Categories
training program

Comment déployer MANRS à Madagascar?

Dans le cadre de la pandémie de COVID-19 qui touche l’ensemble des régions du globe, les mesures de confinement et de restriction des déplacements font d’Internet le moyen de communication le plus utilisé par les citoyens du monde. Internet, ce réseau informatique mondial accessible au public présente de nombreuses applications électroniques parmi lesquelles le courrier électronique, la toile ou world wide web, les messageries instantanées, les pair-à-pair, les streamings, et les téléconférences qui permettent à deux ou plusieurs personnes d’interagir et converser directement à travers différents supports tels que les smartphones et les ordinateurs, etc.

Internet est constitué de plusieurs réseaux répartis dans le monde entier et interconnectés. Chaque réseau est rattaché à une entité propre (université, fournisseur d’accès à Internet, data center, etc.) et est associé à un identifiant unique appelé Autonomous System (AS) utilisé par le protocole de routage BGP.

A l’heure actuelle, l’Internet repose sur les pratiques courantes d’exploitation de réseau en vigueur et ne dispose pas de contrôles de sécurité suffisants pour empêcher l’injection de fausses informations de routage, notamment l’usurpation d’identité de réseau. Ce qui rend l’ensemble du système particulièrement vulnérable et provoque chaque année des multitudes d’incidents d’acheminement erroné du trafic ou de déni de service dans le monde.

Le programme MANRS (Mutually Agreed Norms for Routing Security) résoud ce problème collectif en mettant en œuvre diverses mesures de sécurité concrètes à l’attention des opérateurs de réseaux.

Le programme MANRS

MANRS est une activité soutenue par Internet Society visant à sécuriser le routage Internet mondial. Ses principaux participants sont les fournisseurs d’accès Internet, les fournisseurs cloud, les points d’échange Internet et les réseaux de diffusion de contenu. Il a été lancé en 2014 par un petit groupe d’opérateurs de réseau afin de rassembler la communauté des opérateurs pour améliorer la sécurité et la résilience du système de routage mondial.

MANRS est basé sur un ensemble d’actions qui vise à résoudre les trois principaux problèmes à savoir :

  • Informations de routage incorrectes
  • Trafic avec des adresses IP sources falsifiées
  • Coordination et collaboration entre réseaux

Les quatre recommandations de MANRS

Les opérateurs de réseau membres de MANRS conviennent d’effectuer les quatre actions suivantes conçues pour améliorer la sécurité du routage :

  • Filtrage ;
  • Anti-usurpation d’identité ;
  • Coordination ;
  • Validation globale.

La plupart des opérateurs de réseaux trouvent ces actions simples à mettre en œuvre. Le déploiement de CloudFlare https://blog.cloudflare.com/rpki/ démontre que, même pour des réseaux plus importants, les actions sont réalisables.

Filtrage

Afin d’empêcher la propagation d’informations de routage incorrectes, les participants au MANRS doivent implémenter le filtrage des préfixes. En implémentant le filtrage des préfixes, on peut facilement autoriser ou refuser les annonces de certains préfixes des AS voisins. Il est aussi très important pour les opérateurs de réseaux de sécuriser les annonces de routage entrant en implémentant le filtrage des préfixes. L’implémentation de filtrage de préfixe au sein du réseau peut aussi aider à protéger contre les menaces telles que le détournement de préfixe (prefix hijacking) et les fuites de route (route leaks).

Pour créer des filtrages de préfixe, il faut demander aux clients d’enregistrer les informations sur leurs annonces de routage dans une base de donnée publique. Il existe deux principaux bases de données publique :

Les participants au MANRS doivent créer des filtrages de préfixe en obligeant ses clients à :

  1. Enregistrer un route object dans un IRR
  2. Créer des Route Origin Authoriszation (ROA) dans un RKPI

Figure1: Enregistrement des annonces de routage dans les bases de données IRR et RKPI

Anti-usurpation d’identité

L’usurpation d’adresse IP, ou IP spoofing, consiste à envoyer des paquets IP depuis une adresse IP source qui n’a pas été attribuée à l’ordinateur qui les émet.  Pour empêcher le trafic utilisant des adresses IP sources usurpées, il existe diverses techniques anti-usurpation d’identité qui peuvent être mises en œuvre. Les plus utilisés sont :

  • Access Control Lists (ACLs), qui consiste à autoriser les requêtes venant d’une plage d’adresse IP spécifiée puis de bloquer toutes les autres.
Figure 2 : Access Control Lists (ACLs)

Si le bloc d’adresse IP du client est 198.51.100.0/24, la liste de contrôle d’accès autoriserait les paquets avec des adresses source de 198.51.100.0/10 et refuserait les paquets provenant de différentes adresses source, par exemple 192.0.2.1.

Les ACLs doivent être déployées sur les interfaces en aval du Fournisseur d’Acces Internet FAI afin de vérifier les adresses sources utilisées par ses clients.

  • uRPF, Unicast Reverse Path Forwarding, est une technique utilisée dans le multicast pour limiter l’inondation des paquets dans le réseau. Il consiste à ignorer un paquet s’il ne provient pas de l’interface que le routeur aurait utilisée pour router la source du paquet.
Figure 3: uRPF est souvent implémenté sur les bords des réseaux où les clients, les serveurs et / ou les clients sont connectés.

Coordination

La prévention des incidents d’acheminement des données dépend fortement d’une communication opérationnelle efficace et d’une coordination entre les opérateurs de réseau à travers le monde. Pour y parvenir, il est essentiel de conserver les coordonnées à jour dans des bases de données accessibles au public. Il est conseillé aux FAIs de conserver ses coordonnées dans plusieurs bases de données publics.

Les participants au MANRS devraient publier et maintenir leurs coordonnées dans la base de données whois RIR de leur région, la base de données IRR, PeeringDB et le site Web de leur compagnie.

Figure 4 : Les quatre bases de données whois RIR, lIRR, PeeringDB et site Web www

Validation globale

Afin de valider les annonces de routage à l’échelle mondiale, la politique de routage réseau d’un opérateur réseau doit être mise à la disposition des autres réseaux. Étant donné que tout réseau qui participe au routage BGP pourrait avoir besoin de ces informations, elles doivent être publiées dans un lieu bien connu en utilisant un format standard.

Pour faciliter la validation de l’origine, les participants au MANRS doivent satisfaire certaines exigences :

  • Enregistrer leur politique de routage réseau (aut-num object) et leurs annonces attendues (route object);
  • Documenter leur cône client (as-set object);
  • S’assurer que leurs clients enregistrent leurs annonces attendues (route object);
  • Enregistrer leurs annonces attendues (ROA Object) dans n’importe quelle base de donnée RKPI et s’assurer que leurs clients font de même.
Figure 5 : Validation globale

À ce jour, 275 opérateurs de réseau et 45 points d’échange Internet (IXP) ont adhéré au système MANRS. L’association Cybersecurity Tech Accord dont les membres comprennent Facebook, Microsoft, Oracle et Hewlett Packard Enterprise, a même approuvée et encourage l’initiative.

Les principaux axes de travail de l’Internet Society en 2020 visent à accroître le nombre de réseaux affiliés au programme MANRS, à mobiliser et à sensibiliser un plus grand nombre d’acteurs externes autour de cette initiative, à améliorer les outils de mesure de la sécurité du routage, à renforcer les capacités des ingénieurs réseaux et à favoriser l’adoption au niveau mondial grâce à des activités de sensibilisation ciblées qui correspondent aux acteurs locaux concernés par le routage.

A Madagascar, une action initiée par le Chapitre Internet Society sera bientôt menée en faveur des quatre opérateurs de réseau, le MGIX : le point d’échange Internet Malagasy, l’i-renala : le NREN Malagasy, ainsi que NICMG : le CcTLD Malagasy ainsi que d’autres opérateurs possédant un Système Autonome AS. Les expériences menées par les techniciens Malagasy dans le cadre d’IXP rejoignent cette initiative, mais ont été maintenues en standby.

Les opérateurs de réseau souhaitant adhérer à l’initiative MANRS peuvent souscrire en ligne gratuitement. Les points d’échange Internet intéressés par le programme IXP sont invités à visiter www.manrs.org/ixps pour en savoir plus et rejoindre le programme.

Par Mbola RANAIVOARIMANANA,

ISOC Global Volunteer Training Program 2020