Bundesamt für Sicherheit in der Informationstechnik

M 5.112 Sicherheitsaspekte von Routing-Protokollen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Authentisierung

Idealerweise sollten nur Routing-Protokolle eingesetzt werden, die eine sichere Authentisierung der Router beim Austausch von Routing-Informationen unterstützen. Sobald Updates von Routing-Tabellen versendet werden, muss eine Authentisierung des Routers stattfinden, der diese Routing-Updates versendet hat. Damit wird erreicht, dass ein Router nur zuverlässige Routing-Informationen von einer vertrauten Quelle (Router) verarbeitet. Ohne eine Authentisierung beim Austausch von Routing-Informationen wird die Sicherheit des Netzes durch unautorisierte oder absichtlich gefälschte Routing-Updates gefährdet.

Zusätzliche Sicherheit wird durch die Einrichtung von Access Control Lists erreicht, so dass nur definierte IP -Adressen Routing-Informationen austauschen dürfen.

Dynamische Routing-Protokolle sollten ausschließlich in sicheren Netzen verwendet werden. In demilitarisierten Zonen (DMZ) dürfen sie nicht eingesetzt werden. Gelingt es nämlich einem Angreifer, Datenpakete beim Austausch von Routing-Informationen in der DMZ mitzulesen, so kann er daraus Kenntnisse über die interne Netzstruktur erlangen. In demilitarisierten Zonen sollten stattdessen statische Routen eingetragen werden.

Folgende Routing-Protokolle unterstützen eine Authentisierung beim Austausch von Routing-Informationen:

  • Border Gateway Protocol (BGPv4)
  • Open Shortest Path First (OSPFv2)
  • Routing Information Protocol in der Version 2 (RIPv2)
  • Enhanced Interior Gateway Protocol (EIGRP)
  • Intermediate-System-to Intermediate-System (IS-IS)

Die Authentisierung eines Routers, der Routing-Updates versendet, wird durch den Austausch eines Schlüssels (Passwort) erreicht. Dieser Schlüssel muss allen beteiligten Routern bekannt sein. Der Schlüssel wird bei der Konfiguration des Routers vom Administrator festgelegt. Diese Schlüssel sollten regelmäßig geändert werden.

Kryptographische Authentisierung

Bei den unterschiedlichen Routing-Protokollen wird zwischen der Klartextauthentisierung und der kryptographischen Authentisierung unterschieden. Es kann nur der Einsatz von Routing-Protokollen empfohlen werden, die eine kryptographische Authentisierung unterstützen.

Bei der kryptographischen Authentisierung wird in der Regel das Hash-Verfahren MD5 verwendet. Statt des eigentlichen Schlüssels wird dabei ein sogenanntes Message-Digest zur Authentisierung versendet. Der Message-Digest wird zwar mit Hilfe des Schlüssels erzeugt, jedoch wird der Schlüssel nicht über das Netz gesendet.

Damit wird verhindert, dass der Schlüssel im Netz mitgelesen werden kann. Hinsichtlich des Schlüsselmanagements ist zu beachten, dass die Schlüssel so verteilt und erneuert werden müssen, dass sie vor unbefugtem Mitlesen oder Abhören geschützt sind.

Folgende Protokolle unterstützen eine kryptographische Authentisierung:

  • Border Gateway Protocol (BGPv4)
  • Open Shortest Path First (OSPFv2)
  • Routing Information Protocol in der Version 2 (RIPv2)
  • Enhanced Interior Gateway Protocol (EIGRP)
  • Intermediate-System-to-Intermediate-System (IS-IS)

Hinweis: Im Hash-Algorithmus MD5 wurden kryptographische Schwächen gefunden. Es sollte deshalb möglichst ein stärkerer Algorithmus verwendet werden. Bessere Hash-Algorithmen als MD5 werden jedoch von den Routing-Protokollen und -Produkten noch nicht durchgängig unterstützt. RFC 4822 spezifiziert, wie Hash-Algorithmen der SHA -Familie zur Authentisierung beim Einsatz von RIPv2 genutzt werden können. Durch den Rückgriff auf IPSec können grundsätzlich auch bei OSPFv3 (OSPF for IPv6) stärkere Hash-Algorithmen als MD5 verwendet werden. Trotz der bekannten Schwächen von MD5 bietet eine MD5-basierte Authentisierung insgesamt ein höheres Sicherheitsniveau als eine Klartext-Authentisierung.

Schlüsselverwaltung

Einige Routing-Protokolle bieten eine Verwaltung von Schlüsseln unter Verwendung sogenannter Schlüsselketten an. Eine Schlüsselkette besteht aus einer Reihe von festgelegten Schlüsseln. Diese Schlüssel werden von den Routern im Rotationsverfahren verwendet. Dies verringert die Wahrscheinlichkeit, dass die Schlüssel ausgespäht werden. Der Schlüssel innerhalb einer Schlüsselkette besitzt nur für einen definierten Zeitraum Gültigkeit. Hier ist es wichtig, dass die Router die genaue Uhrzeit besitzen, damit der Schlüssel synchron gewechselt wird. Dies kann durch die Angabe eines internen NTP-Servers erreicht werden. Idealerweise sollte der interne NTP-Server mit einer Funkuhr verbunden sein.

Folgende Protokolle unterstützen die Schlüsselverwaltung:

  • Routing Information Protocol in der Version 2 (RIPv2)
  • Enhanced Interior Gateway Protocol (EIGRP)
Die folgende Tabelle stellt die unterschiedlichen Merkmale von Routing-Protokollen aus sicherheitstechnischer Sicht in Bezug auf die Authentisierung dar:
Protokollname Authentisierung Klartext Hash Protokoll RFCs
RIPv1 Nein     RFC 1058
IGRP Nein     Proprietär (Cisco)
RIPv2 Ja Ja Ja RFC 2453, 4822
EIGRP Ja   Ja Proprietär (Cisco)
OSPFv2 Ja Ja Ja RFC 2328
IS-IS Ja Ja Ja RFC 1195, 5304
BGPv4 Ja   Ja RFC 4271

Tabelle: Authentisierung bei unterschiedlichen Routing-Protokollen

Prüffragen:

  • Wurde festgelegt, ob eine Authentisierung der Router bei Routingupdates erforderlich ist?

  • Erfolgt die Verteilung und Erneuerung der Schlüssel zur Authentisierung der Router geschützt gegenüber unbefugtem Mitlesen oder Abhören?

  • Erfolgt eine regelmäßige Änderung der zum Versand der Routing-Updates genutzten Schlüssel zur Authentisierung der Router?

  • Ist sichergestellt, dass durch Routing-Pakete keine Informationen über die interne Netzstruktur nach außen übertragen werden?

  • Wird in demilitarisierten Zonen auf den Einsatz von dynamischen Routing-Protokollen verzichtet und werden stattdessen statische Routen genutzt?

  • Sind klar abgegrenzte Routing-Domänen definiert?

  • Wurde anhand des jeweiligen Schutzbedarfs entschieden, ob eine Authentisierung der Router erforderlich ist?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK