M 5.112 Sicherheitsaspekte von Routing-Protokollen
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Authentisierung
Idealerweise sollten nur Routing-Protokolle eingesetzt werden, die eine sichere Authentisierung der Router beim Austausch von Routing-Informationen unterstützen. Sobald Updates von Routing-Tabellen versendet werden, muss eine Authentisierung des Routers stattfinden, der diese Routing-Updates versendet hat. Damit wird erreicht, dass ein Router nur zuverlässige Routing-Informationen von einer vertrauten Quelle (Router) verarbeitet. Ohne eine Authentisierung beim Austausch von Routing-Informationen wird die Sicherheit des Netzes durch unautorisierte oder absichtlich gefälschte Routing-Updates gefährdet.
Zusätzliche Sicherheit wird durch die Einrichtung von Access Control Lists erreicht, so dass nur definierte IP-Adressen Routing-Informationen austauschen dürfen.
Dynamische Routing-Protokolle sollten ausschließlich in sicheren Netzen verwendet werden. In demilitarisierten Zonen (DMZ) dürfen sie nicht eingesetzt werden. Gelingt es nämlich einem Angreifer, Datenpakete beim Austausch von Routing-Informationen in der DMZ mitzulesen, so kann er daraus Kenntnisse über die interne Netzstruktur erlangen. In demilitarisierten Zonen sollten stattdessen statische Routen eingetragen werden.
Folgende Routing-Protokolle unterstützen die Authentisierung beim Austausch von Routing-Informationen:
- Border Gateway Protocol (BGPv4)
- Open Shortest Path First (OSPFv2)
- Routing Information Protocol in der Version 2 (RIPv2)
- Enhanced Interior Gateway Protocol (EIGRP)
- Intermediate-System-to Intermediate-System (IS-IS)
Die Authentisierung eines Routers, der Routing-Updates versendet, wird durch den Austausch eines Schlüssels (Passwort) erreicht. Dieser Schlüssel muss allen beteiligten Routern bekannt sein. Der Schlüssel wird bei der Konfiguration des Routers vom Administrator festgelegt. Diese Schlüssel sollten regelmäßig geändert werden.
MD5-Authentisierung
Bei den unterschiedlichen Routing-Protokollen wird zwischen der Klartextauthentisierung und der verschlüsselten Authentisierung unterschieden. Es kann nur der Einsatz von Routing-Protokollen empfohlen werden, die eine verschlüsselte Authentisierung unterstützen.
Bei der verschlüsselten Authentisierung wird MD5 verwendet. Statt des eigentlichen Schlüssels wird dabei ein sogenanntes Message-Digest zur Authentisierung versendet. Der Message-Digest wird zwar mit Hilfe des Schlüssels erzeugt, jedoch wird der Schlüssel nicht über das Netz gesendet.
Damit wird verhindert, dass der Schlüssel im Netz mitgelesen werden kann. Sollte die Änderung von Schlüsseln mit Hilfe des SNMP-Protokolls durchgeführt werden, ist darauf zu achten, dass in diesem Fall der Schlüssel im Klartext über das Netz versendet wird.
Folgende Protokolle unterstützen die MD5-Authentisierung:
- Border Gateway Protocol (BGPv4)
- Open Shortest Path First (OSPFv2)
- Routing Information Protocol in der Version 2 (RIPv2)
- Enhanced Interior Gateway Protocol (EIGRP)
Schlüsselverwaltung
Einige Routing-Protokolle bieten eine Verwaltung von Schlüsseln unter Verwendung sogenannter Schlüsselketten an. Eine Schlüsselkette besteht aus einer Reihe von festgelegten Schlüsseln. Diese Schlüssel werden von den Routern im Rotationsverfahren verwendet. Dies verringert die Wahrscheinlichkeit, dass die Schlüssel ausgespäht werden. Der Schlüssel innerhalb einer Schlüsselkette besitzt nur für einen definierten Zeitraum Gültigkeit. Hier ist es wichtig, dass die Router die genaue Uhrzeit besitzen, damit der Schlüssel synchron gewechselt wird. Dies kann durch die Angabe eines internen NTP-Servers erreicht werden. Idealerweise sollte der interne NTP-Server mit einer Funkuhr verbunden sein.
Folgende Protokolle unterstützen die Schlüsselverwaltung:
- Routing Information Protocol in der Version 2 (RIPv2)
- Enhanced Interior Gateway Protocol (EIGRP)
Die folgende Tabelle stellt die unterschiedlichen Merkmale von Routing-Protokollen aus sicherheitstechnischer Sicht in bezug auf die Authentisierung dar:
Protokollname | Authentisierung | Klartext | MD5 Hash | Protokoll RFCs |
---|---|---|---|---|
RIPv1 |
Nein |
RFC 1058 |
||
IGRP |
Nein |
Proprietär (Cisco) |
||
RIPv2 |
Ja |
Ja |
Ja |
RFC 1723 |
EIGRP |
Ja |
Ja |
Proprietär (Cisco) |
|
OSPFv2 |
Ja |
Ja |
Ja |
RFC 2328 |
IS-IS |
Ja |
Ja |
RFC 1142 (ISO 10589), 1195 |
|
BGPv4 |
Ja |
Ja |
RFC 1771 |
Tabelle: Authentisierung bei unterschiedlichen Routing-Protokollen
Ergänzende Kontrollfragen:
- Welche Routing-Protokolle werden eingesetzt?
- Wurden bei der Planung des Einsatzes des Routers die Sicherheitsaspekte der verwendeten Routing-Protokolle berücksichtigt?
- Wurde berücksichtigt, dass in sicherheitsrelevanten Teilnetzen (z. B. DMZ) keine Routing-Protokolle verwendet werden sollen?
- Wurde eine klar abzugrenzende Routing-Domäne definiert?
- Werden Routing-Protokolle eingesetzt, die eine sichere Authentisierung unterstützen?