top of page
Suche

Die Notwendigkeit und die Vorteile von RPKI im Internetrouting

Das Border Gateway Protocol (BGP) ist das zentrale Routingprotokoll des Internets. Es ermöglicht den Austausch von Routinginformationen zwischen autonomen Systemen (AS) und gewährleistet so die globale Erreichbarkeit von IP-Adressen. (Autonome Systeme (AS) sind Firmen und Organisationen, die am Internetrouting teilnehmen. Carrier und größere Unternehmen sind beispielsweise als mindestens ein AS im Internet vertreten.)


Allerdings hat BGP keine eingebauten Mechanismen zur Authentifizierung oder Autorisierung der gerouteten IP-Präfixe. Das bedeutet, dass erstmal "jeder", also jedes AS, potenziell falsche Routen ankündigen kann, sei es durch Fehlkonfiguration oder Böswilligkeit. -> Solche falschen Routinginformationen können den Datenverkehr umleiten, unterbrechen oder Abhören ermöglichen.


Funktionsweise von RPKI im Internet

Resource Public Key Infrastructure (RPKI) ist ein kryptografisches Framework und verwendet digitale Zertifikate, um die Routinginformationen zu verifizieren:

-> Durch die Erstellung von Route Origin Authorizations (ROAs) können IP-Ressourceninhaber festlegen, welche AS berechtigt sind, bestimmte IP-Präfixe per BGP an andere Internet-Router weiterzugeben.


Wenn ein Internet-Router ein BGP-Update erhält, kann er mithilfe der RPKI-basierten Validierung überprüfen, ob das sendende AS tatsächlich berechtigt ist, das angegebene IP-Präfix als Route anzukündigen. Dadurch verhindert RPKI effektiv die Verbreitung falscher oder bösartiger Routinginformationen im Internet.


Technische Implementierung von RPKI

Die RIPE hilft bietet für die dort gehosteten Ressourcen eine tolle und einfache Möglichkeit, RPKI einzuführen und die ROAs zu verwalten.


Und so funktionier es:

  1. Zertifikatserstellung: Netzwerkbetreiber erhalten digitale Zertifikate von einer vertrauenswürdigen Zertifizierungsstelle, die ihre IP-Adressen und AS-Nummern bestätigen. In diesem Fall von der RIPE selbst:

    Anlegen einer CA, welche von der RIPE signiert wird.
    Anlegen einer CA, welche von der RIPE signiert wird.


  2. Erstellung von ROAs: Mit diesen Zertifikaten erstellen bzw. signieren sie ROAs, die festlegen, welche AS bestimmte IP-Präfixe ankündigen dürfen.

    Hier wurden für zwei Ressourcen eine Zertifikat angelegt. Wichtig: Die Präfixlänge muß auch die größte zu routende Länge umfasse. In dem Fall wird eine IPv6-Präfixlänge zu 48 Bit als gültig angesehen.
    Hier wurden für zwei Ressourcen eine Zertifikat angelegt. Wichtig: Die Präfixlänge muß auch die größte zu routende Länge umfasse. In dem Fall wird eine IPv6-Präfixlänge zu 48 Bit als gültig angesehen.

  3. Veröffentlichung: Die ROAs werden in einem öffentlichen Repository gespeichert, sodass andere Netzwerkbetreiber darauf zugreifen und die Informationen validieren können.

    Die ROAs sind in der Übersicht aufgelistet.
    Die ROAs sind in der Übersicht aufgelistet.

  4. Validierung: Beim Empfang einer BGP-Route kann der Netzwerkbetreiber die Herkunft der Route anhand der ROAs überprüfen und entsprechend als "valid", "invalid" oder "unknown" klassifizieren. Praktisch werden ungültige Routen stand heute noch nicht verworfen, sondern nur "schlecht" gewertet, so das die originale Route "besser" dasteht und im praktischen Routing gewinnt.


Eine Übersicht über die ROAs auf der LIR-Seite des RIPE.
Eine Übersicht über die ROAs auf der LIR-Seite des RIPE.


Dieser Validierungsprozess erhöht die Sicherheit des Routings erheblich, indem er sicherstellt, dass nur autorisierte AS bestimmte IP-Präfixe ankündigen können. RPKI ist für IPv4 und IPv6 anwendbar.

Eine schematische Darstellung von BGP und RPKI im Internet.
BGP mit RPKI, eine schematische Darstellung

Vorteile der RPKI-Implementierung

  • Schutz vor BGP-Hijacking: Durch die Validierung der Herkunft von IP-Präfixen reduziert RPKI das Risiko falsch geleiteter Datenströme.

  • Erhöhung der Transparenz: Authentifizierung der Routinginformationen macht das Routing besser nachvollziehbar.

  • Reduzierung menschlicher Fehler: Automatisierte Validierungsprozesse minimieren Fehlerquellen bei manueller Konfiguration. (Der Punkt ist relevant: Die BGP-Konfiguration mit ihren Filterlisten kann komplex sein und dadurch schnell Fehler verursachen.)


Operative Überlegungen

Wir empfehlen, die RPKI-Prozesse in einem Betriebshandbuch niederzuschreiben und den Status regelmässig im (RIPE-)Portal zu prüfen.


Zudem ist es für Organisationen vorteilhaft, selbst den Status der Routen über die ROAs zu prüfen. Hierzu sind geeignete Router incl. Konfiguration notwendig.


Wir bieten als RIPE-Partner das Management für Ihre RIPE-Ressourcen und RPKI ROAs an iternas GmbH und den Betrieb Ihrer BGP-Router an.


Was passiert, wenn Sie selbst den RPKI-Status der gelernten Routen nicht prüfen? Das BGP-Routing funktioniert grundsätzlich weiter. Sie riskieren jedoch, falsche Routen zu erhalten und zu verwenden.



Fachschulungen bei iternas

Für Netzwerkingenieure und -administratoren bieten die NetzGurus praxisorientierte Schulungen an, um tieferes Verständnis für RPKI zu erlangen sowie dessen Implementierung zu meistern. Unsere Kurse wie "BGP, Peering und das Internet" vermitteln detailliertes Wissen über Internetrouting sowie Sicherheitsmaßnahmen für Setups durch erfahrene Trainer aus dem Enterprise-Bereich.

Weitere tiefe technische Informationen finden Sie im RFC 8893: "Resource Public Key Infrastructure (RPKI) Origin Validation for BGP Export".


Fazit

Die Integration von RPKI in den BGP-Routingprozess stellt eine notwendige Erhöhung der Sicherheit im Internet dar. Auch vor Einführung dieser Technologie konnten BGP-Router bei RIPE gegen eine dortige Datenbank per API ankommende Routen prüfen; jedoch wird durch kryptografisch abgesicherte Authentifizierungsmechanismen nun globales Routing validiert – vorausgesetzt viele Beteiligte folgen diesem Standard weltweit.

Operative Herausforderungen lassen sich durch sorgfältige Planung sowie fortlaufende Überwachung gut beherrschen; somit trägt dies wesentlich zur globalen Netzwerksicherheit bei

bottom of page