 |
|||||
|
|
|
|||
|
|
 |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
 |
|
|
|
|
|
|
|||
|
|||||
|
|||||
|
|||||
|
|
|
|||
|
|
|
|
||
|
|
|
|||
|
|||||
Présentation d'EIGRP :
EIGRP (Enhanced Interior Gateway Routing Protocol) est un protocole de routage interne (protocole propriétaire développé par Cisco) utilisé pour le routage intra-AS (par exemple pour un groupe de "Systèmes Autonomes" de type campus, site étendu, ….).
EIGRP est un protocole de type "vecteur de distance" (calcul du plus court chemin). Il a été conçu pour surcharger au minimum le trafic réseau et pour offrir des temps de convergence rapides (temps de diffusion et de prise en compte des informations de routage par l'ensemble du réseau).
EIGRP est basé, entre autres, sur l'échange d'information concernant les changements d'états des tables de routages. Ces informations sont transmises de routeur en routeur.
Les échanges EIGRP s'appuient sur un protocole au dessus d'IP (identifiant du protocole : 88), mais ce dernier n'utilise pas les protocoles de transport TCP ou UDP.
Problème :
Une attaque de type déni de service a été découverte dans la gestion du protocole EIGRP sous les équipements Cisco IOS.
En effet, le protocole EIGRP implémente un mécanisme permettant aux routeurs de découvrir de manière dynamique ses routeurs voisins. Pour cela, chaque nouveau routeur signale son existence sur le réseau via des paquets de type "unicast" (vers une seule adresse) ou "multicast" (vers un ensemble d'adresses). Ensuite, le nouveau routeur établit une connexion avec ses voisins afin de s'échanger les informations de leur table de routage. Pour cela, si les deux routeurs sont sur un même brin Ethernet, ils doivent s'échanger dans un premier temps leur adresse physique MAC (Medium Acces Control – adresse de niveau 2 : liaison de données).
Dès lors, si des annonces sont effectuées par un équipement malicieux avec des adresses IP forgées ("spoofing") appartenant à la même classe (et au même masque réseau) que celle utilisée par un routeur implémentant le protocole EIGRP, alors ce dernier tentera de résoudre ces adresses IP forgées en adresses MAC et saturera ainsi :
- sa capacité mémoire (car le temps d'expiration – "time-out" – du traitement des requêtes est fourni par l'émetteur du paquet et peut être au maximum de 18 heures),
- le brin réseau par des requêtes de type ARP (Address Resolution Protocol).
Solution :
Cisco a reconnu cette vulnérabilité et propose les palliatifs suivants :
- Authentifier les paquets EIGRP :
- Utilisation de la signature MD5 des paquets EIGRP
- Bloquer le trafic EIGRP provenant de systèmes illégitimes :
- Trafic de type "unicast" :
Router#config t
Router(config)#access-list 111 permit eigrp host 10.0.0.2 host 10.0.0.1
Router(config)#access-list 111 deny eigrp any any
où l'adresse IP "10.0.0.2" correspond à un routeur voisin e t l'adresse IP "10.0.0.1" au routeur local.
Nota : cette règle ne fonctionnera pas si le trafic EIGRP est de type "multicast".
o Trafic "multicast"
§ Interdire le trafic de type "multicast" et restreindre le trafic autre que TCP/UDP/ICMP en périphérie du réseau local afin d'empêcher les attaques via Internet.
De fait de la nature du trafic EIGRP (trafic au dessus d'IP et différent de TCP/UDP) et des pratiques courantes en terme de filtrage sur les équipements réseau situés sur la périphérie du LAN, le Cert-IST a préféré aborder ce problème dans son Bulletin Sécurité mensuel plutôt que de faire un avis.
Pour plus d'information :
- Présentation du protocole EIGRP : http://www.american.com/warp/public/103/eigrp-toc.html
- Description de la vulnérabilité : http://www.phenoelit.de/stuff/CiscoEIGRP.txt
- Réponse de Cisco : http://cisco.com/warp/public/707/eigrp_issue.html