Bundesamt für Sicherheit in der Informationstechnik

M 2.276 Funktionsweise eines Routers

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

In großen Netzen kann kaum auf den Einsatz von Routern verzichtet werden. Router werden sowohl in lokalen Netzen als auch in Weitverkehrsnetzen eingesetzt (siehe auch Baustein B 4.4 VPN ). Ohne den Einsatz von Routern wäre das Internet nicht funktionsfähig.

Router können gleichzeitig unterschiedliche Protokolle (z. B. IP, IPX) und Topologien (z. B. Ethernet, Token Ring, FDDI , ATM , Frame Relay, ISDN ) unterstützen. Dadurch sind Router in der Lage, lokale Netze nahtlos mit Weitverkehrsnetzen zu verbinden. Nicht zuletzt diese Funktion von Routern hat mit dazu beigetragen, dass sich das Internet in der Vergangenheit so rasch entwickeln konnte.

Ein Router übernimmt im wesentlichen zwei Aufgaben. Zum einen wird eine geeignete Verbindung zwischen dem Quellsystem beziehungsweise Quellnetz und dem Zielsystem beziehungsweise Zielnetz ermittelt und zum anderen werden Datenpakete entlang dieser Verbindung transportiert. Wenn das Zielsystem (Zielnetz) direkt an dem Router angeschlossen ist - d. h. Router und Zielsystem befinden sich im selben Subnetz - wird das vom Quellsystem gesendete Datenpaket direkt an das Zielsystem gesendet.

Wenn das Zielsystem (Zielnetz) nicht direkt am Router angeschlossen ist, sendet der Router das Datenpaket an einen benachbarten Router, der näher am Zielsystem (Zielnetz) angeschlossen ist, den sogenannten Next Hop. Der letzte Router in dieser Verbindungskette ist immer direkt am Zielnetz angeschlossen und sendet das Datenpaket zum Zielsystem.

Die Aufgabe eines Routers ist es, eintreffende Datenpakete entweder direkt an den adressierten Empfänger zu übergeben, oder in das nächste Netz weiterzuleiten. In welches Netz das Datenpaket weitergeleitet wird, wenn es nicht direkt zugestellt werden kann, entscheidet die sogenannte Routing-Metrik. Die Metrik ist ein Maß für die Qualität der Verbindung zwischen dem Sender bzw. dem Router und dem Ziel des Paketes. Mit ihrer Hilfe entscheidet der Router, an welchen Next Hop er das Paket weitergibt. Routing-Metriken beziehen sich nicht ausschließlich auf die Länge des Weges zwischen Sender und Empfänger, sondern können auch andere Merkmale, wie beispielsweise die Qualität der Leitungen, die Bandbreite oder die Auslastung in die Entscheidung mit einbeziehen. Welche Kriterien verwendet werden, ist von dem verwendeten Routing-Protokoll abhängig.

Die Routing-Informationen werden in sogenannten Routing-Tabellen verwaltet. Routing-Tabellen enthalten Informationen darüber, über welche benachbarten Router als Next Hop für bestimmte Zielnetze dienen können. Router treffen die Entscheidung, an welchen Next Hop ein empfangenes Datenpaket weitergegeben wird, ausschließlich auf Basis dieser Routing-Tabellen. Deswegen ist es besonders wichtig, diese Tabellen vor Manipulationen zu schützen. Es sind eine Reihe von Angriffen bekannt, welche die Manipulierbarkeit von Routing-Tabellen ausnutzen. In der folgenden Abbildung ist der Inhalt einer Routing-Tabelle beispielhaft dargestellt.

Ziel Next Hop Hop Count
210.23.125.98 210.23.122.4 3
  127.200.45.123 5
  203.2.67.187 8
... ... ...

Tabelle: Beispielhafter Ausschnitt aus einer Routing-Tabelle

In diesem Beispiel würde der Router ein Paket mit der Zieladresse 210.23.125.98 an den Next Hop 210.23.122.4 weiterleiten. Der sogenannte Hop Count gibt an, wie viele Zwischenstationen das Paket noch passieren muss, um sein Ziel über den betreffenden Next Hop zu erreichen. Sind für ein bestimmtes Ziel mehrere benachbarte Router als Next Hops verfügbar, so kann der Hop Count als eine Routing-Metrik verwendet werden, um den "günstigsten" Next Hop zu bestimmen. Auch beim Routing Protokoll RIP wird der Hop Count als Routing-Metrik verwendet.

Statisches und dynamisches Routing

Es wird in bezug auf das Routing zwischen statischem und dynamischem Routing unterschieden. Diese beiden Methoden unterscheiden sich hinsichtlich der Verwaltung der Routing-Tabellen.

Beim statischen Routing werden diese Tabellen manuell mit Hilfe von Systembefehlen gepflegt.

Beim dynamischen Routing erfolgt die Pflege der Routing-Tabellen automatisiert. Dies geschieht mit Hilfe von Routing-Protokollen. Hier wird noch einmal zwischen den Interior Gateway Protokollen (IGP) und den Exterior Gateway Protokollen (EGP) unterschieden. IGP wird innerhalb von Netzen verwendet, die unter eigener Administrationsverantwortung stehen. Die Zusammenfassung der unter eigener Verantwortung betriebenen Netze wird auch als Routing-Domäne bezeichnet. Mit Hilfe von EGP werden Routing-Informationen zwischen unterschiedlichen Routing-Domänen ausgetauscht.

Die folgende Abbildung stellt diesen Zusammenhang dar.

Die bekanntesten und standardisierten Routing-Protokolle sind das Routing Information Protocol (RIP), Open Shortest Path First (OSPF) und das Border Gateway Protocol ( BGP ), wobei es sich beim Border Gateway Protocol um ein Exterior Gateway Protokoll handelt. Erweitert werden diese Protokolle durch proprietäre Routing-Protokolle von unterschiedlichen Herstellern. Die bekanntesten Protokolle sind das Interior Gateway Routing Protocol (IGRP) und das Enhanced Interior Gateway Routing Protocol ( EIGRP ) des Herstellers Cisco.

Da Routing-Protokolle die Verwaltung von Routing-Tabellen automatisieren, haben Angreifer längst erkannt, Sicherheitslücken dieser Protokolle auszunutzen, um die Routing-Tabellen zu modifizieren und so Datenpakete umzuleiten oder ganze Netze außer Betrieb zu setzen (siehe G 5.51 Missbrauch der Routing-Protokolle ).

Bei der Implementierung eines dynamischen Routings zwischen Netzen ist in erster Linie auf die Sicherheitsfunktionen der verwendeten Routing-Protokolle zu achten (siehe M 5.112 Sicherheitsaspekte von Routing-Protokollen ). Der Administrator muss besonderen Wert auf die sichere Authentisierung der benachbarten Router beim Austausch von Routing-Tabellen legen. Es sollten nur Routing-Protokolle verwendet werden, die eine verschlüsselte Authentisierung beim Austausch von Routing-Tabellen unterstützen.

Der Aufwand der manuellen Pflege von Routing-Tabellen ist zu groß, um in komplexen Netzen auf dynamisches Routing verzichten zu können. Der Einsatz von dynamischem Routing ist vor der Inbetriebnahme unter dem Gesichtspunkt der Sicherheit zu bewerten.

Allgemein sollte in Netzen mit hohem Schutzbedarf nach Möglichkeit kein dynamisches Routing verwendet werden. Kann auf dynamisches Routing aus wichtigen Gründen nicht verzichtet werden, so sollten zumindest nur solche Routing-Protokolle verwendet werden, die eine sichere Authentisierung der beteiligten Geräte und eine gesicherte Übertragung der Routing-Informationen bieten.

In M 2.278 Typische Einsatzszenarien von Routern und Switches ist ein weiteres Szenario beschrieben, in dem vom Einsatz von Routing-Protokollen abgeraten wird.

Router als Paketfilter

Viele Router können auch für die Filterung von Datenpaketen verwendet werden, d. h. der Router wird als Paketfilter eingesetzt (siehe Baustein B 3.301 Sicherheitsgateway (Firewall) ).

Broadcast-Pakete werden von einem Router normalerweise nicht zwischen verschiedenen angeschlossenen Netzen transportiert. Hierdurch teilt der Router die angeschlossenen Netze in unterschiedliche Broadcast-Domänen auf.

Router verfügen allerdings meist noch über weitergehende Filterfunktionen. Beispielsweise können sogenannte Access Control Lists ( ACL ) konfiguriert werden. Der Router regelt anhand dieser Listen den Datenverkehr zwischen den beteiligten Netzen. Weitergehende Sicherheitsaspekte bei Access Control Lists sind in M 5.111 Einrichtung von Access Control Lists auf Routern zu finden.

Der Einsatz von Paketfiltern ist als alleinige Methode zur Kontrolle des Datenverkehrs zwischen Netzen mit einem unterschiedlichen Schutzbedarf meist nicht ausreichend. Mehr Informationen finden sich im Baustein B 3.301 Sicherheitsgateway (Firewall) beispielsweise in M 2.73 Auswahl geeigneter Grundstrukturen für Sicherheitsgateways und M 2.74 Geeignete Auswahl eines Paketfilters .

Router als VPN-Gateway

Einige am Markt verfügbare Router unterstützen die Funktion Virtual Private Network (VPN). Diese Router werden insbesondere dann eingesetzt, wenn sensitive Daten über ein Netz übertragen werden. Der Einsatz von Routern mit VPN-Funktionalität hat den Vorteil, dass anwendungsseitig keine Verschlüsselungsmechanismen vorhanden sein müssen. Die Verschlüsselung ist transparent für die Kommunikationspartner. Allerdings findet die Kommunikation auf der Strecke bis zum ersten verschlüsselnden Netzkoppelelement unverschlüsselt statt und birgt damit ein Restrisiko. Authentisierung ist hier nur zwischen den Koppelelementen möglich. Die eigentlichen Kommunikationspartner werden nicht authentisiert (M 5.68 Einsatz von Verschlüsselungsverfahren zur Netzkommunikation ).

Prüffragen:

  • Werden beim dynamischen Routing nur Routing-Protokolle verwendet, die eine verschlüsselte Authentisierung beim Austausch von Routing-Tabellen unterstützen?

  • Ist der Einsatz von dynamischem Routing vor der Inbetriebnahme unter dem Gesichtspunkt der Sicherheit bewertet worden?

  • Wird in Netzen mit hohem Schutzbedarf nach Möglichkeit kein dynamisches Routing verwendet?

  • Ist das Restrisiko der unverschlüsselten Übertragung bis zum ersten Netzkoppelelement beim Einsatz von VPN analysiert und bewertet?

Stand: 13. EL Stand 2013