SSTIC 2012 - Source Adress Validation Improvement

Dans un amphi clairsemé, suite à un social event genialissime avec foie gras poêlé et champagne on est reparti pour cette dernière journée de SSTIC (et oui déjà).

Une nouvelle techno fraichement standardisé à l’IETF pour lutter contre le spoofing IP source.

Actuellement pour lutter contre le spoofing, il existe le network ingress Filtering qui vient vérifier que les paquets en provenance de B dont l’IP source n’est pas censée être dans B sera loggué et droppé…. mais dans le cas d’un routage asymétrique avec 2 routeurs un pour le « download » et l’autre pour l' »upload » bon bah ça ne marche pas.

Un réseau multi-hommé (un réseau avec deux FAI pour des raisons de redondance) et dont l’upload est sur un FAI, et le Download sur un autre… bah là encore l’ingress filtering pose problème. Enfin, le problème de la granularité se pose, vu qu’un attaquant peut toujours usurpé une IP appartenant au bloc réseau.

SAVI à été créé pour répondre à ces problèmes de granularité (entre autre). A grand coup de switch de niveau 2, SAVI détermine les IP légitimes du réseau par l’observation du traffic (dhcp, etc..). l’efficacité de SAVI repose sur la fiabilité des points d’entrée du réseau (les composants SAVI travaillant au niveau 2).

L’orateur nous explique en suite quelques exemples d’observation DHCP etc… pour établir les règles de filtrage permettant d’empêcher le spoofing IP. Ainsi on retrouve SEND, DHCPv6 etc… version SAVI.

SAVI a été déployé avec succès dans CERNET2, le réseau universitaire chinois. SAVI a des limites, notamment la fragmentation.