vendredi 23 mars 2012

Routage et Sécurité : ROVER !


L'excellent blog de S. Bortzmeyer nous fournit une information intéressante. Il semblerait que les solutions concourant à sécuriser le routage sur Internet et en particulier le protocole BGP se multiplient.

Dans une série d'article précédent, j'évoquais le développement d'une solution dont les prémisses sont déjà publiés. En effet, un important travail a été fourni permettant de formaliser une partie de la solution RPKI : elle concerne essentiellement pour le moment la validation de la légitimité de l'émetteur d'une information de routage. En simplifiant, elle permet d'avoir une assurance sur le fait qu'un opérateur annonçant détenir un ensemble d'adresses ait le droit de le faire.

Une seconde partie de la solution, très certainement plus complexe encore, consisterait à valider chaque étape. Si la première partie du protocole permet de s'assurer que l'annonceur est légitime et qu'il détient bien les adresses en question, la seconde partie doit répondre à une question plus complexe.

En effet, il faut s'assurer que les autres annonces sont légitimes et que le chemin parcouru par un paquet vers sa destination correspond bien aux accords ou aux souhaits du détenteur et des réseaux : éviter, par exemple, qu'un intermédiaire malveillant ne s'y glisse.

Cependant, cet ensemble de solution n'est pas unique et d'autres sont évoquées comme "ROVER". L'idée, assez plaisante, est d'utiliser les résolutions DNS inverses pour indiquer également le ou les AS d'origine autorisé.

Une résolution DNS donne une adresse IP lorsqu'on lui envoie un nom de domaine. Il existe pourtant une branche spécifique du DNS permettant de retrouver le nom de domaine associé à l'IP. Cette zone particulière est également attribuée aux détenteurs des IP, uniquement pour les IP les concernant.

Si vous cherchez www.cidris.fr, le DNS donnera : 183.249.191.88....En faisant une requête DNS inverse, on établit en fait une requête sur : 183.249.191.88.in-addr.arpa qui, comme vous le remarquerez, représente une adresse de type "nom de domaine" associant l'IP à un domaine très spécifique "in-addr.arpa". La réponse fournie est alors le nom de domaine associé à l'IP, par l'intermédiaire de cette formule spécifique.

En bref :

DNS : www.cidris => ? => 183.249.191.88

DNS-Inverse : 183.249.191.88 => ? => 183.249.191.88.in-addr.arpa => ? => www.cidris.fr (c'est pas tout à fait vrai avec des redirections mais c'est l'idée)

Comme vous le savez peut-être, une réponse DNS (ou inverse) possède de nombreux possibilités de vous informer. On parle parfois d'enregistrements : le premier d'entre est évidemment une adresse IP mais l'on peut également connaitre les serveurs mails ou autres.

Certains de ses enregistrements sont comme des formulaires vides et peuvent donc être utilisés pour donner les informations qui sont le coeur du projet : un AS légitime.

ROVER est une alternative à la complexité de RPKI qui ne satisfait pas tous les acteurs de la normalisation des réseaux. Notons qu'à terme, il est probable qu'une solution s'impose même si cela pourrait demander beaucoup d'efforts et de temps : la veille "routage" a encore de beaux jours devant elle !

Source : dans le texte

Aucun commentaire:

Enregistrer un commentaire