Inhaltsverzeichnis

TR: Es gibt Sicherheitsexperten, die meinen, dass man in Sachen BGP-Unsicherheit bislang nur mit harmlosen Vorfällen zu kämpfen gehabt habe, die wirklich schlimmen Ereignisse und Manipulationen aber noch bevorstünden. Stimmen Sie dem zu?

Toonk: Die Gefahr, dass es BGP-Probleme großen Ausmaßes gibt, ist real. Die Tatsache, dass es keinen wirklich verlässlichen Weg gibt, die Routen-Ankündigungen zu überprüfen, ist sehr bedenklich. Das Problem ist allerdings nicht neu – die Möglichkeit, dass so etwas passiert, besteht seit den Anfangstagen des Netzes und einzelne Vorfälle gab es immer wieder.

Immerhin lassen sich Angriffe großen Ausmaßes relativ einfach erkennen, weil sie dann eine so starke Anomalie darstellen. Kleinere BGP-Attacken, bei denen ein einzelnes Netz oder ein einzelner IP-Bereich ins Fadenkreuz genommen wird, sind dagegen deutlich schwerer zu ermitteln – besonders dann, wenn der Angreifer weiß, wie er sich verstecken muss. So kann man beispielsweise die Herkunft verschleiern oder dafür sorgen, dass die Ankündigung nur in bestimmten geografischen Regionen erfolgt.

Es gibt aber auch noch andere Angriffsmöglichkeiten, etwa wenn sich eine böswillige Partei in den BGP-Datenverkehr einschaltet – mit Hilfe einer sogenannten Man-in-the-Middle-Attacke.

TR: Wie grundsätzlich vertrauenswürdig ist das BGP-Verfahren derzeit? Wird Verschlüsselung eingesetzt?

Toonk: Faktisch muss man sagen, dass der Begriff des Vertrauens in der Welt des BGP bislang nicht vorkommt. Es gibt keine Möglichkeit für einen BGP-Router, nachzuprüfen, ob das, was ein anderer ihm mitteilt, wirklich die Wahrheit ist. Aus diesem Grund glaubt ein BGP-Router einem anderen BGP-Router schlicht alles.

Zum Glück haben mittlerweile die meisten Provider spezielle Filter installiert, die sicherstellen sollen, dass nur solche Netzveränderungen akzeptiert werden, die darin vorgesehen sind. Diese Daten speisen sich normalerweise aus den Provider-Kunden-Informationen. Das hilft dabei, das Injizieren fehlerhafter Informationen in die BGP-Tabelle zu verhindern. Das Problem ist allerdings, dass nicht alle Netzwerke diese Filter nutzen oder sie auf Informationen basieren, die aus Datenbanken stammen, denen man wieder nicht vollständig vertrauen kann.

Was die Verschlüsselung anbetrifft, unterstützt BGP diese zwar, doch dies stellt nur sicher, dass der Informationsaustausch zwischen zwei Routern nicht belauscht oder verändert werden kann. Eine dritte, beteiligte Partei kann dann immer noch fehlerhafte Informationen einbringen – das passierte etwa im erwähnten Fall YouTube.

TR: Gab es Versuche, BGP sicherer zu machen? Wenn ja, wie weit sind die gediehen?

Toonk: Das Problem der fehlenden Vertrauenswürdigkeit hat man schon seit langem erkannt. Mit den Jahren gab es denn auch eine Anzahl von Initiativen, eine sichere Version von BGP zu schaffen. Eine der interessantesten Entwicklungen nennt sich "Resource Public Key Infrastructure" (RPKI). Diese Technik soll erlauben, nachzuvollziehen, ob ein AS wirklich die Erlaubnis hat, ein IP-Netz anzukündigen. Obwohl auch dies nicht alle möglichen Angriffsformen abdeckt, wäre das ein wichtiger Schritt hin zu mehr Sicherheit.

TR: Die Ereignisse im April stimmen einige Beobachter nachdenklich, weil sie ausgerechnet aus China kamen, das ihnen als Quelle vieler Hackangriffe gilt. Ist es möglich, solche potenziell "feindlichen" Netzwerke in Sachen BGP besser zu isolieren?

Toonk: Ich denke, man muss vor allem erst einmal feststellen, dass wir nicht wissen, ob dieser spezielle Vorfall wirklich beabsichtigt war. Bislang können wir das einfach nicht sagen. Ich persönlich glaube, dass es kein zielgerichteter Angriff war. Solche Dinge können, wie ich schon sagte, auch durch Fehlkonfigurationen vorkommen, nur dass in diesem Fall eben China der Auslöser war.

TR: Manipulationen des Internet-Adresssystems DNS kommen mittlerweile häufiger vor – etwa zwecks Verbreitung von Schadcode. Werden wir ähnliche Vorfälle über BGP sehen? Gibt es sie vielleicht schon?

Toonk: Es ist gut möglich, dass zielgerichtete Angriffe gegen einzelne Netzwerke schon jetzt mittels BGP erfolgen. Es gibt Methoden, mit denen man sie sehr gut verschleiern kann. Besonders, wenn der so "angesaugte" Datenverkehr einfach nur von dritter Seite aufgefangen, analysiert und möglicherweise nur leicht verändert wird, dann aber doch an sein Ziel gelangt, weil eine Weiterleitung besteht. Das Beste, was man als Administrator machen kann, ist die Verwendung von Analysewerkzeugen. Früherkennung ist das Allerwichtigste. (bsc)