Kurz erklärt: TCP Authentication Option für BGP

Paketausweis

Benjamin Pfister

Das Border Gateway Protocol spielt seit Langem eine fundamentale Rolle fürs Routing im öffentlichen Internet, aber auch in privaten Netzen. Doch ausreichend starke Signaturverfahren zum Verhindern von Angriffen werden erst jetzt implementiert.

Signaturverfahren für TCP sollen das Manipulieren der BGP-Routen und andere Angriffe unterbinden. „Blind Insertions“, auf gut Glück eingefügte Daten, können beispielsweise zum Abbruch von TCP-Sessions und damit zu einem instabilen Routing führen.

In vielen Fällen kommt zur Absicherung immer noch MD5 gemäß RFC 2385 aus dem Jahr 1998 zum Einsatz: Für jedes übertragene Datenpaket – genauer gesagt TCP-Segment – kalkuliert die Empfangsseite mittels MD5 einen Message Authentication Code (MAC) aus den Routing- und TCP-Daten sowie einem auf beiden Systemen hinterlegten Pre-Shared Key (PSK). Tritt eine Abweichung vom erwarteten Hashwert auf, verwirft der Empfänger das Segment.

Angebot auswählen und weiterlesen

Bereits abonniert? Hier anmelden

Ein Abo, alle Magazine: c't, iX, Mac & i, Make & c't Fotografie

Das digitale Abo für IT und Technik.

Alle heise-Magazine im Browser und als PDF
Alle exklusiven heise+ Artikel frei zugänglich
heise online mit weniger Werbung lesen
Vorteilspreis für Magazin-Abonnenten

Jetzt unbegrenzt weiterlesen Vierwöchentliche Abrechnung.

Nach Testphase 2,60 € wtl.

Zugriff auf alle iX-Magazine
PDF-Ausgaben zum Herunterladen
Zugriff in der iX-App für unterwegs
Über 35% günstiger im Testzeitraum

Jetzt testen Nach Testphase jederzeit monatlich kündbar.

Diese Ausgabe lesen – ohne Abobindung

Kurz erklärt: TCP Authentication Option für BGP

Paketausweis

Angebot auswählen und weiterlesen

Alle heise-Magazine mit heise+ lesen

Das digitale Abo für IT und Technik.

Alle Ausgaben freischalten

Ausgabe einmalig freischalten