9. Security Considerations (Sicherheitsüberlegungen)
9. Security Considerations (Sicherheitsüberlegungen)
Da BFD an die Stabilität der Netzwerkinfrastruktur (wie Routing-Protokolle) gebunden sein kann, können die Auswirkungen eines Angriffs auf eine BFD-Sitzung sehr ernst sein: Eine Verbindung kann fälschlicherweise als down deklariert werden oder fälschlicherweise als up deklariert werden; in beiden Fällen ist die Auswirkung ein Denial of Service.
Ein Angreifer, der die vollständige Kontrolle über die Verbindung zwischen den Systemen hat, kann leicht alle BFD-Pakete verwerfen, aber alles andere weiterleiten (was dazu führt, dass die Verbindung fälschlicherweise als down deklariert wird), oder nur die BFD-Pakete weiterleiten, aber nichts anderes (was dazu führt, dass die Verbindung fälschlicherweise als up deklariert wird). Dieser Angriff kann durch BFD nicht verhindert werden.
Um Bedrohungen durch weniger fähige Angreifer zu mindern, spezifiziert BFD zwei Mechanismen, um das Spoofing von BFD Control Packets zu verhindern. Der Generalized TTL Security Mechanism [GTSM] verwendet die Time to Live (TTL) oder Hop Count, um zu verhindern, dass Off-Link-Angreifer Pakete spoofen. Der Authentication Section authentifiziert die BFD Control Packets. Diese Mechanismen werden unten ausführlicher beschrieben.
Wenn eine BFD-Sitzung direkt über eine einzelne Verbindung verbunden ist (physisch oder ein sicherer Tunnel wie IPsec), MUSS die TTL oder Hop Count beim Senden auf das Maximum gesetzt und beim Empfang auf den Maximalwert überprüft werden (und das Paket verworfen werden, wenn dies nicht der Fall ist). Siehe [GTSM] für weitere Informationen zu dieser Technik. Wenn die Verbindung nicht direkt verbunden ist, sollte eine andere Authentifizierungsmethode verwendet werden.
Die Verwendung von Authentifizierung wird dringend empfohlen. Mindestens eine der beiden SHA1-basierten Authentifizierungsmethoden SOLLTE verwendet werden, da diese die stärksten verfügbaren Mechanismen sind. MD5-basierte Authentifizierung wird stark abgeraten, ist aber aus Gründen der Abwärtskompatibilität verfügbar. Simple Password Authentication ist extrem anfällig für Angriffe und sollte nur in Umgebungen verwendet werden, in denen stärkere Mechanismen nicht unterstützt werden können.
Wenn Keyed MD5 oder Keyed SHA1 Authentication verwendet wird (im Gegensatz zu den meticulous Varianten), kann ein Angreifer, der ein gültiges BFD-Paket abfangen kann, möglicherweise Replay-Angriffe durchführen, indem er dieses Paket zu einem späteren Zeitpunkt erneut überträgt. Die meticulous Varianten dieser Authentifizierungsmethoden bieten Schutz gegen solche Angriffe, indem sie eine Sequenznummer verwenden, die bei jedem übertragenen Paket erhöht wird.
Die Sicherheit der Authentifizierung hängt vollständig von der Stärke der verwendeten Schlüssel und der Sicherheit ihrer Verwaltung ab. Die Details des Key Managements liegen außerhalb des Geltungsbereichs dieser Spezifikation.