Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Sicherheit des BGP-Protokolls.

  • Печать
Обновлено 01.10.2025 11:23

Ich denke, es ist jedem klar, dass das Internet anfällig für Angriffe mit Routingprotokollen ist und das BGP-Protokoll in diesem Sinne keine Ausnahme darstellt. Fehlerhafte, falsch konfigurierte oder absichtlich verzerrte Routeninformationen können das Internet erheblich beeinträchtigen, indem falsche Routeninformationen in die mit BGP verteilten Routendatenbanken eingefügt werden (durch Ändern, Ersetzen oder Wiederverwenden von BGP-Paketen). Es gibt auch einige Methoden, um das Netzwerk insgesamt zu stören, indem die Kommunikation im Informationsaustausch zwischen BGP-Knoten unterbrochen wird. Falsche Informationsquellen können sowohl externe Hosts (Outsider) als auch legitime BGP-Knoten sein.

Im BGP-Protokoll ist keine kryptografische Authentifizierung für die Kommunikation zwischen Partnern vorgesehen. Das BGP-Protokoll kann, wie der TCP/IP-Stack, als Ziel für alle Netzwerkangriffe dienen, über die wir in früheren Beiträgen gesprochen haben. Jeder Drittanbieter kann plausible BGP-Nachrichten in die Kommunikation zwischen den BGP-Partnern aufnehmen und daher falsche Routen in Tabellen einfügen oder die Verbindung zwischen den Partnern abbrechen. Jede Unterbrechung der Kommunikation zwischen den Partnern führt zu einer Änderung des verteilten Routingmusters. Darüber hinaus können externe Knoten auch Verbindungen zwischen BGP-Partnern trennen und TCP-Sitzungen mit falschen Paketen für sie unterbrechen. Externe Quellen falscher BGP-Informationen können sich überall im Internet befinden.

Die Notwendigkeit, den Authentifizierungsmechanismus zu unterstützen, bedeutet noch nicht, dass er in der Praxis verwendet wird. Der Authentifizierungsmechanismus basiert also auf der Verwendung eines vordefinierten, gemeinsam genutzten Geheimnisses (Shared Secret, ein gemeinsames Passwort, das alle Kommunikationsteilnehmer verwenden müssen) und enthält keine IPSec-Funktionen, um dieses Geheimnis dynamisch auszuhandeln. Daher muss die Verwendung der Authentifizierung eine bewusste Lösung sein und kann nicht automatisch oder standardmäßig aktiviert werden.

Die aktuelle BGP-Spezifikation ermöglicht es Protokollimplementierungen auch, Verbindungen von nicht in der Konfiguration angegebenen Partnern zu akzeptieren. Es fehlt jedoch eine klare Definition von «nicht in der Konfiguration angegeben" in der Spezifikation

partner" oder Möglichkeiten, die Authentifizierung für solche Fälle zu verwenden.

Die BGP-Knoten selbst können falsche Wegbeschreibungen enthalten, indem sie sich als ein anderer legitimer BGP-Knoten tarnen oder Wegbeschreibungen in ihrem eigenen Namen senden, ohne dass sie dazu berechtigt sind. Es gab Fälle, in denen fehlerhafte oder fehlerhafte Router zu schweren Störungen im Internet führten. Legitime BGP-Knoten haben Kontext und Informationen, um plausible, aber falsche Routendaten zu erstellen, und können daher zu schwerwiegenden Verstößen führen. Der kryptografische Schutz und der Schutz funktionierender Geräte erlauben es nicht, falsche Informationen von einem legitimen Partner auszuschließen, da in diesem Fall alle Verschlüsselungsanforderungen eingehalten werden. Das Risiko von Verstößen, die von legitimen BGP-Partnern verursacht werden, ist real und muss unbedingt berücksichtigt werden. Mit anderen Worten, verlassen Sie sich nicht vollständig auf benachbarte Anbieter, Sie müssen zusätzliche Einstellungen vornehmen, die in den folgenden Beiträgen besprochen werden.

Bei der Übermittlung falscher Routeninformationen können verschiedene Probleme auftreten. Wenn beispielsweise falsche Daten die korrekten Routeninformationen für ein bestimmtes Netzwerk löschen, ist diese möglicherweise für den Teil des Internets, der die falschen Daten akzeptiert hat, nicht mehr verfügbar. Und wenn falsche Informationen die Route zum Netzwerk ändern, können die an dieses Netzwerk adressierten Pakete auf einem nicht optimalen Pfad weitergeleitet werden, was wiederum zu finanziellen Verlusten für den Anbieter führen kann. Außerdem entspricht der Versandpfad nicht der erwarteten Richtlinie oder der Datenverkehr geht einfach verloren. Dadurch kann der Datenverkehr zu diesem Netzwerk auf einer Strecke verzögert werden, die länger ist als erforderlich. Das Netzwerk ist möglicherweise für Bereiche, die falsche Daten angenommen haben, nicht verfügbar. Der Datenverkehr kann auch auf einem Pfad geleitet werden, auf dem die Daten unerwünscht angezeigt oder verzerrt werden können. Zum Beispiel mit einem Sniffer, über den wir bereits gesprochen haben. Wenn falsche Informationen zeigen, dass ein Offline-System Netzwerke enthält, die nicht wirklich darin enthalten sind, werden die Pakete für diese Netzwerke möglicherweise nicht aus Teilen des Internets geliefert, die falsche Informationen angenommen haben. Falsche Ankündigungen, dass Netzwerke offline sind, können auch dazu führen, dass aggregierte Adressblöcke in anderen Teilen des Internets fragmentiert werden und Routingprobleme für andere Netzwerke verursachen.

Wie Sie sehen können, gibt es ziemlich viele Probleme im Zusammenhang mit der Sicherheit des BGP-Protokolls. Welche Netzwerkstörungen können durch diese Angriffe auftreten?

Zu Verstößen aufgrund solcher Angriffe gehören die folgenden.

Verletzung von starvation (Paketverlust). Der an den Host adressierte Datenverkehr wird an einen Teil des Netzwerks weitergeleitet, der seine Übermittlung nicht sicherstellen kann, wodurch Datenverkehr verloren geht.

Verletzung von network congestion (Netzwerküberlastung). Es werden mehr Daten über einen Teil des Netzwerks gesendet, als das Netzwerk verarbeiten kann. Dies ist eine Art von Denial-of-Service-Angriff.

Blackhole-Verletzung (schwarzes Loch). Eine große Menge an Datenverkehr wird über einen einzigen Router weitergeleitet, der den erhöhten Datenverkehr nicht bewältigen kann und einen Teil, die meisten oder alle Pakete wegwirft.

Delay-Verletzung. Die an den Knoten adressierten Daten werden in einem längeren Pfad als üblich weitergeleitet. Diese Verletzung kann sowohl zu Verzögerungen bei der Datenübertragung führen, was besonders beim Streamen von Video- oder Audioinhalten auffällt, als auch zu Datenverlusten führen, da einige Pakete den Wert Time To Live, die Lebenszeit, aufgrund eines zu langen Weges ablaufen lassen können.

Verletzung von Looping (Schleifen). Die Daten werden in einem geschlossenen Pfad übertragen und werden niemals übermittelt.

Verletzung von eavesdrop (Abfangen). Die Daten werden über einen Router oder ein Netzwerk gesendet, der diese Daten nicht sehen soll, und die Informationen können bei einer solchen Weiterleitung angezeigt werden. In der Regel leiten Angreifer bei solchen Verstößen gezielt Datenverkehr durch ein Netzwerksegment, das sie abhören können. In der Regel werden auf diese Weise vertrauliche Informationen über Kreditkarten, Passwörter, Zugangscodes usw. abgerufen.

Verletzung der Partition (Partitionierung des Netzwerks). Einige Teile scheinen vom Netz getrennt zu sein, obwohl dies nicht der Fall ist. Infolge dieser Verletzung wird möglicherweise kein Datenverkehr durch Teile geleitet, was sich negativ auf das gesamte Netzwerk auswirkt.

Cut-Verletzung. Einige Teile des Netzwerks scheinen vom Netzwerk abgeschnitten zu sein, obwohl sie tatsächlich verbunden sind. Ähnlich wie bei einem früheren Verstoß kann es sein, dass einige Teile nicht durch den Verkehr geleitet werden.

Störung der Churn (Welle). Die Geschwindigkeit der Übermittlung an das Netzwerk ändert sich schnell, was zu erheblichen Veränderungen im Paketlieferungsmuster führt (und den Betrieb des Sättigungskontrollsystems nachteilig beeinflussen kann).

Verletzung der Instabilität (Instabilität). Der Betrieb des BGP wird instabil und es kann keine Konvergenz des Routenmusters erreicht werden.

Überlastverletzung. BGP-Nachrichten werden selbst zu einem großen Teil des über das Netzwerk übertragenen Datenverkehrs.

Verletzung von resource exhaustion (Ressourcenverschöpfung). BGP-Nachrichten selbst verbrauchen zu viele Routerressourcen (z. B. Tabellenraum).

Verletzung von address-spoofing (falsche Adressen). Die Daten werden über einen Router oder ein Netzwerk weitergeleitet, die gefälscht sind und dazu dienen können, Informationen abzufangen oder zu verzerren. Dieser Verstoß ähnelt dem Verstoß gegen das Abfangen.

Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.

Telegramm-Kanal: https://t.me/datenschutzmit

Die Gruppe im Telegramm: https://t.me/datenschutzmit1

Website: https://legascom.ru

E-Mail: online@legascom.ru

#informationssicherheit #informationssicherheit

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.