Artur Marciniec - Fotolia
Welche Maßnahmen helfen gegen BGP Route Hijacking?
Das Border Gateway Protocol bietet nur wenig Schutz vor der Manipulation von Routen im Internet. Angreifer haben dadurch die Möglichkeit, Nutzer umzuleiten und auszuspionieren.
Das renommierte National Institute of Security and Technology (NIST) hat 2017 einen Bericht veröffentlicht, in dem beschrieben wird, wie ein sicheres Routing zwischen Domänen im Internet durch das so genannte Route Hijacking gefährdet wird. Das Dokument beschreibt detailliert, wie und warum das Border Gateway Protocol (BGP) anfällig gegen Route Hijacking ist. Einer der genannten Gründe ist ein fehlender Mechanismus, mit dem Routing-Daten authentifiziert werden können.
Im Folgenden wird gezeigt, wie BGP Route Hijacking funktioniert, welche Auswirkungen dies auf Unternehmen hat und welche Tipps das NIST gibt, um der Gefahr entgegenzutreten.
Das Border Gateway Protocol ermöglicht es Routern und Gateways, Daten über Traffic-Routen im Internet auszutauschen und so aktuell zu halten. Diese Routen werden dazu verwendet, um Pakete über so genannte Autonome Systeme (AS) beziehungsweise Routing-Domänen zu senden und zu empfangen.
Internet Service Provider (ISPs) setzen das BGP-Protokoll ein, um Informationen über aktuell zur Verfügung stehende Routen mit anderen ISPs auszutauschen. Insbesondere Provider und andere Organisationen, die sich um das Backbone-Routing im Internet kümmern, sind deswegen angewiesen auf BGP. Nur damit erhalten sie aktuelle und akkurate Routing-Daten.
Schwachstelle in BGP
Ein AS muss anderen autonomen Systemen vertrauen können, um verlässliche Daten über Routen zu bekommen. Genau hier gibt es jedoch eine ernste Schwachstelle in BGP. So wurde noch kein Mechanismus implementiert, der das Hijacking von BGP-Routen verhindern könnte. Angreifer können relativ leicht über den gesamten Backbone gefälschte Routen von einem Router zum nächsten verbreiten.
BGP bietet keine Möglichkeit, um echte von gefälschten Routing-Daten zu unterscheiden. Das führt unter anderem dazu, das instabile und ineffiziente Routen im Internet entstehen und Daten deutlich länger als eigentlich nötig brauchen, um ihr Ziel zu erreichen.
Noch schlimmer ist, dass Angreifer Routen auch manipulieren können, um zum Beispiel Besucher auf eine gefälschte Webseite umzuleiten, um fremden Datenverkehr zu überwachen, um Man-in-the-Middle-Attacken auszuführen oder um Anwendern den Zugriff auf einzelne Seiten oder sogar das gesamte Internet zu versperren.
Das Hijacking und Einschleusen gefälschter Routing-Daten lässt sich bislang nicht wirklich effektiv stoppen. Selbst lokal gültige Richtlinien innerhalb eines autonomen Systems können nicht verhindern, dass sowohl legitime als auch gefälschte Routen als gleichwertig angesehen werden.
Das NIST schlägt in seinem Report den Einsatz einer Technik namens BGP Route Origin Authorization vor. Sie gehört zur Resource Public Key Infrastructure, mit der sich das Inter-Domain-Routing im Internet gegen BGP Route Hijacking schützen lassen soll. Diese Protokolle sollen sicherstellen, dass nur validierte Daten übermittelt und genutzt werden. Die Routen müssen also zunächst authentifiziert werden, bevor sie umgesetzt werden.
Der NIST-Report ist ein erster Schritt in der Entwicklung der neuen Special Publication SP 800-189. In ihr will die Organisation weitere Empfehlungen sammeln und veröffentlichen, um sichere Routing-Techniken für das Internet und dabei genutzte Protokolle wie BGP zu fördern.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!