Utilisation de BGP pour distribuer des listes de filtrages de manière dynamique

Magazine
Marque
MISC
Numéro
78
Mois de parution
mars 2015
Domaines


Résumé
Nous présentons dans cet article comment le réseau peut faire face à des attaques de type DDOS et apporter une réponse de filtrage en temps réel grâce au système de routage BGP.

1. Introduction

L’idée fondatrice de BGP Flowspec est de pouvoir réutiliser le système de routage BGP (Border Gateway Protocol) afin de distribuer dynamiquement des listes de filtrages en temps réel sur la périphérie du réseau de l’opérateur. Cette initiative a vu le jour afin de pouvoir lutter contre les attaques de type DDOS (Distributed Denial Of Services) et ce de manière dynamique.

En effet et lors d’une attaque DDOS sur un site web par exemple, dès que l’attaque a pu être caractérisée, une liste de filtrage peut être alors déployée sur toute la bordure du réseau. Flowspec permet de distribuer ces listes de filtrage via le protocole BGP par une annonce de route (particulière, car il s’agit d’une liste de filtrage en définitive !!) qui va être propagée sur le réseau de l’opérateur afin d’appliquer ladite liste sur les interfaces des équipements qualifiés comme « Flowspec » (rate-limiting, redirection, etc.).

Défini dans [RFC 5575] :...

Cet article est réservé aux abonnés. Il vous reste 92% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Sauvegardez vos données, centralisez vos logs et supervisez votre sécurité

Magazine
Marque
Linux Pratique
HS n°
Numéro
49
Mois de parution
novembre 2020
Domaines
Résumé

Nos serveurs présentent désormais une surface d’attaque réseau maîtrisée et une sécurisation système d’un niveau cohérent avec notre modèle de menaces. De même, le service SSH tournant sur ces serveurs est configuré de manière optimisée. Nous pouvons donc être relativement sereins si nos adversaires sont d’un niveau intermédiaire. Et si malgré toutes ces protections, une attaque comme un rançongiciel réussissait ? Et bien dans ce cas-là, pour l’instant, notre infrastructure serait particulièrement vulnérable. Aucune sauvegarde externalisée. Pas de centralisation des traces. Une supervision sécurité inexistante. Remédions à cette situation afin d’élever le niveau de maturité de la sécurité de notre infrastructure.

Sécurisez votre réseau

Magazine
Marque
Linux Pratique
HS n°
Numéro
49
Mois de parution
novembre 2020
Domaines
Résumé

Maintenant que notre serveur principal est déployé et que nous y avons appliqué un premier niveau de sécurisation système, occupons-nous de sa sécurisation réseau. Nous allons détailler en quoi les attaques réseau sont primordiales dans notre modèle de menace. Comme nous le verrons, l’accès distant est le risque principal qui guette nos serveurs. Nous allons mettre en œuvre une sécurité en profondeur et les mesures de protection réseau en seront une de ses dimensions importantes.

Cas pratique sur la sécurisation d'un cluster Kubernetes

Magazine
Marque
MISC
Numéro
112
Mois de parution
novembre 2020
Domaines
Résumé

Cet article présente trois exemples de problèmes de sécurité rencontrés sur des clusters Kubernetes, causés par un manque de maîtrise des applications déployées sur un cluster par ses administrateurs ou par les développeurs des applications s’y exécutant. Nous donnons ensuite des pistes afin de mieux maîtriser et sécuriser ces applications.

Sécurité réseau dans un cluster Kubernetes

Magazine
Marque
MISC
Numéro
112
Mois de parution
novembre 2020
Domaines
Résumé

En introduisant le concept de micro-services, Kubernetes lance un nouveau défi aux solutions d’isolation et de filtrage réseau : comment gérer les droits d’accès réseau dans une infrastructure en constante mutation et dans laquelle une machine n’a plus un rôle prédéterminé ?