Prefix-Hijacking im Internetrouting

Abstract

Die vorliegende Arbeit betrachtet IT-Sicherheitsaspekte des Internetroutings und verbessert etablierte Ansätze zur Entdeckung, zur Klassifikation und zur Untersuchung der Folgen von Anomalien im Internetrouting und entwickelt darüber hinaus das Konzept und zeigt die Erprobung einer effektiven Gegenmaßnahme auf.<br /> Dabei steht das Border-Gateway-Protokoll (BGP), das die weltweite Kommunikation zwischen Computersystemen über das Internet erst ermöglicht, im Fokus der Betrachtung. Ausgehend von Computernetzwerken im militärischen Kontext und in Forschungseinrichtungen in den 1980er Jahren, entwickelte sich das Internet zu einem weltumspannenden Netzwerk von Computernetzwerken, das aus der zivilen Gesellschaft nicht mehr wegzudenken ist. Während moderne Anwendungen Haushaltsgeräte miteinander vernetzen und der Austausch von individuellen Erlebnissen den Takt in der modernen Gesellschaft vorgibt, sind die grundlegenden Mechanismen dieser Vernetzung in den letzten Jahren unverändert geblieben.<br /> Als Netzwerk von Computernetzwerken ist das Internet ein dynamischer Zusammenschluss sogenannter Autonomer Systeme (AS), also Computernetzwerken von Unternehmen, Forschungseinrichtungen sowie Regierungs- und Nicht-Regierungs-Organisationen. Um Datenpakete zwischen zwei Endgeräten unterschiedlicher AS auszutauschen, müssen auf den unteren Ebenen des eingesetzten TCP/IP-Protokollstacks notwendige Erreichbarkeitsinformationen ausgetauscht und regelmäßig aktualisiert werden. Für den Austausch dieser Erreichbarkeitsinformationen im Internet wird BGP verwendet.<br /> Die mit BGP ausgetauschten Erreichbarkeitsinformationen bestehen aus einem IP-Adressbereich (Prefix) und dem AS-Pfad, den ein Paket auf dem Weg zum Ziel durch andere AS zurücklegen muss. Dabei ist in BGP keine Validierung der ausgetauschten Erreichbarkeitsinformationen vorgesehen. Jedes AS kann damit im Grunde beliebige Informationen in das Internetrouting einbringen oder bei der Weiterleitung bestehende Informationen manipulieren. Falsche Erreichbarkeitsinformationen haben unterschiedliche Ursachen, etwa Fehler in der Routing-Hardware, Konfigurationsfehler in der Administration oder gezielte Angriffe. Aus falschen Erreichbarkeitsinformationen resultieren Routinganomalien unterschiedlicher Kritikalität, bis hin zur Nicht-Erreichbarkeit von Prefixen oder der Übernahme von Prefixen durch Angreifer. Diese Übernahme fremder Prefixe durch einen Angreifer nennt man Prefix-Hijacking, also die Entführung eines IP-Adressbereichs. Es gibt keine globale Sicht auf das Internetrouting, so dass eine globale Erkennung von Prefix-Hijacking ohne weiteres nicht möglich ist. Vielmehr besitzt jedes AS eine ganz eigene Sicht auf das Internet, bedingt durch die mit den Nachbarn ausgetauschten Erreichbarkeitsinformationen. Für einen Überblick müssen diese lokalen Sichten zunächst zu einer globalen Sicht zusammengefasst werden.<br /> Da Prefix-Hijacking mit der eingesetzten Version von BGP einfach realisiert werden kann, sind weitere Maßnahmen notwendig, um die Schutzziele der IT-Sicherheit im Internetrouting umzusetzen. Präventive Maßnahmen, wie die nachträgliche Absicherung der Erreichbarkeitsinformationen über Protokollerweiterungen oder zusätzliche Protokolle sind bisher nicht flächendeckend eingesetzt und daher ohne Erfolg. Für Prefix-Besitzer bleibt das kontinuierliche Monitoring der eigenen Prefixe im Internet als Maßnahme zur Gewährleistung der IT-Sicherheit.<br /> Die vorliegende Arbeit analysiert zunächst die Datenlage zur Umsetzung eines effektiven Monitorings des Internetroutings und berücksichtigt dabei die in der Literatur genutzten Routingarchive unterschiedlicher Anbieter. Durch die Hinzunahme weiterer Quellen, wie Internetknotenpunkten oder sogenannten Looking-Glass-Diensten, werden die in den Routingarchiven enthaltenen Informationen angereichert und die globale Sicht verbessert. Anschließend folgt die Revision der etablierten Methode zur Abschätzung einer Prefix-Hijacking-Resilienz für AS und die Herleitung einer verbesserten Formel zur Folgenabschätzung. Daraufhin wird eine effektive Gegenmaßnahme vorgestellt, die mit der Unterstützung von Partner-AS die Reichweite der legitimen Erreichbarkeitsinformationen ermöglicht und damit eine Mitigation von Prefix-Hijacking zumindest grundsätzlich möglich macht. Durch die vorgestellten Ansätze zur Verbreiterung der Datenbasis, zur Verbesserung der Analyse von Prefix-Hijacking-Folgen und dem Ansatz zur Mitigation von Prefix-Hijacking durch die Prefix-Besitzer, lassen sich verbesserte Maßnahmen zur Sicherstellung der IT-Sicherheits-Schutzziele umsetzen.