Sécurité de routage améliorée sur SWITCHlan

Nous avons encore amélioré la sécurité du routage sur SWITCHlan en introduisant la Resource Public Key Infrastructure (RPKI).

Texte: Fabian Mauchle, publié le 10.09.2020

Travail, recherche, enseignement, études: presque rien n’est possible aujourd’hui dans les universités suisses sans un réseau stable et sécurisé. 30 ans de construction et de développement ont fait du réseau de recherche et d’enseignement SWITCHlan l’un des réseaux les plus puissants de Suisse. Afin de continuer à répondre aux exigences croissantes d’un réseau stable et sécurisé à l’avenir, nous investissons constamment dans la mise à niveau de notre infrastructure.

Un élément central de SWITCHlan est le niveau de routage, qui sélectionne l’itinéraire des paquets IP dans le réseau. Le protocole standard utilisé pour router le trafic IP dans l’Internet mondial est le Border Gateway Protocol (BGP). Avec le BGP, les réseaux voisins échangent des informations de routage à leurs frontières. Comme chaque opérateur réseau contrôle uniquement les informations de routage de son propre réseau, il doit faire confiance aux informations fournies par ses pairs.

Malheureusement, les routages suggérés sur Internet peuvent être incorrects en raison d’erreurs de configuration, ou avoir été modifiés dans un but malveillant. La détection de ces informations incorrectes est essentielle pour atténuer les problèmes de routage afin de prévenir la dégradation du service et d’offrir plus de sécurité aux utilisateurs.

Il existe différentes méthodes pour améliorer la sécurité du routage. SWITCHlan se conforme aux normes internationales telles que les «Mutually Agreed Norms for Routing Security» (MANRS), qui fournissent des orientations afin d’atténuer les menaces de routage les plus courantes. Ces normes de meilleures pratiques définissent les actions concrètes que les opérateurs de réseau doivent entreprendre (filtrage, anti-spoofing, validation, etc.). Un cadre de sécurité qui améliore encore la sécurité du routage est la Resource Public Key Infrastructure (RPKI).

«La RPKI aide les opérateurs de réseau à prendre des décisions de routage plus fiables. La RPKI utilise des certificats numériques (basés sur les certificats X.509) pour prouver l’association (par exemple) entre les blocs d’adresses IP et le détenteur de ces ressources de numéros Internet. Les informations de routage sur Internet peuvent ainsi prouver le droit du détenteur de ressources à utiliser ses ressources et permettent une validation cryptographique.» RIPE NCC

SWITCH a déjà signé ses ressources IP en 2015 et a terminé en 2019 la signature des ressources détenues par les clients pour lesquelles SWITCH agit en tant que LIR de parrainage. Comme dernière étape de la mise en œuvre, SWITCHlan autorise actuellement la validation des informations de routage reçues de ses pairs.

La validation des informations de routage se fait en deux étapes. Tout d’abord, un logiciel de validation télécharge les autorisations d’origine de routage (ROA) signées des cinq registries Internet et effectue la validation cryptographique. La liste finale des ROA valides est ensuite fournie aux routeurs frontaliers qui vérifient chaque routage reçu d’un pair par rapport à cette liste. Si un routage enfreint la ROA, il est ignoré.

SWITCH utilise deux implémentations différentes de logiciel de validation afin d’augmenter la tolérance aux erreurs, même en présence de bugs logiciels. Néanmoins, l’ensemble du système est conçu de manière à garantir la sécurité, car les informations de routage ne seront jamais rejetées par manque d’information.

Si vous êtes détenteur d’une ressource IP et enregistré en tant que registry Internet local (LIR) chez RIPE, veuillez aider à sécuriser le système de routage Internet en certifiant vos ressources IP. RIPE fournit à cet effet un outil très simple d’utilisation.