Kurz erklärt: TCP Authentication Option für BGP
Paketausweis
Das Border Gateway Protocol spielt seit Langem eine fundamentale Rolle fürs Routing im öffentlichen Internet, aber auch in privaten Netzen. Doch ausreichend starke Signaturverfahren zum Verhindern von Angriffen werden erst jetzt implementiert.
Signaturverfahren für TCP sollen das Manipulieren der BGP-Routen und andere Angriffe unterbinden. „Blind Insertions“, auf gut Glück eingefügte Daten, können beispielsweise zum Abbruch von TCP-Sessions und damit zu einem instabilen Routing führen.
In vielen Fällen kommt zur Absicherung immer noch MD5 gemäß RFC 2385 aus dem Jahr 1998 zum Einsatz: Für jedes übertragene Datenpaket – genauer gesagt TCP-Segment – kalkuliert die Empfangsseite mittels MD5 einen Message Authentication Code (MAC) aus den Routing- und TCP-Daten sowie einem auf beiden Systemen hinterlegten Pre-Shared Key (PSK). Tritt eine Abweichung vom erwarteten Hashwert auf, verwirft der Empfänger das Segment.