Au cours des dernières semaines, plusieurs personnes m'ont interrogé sur des itinéraires qui apparaissent puis disparaissent mystérieusement. Par exemple
impression de l'itinéraire Passerelle par défaut : 10.10.10.1 Passerelle d'adresse réseau Masque de sous-réseau Redirection de la vie 172.16.0.0 10.10.10.172 255.255.0.0 |
Figure 1 - Tableau d'acheminement original |
Et puis
impression de l'itinéraire
Passerelle par défaut : 10.10.10.1
Passerelle d'adresse réseau Masque de sous-réseau Redirection de la vie
172.16.0.0 10.10.10.172 255.255.0.0
172.16.1.2 255.255.255.255.255 10.10.10.254 5 min
|
Figure 2 - ajout d'un itinéraire dynamique |
Et 5 minutes plus tard
impression de l'itinéraire Passerelle par défaut : 10.10.10.1 Passerelle d'adresse réseau Masque de sous-réseau Redirection de la vie 172.16.0.0 10.10.10.172 255.255.0.0 |
Figure 3 - itinéraire dynamique supprimé |
Ces routes dynamiques sont ajoutées lorsque la pile STCP reçoit un message de redirection ICMP d'un routeur lui indiquant d'utiliser un autre routeur. Comme l'indique l'affichage, les routes ont une durée de vie de 5 minutes, donc après 5 minutes, elles sont supprimées. Bien entendu, elles peuvent revenir immédiatement si la pile reçoit un autre message de redirection.
Pour décrire le processus en détail ; disons que le STCP est défini avec une route vers le réseau 172.16.0.0/16 par le routeur 10.10.10.172. En outre, il existe un autre routeur sur le réseau avec l'adresse IP 10.10.10.254. J'appellerai ces routeurs R-172 et R-254. R-172 et R-254 peuvent tous deux atteindre le réseau 172.16.0.0/16 mais R-172 utilise une connexion T3 à large bande passante tandis que R-254 utilise une liaison RNIS à faible bande passante.
Les itinéraires du STCP ressemblent à la figure 1 ci-dessus, notez qu'il n'y a pas d'itinéraire explicite utilisant le R-254.
Lorsque la liaison T3 de R-172 tombe en panne, elle ne peut plus atteindre le réseau 172.16.0.0/16, mais elle sait que R-254 le peut, de sorte que lorsqu'un paquet arrive pour le 172.16.1.2, elle le transmet à R-254 et envoie également un message de redirection ICMP à l'expéditeur. L'expéditeur, STCP dans ce cas, construit une route hôte dynamique indiquant que pour atteindre le 172.16.1.2 il doit envoyer le paquet au R-254, figure 2.
Comme il s'agit de routes hôtes, chaque hôte du réseau 172.16.0.0/16 à qui un paquet est envoyé recevra sa propre route avec son propre minuteur de 5 minutes. La commande route indique la durée de vie restante actuelle pour chaque route.
impression de l'itinéraire Passerelle par défaut : 10.10.10.1 Passerelle d'adresse réseau Masque de sous-réseau Redirection de la vie 172.16.0.0 10.10.10.172 255.255.0.0 172.16.1.1 255.255.255.255.255 10.10.10.254 5 min 172.16.1.8 255.255.255.255.255 10.10.10.254 2 min 172.16.1.23 255.255.255.255.255 10.10.10.254 2 min 172.16.1.65 255.255.255.255.255 10.10.10.254 2 min 172.16.1.101 255.255.255.255.255 10.10.10.254 3 min 172.16.1.200 255.255.255.255.255 10.10.10.254 5 min |
Figure 4 - Plusieurs itinéraires d'accueil |
Lorsque le lien T3 de R-172 apparaît, ce qui devrait se passer, c'est que les hôtes qui n'ont pas de route d'accès utilisent R-172 car il ne s'est jamais rien passé. Les hôtes disposant d'une route hôte utilisent le R-254 qui sait que la liaison du R-172 est de secours (les routeurs échangent leur statut de route entre eux) et transmet donc le paquet au R-172. Le R-254 doit également envoyer une redirection ICMP à l'expéditeur, ce qui donne une nouvelle route hôte utilisant le R-172 (figure 5).
impression de l'itinéraire Passerelle par défaut : 10.10.10.1 Passerelle d'adresse réseau Masque de sous-réseau Redirection de la vie 172.16.0.0 10.10.10.172 255.255.0.0 172.16.1.9 255.255.255.255.255 10.10.10.172 3 min 172.16.1.18 255.255.255.255.255 10.10.10.172 4 min 172.16.1.20 255.255.255.255.255 10.10.10.172 2 min |
Figure 5 - Itinéraires de l'hôte redirigés vers le routeur d'origine |
Dans certaines conditions, il peut être judicieux pour le STCP de ne pas créer d'itinéraires dynamiques. Par exemple, que se passe-t-il si le R-254 est en panne et que l'information du R-172 est une entrée statique qui n'a jamais été supprimée. Dans ce cas, les paquets destinés aux hôtes du réseau 172.16.0.0/16 sont simplement supprimés lorsque R-254 ne peut pas être atteint. Lorsque le T3 de R-172 est rétabli, les hôtes 172.16.0.0/16 qui ne disposent pas d'une route hôte sont accessibles, mais ceux qui disposent d'une route hôte R-254 ne le sont pas. Avec le temps, à mesure que les routes R-254 s'arrêtent, de plus en plus d'hôtes seront accessibles, mais il faudra 5 minutes pour s'en remettre complètement.
Certains experts en sécurité considèrent également que les itinéraires dynamiques ainsi créés sont un problème de sécurité. Tout hôte sur le réseau peut envoyer un message de redirection ICMP, redirigeant les paquets vers une passerelle différente, une passerelle où les paquets contenant des contenus sensibles comme des mots de passe ou des informations de compte peuvent être capturés.
Y a-t-il donc un moyen d'empêcher la création de ces routes ?
Oui, le paramètre de configuration STCP listen_redirects contrôle la manière dont le STCP traite les messages de redirection ICMP. Le paramètre par défaut "on" indique au STCP de créer ces routes dynamiques, le paramètre "off" indique au STCP d'ignorer les messages de redirection ICMP.
as : list_stcp_params listen_redirects écouter les redirections de la CIPD [off/on] (listen_redirects) sur as : set_stcp_param listen_redirects off Changer l'écoute des redirections ICMP (listen_redirects) de l'intérieur à l'extérieur |
Figure 6 - Réglage du paramètre listen_redirect STCP |
Notez que ce paramètre affecte le système dans son ensemble, vous ne pouvez pas spécifier que le STCP doit écouter les redirections de certains routeurs mais pas d'autres.