Au cours des dernières semaines, plusieurs personnes m'ont interrogé au sujet d'itinéraires qui apparaissent mystérieusement puis disparaissent. Par exemple
route print Passerelle par défaut : 10.10.10.1 Adresse réseau Adresse de passerelle Masque de sous-réseau Redirection Durée de vie 172.16.0.0 10.10.10.172 255.255.0.0 |
| Figure 1 – Table de routage d'origine |
Et puis
route print
Passerelle par défaut : 10.10.10.1
Adresse réseau Adresse de passerelle Masque de sous-réseau Redirection Durée de vie
172.16.0.0 10.10.10.172 255.255.0.0
172.16.1.2 255.255.255.255 10.10.10.254 5 minutes
|
| Figure 2 – itinéraire dynamique ajouté |
Et 5 minutes plus tard
route print Passerelle par défaut : 10.10.10.1 Adresse réseau Adresse de passerelle Masque de sous-réseau Redirection Durée de vie 172.16.0.0 10.10.10.172 255.255.0.0 |
| Figure 3 – itinéraire dynamique supprimé |
Ces routes dynamiques sont ajoutées lorsque la pile STCP reçoit un message de redirection ICMP provenant d'un routeur lui indiquant d'utiliser un autre routeur. Comme l'indique l'affichage, les routes ont une durée de vie de 5 minutes, elles sont donc supprimées après 5 minutes. Elles peuvent bien sûr réapparaître immédiatement si la pile reçoit un autre message de redirection.
Pour décrire le processus en détail, supposons que le STCP soit défini avec une route vers le réseau 172.16.0.0/16 via le routeur 10.10.10.172. De plus, il existe un autre routeur sur le réseau avec l'adresse IP 10.10.10.254. Je désignerai ces routeurs par R-172 et R-254. R-172 et R-254 peuvent tous deux atteindre le réseau 172.16.0.0/16, mais R-172 utilise une connexion T3 à haut débit tandis que R-254 utilise une liaison ISDN commutée à faible débit.
Les itinéraires STCP ressemblent à la figure 1 ci-dessus. Notez qu'il n'y a pas d'itinéraire explicite utilisant la R-254.
Lorsque la liaison T3 du R-172 tombe en panne, il ne peut plus atteindre le réseau 172.16.0.0/16, mais il sait que le R-254 le peut. Ainsi, lorsqu'un paquet destiné à 172.16.1.2 arrive, il le transfère au R-254 et renvoie également un message de redirection ICMP à l'expéditeur. L'expéditeur, STCP dans le cas présent, crée une route hôte dynamique indiquant que pour atteindre 172.16.1.2, il doit envoyer le paquet à R-254, figure 2.
Comme il s'agit de routes hôtes, chaque hôte du réseau 172.16.0.0/16 qui reçoit un paquet obtient sa propre route avec son propre temporisateur de 5 minutes. La commande route affiche la durée de vie restante actuelle pour chaque route.
route print Passerelle par défaut : 10.10.10.1 Adresse réseau Adresse de passerelle Masque de sous-réseau Redirection Durée de vie 172.16.0.0 10.10.10.172 255.255.0.0 172.16.1.1 255.255.255.255 10.10.10.254 5 min 172.16.1.8 255.255.255.255 10.10.10.254 2 min 172.16.1.23 255.255.255.255 10.10.10.254 2 min 172.16.1.65 255.255.255.255 10.10.10.254 2 min 172.16.1.101 255.255.255.255 10.10.10.254 3 min 172.16.1.200 255.255.255.255 10.10.10.254 5 min |
| Figure 4 – Routes hôtes multiples |
Lorsque la liaison T3 du R-172 est établie, les hôtes qui ne disposent pas d'une route hôte doivent utiliser le R-172 comme si rien ne s'était passé. Les hôtes disposant d'une route hôte utilisent le R-254, qui sait que la liaison du R-172 est rétablie (les routeurs échangent entre eux l'état des routes) et transfèrent donc le paquet vers le R-172. Le R-254 doit également renvoyer une redirection ICMP à l'expéditeur, ce qui aboutit à une nouvelle route hôte utilisant le R-172 (figure 5).
route print Passerelle par défaut : 10.10.10.1 Adresse réseau Adresse de la passerelle Masque de sous-réseau Redirection Durée de vie 172.16.0.0 10.10.10.172 255.255.0.0 172.16.1.9 255.255.255.255 10.10.10.172 3 min 172.16.1.18 255.255.255.255 10.10.10.172 4 min 172.16.1.20 255.255.255.255 10.10.10.172 2 min |
| Figure 5 – Routes hôtes redirigées vers le routeur d'origine |
Dans certaines conditions, il peut être judicieux que STCP ne crée aucune route dynamique. Par exemple, que se passe-t-il si R-254 est hors service et que les informations de R-172 sont une entrée statique qui n'a jamais été supprimée ? Dans ce cas, les paquets destinés aux hôtes du réseau 172.16.0.0/16 sont simplement rejetés lorsque R-254 n'est pas accessible. Lorsque le T3 du R-172 redevient opérationnel, vous vous retrouvez dans une situation où les hôtes 172.16.0.0/16 sans route hôte sont accessibles, mais ceux qui ont la route hôte R-254 ne le sont pas. Au fil du temps, à mesure que les routes R-254 expirent, de plus en plus d'hôtes deviendront accessibles, mais il faudra 5 minutes pour que le réseau soit entièrement rétabli.
Certains experts en sécurité considèrent également que les routes dynamiques ainsi créées constituent un problème de sécurité. Tout hôte du réseau peut envoyer un message de redirection ICMP, redirigeant les paquets vers une autre passerelle, où les paquets contenant des informations sensibles telles que des mots de passe ou des informations de compte peuvent être capturés.
Existe-t-il donc un moyen d'empêcher la création de ces itinéraires ?
Oui, le paramètre de configuration STCP listen_redirects contrôle la manière dont STCP gère les messages de redirection ICMP. Le paramètre par défaut « on » indique à STCP de créer ces routes dynamiques, tandis que le paramètre « off » indique à STCP d'ignorer les messages de redirection ICMP.
comme : list_stcp_params listen_redirects écouter les redirections ICMP [désactivé/activé] (listen_redirects) activé comme : set_stcp_param listen_redirects désactivé Modification de l'écoute des redirections ICMP (listen_redirects) de activé à désactivé |
| Figure 6 – Configuration du paramètre STCP listen_redirect |
Notez que ce paramètre affecte l'ensemble du système, vous ne pouvez pas spécifier que STCP doit écouter les redirections provenant de certains routeurs mais pas d'autres.