le Border Gateway Protocol (BGP) est le protocole utilisé sur Internet pour échanger des informations de routage entre les réseaux. C’est la langue parlée par les routeurs sur Internet pour déterminer comment les paquets peuvent être envoyés d’un routeur à un autre pour atteindre leur destination finale. BGP a fonctionné extrêmement bien et continue au protocole be qui fait fonctionner Internet.,
le défi avec BGP est que le protocole n’inclut pas directement les mécanismes de sécurité et est basé en grande partie sur la confiance entre les opérateurs de réseau qu’ils sécuriseront leurs systèmes correctement et n’enverront pas les données incorrectes. Des erreurs se produisent, cependant, et des problèmes pourraient survenir si des attaquants malveillants devaient essayer d’affecter les tables de routage utilisées par BGP.
ici, nous espérons fournir les informations que les opérateurs de réseau doivent comprendre pour sécuriser leurs routeurs et s’assurer qu’ils font leur part pour la sécurité et la résilience de l’infrastructure de routage Internet globale., Nous ne nous concentrons pas sur une approche spécifique, mais plutôt sur les différentes approches et outils disponibles pour aider à sécuriser vos systèmes de routage. Un excellent document pour comprendre notre objectif global avec cette section est RFC 7454, « opérations BGP et sécurité ».,
bases du BGP
- RFC7454: opérations et sécurité du BGP
- NIST: Publication spéciale SP 800-54 – Border Gateway Protocol Security
- Internet Society: sécurité du routage: Rapport sur la 3e Table Ronde des opérateurs de L’Internet Society
- RFC 4271: Informations générales sur le BGP
PKIs et CAs
Il existe plusieurs mécanismes couramment utilisés pour soutenir la communication sécurisée et privée, la protection des transactions et l’affirmation et la gestion de l’identité., Il s’agit notamment de L’ICP Internet couramment utilisée pour la navigation Web sécurisée mais qui peut être utilisée pour d’autres applications, de L’ICP pour le courrier électronique, du RPKI utilisé par les registres Internet régionaux pour affirmer les détenteurs de ressources IP et du DNSSEC qui peut être utilisé pour valider les requêtes DNS. DANE est un nouveau protocole qui utilise DNSSEC pour permettre aux propriétaires d’affirmer leurs propres certificats numériques, et donc potentiellement intégrer les fonctionnalités de L’Internet PKI dans le DNS mondial.,
Cette Introduction à PKIs& CAs fournit un aperçu du fonctionnement de ces mécanismes et de leur déploiement.
Vous pouvez également lire les différents rapports disponibles sur la sécurisation BGP et explorer le travail qui se passe dans L’IETF au sein du groupe de travail Secure Inter-Domain Routing (SIDR).
regardez notre blog pour des histoires liées à la sécurisation de BGP et, encore une fois, veuillez nous faire savoir comment nous pouvons vous aider!
Vous avez des suggestions pour d’autres questions auxquelles vous aimeriez nous voir répondre ici? S’il vous plaît laissez-nous savoir!