Oktane fut un vrai succès ! Oktane fut un vrai succès ! Visionner nos sessions à la demande. →
+33 1 85 64 08 80 Recherche

Définition du tunnel GRE (Generic Routing Encapsulation)

Mis à jour: 29 août 2024 Temps de lecture: ~

Sujette

General Web, IT Management

Sommaire

 

Cet article a été traduit automatiquement.

 

Qu'est-ce qu'un tunnel GRE ? Commençons par une définition technique. L'encapsulation générique de routage (ou GRE) est un protocole de communication. Vous pouvez utiliser la technologie de l'information pour partager des données directement par l'intermédiaire des nœuds du réseau, plutôt que par le réseau public. Cette communication se fait par l'intermédiaire d'un tunnel GRE.

Vous pouvez utiliser un tunnel GRE pour communiquer avec un terminal (comme un routeur) incompatible avec votre ordinateur. Vous pouvez également utiliser un tunnel GRE pour vous assurer qu'un message parvient à un destinataire malgré toute demande d'authentification du protocole que vous pensez exister, même si vous n'en êtes pas sûr. 

Mais les pirates peuvent aussi utiliser les tunnels GRE dans des attaques sophistiquées qui mettent hors service des systèmes critiques pendant plusieurs jours. Si vous choisissez d'utiliser ou d'accepter des tunnels, vous devez en comprendre les risques.

Le GRE expliqué 

Pour expliquer ce qu'est un tunnel GRE et comment il fonctionne, nous devons définir quelques termes essentiels. 

Tout protocole GRE est impliqué :

  • Nœuds : Un terminal qui peut accepter ou envoyer des informations (comme les ordinateurs, les routeurs, les imprimantes et les commutateurs) est un nœud. 
  • Paquets : Les informations envoyées d'un terminal à un autre sont divisées en paquets. 
  • l'en-tête : Chaque paquet contient un header contenant des informations sur l'expéditeur, le destinataire et l'ordre du message. 
  • Charge utile : La charge utile comprend le contenu important du message. 

Pendant le GRE, un paquet de données est essentiellement enveloppé dans un nouveau paquet. La charge utile ne change pas, mais le processus ajoute deux en-têtes.

  • Identification : Cette adresse header indique aux destinataires qu'ils ont affaire à un paquet GRE. 
  • Les instructions : Le deuxième site header contient des informations sur la source et le destinataire.

Une fois l'encapsulation terminée, le tunnelage GRE peut commencer. Il s'agit d'un formulaire de communication directe et protégée entre deux nœuds. Même si le paquet doit passer devant d'autres nœuds, il n'est jamais inspecté ou bloqué en cours de route. L'informatique se déplace rapidement vers la cible. 

Explication de la configuration d'un tunnel GRE 

Dans la plupart des cas, vous établirez un tunnel GRE en utilisant la configuration de votre routeur. Mais pour commencer, vous aurez besoin de deux informations. 

Les tunnels GRE s'appuient sur :

  • Votre adresse IP. Ce n'est pas la même chose qu'une adresse web conviviale (comme www.okta.com). Une adresse IP est composée de chiffres et de décimales. 
  • L'adresse IP de votre destinataire. Vous aurez besoin des mêmes données pour le nœud auquel vous souhaitez vous connecter. 

La norme GRE a été établie par le groupe de travail sur les réseaux en 2000. Les développeurs peuvent consulter ce document très technique et comprendre comment mettre en place un nouvel en-tête et configurer les messages pour qu'ils circulent sans interruption. 

Les protocoles GRE à l'œuvre : un exemple 

Beaucoup d'entre nous ont conclu des contrats avec des terminaux incompatibles. Par exemple, les utilisateurs de Google Nest qui ont des piles faibles ou des problèmes d'alimentation peuvent être confrontés à un problème d'incompatibilité. Généralement, la solution passe par l'achat de nouveaux équipements. Et s'il y avait une autre solution ?

Si vous connaissez l'adresse IP de votre serveur cible, vous pouvez reconfigurer votre routeur et envoyer vos messages, même si vous n'achetez jamais rien de nouveau pour faciliter le processus. 

En fait, vous ferez croire à votre terminal incompatible qu'ils peuvent s'entendre et communiquer comme de vieux amis. Vous envelopperez vos messages dans le code approprié et ne subirez aucun retard. 

Prenons un exemple simpliste pour décrire comment cela fonctionne. Vous avez un paquet attaché à l'arrière de votre vélo que vous devez apporter au bureau de poste de l'autre côté de la rivière. Malheureusement, il n'existe pas de pont et votre vélo ne peut pas traverser l'eau. Mais vous pouvez mettre votre vélo sur un ferry. Cela ne signifie pas qu'il faille changer de forfait ou de vélo. Vous emballez simplement votre paquet dans un autre système pour le voyage.

Les protocoles GRE en informatique fonctionnent à peu près de la même manière (avec beaucoup plus de codage, bien sûr). 

GRE et autres systèmes de réseau 

Les règles relatives aux paquets sont nombreuses et répandues. Parfois, la mise en œuvre d'un tunnel GRE implique d'aller à l'encontre de certains de ces protocoles. 

Par exemple, une unité de transmission maximale (MTU) est définie au niveau du terminal et détermine la taille d'un paquet. La taille maximale d'un segment (MSS) mesure la taille de la charge utile. 

Passez par le processus d'encapsulation GRE et vous ne changerez pas la taille de votre charge utile. Mais vous ajouterez deux en-têtes, ce qui pourrait signifier que vous violez les règles MTU. Vos paquets propres et reconditionnés peuvent être détruits avant d'être livrés. 

Attaques d'encapsulation GRE : définition et défense 

Le protocole GRE permet à un terminal de communiquer avec un autre, en contournant les systèmes de filtrage ouverts. Les hackers adorent ce genre d'installations. Avec un peu de bricolage, ils peuvent mettre en place un déni de service distribué (attaque DDoS) qui fait planter vos serveurs et vous met hors ligne. 

En 2016, par exemple, un pirate informatique a utilisé GRE pour attaquer le site web des Jeux olympiques de Rio. Ils espéraient faire planter le serveur, empêchant ainsi les gens de regarder les matchs sur leur terminal. Le Brésil et le Comité international olympique (CIO) ont réussi à maintenir les systèmes opérationnels, même si le trafic des pirates a atteint 540 Gb par seconde au plus fort de l'attaque. 

Les techniques de masquage ne sont pas disponibles pour les tunnels GRE. le pirate doit divulguer son adresse IP d'origine. N'importe quel technicien en sécurité, voyant autant de trafic provenant d'une seule source, bloquerait simplement cette adresse pour qu'elle ne puisse plus envoyer quoi que ce soit. 

Les pirates informatiques contournent ce problème en déployant un réseau de zombies. Des centaines de milliers de terminaux infectés, généralement connectés par le biais d'un achat effectué sur l'internet, pointent leurs paquets vers une cible. Une attaque de ce type est massive et il est très difficile de l'arrêter. 

Vos méthodes de défense contre une attaque DDoS provenant de GRE sont les mêmes que celles que vous utiliseriez pour toute autre attaque botnet. En substance, votre tâche consiste soit à augmenter votre capacité pour gérer le trafic supplémentaire, soit à réduire votre accès pour diminuer le nombre de paquets qui peuvent arriver dans votre direction.

Nous avons rédigé un site playbook à l'intention des développeurs, qui contient des idées sur la manière de lutter contre les attaques DDoS. Si vous cherchez de l'aide, commencez ici.

Références

Encapsulation de routage générique. (mars 2000). Groupe de travail en réseau. 

Routeurs WiFi incompatibles avec les produits Nest. Aide Google Nest. 

Comment une attaque DDoS massive de 540 Gb/Sec n'a pas réussi à gâcher les Jeux olympiques de Rio. (septembre 2016). L'état de la sécurité.

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter