Resource Public Key Infrastructure (RPKI) Neue Sicherheitsebene für das globale Internet gesucht!

Autor / Redakteur: Gregor Chroner / Peter Schmitz

Während der COVID-19-Pandemie sind immer mehr Menschen auf das Internet ausgewichen, um trotz des geforderten Abstands in Verbindung zu bleiben. Seit März letzten Jahres hat der Traffic um etwa 30 Prozent zugenommen. Das ist ein Wachstum, das unter normalen Umständen innerhalb eines ganzen Jahres zu erwarten wäre. Durch virtuelle Konferenzen, Videostreaming und die Verlagerung von Arbeit ins Home-Office ist das Internet unerlässlich geworden. Seine dauerhafte Verfügbarkeit und Sicherheit zu gewährleisten, ist daher wichtiger denn je.

Firmen zum Thema

Der zunehmende Internetverkehr erfordert erweiterten Schutz vor Routenlecks und Hijacks.
Der zunehmende Internetverkehr erfordert erweiterten Schutz vor Routenlecks und Hijacks.
(Bild: sssmarrakeshh - stock.adobe.com)

Die explosionsartige Zunahme des Datenverkehrs zu bewältigen und ihn über die ganze Welt ohne Einbußen bei den Übertragungsgeschwindigkeiten oder dem Benutzererlebnis zu transportieren, ist eine große Herausforderung für die Netzbetreiber. Eine Herausforderung, der sich Tier-1-Anbieter wie GTT, die den Kern des weltweiten Internets bilden, jeden Tag stellen. Es gibt jedoch noch weitere Hürden. Ebenso wichtig wie eine gleichbleibende Übertragungsgeschwindigkeit sind effektive Sicherheitsmaßnahmen für Webseiten und Cloud-Anwendungen. Nur dadurch behält das Internet die Stabilität, auf die sich so viele Menschen täglich verlassen.

Bedrohungen für den Internetverkehr

Der Internet-Traffic "hüpft" von Punkt zu Punkt über die autonomen Systeme, die den Globus umspannen. IP-Adressen werden ähnlich wie Adressen im echten Leben dazu verwendet, den Ursprung der Verbindung zu identifizieren. Dabei kann es sich um den Router im Haus, eine Blog-Seite oder einen bevorzugten Online-Shop handeln. Netzwerke geben die IP-Adressen an das globale Internet zur Registrierung weiter. Traditionell sind diese sogenannten Routen durch Filter geschützt, die von den Upstream-Providern angewendet werden. Diese Filter werden aus Einträgen in der Internet Routing Registry (IRR) generiert, einer Datenbank mit registrierten Internet-Routen. Da jedoch jeder einen Registry-Eintrag ohne irgendeine Art von Überprüfung oder Validierung erstellen kann, ist das System anfällig für Missbrauch.

Denn der Mangel an Validierung ermöglicht es, IRR-Einträge für IP-Räume ohne Berechtigung zu erstellen. Dadurch entstehen Routenlecks, die zu so genannten Hijacks führen können. Hijacks sind Angriffe auf ein Netzwerk, bei denen der Angreifer die Kontrolle über die Kommunikation zwischen zwei Teilnehmern übernimmt und sich als einer dieser ausgibt. Zum Beispiel könnte ein Hacker, der Online-Kreditkarten- oder Krypto-Währungstransaktionen abfangen will, die IP-Präfixe des beabsichtigten Ziels in der IRR registrieren. Diese geben die eingetragenen IP-Blöcke dann den Upstream-Providern bekannt, die sie ohne zusätzliche Autorisierung oder Validierung akzeptieren. Ein solches Szenario würde es dem Hacker ermöglichen, den gesamten Datenverkehr, der für den IP-Adressraum des rechtmäßigen Eigentümers bestimmt ist, zu kapern, solange die von ihm eingetragene Ankündigung in der IRR aktiv ist.

Darüber hinaus können unbeabsichtigte Konfigurationsprobleme die Erreichbarkeit von Webseiten und Webshops beeinträchtigen. Auch Netzwerkbetreibern unterlaufen Fehler etwa Tippfehler beim Erstellen eines IRR-Eintrags oder der zugehörigen Netzwerkankündigung in einem IP-Block. Wird der fehlerhafte Eintrag von den Upstream-Providern unerkannt weitergegeben, können der rechtmäßige Betreiber und die mit dem betreffenden IP-Bereich verbundenen Webseiten vollständig funktionsunfähig werden. Im schlimmsten Fall sind sie erst wieder zugänglich, wenn der Administrator den Fehler identifiziert und korrigiert hat.

Absicherung globaler Internet-Routing-Systeme

Da mehr Menschen als je zuvor auf das Internet angewiesen sind, ist die Entwicklung neuer Wege zum besseren Schutz von Verbrauchern und Unternehmen unerlässlich. Eine solche Initiative ist die Implementierung eines neuen Verifizierungssystems für IP-Adressen, genannt Resource Public Key Infrastructure (RPKI). Die RPKI ermöglicht es Personen und Organisationen, die eine oder mehrere IP-Adressen besitzen, den Adressraum offiziell und ausschließlich als den ihren zu registrieren. Dies hat den zusätzlichen Vorteil, dass jeder, der einen IP-Adressblock anmeldet, von einer der fünf Regional Internet Registries (RIRs), die IP-Adressen verwalten und zuweisen, ordnungsgemäß autorisiert werden muss.

Ein offizielles Register darüber, wem welche IP-Adressen gehören, ermöglicht eine zusätzliche Validierungsprüfung. Sie erschwert es Cyberkriminellen, diese Adressen zu imitieren oder zu "fälschen" und den Datenverkehr auf eine ähnlich aussehende Fake-Webseite umzuleiten. Mit dieser Validierungsebene können Netzwerkbetreiber jede IP-Ankündigung, die in der RPKI ungültig ist, von ihren externen Nachbarn explizit zurückweisen.

RIR-Autorisierung als nächster Schritt zu mehr Internetsicherheit

Die Verfügbarkeit der RPKI ist ein wichtiger Meilenstein auf dem Weg zu mehr Sicherheit im Internet. Alle Unternehmen, die IP-Adressen besitzen, können nun den nächsten Schritt zur Sicherung ihrer Dienste gehen, indem sie sich auf der RIR-Ebene ordnungsgemäß autorisieren lassen. Auf diese Weise erstellen sie einen RPKI-ROA-Datensatz für eine erhöhte Sicherheitsstufe ihres Netzwerks. Unternehmen müssen jedoch weiterhin Due-Diligence-Prüfungen durchführen, wenn sie einen online gehosteten Dienst wie zum Beispiel einen Blog- oder Webseitendienst von jemandem übernehmen, der IP-Adressräume besitzt. Dabei müssen sie prüfen, ob der Anbieter seinen Adressraum bei dem entsprechenden System registriert hat. Dadurch lässt sich die Sicherheit der Benutzererfahrung erhöhen. GTT ist einer der ersten großen globalen Tier-1-Provider, der die RPKI-basierte Routenvalidierung in seinem gesamten globalen Internet-Backbone einsetzt. Wenn also die IP-Route eines Kunden durch einen RPKI Route Origin Authorization (ROA)-Datensatz abgedeckt ist, ist garantiert, dass der Internetverkehr des Kunden im Netzwerk des Anbieters vollständig sicher ist.

Netzbetreiber reagieren kollektiv auf die Herausforderung, das Internet sicherer und zuverlässiger zu machen, da die gesamte Weltbevölkerung zunehmend darauf angewiesen ist. Aber es ist noch ein langer Weg zu mehr Routing-Sicherheit. Die Implementierung von RPKI ist ein wichtiger Schritt in die richtige Richtung. Denn sie fügt der wachsenden digitalen Welt eine zusätzliche Ebene an Schutz und Sicherheit hinzu und verbessert die Stabilität der Nutzererfahrung.

Über den Autor: Gregor Chroner ist Head of Solutions Consulting bei GTT DACH. Er ist ein anerkannter Experte rund um das Thema Telekommunikation und SD-WAN Evangelist. Seit 2015 berät er Unternehmen aller Größen und Branchen bei der Modernisierung, Migration und Implementierung von Software Defined Netzwerken.

(ID:47436583)