Améliorer la sécurité réseau avec RPF

frontiereNon, pas de police des frontières ou autre parti politique, derrière l’acronyme RPF on trouve « Reverse Path Forwarding ». En substance, on s’autorise à ne pas laisser entrer une trame IP sur son réseau si l’adresse source n’est pas routable via l’interface d’arrivée.

Bien connue des ISP, préconisée dans la majorité des cas, on peut imaginer que si tout le monde appliquait une telle règle sur l’ensemble des interfaces de ses routeurs de frontière, il n’y aurait pas sur Internet de « spoofing d’adresse » et par conséquent peut-être un peu moins de dénis de service.

A l’extrême, on ne laisse pas sortir d’une machine un autre trafic IP que celui provenant de l’adresse IP connectée. Facile à faire sur un réseau d’accès, les choses se corsent lorsque l’on installe un peu de redondance ou de multi-homing dans son réseau car les cas de figure dans lesquels une route retour et la route aller ne sont pas symétriques sont courants.

Il existe donc plusieurs modes de fonctionnement de ce type de filtrage dans les routeurs, on ne parle pas des firewalls pour qui l’anti-spoofing est dans l’ADN, les spécialistes de la sécurité y pensent tout de suite en cas de problème. Mais dans le réseau, il en est autrement. Les trois modes détaillés dans le RFC 3704 sont :

  • le mode strict (Strict Reverse Path Forwarding) : on vérifie avant de laisser passer la trame si la route retour vers l’adresse IP émettrice existe et si l’interface d’arrivée est désignée comme permettant de joindre cette adresse. Très simple de mise en oeuvre, c’est l’anti-spoofing des firewalls, idéal pour les sites de type feuille (edge) il peut poser des problèmes en cas de multi-homing
  • le mode potentiel (Feasible Path Reverse Path Forwarding) : le filtrage se base également sur toutes les routes possibles (pas uniquement dans la table FIB) mais qui y arriveraient en cas de soucis sur leur chemin principal. Ce mode sera préféré pour les zones de transit avec des situations de routage asymétrique, on gardera alors en tête une règle simple : si on filtre une route, on filtre les trames également.
  • Le mode vague (Loose Reverse Path Forwarding) : on ne vérifie que la présence d’une route dans la table, l’interface d’arrivée de la trame n’est pas prise en compte. Ceci ne fonctionne donc que si une table de routage partielle est utilisée. Si une route par défaut est présente dans la table, ce mode est inopérant. Il existe néanmoins un mode d’implémentation qui exclut la prise en compte de la route par défaut, on l’utilisera donc pour tous les cas où le routage asymétrique est mal maîtrisé, mais le niveau de sécurité sera également un peu plus faible.

Sachez enfin que cette technique est une recommandation et que l’on peut l’implémenter sur tout routeur IP sérieux. Elle peut être utilisée en entreprise sur des réseaux privés tout simplement pour éviter les erreurs de configuration de ses différents opérateurs IP VPN. Attention quand même : le filtrage IP mettra rapidement en évidence les erreurs de routage et les équipes réseau ne sont pas toutes au fait de ce genre de fonctionnement. On obtiendra ainsi plus rapidement un réseau « propre », même si cela peut se faire dans la douleur.

A consulter pour aller plus loin :

  • RFC 3704 Ingress Filtering for Multihomed Networks
  • RFC 2827 Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing
  • BCP 38
  • Source Address Validation Improvement (SAVI) Framework : RFC 7039

Et aussi

  • 5 novembre 2013 Communication et sécurité Le numéro de la semaine dernière de l'hebdomadaire Challenges a offert une belle démonstration d'une difficulté de sécuriser des services Télécoms ou IT. Une double page consacrée au ministre des affaires étrangères était agrémentée d'un certain nombre de "virgules" photographiques : les chocolats préférés, la table de travail et le téléphone sécurisé. Il a manifestement échappé […]
  • 3 janvier 2014 Analyse de performances de l’IT grâce au réseau En ce début d’année 11111011110, il est bon de se souvenir que le transport de données sur les réseaux et l’encodage de toutes les informations que nous utilisons dans notre monde numérique se basent sur une simple suite de 0 et de 1. Finalement au niveau du transport des données on peut voir passer beaucoup de choses, l’affaire récente de la NSA nous l’a rappelé. Les […]
  • 22 février 2013 Telecom Analytics : de quels départements viennent les clients d’un centre d’appels Question d’actualité en cette période de début des sports d’hiver : on sait que les vacances scolaires ont un impact significatif sur le flux d’appels entrants ; grâce à une étude sur les volumes historiques des années précédentes, vous commencez à avoir une idée des enjeux, qui peuvent aller jusqu’à +20% sur certains jours / services. Reste que les vacances scolaires obéissent en […]