Säkerhetshot vid utbyte av trafik mellan Internetoperatörer

Transkript

1 DATUM RAPPORTNUMMER PTS-ER-2007:14 ISSN DIARIENR Säkerhetshot vid utbyte av trafik mellan Internetoperatörer Beskrivning och test av sårbarheter

2

3 Förord PTS arbetar med frågor som rör Internets tillgänglighet och säkerhet, vilket även omfattar system för utbyte av trafik mellan Internetoperatörer. Denna samtrafik är avgörande för att Internet ska kunna fungera som ett globalt nätverk där alla kan nå alla. Samtrafiken sker i knutpunkter med funktioner för vägval s.k. gränsrouting mellan olika Internetoperatörers nät. Genom att informationen som styr gränsroutingfunktionen manipuleras genom brottslig handling eller blir felaktig på grund av misstag, kan konsekvensen bli att trafiken antingen blockeras till vissa destinationer eller att den omdirigeras till icke avsedd destination. Denna studie har genomförts i syfte att öka insikten beträffande riskerna för att sårbarheter, som är förknippade med olika slags attacker, utnyttjas mot samtrafikfunktionen och att ge rekommendationer till berörda aktörer. Rapporten har författats av Anders Rafting. Marianne Treschow Generaldirektör Post- och telestyrelsen

4

5 Innehåll Sammanfattning...7 Summary PTS verkar för säkrare trafikutbyte mellan Internetoperatörer Minskad sårbarhet i trafikutbytet på Internet är en av åtgärderna för ett säkrare Internet Syftet är att beskriva och testa sårbarheter för ökad medvetenhet om riskerna Målet är att ta fram förbättrade råd till Internetoperatörer för säkerhetshöjande åtgärder Test av sårbarheter, attacker och konsekvenser Logiska sårbarheter omfattas Läsanvisningar Samtrafik är en förutsättning för Internets existens Internettrafiken förmedlas globalt genom samtrafik i knutpunkter Operatörernas interna nätinfrastruktur grupperas i självständiga administrativa domäner Dirigering av trafik mellan Internetoperatörer baseras på policy Information om lämplig väg till viss destination sprids globalt Funktionen för samtrafik är sårbar för angrepp Säkerhet byggdes inte in från början Samtrafikfunktionen har kända säkerhetsbrister De flesta kända sårbarheter i befintlig version av BGP har åtgärdats Sårbarheter i underliggande transportprotokoll är svåra att utnyttja Idag används en metod för ökad informationssäkerhet i transportprotokollet Belastningsattacker kan ge svåra störningar - men skydd finns Sårbarheterna ärvs in i Next Generation Network Få har kompetens att störa samtrafikfunktionen Trafik når inte fram om routinginformation är felaktig Metoder för ökad säkerhet i samtrafiken Befintliga skyddsåtgärder försvårar angrepp Filtrering används för att ge skydd mot felaktig information Säkerhet finns för underliggande protokoll Förslag för ökad säkerhet genom kryptografiska metoder Testmetoder och testresultat gällande sårbarheter i samtrafiken Fysiska experiment i labb-nät med attacker mot kända sårbarheter Simulering gav en god uppfattning av konsekvenserna av attacker för användare i Sverige Simuleringarna inriktades på manipulerad routinginformation Svårt att få fullständiga indata till simuleringarna Attack genom dirigering av trafik till fel destination Testresultaten visar att konsekvenserna i Sverige blir allvarligare om en dominerande Internetoperatör angrips Attacker får svårare konsekvenser om en betydande operatör angrips Upp till 70% av användarna kan drabbas Anvisningar för skyddsåtgärder PTS fortsatta studier och bevakning av utvecklingen inom området...25 Post- och telestyrelsen 5

6 Bilagor 6 Slutsatser och förslag för ökad säkerhet...26 Litteratur...29 Bilagor Bilaga 1 Introduktion till Border Gateway Protocol...31 Bilaga 2 - Knutpunkter...33 Bilaga 3 - Test av sårbarheter i gränsroutingsystemet Post- och telestyrelsen

7 Sammanfattning Funktionen som hanterar samtrafik mellan Internetoperatörer som i branschen kallas gränsrouting, är en kritisk funktion i Internetinfrastrukturen. Den ursprungliga konstruktionen av funktionen innefattade dessvärre inte något grundläggande stöd för att säkra informationen i systemet och som med all utrustning som exponeras på öppna nät, finns risk för attacker som utnyttjar sårbarheter i mjukvaran. Denna studie är inriktad på att studera kända sårbarheter och att ta reda på i vilken utsträckning genomförda attacker skulle kunna påverka svenska användare. Avsikten har varit, dels att undersöka i vilken mån skyddsåtgärder används för de kända sårbarheterna, dels att hjälpa till att sprida kunskap om de skyddsåtgärder som står till buds och bör tillämpas. Vidare har syftet varit att identifiera de åtgärder som ger det största utbytet i fråga om att minska antalet användare som negativt påverkas vid en attack. Utifrån de experiment som genomförts med kända attacker, kan vi konstatera att vissa typer av sårbarheter är mycket svåra att utnyttja. Detta gäller särskilt det av gränsroutingprotkollet använda transportprotokollet, där nyare versioner av mjukvaran har förbättrats och vissa smärre modifieringar gjorts i hanteringen av meddelanden. Detta gör det svårt att genomföra vissa typer av attacker utom i de fall angriparen kan avlyssna trafiken på förbindelsen. Belastningsattacker mot samtrafik har inte uppmärksammats lika mycket som de som gjorts mot annan infrastruktur, men hotet finns och det är viktigt att vidta skyddsåtgärder. Det är viktigt att uppdatera mjukvaran på routrar och annan infrastrukturutrustning, då allt fler ägnar sig åt att leta sårbarheter även i infrastrukturen att utnyttjas för attacker. För att ge skydd mot ännu okända sårbarheter, krävs åtgärder bland annat genom att tillämpa de råd och anvisningar som finns att tillgå. Simuleringarna av de potentiella följdverkningarna av attacker på Internet i Sverige fokuserades på att studera attacker som bygger på introduktion av falsk routinginformation i systemet. Vid attacker utgående från nät tillhörande svenska Internetoperatörer, varierar konsekvenserna från att inga andra operatörer och deras abonnenter påverkas till att upp till 60-70% av de svenska användarna skulle kunna påverkas. Det är främst attacker mot dominerande operatörer som leder till att en stor del av slutanvändarna påverkas, medan attacker mot övriga operatörers nät bara leder till att färre än 10% av användarna drabbas. Det är önskvärt att det på längre sikt byggs in bättre säkerhet i protokollet för IP-baserad samtrafik, eftersom dagens skyddsmetoder inte ger en heltäckande lösning. De viktigaste råden och anvisningarna när det gäller system för IP-baserad samtrafik är att uppdaterad mjukvara alltid används, utökad och adekvat filtrering tillämpas, befintliga anvisningar och mallar används samt att berörda aktörer medverkar till att standardiserade metoder för spårbarhet och dataintegritet utvecklas och införs. Post- och telestyrelsen 7

8 Summary The interdomain routing system is a critical part of the Internet infrastructure. Unfortunately, the original design did not include mechanisms to secure the information in the system, and as is the case for any equipment that is exposed in the network there is the possibility of attacks. Thus, vulnerabilities are currently known to exist and there is a great deal of interest in improving the security of the routing system. The goal is partly to examine the extent to which protection is available, partly to spread knowledge about protective measures, and if affected users. The attack experiments with known attacks in lab networks indicate that certain types of threats, for instance attacks against TCP connections to break or affect BGP peering sessions, are significantly more difficult to carry out in practice than what has previously been indicated in certain reports. Newer software versions have improved the protocol implementations and include some modifications to the treatment of key messages which makes it very difficult for an attacker to succeed unless traffic on the link can be monitored. Additional protection of peering connections can be afforded by MD5-based protection, although it appears to carry with some risks that increased CPU-load could be exploited for DoS-attacks. Simple DoS-attacks targeting the infrastructure are a known phenomenon but have perhaps not received as much attention as other types of attacks (with the exception of the DNS root server attacks), but our results indicate that they pose a more tangible threat than sequence number attacks against TCP. The results suggest that deaggregations by customer ASes have a very small probability of impacting the system, thanks to extensive defensive filtering. The impact from attacks launched from different Swedish ISP ASes, on the other hand, varies from none (in about half the scenarios) to up to 60-70% of the end users being affected. However, due to market concentration there are only a few scenarios that lead to extensive consequences, and for most scenarios fewer than 10% of the users are affected. The simulations point to specific scenarios that can potentially lead to large impact, and it would be interesting to follow up the specifics with ISPs to validate the policyinformation from the routing registry and to determine if it would be feasible to introduce certain stricter filters for these specific scenarios. As a longer term goal it would be better to strive for better security support being incorporated into the protocols since filtering cannot provide a complete solution. 8 Post- och telestyrelsen

9 1 PTS verkar för säkrare trafikutbyte mellan Internetoperatörer 1.1 Säkrare trafikutbytet är en åtgärderna för ett säkrare Internet Regeringen beslutade i dec 2006 om en strategi för ett säkrare Internet. PTS genomför ett antal åtgärder enligt den i strategin ingående handlingsplanen. En av åtgärderna är att PTS ska verka för ett säkrare trafikutbyte mellan Internetoperatörer, vilket denna rapport beskriver. 1.2 Syftet är att beskriva och testa sårbarheter för ökad medvetenhet om riskerna Arbetet har som syfte att beskriva och testa sårbarheter och hot samt att göra konsekvensanalys av störningar av funktionen för trafikutbytet mellan Internetoperatörer för att öka medvetenheten om riskerna. 1.3 Målet är att ta fram förbättrade råd till Internetoperatörer för säkerhetshöjande åtgärder De i arbetet genomförda testerna, förväntas ge en uppfattning om vilka sårbarheter som i första hand måste hanteras samt hur olika typer av attacker drabbar operatörerna, deras samtrafikpartner och abonnenter. Målet är att föreslå användning av allmänna råd s.k. Best Common Practice och om möjligt bidra till uppdateringar till existerande råd och anvisningar gällande säkerheten i trafikutbytesfunktionen. En önskvärd effekt är ökad säkerhet i den del av samtrafikfunktionen som hanterar gränsrouting genom att de aktörer som har operativt driftansvar tillämpar förbättrad BCP. Förhoppningen är också att förbättrade insikter om de relativa riskerna ska få effekten att Internetoperatörernas ianspråktagna resurser för att förbättra säkerheten kan prioriteras på ett rationellt sätt till de områden där de ger bäst utbyte. 1.4 Test av sårbarheter, attacker och konsekvenser Arbetet har baserats dels på experiment med fysisk routerutrustning, dels på simuleringar för att uppskatta följdverkningarna i större skala. Förhoppningen har varit att på detta sätt få en bättre förståelse för kända typer av attacker med avseende på realiserbarhet, konsekvenser och motåtgärder. För simuleringarna har en modell utvecklats med vars hjälp vi kunnat uppskatta konsekvenserna av olika attackscenarier, dels avseende typ av attack och dels avseende i vilken punkt i systemet attacken sätts in. I det senare skedet av Post- och telestyrelsen 9

10 projektet genomfördes ytterligare experiment med fysisk utrustning för att studera vissa grundläggande attackmekanismer i detalj som gett ytterligare indata till simuleringsmodellen. Experiment och simuleringar har skett i samarbete med Michael Liljenstam från Omicron Ceti AB. 1.5 Logiska sårbarheter omfattas Arbetet omfattar undersökning av logiska sårbarheter till skillnad från fysiska sårbarheter. Med logiska sårbarheter avses svagheter som kan utnyttjas i attacker som inte går ut på att fysiskt förstöra eller störa nätverksutrustning, utan istället genom att t.ex. manipulera kontrolltrafik, minnes- och processorkapacitet eller genom att skaffa sig tillträde till utrustningens kommandogränssnitt. De sårbarheter eller potentiella sårbarheter som önskas belysas i projektet innefattar övergripande: Manipulation av router-konfiguration till följd av intrång eller med hjälp av insider. Olika former av belastningsattacker mot gränsrouter. Störningar genom utnyttjande av mjukvarusårbarheter. 1.6 Läsanvisningar Rapportens huvuddel beskriver övergripande sårbarheter, hot och skyddsåtgärder samt hänvisning till råd och anvisningar s.k. Best Common Practices, för att få ökad säkerhet i samtrafiken dvs. trafikutbytet mellan Internetoperatörer. Den kan därför läsas av generalister och av dem som vill veta varför ökad säkerhet i detta avseende behövs och på vad sätt detta kan uppnås. En kortfattad beskrivning av funktioner relaterade till utbyte av Internettrafik/samtrafik finns i bilaga 1 och 2. För den tekniskt intresserade finns i bilaga 3 den fullständiga rapporten från testet av sårbarheter genom simuleringar och fysiska experiment. Förkortningar och begrepp finns sist i bilaga 3, Appendix E. 2 Samtrafik är en förutsättning för Internets existens 10 Post- och telestyrelsen

11 Internettrafiken förmedlas globalt genom samtrafik i knutpunkter Operatörernas interna nätinfrastruktur grupperas i självständiga administrativa domäner Routing mellan autonoma system baseras på policy Information om lämplig väg till viss destination sprids globalt 2.1 Internettrafiken förmedlas globalt genom samtrafik i knutpunkter Det som gör Internet till ett globalt nätverk där alla kan nå alla, är att samtrafik kan ske mellan Internetoperatörer där trafik förmedlas över operatörsgränserna. Exempelvis måste e-post kunna förmedlas till destinationer utanför det operatörsnät i vilket avsändaren befinner sig. Detta realiseras i knutpunkter på olika platser i världen till vilka två eller flera operatörer ansluter sig. Knutpunkterna har utrustning för dirigering av trafik i s.k. gränsroutrar, som har funktioner för att avgöra lämplig väg till externt nät med hjälp protokollstandarden Border Gateway Protocol (BGP) version 4. Standarden är framtagen av Internet Engineering Task Force (IETF). 2.2 Operatörernas interna nätinfrastruktur grupperas i självständiga administrativa domäner För att kunna kontrollera näten, grupperas de nät som ligger under samma administrativa driftsansvar i självständiga domäner benämnda autonoma system (AS). Dessa AS utgörs vanligen av en Internetoperatör men kan även vara ett företag. Varje AS har ett unikt AS-nummer (ASN) som fungerar som identifikationsbegrepp vid trafikutbytet med andra AS i knutpunkter s.k. Internet Exchange Points (IXP). Post- och telestyrelsen 11

12 Publik IXP AS8 AS6 AS5 AS1 Privat IXP AS2 AS3 AS4 AS7 Autonoma system (AS) dvs. operatörer utbyter trafik med varandra i knutpunkter. Som nämnts ovan kan även andra organisationer än Internetoperatörer t.ex. ett företag, som kund till operatörer vara anslutet till två eller flera operatörers nät genom s.k. multihoming. Genom denna teknik garanteras att företagets resurser (webbserver, e-postkontor etc.) är tillgängliga flera vägar för ökad redundans. En Internetanslutning med multihoming till olika AS kräver system med funktioner för gränsrouting med BGP. Aktörer som använder sig av BGP benämns ofta BGP-speakers som kommunicerar med s.k. peers och sägs ha en peeringförbindelse mellan sig för att utbyta routinginformation. En nätverksoperatör utgör oftast ett AS men större operatörsnät kan vara indelat två eller flera AS. De gränsroutrar som hanterar en operatörs utgående och inkommande trafik, utbyter information om i vilket AS eller i vilken del av det egna AS:et de uppfattar att en viss nätadress befinner sig. De autonoma systemen identifieras med nummer s.k. autonoma systemnummer (AS-nummer). Dessa ASnummer erhålls av ICANNs Regional Internet Registry (RIR) som ansvarar för Europa och dess närhet nämligen Reseaux IP Européen (RIPE) efter ansökan till RIPE NCC (Network Coordination Centre). Det finns totalt fem RIR i världen som hanterar var sin region. 12 Post- och telestyrelsen

13 2.3 Dirigering av trafik mellan Internetoperatörer baseras på policy Dirigering av IP-trafik eller s.k. gränsrouting mellan mellan olika Internetoperatörers nät dvs. AS, görs utifrån ett av respektive operatör bestämt regelverk eller s.k.policy. Ett AS utgörs av ett stort antal sammankopplade IPnätverk. För att ha kontroll på samtrafikfunktionen har varje AS en klart definierad. Inom ett AS dirigeras eller "routas" IP-paket på grundval av beslut som i de flesta fall tas med utgångspunkt från mätetal härledda ur tekniska parametrar såsom kortaste väg, hastighet och belastning. För att dirigera utbytet av IP-trafik mellan AS över operatörsgränserna, används numera genomgående ett och samma protokoll för att förmedla routinginformation över operatörsgränserna s.k. inter-domain routing, nämligen Border Gateway Protocol (BGP) version 4. I detta fall är routingbesluten baserade på policy snarare än rent tekniska parametrar. BGP används för att bygga komplicerade policy-baserade arkitekturer och innefattar ett antal attribut med vilkas hjälp policy kan sättas upp för att göra rätt beslut. En BGP-router hos en ISP kan ha flera alternativa vägar för att nå en viss destination. Utan policy skulle routern välja den väg (rutt) som har kortaste AS-path dvs. som behöver passera minst antal AS. För att operatörerna ska ha bättre kontroll över vägvalet och kunna ta beslut utifrån ett antal kriterier, bedöms ett antal attribut i routerns beslutsprocess i en bestämd ordning för att sätta upp policy t.ex. Local Preference, vilket innebär att en ISP kan föredra en väg med längre AS-path framför en med kortare. En policy anger även regler för filtrering av routinginformation som ett verktyg för att kontrollera hur trafiken förmedlas. Exempelvis vill man filtrera trafik som kommer från externt nät in i det egna s.k. defensiv filtrering eller filtrera rutter (routes) som ska annonseras till andra nät. För att sätta upp korrekt defensiv filtrering är den enda tillgängliga publika källan Internets routingregister som innehåller policy för varje Internetoperatör. Det är därför viktigt att berörda operatörer ser till att hålla informationen om sin policy uppdaterad. 2.4 Information om lämplig väg till viss destination sprids globalt Det unika nummer som varje AS innehar, används för identifiering och för att ingå i den routinginformation som annonseras till andra operatörer och propageras globalt över hela Internet om lämplig väg s.k. AS-path genom Internet till en viss nätadress s.k. prefix. Detta görs av gränsroutrar eller s.k. border routers med BGP-system som utbyter och sprider information, dels om vilka nätadresser det gäller, dels genom att indikera i vilken ordning olika AS måste passeras s.k. AS-path, för att nå dessa nätadresser. Denna information om väg till viss destination uttryckt i AS-path och prefix kallas rutt (eng. route) och sprids från operatör till operatör genom annonsering i s.k. UPDATE-meddelanden. Post- och telestyrelsen 13

14 Genom att lyssna på andra routrar och para ihop det med egen kunskap och policy bygger varje gränsrouter upp egna databaser s.k. routingtabeller. Med hjälp av detta kan utgående och inkommande trafik förmedlas för olika tillämpningar som webb, e-post, telefoni etc. Hallå AS37, du kan nå Nät A via mig! 1) UPDATE 4) AS37 3) 2) UPDATE Hallå AS2, du kan kan nå Nät A via mig och AS12! AS12 5) Nät A ( /23) OK, här kommer trafik till Nät A! AS2 AS2 uppdaterar sin routing tabell AS-PATH: 2,37,12 I ovanstående figur annonserar AS12 Nät A via ett 1) UPDATE-meddelande till sin granne AS37 med vilken samtrafik (peering) sker och som 2) vidarebefordrar routinginformationen till AS2 som då kan 3) förmedla trafik till Net A enligt angiven väg dvs. AS-path. AS2 lägger till sitt ASnummer i AS-path och skickar det i förekommande fall vidare till nästa AS. 14 Post- och telestyrelsen

15 3 Funktionen för samtrafik är sårbar för angrepp Säkerhet byggdes inte in från början Samtrafikfunktionen har kända säkerhetsbrister Sårbarheterna ärvs in i Next Generation Networks Hittills har få tillräcklig kompetens att störa samtrafikfunktionen Trafik når inte fram om routinginformation är felaktig 3.1 Säkerhet byggdes inte in från början När BGP-protokollet konstruerades togs ingen större hänsyn till säkerhetsaspekter, vilket har lett till att funktionen för gränsrouting idag har vissa välkända, fundamentala, brister när det gäller att säkerställa att informationen i routingsystemet är korrekt. Detta betyder att det saknas möjlighet att verifiera, att den address- och routinginformation som sprids från operatör till operatör, ursprungligen är initierad av den rättmätige innehavaren av berörd adressrymd och att informationen är fullständig och oförvanskad. Vidare finns viss risk för att falska routrar ansluts för att styra trafiken till fel mottagare. En annan sårbarhet är att BGP transporteras ovanpå ett annat protokoll, Transmission Control Protocol (TCP) som också har sina säkerhetsbrister och kan angripas. Det i särklass mest välkända fallet är en incidenten 1997 där gränsroutinginformation läckte ut och ledde till storskaliga störningar. Incidenten ledde till en ökad insikt om bristen på inbyggda säkerhetsfunktioner i BGP och hjälpte till att initiera framtagandet av förslag på nya säkerhetsmekanismer. 3.2 Samtrafikfunktionen har kända säkerhetsbrister Ett antal systematiska studier har gjorts för att analysera potentiella sårbarheter i routingsystemet. Välkända problem som återkommer i dessa studier är, förutom den ovan nämnda avsaknaden av skydd av äkthet (autenticitet) och skydd mot förändring (integritet) av routingmeddelanden, exempelvis följande: Direkta tillgänglighetsattacker mot routrar i nätet för att på så sätt störa routingsystemet. Post- och telestyrelsen 15

16 Framkallande av s.k. route flapping, vilket innebär att en gränsrouter upprepat antal gånger genom UPDATE-meddelande till omvärlden annonserar att en rutt finns och strax därpå att den inte längre finns. Mekanismen för s.k. ruttdämpning kan utnyttjas av angripare på så sätt att begränsade störningar resulterar i mer omfattande förlust av förbindelse med andra operatörer. Ruttdämpning (eng, route dampening) används för att förhindra belastning på gränsroutrar orsakat av att inkommande routinginformation ideligen ändras. Ett kraftfullt sätt att sprida routinginformation är att utnyttja s.k. aggregering av rutter vilket sparar kapacitet, men blir samtidigt till en potentiell sårbarhet eftersom en angripares manipulering då kan få svårare konsekvenser. Om routinginformationen genom avsiktligt eller oavsiktligt agerande blir felaktig, kan mycket svåra konsekvenser uppstå. En annan svaghet är att BGP använder Transmission Control Protocol (TCP) som bärare ovanpå Internet Protocol (IP). Om en angripare genom angrepp mot en router sänder ett omstartsmeddelande för TCP, bryts BGP-sessionen och får startas om på nytt vilket tar tid och gör att ett avbrott uppstår. Om detta upprepas med korta mellanrum kan ett helt AS stängas ute från Internet. Alternativt kan ett synkroniseringskommando för TCP sändas till routern, vilket gör att routern måste ta hand om detta. Vid tätt upprepade SYN-kommandon har en överbelastningssituation uppstått och routern hinner inte göra den nytta den ska, med följden att vissa delar av Internet inte går att nå för användare. Mer diskussioner om sårbarheter finns i bilaga 3 där de sårbarheter som studeras i denna rapport beskrivs i detalj De flesta kända sårbarheter i befintlig version av BGP har åtgärdats Eftersom experimenten berörde tidigare kända attacker har samtliga av dessa sårbarheter som berodde på implementationsfel i mjukvaranför nuvarande version av BGP åtgärdats i nyare mjukvaruversioner. Detta gäller till exempel de olika former av störningsattacker som testades i experimenten, samt den IPv6-sårbarhet som utnyttjats för att visa på möjligheten att skriva fungerande intrångskod även mot routrar. Experimenten pekar dock på vikten av att uppgradera mjukvaran på routrar likväl som på persondatorer, eftersom mer gradvis mer uppmärksamhet på säkerhetsluckor i infrastrukturen sannolikt kommer att leda till att ytterligare sårbarheter upptäcks. I realiteten är detta i hög utsträckning känt bland operatörer varför sannolikheten att någon mjukvaruversion som är sårbar för de attacker som testades i experimenten fortfarande körs förmodligen är låg Sårbarheter i underliggande transportprotokoll är svåra att utnyttja Sårbarheter som istället är relaterade till svagheter i konstruktionen av vissa protokoll, som till exempel de TCP-sårbarheter som diskuterades mycket tidigare, kan vara svårare att råda bot på. De TCP-relaterade attackerna visade sig dock vara svårare att genomföra i praktiken än vad som ibland låtit påskinas, samt att även här har förbättringar av implementationen och vissa modifieringar i 16 Post- och telestyrelsen

17 protokollet gjort det mycket svårt att lyckas med denna typ av attack om moderna mjukvaruversioner används Idag används en metod för ökad informationssäkerhet i transportprotokollet Det är svårt att utnyttja sårbarheter i TCP även utan införandet skydd av TCPförbindelser genom en kryptografisk metod baserad på Message Digest 5 (MD5). Denna metod började användas av många i kölvattnet av uppmärksamheten kring TCP-sårbarheterna. MD5-baserat skydd tillför ytterligare säkerhet, t.ex. genom att motparten verifieras, men experimenten tyder också på att de kryptografiska beräkningarna kan ge en extra CPU-belastning som eventuellt skulle kunna utnyttjas av en angripare vid en belastningsattack, om inte lämpliga skydd mot detta används Belastningsattacker kan ge svåra störningar - men skydd finns Några enklare former av belastningsattacker testades också. Från dessa experiment kan man konstatera att riskerna för svåra konsekvenser vid relativt enkla belastningsattacker, t.ex. genom att skicka stora mängder routinginformation till en gränsrouter, förefaller vara större än flera av de mer komplicerade attacktyperna. Belastningsattackerna är dock ett känt fenomen och ett antal skyddsåtgärder finns att tillgripa. En variant som inte studerats så mycket hittills i kombination med routersäkerhet är s.k. reflektionsattacker, vilket innebär att attacker mot ett mål initieras från flera håll. För att få ett gott skydd även mot dessa rekommenderas att man säkerställer att även motparten vid peeringförbindelser håller god säkerhetsnivå. Många former av belastningsattacker kan också undvikas om möjligheterna att förfalska avsändar-ip-adressen blockeras. En målsättning om mer utbredd filtrering av trafik med förfalskade adresser innan denna propageras vidare mot transitnät skulle alltså vara till gagn även för säkerheten i routingsystemet. 3.3 Sårbarheterna ärvs in i Next Generation Network Den förestående migreringen till IP-baserad teknik i det som ofta kallas Next Generation Network, kommer att bidra till ökning av trafik i knutpunkter för trafikutbyte av Internettrafik. Detta beror på att trafikutbyte som idag äger rum i särskilda system för kretskopplad kommunikation, istället kommer att ske i knutpunkter för Internet och IP-baserad trafik. När näten konvergerar till en och samma paketförmedlande teknik, tillsammans med de grundläggande sårbarheterna i funktionen för IP-baserad samtrafik, ökar risken för störningar och avbrott. Störningar och attacker som berör den gemensamma tekniken för samtrafik kan få förödande konsekvenser, om man inte från början vidtar lämpliga skyddsåtgärder och bygger in omfattande redundans. Ett antal faktiska och tänkbara problem i detta sammanhang kan identifieras. Den viktigaste tillväxtrelaterade faktorn är den s.k. konvergenstiden för BGP dvs. den tid som krävs för att en gränsrouter ska anpassa sig till plötsliga ändringar i nätets Post- och telestyrelsen 17

18 prestanda eller topologi. Härvid måste routern uppdatera sina routingtabeller för att de ska återspegla verkligheten, vilket ställer krav på minneskapacitet och processorkraft. För att uppdatera och hantera en routingtabell som idag är poster och i framtiden än större, krävs en mycket stabil gränsroutingfunktion. En annan faktor som kräver mer kapacitet i gränsroutrar är den nya standarden IP version 6 (IPv6). Illvilliga krafter kan i framtiden frestas att göra stora ansträngningar för att genom DoS-attacker inriktade mot minne och CPU försöka slå ut valda delar av gränsroutingfunktionen, på vilken en allt större del av tillämpningar med kommunikation över operatörsgränserna kommer att vila. 3.4 Få har kompetens att störa samtrafikfunktionen BGP är komplext och få har kompetens att i illvilligt syfte störa BGP-trafiken. Däremot kan misstag och insiders orsaka omfattande störningar. Avsikten med denna studie har varit att ge förbättrade insikter beträffande riskerna som är förknippade med attacker som utnyttjar eventuella sårbarheter i routingsystemet. Med risk avser vi här kombinationen av sannolikhet för en lyckad attack och den konsekvens som attacken medför. Sannolikheten för att hot ska realiseras mot BGP-routrar bedöms som relativt liten, men konsekvenserna kan bli mycket svåra i särskilda fall och medföra att Internet blir mer eller mindre otillgängligt. 3.5 Trafik når inte fram om routinginformation är felaktig Genom felaktig BGP-routinginformation kan trafik exempelvis styras till ett nät som saknar de sökta nätadresserna, vilket medför att användare inte når fram till sökt webbplats eller att e-post inte kommer fram. Trafik kan genom illvilligt agerande styras till ett något som liknar ett s.k. svart hål och bara helt enkelt försvinna, vilket medför liknande konsekvenser för användare. Genom en lyckad manipulation av routingsystemet, är det möjligt att antingen blockera trafik till vissa destinationer eller att omdirigera trafik utan användarens kännedom. Idag sker utbyte av Internettrafik och annan IP-baserad trafik i knutpunkter med BGP. Trafikutbyte av kretskopplad trafik sker idag i separata system. När migrering börjar ske till Next Generation Networks (NGN) och dess paketkopplade teknik, kommer en allt större del av trafiken som skickas mellan operatörer att hanteras i gränsroutrar med BGP. Konsekvenserna av en störning eller avbrott i samtrafikfunktionen, riskerar genom denna konvergens bli allvarligare, genom minskad diversitet för använd teknik. 18 Post- och telestyrelsen

19 4 Metoder för ökad säkerhet i samtrafiken Filtrering används för att ge skydd mot felaktig information Det är praktiskt mycket svårt att filtrera trafik från en transitoperatör Säkerhet finns för underliggande protokoll Förslag för ökad säkerhet har tagit fram 4.1 Befintliga skyddsåtgärder försvårar angrepp Efter föregående avsnitt kan det förefalla relativt enkelt att för en angripare att orsaka skada och på olika sätt störa samtrafiken dvs. funktionen för trafikutbytet mellan Internetoperatörer. För att ge en mer rättvis bild, bör man även ta hänsyn till de befintliga skyddsåtgärder som står till buds, av vilka många tillkommit på senare tid allt eftersom säkerhetsmedvetenheten höjts. Nedan diskuteras ett urval av dessa, för att visa hur vilka slags attacker som kan blockeras och vilka säkerhetsluckor som eventuellt kan återstå. 4.2 Filtrering används för att ge skydd mot felaktig information Informationen i systemet skyddas idag genom s.k. defensiv filtrering, där man lägger till filter för att hindra att felaktig information kan komma in i systemet och propageras runt. Av praktiska skäl är det dock inte möjligt att åstadkomma ett fullständigt skydd. Eftersom routingsystemet består av ett stort antal administrativt skilda delar krävs någon form av koordination för att kunna konstruera filter, och Internets routingregister skapades just av denna anledning. Dock varierar kvaliteten på underhållet av de olika objekten i routingregistret varför fel kan uppstå på grund av gammal eller felaktig information. Även om det vore möjligt att konstruera perfekta filter finns praktiska hinder för att använda dem på alla ställen i nätet. Den globala routingtabellen består idag av närmare nätdestinationer eller s.k. prefix, vilket betyder att centrala AS i nätet skulle behöva använda filter med lika många regler. Dels riskerar detta att skapa problem med router-prestanda för att hantera så många regler, och dels är det opraktiskt att konstruera och underhålla konfigurationer med så många regler. Vanligt är att ISP:er filtrerar information om rutter man tar emot från sina kunder, eftersom den har begränsat omfång och man har god kontroll över hur informationen borde se ut. Stora ISP:er kräver ibland att deras kunder själva skapar filter som de sedan kan installera för att kunna filtrera kundens transitkunder. Mellan de största ISP:erna är det opraktiskt att filtrera på grund av det stora antalet rutter, medan situationen på de lägre nivåerna varierar i fråga om filtrering vid peering. Resultatet blir att AS på de lägre nivåerna i de flesta fall Post- och telestyrelsen 19

20 måste lita på att informationen man tar emot uppifrån är korrekt, medan man försöker att skydda systemet från att felaktig information kan läcka in utifrån mot kärnan. En mer omfattande beskrivning av skyddsmetoder finns i bilaga Säkerhet finns för underliggande protokoll Idag byggs säkerheten till en del på filter som förhindrar att irrelevant eller inkorrekt routinginformation accepteras, används och sprids vidare. Sen några år används även en metod för att säkerställa att meddelanden som sänds via Transmission Control Protocol (TCP) dvs. det transportprotokoll som BGP paketeras i, inte har ändrats på vägen och att avsändaren är den korrekta. Detta görs genom en metod, MD5-hashing, som innebär att det för varje TCP-paket beräknas en checksumma som sen krypteras med en gemensam nyckel för parvis kommunicerande BGP-routrar. 4.4 Förslag för ökad säkerhet genom kryptografiska metoder Olika metoder har föreslagits för att göra utbytet av den kritiska routinginformationen mellan AS säkrare, exempelvis Secure Border Gateway Protocol (S-BGP) som tagits fram av BBN-technologies och bygger på kryptografi med asymmetrisk kryptering dvs. med en publik och en privat nyckel. Genom S-BGP kan avsändaren av BGP-information valideras samtidigt som obehörig ändring av själva BGP-informationen inte kan ske utan att det upptäcks. En annan metod som kommer från Cisco System kallas Secure Origin BGP (sobgp) och har testats av APNIC dvs. Internet Registry för Asien med omnejd. Även här används asymmetrisk kryptering. Båda metoderna möts dock av skepsis av operatörerna då mycket administration bland annat av nyckelhantering krävs liksom mer processorkraft i routrarna än vad som finns idag. Dessutom får metoden dålig effekt om det inte får en bred spridning samtidigt som ingen operatör vill vara först ut med en helt ny version av programvara. Andra förslag finns om åtgärder som presenterades vid RIPE51-mötet i oktober 2005 och som finns dokumenterat med titeln A Blueprint for Improving the Robustness of Internet Routing av Georgos Siganos och Michalis Faloutsos. 20 Post- och telestyrelsen

21 5 Testmetoder och testresultat gällande sårbarheter i samtrafiken Fysiska experiment med attacker mot kända sårbarheter genomfördes i labb-nät Simulering gav en god uppfattning av konsekvenserna av attacker för användare i Sverige Simuleringarna inriktades på manipulerad routinginformation Svårt att få fullständiga indata till simuleringarna Attack genomfördes genom dirigering av trafik till fel destination Testresultaten visar att konsekvenserna i Sverige blir allvarligare om en dominerande Internetoperatör angrips Upp till 70% av slutanvändarna kan drabbas av en attack om en aktör med central roll i routingsystemet var utgångspunkten 5.1 Fysiska experiment i labb-nät med attacker mot kända sårbarheter I ett första steg genomfördes experiment för att verifiera kända sårbarheter med attacker i tre olika labb-nät med fysiska routrar för att få en klar bild av de förutsättningar som fanns för att kända sårbarheter skulle kunna utnyttjas. Experimenten syftade dels till att ge information om svårighetsgraden att genomföra en attack, dels för att kontroller att sårbarheten avhjälpts eller att göra en bedömning av i vilken mån vissa sårbarheter kan kvarstå och slutligen att kunna klassificera de lokala konsekvenserna av en genomförd attack. Det vill säga hur de påverkar den specifika router som angrips. De lokala konsekvenserna extrapoleras sedan simulerad miljö med en modell av Internet i Sverige. 5.2 Simulering gav en god uppfattning av konsekvenserna av attacker för användare i Sverige För att få bättre insikt i de konsekvenser som olika attacker kan medföra i större skala utvecklades en simuleringsmodell som omfattar Internet i Sverige och med vars hjälp konsekvenserna av olika attack-scenarier kan mätas. Attackerna varieras dels avseende typ av attack och dels avseende i vilken punkt i systemet attacken sätts in. Modellen är konstruerad för att kunna studera förlopp i routingsystemet då vissa samhällskritiska organisationer eller sektorer utsätts för attacker riktade mot routingsystemet och för att kunna kvantifiera hur stor del av Sveriges Post- och telestyrelsen 21

22 Internetanvändare som skulle kunna påverkas. Med hjälp av denna information, tillsammans med en grov uppskattning av sannolikheten för att attacken kan lyckas, kan vi uppskatta riskerna förknippade med scenariot. Förhoppningen är att förbättrade insikter om de relativa riskerna kan leda till att resurser som riktas mot att förbättra säkerheten kan prioriteras på ett rationellt sätt till de områden där de ger bäst utbyte Simuleringarna inriktades på manipulerad routinginformation Simuleringarna för att extrapolera konsekvenserna till ett större nationellt plan kom att fokuseras mest på attacker som bygger på introduktion av falsk routinginformation i systemet, då det visade sig svårt att samla in tillräckligt detaljerad information om nätverkstopologin för att på ett bra sätt studera enklare störningsattacker. Modellen fokuserades på svenska intressen och användare på så sätt att huvudsakligen AS som förefaller ha någon form av svensk anknytning finns representerade i modellen Svårt att få fullständiga indata till simuleringarna Viktig indata vid byggandet av modellen på en nivå lämplig för att studera falsk routinginformation var främst förekomsten av trafikutbytesförbindelser mellan AS och de routingpolicies som används för att styra utbytet och åstadkomma defensiv filtrering. Den enda tillgängliga publika källan för routingpolicies är Internets routingregister. Dock vet man att uppgifterna i databasen har vissa brister beroende på bristande uppdateringar, som måste göras manuellt. Simuleringsresultaten är därför avhängiga av kvaliteten på indata till modellen. Vid validering av modellen syntes också tecken på sådana brister, men efter vissa åtgärder för att försöka härleda viss ytterligare information för att förbättra modellen, nåddes ett resultat som förefaller ha relativt god överensstämmelse med verkligheten Attack genom dirigering av trafik till fel destination Den typ av attack som simulerades baserad på falsk routinginformation skedde antingen genom att ett prefix i en rutt kapades via s.k. deaggregering, vilket innebär att prefix ändras till att bli mer specifikt så att dirigeringen blir felaktig. Denna typ av attack gjordes också genom att samma prefix annonserades. En kapning av rutt skulle kunna utnyttjas för en störningsattack, för att förhindra användare att nå vissa tjänster eller information, eller för att styra om trafik utan användares vetskap till falska sajter för att samla känslig information liknande phising eller pharming. Ett stort antal scenarier simulerades där flera variabler varierades. Målet för attacken varierades mellan objekt som fick representera ett antal olika organisationer. För ändamålet valdes två affärsbanker, två nätmäklare, ett medieföretag (nyheter), samt en myndighet. Utgångspunkten för attacken varierades mellan alla AS som förekommer i modellen, dvs. AS tillhörande svenska ISP:er, AS tillhörande transitkunder som inte själva är ISP:er, samt vissa utländska ISP:er. 22 Post- och telestyrelsen

23 5.3 Testresultaten visar att konsekvenserna i Sverige blir allvarligare om en dominerande Internetoperatör angrips Attacker får svårare konsekvenser om en betydande operatör angrips De stora dragen som framgår av scenarier med s.k. deaggregeringsattacker är att konsekvenserna, i termer av hur stor andel av svenska användare som potentiellt påverkas, inte främst beror av vilket AS som är målet för attacken, utan istället i hög grad beror på var attacken utgår från, dvs. varifrån informationen propageras. Detta hänger samman med att inflytandet från olika AS, och därmed filtreringspolicy, varierar Upp till 70% av användarna kan drabbas Konsekvenserna varierar från ingen påverkan utanför det egna Aset till att någonstans mellan 60 och 70% av användarna kan påverkas. Här spelar marknadskoncentration en stark roll, så tillvida att det i de flesta fall är en begränsad andel användare som riskerar att påverkas (typiskt under 10%), och endast i ett fåtal fall berör det en större andel. Det vill säga vissa AS (företrädesvis de största ISP:erna) har en mycket central roll, både i termer av att innehålla de flesta användarna, samt att ha en förbindelser till många andra AS. Endast scenarier som påverkar dessa centrala aktörer når följaktligen ett riktigt stort genomslag. Om däremot attacker initieras från utpräglade kund-as så tyder resultaten på mycket små möjligheter att påverka systemet. Detta förefaller i linje med att gällande praxis är att använda defensiva filter mot kunder. Vid konstruktionen av modellen gjordes konservativa antaganden då information saknades, så att de beräknade konsekvenserna skulle ges i form av en undre gräns, snarare än överskattas. Det är alltså möjligt att kompletteringar av informationen i modellen kan leda till indikeringar om större konsekvenser. 5.4 Anvisningar för skyddsåtgärder För att skydda sig, inte bara mot kända, men också potentiella nya hot mot samtrafik genom gränsrouting, finns anvisningar och goda råd att tillgå i s.k. Best Common Practices. Nedan och i bilaga 3, avsnitt 4, ges några referenser till källor för sådana. Som en bra startpunkt nämns ofta mallar för konfigurering av gränsroutrar, framtagna av Team Cymry som är ett forskningsteam inom området, exempelvis ( resp. Mallarna ställdes i relation till experimenten som utförts och vi konstaterade att kombinationen av uppdaterad mjukvara och konfigurationsmallarna täcker in de fall som studerades i experimenten och torde utgöra en bra startpunkt för konfiguration av gränsroutrar. Mallarna kan dock inte betraktas som en färdig lösning och måste anpassas och utvidgas utefter de lokala förutsättningarna. Post- och telestyrelsen 23

24 De skyddsåtgärder som oftast nämns är följande: Infrastrukturskydd genom listor för åtkomstkontroll s.k. Access Control List (ACL): skydd för att förhindra utomstående från att kontakta routrar och annan utrustning i infrastrukturen. Undanstyrning och förkastande av skadlig trafik. Spoofing-skydd: filtrering för att i möjligaste mån upptäcka och förkasta trafik där avsändaradressen förfalskats. Filtrering av BGP: filtrering av otillåtna adresser s.k. bogons dvs. oanvända adressblock och andra felaktiga rutter över peeringförbindelser. En mer detaljerad beskrivning av olika skyddsmetoder och BCP:er finns i Bilaga 3, avsnitt 4 Nätverksföretaget Cisco har, förutom böcker om routingdesign och konfigurering, publicerat en serie rapporter i form av s.k. White papers med säkerhetsråd kallade SAFE Blueprints ; bl.a. SAFE: Best Practices for Securing Routing Protocols specifikt inriktat på routingprotokoll. Där beskrivs några olika typer av attacker och säkerhetsåtgärder som skydd av peeringförbindelser genom kryptering, routing mot alla externa nät, filtrering, flap-dämpning. Exempel på områden som behandlas: Attacktyper: Avbrott av samtrafikförbindelse (peeringförbindelse) Förfalskning av routinginformation Omstyrning av trafik till att gå i cirkel (loop) Omstyrning av trafik till svart hål trafik försvinner Olika typer av tillgänglighetsattacker Framkalla s.k. routeflapping minskar tillgängligheten i nätet Skyddsåtgärder: Skydd mot routerintrång Skydd mot intrång i peeringförbindelse Skydd mot falska routrar Anvisningar i samband med autenticering (via MD5) 24 Post- och telestyrelsen

25 Olika skydd och konfigurationsanvisningar vid anslutning mot externa nät Filtrering inom nätet Framtida utveckling av routingsäkerhet Amerikanska National Institute of Standards and Technology har nyligen publicerat ett utkast till en rapport med säkerhetsråd för konfigurering av BGP. Olika branschorganisationer t.ex. NANOG, RIPE, och APNIC, har också många föredrag med säkerhetsråd på sina konferenser. Material från många av dessa tidigare föredrag finns tillgängliga på webben. Andra webbsidor, som har samlat många dokument och länkar till ytterligare information om BGP, routingsystemet och säkerhet. 5.5 PTS fortsatta studier och bevakning av utvecklingen inom området Simuleringarna visar att många användare påverkas om en aktör med stor marknadsandel attackeras. Detta skulle vara intressant att studera vidare liksom de fall då aktörer med relativt små marknadsandelar riskerar att störa aktörer med större marknadsandelar. Scenarier av detta slag vore önskvärt att diskutera med ISP:er för att se om informationen i routingregistret stämmer och om det i så fall är praktiskt genomförbart att modifiera och förbättra skyddet. Flera initiativ pågår för närvarande för att skapa fundamentalt bättre säkerhet genom olika former av kryptografiskt skydd av informationen, men mycket arbete återstår innan en praktiskt genomförbar standardlösning finns att tillgå. PTS bör följa utvecklingen av vissa mer pragmatiska förslag som ställts för att förbättra skyddet av informationen i routingsystemet och som bygger på metoder för att upptäcka felaktig information i systemet. Post- och telestyrelsen 25

26 6 Slutsatser och förslag för ökad säkerhet Protokollet som hanterar samtrafiken mellan IP-operatörer (BGP) har grundläggande konceptuella brister när det gäller informationssäkerheten. Övriga sårbarheter som upptäcks, åtgärdas successivt i nyare versioner av mjukvaran. Spridning av felaktig routinginformation genom misstag eller genom en illasinnad insider, kan orsaka omdirigering eller blockering av trafiken och få svåra konsekvenser för användarna. Samtrafikfunktionen kan även störas genom externa angrepp, men hittills har endast ett begränsat antal individer tillräcklig kompetens för att lyckas med detta. Olika slags filtrering används av operatörerna för att ge skydd mot felaktig routinginformation. För stora operatörer innebär detta problem, eftersom filtren blir omfattande och svåra att underhålla. Detta medför att filtren antingen är bristfälliga eller saknas helt. Attacker mot gränsroutrar som belastar minne och processor kan få samtrafikfunktionen att sluta fungera och ge svåra störningar. Om en dominerande Internetoperatör genom en attack görs till källa för felaktig routinginformation, visar våra simulatortester att konsekvensen kan bli att upp till 70% av slutanvändarna påverkas. När det gäller det underliggande transportprotokollet som BGP förmedlas över nämligen Transmission Control Protocol (TCP), är risken relativt låg för att attacker mot detta ska ha någon påverkan, eftersom effektiva skyddsmekanismer införts. Den pågående migreringen av kretskopplad trafik till paketförmedlande teknik, i det som ofta kallas Next Generation Network, kommer att bidra till ökningen av IP-baserad samtrafik. Säkerheten i funktionen för IP-samtrafik blir därmed allt viktigare. PTS avser att följa utvecklingen av kryptografiska lösningar som innebär spårbarhet av informationen och att den inte ändrats samt auktorisation för spridning av routinginformation. Baserat på erfarenheterna av vårt arbete ges följande förslag till operatörer: Uppdaterad mjukvara bör alltid användas i gränsroutrar för bättre säkerhet. Det är önskvärt med utökad filtrering för att undvika att förfalskad och inadekvat routinginformation sprids vidare. Det är viktigt att operatörerna ser till att informationen om policy i routingregistret hålls uppdaterad för att underlätta adekvat filtrering. Det är viktigt att Internetoperatörer följer befintliga anvisningar och mallar för gränsroutingsystem. 26 Post- och telestyrelsen

27 Post- och telestyrelsen 27

28

29 Litteratur Se bilaga 3, avsnitt 7 Referenser Post- och telestyrelsen 29

30

31 - BILAGA 1 Bilaga 1 Introduktion till Border Gateway Protocol Kommunikation mellan BGP-system Ett system för samtrafik genom gränsrouting dvs. ett s.k. BGP-system börjar med att öppna en anslutning över Transmission Control Protocol (TCP) till en BGPgranne dvs. en operatör med vilken avtal om samtrafik finns och till vilken en direktförbindelse finns. Öppningsmeddelandena identifierar avsändarens AS- och BGP-identifierare och kan även innehålla autentiseringsinformation för att säkert avgöra att informationen kommer från det AS som det utger sig för att vara. När förbindelsen väl öppnats utväxlas routinginformation. Förbindelsen förblir öppen, och uppdateringar sänds vid behov. För att säkerställa kontakten utväxlas periodiska keep-alive meddelanden, vanligtvis var 30:e sekund. Annonsering av rutter De i systemet ingående routrarna annonserar kontinuerligt information om rutter (eng. route) till sina grannar genom s.k. UPDATE-meddelanden. En gränsrouter i AS 100 kan exempelvis få veta att vägen till en viss destination går via AS 555, AS 430 och AS 22. När sedan AS 100 rapporterar vidare till sina grannar, lägger den till sitt eget nummer först i kedjan: AS 100, AS 555, AS 430, AS 22 etc. Denna teknik gör det enkelt att upptäcka loopar. Om en router mottar en annonsering där dess eget AS-nummer ingår ignoreras helt enkelt annonseringen. Aggregering av rutter För att undvika att routingtabellerna växer sig för stora används en teknik som kallas aggregering dvs. sammanslagning av vägar eller rutter (eng. routes) som de ofta kallas i dessa sammanhang. Det innebär att en Internetoperatör kan annonsera alla sina kunders nät- och vägvalsinformation i ett block ut mot omvärlden. Trafik från externa AS sänds till operatörens aggregerande router som vidarebefordrar den till kundernas nät baserat på sina egna routingtabeller. Vid utgående trafik informerar kundens AS operatören om rutterna till de interna nätverken. Operatören aggregerar sedan rutterna under ett prefix, innan de vidareannonseras till världen utanför. Återkallande av rutter En etablerad rutt återkallas om den förekommer i listan över återkallade rutter i en uppdatering. Samma sak gäller om en uppdatering innehåller en ersättningsrutt eller om ett BGP-system stänger sin förbindelse. Då annulleras samtliga rutter från detta system. Ruttdämpning I princip utsätts varje BGP router för onödiga uppdateringar av rutter dvs. angivelse av väg (PATH) fram till visst nät (prefix) på grund av fluktueringar längre ut i Internet. För att minska konsekvenserna av detta görs s.k. ruttdämpning, vilket fungerar så att en annonsering av en rutt som betraktas som Post- och telestyrelsen 31