Internet Routing mit RPKI absichern

Klare Datenpfade

Das Internet beheimatet mehr als 60.000 autonome Systeme – kurz AS –, die miteinander verbunden sind. Das Border-Gateway-Protokoll erlaubt den Systemen viele Freiheiten und damit auch viele Möglichkeiten, das Internetrouting massiv zu stören. Mit der Resource-PKI lassen sich IP-Adressbereiche und Ursprungs-AS kryptografisch aneinander koppeln und die Sicherheit von Erreichbarkeitsinformationen erhöhen. Unser Security-Tipp zeigt, wie RPKI funktioniert und wie Sie Erreichbarkeitsinformationen manuell oder automatisiert prüfen können.
Funktioniert ein Rechner oder Dienst im Unternehmen nicht mehr, ist die IT-Abteilung die erste Anlaufstelle. Um Ausfälle bereits im Vorfeld zu vermeiden und ... (mehr)

Das Border-Gateway-Protokoll (BGP) ist de-facto das Standardprotokoll für den Austausch von Erreichbarkeitsinformationen zwischen autonomen Systemen (AS) im Internet. IP-Adressbereiche sind in Prefixe eingeteilt und die Erreichbarkeit jedes Adressbereichs wird vom Ursprungs-AS in Form eines BGP-Announcements an die benachbarten AS weitergeleitet. Diese AS stellen sich selbst dem AS-Pfad des Announcements voran und leiten die Informationen dann wiederum an alle benachbarten AS weiter. So traversieren Erreichbarkeitsinformationen aller Prefixe durch das Internet und werden in den Routing-Tabellen der Autonomen-Systeme-Router vorgehalten.

Die BGP-Spezifikation sieht aus historischen Gründen keine Absicherung der Erreichbarkeitsinformationen vor. Das Internet war zum Zeitpunkt seiner Entstehung so überschaubar, dass sich Administratoren noch persönlich kannten. Auch wenn das heute nicht mehr so ist, gibt es noch ein implizites Vertrauen aller AS untereinander. Das bedeutet, dass jedes AS im Grunde beliebige Informationen an seine Nachbarn weiterleiten kann, sowohl im Hinblick auf Prefixe als auch auf AS-Pfade. Der Versand falscher Informationen führt so regelmäßig zu Routinganomalien im Internet. Erst kürzlich ist die Deutsche Telekom Opfer eines Prefix-Hijacking geworden.

Routinganomalien

Die Ursache für Routinganomalien sind häufig Konfigurationsfehler einzelner AS. Einmal im Router hinterlegt, werden Informationen unmittelbar weitergeleitet und verbreiten sich zeitnah im Internet. So führt etwa ein Tippfehler bei der Eingabe des Prefixes unter Umständen zu einer internetweiten Beeinträchtigung. Die so entstehende Anomalie nennt sich heute Prefix-Hijacking.

Der erste dokumentierte Prefix-Hijacking-Vorfall fand bereits 1997 statt, als das AS mit der Nummer 7007 versehentlich alle damals erreichbaren Prefixe an seine Nachbarn weiterleitete, etwa 45.000 an der Zahl. Dieser

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021