Einfach realisierbare Angriffe auf Netzwerk-Backbones

Auf der Konferenz Black Hat Europe, die in Amsterdam stattfand, demonstrierten die Sicherheitsexperten Daniel Mende und Enno Rey von der Heidelberger Firma ERNW überraschend leicht umsetzbare Angriffe auf Protokolle und Techniken, die in Backbone-Netzen von Telekom- und Internet-Carriern zum Einsatz kommen. Zwar sind die technischen Details für Laien auf diesem speziellen Gebiet schwer verständlich, doch Mende und Rey geben in ihrem Vortrag und einem Whitepaper (PDF-Dateien) den einfachen Rat, dass Firmen die Vertrauenswürdigkeit beziehungsweise das Sicherheitskonzept der von ihnen beauftragten Netzwerk-Dienstleister genau prüfen und ihren Netzwerkverkehr verschlüsseln sollten. Für Personen mit Zugriff auf Backbone-Netze sei es jedenfalls überraschend einfach, das Border Gateway Protocol (BGP) sowie das Multiprotocol Label Switching (MPLS) unbemerkt zu manipulieren. Per MPLS-Eingriff soll sich beispielsweise der komplette Netzerkverkehr eines bestimmten Unternehmens auf fremde Server umleiten lassen – oder auch DNS- oder LDAP-Zugriffe. Passende Software dazu stellen die Autoren ebenfalls zur Verfügung.

Auch das Sicherheitskonzept von "Carrier Ethernet", bei dem der Ethernet-Verkehr eines Unternehmens über Backbone-Leitungen eines externen Dienstleisters läuft, sei oft lückenhaft. Carrier Ethernet komme zunehmend zum Einsatz, etwa für Cloud Services oder die (SAN-)Replikation von großen Speichersystemen zwischen verschiedenen Firmenstandorten. (ciw)