© istockphoto.com/Agustinc, © istockphoto.com/pop_jop
Das Border Gateway Protocol: ungeschützt und daher ein leichtes Ziel für Angriffe

BGP - so gefährdet wie nie


Die Sicherheitsforscher haben in mehreren Vorträgen auf Schwachstellen und mögliche Angriffe hingewiesen, und auch „in the Wild“ wurde das BGP bereits angegriffen – oder meist vielleicht eher misshandelt.

Wenn sich auf einer Sicherheitskonferenz drei Vorträge um die gleiche Technologie drehen, muss damit ja wohl was im Argen liegen, vor allem, wenn die Vortragenden nichts miteinander zu tun haben und die Themen so breit gestreut sind wie in diesem Fall: ein Überblick über den Stand der Sicherheit, ein neuer Angriff und eine Möglichkeit zum Erkennen von Angriffen – das passt ja sehr gut. Bevor es losgehen kann, ist aber ein kleiner Überblick über das Border Gateway Protocol (BGP) angebracht.

Das Border Gateway Protocol (BGP)

Das Internet besteht aus vielen autonomen Systemen (AS), die selbst wiederum aus mehreren Teilnetzen bestehen können und unter der Kontrolle zum Beispiel eines ISP, eines Unternehmens oder einer Universität stehen. Jedem autonomen System wird von der Internet Assigned Numbers Authority (IANA) über deren Regional Internet Registries (RIR) – zum Beispiel RIPE für Europa, den Nahen Osten und Zentralasien – eine eindeutige AS-Nummer (Autonomous System Number, ASN) zugewiesen. Dazu muss es aber mit mindestens zwei anderen AS verbunden sein. Für das Routing zwischen den autonomen Systemen (Inter-AS-Routing) wird ein Exterior-Gateway-Protokoll (EGP) verwendet. Das einzige derzeit eingesetzte EGP ist das Border Gateway Protocol (BGP).

Jedes AS ist mit einem oder mehreren weiteren AS verbunden. Die Beziehungen unterscheiden sich je nach Status des anderen AS:

  • Zahlt ein AS Geld, damit es über eine direkte Leitung („Link“) zu unserem AS Daten mit uns und über uns mit dem Internet austauschen kann, wird es als Kunde („Customer“; „Downstream“) bezeichnet.

  • Das AS, das wir bezahlen, damit unser AS über eine direkte Leitung Daten mit ihm und über es mit dem Internet austauschen kann, wird als Provider („Upstream“) bezeichnet.

  • Zwei AS, die ähnlich groß/angebunden/... sind, können die Berechnung des Datenaustauschs auch übergehen. Wenn sowieso jeder dem anderen das Gleiche zahlen würde, kann man schließlich auch auf die Zahlung und vor allem den damit verbundenen Aufwand für die Abrechnung verzichten. Da es dann weder Kunden noch Provider gibt, werden diese AS als Peers bezeichnet, der Datenaustausch unter ihnen als Peering.

Damit ein Server im Internet gefunden werden kann, muss eine Route zu ihm bekannt sein. Zwischen den AS werden die Routing-Informationen über das BGP ausgetauscht.

Theoretisch geben alle AS über das BGP alle Netze bekannt, die sie erreichen können. In der Praxis sieht es etwas anders aus. Da für die übertragenen Daten außer zwischen Peers bezahlt werden muss, versuchen die AS-Betreiber natürlich, ihre Kosten möglichst gering zu halten und im Gegenzug möglichst viel einzunehmen.

Ein AS wird einem Kunden alle ihm bekannten Routen mitteilen, damit der Kunde möglichst viel Datenverkehr über das AS abwickelt. Einem Provider werden dagegen nur die Routen zu den eigenen Kunden mitgeteilt, damit sie erreichbar sind und das AS am Datenverkehr verdient. Die Routen zu Peers oder weiteren Providern werden dem Provider aber nicht mitgeteilt, damit er keine Daten über das AS austauschen kann, für die dieses dann zahlen müsste. Auch einem Peer werden nur die Routen zu den eigenen Kunden mitgeteilt, nicht die zu Providern. Die Routen zu anderen Peers werden einem Peer meist nur ungern übermittelt, da an den übertragenen Daten nichts verdient wird, sie aber das Netz des AS belasten.

Vertrauen Sie mir, ich weiß, was ich tue!

Das BGP basierte lange Zeit auf Vertrauen. Ob die Routen, die ein AS über das BGP verkündet, richtig sind oder nicht, ließ sich lange Zeit nicht prüfen. Ein Border-Router hatte keine Möglichkeit, festzustellen, ob ein eine Route verteilendes AS wirklich für den entsprechenden Adressbereich zuständig ist oder nicht. Dabei muss eine falsche Route nicht mal mit Absicht verbreitet werden: Schon ein simpler Tippfehler kann dazu führen, dass ein Router sich für Netze zuständig erklärt, zu denen er gar keine Verbindung hat. Inzwischen gibt es eine Prüfinfrastruktur, aber die ist noch nicht sehr weit verbreitet. Doch dazu später mehr.

Damit ein AS eine ASN erhält, muss es mit mindestens zwei anderen AS verbunden sein, meist sind es sogar mehr. Es führen daher meist mehrere Routen zum Ziel. Die Router müssen also entscheiden, welche davon sie wählen. Unter den oben beschriebenen Voraussetzungen bei der Verteilung der Routen liegt es nahe, immer die billigste Route zu wählen. Ein anderes mögliches Kriterium ist die Wahl möglichst spezifischer Routen. Gibt es eine Route zu einem kleinen /24-Netz und eine weitere zu einem großen /16-Netz, die beide die Zieladressen enthalten, würde dann die Route zum /24-Netz verwendet. Aber genug der Vorbemerkungen, kommen wir zu den Vorträgen von der Black Hat USA 2015.

Vortrag 1: Der Stand der BGP-Sicherheit

Der erste Vortrag stammt von Wim Remes und gibt einen Überblick über den aktuellen Stand der BGP-Sicherheit [1]. Nach einem sehr kurzen Blick auf das oben beschriebene Routing gab es eine Übersicht über die bekanntesten Vorfälle im Zusammenhang mit dem BGP:

  • 1997 – Der „AS 7007 Incident“ [2], [3], [4]: Ein Router des AS 7007 verbreitete am 25. April 1997 versehentlich einen großen Teil seiner Routing-Tabelle im Internet. Durch einen Fehler bekamen die Einträge ein /24-Präfix und waren dadurch spezifischer als die sonst im Internet üblichen Routen. Die meisten Router bevorzugten daher diese Routen und leiteten ihre Daten über AS 7007. Erschwerend kam hinzu, dass weitere Fehler dazu führten, dass die falschen Routen nicht verworfen wurden, nachdem der verantwortliche Router aus dem Netz genommen wurde. Die Folge war eine größere Störung im gesamten Internet.

  • 2008 – YouTube-Hijacking durch Pakistan Telecom [5], [6]: Am 24. Februar 2008 befolgte Pakistan Telecom eine Anweisung, YouTube in Pakistan zu sperren. Requests an YouTube sollten zu einem lokalen Server umgeleitet werden. Dazu wurden die Routertabellen manipuliert. Die manipulierte Route für YouTubes Präfix 208.65.153.0/24 wurde versehentlich an einen Upstream von Pakistan Telecom gesendet und von ihr ins Internet weitergereicht, sodass je nach Konfiguration Netzwerkverkehr für YouTube teilweise nach Pakistan umgeleitet wurde. Der Fehler wurde schnell korrigiert, und YouTube verbreitete spezifischere Routen, die bevorzugt wurden. Trotzdem war der Zugriff auf YouTube für ca. 80 Minuten gestört.

  • 2010 – Massen-Hijacking durch chinesischen ISP [7]: Am 8. April 2010 kündigte ein chinesischer ISP (wahrscheinlich versehentlich) rund 37 000 Routen für Präfixe an, für die er gar nicht zuständig war. Nur ca. zehn Prozent dieser Routen wurden außerhalb von China weiter verbreitet, darunter waren aber bekannte...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Gewinner-Teams

Wir bieten Lizenz-Lösungen für Teams jeder Größe: Finden Sie heraus, welche Lösung am besten zu Ihnen passt.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang