8. Sicherheitsüberlegungen

Dieses Dokument wirft keine zusätzlichen Sicherheitsfragen über die von BGP-4 und den Multiprotocol Extensions für BGP-4 hinaus auf. Die gleichen Sicherheitsmechanismen sind anwendbar.

Wie [RFC4272] jedoch diskutiert, ist BGP anfällig für Traffic-Diversion-Angriffe. Die Möglichkeit, einen IPv6-Next-Hop anzukündigen, fügt ein neues Mittel hinzu, mit dem ein Angreifer dazu führen könnte, dass Traffic von seinem normalen Pfad umgeleitet wird. Ein solcher Angriff unterscheidet sich von vorbestehenden Schwachstellen darin, dass Traffic zu einem entfernten Ziel über eine dazwischenliegende Netzwerkinfrastruktur (z.B. ein IPv6-Kern) weitergeleitet werden könnte, wodurch ein Angriff möglicherweise leichter erfolgreich sein könnte, da weniger Infrastruktur untergraben werden müsste. Mögliche Folgen umfassen "Hijacking" von Traffic oder Denial of Service.

Obwohl nicht als typischer Fall erwartet, könnte die als BGP-Next-Hop-Adresse verwendete IPv6-Adresse eine IPv4-gemappte IPv6-Adresse sein (wie in [RFC4291] definiert). Die Konfiguration der vom Netzbetreiber möglicherweise eingesetzten Sicherheitsmechanismen (wie Sicherheitsprüfungen einer Next-Hop-Adresse) muss auch diesen Fall berücksichtigen.