Pavel Ignatov - Fotolia

F

Wie BGP-Hijacking erkannt und verhindert werden kann

Mit BGP-Hijacking manipulieren Angreifer Routing-Tabellen im Internet, so dass sie Datenpakete abfangen, verändern oder verschwinden lassen können.

Jedes Gerät, dass mit dem Internet verbunden ist, erhält eine eindeutige IP-Adresse, mit der es identifiziert und erreicht werden kann. Wenn zwei Geräte miteinander über das Internet kommunizieren wollen, werden ihre Pakete von einem Router zum nächsten gesendet, bis sie ihre Ziel-IP-Adresse erreicht haben. Router verwenden Routing-Tabellen, um herauszufinden, wohin sie die Pakete als nächstes senden sollen.

Das Border Gateway Protocol (BGP) ist das De-facto-Standardprotokoll zum Austausch von Routing-Informationen. Individuelle IP-Adressen werden dabei zu so genannten Präfixen zusammengefasst. Stellen beziehungsweise Organisationen, die mehrere dieser Präfixe verwalten, nennt man autonome Systeme (AS). Beispiele für autonome Systeme sind große TK-Anbieter wie Sprint, Verizon und AT&T, die von der IANA (Internet Assigned Numbers Authority) jeweils ihre eigenen IP-Bereiche erhalten haben.

Andere Protokolle wie TCP und UDP werden genutzt, um Daten zu übertragen. Aber es ist BGP, das die Routing-Tabellen auf dem aktuellen Stand hält und den Pfad festlegt, auf dem sich Daten zwischen ihrer Quelle und ihrem Ziel bewegen. Wenn Daten jedoch an ein falsches Ziel gesendet werden, spricht man von BGP-Hijacking, IP-Hijacking, Präfix-Hijacking oder auch Routing-Hijacking.

BGP-Hijacking tritt absichtlich oder unabsichtlich auf, weil neue Routing-Daten fast ohne Überprüfung übernommen werden. Ein unabsichtlicher IP-Hijack wird gelegentlich auch als IP-Leak bezeichnet. Zu jedem beliebigen Zeitpunkt gibt es mehrere tausend falsche Präfix-Informationen im Internet. Die Gründe dafür sind meist menschliche Fehler bei der Konfiguration der Router, die zu unerwarteten Routing-Pfaden führen. Zum Beispiel beeinträchtigte vor einiger Zeit ein von BGPmon aufgedeckter Vorfall mehrere tausend Netzwerke in Indien.

Riskio BGP-Hijacking

Böswilliges BGP-Hijacking wird häufig als nicht besonders gefährlich eingestuft, weil es als schwierig auszuführen gilt. Es ist aber sowohl Cyberkriminellen als auch Regierungen gelungen, erfolgreich BGP-Hijacking durchzuführen. Ein Angreifer, etwa ein böswilliger AS-Administrator müsste dazu einen Edge-Router so konfigurieren, dass er Präfixes verwendet, die ihm nicht zugewiesen wurden.

Durch das Broadcasting der falschen Präfix-Informationen könnte der kompromittierte Router andere Router mit falschen Daten quasi vergiften, so dass sich die falschen Routing-Informationen nach und nach durch das Internet verbreiten. Das ermöglicht es dem Angreifer, ein Präfix zu übernehmen und anschließend Daten abzufangen, zu verändern oder schlicht verschwinden zu lassen. BGP-Hijacking kann außerdem als DOS-Waffe (Denial of Service) oder zum Spammen verwendet werden.

Diese Art von Angriffen ist schwer zu verhindern, weil das BGP-Protokoll keine Möglichkeiten vorsieht, die Echtheit der Routing-Informationen zu überprüfen. Firmen können diese Attacken nicht einfach alleine entschärfen, weil dies die Zusammenarbeit des gesamten Internets erfordert.

Internet Service Provider (ISPs) sollten alle Präfix-Informationen zunächst filtern, bevor sie sie an andere weiterleiten. Dadurch können sie sicherstellen, dass die Daten nur gültige Informationen enthalten. Viele machen dies jedoch nicht.

Auch ein kontinuierliches Überprüfen der AS-Pfade lässt sich nicht leicht selbst durchführen. Unternehmen können aber auf spezielle Monitoring-Dienste wie BGPmon von OpenDNS oder Radar von Qrator und Dyn zurückgreifen. Sie informieren Netzwerk-Administratoren über ungewöhnliche Änderungen ihrer Präfixe.

Um das zugrundeliegende Problem von BGP jedoch zu lösen – das stillschweigende Vertrauen zwischen den verschiedenen autonomen Systemen – arbeitet die Internet Engineering Task Force (IETF) an BGPsec (Border Gateway Protocol Security). Diese Erweiterung für BGP soll die Sicherheit beim BGP-Routing verbessern. So soll etwa die Überprüfung von Routing-Informationen durch ein Public-Key-Infrastruktur-Framework namens Resource Public Key Infrastructure (RPKI) erleichtert werden.

Mittels Route Origination Authorization soll es außerdem möglich sein, nur noch bestimmten AS zu erlauben, Präfixe für ihre Adressen zu vergeben. Das ermöglicht es Routern, zu überprüfen, ob eine bestimmte Route wirklich von einem berechtigten AS stammt. RPKI befindet sich jedoch noch immer im Entwurfsstadium und ist deswegen noch nicht sehr weit verbreitet. Wenn es jedoch erst einmal so weit ist, wird IP-Hijacking deutlich leichter entdeckt und verhindert werden können.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

BSI veröffentlicht Mindeststandard für sichere Webbrowser

Browsersicherheit: Angriff auf HTTPS per HEIST

Forbidden Attacks: Gefahr für HTTPS-Verbindungen

HTTP Public Key Pinning: Ist Firefox sicher ohne diese Funktion?

Artikel wurde zuletzt im Mai 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Sicherheit von Webanwendungen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close