IGRP und EIGRP

Das heute sehr verbreitete Enhanced IGRP (EIGRP) ist der Nachfolger des weniger populären Interior Gateway Routing Protocol. IGRP führte mehrere neue Parameter ein. Allen voran kann es zwischen 216 verschiedenen autonomen Systemen unterscheiden, was die logische Trennung von Netzwerken sehr vereinfacht. Des weiteren trifft es Routing-Entscheidungen nicht mehr nur nach der Menge der Hops, sondern auch nach der Paketlaufzeit, Bandbreite, Verfügbarkeit und Auslastung einer Verbindung. Wenn ein Protokoll solche Werte in seine Routing-Entscheidung einbezieht, spricht man von „Link State Routing“. Unglücklicherweise ist IGRP eine Cisco-Erfindung und der Algorithmus für die Bewertung dieser Information (DUAL) wurde nicht veröffentlicht, sodass nur Cisco-Router damit umgehen können.

Im Unterschied zu seinem Vorgänger folgt EIGRP einem anderen Konzept, was die teilnehmenden Router angeht. Wer hier mitreden will, muss sich als Nachbar in einem autonomen System einfinden und seine Präsenz den anderen Routern bekannt geben. Weiterhin unterstützt EIGRP eine Authentifizierung mittels eines Passworts und eines MD5-Hash. Da dieses Protokoll aber genau auf Grund seiner einfachen Handhabung so beliebt ist, wird dieses Feature fast nie eingesetzt.

Genau wie RIP arbeitet EIGRP über Multicast - der Angreifer sieht also immer noch, wer welche Informationen sendet, und kann sich darauf einstellen. Selbst wenn ein Angreifer den Verkehr in einem autonomen System nicht mitlesen kann, hat er die Möglichkeit, an die Informationen zu kommen: Er führt wie bei Portscans eine Iteration über alle autonomen Systeme durch und sendet ein HELO-Paket an einen teilnehmenden Router. Antwortet ein Router auf eine Nummer, ist er für die Teilnahme an diesem AS konfiguriert. Tools wie der Autonomous System Scanner [4] finden abhängig von der Netzwerkkonfiguration das AS auch von entfernten Netzen heraus, da Cisco-Router in der IOS-Version 11.x auch EIGRP an Unicast-Adressen akzeptieren.

Die Schwachstellen bleiben die gleichen wie schon bei ICMP-Redirects. Der Angreifer verändert die Pfade, auf denen die Pakete durch das Netz geschleust werden. Dabei muss er die falschen Informationen bei einem EIGRP- oder RIP-Netzwerk nur ein- oder zweimal in der Minute senden, und das auch nur zu den nächsten Routern. Diese sorgen dann dafür, dass die Information im gesamten Netzwerk verbreitet wird.

Erschreckenderweise sind globale EIGRP-Netzwerke durchaus verbreitet. Viele Unternehmen haben historisch gewachsene, weltweite Infrastrukturen. Wenn ein Mitarbeiter in Asien auf die Idee kommt, ein paar EIGRP-Pakete an seinen lokalen Router zu senden, kann er damit womöglich das gesamte Netzwerk weltweit schädigen.

EIGRP wurde entwickelt, um die Zeit zum Erreichen so genannter Konvergenz zu minimieren. Das ist der Zustand, in dem alle Router im Netzwerk über die besten Routen einer Meinung sind. Trotzdem braucht es bei einem globalen oder auch nur nationalen Netz eine gewisse Zeit, bis sich alle Router untereinander abgeglichen haben und das Netz eingeschwungen ist. Währenddessen sind einige Router auf dem neuen, andere auf dem alten Stand und es entstehen schnell so genannte Routing-Loops, bei denen Pakete von einem zum anderen Router hin und her gesendet werden, da beide der Meinung sind, der andere ist zuständig.

Genau das Zeitfenster bis zum Erreichen der Konvergenz kann ein Angreifer leicht ausnutzen, um ein komplettes Netzwerk abzuschalten. Dazu muss er in diesem Zeitfenster lediglich weitere, einander widersprechende Routing-Informationen senden. Dadurch erreicht er, dass das gesamte Netzwerk nur noch mit der Neuberechnung von Routen beschäftigt ist und Pakete auf dem Weg von A nach B wahllos ihre Richtung ändern. Besonders schlimm ist dieses Szenario, wenn die Routen aus einem automonem System gemäß EIGRP in andere Routing-Protokolle wie OSPF oder BGP4 weiterverteilt werden.