Sécurité des protocoles de routage
Définition
La sécurité des protocoles de routage couvre les mécanismes de protection des échanges entre routeurs (OSPF, EIGRP, BGP) pour empêcher un attaquant d'injecter de fausses routes, de détourner le trafic ou de provoquer une instabilité du réseau. Les protections principales incluent l'authentification des voisins, le filtrage de routes et la protection du plan de contrôle (Control Plane Policing — CoPP).
Contexte
Si un attaquant parvient à participer à un échange de routage (en envoyant des mises à jour OSPF ou EIGRP depuis un appareil non autorisé), il peut rediriger le trafic vers lui-même (black hole, MITM), provoquer des boucles de routage ou faire tomber le réseau. La certification CCST attend une compréhension des risques et des mécanismes de base.
Détails techniques
Menaces sur les protocoles de routage
| Menace | Description | Impact |
|---|---|---|
| Rogue router | Un appareil non autorisé envoie des mises à jour de routage | Routes détournées, trafic intercepté |
| Route injection | Injection de fausses routes dans la table de routage | Black hole, MITM |
| Route flapping | Annonce et retrait répétés d'une route → instabilité | Surcharge CPU, convergence perturbée |
| Prefix hijacking (BGP) | Annonce d'un préfixe IP appartenant à un autre AS | Détournement de trafic à l'échelle Internet |
Authentification des protocoles de routage
L'authentification garantit que seuls les routeurs autorisés participent aux échanges de routage.
OSPF — authentification MD5 :
Router(config)# interface GigabitEthernet 0/0
Router(config-if)# ip ospf message-digest-key 1 md5 S3cur3_OSPF!
Router(config-if)# ip ospf authentication message-digest
EIGRP — authentification par keychain :
Router(config)# key chain EIGRP-KEY
Router(config-keychain)# key 1
Router(config-keychain-key)# key-string S3cur3_EIGRP!
Router(config)# interface GigabitEthernet 0/0
Router(config-if)# ip authentication mode eigrp 100 md5
Router(config-if)# ip authentication key-chain eigrp 100 EIGRP-KEY
BGP — authentification TCP MD5 :
Router(config)# router bgp 65001
Router(config-router)# neighbor 203.0.113.1 password BGP_S3cr3t!
Filtrage de routes
| Mécanisme | Application |
|---|---|
| Distribute-list | Filtrer les routes annoncées ou reçues avec une ACL |
| Prefix-list | Filtrer par préfixe IP et longueur de masque (plus précis) |
| Route-map | Filtrage avancé avec conditions multiples (match/set) |
| Maximum-prefix (BGP) | Limiter le nombre de préfixes reçus d'un voisin BGP |
Protection du plan de contrôle (CoPP)
Le Control Plane Policing protège le CPU du routeur contre la surcharge due à un trafic excessif destiné au plan de contrôle (mises à jour de routage, SNMP, SSH, ICMP dirigé vers le routeur) :
Router(config)# class-map ROUTING-PROTOCOLS
Router(config-cmap)# match access-group name ROUTING-ACL
Router(config)# policy-map COPP-POLICY
Router(config-pmap)# class ROUTING-PROTOCOLS
Router(config-pmap-c)# police 1000000 conform-action transmit exceed-action drop
Router(config)# control-plane
Router(config-cp)# service-policy input COPP-POLICY
Bonnes pratiques
| Pratique | Détail |
|---|---|
| Authentifier tous les peerings de routage | MD5 minimum, SHA-256 si supporté |
| Filtrer les routes aux frontières | Ne pas propager de routes internes vers l'extérieur |
| Utiliser des passive-interface | Empêcher l'envoi de mises à jour de routage sur les interfaces utilisateurs |
| Activer CoPP | Protéger le CPU contre les attaques DoS ciblant le plan de contrôle |
| Limiter les préfixes BGP | maximum-prefix pour éviter une fuite de table complète |
| Utiliser RPKI (BGP) | Validation cryptographique de l'origine des préfixes BGP |
passive-interface
Empêche un routeur d'envoyer des mises à jour de routage sur une interface (tout en acceptant les routes) :
Router(config)# router ospf 1
Router(config-router)# passive-interface default
Router(config-router)# no passive-interface GigabitEthernet 0/0 ! Seule interface active
Exemple concret
Scénario : un campus universitaire utilise OSPF pour le routage interne. Un étudiant connecte un routeur personnel sur une prise réseau et tente d'injecter de fausses routes.
- Sans protection : le routeur non autorisé forme une adjacence OSPF et annonce une route par défaut (
0.0.0.0/0) avec un coût très bas → tout le trafic Internet du campus est redirigé vers l'appareil de l'étudiant. - Avec protection :
- L'authentification MD5 est activée sur toutes les interfaces OSPF → le routeur non autorisé ne peut pas former d'adjacence (clé MD5 inconnue).
passive-interfaceest activé sur tous les ports d'accès (prises murales) → OSPF ne s'annonce jamais vers les postes utilisateurs.- CoPP protège les routeurs contre un éventuel flood de paquets OSPF Hello.
- Le routeur de l'étudiant ne peut ni s'intégrer au réseau OSPF ni perturber les échanges de routage.