91. Treffen der IETF: Das Kapern von BGP-Routen verhindern
Immer wieder wird Internet-Verkehr unbemerkt über seltsame Wege zum eigentlichen Ziel umgeleitet. Ob es sich um Abhör-Aktionen handelt oder nur um Pannen, ist oft unklar. Nun könnten Netzbetreiber ein Mittel dagegen in die Hand bekommen.
- Monika Ermert
- Dusan Zivadinovic
Es kommt immer wieder vor, dass Routen durch Pannen oder absichtliche Störungen umgelenkt werden, wodurch Internet-Verkehr ganzer Länder oder Kontinente fehlgeleitet wird. Zu den unrühmlichsten Fällen zählt wohl der Eingriff der pakistanischen Telecom in das weltweite Routing als Reaktion auf einen unliebsamen Video-Clip. Der Netzbetreiber hatte schlicht YouTubes IP-Adressraum als eigene Adressen annonciert, worauf binnen Minuten die falsche Route in zahlreichen Routern der Welt eingetragen war. YouTube-Anfragen der Nutzer gingen dann fälschlicherweise nach Pakistan und blieben natürlich unbeantwortet.
Als Vorsichtsmaßnahmen gegen unbeabsichtigtes Annoncieren setzen Netzbetreiber beispielsweise Filter ein, die sicherstellen, dass jeder Provider nur die ihm zugeteilten Netzwerke bekannt gibt. Und aus dem YouTube-Vorfall haben die Provider gelernt, sie filtern heute mehr. Aber das Haupt-Problem können sie damit nicht gänzlich beseitigen – es ist immer noch möglich, BGP-Routen zu manipulieren. Eine ausführliche Beschreibung der Zusammenhänge finden Sie beispielsweise in diesem Beitrag von heise Security.
Sharon Goldberg hat nun für einen Vorschlag, wie man Take-Downs von BGP-Routen verhindern kann, nicht nur einen der Applied-Networking-Forschungspreise der Internet Research Task Force gewonnen: Die Computerwissenschaftlerin der Universität Boston hat damit bei der 91. Internet Engineering Task Force (IETF) in Honolulu auch eine Debatte ausgelöst, ob das von ihr vorgeschlagene Zustimmungsmodell ein gutes Heilmittel gegen Angriffe auf ein hierarchisches Routing-System darstellt.
Um das Kapern von BGP-Routen zu verhindern, hat die IETF ein Set von Standards zur kryptographischen Absicherung der BGP-Routen entwickelt. Die Vertrauenswürdigkeit von Routen lässt sich dabei per Hash-Wert-Abgleich mittels kryptografischen Schlüsseln überprüfen; die mittels herkömmlichen Zertifikaten signierten Schlüssel geben die IP-Adressverwalter zusammen mit den Adressen heraus. Annonciert ein Angreifer eine fremde Route, schlägt der Hash-Abgleich fehl und der Empfänger verwirft die Route.
Dead File
Doch das Heilmittel gegen Route-Hijacks hat einen konzeptionellen Nachteil: Es legt eine Hierarchie über das bislang nicht-hierarchische Routing-System. Wenn beispielsweise RIPE NCC, der europäische IP-Adressverwalter, die von ihm ausgegebenen Adressbereiche zurückzieht, gehen die entsprechenden Routen vom Netz. Das ist in der Regel wünschenswert.
Aber die Technik lässt sich auch missbrauchen, etwa von IP-Ausgabestellen, die totalitäre Staaten kontrollieren. Genau das könnte nun Goldbergs Vorschlag verhindern: Adressinhaber bekommen eine Art Einspruchsrecht. Signieren sie mit ihrem eigenen Schlüssel einen zurückgenommenen Routen-Eintrag, signalisieren sie damit, dass die Route zu recht vom Netz geht, die Routen-Information bekommt vom Adressinhaber einen Dead-Eintrag. Sind sie aber nicht einverstanden, etwa, weil die Devalidierung von einer Behörde aus einer fremden Jurisdiktion veranlasst wurde, stimmen sie dem Ableben nicht zu, indem sie den Dead-Eintrag unterlassen.
Damit Netzwerkadministratoren weltweit sehen, welche Routen einvernehmlich zurückgezogen wurden und welche umstritten sind, sieht Goldberg zusätzlich den Abgleich der RPKI-Updates mit der jeweils vorherigen Version der Einträge vor. Stoßen sie beim Vergleich auf devalidierte, aber nicht als dead gekennzeichnete Routen, können sie selbst entscheiden, ob sie diese weiter führen. Die Admins der Netzbetreiber haben also weiterhin das letzte Wort beim Routing.
Entscheidungsfreiheit
Bei der IETF musste sich Goldberg kritischen Fragen stellen. Was, wenn ein Adressinhaber wirklich nicht mehr existiert ist oder ein Schlüssel verloren geht – wäre der Adressraum für immer verloren? Wer würde überhaupt einräumen, dass ihm jemand seinen Adressraum zu Recht weggenommen hat und wäre auf der anderen Seite noch jemand bereit, Adressen herzugeben, die er nicht mehr zurückbekommen könnte?
Goldberg entgegnete, dass Unternehmen auch Nach-Schlüssel zu den von ihnen zugeteilten Adressen bekommen könnten. Zweifel an fehlenden Dead-Einträgen könnten beispielsweise auch per Mail ausgeräumt werden. Die Hinterlegung von Reserve-Schlüsseln widerspreche jedoch der RPKI-Sicherheitsphilosophie, warnten Experten.
Alle Macht weiterhin dem Admin
Der Vorschlag erhielt aber auch Zustimmung. Matt Lepinski von der für die US-Regierung arbeitenden Technologieschmiede BBN sagte, es sei gut, dass die Administratoren nach wie vor selbst über das Routing befinden können. Der Fakt, dass die Adressvergabe über Jurisdiktiongrenzen hinweg erfolgt, macht den Einspruch zur besten Chance für einen Provider, sich gegen Beschlüsse fremder Strafverfolger zur Wehr zu setzen. (dz)