L'internet n'est pas un réseau unique et homogène. Il est composé de différents réseaux indépendants qui sont reliés entre eux. Lorsque le trafic circule sur l'internet, il est probable qu'il doive passer par plusieurs réseaux indépendants. Le rôle du protocole Border passerelle Protocol (BGP) est d'aider à identifier une route pour que ce trafic se déplace efficacement de la source à la destination.
L'internet est composé d'un réseau de réseaux plus petits, ces derniers étant de grands ensembles de routeurs gérés par une organisation plus petite. Ces petits réseaux, appelés systèmes autonomes (AS), peuvent être des fournisseurs d'accès à Internet (FAI) ou d'autres grandes organisations : entreprises, agences gouvernementales, campus, etc.
Chaque AS se voit attribuer un ASN unique, c'est-à-dire un numéro qui identifie l'AS. Un AS connecte directement les utilisateurs à l'internet et fournit une connectivité ou des itinéraires entre d'autres systèmes autonomes. Lorsqu'un paquet de réseau est acheminé sur l'internet, il est probable qu'il emprunte plusieurs chemins en tirant parti des différents liens entre les ASN. Dans l'idéal, il sélectionnera le chemin le plus court, mais cette tâche est difficile lorsqu'il y a des milliers d'ASN et que la carte de l'internet change constamment.
C'est pourquoi le BGP est un élément important du fonctionnement de l'internet. Via BGP, les ASN peuvent annoncer des itinéraires potentiels vers diverses adresses ou plages IP, ce qui permet aux routeurs d'identifier l'itinéraire le plus efficace pour un paquet.
Chaque AS de l'internet est directement connecté à un ensemble de postes qui se situent probablement dans une certaine plage d'adresses IP. Dans le protocole BGP, chaque système autonome est responsable de la collecte et de la communication des informations de routage à ses pairs - les ASN avec lesquels il est directement connecté - sous la forme d'annonces de préfixes de réseau. Par exemple, un AS annoncera qu'il est directement connecté à certaines adresses IP, qu'il est à un saut d'autres adresses, etc. Étant donné que chaque AS communique les informations de routage qu'il a reçues à ses pairs, ces informations finissent par se propager dans l'ensemble du réseau. Par conséquent, un ASN apprendra les préfixes de réseau même pour les ASN auxquels il n'est pas directement connecté.
Avec le préfixe du réseau et les informations sur les sauts, un AS peut alors déterminer la meilleure route pour envoyer le trafic sur l'internet. Bien qu'il existe plusieurs routes potentielles pour chaque adresse IP, l'AS dispose des informations nécessaires pour prendre la meilleure décision en fonction de ses principaux critères, tels que la vitesse, la fiabilité, le coût et d'autres facteurs.
Souvent, les discussions et l'application de BGP font référence à BGP externe (eBGP). Il s'agit d'utiliser le protocole pour identifier les routes potentielles que le trafic doit emprunter entre les systèmes autonomes sur l'internet public.
Cependant, rien dans le protocole sous-jacent ne le rend utilisable uniquement pour le trafic inter-AS. Un AS peut choisir d'utiliser BGP pour acheminer le trafic à l'intérieur de son réseau, une pratique appelée BGP interne (iBGP). L'utilisation de BGP interne et externe est indépendante l'une de l'autre. Alors que le protocole BGP externe est utilisé sur l'internet, un AS peut choisir parmi plusieurs protocoles pour le routage interne.
BGP est l'un des protocoles fondamentaux qui permettent à l'internet de fonctionner. Cependant, comme beaucoup de ces protocoles, il peut être vulnérable aux attaques ou aux abus.
Détournement de BGP
Le BGP fonctionne en grande partie sur la base d'un système d'honneur. Un AS annonce les préfixes de réseau auxquels il est directement connecté et ses itinéraires vers d'autres zones de l'internet. Toutefois, les autres AS disposent de moyens limités pour vérifier l'exactitude de ces informations. Dans le passé, certains AS ont accidentellement publié des préfixes de réseau incorrects, ce qui peut augmenter la latence du réseau ou rendre certaines parties de l'internet inaccessibles à d'autres utilisateurs.
Cela peut également être fait intentionnellement, une pratique appelée BGP hijacking (détournement BGP). Un pirate BGP peut acheminer le trafic Internet par son intermédiaire afin de mener diverses attaques. Par exemple, un pirate BGP pourrait mener une attaque par déni de service (DoS) en acheminant le trafic via ses systèmes et en interrompant les connexions. Le détournement BGP a également été utilisé dans des attaques de détournement DNS, où l'attaquant a redirigé des requêtes DNS et envoyé de fausses réponses dirigeant les utilisateurs vers le site de hameçonnage.
Attaques DDoS
BGP works by having ASes publish routing information to their peers. These ASes process the information, update their internal tables, and pass the information on to their peers. This creates the opportunity for a Distributed DoS (DDoS) attack. The attackers create a fake advertisement that an AS is looking for updating routing information, causing a flood of traffic and data that can overwhelm the system.
Le protocole BGP est un élément fondamental du fonctionnement de l'internet. Les organisations peuvent utiliser BGP pour le routage interne et externe. Gaia, le système d'exploitation intégré aux points de contrôle Pare-feu de nouvelle génération (NGFW), intègre la prise en charge de BGP et d'autres protocoles de routage dynamique. BGP est également un composant essentiel du Protecteur contre les attaques par déni de service (DDoS) de Point de contrôle. Grâce à BGP, Point de contrôle peut acheminer de manière transparente le trafic vers des centres d'épuration afin de filtrer le trafic DDoS et d'éviter qu'une organisation ne soit submergée par un adversaire. Pour en savoir plus sur le choix de la bonne solution de protection contre les attaques DDoS, lisez notre Guide d'achat DDoS.