1.3.2 Dynamisches Routing

Wenn es Angreifern gelingt, gefälschte Routing-Informationen an Router zu senden, können die Routing-Tabellen verändert und der Datenverkehr somit umgeleitet werden. Das kann zum Mitschneiden des Verkehr oder zur Durchführung von DoSDenial of Service-Angriffen genutzt werden. Hierbei muss unterschieden werden zwischen dem Routing innerhalb von Netzen eines Dienstanbieters (bezeichnet als Autonomous System) und zwischen den Netzen von Dienstanbietern.

Für das interne Routing in einem Netz werden häufig die Protokolle OSPFOpen Shortest Path First, IS-ISIntermediate System to Intermediate System oder auch das Cisco-eigene Protokoll EIGRP genutzt. Beim OSPF-Protokoll können Passwörter zur Authentifikation benutzt werden. Diese Passwörter werden dann in der Praxis oftmals über lange Zeit nicht mehr verändert. Damit wird der Schutz, der durch das Passwort geboten wird, immer schwächer, da der Angreifer mehr Zeit und ggf. auf mehr aufgezeichneten Datenverkehr hat, das Passwort zu erraten.

Das bei ISPs häufig verwendete IS-IS Protokoll bietet in diesem Zusammenhang einen gewissen Schutz, da die Router untereinander mit einem komplett anderen Adressschema arbeiten. Dieses Protokoll ist nämlich eines der wenigen Protokolle aus der OSIOpen Systems Interconnection-Welt, welches auch weiterhin Relevanz hat. Daher werden an dieser Stelle OSI-Adressen verwendet. Technisch funktioniert es ansonsten sehr ähnlich wie OSPF.

Für das Routing zwischen Autonomen Systemen wird in der Praxis BGPBorder Gateway Protocol verwendet. Für dieses sind seit längerer Zeit Schwachpunkte bekannt, ohne dass Gegenmaßnahmen allgemein eingesetzt werden. Der wesentliche Schwachpunkt ist, dass die Routeninformatioen, die bekanntgegeben werden, nicht überprüft werden. Ein einzelner Anbieter, der dabei falsche Routeninformationen bekannt gibt, kann große Teile des Internets beeinflussen, wie ein Vorfall mit einem chinesischen Provider zeigte. Dass die Gefahren bzgl. BGP weiterhin bestehen, wird im einem Artikel von Zdnet.com dargestellt.

Im Jahr 2008 gab eine Situation, bei der die Regierung von Pakistan den Zugang zu Youtube im eigenen Land sperren wollte. Die technische Umsetzung durch die Pakistan Telecom hatte jedoch den Effekt, dass nicht nur der Zugang aus Pakistan nicht mehr möglich war, sondern auch weltweit. Eine wesentliche Rolle spielte in diesem Zusammenhang die Longest Prefix Matching-Regel von BGP, die besagt, dass spezifischere Routeneinträge gegenüber allgemeineren vorzuziehen sind. Pakistan Telecom hatte dabei Routeneinträge vorgegeben, die spezifischer waren als die von Youtube, so dass diese bevorzugt wurden. Youtube reagierte danach, indem man noch spezifischere bekannt gab, um den Verkehr wieder zu sich zu lenken. Erst später wurden die falschen Bekanntgaben zurückgenommen. Eine genaue Beschreibung der Entwicklung wird von RIPE angeboten.

Bei Privatpersonen oder kleinen Firmen, die nur über eine physikalische Leitung zu einem Provider an das Internet angebunden sind, ist diese Problematik nicht relevant. Hier wird das Routing statisch konfiguriert. Sobald die Internetkonnektivität für Organisationen aber sehr wichtig wird, verfügen diese oftmals über doppelte Netzanbindungen, so dass eine eigene Konfiguration von BGP notwendig wird, um den Datenverkehr lenken zu können.