Aktuelles, Blog, Network

“Internet is based on trust” ist eine Aussage, welche immer wieder zitiert wird aber nicht mehr ganz zeitgemäß zu sein scheint.
Zu Anfangszeiten des Internets waren hauptsächlich Universitäten und militärische Einrichtungen der Vereinigten Staaten miteinander vernetzt.
Als das weltweite Netzwerk durch Kommerzialisierung für private wie auch geschäftliche Teilnehmer stätig an Relevanz gewann, stieg die Anzahl der Teilnehmer sowie der Anspruch an Stabilität und Zuverlässigkeit.

Die Teilnehmer des Internets, der Default Free Zone, sind in autonomen Systemen organisiert, welche das Routingprotokoll BGP verwenden um IP Routen untereinander auszutauschen.
Ein autonomes System ist die Menge an Routern, welche von einer administrativen Einheit wie zum Beispiel einem Unternehmen, einem Internet Service Provider oder einer Universität betrieben werden.
Auf Grund der dezentralen Natur der DFZ kann jedes AS seine Routing Policies selbst bestimmen.
Auch welche IP Netze an einen BGP Nachbar annonciert werden, kann von jedem AS selbst entschieden werden.

Die Beziehungen von IP Netzen zu AS Nummern werden in Internet Routing Registries dokumentiert.
Da diese meist manuell gepflegt werden und die Einträge teilweise nicht aktuell gehalten werden oder vollständig verifiziert werden können, sind diese nur bedingt zuverlässig.

Dies führt regelmäßig zu inkorrekt annoncierten IP Routen die meist durch menschliches Versagen zu erklären sind.
Zum Beispiel wird eine BGP Routing Policy vergessen oder dem falschen BGP Nachbarn zugewiesen.
Dies führt zu massivem Packet-Loss oder kompletter Nichterreichbarkeit des betroffenen annoncierten Prefixes.

Der zweite aber weniger oft eintretende Fall wäre, wenn bewusst falsch annoncierte IP Routen in der DFZ propagiert werden.
Die Absicht falsch annoncierter IP Routen ist es den Verkehr in oder über ein AS zu leiten, welches im Normalfall nicht traversiert werden würde.

Abhilfe kann die Technologie RPKI, Resource Public Key Infrastructure, schaffen.
RPKI zertifiziert die in Internet Routing Registries hinterlegte Beziehung von autonomen Systemen zu IP Routen in Form von Route Origin Authorizations, ROAs.
Das stellt sicher, dass IP Routen zum einen vom richtigen autonomen System annonciert werden, zum anderen dass die Präfix Länge, der in der ROA definierten und zertifizierten, entspricht.

RPKI fußt auf Public Key Infrastructure. Dies ist eine weit verbreitete Technologie, welche bereits Webseiten via TLS, SSH und VPN Verbindungen absichert.
PKI garantiert die Integrität, Authentizität und Vertraulichkeit übermittelter Daten.
Dies wird mit einem generierten Schlüsselpaar erreicht. Ein Schlüssel ist öffentlich, der andere privat.
Eine Nachricht wird von Teilnehmer A vor dem Versand mit dem öffentlichen Schlüssel chiffriert.
Teilnehmer B braucht den privaten Schlüssel, um die empfangene Nachricht dechiffrieren zu können.
Weiters wird PKI in Form einer Hierarchie abgebildet, die im einfachen Fall aus Certificat Authority, Sub-Certificate Authority und Client Certificate besteht.

Bei RPKI betreibt die zustängige RIR, Regional Internet Registry, die benötigte Certificate Authority.
Man kann sich dafür entscheiden eine Sub-Certificate Authority bei sich selbst zu betreiben.
Die einfache Variante jedoch wäre die CA der zuständigen RIR mitzubenutzen.

Lokal betreibt man einen RPKI Validator, welcher den aktuellen Stand an zertifizierten ROAs lokal zur Verfügung stellt.
Die BGP Speaker holen sich den aktuellen Stand der ROAs über das RTR Protokoll vom RPKI Validator.

Die BGP Speaker vergleichen die RPKI ROAs mit der BGP Routing Table und führen eine Kategorisierung der IP Prefixes durch.
Die möglichen Zustände sind valid, invalid und unknown.
Unknown sind meist Präfixe, für jene noch keine ROAs erstellt worden sind.

Der erste Schritt wäre seine eigenen Ressourcen bei dem zuständigen RIR zu zertifizieren.
Wichtig ist, sobald Ressourcen zertifiziert wurden, das diese aktuell gehalten werden und der Realität entsprechen.

Der zweite Schritt wäre einen RPKI Validator Service lokal aufzubauen und die BGP Speaker zu konfigurieren.
Erst klassifiziert man die gelernten Präfixe nur, weiters kann man RPKI invalids ablehnen.

RPKI ist eine einfache Möglichkeit seine Internetpräsenz vor Ausfällen, welche durch Missgeschicke oder bewusst verursacht wurden, zu schützen.
Große Internet Service Provider wie zum Beispiel AT&T und NTT sowie viele kleinere Provider haben bereits RPKI im Produktionsbetrieb und nehmen keine RPKI invalids mehr an.
Für Teilnehmer der DFZ ist es eine einfache Möglichkeit bei Kunden, wie auch bei einem selbst, einen stabileren und zuverlässigeren Internet Service zu betreiben.

Open Networks berät Sie gerne zu Design, Aufbau und Implementierung eines RPKI Validator Services.

Bernhard Wieser

Über Bernhard Wieser

Mehr über den Autor: siehe Team Seite

Kommentare sind abgeschaltet.