheureusement, la mise en œuvre de tels filtres est difficile dans l'Internet hautement décentralisé.

12.2. Attaques par Déni de Service (Denial-of-Service Attacks)

Des attaques par déni de service peuvent être lancées contre de nombreuses parties de l'infrastructure Internet en annonçant un grand nombre de routes dans le système. Une telle attaque vise à provoquer des défaillances de routeur en débordant les tables de routage et de transfert.

Un bon exemple d'incident non malveillant qui a causé ce type de défaillance était le tristement célèbre événement "AS 7007" [7007], où une mauvaise configuration de routeur par un opérateur a causé la propagation d'un énorme nombre de routes invalides à travers le système de routage global.

Encore une fois, ce type d'attaque n'est pas vraiment nouveau avec CIDR; en utilisant les routes héritées de Classe A/B/C, il était possible d'annoncer un maximum de 16,843,008 numéros de réseau uniques dans le système de routage global, un nombre suffisant pour causer des problèmes même pour l'équipement de routage le plus moderne fabriqué en 2005.

Ce qui est différent, c'est que la complexité modérée de la configuration correcte des routeurs en présence de CIDR tend à rendre ce type d'"attaques" accidentelles plus probables. Les mesures pour prévenir ce type d'attaque sont à peu près les mêmes que celles décrites ci-dessus pour le détournement, avec l'ajout que la meilleure pratique commune consiste également à configurer un nombre maximum raisonnable de préfixes qu'un routeur de frontière acceptera de ses voisins.

Dernière mise à jour le