Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.112 Sicherheitsaspekte von Routing-Protokollen - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.112 Sicherheitsaspekte von Routing-Protokollen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Authentisierung

Idealerweise sollten nur Routing-Protokolle eingesetzt werden, die eine sichere Authentisierung der Router beim Austausch von Routing-Informationen unterstützen. Sobald Updates von Routing-Tabellen versendet werden, muss eine Authentisierung des Routers stattfinden, der diese Routing-Updates versendet hat. Damit wird erreicht, dass ein Router nur zuverlässige Routing-Informationen von einer vertrauten Quelle (Router) verarbeitet. Ohne eine Authentisierung beim Austausch von Routing-Informationen wird die Sicherheit des Netzes durch unautorisierte oder absichtlich gefälschte Routing-Updates gefährdet.

Zusätzliche Sicherheit wird durch die Einrichtung von Access Control Lists erreicht, so dass nur definierte IP-Adressen Routing-Informationen austauschen dürfen.

Dynamische Routing-Protokolle sollten ausschließlich in sicheren Netzen verwendet werden. In demilitarisierten Zonen (DMZ) dürfen sie nicht eingesetzt werden. Gelingt es nämlich einem Angreifer, Datenpakete beim Austausch von Routing-Informationen in der DMZ mitzulesen, so kann er daraus Kenntnisse über die interne Netzstruktur erlangen. In demilitarisierten Zonen sollten stattdessen statische Routen eingetragen werden.

Folgende Routing-Protokolle unterstützen die Authentisierung beim Austausch von Routing-Informationen:

Die Authentisierung eines Routers, der Routing-Updates versendet, wird durch den Austausch eines Schlüssels (Passwort) erreicht. Dieser Schlüssel muss allen beteiligten Routern bekannt sein. Der Schlüssel wird bei der Konfiguration des Routers vom Administrator festgelegt. Diese Schlüssel sollten regelmäßig geändert werden.

MD5-Authentisierung

Bei den unterschiedlichen Routing-Protokollen wird zwischen der Klartextauthentisierung und der verschlüsselten Authentisierung unterschieden. Es kann nur der Einsatz von Routing-Protokollen empfohlen werden, die eine verschlüsselte Authentisierung unterstützen.

Bei der verschlüsselten Authentisierung wird MD5 verwendet. Statt des eigentlichen Schlüssels wird dabei ein sogenanntes Message-Digest zur Authentisierung versendet. Der Message-Digest wird zwar mit Hilfe des Schlüssels erzeugt, jedoch wird der Schlüssel nicht über das Netz gesendet.

Damit wird verhindert, dass der Schlüssel im Netz mitgelesen werden kann. Sollte die Änderung von Schlüsseln mit Hilfe des SNMP-Protokolls durchgeführt werden, ist darauf zu achten, dass in diesem Fall der Schlüssel im Klartext über das Netz versendet wird.

Folgende Protokolle unterstützen die MD5-Authentisierung:

Schlüsselverwaltung

Einige Routing-Protokolle bieten eine Verwaltung von Schlüsseln unter Verwendung sogenannter Schlüsselketten an. Eine Schlüsselkette besteht aus einer Reihe von festgelegten Schlüsseln. Diese Schlüssel werden von den Routern im Rotationsverfahren verwendet. Dies verringert die Wahrscheinlichkeit, dass die Schlüssel ausgespäht werden. Der Schlüssel innerhalb einer Schlüsselkette besitzt nur für einen definierten Zeitraum Gültigkeit. Hier ist es wichtig, dass die Router die genaue Uhrzeit besitzen, damit der Schlüssel synchron gewechselt wird. Dies kann durch die Angabe eines internen NTP-Servers erreicht werden. Idealerweise sollte der interne NTP-Server mit einer Funkuhr verbunden sein.

Folgende Protokolle unterstützen die Schlüsselverwaltung:

Die folgende Tabelle stellt die unterschiedlichen Merkmale von Routing-Protokollen aus sicherheitstechnischer Sicht in bezug auf die Authentisierung dar:

Protokollname Authentisierung Klartext MD5 Hash Protokoll RFCs

RIPv1

 

Nein

 
   

RFC 1058

 

IGRP

 

Nein

 
   

Proprietär (Cisco)

 

RIPv2

 

Ja

 

Ja

 

Ja

 

RFC 1723

 

EIGRP

 

Ja

 
 

Ja

 

Proprietär (Cisco)

 

OSPFv2

 

Ja

 

Ja

 

Ja

 

RFC 2328

 

IS-IS

 

Ja

 

Ja

 
 

RFC 1142 (ISO 10589), 1195

 

BGPv4

 

Ja

 
 

Ja

 

RFC 1771

 

Tabelle: Authentisierung bei unterschiedlichen Routing-Protokollen

Ergänzende Kontrollfragen: