Routing Flashcards
Warum wird OSPF nicht als Inter-AS Protokoll genutzt.
da es die gesamte Topologie des Netzes kennt und das im Internet nicht möglich ist
Skalierung: Hirarchisches Routing verbruacht weniger platz in der Routung Tabelle, und update Traffic wird reduziert (Bei OSPF würde jeder Router das Netzwerk fluten mit Topologieinfos (kosten zu den Nachbaren) – funktioniert nich im Globalen
Polocy/Politik: Inter AS Admin will kontrollieren über wen der Verkehr geroutet wird
Performance : intra AS kann sich auf performance konzentrieren, Inter AS hier domieiert eventuell die Politik wie geroutet werden soll
Warum können bei BGP Loops entstehen, warum passiert das bei OSPF nicht?
BGP arbeitet Policy-basiert (jeder Admin beschreibt diese für sein AS), im Pfad können somit Schleifen entstehen (BGP verwendet Path Vector - eine Art Entfernungsvektor, aber mit Pfadinformationen zur Vermeidung von Schleifen)
OSPF nutzt den Shortest Path Algorithmus (ohne Policies) und der Router definiert somit eine schleifenfreie Route selbst
Nennen Sie mögliche Sicherheitsprobleme im BGP
mögliche Angriffsvektoren? (Von innen und von außen)
- jeder Teilnehmer kann beliebige Netze propagieren
- es gibt keine Prüfung ob der Teilnehmer das AS oder den Adressbereich nutzt
- ganze Adressbereiche können überschrieben werden (Beispiel Pakistan/Youtube aus der Vorlesung) - Präfix-Hijacking des IP-Adressraums von Regierungsorganisationen und Unternehmen
Nennen Sie einfache Maßnahmen die die Sicherheit von BGP optimieren
- TCP MD5 mit pre-shared key, Nachteil: PSK muss mit allen Teilnehmern getauscht werden, Überprüfung der Adressbereiche weiterhin nicht vorhanden
- TTL HACK, Nachteil, Überprüfung der Adressbereiche weiterhin nicht vorhanden
- IP Geo Überprüfung
-IPSec Bietet Authentizität und Integrität der Peer-to-Peer-Kommunikation mit Unterstützung für automatisierte Schlüsselverwaltung
-PKI Sichere Identifizierung von BGP-Sprechern, Eigentümern von AS und von Adressblöcken
Nenne eine Maßnahme um BGP allgemein sicher zu machen
- SBGP
- asymmetrische Krypto
- Zertifikate, Trusted Chain etc.
- Route Attestations, Address Attestations
(Sichere Identifizierung von Entitäten, die am globalen Internet-Routing beteiligt sind, z. B. Besitzer von Präfixen, Besitzer von AS-Nummern, AS-Verwaltungen, Router, die für ein AS sprechen
● Sichere Autorisierung von:
- AS zur Bekanntgabe eines Adress-Präfixes
- AS zur Nutzung einer Route
● Integrität der Peer-Kommunikation und der angekündigten Routen)
Was ist ein allgemeines Problem mit SBGP. ??? noch mehr?
Address Attestations können für immer gültig sein , außer man fügt ein Ablaufzeitpunkt hinzu, sodass die Attestation automatisch ungültig wird.
Was ist Routing allgemein?
(Router) befinden sich auf Netzwek Schicht und haben 2 Hauptfunktionen 1. Routing: Festlegen der zu verwendenden Route 2. Weiterleitungsprozess: Eingehende Verbindugen, Paket Kommt, Routing Table (Routing Algorithmus), Weiterleitung über ausgehende Verbindung XY
Warum gibt es verschiedene Protokolle?
Intra-AS: Administrator ist für die Auswahl verantwortlich und kann sich auf die Leistung konzentrieren, Inter-AS: Border Gateway Protocol (BGP) :einzigartiger Standard, Hierarchisches Routing spart Tabellenplatz, die Politik kann über die Leistung dominieren
Wie kann man das Netzwerk partitionieren? (Paper Losing Control of the Internet) ??? Was kann man dagegen tun?
Coordinated Cross Plane Session Termination (CXPST)-Angriff vor, DDOS Angriff, der die Steuerungsebene des Internets angreift. Sorgfältige Auswahl der zu beendenden BGP-Sitzungen erzeugt CXPST eine Flut von BGP-Updates, die von fast allen Core-Routern im Internet gesehen werden. Diese Flut von Aktualisierungen übersteigt die Rechenkapazität der betroffenen Router und legt deren Fähigkeit, Routing-Entscheidungen zu treffen, lahm.
TTL Hack
Warum nicht nur mit TTL 0 akzepieren statt 254?
- Senden von Routing-Nachrichten mit einem IP-TTL-Feld, das auf 255 gesetzt ist, und
- nur Routing-Nachrichten mit IP-TTL-Feld kleiner gleich 254 akzeptieren
- Nachrichten von Angreifern, die einen Zielrouter nur über mehrere Sprünge erreichen können, werden vom Router verworfen
nicht 0 weil keine direkte Verbindung gegeben sein muss.
Nachfrage SBGP: Wie sieht so eine UPDATE Nachricht dann aus? Was steht da genau drin? Woher kommen die Schlüssel? ???
Auf der Grundlage eines neuen Pfadattributs, das Zertifikate und Bescheinigungen verwendet
Nenne die Bedrohungsszenarien aus Frage 1, welche für Routing relevant sind.
Maskerade: - Eine Entität behauptet, die Identität eines Routers zu besitzen (manchmal auch Spoofing genannt). - Die Maskerade wird in der Regel durchgeführt, um weitere Angriffe zu realisieren
Abhören: Der Datenverkehr wird durch einen Router oder ein Netzwerk geleitet, der/das diesen Datenverkehr normalerweise nicht “sieht”, so dass ein Angreifer den Datenverkehr abhören oder zumindest das Datenverkehrsmuster überwachen kann.
Beschreiben Sie wie im BGP Routen propagiert werden? Sollte ich zeichnen.
Nachfrage: Warum nutzt man nicht Certificate Revocation Lists (CRL) statt Ablaufzeit?
Weil diese viel zu groß wären.
Wie kann man Verkehr an sich ziehen? ???
Ankündigung besserer Routen/Verbindungskapazitäten als verfügbar
- Ziel: Traffic zu lenken, um Verkehr zu kontrollieren oder den Verkehr umleiten, so dass er gar nicht oder mit größerer Verzögerung zugestellt wird
- Die Folgen für das Netz sind eine mögliche Überlastung einzelner Router und ein Anstieg der Gesamtverkehrslast.
Ankündigung von “Hosts” IP-Adressbereichen, für die keine Eigentümerschaft besteht
- Präfix-Hijacking: Einfügen nicht autorisierter “Präfixe” in die Routing-Tabelle (= Ankündigung von Wegen für Netze, für die keine Berechtigung zur Weiterleitung besteht)
- Ändern oder Fälschen von Routing-Nachrichten während der Übertragung
- Zerstörung von Ressourcen
- Wie funktioniert BGP?
E kann die von C angebotene Trasse wählen oder nicht, und zwar aus folgenden Gründen
- Kosten, - Richtlinie (nicht über konkurrierende AS leiten), - aus Gründen der Schleifenvermeidung.
