Thema: Chinesischer Provider "entführt" kurzzeitig Teile des Internets

[SiLæncer]

Der kleinere chinesische Internet-Provider IDC China hat sich Berichten  zufolge durch einen Konfigurationsfehler eines BGP-Routers kurzzeitig für das Routing zu rund 37.000 IP-Netzen zuständig erklärt. Über das Border-Gateway-Protocol signalisieren sich Router, für welche Netze (autonome Systeme, AS) sie zuständig sind und welche anderen Netze sie erreichen können.

Hauptsächlich soll der chinesische Provider Routen zu Netzen (BGP Prefixes) verkündet haben, die zu anderen Providern in den USA und China gehören. Zu den propagierten Netzen sollen auch die von Dell, CNN, Apple, w+w.amazon.de, w+w.rapidshare.com und w+w.geocities.jp gehört haben.

Anwender landeten beim Aufruf von Web-Seiten unter Umständen im Netz des chinesischen ISP, in denen die Aufrufe versandeten. Laut BGPmon.net hat unter anderem auch die Deutsche Telekom die Routen kurzzeitig übernommen, allerdings waren offenbar die bereits bekannten Routen zu den Netzen kürzer, weshalb in den meisten Fällen die Pakete doch nicht den Weg über IDC China nahmen. Gleiches soll laut BGPmon.net für die meisten US-Provider gelten. Vermutlich dürften hauptsächlich asiatische Anwender durch den Fehler kurzzeitig Probleme gehabt haben.

Derartige Vorfälle sind zwar nicht neu, sie zeigen aber erneut, wie empfindlich und wie leicht manipulierbar die Verknüpfung autonomer Systeme über BGP ist. Grundsätzlich kann ein ISP durch die Signalisierung präparierter BGP-Informationen den Verkehr zu bestimmten Netzen gezielt über sich umleiten und belauschen. Auf der Sicherheitskonferenz Defcon 2008 demonstrierten Hacker, dass sie ebenfalls in der Lage sind, über die Manipulation von BGP Daten im Internet umleiten und damit auch mitlesen können. Legendär ist auch der Versuch Pakistans, den Zugriff auf YouTube zu sperren. Sie annoncierten auf ihrem Border-Gateway eine spezielle Route zu den Youtube-Servern, die auf das Null-Device zeigte und sich rasend schnell im Internet ausbreitete. Das Resultat war, dass an Youtube gerichtete Pakete aus der ganzen Welt in einem digitalen Mülleimer in Pakistan landeten.

Mögliche Manipulationen und deren Abwehrmaßnahmen enthält die Präsentation "Prefix Hijacking Mitigation " (PDF). Daneben denken Netzbetreiber darüber nach, die Routinginformationen kryptografisch abzusichern.

Quelle : www.heise.de

[SiLæncer]

Im April  erklärte sich ein chinesischer Internet-Provider kurzzeitig für das Routing von rund 37.000 IP-Netzen zuständig - darunter auch die prominenter Firmen wie Amazon, Apple oder Dell. Anfragen für diese Systeme landeten plötzlich in Fernost. Grund war vermutlich eine Fehlkonfiguration im sogenannten BGP. Über das Border Gateway Protocol signalisieren sich Router, für welche Netze (autonome Systeme, AS) sie zuständig sind und welche anderen Netze sie erreichen können.

Andree Toonk, Netzwerkarchitekt an der University of British Columbia und Betreiber des BGP-Warndienstes BGPMon, machte auf den Vorfall aufmerksam. im Interview mit Technology Review äußerte er sich nun zu einer mögliche Wiederholbarkeit solcher Ereignisse. "Die Gefahr, dass es BGP-Probleme großen Ausmaßes gibt, ist real. Die Tatsache, dass es keinen wirklich verlässlichen Weg gibt, die Routen-Ankündigungen zu überprüfen, ist sehr bedenklich." Das Problem sei allerdings keineswegs neu – die Möglichkeit, dass so etwas passiere, bestehe seit den Anfangstagen des Netzes und einzelne Vorfälle habe es immer wieder gegeben.

Toonk sieht die größten Gefahren von BGP-Angriffen denn auch nicht in Manipulationen großer Adressbereiche, sondern bei kleineren Attacken. "Es ist gut möglich, dass zielgerichtete Angriffe gegen einzelne Netzwerke schon jetzt mittels BGP erfolgen. Es gibt Methoden, mit denen man sie sehr gut verschleiern kann." Besonders, wenn der so "angesaugte" Datenverkehr einfach nur von dritter Seite aufgefangen, analysiert und möglicherweise nur leicht verändert werde, dann über eine Weiterleitung aber doch an sein Ziel gelange, sei eine Entdeckung fast unmöglich.

Das ganze Interview mit Andree Toonk in Technology Review online:

    * "Die Gefahr ist real"

Quelle : www.heise.de