RPKI (Resource Public Key Infrastructure)

Definition von RPKI

Resource Public Key Infrastructure (RPKI) ist ein System, das entwickelt wurde, um das Border Gateway Protocol (BGP), das für das Funktionieren des Internets entscheidend ist, abzusichern. RPKI ermöglicht es Netzbetreibern, die Legitimität von IP-Adresspräfixen und den autonomen Systemen, die sie ankündigen, kryptographisch zu überprüfen.

Wie RPKI funktioniert

RPKI bietet einen Mechanismus für IP-Adressraumhalter, um ihre Zugehörigkeit zu bestimmten IP-Präfixen durch die Ausstellung von digital signierten Zertifikaten zu verifizieren. Diese von den Regional Internet Registries (RIRs) ausgestellten Zertifikate ordnen IP-Adressblöcke den autonomen Systemen zu, die berechtigt sind, sie anzukündigen. Mit RPKI können Netzbetreiber die Gültigkeit von Routenankündigungen prüfen, indem sie diese mit den RPKI-Daten validieren, um sicherzustellen, dass die angekündigten Routen aus legitimen Quellen stammen.

RPKI operiert auf einem hierarchischen Modell. Auf der obersten Ebene stehen die RIRs, die für die Verwaltung der IP-Adressenallokationen und die Ausstellung von Zertifikaten verantwortlich sind. Die RIRs, wie der American Registry for Internet Numbers (ARIN) und das Asia-Pacific Network Information Centre (APNIC), stellen Zertifikate an Internet Service Provider (ISPs) und andere Organisationen aus, die IP-Adressraum halten. Diese Zertifikate enthalten Informationen über die IP-Adressblöcke und die autonomen Systeme, die berechtigt sind, sie anzukündigen.

Wenn ein ISP oder Netzbetreiber eine Routenankündigung über BGP erhält, kann er RPKI verwenden, um deren Legitimität zu überprüfen. Dies beinhaltet die Überprüfung der digitalen Signatur der Ankündigung und das Abgleichen des IP-Präfixes und der autonomen Systemnummer (ASN) mit den RPKI-Daten. Wenn die Ankündigung einem gültigen Zertifikat im RPKI-Repository entspricht, wird sie als legitim angesehen. Andernfalls kann der Netzbetreiber geeignete Maßnahmen ergreifen, wie zum Beispiel das Filtern oder Ablehnen der Route.

Vorbeugende Tipps

Um die Sicherheit und Zuverlässigkeit des BGP-Routings zu erhöhen, können Netzbetreiber die folgenden Maßnahmen ergreifen:

• RPKI-Validierung einsetzen: Internet-Router so konfigurieren, dass sie eine RPKI-Validierung durchführen. Dies stellt sicher, dass nur Routenankündigungen akzeptiert werden, die gegen die RPKI-Daten verifiziert sind.
• RPKI-Status regelmäßig überprüfen: Netzbetreiber sollten den RPKI-Status ihres IP-Adressraums mit RPKI-Validatoren regelmäßig überprüfen. Diese Tools bieten Echtzeitinformationen über die Gültigkeit von Route Origin Authorizations (ROAs) und helfen dabei, potenzielle Fehlkonfigurationen oder unberechtigte Ankündigungen zu identifizieren.
• An RPKI teilnehmen: Netzbetreiber sollten aktiv an RPKI teilnehmen, indem sie ROAs für ihren IP-Adressraum erwerben und pflegen. ROAs sind digital signierte Dokumente, die die Präfixe spezifizieren, die ein autorisiertes autonomes System (AS) erzeugen darf. Durch das Erstellen und Veröffentlichen von ROAs können Netzbetreiber die Validierung von Route-Quellen durchsetzen und sich gegen Route Hijacking und versehentliches Leak von Routen schützen.

Verwandte Begriffe

• BGP (Border Gateway Protocol): Das Protokoll, das das Routing von Internetverkehr zwischen autonomen Systemen ermöglicht.
• ROA (Route Origin Authorization): Ein digital signiertes Dokument, das das Präfix spezifiziert, das ein autorisiertes AS erzeugen darf.

Vorteile und Bedeutung von RPKI

RPKI spielt eine entscheidende Rolle bei der Verbesserung der Sicherheit und Widerstandsfähigkeit der Routing-Infrastruktur des Internets. Durch die kryptographische Überprüfung der Legitimität von IP-Adresspräfixen und der autonomen Systeme, die sie ankündigen, trägt RPKI dazu bei, verschiedene Routing-Bedrohungen zu mildern, wie etwa Route Hijacking, versehentliches Leak von Routen und IP-Adress-Spoofing.

1. Verhinderung von Route Hijacking: Route Hijacking tritt auf, wenn ein unbefugtes Entity fälschlicherweise die Inhaberschaft von IP-Adresspräfixen ankündigt, wodurch Internetverkehr zu unbefugten Netzwerken geleitet wird. RPKI ermöglicht es Netzbetreibern, die Legitimität von Routenankündigungen zu validieren, das Risiko von Route Hijacks zu verringern und sicherzustellen, dass der Internetverkehr den beabsichtigten Pfaden folgt.

2. Minderung versehentlichen Route Leakage: Verschwinde von Routen tritt auf, wenn ein autonomes System irrtümlich Routen ankündigt, zu deren Ankündigung es nicht berechtigt ist, wodurch möglicherweise Störungen oder die Stabilität des Internets beeinträchtigt werden. RPKI ermöglicht es Netzbetreibern, die Autorisierung von Routenankündigungen zu überprüfen, wodurch versehentliche Leaks von Routen verhindert und die Genauigkeit von Routing-Informationen sichergestellt werden.

3. Schutz vor IP-Adress-Spoofing: IP-Adress-Spoofing ist eine Technik, die von Angreifern verwendet wird, um sich als Quell-IP-Adresse von Netzwerkpaketen auszugeben, um damit verschiedene bösartige Aktivitäten durchzuführen, wie Distributed Denial of Service (DDoS) Angriffe und Netzwerkerkundung. RPKI hilft in Kombination mit anderen Sicherheitsmaßnahmen wie BGP-Prefix-Filterung, IP-Adress-Spoofing zu mitigieren, indem es die Inhaberschaft und Autorisierung von IP-Adresspräfixen überprüft.

4. Erhöhte Sicherheit des Routings: RPKI stärkt die allgemeine Sicherheit des Border Gateway Protocol (BGP), das für das Internet-Routing von grundlegender Bedeutung ist. Durch Bereitstellung von kryptographischen Verifikationsmechanismen reduziert RPKI das Potenzial für BGP-bedingte Sicherheitsvorfälle und schützt vor Route Hijacks, Route Leaks und anderen Angriffsarten auf das Routing, die die Internetkonnektivität unterbrechen und die Datenintegrität gefährden können.

5. Stabilität und Vertrauenswürdigkeit des Internets: Indem sie RPKI implementieren und am Validierungsprozess teilnehmen, tragen Netzbetreiber zur allgemeinen Stabilität und Vertrauenswürdigkeit des Internets bei. Die Validierung von Routenankündigungen und die Verhinderung von unbefugten Ankündigungen helfen, eine robustere und zuverlässigere Routing-Infrastruktur zu etablieren, die das Benutzererlebnis verbessert und die Integrität der Kommunikation über Netzwerke hinweg sicherstellt.

Es ist bemerkenswert, dass, während RPKI erhebliche Vorteile für die Sicherheit des BGP-Routings bringt, dessen Einführung und Implementierung ein fortlaufender Prozess ist. Die Förderung einer breiten Beteiligung und Zusammenarbeit unter Netzbetreibern, ISPs und RIRs ist entscheidend, um die Effektivität von RPKI zu maximieren und die Sicherheit des globalen Routing-Systems weiter zu stärken.

Zusammenfassend ist RPKI (Resource Public Key Infrastructure) ein System, das entwickelt wurde, um das Border Gateway Protocol (BGP) abzusichern, indem es Netzbetreibern ermöglicht wird, die Legitimität von IP-Adresspräfixen und der autonomen Systeme, die sie ankündigen, zu überprüfen. Durch die kryptographische Validierung von Routenankündigungen gegenüber den RPKI-Daten trägt RPKI dazu bei, Route Hijacking, versehentliches Leak von Routen und IP-Adress-Spoofing zu verhindern. Zu seinen Vorteilen gehören eine verbesserte Sicherheit des Routings, ein reduziertes Risiko für bösartige Aktivitäten und eine verbesserte Stabilität und Vertrauenswürdigkeit des Internets. Die Bereitstellung von RPKI-Validierung, das regelmäßige Überprüfen des RPKI-Status und die aktive Teilnahme an RPKI sind entscheidende präventive Maßnahmen für Netzbetreiber, um die Sicherheit und Zuverlässigkeit des BGP-Routings sicherzustellen.