Seite 4: IGRP und EIGRP

Inhaltsverzeichnis

IGRP und EIGRP

Das heute sehr verbreitete Enhanced IGRP (EIGRP) ist der Nachfolger des weniger populären Interior Gateway Routing Protocol. IGRP führte mehrere neue Parameter ein. Allen voran kann es zwischen 2¹⁶ verschiedenen autonomen Systemen unterscheiden, was die logische Trennung von Netzwerken sehr vereinfacht. Des weiteren trifft es Routing-Entscheidungen nicht mehr nur nach der Menge der Hops, sondern auch nach der Paketlaufzeit, Bandbreite, Verfügbarkeit und Auslastung einer Verbindung. Wenn ein Protokoll solche Werte in seine Routing-Entscheidung einbezieht, spricht man von "Link State Routing". Unglücklicherweise ist IGRP eine Cisco-Erfindung und der Algorithmus für die Bewertung dieser Information (DUAL) wurde nicht veröffentlicht, sodass nur Cisco-Router damit umgehen können.

Im Unterschied zu seinem Vorgänger folgt EIGRP einem anderen Konzept, was die teilnehmenden Router angeht. Wer hier mitreden will, muss sich als Nachbar in einem autonomen System einfinden und seine Präsenz den anderen Routern bekannt geben. Weiterhin unterstützt EIGRP eine Authentifizierung mittels eines Passworts und eines MD5-Hash. Da dieses Protokoll aber genau auf Grund seiner einfachen Handhabung so beliebt ist, wird dieses Feature fast nie eingesetzt.

Genau wie RIP arbeitet EIGRP über Multicast - der Angreifer sieht also immer noch, wer welche Informationen sendet, und kann sich darauf einstellen. Selbst wenn ein Angreifer den Verkehr in einem autonomen System nicht mitlesen kann, hat er die Möglichkeit, an die Informationen zu kommen: Er führt wie bei Portscans eine Iteration über alle autonomen Systeme durch und sendet ein HELO-Paket an einen teilnehmenden Router. Antwortet ein Router auf eine Nummer, ist er für die Teilnahme an diesem AS konfiguriert. Tools wie der Autonomous System Scanner [4] finden abhängig von der Netzwerkkonfiguration das AS auch von entfernten Netzen heraus, da Cisco-Router in der IOS-Version 11.x auch EIGRP an Unicast-Adressen akzeptieren.

Die Schwachstellen bleiben die gleichen wie schon bei ICMP-Redirects. Der Angreifer verändert die Pfade, auf denen die Pakete durch das Netz geschleust werden. Dabei muss er die falschen Informationen bei einem EIGRP- oder RIP-Netzwerk nur ein- oder zweimal in der Minute senden, und das auch nur zu den nächsten Routern. Diese sorgen dann dafür, dass die Information im gesamten Netzwerk verbreitet wird.

Erschreckenderweise sind globale EIGRP-Netzwerke durchaus verbreitet. Viele Unternehmen haben historisch gewachsene, weltweite Infrastrukturen. Wenn ein Mitarbeiter in Asien auf die Idee kommt, ein paar EIGRP-Pakete an seinen lokalen Router zu senden, kann er damit womöglich das gesamte Netzwerk weltweit schädigen.

EIGRP wurde entwickelt, um die Zeit zum Erreichen so genannter Konvergenz zu minimieren. Das ist der Zustand, in dem alle Router im Netzwerk über die besten Routen einer Meinung sind. Trotzdem braucht es bei einem globalen oder auch nur nationalen Netz eine gewisse Zeit, bis sich alle Router untereinander abgeglichen haben und das Netz eingeschwungen ist. Währenddessen sind einige Router auf dem neuen, andere auf dem alten Stand und es entstehen schnell so genannte Routing-Loops, bei denen Pakete von einem zum anderen Router hin und her gesendet werden, da beide der Meinung sind, der andere ist zuständig.

Genau das Zeitfenster bis zum Erreichen der Konvergenz kann ein Angreifer leicht ausnutzen, um ein komplettes Netzwerk abzuschalten. Dazu muss er in diesem Zeitfenster lediglich weitere, einander widersprechende Routing-Informationen senden. Dadurch erreicht er, dass das gesamte Netzwerk nur noch mit der Neuberechnung von Routen beschäftigt ist und Pakete auf dem Weg von A nach B wahllos ihre Richtung ändern. Besonders schlimm ist dieses Szenario, wenn die Routen aus einem automonem System gemäß EIGRP in andere Routing-Protokolle wie OSPF oder BGP4 weiterverteilt werden.

Open Shortest Path First (OSPF) ist ein weiteres IGP, bei dem das Konzept der autonomen Systeme durch eine hierarchische Struktur von so genannten Areas verbessert wurde. Eine Area enthält mehrere Router, die sich via OSPF an die gleiche Datenbank über Routing-Informationen halten. Es kann in einem OSPF-Netz bis zu 2³² verschiedene Areas geben. Area 0 ist dabei die Backbone Area, das Herzstück der gesamten Hierarchie.

OSPF wird mit einem endlichen Zustandsautomaten auf Routern implementiert. Ein neuer Nachbar muss zuerst den entsprechenden Zustand erreichen, bevor er bei den Routing-Informationen mitreden darf. Des Weiteren gibt das Vorhandensein aller Routing-Informationen auf allen Routern einer Area eine gewisse Sicherheit gegen Falschinformationen. Zusätzlich unterstützt OSPF standardmäßig eine Authentifizierung mittels Klartextpasswort oder MD5-Hash. Im Unterschied zu EIGRP wird OSPF-Authetifizierung in Netzwerken häufiger eingesetzt.

Ein Angreifer kann in der Theorie genauso vorgehen wie bei RIP und EIGRP. Da er sich hierfür zumindest in der OSPF-Multicast-Domain befinden muss, stellt ein Klartextpasswort keinen besonderen Schutz dar -- der Angreifer kann es einfach aus den herumgesendeten Paketen auslesen. Ansonseten muss er sich, wie schon bei EIGRP, den anderen Routern anschließen. Im Unterschied zu anderen Routing-Protokollen ist es hier aber schwieriger, existierende Routen durch niederigere Metrik zu überlagern. Sind die anderen Router in der Area nicht derselben Meinung, so werden die falschen Routing-Informationen auch schon mal kollektiv angezweifelt und damit verworfen. Neue Routen hinzuzufügen, ist allerdings kein Problem.

Die Komplexität von OSPF in größeren Netzten ist zuweilen ein guter Schutz vor weniger talentierten Angreifern. Auf der anderen Seite hat dieselbe Komplexität auch oft schlecht konfigurierte OSPF-Netze zur Folge, sodass es dem Angreifer leichter gemacht wird. Dies ist zum Beispiel der Fall, wenn alle OSPF-Router in einer großen Area vereint sind [5].