Internet Routing mit RPKI absichern

Das Border-Gateway-Protokoll (BGP) ist de-facto das Standardprotokoll für den Austausch von Erreichbarkeitsinformationen zwischen autonomen Systemen (AS) im Internet. IP-Adressbereiche sind in Prefixe eingeteilt und die Erreichbarkeit jedes Adressbereichs wird vom Ursprungs-AS in Form eines BGP-Announcements an die benachbarten AS weitergeleitet. Diese AS stellen sich selbst dem AS-Pfad des Announcements voran und leiten die Informationen dann wiederum an alle benachbarten AS weiter. So traversieren Erreichbarkeitsinformationen aller Prefixe durch das Internet und werden in den Routing-Tabellen der Autonomen-Systeme-Router vorgehalten.

Die BGP-Spezifikation sieht aus historischen Gründen keine Absicherung der Erreichbarkeitsinformationen vor. Das Internet war zum Zeitpunkt seiner Entstehung so überschaubar, dass sich Administratoren noch persönlich kannten. Auch wenn das heute nicht mehr so ist, gibt es noch ein implizites Vertrauen aller AS untereinander. Das bedeutet, dass jedes AS im Grunde beliebige Informationen an seine Nachbarn weiterleiten kann, sowohl im Hinblick auf Prefixe als auch auf AS-Pfade. Der Versand falscher Informationen führt so regelmäßig zu Routinganomalien im Internet. Erst kürzlich ist die Deutsche Telekom Opfer eines Prefix-Hijacking geworden.

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.