La semaine dernière, le bureau du directeur national de la cybersécurité (ONCD) à la Maison Blanche a dévoilé un Feuille de route pour améliorer la sécurité du routage Internet pour fournir des conseils sur la façon de remédier à une vulnérabilité de sécurité liée au Border Gateway Protocol (BGP), qui est un élément clé de la façon dont les données circulent sur Internet.
BGP consiste en des règles sur les meilleurs itinéraires de transmission des informations sur Internet à travers des réseaux privés, publics, d’entreprise et gouvernementaux. BGP fonctionne à l’aide de pairs, qui effectuent la découverte de routes, le stockage de routes et la sélection de chemin. Les entités qui utilisent BGP comprennent les fournisseurs de cloud, les fournisseurs de services Internet, les universités, les sociétés énergétiques et les grandes entreprises.
Lorsque le trafic Internet est détourné de manière inappropriée, intentionnellement ou par inadvertance, cela pourrait conduire au vol, à l’extorsion, à l’espionnage au niveau de l’État et à la défaillance des infrastructures critiques, a déclaré l’ONCD.
“La sécurisation de BGP est essentielle pour sauvegarder l’intégrité de notre infrastructure numérique”, a déclaré Jen Easterly, directrice de la Cybersecurity and Infrastructure Security Agency. déclaration. « Grâce à des partenariats solides, tant avec l’industrie qu’avec les agences gouvernementales, nous pouvons améliorer la résilience de notre routage Internet, garantissant ainsi un Internet sécurisé et fiable pour notre pays. »
BGP est antérieur à l’Internet public, explique Will Townsend, vice-président et analyste principal chez Moor Insights & Strategy.
“Comme vous pouvez l’imaginer, beaucoup de choses ont changé en ce qui concerne le routage et la connectivité, et les mauvais acteurs continuent de trouver de nouvelles façons d’exploiter les lacunes”, a déclaré Townsend à Network Computing par courrier électronique. “BGP n’a jamais été conçu avec des dispositions de sécurité intégrées et repose plutôt sur une confiance implicite entre les réseaux.”
Au fur et à mesure du développement d’Internet, des acteurs malveillants ont falsifié les informations BGP, provoquant des pannes et conduisant à la transmission des données vers la mauvaise destination, ce qui constitue un détournement de route, indique le rapport de la Maison Blanche.
Cadre de sécurité BGP proposé
La feuille de route appelle les opérateurs de réseaux à adopter Infrastructure à clé publique de ressources (RPKI), un cadre que l’Internet Engineering Task Force a introduit en février 2012 sur la hiérarchie d’attribution de l’espace d’adressage IP et des numéros de système autonomes. RPKI comprend également un système de référentiel distribué expliquant comment stocker et diffuser des objets de données dans le RPKI.
La feuille de route cite trois défis à l’adoption du RPKI : un manque de compréhension approfondie des risques de sécurité du routage Internet et des technologies facilement disponibles pour les combattre, des priorités d’ingénierie concurrentes et des incitations mal alignées entre les opérateurs de réseau, et des barrières administratives alors que les organisations tentent de contracter avec un registre Internet régional (RIR).
Pour adopter le RPKI et se prémunir contre le détournement de BGP, les opérateurs de réseau auront besoin d’une approche de sécurité à plusieurs niveaux, selon Townsend. Il dit que Ouvrir d’abord le chemin le plus court (OSPF) est un protocole plus efficace pour contrecarrer les défauts de BGP. OSPF est un protocole de routage à état de liens dans lequel les routeurs ou les systèmes utilisent une base de données à état de liens pour calculer l’arbre couvrant le chemin le plus court. Les informations sont organisées dans une table de routage en fonction de leurs adresses IP de destination.
Le gouvernement prévoit que les accords de services d’enregistrement (RSA) couvriront plus de 60 % de l’espace IP du gouvernement fédéral d’ici fin 2024. Cela débouchera sur des autorisations d’origine de route (ROA) pour les réseaux fédéraux.
Dans son rapport, l’administration Biden a appelé le Bureau de la gestion et du budget à élaborer des orientations sur la manière de mettre en œuvre rapidement les ROA et à les aligner sur les évaluations des risques des agences.
Le rapport recommande également que l’Institut national des normes et de la technologie (NIST) dirige les efforts du gouvernement pour rechercher, normaliser et permettre la commercialisation de la sécurité et des systèmes BGP capables de consolider les points faibles du BGP.
“Le NIST travaille depuis longtemps en collaboration avec l’industrie pour concevoir, mesurer et standardiser des technologies qui rendent les protocoles Internet plus résilients et plus sécurisés”, a déclaré la directrice du NIST, Laurie E. Locascio, dans un communiqué. « Cette feuille de route établit un plan d’action clair pour accélérer l’adoption des technologies de sécurité BGP actuelles et commercialement viables tout en soulignant la nécessité de poursuivre la recherche et le développement de solutions supplémentaires.
Nouveau groupe de travail sur la sécurité du routage Internet
En outre, l’administration Biden créera un groupe de travail public-privé pour développer les moyens de mettre en œuvre la feuille de route. Le groupe de travail sur la sécurité du routage Internet, sous la direction du Conseil consultatif du partenariat sur les infrastructures critiques, créera un cadre pour évaluer les risques et l’application des contrôles de sécurité du routage. Le cadre décrira comment les organisations doivent mettre en œuvre les ROA.
Le rapport sur la feuille de route indique que le groupe de travail devrait créer des critères de risque et donner la priorité au développement d’un cadre. Il devrait également développer un manuel de fournisseur de services réseau pour les clients, basé sur « diverses perspectives du secteur ».
En outre, le groupe de travail devrait fournir des mises à jour au gouvernement fédéral sur les normes de sécurité BGP supplémentaires, les priorités de recherche et les efforts internationaux visant à renforcer la sécurité BGP.
Comment mettre en œuvre la feuille de route
Le document décrit 18 étapes pour mettre en œuvre la feuille de route, y compris la planification basée sur les risques et la publication du ROA. ROA est un certificat signé numériquement dans lequel un réseau annonce un bloc d’espace Internet, comme une adresse IP.
Les mesures recommandées par le gouvernement sont les suivantes :
Planification basée sur les risques : Lorsque les organisations effectuent des évaluations des risques en matière de cybersécurité, elles doivent se pencher sur la sécurité et la résilience du routage Internet, indique le rapport. Ce processus comprend l’inventaire de toutes les ressources de numéros Internet et l’identification de la manière dont les systèmes autonomes se connectent aux informations de routage BGP ou au trafic de données IP.
Publication du ROA : Les organisations devraient utiliser un RIR pour créer et publier des ROA, a déclaré la Maison Blanche.
Surveillance: Les opérateurs de réseau doivent surveiller leurs données ROA, les menaces et les pannes, ainsi qu’évaluer la qualité de leurs services de routage Internet.
Pour se protéger contre le piratage BGP et sécuriser l’écosystème de routage Internet, Townsend conseille aux opérateurs de réseau de consulter des partenaires technologiques de confiance et de détecter rapidement les vulnérabilités en utilisant outils de visibilité du réseau. Il recommande également un stratégie zéro confiance pour une gestion de réseau dans laquelle « rien n’est implicitement fiable ».