Institut de la Francophonie pour l’Informatique Institut Eurécom Sophia Antipolis Mémoire de fin d’études Etude et validation de l'application du paradigme des pots de miel aux attaques visant les protocoles de routage Réalisé par LA Chi Anh (Promotion 10 – IFI) Sous la direction de Marc DACIER Guillaume URVOY-KELLER (Institut Eurécom) Sophia Antipolis, Septembre 2006 Table des matières Table des matières Liste des figures Liste des tableaux .6 Remerciements Résumé .8 CHAPITRE – INTRODUCTION 10 Problématique 10 Motivation 11 Méthode de travail 12 Environnement de travail 12 Contribution .12 CHAPITRE – ETAT DE L’ART 14 Les problèmes des protocoles de routage 14 1.1 Authenticité et intégrité des échanges de routes 14 1.2 Délai de convergence et instabilité 14 1.3 Boucles de routage 15 1.4 Croissance de la table de routage 15 1.5 Mauvaises configurations 15 Les attaques visant le routage 16 2.1 Falsification d’annonces 16 2.1.1 Modification d’attributs de préférence de trafic 16 2.1.1.1 Désagrégation de préfixe 16 2.1.1.2 Modification d’attributs de préférence .16 2.1.2 Insertion de fausses annonces 17 2.1.2.1 Falsification d’origine d’un préfixe 17 2.1.2.2 Insertion de retraits 17 2.1.2.3 Insertion périodique d’annonces et de retraits 17 2.1.2.4 Insertion de messages de notification ou messages mal formés 17 2.2 Rétention d’annonces 17 2.2.1 Création de boucles 18 2.2.2 Isolation d’un réseau 18 2.3 Inondation d’annonces 18 2.3.1 Empoisonnement de table de routage 18 2.3.2 Épuisement de ressources de routeur 18 2.4 Les attaques indirectes 18 2.4.1 Les attaques TCP – TCP SYN et TCP RESET 18 2.4.2 Falsification de messages d’erreur ICMP 19 2.4.3 Les attaques ARP .19 Détection d’attaques visant les protocoles de routage 19 3.1 Détection basée sur la signature 19 3.2 Détection basée sur les statistiques 20 3.3 Détection par l’apprentissage 20 3.4 Détection par l’analyse en ondelettes 21 3.5 Détection basée sur la topologie 21 3.6 Détection par la visualisation 21 Les approches de renforcement de protocoles de routage 22 4.1 Les règles de filtrage 22 4.2 Les approches de sécurité pour BGP 22 4.2.1 S-BGP (Secure BGP) 22 4.2.2 soBGP (Secure Origin BGP) 23 4.2.3 psBGP (Pretty Secure BGP) 23 4.2.4 pgBGP (Pretty Good BGP) 24 4.2.5 Mécanisme « Listen and Whisper » 24 4.2.6 Autres méthodes d’authentification de BGP 24 CHAPITRE – LA FAISABILITE DES ATTAQUES VISANT LES PROTOCOLES DE ROUTAGE 25 Arbre des attaques de routage 25 1.1 Attaques visant RIP 25 1.2 Attaques visant OSPF 26 1.3 Attaques visant BGP 28 Validation de la faisabilité des attaques de routage 30 2.1 La modification d’attributs de préférence .30 2.2 L’insertion de messages de routage 32 2.3 La rétention de messages de routage .32 2.4 L’inondation de messages 33 2.5 Les attaques indirectes 34 CHAPITRE – VALIDATION DE L'APPLICATION DU PARADIGME DES POTS DE MIEL AUX ATTAQUES SUR LE ROUTAGE 35 Analyse de données d’attaques vers les pots de miel du projet Leurré.com 35 1.1 L’architecture du système de pots de miel Leurré.com 35 1.2 Les tentatives vers les ports et les protocoles de routage 36 1.3 Les tentatives de reconnaître un routeur par traceroute/tracert 36 1.4 La détection de boucles par les messages ICMP type 11 code 36 Analyse de résultat du déploiement d’un « routeur de miel » au sein d’Eurécom.38 2.1 Modèle de déploiement du « routeur de miel » avec Netflow 38 2.2 Les informations Netflow récupérées par le « routeur de miel» 38 Validation de l’approche de « routeur de miel » dans la détection d’attaques de routage 39 Conclusion et perspectives .42 Références 43 Termes et abréviations 45 Liste des figures Figure 3.1 Arbre des attaques visant RIP 26 Figure 3.2 Arbre des attaques visant OSPF 27 Figure 3.3 Le mécanisme RFD 29 Figure 3.4 Arbre des attaques visant BGP 30 Figure 3.5 L’utilisation de « AS padding » pour équilibrer le trafic 31 Figure 3.6 Le nombre de noeuds changés dans les routes observées sur PlanetLab 33 Figure 3.7 La distribution de la longueur des préfixes (Route-Views) 34 Figure 4.1 L’architecture du système de pots de miel Leurré.com 35 Figure 4.2 La tendance d’augmentation des paquets ICMP 11 vers Leurré.com 37 Figure 4.3 La distribution géographique des adresses IP de routeurs qui envoient ICMP 11 Leurré.com .37 Figure 4.4 Le modèle de déploiement d’un routeur de miel Netflow 38 Figure 4.5 Le modèle de déploiement d’un routeur de miel 40 Figure 4.6 Le système IDS de routage Netflow 40 Liste des tableaux Table 3.1 L’utilisation d’attributs de préférence dans un mois (Route-Views) 31 Table 3.2 La distribution de la longueur des AS paddings (Route-Views) 32 Table 4.1 Les tentatives de communication de routage vers Leurré.com 36 Table 4.2 Les tentatives de traceroute/tracert vers Leurré.com 36 Table 4.3 Les tentatives d’attaque vers le routeur de miel 39 Table 4.4 La capacité de détecter des attaques de routage par « routeur de miel » et IDS Netflow 41 Remerciements Je remercie M Marc Dacier et M Guillaume Urvoy-Keller, professeurs de l’Eurecom pour leur direction sur un sujet de recherche très intéressant Je tiens exprimer ma reconnaissance pour leurs conseils et encouragements qui ont facilité mon travail Je tiens remercier M Ho Tuong-Vinh et toutes les personnes de l’IFI et de l’Eurécom de m’avoir aidé au cours de mon stage Je voudrais également remercier ma mère et les membres de ma famille qui m’ont supporté et encouragé énormément pendant mes séjours en France Enfin, je remercie M Guillaume Urvoy-Keller qui m'a aidé corriger des erreurs de raisonnement et des fautes orthographes dans ce rapport Résumé Depuis longtemps, l’infrastructure de routage sur l’Internet a été considérée très vulnérable plusieurs types d’attaque L’attaque contre des protocoles de routage, surtout le protocole de routage « inter-domaine » BGP, peux affecter globalement la connectivité de réseau et causer de grands dommages l’économie En attaquant des routeurs BGP, les criminels de réseau arriveront causer le déni d’accès (blackholing), la déconnexion, la redirection de trafic, la modification de données et l’instabilité de communication Ce rapport mentionne les types d’attaque sur l’infrastructure de routage et valide leur faisabilité, ensuite donne une évaluation sur l’approche de « pots de miel » pour les détecter Ce rapport se compose de chapitres D’abord le premier chapitre présente une introduction sur le problème de sécurité dans le routage Le deuxième chapitre va aborder les problèmes de routage, les types d’attaque, les techniques de détection et les approches de sécurité récemment proposées Le troisième chapitre est une analyse détaillée sur les vulnérabilités de l’infrastructure de routage et les possibilités d’attaque accompagnées par leur menace en réalité Le quatrième chapitre valide les enjeux d’une approche de pots de miel « honeyrouter » pour détecter les attaques mentionnées Mots clés : sécurité de routage, attaque BGP, pots de miel, système de détection d'intrusions Abstract Internet routing infrastructure has been considered strictly vulnerable to several types of attacks Routing attacks, especially against the interdomain routing protocol like BGP, can globally affect network connectivity and cause great damage to economic activities While attacking BGP routers, the criminals have the possibility to cause blackholing, loss of connectivity, instability, traffic redirection or even data modification This report mentions routing infrastructure attacks and validates their feasibility, then gives an evaluation on the honeypot approach to detect them This report is composed of chapters The first chapter presents an introduction to the security problem in routing The second chapter outlines routing issues, attack possibilities, anomalies detection and current security approaches The third chapter describes in detail the routing infrastructure vulnerabilities and the possibilities of attack accompanied by their threats in reality The fourth chapter considers and validates the stakes of a honeypot approach (honeyrouter) to detect routing attacks Keywords: routing security, BGP attack, honeypot, IDS Chapitre Introduction Problématique De nos jours, l'Internet joue un rôle de plus en plus important dans tous les secteurs économiques Les transactions entre les entreprises dépendent la plupart de ce moyen de communication Ainsi la taille de ce réseau s'agrandit de façon que protéger sa connectivité et sa confidentialité devient une tâche difficile et compliquée L'infrastructure de routage contient plusieurs vulnérabilités comme les architectes de l'Internet n'ont pas prévu la croissance rapide de ce réseau global Afin de déterminer dynamiquement le chemin pour un paquet, les routeurs communiquent les uns avec les autres des informations sur le routage Mais il est possible que pour faciliter la flexibilité ou pour simplifier le travail, il n'existe pas par la nature des mécanismes efficaces pour vérifier l'authenticité et la validité de ces informations Un routeur sur l'Internet a donc tout le droit de diffuser des fausses annonces qui sont capables de interrompre la connexion, rediriger le trafic ou causer l'instabilité permanent dans le réseau Les attaques visant les routeurs, peu importe pour gagner le contrôle d'un routeur ou intervenir directement le protocole de routage, représentent une grave menace en réalité Les protocoles de routage se classifie en types selon la taille du réseau qu'ils desservent: intra-domaine (RIP, OSPF ) et inter-domaine (BGP Border Gateway Protocol) BGP est un protocole de facto basant sur le vecteur de chemin (path vector based protocol) très utilisé depuis la dernière décennie Il assure la communication des routes entre les systèmes autonomes AS (par exemple des fournisseurs de service d'Internet ISP) Son fonctionnement est basée sur la confiance entre les ISP donc il n'assure pas la validité des annonces de routage entre les routeurs Un fois de gagner le contrôle d'un routeur BGP, l'attaquant peut exploiter BGP en annonçant les itinéraires faux afin de rediriger le trafic une destination incorrecte L'attaque visant le protocole BGP peut affecter globalement des machines sur l'Internet Bien qu'il n'y ait pas encore d'attaque contre BGP qui a été publiquement documentée jusqu'a maintenant, on a reconnu des mauvaises configurations de BGP qui ont posé les mêmes problèmes d'une telle attaque: Le 25 avril 1997 le système autonome (AS) numéro 7007 a diffusé les annonces incorrectes indiquant qu'il a eu le meilleur chemin plusieurs destinations Le avril 1998, AS 8584 a annoncé environ 10.000 préfixes (les adresses de réseau) qu'il n'a pas possédés Le avril 2001 AS 15412 a répété la même erreur en annonçant environ 5.000 préfixes qu'il n'a pas possédés La connectivité de plusieurs réseaux sur l'Internet a été interrompue pendant plusieurs heures cause de ces incidents [1] La panne du moteur de recherche Google le mai 2005 ont été suspectée d'être causée par les fausses annonces BGP de AS 174 [2] 10 L'isolation du réseau n'est possible que lorsque l'attaquant compromet un routeur de bord tout près du réseau d'une victime "single-home" ou lorsque le routeur compromis se situe sur le meilleur chemin Des boucles de routage sont facilement formées mais leur impacts se limitent dans les mêmes conditions que l'isolation Les données de Route-Views [33] montrent que pour un préfixe donné, il y a toujours plusieurs chemins alternatifs pour l'atteindre Pourtant le changement dans le routage n'est pas très flexible J'ai observé le changement des routes depuis 21 machines PlanetLab [32] 46 destinations différemment distribuées sur Internet en terme géographique (soit 966 routes) pendant mois par traceroute Les résultats montrent que 388 routes (40,1%) ne changent jamais pendant cette période d'observation Les routes qui ont changé ne contiennent qu'un changement en moyen 2,6 noeuds dans leurs itinéaires (Figure 3.6) Cela signifie que si une isolation ou une boucle de routage est formée, leurs impacts ne sont pas négligeables Figure 3.6 Le nombre de noeuds changés dans les routes observées sur PlanetLab En conclusion, la rétention de message de routage est un type d'attaque élégant et difficile de détecter Elle représente un grand danger pour le routage 2.4 L'inondation de messages L'inondation est tout fait faisable dans la réalité Il est possible de limiter les routes annoncées par un routeur partenaire mais c'est une solution qui empêche la fonctionnement normal du protocole de routage Des statistiques sur Route-Views montrent que la majorité des préfixes sont de longueur /24 (Figure 3.7) Cela signifie qu’on a dans le pire cas 224 soit 1.677.720 routes qui peuvent être insérées dans la table de routage C'est une quantité énorme par rapport la capacité des routeurs mentionnés dans les expérimentations de D Chang et al [27] 33 Figure 3.7 La distribution de la longueur des préfixes (Route-Views) 2.5 Les attaques indirectes Les recherches de S Convery [11] ont montré que 14.5% des routeurs qui acceptent des SYN ont au moins un sur trois de leur ports d’administration (telnet, ssh, http) ouverts l'Internet La compromission d'un routeur via ces ports est possible La capture des paquets et l’attaque cryptanalytique sont faisables Le temps pour retrouver une clé secrète varie de quelques minutes pour un mot qui est dans le dictionnaire quelques heures pour un mot plus compliqué [11] L’attaque sur TCP RST ou l'aide des messages d'ICMP, afin d’interrompre la communication de routage et causer l’effet RFD, est prouvé possible si l’attaquant connaît les information sur le système d’exploitation du routeur ou surveille le lien afin de réduire le nombre des combinaisons essayer (port de source, port de destination, numéro de séquence) Dans les traces tcpdumps de MAWI et NLANR, on a des TTL=1 et TTL=64 sur les liens BGP, ce qui permet de dire que le filtrage BTSH n’est pas encore appliqué partout Le DDoS contre le port UDP 520 (RIP) est faisable L’attaque DDoS contre le port BGP (TCP 179) est possible avec des TCP SYN Il faut faire attention aussi l’attaque TCP SYN avec MD5 sur un lien BGP qui utilise MD5 car le traitement MD5 épuisera les ressources du routeur [28] L’attaquant a la possibilité d'intervenir dans la communication de routage entre deux routeurs avec des messages ARP falsifiés Ce type d’attaque est facile découvrir car il interrompe aussi la trafic de données [28] 34 Chapitre Validation de l'application du paradigme des pots de miel aux attaques sur le routage Analyse de données d’attaques vers les pots de miel du projet Leurré.com 1.1 L’architecture du système de pots de miel Leurré.com Depuis 2003 l'Institut Eurécom a lancé le projet Leurré.com Le but du projet est de rechercher large échelle les attaques sur l'Internet Le réseau de 51 plateformes de pots de miel distribués dans une vingtaine de pays du projet permet de collecter globalement les données des attaques où des tentatives de déclencher une attaque sur l'Internet Chaque plateforme contient de machines virtuelles (3 pots de miel) émulant systèmes d'exploitation: Win98, WinNT et Redhat7.3 et un observateur qui collecte les traces tcpdump destinées ces machines Ces données tcpdump sont récupérées quotidiennement par une base de données centralisée l’Eurécom (voir l'architecture dans la figure 4.1) Figure 4.1 L’architecture du système de pots de miel Leurré.com 35 1.2 Les tentatives vers les ports et les protocoles de routage Depuis 2003 jusqu’à maintenant, on a trouvé dans la base de données Leurré.com des tentatives de scanner les ports de routage Cependant le but de ces tentatives n’est pas très clair car les processus d'attaque ont scanné souvent une séquence des ports contenant les ports de routage Il y avait uniquement un cas où l’attaquant s’intéressait uniquement au port 179 (BGP) en Mai 2005 (Table 4.1) Protocole/Port Nombre des tentatives BGP (TCP/179) RIP (UDP/520) OSPF (Protocole numéro 89) Tentatives uniquement vers le port de routage 48 45 1 Table 4.1 Les tentatives de communication de routage vers Leurré.com 1.3 Les tentatives de reconnaître un routeur par traceroute/tracert Avant de lancer une attaque contre l’infrastructure de routage, l’attaquant est obligé de tracer la topologie du réseau et d'identifier la location des routeurs Pour collecter ces données, il se sert d’un outil très simple : traceroute (sur UNIX/Linux) ou tracert (Windows) Ces outils envoient des paquets UDP vers un port hautement numéroté (>10000) ou des requêtes d’écho ICMP (type code 0) avec une valeur TTL de plus en plus grande pour recevoir les paquets ICMP de TTL expiré (type 11 code 0) retournés par les routeurs Dans la base de données Leurré.com on trouve des paquets avec TTL=1 (Table 4.2) La plupart de ces paquets sont UDP ou ICMP 733 sur 740 des paquets UDP sont destinés vers un port >10000 2106 sur 2113 des paquets ICMP sont de type code (requête d’écho) Ainsi on peut supposer que ce sont des paquets générés par traceroute TTL Total paquets 3210 UDP 740 ICMP 2113 Autres 357 Table 4.2 Les tentatives de traceroute/tracert vers Leurré.com 1.4 La détection de boucles de routage par les messages ICMP type 11 code Les paquets ICMP type 11 code indiquent que le temps de vie d'un paquet IP est dépassé son arrivée une passerelle Un routeur enverra un ICMP type 11 code quand il détruit un paquet IP cause de l’expiration du TTL pour éviter une boucle infinie dans le transfert d’un paquet L'en-tête IP du paquet est renvoyé avec ICMP pour que l'expéditeur sache quel paquet a été détruit Les paquets ICMP type 11 code indiquent qu'il existe une boucle de cheminement ou une valeur de TTL initiale trop petite 36 Figure 4.2 La tendance d’augmentation des paquets ICMP 11 vers Leurré.com Les pots de miels Leurré.com reçoivent chaque jour des paquets ICMP de type TTL expiré envoyés par plusieurs routeurs dans le monde (Figure 4.2) Il est très probable que ces paquets ICMP soient le résultat des trafics qui falsifient l’adresse IP des pots de miel Les attaquants qui lancent des DDoS contre des serveurs utilisent souvent des adresses falsifiées dans leurs paquets On voit la tendance de l’élévation de ce type ICMP dans la base de Leurré.com Ce phénomène peut être expliqué par une augmentation des DDoS sur l’Internet, mais on ne peut pas négliger les boucles de routage annoncées par ces ICMP Il s’agit des boucles formées suite une mauvaise configuration de routeur, par l’indisponibilité temporaire des serveurs attaqués par DDoS ou par le délai de convergence BGP Dans le pire cas, cette tendance signifie aussi des tentatives d’attaque contre des routeurs en mettant une valeur TTL très petite pour forcer le traitement des ICMP type 11 dans les routeur Ce traitement est supposé de pouvoir épuiser les ressources des routeurs Dans la base de données de Leurré.com, on a observé plusieurs paquets ICMP type 11 qui ont été envoyés par les routeurs de noyau (core routeur) des États-Unis et de la Chine (Figure 4.3) Figure 4.3 La distribution géographique des adresses IP de routeurs qui envoient ICMP 11 Leurré.com 37 Analyse de résultat du déploiement d’un « routeur de miel » au sein d’Eurécom 2.1 Modèle de déploiement du « routeur de miel » avec Netflow Depuis 2005, on a déployé Eurécom un routeur de miel pour observer les tentatives d’attaque vers l’infrastructure de routage (Figure 4.4) On a mis en place un routeur Cisco qui renvoie le trafic destiné lui sous le format Netflow une machine qui le capture en utilisant des outils Netflow open-source (flow-tools [34], silktools [35], nfdump [36], flowd [37] ) Figure 4.4 Le modèle de déploiement d’un routeur de miel Netflow NetFlow représente une fonctionnalité du système d’exploitation IOS de Cisco et un protocole ouvert mais propriétaire de Cisco pour rassembler et diffuser l'information du trafic IP qui passe via un routeur Les données Netflow ne fournissent pas des informations au niveau paquet mais au niveau flux (flux est défini comme une séquence de paquets qui partagent les attributs: IP source, IP destination, port source, port destination et protocole IP) Cette solution réduit le temps de traitement détaillé des paquets pour le système de détection d’intrusion (IDS) et est présenté comme une nouvelle technique pour les IDS dans le futur 2.2 Les informations Netflow récupérées par le « routeur de miel » Les informations Netflow sur les flux destinés au routeur de miel montrent les tentatives de compromettre le routeur via les ports d’administration (telnet/22, ssh/23, http/80) et les tentatives sur le protocole de routage (bgp/179, rip/520, ospf/proto89) Les tentatives de tracer le réseau avec traceroute ne peuvent être détectées qu’avec Netflow (Netflow définit champs « TTL max » et « TTL » pour chaque flux de données) 38 Port/Protocole Flux Tentatives vers port d’administration 22 23 80 Tentatives vers protocoles de routage 179 520 OSPF (Protocole 89) Paquets Octets 199 31 944 224 166 2313 11940 5143 114668 0 0 0 0 Table 4.3 Les tentatives d’attaque vers le routeur de miel Les données du routeur de miel ne montrent aucune tentative vers les protocoles de routage (Table 4.3) En fait, les attaques de routage devraient s’effectuer en toute logique après avoir estimé la topologie de routage Pour attirer les attaques, il faut faire croire aux attaquants que le routeur se situe une place très importante dans le réseau Il vaut mieux qu’on puisse déployer plusieurs routeurs de miel dans le monde et dans le réseau des ISP (sur le bord de l'Internet) plutôt qu'à Eurécom Et surtout l’adresse IP du routeur de miel doit être trouvable par un traceroute de l’attaquant Validation de l’approche de « routeur de miel » dans la détection d’attaques de routage En considérant les résultats obtenus avec Leurré.com et le déploiement du routeur de miel l’Eurécom, je trouve que l’approche des pots de miel pourra découvrir certaines tentatives vers l’infrastructure de routage comme les attaques pour compromettre un routeur et les tentatives vers les protocoles de routage Pour un réseau qui se situe derrière un pare-feu, l’approche de routeur de miel sera efficace (Figure 4.5) Je propose de déployer dans ce cas un routeur de miel en utilisant : ● Une instance de honeyd [38] qui simule le système d’exploitation Cisco IOS ● Une ensemble des instances d’émulation des protocoles de routage Quagga [39] Quagga est un outil open-source qui implémente tous les protocole de routage et supporte les commandes avec des syntaxes similaires IOS Afin d’empêcher l’attaquant de tracer les routeurs dans le réseau, on peut implémenter des règles de déni des paquets de traceroute On peut faire encore mieux avec une modification sur le pare-feu pour que celui-ci réponde aux tentatives de traceroute avec des ICMP type 11 dont l’adresse source est celle du routeur de miel Ainsi on attire les attaques vers le routeur de miel Ce routeur de miel pourrait être ajouté dans les plateformes de Leurré.com 39 Figure 4.5 Le modèle de déploiement d’un routeur de miel Pour un réseau qui ne peut pas se cacher derrière un pare-feu (réseau entre les routeurs de noyau), l’approche de routeurs de miel ne semble pas efficace Les attaquants ont suffisamment d'informations pour attaquer des routeurs réels et éviter des routeurs de miel Dans ce cas, on peut déployer un système de détection d’intrusion IDS qui profite les données Netflow du routeur (Figure 4.6) Cet IDS pourrait se composer de : ● Un outil qui collecte les données Netflow de routeur flow-tools [34] Selon mes expériences, flow-tools est l'ensemble des outils le plus complet pour récupérer et analyser les données Netflow par rapport nfdump [36], flowd [37] et silktools [35] ● Un détecteur d’intrusion qui analyse les flux Netflow vers les ports d’administration ● Un détecteur d'anomalies sur les protocoles de routage Ce détecteur peut employer le technique d’analyse en ondelettes proposée par C Chuah et al [20] C Chuah et al ont montré l'auto-similarité des messages de routage et ont implémenté la détection d’anomalie par l’analyse en ondelettes sur le nombre de messages de routage Une analyse en ondelettes sur les octets de flux Netflow sur la communication de routage pourrait donner le même résultat dans la détection d’anomalie Figure 4.6 Le système IDS de routage Netflow Le système IDS Netflow proposé est léger et permet de détecter les attaques en temps réel car il n'a pas besoin de vérifier le contenu des messages de routage Par contre l'approche « routeurs de miel » ne permet de détecter une attaque de routage que dans ses premières phases comme des tentatives de compromettre un routeur via les ports administratifs (http, telnet, ssh) et les tentatives de reconnaître un routeur par traceroute ou nmap [42] (outil de fingerprint) La capacité de détecter les types d’attaque est présentée dans la table 4.4 40 Type d’attaque Capacité de détection Routeur de miel IDS Netflow Compromettre un routeur via les ports administratifs (http, telnet, ssh) Reconnaître un routeur par traceroute Tentatives vers les protocoles de routage (BGP, RIP, OSPF) Insérer de fausses annonces Oui Oui Oui Oui (Avec Netflow 9) Oui Oui Non Non Oui (Si l’insertion produit un grand nombre d’annonces) Oui (Si la modification implique un grand nombre d’annonces) Oui Non Non Non Oui Oui Non Modifier des attributs de l'annonce originale Non Inonder des annonces Retenir des annonces Capturer des paquets pour une attaque cryptanalytique MD5 Attaquer via TCP et ICMP Table 4.4 La capacité de détecter des attaques de routage par « routeur de miel » et IDS Netflow 41 Conclusion et perspectives Les problèmes dans les protocoles de routage sont nombreux et susceptibles d’être exploités par plusieurs types d’attaque Le protocole BGP qui joue un rôle important dans la connectivité de l’Internet contient lui-même des vulnérabilités critiques Des recherches dans le domaine de sécurité prédisent des attaques sérieuses visant ce protocole dans un futur proche Plusieurs travaux de recherche ont prouvé ces vulnérabilités principalement par simulation Dans le travail de mon stage, j’ai essayé de donner une vue systématique des tentatives vers l’infrastructure de routage par la validation des arbres d’attaques La validation de ces types d'attaque se fait par l’analyse détaillée des données du trafic de routage actuel: Route-Views, RIPE NCC, des traces tcpdump de MAWI/NLANR Les résultats obtenus montrent que la plupart des types d'attaque de routage sont faisables et hautement risqués dans la réalité Les techniques de détection d’attaques de routage actuelles exigent une analyse détaillée du contenu des annonces qui sont trop nombreuses pour exécuter en temps réel J’ai examiné la capacité des pots de miel dans la détection d’attaques de routage par des analyses sur les données du projet des pots de miel Leurré.com, les données d’un « routeur de miel » déployé l’Eurécom depuis l’année dernière et les traces tcpdump du projet Telescope A partir des résultats d’analyse, je propose un modèle de déploiement des routeurs de miel pour Leurré.com et un système IDS avec Netflow pour détecter des anomalies de routage dans le réseau Le système IDS utilisant Netflow dans ce cas est considéré léger et permet de détecter des attaques en temps réel car il ne vérifie pas le contenu des messages de routage Par contre l'approche inspirée de la technique « pots de miel » ou « routeurs de miel » ne permet de détecter une attaque de routage que dans ses premières phases comme des tentatives de compromettre un routeur via les ports administratifs (http, telnet, ssh) et les tentatives de reconnaître un routeur par traceroute ou nmap (fingerprint) Ce travail peut être continué par le déploiement du système IDS proposé dans le réseau des ISP 42 Références [1] O Nordstrom and C Dovrolis, “Beware of BGP attacks,” SIGCOMM Computer Communications Review (2004) [2] T Wan and P Oorschot, “Analysis of BGP Prefix Origins During Google’s May 2005 Outage”, 2nd International Workshop on Security in Systems and Networks (2006) [3] C Labovitz, A Ahuja, A Bose and F Jahanian, “Delayed Internet Routing Convergence”, ACM SIGCOMM (2000) [4] S Kent, C Lynn and K Seo, “Secure Border Gateway Protocol (S-BGP)” IEEE JSAC Special Issue on Network Security (2000) [5] A Retana, “Secure Origin BGP soBGP”, NANOG28 Meeting (2003) [6] T Wan, E Kranakis and P Oorschot, “Pretty Secure BGP (psBGP)”, 12th Annual Network and Distributed System Security Symposium (2005) [7] J Karlin and S Forrest, “Pretty Good BGP: Protecting BGP by Cautiously Selecting Routes”, Technical Report TR-CS-2005-37, University of New Mexico (2005) [8] A Heffernan, “Protection of BGP Sessions via the TCP MD5 Signature Option” IETF RFC 2385 (1998) [9] A Sridharan, Sue Moon and C Diot, “On the Correlation between Route Dynamics and Routing Loops”, Internet Measurement Conference (2003) [10] D Pei, L Zhang, X Zhao and D Massey, “A Study of BGP Path Vector Route Looping Behavior”, International Conference on Distributed Computing Systems ICDCS (2004) [11] S Convery and M Franz, “BGP Vulnerability Testing: Separating Fact from FUD”, NANOG28 Meeting (2003) [12] R Mahajan, D Wetherall and T Anderson, “Understanding BGP Misconfiguration”, ACM SIGCOMM (2002) [13] J Kim, S Ko, D Nicol, X Dimitropoulos and G Riley, “A BGP Attack Against Traffic Engineering”, Proceedings of the 2004 Winter Simulation Conference (2004) [14] K Sriram, D Montgomery, O Borchert, O Kim and Rick Kuhn, “Autonomous System Isolation under BGP Session Attacks with RFD Exploitation”, IEEE JSAC special issue on High-Speed Network Security (2006) [15] K Zhang, S Wu and X Zhao, “An Analysis on Selective Dropping Attack in BGP”, Proceedings of IEEE International Performance Computing and Communications Conference (2004) [16] F Gont, “ICMP attacks against TCP”, Internet Draft http://www.gont.com.ar/drafts/icmp-attacks/draft-ietf-tcpm-icmp-attacks-00.txt (2006) [17] M Lad, L Zhang, X Zhao, B Zhang and D Massey, “Analysis of BGP Update Surge during Slammer Worm Attack”, 5th International Workshop on Distributed Computing (2003) [18] K Zhang, A Yen, S Wu, X Zhao, D Massey and L Zhang, “On Detection of Anomalous Routing Dynamics in BGP”, Proceedings of Networking LNCS (2004) [19] J Zhang, J Feigenbaumy and J Rexford, Learning-Based Anomaly Detection in BGP Updates Proceedings of SIGCOMM Workshop on Mining Network Data (2005) [20] L Yuan, J Mai and C Chuah, “BGP Anomaly Detection Using Wavelet Analysis”, Technical Report ECE-CE-2004-4 University of California, Davis (2004) 43 [21] C Kruegel, D Mutz, W Robertson and F Valeur, “Topology-Based Detection of Anomalous BGP Messages” RAID (2003) [22] S Teoh, K Ma, S Wu, D Massey, X Zhao, D Pei, L Wang, L Zhang and Randy Bush, “Visual-based Anomaly Detection for BGP Origin AS Change (OASC) Events”, 14th IFIP/IEEE International Workshop on Distributed Systems: Operations and Management DSOM (2003) [23] L Subramanian et al., “Listen and whisper: Security mechanisms for BGP”, In First Symposium on Networked Systems Design and Implementation (2004) [24] X Zhao, D Massey, A Mankin, D Pei, L Wang, S Wu and L Zhang, “Detection of Invalid Routing Announcement in the Internet”, Proceedings of International Conference on Dependable Systems and Networks 2002 [25] B Akyol and A Wright, “Securing Interdomain Routing with Reachability Validation Graphs”, CIAG Research Projects (2004) [26] W Aiello, J Ioannidis and P McDaniel, “Origin Authentication in Interdomain Routing”, Proceedings of 10th ACM Conference on Computer and Communication Security (2003) [27] D Chang, R Govindan and J Heidemann, “An Empirical Study of Router Response to Large Bgp Routing Table Load”, Proceedings of the ACM SIGCOMM Internet Measurement Workshop (2002) [28] A Vladimirov, K Gavrilenko, J Vizulis and A Mikhailovsky, “Hacking Exposed Cisco Networks: Cisco Security Secrets & Solutions”, McGrawHill/Osborne Media (2006) [29] R White, D McPherson, S Sangli, “Practical BGP”, Addison Wesley (2005) [30] MAWI Working Group Traffic Archive http://tracer.csl.sony.co.jp/mawi/ [31] The National Laboratory for Applied Network Research (NLANR) http://www.nlanr.net/ [32] PlanetLab - A collection of machines distributed over the globe http://www.planet-lab.org/ [33] University of Oregon Route Views Project http://www.routeviews.org/ [34] Flow-tools – A software package for collecting and processing NetFlow data from Cisco and Juniper routers http://www.splintered.net/sw/flow-tools/ [35] Silktools - A suite of open source tools for monitoring large-scale networks using flow data http://silktools.sourceforge.net/ [36] Nfdump - Tools collect and process netflow data http://nfdump.sourceforge.net/ [37] Flowd - A small NetFlow collector http://www.mindrot.org/projects/flowd [38] Honeyd - A small daemon that creates virtual hosts on a network http://www.honeyd.org/ [39] Quagga - Routing software suite http://www.quagga.net/ [40] Leurré.com Honeypot project http://www.leurrecom.org/ [41] IUCC/IDC Internet Telescope project http://www.ilan.net.il/research/telescope/ [42] NMAP - Free open source utility for network exploration or security auditing http://insecure.org/nmap/ [43] TCPdump: http://www.tcpdump.org/ 44 Termes et abréviations Terme ou Abréviation Terme en anglais Description ARP Address Resolution Protocol Protocole de résolution d'adresse qui effectue la traduction d'une adresse de protocole de couche réseau (IP) en une adresse Ethernet (MAC) AS Autonomous System Ensemble des réseaux et routeurs sous la même administration et politique de routage AS PATH Autonomous Systems Path Attribut dans un annonce BGP, contenant une séquence de numéro des AS Des numéros de AS sont des numéro d’identification assignés par IANA (Internet Assigned Number Authority) BGP Border Gateway Protocol Protocole d’échanger des informations de routage de facto qui assure la connectivite entre les AS BTSH BGP TTL Security Hack Recommandation de mettre la valeur TTL en 255 et filtrer les TTL[...]... d'étudier les travaux de recherche reliés, vérifier les menaces d'attaque en réalité et valider l'application du paradigme des pots de miel à la détection des attaques sur le routage 2 Motivation La validation de l'arbre des attaques visant les protocoles de routage et la détection d 'attaques contre les routeurs sont des sujets de pointe dans le domaine de sécurité de réseau La variété des attaques, ... Validation de l'application du paradigme des pots de miel aux attaques sur le routage 1 Analyse de données d attaques vers les pots de miel du projet Leurré.com 1.1 L’architecture du système de pots de miel Leurré.com Depuis 2003 l'Institut Eurécom a lancé le projet Leurré.com Le but du projet est de rechercher à large échelle les attaques sur l'Internet Le réseau de 51 plateformes de pots de miel distribués... l'établissement des échanges sécurisées entre des AS W Aiello et al fournissent un mécanisme d'authentification de l'origine du préfixe en formalisant la sémantique de la délégation d'adresse [26] 24 Chapitre 3 La faisabilité des attaques visant les protocoles de routage 1 Arbre des attaques de routage Les attaques visant les protocoles de routage sont théoriquement nombreuses et faisables S Murphy recouvre... évidences que les boucles existent parfois dans le transfert de paquets inter-domaine La cause exacte de cet effet est peu claire On crois que le délai de propagation des messages de routage cause des moments où il y a des contradictions de routage entre les routeurs L'inconsistance de routage forme des boucles temporaires pendant la convergence D Pei et al prouvent que la durée des boucles de routage. .. dans une équipe de recherche on bénéficie d'une formation aux méthodes de travail et hérite des expériences des responsables de stage et d'autres collèges 3 Méthode de travail Afin d'accomplir le travail donné, j'essaie de maîtriser les principes des protocoles de routage, puis rechercher sur des travaux antérieurs pour construire une arbre des possibilités d'attaque Le travail suivant est de chercher... ● Les protocoles et les services spécifiques aux applications Internet La sécurité pour les réseaux informatiques et systèmes distribués Depuis 2003 l'Institut Eurécom a lancé le projet Leurré.com Le but du projet est de rechercher profondément des attaques sur l'Internet Depuis sa naissance, le projet a attiré beaucoup d'intérêts de la communauté de sécurité Le réseau de 51 plateformes de pots de miel. .. l'arbre des attaques contre l'infrastructure de routage J'ai construit une bibliographie complète sur les recherches concernant mon sujet à l'aide d'un Wiki partagé entre les membres du groupe de travail Les recherches reliées sont classifiées en 4 axes: les problèmes, les attaques, les techniques de détection et les solutions de sécurité proposées pour les 12 protocoles de routage J'ai fait des analyses... partenaire J'ai construit aussi une base d'adresses IP des routeurs grâce aux machines PlanetLab et une base de préfixes IP collectés par les données de Route-Views pour faciliter les travaux de recherche postérieurs 13 Chapitre 2 Etat de l’art 1 Les problèmes des protocoles de routage 1.1 Authenticité et intégrité des échanges de routes Le protocole de routage BGP, qui fonctionne sur TCP, manquent dans... les administrateurs de réseau peuvent empêcher efficacement les tentatives d'attaque par les règles de filtrage Mais le problème de sécurité existe toujours puisque la falsification des données de routage est considérée faisable 4.1 Les règles de filtrage Les règles de filtrage sont utiles pour partiellement empêcher les attaques contre les activités de routage Des propositions de filtrage souvent... sur les données pour observer les anomalies ou les signes d'une possible attaque Les sources de données utilisées sont: ● La base de donnée du projet Leurré.com à Eurécom [40] ● Le Netflow collecté depuis un "routeur de miel" déployé depuis l'année dernière à Eurécom ● Les traces tcpdump [43] des projets de recherches sur le réseau: MAWI [30], NLANR [31] ● Les données du projet Telescope [41] ● Les