© istockphoto.com/Agustinc, © istockphoto.com/pop_jop
Das Border Gateway Protocol: ungeschützt und daher ein leichtes Ziel für Angriffe

BGP - so gefährdet wie nie


Die Sicherheitsforscher haben in mehreren Vorträgen auf Schwachstellen und mögliche Angriffe hingewiesen, und auch „in the Wild“ wurde das BGP bereits angegriffen – oder meist vielleicht eher misshandelt.

Wenn sich auf einer Sicherheitskonferenz drei Vorträge um die gleiche Technologie drehen, muss damit ja wohl was im Argen liegen, vor allem, wenn die Vortragenden nichts miteinander zu tun haben und die Themen so breit gestreut sind wie in diesem Fall: ein Überblick über den Stand der Sicherheit, ein neuer Angriff und eine Möglichkeit zum Erkennen von Angriffen – das passt ja sehr gut. Bevor es losgehen kann, ist aber ein kleiner Überblick über das Border Gateway Protocol (BGP) angebracht.

Das Border Gateway Protocol (BGP)

Das Internet besteht aus vielen autonomen Systemen (AS), die selbst wiederum aus mehreren Teilnetzen bestehen können und unter der Kontrolle zum Beispiel eines ISP, eines Unternehmens oder einer Universität stehen. Jedem autonomen System wird von der Internet Assigned Numbers Authority (IANA) über deren Regional Internet Registries (RIR) – zum Beispiel RIPE für Europa, den Nahen Osten und Zentralasien – eine eindeutige AS-Nummer (Autonomous System Number, ASN) zugewiesen. Dazu muss es aber mit mindestens zwei anderen AS verbunden sein. Für das Routing zwischen den autonomen Systemen (Inter-AS-Routing) wird ein Exterior-Gateway-Protokoll (EGP) verwendet. Das einzige derzeit eingesetzte EGP ist das Border Gateway Protocol (BGP).

Jedes AS ist mit einem oder mehreren weiteren AS verbunden. Die Beziehungen unterscheiden sich je nach Status des anderen AS:

  • Zahlt ein AS Geld, damit es über eine direkte Leitung („Link“) zu unserem AS Daten mit uns und über uns mit dem Internet austauschen kann, wird es als Kunde („Customer“; „Downstream“) bezeichnet.

  • Das AS, das wir bezahlen, damit unser AS über eine direkte Leitung Daten mit ihm und über es mit dem Internet austauschen kann, wird als Provider („Upstream“) bezeichnet.

  • Zwei AS, die ähnlich groß/angebunden/... sind, können die Berechnung des Datenaustauschs auch übergehen. Wenn sowieso jeder dem anderen das Gleiche zahlen würde, kann man schließlich auch auf die Zahlung und vor allem den damit verbundenen Aufwand für die Abrechnung verzichten. Da es dann weder Kunden noch Provider gibt, werden diese AS als Peers bezeichnet, der Datenaustausch unter ihnen als Peering.

Damit ein Server im Internet gefunden werden kann, muss eine Route zu ihm bekannt sein. Zwischen den AS werden die Routing-Inf...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang