Skip to content
PortsDB

Référence des ports

Port 179 (TCP) – BGP

Border Gateway Protocol — le protocole de routage extérieur qui échange l'accessibilité entre systèmes autonomes.

tcpWell-knownSouvent attaqué

État par défaut

Ouvert entre pairs BGP configurés (routeurs, serveurs de routes, fabric d'IXP). Ne devrait jamais être joignable depuis des hôtes Internet arbitraires.

Attaques courantes

  • Détournement de préfixes / de routes (annonce de routes que l'on ne possède pas)
  • Reset de session par TCP RST et détournement de session
  • Messages UPDATE usurpés ou malformés pour faire battre ou empoisonner les routes
  • DoS contre l'écouteur BGP pour faire tomber les sessions de peering

Durcissement

  • Authentifier les sessions avec TCP-MD5 ou TCP-AO entre pairs
  • Imposer GTSM (sécurité TTL / contrôle du nombre de sauts) sur l'écouteur
  • Filtrer les préfixes avec des prefix-lists basées sur l'IRR et des limites max-prefix
  • Déployer la validation d'origine de route RPKI (ROV) pour rejeter les origines illégitimes
  • Filtrer le port par ACL pour que seules les IP des pairs connus atteignent TCP/179

Commande nmap

nmap -p179 --script bgp-routing <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui tourne sur le port 179

Le port 179 est le port TCP enregistré pour BGP (Border Gateway Protocol), le protocole qui assemble Internet en échangeant l'accessibilité de routage entre systèmes autonomes (AS). Les pairs ouvrent une session TCP/179, échangent leurs préfixes connus et envoient en continu des messages UPDATE incrémentaux à mesure que les routes changent. Il fonctionne entre routeurs de bordure des FAI, routeurs multihomés d'entreprise, serveurs de routes et fabrics des points d'échange Internet.

Pourquoi c'est important pour la sécurité

BGP n'a quasiment aucune authentification native de ce qu'un pair est autorisé à annoncer ; il fonctionne donc sur la confiance. Une annonce malveillante ou détournée peut rediriger, blackholer ou intercepter le trafic de réseaux entiers. Comme la session circule sur du TCP en clair, elle est aussi vulnérable aux resets de session et à l'usurpation si l'écouteur est joignable ou si les pairs ne sont pas authentifiés.

Comment c'est attaqué

La menace phare est le détournement de préfixes — un AS annonçant des routes qu'il ne possède pas pour attirer ou intercepter le trafic. Au niveau session, les attaquants tentent l'injection de TCP RST pour casser le peering, le détournement de session, ou des flots de messages UPDATE malformés pour faire battre et empoisonner les routes. Un écouteur exposé peut aussi simplement être visé par un DoS pour casser le peering.

Liste de durcissement

Authentifiez chaque session avec TCP-MD5 ou TCP-AO et imposez la sécurité GTSM/TTL pour que les usurpateurs hors chemin ne puissent atteindre la session. Appliquez des prefix-lists strictes issues des données IRR et des limites max-prefix, et déployez la validation d'origine de route RPKI pour écarter les origines illégitimes. Filtrez TCP/179 par ACL aux seules IP des pairs connus. Le script nmap ci-dessus sonde BGP sur les équipements que vous êtes autorisé à tester.

Ports liés

Port 22Port 520Port 646Port 3784

Questions fréquentes

Faut-il exposer le port 179 à Internet ?
Non. BGP ne devrait accepter de connexions que depuis des adresses de pairs explicitement configurées. Restreignez TCP/179 par ACL et authentifiez les sessions ; un écouteur ouvert invite au peering usurpé et au DoS.
Qu'est-ce qui arrête le détournement de routes BGP ?
La validation d'origine de route RPKI (ROV), un filtrage strict de préfixes basé sur l'IRR et des limites max-prefix rejettent les annonces de réseaux non autorisés à originer un préfixe.