Sir Jerome, > Juniper & Cisco ont tous les deux publié des bulletins de sécurité relatifs a la > vulnerabilité > de TCP au paquets spoofés. > > Le bulletin Juniper (disponible pour peu d'avoir un acces client a juniper.net) > renvoie sur ce > lien: > > <http://www.uniras.gov.uk/vuls/2004/236929/index.htm> > > qui explique assez bien le probleme. > > le bulletin Cisco est ici: > > <http://www.cisco.com/warp/public/707/cisco-sa-20040420-tcp-ios.shtml> > > D'une maniere generale la vulnerabilite affecte tous les stacks TCP. > > Les documents soulignent la vulnerabilité plus importante de BGP a cette faille car > BGP > fonctionne sur des sessions TCP continues dans le temps, et cette vulnerabilite > permettrait de > reinitialiser les sessions (je ne te detaille pas les consequences sur l'Internet > suite au > damping des routes qui flappent, etc. tu connais tout ca). > > Toutefois, comme tu le soulignes, cela fait deja bien longtemps que BGP est > vulnerable a un > nombre impressionnant d'attaques, sans que cela n'ait jamais gené personne. D'une > maniere > generale, tout protocole de routage non authentifié est vulnerable a des attaques de > type > spoofing (encore pire, un IGP link-state sur media partagé (ethernet) est encore plus > vulnerable). > Bref, les 'hackers de l'internet' ont beaucoup de failles plus interessantes a > exploiter sur > les OS que celles qui consistent a attaquer les routeurs. > > Cela n'empeche que le mouvement de paranoia de ces derniers jours est finalement > plutot > positif, car on ne peut nier l'utilité d'authentifier les sessions BGP.
C'est un peu la paranoia en effet. D'un coté, on connait bien les limites et risques de TCP et BGP. Les risques liés à MD5 sont bien moins connus (CPU hog) et l'overwork pour les exploitants est aussi pas négligeable. Je ne suis pas pour le déployer massivement, mais avec les peers qui le demande. Vincent. ---------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ ----------------------------------------------- Archives : http://www.frnog.org/archives.php -----------------------------------------------
