Blog de Stéphane Bortzmeyer - Les paquets IP passent-ils vraiment là où on leur dit ?
- Juillet 2022 -
La lecture d'une excellente étude faite à l'université de Twente m'a motivé pour faire un court article sur une question qu'on se pose trop rarement : sur un réseau comme l'Internet, les paquets IP passent-il vraiment là où le protocole de routage, typiquement BGP, leur a dit de passer ?
Je vous divulgâche tout de suite la fin : non. Comme répètent souvent les administrateurs réseau anglophones, « The data plane does not always follow the control plane ». Qu'est-ce que cela veut dire ?
Expliquons un peu le routage, dans un
réseau comme l'Internet : les routeurs se parlent entre eux et
échangent des informations (du genre « Tu sais quoi ? Je sais
comment joindre 2001:db8:fa9:aa3::/64
. ») et
ces informations échangées leur servent à construire leur
table de routage, une structure de données qui
associe aux préfixes IP (comme ce
2001:db8:fa9:aa3::/64
), l'adresse du routeur
suivant, celui qui rapprochera le paquet du
but. Ensuite, lorsqu'un routeur reçoit un paquet, il consulte sa
table de routage et envoie le paquet au routeur suivant, via la
bonne interface. Deux choses sont à noter :
- Il y a deux processus distincts, le routage (routing en anglosaxonien, construire la table avec les informations reçues par des protocoles de routage comme Babel - RFC 8966), et la transmission (forwarding dans la langue de Perlman, envoyer le paquet). Ces deux processus utilisent des protocoles très différents, n'ont pas les mêmes contraintes (par exemple, la transmission est temps-réel, avec des contraintes très serrées) et, dans un routeur haut de gamme, ces deux processus sont accomplis par des composants du routeur qui sont très différents.
- La responsabilité du routeur s'arrête une fois qu'il a transmis le paquet. Il ne peut pas indiquer au routeur suivant ce qu'il doit faire, et ne peut même pas connaitre la décision de celui-ci. C'est ce qu'on nomme le routage par étapes indépendantes (hop by hop).
Sur l'Internet, le protocole de routage standard est BGP (RFC 4271). Les annonces BGP ont la forme « je sais joindre
2001:db8:fa9::/48
et je le sais parce que
l'AS 64500 me l'a
dit et il le tenait de l'AS 65539 ». Mais, du fait du routage par
étapes indépendantes, rien ne dit qu'un paquet envoyé au routeur qui
a fait cette annonce ira bien à l'AS 64500 puis à l'AS 65539. Chaque
AS (en pratique, un
AS = un opérateur) est indépendant et a sa propre politique de
routage. Par exemple, l'administratrice du routeur suivant a
parfaitement pu configurer des routes statiques prioritaires, qui
seront utilisées avant celles apprises via BGP. C'est le sens de la
phrase « The data plane does not always follow the control
plane ». « The data plane », c'est IP,
c'est la transmission. « The control plane »,
c'est le protocole de routage, par exemple BGP.
L'étude
de Koen van Hove citée plus haut est une illustration
pratique de ce point (je vous en recommande vraiment la
lecture). L'auteur travaille sur la validation de l'origine des
routes (ROV, pour Route Origin Validation), via
la RPKI
(Resource Public Key Infrastructure). Les
titulaires de préfixes IP publient (et
signent) des ROA (Route Origin
Authorization) qui indiquent quel AS peut être à l'origine
d'une route (dans l'exemple plus haut, 65539 était l'origine). Les
routeurs connectés à l'Internet peuvent utiliser ces ROA pour
valider les annonces. Si on trouve un ROA correctement signé qui dit
« 2001:db8:fa9::/48
doit avoir comme AS
d'origine 65539 » et qu'une annonce
« 2001:db8:fa9::/48
passe par moi et ça vient
de l'AS 65500, qui en est l'origine », une telle annonce, invalide,
peut être rejetée.
Est-ce que cela suffit à garantir la sécurité du routage ? Non,
car, montre l'étude, même si on rejette cette annonce invalide, les
paquets qu'on émet sont transmis à des AS différents et ceux-ci
peuvent avoir d'autres règles et, par exemple, ne pas valider. Donc,
le malheureux paquet destiné à
2001:db8:fa9:b3:551::12:af8
sera peut-être
finalement transmis au méchant AS 65500. C'est ennuyeux, mais c'est
logique, chaque AS étant maitre de sa politique de routage.
Mais est-ce qu'on ne pourrait pas changer cela et « forcer » les AS à respecter des décisions prises par l'émetteur du paquet ? (Ce qu'on nomme le routage par la source.) Non, on ne peut pas, et le problème n'est pas technique (il existe plusieurs mécanismes pour représenter de telles décisions dans les paquets), mais d'ordre commercial et politique. En termes simples, les autres opérateurs font ce qu'ils veulent, et ils n'ont pas de raison de vous obéir. (Il faut se rappeler que l'Internet est une fédération de réseaux, pas un réseau unique.) Ils ont d'autant moins de raisons d'obéir à d'éventuelles consignes de l'émetteur que celles-ci permettraient des attaques contre la sécurité, par exemple en forçant le passage par un chemin qu'un attaquant sait moins contrôlé.
par Stéphane Bortzmeyer
Blog de Stéphane Bortzmeyer
IETF 119 hackathon: compact denial of existence for DNSSEC- 22 mars -
On March 16 and 17 was the IETF hackathon in Brisbane. I worked on a DNSSEC feature called "compact denial of existence", and implemented it (...)
Eaten by the Internet
- 22 mars -
Ce court livre en anglais rassemble plusieurs textes sur les questions politiques liées à l'Internet comme la défense de la vie privée, le (...)
La faille DNSSEC KeyTrap
- 19 mars -
Le 16 février a été publiée la faille de sécurité DNSSEC KeyTrap. Je sais, c'est un peu tard pour en parler mais c'est quand même utile, non ?KeyTrap (...)
Panne du domaine national russe
- 8 février -
Aujourd'hui, une panne a affecté le domaine de premier niveau russe, .ru. Que sait-on ? (Quand cet article a été initialement publié, on ne savait (...)
Du nouveau dans la (l'in)sécurité de l'Internet ?
- 5 janvier -
Le 3 janvier 2024, une partie du trafic IP à destination de la filiale espagnole d'Orange n'a pas été transmis, en raison d'un problème BGP, le (...)