MANRS: Etat des lieux sur la Validation Globale au Bénin

Internet est de nos jours devenu un outil indispensable dans le quotidien de tous les individus, si bien qu’il a été reconnu par l’UNESCO au travers de son concept d’universalité de l’internet comme un droit fondamental. Plusieurs entités participent activement au développement de l’écosystème d’internet; parmi celles-ci nous pouvons citer les CDN (Content Delivery Network), les opérateurs et FAI (Fournisseur d’Accès Internet) qui nous permettent  de pouvoir accéder à des services ou contenus web.

Aujourd’hui, nous pouvons compter un peu plus de 60,000 Systèmes Autonomes (AS) dispersés dans le monde communiquant entre eux et formant Internet, grâce à l’interconnexion de leurs routeurs de bordures et aux échanges réguliers d’informations de routage. Mais ces échanges d’informations de routage peuvent constituer un risque majeur si un AS annonce à ses paires des routes erronées, soit par erreur ou de manière totalement délibérée. En effet, en 2017 il y a eu en moyenne 14000 incidents liés à une mauvaise configuration des informations de routage; ces différentes pannes ont conduit à une série de problèmes (vol de données, perte de revenu, atteinte à la réputation, etc..) dont certains ont duré près de 19h et ont eu une envergure mondiale. Ces incidents sont souvent causés par une  erreur technique. En 2020, nous avons également eu le cas de l’opérateur Rosetelecom qui a annoncé plusieurs préfixes appartenant aux fournisseurs de contenu Amazon (AS16509 et AS14618), Akamai (AS20940, AS16625), et plusieurs prestataires de services différents (Level3, Alibaba, Digital Ocean, Linode, etc…). Bon nombre de ces incidents sont également d’origine criminelle.

Le seul moyen de se prémunir de ce genre d’erreur pour les acteurs opérant ces réseaux est  de respecter  et exécuter  toutes les bonnes pratiques afin de rendre Internet plus stable, plus sécurisé et plus résilient. C’est dans cette optique  qu’a vu le jour en 2014 MANRS (Mutually Agreed Norms for Routing Security), une initiative globale supportée par Internet Society afin de réduire les menaces  liées au routage global sur Internet.

source : https://www.flickr.com/photos/mayeulak/9388720859

Afin de répondre à ces différentes menaces, MANRS a  établi 4 plans d’action qui doivent être suivis à savoir:

• Validation Globale: chaque opérateur doit publier ses informations de routage dans des bases ou registres afin qu’elles soient validées par les paires;
• Filtrage: afin d’empêcher la propagation des informations de routage incorrectes, les opérateurs doivent annoncer avec exactitude leurs propres préfixes et ceux de leurs clients aux réseaux adjacents;

• Anti-spoofing: afin d’empêcher le trafic avec des adresses IP usurpées, tous les opérateurs doivent valider la source des adresses traversant leur réseau;
• Coordination: afin de faciliter la communication opérationnelle et la coordination entre opérateurs, ceux-ci doivent maintenir accessibles et à jour toutes les annonces et informations les concernants.

Au Bénin, nous avons quatorze (14) Systèmes Autonomes(AS) (voir détails ici), provenant de divers secteurs dont les télécommunications, le secteur privé et celui de l’éducation. Dans cet article nous nous sommes intéressé à leur conformité avec les plans d’action du MANRS, notamment celui  de la validation globale du routage.

Tableau 1: Réseaux du Bénin auxquels AFRINIC a alloué des ressources internet

Processus de validation globale

Le but de la validation globale est de s’assurer que tous administrateurs réseaux ont réellement rendu public leurs informations de routage; en incluant leurs annonces de préfixes aussi bien que leur politique de routage avec les paires. Ce processus est d’autant plus important, car ces informations rendues public et accessibles à tous les paires constituent une contre-mesure pour une attaque de type détournement de préfixe.

Mais pour que les paires soient sûrs de la véracité de ces informations, il y a un certains nombre d’exigences à savoir:

• Enregistrer dans la base IRR (Internet Routing Registry) leur politique de routage, ainsi que de leur annonce (Route Object);
• S’assurer que leurs clients (Système Autonome) fassent également ce type d’enregistrement dans la base IRR;
• Enregistrer leurs ressources signées numériquement (Route Origin Authorization) auprès d’un dépôt RPKI et s’assurer que leurs clients en fassent de même.

Nous avons donc pour chacun de ces Systèmes Autonomes du Bénin, vérifié ceux qui ont des préfixes annoncés  dans des registres de routage internet (IRR) et dépôts RPKI.

En effet, chaque opérateur disposant de ses propres ressources en numérotation (ASN et préfixe IP) devrait créer des entitées appelées RO (Route Object) dans la base de donnée (WHOIS) du Registre auprès duquel il a alloué ces ressources; dans notre cas, AFRINIC.

Vérification de l’existence de RO:

Pour faire cette vérification, nous nous sommes servis de l’outil “whois” mais aussi de la plateforme web RIPEstat de RIPE NCC, la boite à outil BGP de Hurricane Electric, la base whois de AFRINIC, ainsi que la base IRR de RADB. Les résultats sont disponibles dans le tableau ci dessous.

Tableau 2: Vérification d’enregistrement RO

Nous constatons d’après ce tableau récapitulatif, que seulement 50% des réseaux énumérés ont des Route Object (RO) enregistrés dans la base IRR du whois AFRINIC. Parmis les 50% restant, deux (02) n’ont aucun RO existant dans aucun registre; les autres ayant des RO présents mais uniquement dans la base de données RADB. De plus, nous avons découvert l’existence d’un nouveau préfixe appartenant à la SOGEQUIP et annoncé par  BENIN TELECOM.

Vérification de l’existence de ROA: 

En plus des enregistrements au niveau de la base IRR, les réseaux doivent également documenter les annonces attendues de leur réseau qui seront stockées dans un objet ROA sur un dépôt RPKI. Les objets ROA sont des objets signés cryptographiquement qui indiquent quels préfixes un AS est autorisé à  annoncer sur Internet.

Pour les réseaux  ayant obtenu leurs ressources auprès d’AFRINIC, un certificat numérique BPKI leur est délivré par celui-ci à l’origine de la création du ROA. Ce certificat contient l’identifiant du réseau appelé NIC-HANDLE qui est une suite alphanumérique servant à l’identifier dans la base de données du registre régional. C’est ce certificat qui sera utilisé pour la création des objets ROA et servira également à vérifier l’authenticité de la source d’une annonce BGP. Pour vérifier l’existence d’objet ROA pour les préfixes annoncés par nos réseaux  au Bénin, nous nous sommes servis de l’outils “whois” et de l’outil de validation du RPKI de RIPE NCC. Ceci nous a permis d’élaborer le tableau ci dessous.

Tableau 3: Vérification d’enregistrement ROA

D’après les résultats obtenus, seul le réseau “Group Vivendi Africa-Canal Box” a des ROAs créés.

Opérateurs présents sur PeeringDB

Il s’agit d’une ressource ouverte permettant aux réseaux de partager entre eux leurs informations d’appairage (peering) et d’autres informations pertinentes. Les réseaux ont la responsabilité de maintenir leurs propres enregistrements.

Un enregistrement PeeringDB permet de consolider les informations d’un réseau en un seul endroit et de rechercher des informations sur d’autres réseaux.

La présence d’enregistrement dans le PeeringDB est un plus dans l’action de validation global du MANRS; car combiné aux informations déjà disponibles dans la base IRR et le dépôt RPKI, les paires peuvent mettre en place des politiques de filtrage et d’accès plus efficaces et plus résilientes aux attaques.

Tableau 4: Vérification d’enregistrement dans le PeeringDB

nous constatons que seulement 36% des  réseaux du Bénin sont présents sur PeeringDB.

Script

Afin d’automatiser toutes les étapes liées aux vérifications de l’existence d’un RO et d’un ROA pour un réseau, nous avons élaboré un script en Python (panda). Ce script est disponible:  https://github.com/falilou05/manrs_bj.git avec tous les détails disponibles dans le fichier README.md.

source

Pourquoi adhérer à l’initiative MANRS ?

L’adhésion aux règles et principes MANRS présente des avantages pour les Fournisseurs de services Internet et pour les entreprises en général. Elle leur permet de:

Prestataire de services Internet

• Apporter une plus-value commerciale au prestataire et lui permet d’être plus compétitif sur le marché
• Faire preuve de compétence en matière de sécurité et d’engagement envers leur client…

Entreprises

• Améliorer la posture de sécurité organisationnelle de l’entreprise
• Fournir une base pour des services de sécurité à valeur ajoutée…

Qui peut adhérer à MANRS ?

Les opérateurs de réseaux, FAI, IXP, les Banques, les universités, les entreprises et toute autre organisation détentrice de ses propres ressources en numérotation internet (ASN et préfixes IP) peuvent  adhérer à MANRS.

Comment adhérer à MANRS ?

Les conditions d’adhésion à MANRS sont disponibles sur ce lien: https://www.manrs.org/join/

Coût

L’inscription à MANRS est gratuite, il faut juste être en conformité par rapport aux quatres (04) plans d’action, ensuite demander la reconnaissance en soumettant son formulaire pour évaluation et confirmation par les équipes MANRS.

Conclusion

L’étude menée dans le cadre de la capitalisation de notre formation nous a permi de comprendre  que seul l’opérateur “Group Vivendi Africa-Canal Box”  est en conformité avec la validation globale du MANRS au Bénin. Ce constat nous a permis d’élaborer un plan d’actions futures qui consistent à:

• élaborer un sondage à soumettre aux divers opérateurs et réseaux du Bénin pour évaluer leur niveau d’informations et d’intérêt au MANRS,
• préparer une formation de sensibilisation et de renforcement des capacités de ces opérateurs et réseaux du Bénin à MANRS afin qu’ils puissent participer activement à la sécurisation globale du routage pour permettre de maintenir Internet sécurisé et résilient au Bénin et dans le monde entier. Afin de permettre aux autres réseaux et opérateurs béninois d’être parmis les acteurs du MANRS, nous avons prévu faire un sondage qui nous permettra de savoir s’ils ont connaissance de l’initiative MANRS, ses plans d’action et s’ils voudraient y participer. Ce sondage sera suivi d’un module de formation au AS intéressés afin de leur montrer les avantages qu’ils ont à intégrer un tel programme.

Par Antoinette YAVOEDJI et Falilou BASSABI membres du Chapitre Bénin d’Internet Society.

Références

1. https://www.manrs.org/resources/tutorials/
2. https://www.peeringdb.com/
3. https://airrs.afrinic.net/
4. https://observatory.manrs.org/#/overview
5. https://www.radb.net/
6. https://bgpview.io/reports/countries
7. https://www.manrs.org/join/
8. https://afrinic.net/whois
9. https://stat.ripe.net/
10. https://bgp.he.net/
11. https://www.afrinic.net/internet-routing-registry