top of page
AutorenbildMorris Görke

Die Notwendigkeit und die Vorteile von RPKI im Internetrouting

Das Border Gateway Protocol (BGP) ist das zentrale Routingprotokoll des Internets. Es ermöglicht den Austausch von Routinginformationen zwischen autonomen Systemen (AS) und gewährleistet so die globale Erreichbarkeit von IP-Adressen. (Autonome Systeme (AS) sind Firmen und Organisationen, die am Internetrouting teilnehmen. Carrier und größere Unternehmen sind beispielsweise als mindestens ein AS im Internet vertreten.)

Allerdings hat BGP keine eingebauten Mechanismen zur Authentifizierung oder Autorisierung der gerouteten IP-Präfixe. Das bedeutet, dass ein AS potenziell falsche Routen ankündigen kann, sei es durch Fehlkonfiguration oder böswillige Absicht. Solche falschen Routinginformationen können den Datenverkehr umleiten, unterbrechen oder Abhören ermöglichen, was die Sicherheit und Stabilität des Internets stark gefährdet.


Funktionsweise von RPKI im Internet

Die Resource Public Key Infrastructure (RPKI) wurde entwickelt, um diese Schwachstellen zu beheben. RPKI ist ein kryptografisches Framework, das digitale Zertifikate verwendet, um die Routinginformationen zu verifizieren. Durch die Erstellung von Route Origin Authorizations (ROAs) können IP-Ressourceninhaber festlegen, welche AS berechtigt sind, bestimmte IP-Präfixe per BGP an andere Internet-Router weiterzugeben.

Wenn ein Internet-Router ein BGP-Update erhält, kann er mithilfe der RPKI-basierten Validierung überprüfen, ob das sendende AS tatsächlich berechtigt ist, das angegebene IP-Präfix als Route anzukündigen. Dadurch verhindert RPKI effektiv die Verbreitung falscher oder bösartiger Routinginformationen im Internet.


Technische Implementierung von RPKI

Die Implementierung von RPKI umfasst mehrere Schritte:

  1. Zertifikatserstellung: Netzwerkbetreiber erhalten digitale Zertifikate von einer vertrauenswürdigen Zertifizierungsstelle, die ihre IP-Adressen und AS-Nummern bestätigen.

  2. Erstellung von ROAs: Mit diesen Zertifikaten erstellen bzw. signieren sie ROAs, die festlegen, welche AS bestimmte IP-Präfixe ankündigen dürfen.

  3. Veröffentlichung: Die ROAs werden in einem öffentlichen Repository gespeichert, sodass andere Netzwerkbetreiber darauf zugreifen und die Informationen validieren können.

  4. Validierung: Beim Empfang einer BGP-Route kann der Netzwerkbetreiber die Herkunft der Route anhand der ROAs überprüfen und entsprechend als "valid", "invalid" oder "unknown" klassifizieren.

Dieser Validierungsprozess erhöht die Sicherheit des Routings erheblich, indem er sicherstellt, dass nur autorisierte AS bestimmte IP-Präfixe ankündigen können. RPKI ist für IPv4 und IPv6 anwendbar.


Für Europa hat sich RIPE positiv hervorgetan und bietet als entsprechende IP-Ressourcenvergabestelle auch die Betreuung der notwendigen Zertifikatsinfrastruktur an: https://www.ripe.net/manage-ips-and-asns/resource-management/rpki/ripe-ncc-rpki-trust-anchor-structure/

Eine schematische Darstellung von BGP und RPKI im Internet.
BGP mit RPKI, eine schematische Darstellung

Vorteile der RPKI-Implementierung

  • Schutz vor BGP-Hijacking: Durch die Validierung der Herkunft von IP-Präfixen reduziert RPKI das Risiko falsch geleiteter Datenströme.

  • Erhöhung der Transparenz: Authentifizierung der Routinginformationen macht das Routing besser nachvollziehbar.

  • Reduzierung menschlicher Fehler: Automatisierte Validierungsprozesse minimieren Fehlerquellen bei manueller Konfiguration. (Der Punkt ist relevant: Die BGP-Konfiguration mit ihren Filterlisten kann komplex sein und dadurch schnell Fehler verursachen.)


Operative Überlegungen

Die Implementierung von RPKI bringt einige operative Punkte mit sich:

  1. Komplexität der Richtlinien: Die Konfiguration kann umfassend sein und erfordert sorgfältige Planung sowie gutes Monitoring der Zertifikate durch geschultes IT-Personal.

  2. Hardware- und Softwareanforderungen: Router müssen in der Lage sein mit RPKI umzugehen.

  3. Alternativen zum eigenen Betrieb: In wenigen Fällen kann ein Carrier die RPKI-Funktionen übernehmen. Zudem empfiehlt sich ein spezialisierter Dienstleister wie die iternas GmbH.


Schulungen bei den NetzGurus

Für Netzwerkingenieure und -administratoren bieten die NetzGurus praxisorientierte Schulungen an, um tieferes Verständnis für RPKI zu erlangen sowie dessen Implementierung zu meistern. Unsere Kurse wie "BGP, Peering und das Internet" vermitteln detailliertes Wissen über Internetrouting sowie Sicherheitsmaßnahmen für Setups durch erfahrene Trainer aus dem Enterprise-Bereich.

Weitere tiefe technische Informationen finden Sie im RFC 8893: "Resource Public Key Infrastructure (RPKI) Origin Validation for BGP Export".


Fazit

Die Integration von RPKI in den BGP-Routingprozess stellt eine notwendige Erhöhung der Sicherheit im Internet dar. Auch vor Einführung dieser Technologie konnten BGP-Router bei RIPE gegen eine dortige Datenbank per API ankommende Routen prüfen; jedoch wird durch kryptografisch abgesicherte Authentifizierungsmechanismen nun globales Routing validiert – vorausgesetzt viele Beteiligte folgen diesem Standard weltweit.

Operative Herausforderungen lassen sich durch sorgfältige Planung sowie fortlaufende Überwachung gut beherrschen; somit trägt dies wesentlich zur globalen Netzwerksicherheit bei

5 Ansichten0 Kommentare

Aktuelle Beiträge

Alle ansehen

Comments


bottom of page