Search
Close this search box.

MANRS:Mutually Agreed Norms for Routing Security

           

Mutually Agreed Norms for Routing Security

I. Le routage sur Internet

Internet est défini comme étant le réseau des réseaux (publics comme privés) par commutation de paquets, un réseau informatique mondial accessible au public.

Afin de faciliter la communication entre utilisateurs, chaque échange suit un chemin donné afin de permettre aux paquets d’atteindre leur destinateur le plus rapidement possible. Tel que dans le cas du trafic routier les engins circulent suivant des règles données, dans celui du trafic sur Internet il faut que chaque paquet emprunte la route propice : disponible, proche, etc suivant un mécanisme appelé le routage. Le routage est donc le mécanisme par lequel des chemins sont sélectionnés dans un réseau pour acheminer les données d’un expéditeur jusqu’à un ou plusieurs destinataires.

II .  L’initiative mondial MANRS (Mutually Agreed Norms for Routing Security)

A-  Pourquoi adhérer au principe du MANRS ?

L’Internet est un endroit immense et très animé. Des réseaux partout dans le monde échangent en permanence des informations de routage afin d’orienter le trafic là où il doit se trouver.

Mais cette infrastructure d’acheminement est touchée par des centaines d’incidents tous les jours, ce qui rend la communication à l’échelle internationale difficile, incertaine et non sécurisée. Trois incidents majeurs rendent vulnérable l’Internet lorsque les actions MANRS ne sont pas appliquées :

 

  • Le détournement de préfixes: Un préfixe est un bloc d’adresses IP publiques dont sont propriétaires des FAI ou des entreprises. C’est une usurpation d’identité numérique c’est-à-dire qu’un opérateur de réseau ou un pirate usurpe l’identité d’un autre. L’utilisation d’Internet se fait à l’échelle mondiale, ce qui fait que certains acteurs ont tendance à se comporter de manières maladroite en se faisant passer par quelqu’un d’autre en faisant des annonces de préfixes à leur place puisqu’ils se sont rendus compte que leurs victimes n’utilisent plus certaines de leurs adresses IP. L’inconvénient est qu’il y aura souvent du trafic perdu lors du routage de ces adresses par leur véritable propriétaire.
  • Les « fuites de route »: est la propagation des annonces de routage au-delà de leur portée prévue. Cela survient lorsqu’un opérateur de réseau révèle involontairement qu’il détient une route vers une destination donnée. Puisque l’opérateur victime des fuites de route n’applique pas les actions MANRS,
  • L’usurpation d’adresse IP: lorsque de fausses adresses d’origine dissimulent l’identité d’un expéditeur ou usurpent l’identité de quelqu’un d’autre. Surtout à cause de la pénurie d’adresses IPv4, certaines personnes seront amenés à usurper vos adresses et à poser des actes malsains !

Ces problèmes nous affectent tous car ils peuvent infliger beaucoup de dommages, comme des attaques par déni de service, la surveillance, et une perte de revenus. Ce qui impacte la sécurité, la sûreté et le bon fonctionnement d’Internet. Si vous gérez un réseau, il est de votre responsabilité de corriger l’infrastructure d’acheminement.

B-  Les grandes lignes du MANRS

Le Commun Accord pour la Sécurité du Routage (MANRS) est une initiative visant à améliorer considérablement la sécurité et la résilience du système de routage mondial d’Internet. Pour ce faire, il encourage ceux qui exécutent BGP « Border Gateway Protocol » (le protocole de passerelle frontalière, utilisé dans le routage Internet) à mettre en œuvre les meilleures pratiques de l’industrie et des solutions technologiques bien établies qui peuvent faire face aux menaces les plus courantes.

  • Qui peut adhérer au MANRS ?

Il faut savoir qu’un individu ne peut adhérer au MANRS quelque soit son sens de l’engagement, Seul un système autonome formant un domaine administratif unique identifié par un numéro de système autonome (ASN) unique et présentant une politique de routage commune et clairement définie vers Internet. En général, seulement trois (03) catégories d’acteurs peuvent adhérer au MANRS :

  • Les opérateurs réseaux : Exemple Orange, Togocom, MTN, Moov etc
  • Les réseaux fournisseur de contenu et cloud : Facebook, Google,…
  • Les points d’échanges Internet. Exemple TGIX ; BFIX
  • Pour les participants au MANRS, la seule façon de renforcer le système de routage principal est que :
  • Les opérateurs de réseaux et les points d’échange Internet appliquent les actions MANRS;
  • Les entreprises, en fonction du niveau de sécurité auquel ils aspirent puissent exiger de leur fournisseur internet de pouvoir respecter un certain nombre de critères de sécurité

Les principes de l’initiative mondiale MANRS sont:

– Reconnaître la nature interdépendante du système de routage mondial et le rôle de chacun des acteurs dans la contribution à un Internet sécurisé et résilient

– Intégrer les meilleures pratiques actuelles liées à la sécurité et à la résilience du routage dans les processus de gestion de réseau en ligne avec les actions MANRS

– S’engager à prévenir, détecter et atténuer les incidents de routage par le biais de la collaboration et de la coordination entre pairs et autres FAI en ligne avec les actions MANRS

Nous pouvons, ensemble, agir pour lutter contre les problèmes de sécurité et sécuriser le système d’acheminement fondamental d’Internet. Rejoignez la communauté du MANRS, le Commun Accord pour la Sécurité de routage.

C-  Les IRRs, RPKI et PeeringDB

  • IRR (Internet Routing Registries)

Internet est connu comme étant un réseau mondial exempt de toute coordination centralisée mais certains domaines clés doivent malgré tout être centralisés à l’échelle mondiale pour des raisons techniques. Avec nos téléphones mobiles, nous avons une carte SIM avec un numéro de téléphone unique n’est-ce pas ? Chaque machine a une adresse « unique » sur Internet appelé adresse IP et c’est l’IANA (Internet Assigned Numbers Authority), l’autorité chargée de la gestion de l’adressage sur Internet. Elle affecte et gère des codes uniques et des systèmes de numérotation qui sont utilisés dans les normes techniques (« protocoles tels que BGP ») permettant aux ordinateurs et autres périphériques de communiquer entre eux via Internet. Concernant les adresses IP et les numéros AS « Autonomous System » (système autonome), l’IANA est chargée de gérer la base mondiale de numéros et de les soumettre aux registres Internet régionaux. Un Système Autonome.

Ces cinq registres (ou RIR) représentent les zones Afrique, Asie-Pacifique, Europe, Amérique latine et Caraïbes, et Amérique du Nord.

Le registre de routage internet est une base de données publique des routes objets Internet.

Région

Registre de Routage Internet

Liens URL

Afrique

AFRINIC

https://afrinic.net/

Amérique du Nord

ARIN

https://www.arin.net/

Amérique Latine et Caribéenne

LACNIC

https://www.lacnic.net/

Asie Pacifique

APNIC

https://www.apnic.net/

Europe

RIPE NCC

https://www.ripe.net/

Les participants au MANRS sont tenus de rendre leur information de routage publique et disponible. L’information de routage est une Politique de Routage Réseau documentée puis stockée dans une base de donnée IRR en se servant du RPSL « Routing Policy Specification Language » (le langage de spécification de politique de routage confer RFC2622 ; et RFC2650 pour l’utilisation de RPSL en pratique).

Les informations relatives à une ressource internet ou une fonction de support sont contenues dans les objets RPSL dont certains :  

  • AUT-NUM : ces objets contiennent les détails d’enregistrement d’un numéro de système autonome ayant été assignées à un système autonome par le Registre Régional Internet. Ils permettent aussi la publication de la politique de routage dans un Registre de Routage Internet. Exemple d’un objet aut-num basique enregistré par AS64500

  • ROUTE/ROUTE6 : ces objets contiennent les informations de routage pour les ressources de la plage d’adressage IPv4 (adresse IP version 4, exemple : 203.0.113.1) et IPv6 (adresse IP version 6, exemple : 2001 :db8 :1000 ::). Ils montrent également les routes provenant d’un Système Autonome.

  • AS-SET : ces objets utilisés pour regrouper les numéros de système autonome de manière significative afin de facilité la définition de la politique de routage à tous les acteurs.

Un as-set est aussi utilisé pour décrire votre cône client (l’ensemble des numéros de systèmes autonome dont les clients d’un réseau participant au MANRS sont propriétaires).

  • RPKI (Resource Public Key Infrastructure)

L’infrastructure à clé publique de ressource (RPKI) est un environnement d’infrastructure à clé publique conçu pour sécuriser l’infrastructure de routage d’Internet, en particulier le protocole de passerelle frontalière. RPKI fournit un moyen de connecter les informations de ressource de numéro Internet (telles que les adresses IP) à une ancre de confiance (Trust Anchor).

À l’aide de RPKI, les détenteurs légitimes de ressources numériques sont en mesure de contrôler le fonctionnement des protocoles de routage Internet pour empêcher le détournement de route et d’autres attaques. En plus de fournir des informations au système IRR, il est recommandé d’enregistrer les itinéraires d’origine et d’encourager vos clients à enregistrer leurs itinéraires dans un référentiel RPKI en y créant un objet d’autorisation d’origine d’itinéraire, le ROA « Route Authorization Origin ». Les ROA sont des objets signés cryptographiquement et qui statuent sur le type de préfixes qu’un Système Autonome est autorisé à annoncer. Une autorisation de route  en quelque sorte une attestation d’une annonce de route BGP. Il atteste que le numéro AS d’origine est autorisé à annoncer le ou les préfixes (ici le numéro de système autonome 17771 est autorisé à annoncer les préfixes 2405 :le00 ::/32 ; 202.63.96.0/19 et 49.238.32.0/19.

Il faut surtout tenir compte de l’inscription max length /XX qui indique la taille spécifique et maximale que le système autonome est autorisé à publier.

L’attestation peut être vérifiée cryptographiquement à l’aide de l’Infrastructure à clé publique de ressource.

  • PeeringDB (Peering Data Base)

La base de données d’appairage est une ressource publique permettant aux réseaux de partager leur information de « peering » ainsi que d’autres informations pertinentes (le numéro d’AS principal ; le règlement de peering ; le niveau de trafic ; les protocoles supportés ; etc) entre eux.

L’exemple ci-dessus nous montre une partie des informations d’appairage du réseau Togocom, l’opérateur de réseau togolais.

L’on comprend que PeeringDB est ainsi un outil supplémentaire qui permet de compléter l’information de routage contenue dans la base IRR et dans le répertoire RPKI.

D- Les actions MANRS

Le MANRS propose quatre actions simples mais efficaces permettant d’offrir des corrections indispensables afin de réduire les menaces les plus courantes en matière d’acheminement.

L’image ci-dessus nous montre un aperçu général sur le taux d’application des actions MANRS dans le monde

  • LA VALIDATION GLOBALE: publier vos données, y compris votre politique de routage et les préfixes que vous avez l’intention de publier pour que vos informations de routage puissent être validées par des tiers.

L’AS X est un attaquant (mal intentionné). Et l’image ci-dessus nous montre clairement que ces annonces sont bloquées au niveau de l’AS B et ne sont donc pas propagées. Mais qu’est-ce qui s’est réellement passé ?

Découvrons ensemble…

La politique de routage réseau doit être publiquement disponible. Ainsi lorsque l’information de routage a été validée, à chaque annonce de préfixe, la base de données IRR est consultée afin de s’assurer du vrai propriétaire du préfixe annoncé. Dans l’exemple ci-dessous, l’AS B demande : qui est-ce qui est propriétaire du 192.0.2.0/24 ? Alors la base de données IRR lui répond : l’AS64501 est le propriétaire du 192.0.2.0/24. Ainsi le trafic sera dirigé vers le vrai propriétaire, l’AS64501 en dépit des fausses annonces de l’AS X. L’on parle de la Validation d’origine.

A contrario, si la politique de routage n’avait pas été rendue publique et disponible puis validée par les tiers, l’annonce de préfixe effectué par l’attaquant aurait été propagée et acceptée par les systèmes autonomes voisins. Et la conséquence directe est que le trafic normalement destiné à l’AS64501 sera redirigé vers l’AS X ; c’est l’usurpation (détournement) de trafic.

  • LE FILTRAGE: vous assurer que vos annonces de routage et celles de vos clients sont correctes empêche les fausses annonces de routage d’altérer la carte des routes d’Internet.

L’implémentation de filtre au sein du réseau permet de prévenir des menaces telles que le détournement de préfixes et la « fuite » de route. L’exemple qui suit donne l’aspect du trafic lorsque le filtrage est effectué. Ici lorsque l’AS15169 (Google) fait une annonce de préfixe, elle se propage vers tous les réseaux participants au MANRS. En quelque sorte, Google dit : Eh ! les gars, le bloc d’adresse IP 8.8.8.0/24 est mien donc tout trafic vers ce bloc doit venir à moi. Et tous disent OK d’accord ! Cet OK d’accord est suivie de l’implémentation de filtre au niveau des routeurs de chaque participants au MANRS c’est-à-dire à la frontière entre client et fournisseur.

Concrètement si l’AS64502 essaie d’annoncer 8.8.8.0/24 cette annonce sera bloquée au niveau de l’AS64500. Les fausses annonces n’iront donc pas loin lorsque le filtrage est appliqué.

L’image suivante illustre la façon dont la fuite de trafic surgit. La fuite de route est la propagation des annonces de routage au-delà de la portée prévue.

Comme il n’y a pas de filtre de préfixe, il peut avoir fuite de route. Et cette fuite de route sera à l’origine du trafic dirigé vers l’AS15169 en passant par l’AS64500, l’AS6451 et l’AS B comme l’indique l’image ci-dessous.

  • L’ANTI-USURPATION: autoriser la validation de l’adresse d’origine empêche les paquets spoofés (usurpés) d’entrer ou de sortir de votre réseau.

L’usurpation d’adresses IP sources est une pratique qui consiste à générer des paquets avec des adresses sources différentes de celles assignées à l’hôte d’origine. L’hôte se fait passer pour un autre hôte. Cela n’est possible que lorsque les mesures anti-usurpation ne sont pas appliquées ou mises en œuvre dans la togologie du réseau informatique. L’exemple ci-dessous illustre l’usurpation de l’adresse IP 203.0.113.1 par l’hôte 192.0.2.1 ; ainsi, du trafic usurpé a été reçu par 198.51.100.10 qui croira que ledit trafic provient vraiment du 203.0.113.1 .

L’autre souci est la réflexion-amplification des attaques dirigées par déni de service. En analysant l’image en dessous, l’on comprend que la réflexion se produit lorsqu’un attaquant envoi du trafic à une victime à travers une tiers partie ! L’amplification est achevée par de petites requêtes envoyées aux résolveurs DNS ouverts et aux serveurs NTP qui sont communément utilisés en tant que réflecteurs/amplificateurs ; la résultante est une réponse plus large, plus dense.

Ces attaques causent d’importants dégâts au niveau des fournisseurs de services et leur clients dont l’atteinte à l’image (marque) de l’entreprise, les dommages aux opérations clients, la perte de client, etc mais ces attaques bien que prévisible seraient impossible sans faire de l’usurpation.

La solution est l’implémentation de filtrage  d’entrée en appliquant les techniques anti-usurpations :

–  Les Access Control Lists« Listes de Contrôle d’Accès » : elles sont configurées pour n’autoriser qu’une plage d’adresses spécifiques et refuser tout autre adresse. Il est recommandé de les déployer à la frontière entre le client et le fournisseur.

– Les Dynamic Control Lists« Listes d’Accès Dynamiques »

– L’Unicast Reverse Path Forwarding« Transfert de Route Inverse unicast »

  • LA COORDINATION: vous assurer que vos données de contact sont accessibles à l’international dans les lieux courants tels que PeeringDB, les bases de données de registres Internet régionaux Whois, et sur votre propre site Internet.
  • La base de donnée Whois des registres régionaux d’Internet

Les registres régionaux d’Internet offrent la possibilité d’ajouter des contacts supplémentaires et des informations de contact complémentaires aux enregistrements contenus dans leurs bases.

Il est recommandé d’enregistrer et de créer  et de maintenir une information de contact disponible au moins 24h/7 jours dans l’une des bases. Cette information de contact doit inclure un Point de Contact (PDC).

Il y a des objets additionnels dont mntner, role et inetnum/inetnum6 qui devraient être créés.

Il faut être détenteur d’un compte d’utilisateur et être un utilisateur averti avant de pouvoir effectuer une quelconque modification dans la base Whois ! Pour s’enregistrer ou s’inscrire, merci de suivre le liens de votre IRR mentionné dans le tableau des IRRs puis cliquer sur Register (« s’enregistrer »).

 

Toutefois, la base Whois (ici celle d’AFRINIC) peut être interrogée par un tiers pour s’assurer de la véracité des blocs d’adresses IP annoncés par un opérateur qui fait une demande d’appairage par exemple.

Les objets role sont généralement identifiables par leur attribut nic-hdl. Dans notre exemple, les attributs remarks renseignent sur les adresses emails à contacter pour différents besoins : le Centre d’Opérations Réseau, en cas d’incidents liés à la sécurité, le lien vers peeringDB, etc. L’objet role permet de référencer un important PDC. Les personnes changent d’emploi mais les objets role démeurent.

L’objet mntner permet de gérer les autorisations et les authenfications. Les blocs d’adresses IPv4 et IPv6 sont documentés en utilisant repectivement l’objet inetnum  et inetnum6.

Il est à noter que le processus d’enregistrement et de maintient de l’information de contac diffère d’une base RIR à une autre.

  • La base de données IRR

Pour créer l’information de contact dans la base IRR d’AFRINIC par exemple, il faut avant tout créer un objet role ou person, puis créer un objet mntner et finalement créer un objet role ou person en se servant de l’objet mntner nouvellement créer. Voyons en image un exemple des trois (03) étapes à suivre :

L’attribut nic-hdl est utilisé pour spécifier l’identifiant unique de l’objet person. Un mail de confirmation est automatiquement envoyé après la création de l’identifiant unique AUTO-1.

Par contre cet identifiant unique peut être utilisé par d’autres objets en le référençant en leur sein par un attribut mnt-by.

Le nouvel objet person contient un attribut mnt-by qui référence l’objet mntner  créer au secon étape ; Ce qui signifie que l’objet person  est protégé !

L’information de contact peut être référencée dans la plupart des objets IRR tel que aut-num, as-set et route-set en utilisant l’attribut « tech-c » sauf l’objet route/route6 dont l’attribut le mieux indiqué est « remarks ».

  • PeeringDB

Il suffit de suivre quatre (04) étapes pour créer et maintenir l’information de contact avec PeeringDB. Il suffira de remplir les champs en renseignant la ou les bonnes informations sur chaque rubrique à chaque étape.

–  Création d’un compte d’utilisateur

– Validation du numéro de système autonome

– Configuration de l’enregistrement initial PeeringDB

– Ajout des détails à l’enregistrement PeeringDB

  • Le site web de l’entreprise

Le fait de fournir une source supplémentaire d’informations de contact et de politique de routage sur un site Web d’entreprise est bénéfique pour les opérateurs qui ne sont pas encore familiers avec PeeringDB ou qui demandent un RIR. Pour aider à soutenir une communication ouverte, il existe certains éléments recommandations que les opérateurs de réseau devraient envisager d’appliquer sur leur site Web.

Vous devez inclure les informations telles que : le centre d’exploitations réseau ainsi que les différentes équipes (soutien, abus et sécurité) sur le site Web de votre entreprise.

E- Les Avantages en adhérant à l’initiative mondiale MANRS

En rejoignant la communauté MANRS, les prestataires de services et les entreprises bénéficient des AVANTAGES suivants :  

  • Pour les FAI (Fournisseurs d’accès à internet) :

– Ajouter de la valeur compétitive et se différencier sur le marché

– Faire preuve de compétence en matière de sécurité et d’engagement envers vos clients

– Facilité à se mettre en lien avec un partenaire de sécurité (expert ou société de sécurité informatique)

– Contribuer à la résolution des problèmes du réseau mondial

– Les entreprises indiquent leur volonté de payer plus pour des services sécurisés

  • Les entreprises devraient exiger des prestataires de services qu’ils rejoignent le MANRS pour:

– Améliorer leur posture de sécurité organisationnelle

– Résoudre les problèmes de sécurité qui affectent leur réseau

– Fournir une base pour les services de sécurité à valeur ajoutée

Votre sécurité dépend des autres et vos actions affectent tout le monde. Appliquez ces quatre actions simples et rejoignez la communauté MANRS. Un ensemble d’organisations orientées et motivées par la sécurité, qui s’engagent à rendre l’infrastructure d’acheminement à l’échelle internationale plus solide et plus sécurisée pour tous. Pour en savoir plus, visitez manrs.org

Bien que le MANRS soit initié par un groupe d’opérateurs de réseau, c’est à la communauté des opérateurs de réseau la responsabilité de son développement antérieure ; une raison de plus d’avoir plus adhérents à la communauté. Et ce n’est seulement en travaillant ensemble que nous pourrons résoudre ces problèmes. Ensemble, nous pouvons protéger l’essentiel.

Cet article a pour objectif la sensibilisation des différents acteurs du routage sur Internet à adopter les bonnes pratiques en matière de sécurité et de qualité du routage sur Internet en adhérer aux principes du MANRS. N’étant pas allé trop dans les détails techniques, vos apports et inquiétudes en commentaire sont les bienvenues !

Réalisé par Folli Herbert AMOUZOUGAN

Electronicien-Informaticien

Membre d’ISOC Togo

Volontaire de chapitre pour l’initiative MANRS

 

https://afrinic.net/whois

https://apps.afrinic.net/nmrp/

https://apps.afrinic.net/nmrp/authentication/newRegistrant

https://www.peeringdb.com/net/18232

https://observatory.manrs.org/#/overview

http://tools.ietf.org/html/rfc2650

http://www.radb.net/

https://stat.ripe.net/

https://en.wikipedia.org/wiki/Bogon_filtering

https://github.com/irrtoolset/irrtoolset

https://apps.afrinic.net/nmrp/authentication/newRegistrant