Wie das Internet funktioniert: Routing, Autonome Systeme, Protokolle
Wir erklären, wie Routing im Internet funktioniert, was das BGP ist und warum Russland bisher noch nicht im Internet sanktioniert wurde.
(Bild: Anterovium/Shutterstock.com)
„Kann man Russland nicht einfach aus dem Internet hinauswerfen?“, lautete nach der Invasion der Ukraine durch Putins Armee eine viel diskutierte Frage - diskutiert sowohl unter technischen als auch auf politischen Aspekten. Eine Idee war, Verkehr, der von russischen Autonomen Systemen (AS) kommt, nicht mehr zu akzeptieren. Kann das gute alte Border Gateway Protokoll (BGP) genutzt werden, um ein Land vom Internet abzuschneiden? Was es mit BGP und ASNs auf sich hat und ob Sanktionen gegen sie wirken, erläutern wir in dieser FAQ.
Was das Netz der Netze zusammenschweißt: Routing
Das Internet ist ein Netz der Netze. Der Klebstoff, der es zusammenschweißt, ist die Kooperation der Netzbetreiber und das sogenannte Interdomain Routing mit dem Border Gateway Protocol (BGP). Damit werden die Verkehrsflüsse zwischen und durch die Netze organisiert. Wir beschreiben in der FAQ, wie Routing funktioniert und was geschieht, wenn es nicht mehr funktioniert oder als Waffe eingesetzt wird.
Warum heißt das Internet Netz der Netze?
Das Internet ist ein freiwilliger Zusammenschluss vieler lokal aufgebauter Netze, daher wird es Netz der Netze genannt. Innerhalb eines Local Area Networks, eines LAN, können Geräte direkt angesprochen werden (über die MAC-Adresse, die für jedes Gerät eindeutig ist). Schon für Verbindungen zwischen mehreren LANs braucht man aber einen Router. Intern kann sich das Netz autonom organisieren, dafür gibt es verschiedene Protokolle, neben Internal BGP auch Open Shortest Path First (OSPF). Um dieses Netz mit anderen, externen Netzen, und damit dem Internet zu verbinden, müssen sozusagen „Verkehrsverbindungen“ mit anderen Netzen aufgebaut werden. Man spricht vom Routing - genauer gesagt vom Interdomain Routing, also der "Verkehrsleitung" zwischen den Netzen verschiedener Netzbetreiber. Dafür wird fast ausschließlich External BGP verwendet. Das Internet wuchs durch den Anschluss von immer mehr lokalen Netzen quer durch den Globus, und wächst auch heute noch weiter. Das Internet funktioniert, weil alle beteiligten Netze sich an einen Minimalkonsens bezüglich der technischen Richtlinien halten, aus dem Interesse heraus, dass das Netz funktioniert. Eine Routingpolizei, die Verfehlungen verfolgt oder gar eine zentrale Autorität, die den Zugang gestattet oder entzieht, gibt es nicht. Das macht auch effektiven Sanktionen sehr schwierig.
Wie wird der Anschluss ans Netz organisiert?
Ein Netz, das sich direkt, also nicht über einen Dritten, ans Internet anschließen will, nennt man ein autonomes System (Autonomous System, AS). Es tritt gegenüber anderen Netzen unter einer Nummer, der Autonomous System Number (ASN) auf. Das größte AS in Deutschland, die Deutsche Telekom (DTAG), firmiert beispielsweise unter https://www.peeringdb.com/net/196:AS3320. Ein kleines ist zum Beispiel AS213238 - das gehört dem Bundesministerium des Innern.
Während die DTAG als großer Provider unter dem AS3320 insgesamt rund 34 Millionen IP-Adressen versammelt, übrigens mit einer Suballokation an das Auswärtige Amt, betreibt das Bundesministerium des Innern ein eigenes Netz unter AS213238 mit insgesamt 256 IP-Adressen (193.30.81.0/24). Nicht die Größe eines Netzes, etwa die Zahl der IP-Adressen, ist also entscheidend dafür, ob man als AS auftreten kann. Es gibt kleine und große Netze. Eine AS-Nummer signalisiert vielmehr, dass es sich um ein unabhängiges Netz mit eigener, einheitlicher Routing-Politik handelt. Das AS entscheidet, wo und mit wem es Verkehr austauscht und welche Strecken es propagiert. Man spricht daher auch von einer Routing-Domain.
Ein Unternehmen oder eine Organisation mit eigenem AS kann sich auch von der Routing Policy seines Zugangsproviders absetzen.
Warum gibt es lange und kurze AS-Nummern?
Die kürzere Nummer der DTAG ist eine 16-Bit-AS-Nummer. Als die DTAG diese bekam, nämlich im Jahr 1995, ging man noch davon aus, dass die damit theoretisch möglichen 65.536 Nummern ausreichen, um alle Netze des Internets durchzunummerieren. Schon im ersten Jahrzehnt des neuen Jahrtausends merkten Netzentwickler und Manager, dass das keineswegs der Fall war. 2016 waren rund 55.000 der vorhandenen Nummern vergeben. Die Entwickler bei der Internet Engineering Task Force (IETF) schufen also einen neuen Standard, der die längeren 32-Bit-AS-Nummern vorsah. Weil es nach wie vor kürzere Nummern gab, und die Technik nicht überall zeitnah Unterstützung für 32Bit-AS-Nummern bekam, zögerten viele Netzbetreiber, sich eine längere Nummer zu registrieren. Die zögerliche Aufnahme der neuen längeren AS Nummern kann man gut mit der anfangs mehr als zähen Annahme von IPv6-Adressen vergleichen. Auch bei den IP-Adressen wurde durch den Internetboom schon vor der Jahrtausendwende klar, dass die IPv4-Nummern nicht ausreichen. Heute sind keine IPv4-Adressen und keine 16-Bit-AS-Nummern zur Neuverteilung mehr verfügbar.
Woher bekommt man eine AS-Nummer für sein Netz?
Europäische Organisationen, die heute eine AS-Nummer wollen, melden sich bei der europäischen IP-Adressverwaltung Réseaux IP Européens. Mitbedient werden vom RIPE auch der Nahe Osten und Russland. Die als Mitgliederorganisation aufgebaute Selbstverwaltung vergibt die AS-Nummern ebenso wie IP-Adressblöcke an ihre Mitglieder. Dabei schöpft das RIPE für Europa aus einem Pool von Nummern, den ihm die Internet Assigned Numbers Authoritiy zugeteilt hat. Die IANA versorgt insgesamt fünf Adressverwaltungen weltweit mit AS-Nummern und IP-Adressen. Neben dem RIPE fungieren APNIC in Asien, Arin in Nordamerika, Lacnic für Latein- und Südamerika und Afrinic für den afrikanischen Kontinent. Die hierarchische Vergabe von AS-Nummern und IP-Adressen sorgt dafür, dass jede ASN und jeder IP-Adressblock nur ein einziges Mal vergeben werden. Nur so kann die globale Erreichbarkeit sichergestellt werden.
Halten sich alle an die Spielregeln beim Routing?
Normalerweise halten sich alle, die beim Internet mitmachen wollen, an die Spielregeln.
Natürlich kommt es, durch Fehler oder durch bewussten Adressklau, immer wieder zum Hijacking von IP-Adressbereichen, die auch Präfixe genannt werden. Zum Beispiel sorgte die Pakistanische Telekom (AS17557) in einem sehr bekannt gewordenen Fall aus dem Jahr 2008 durch einen Fehler in ihrer Router-Konfiguration dafür, dass das Präfix 208.65.153.0/24 zu ihrem AS geroutet wurde. Dabei handelte es sich um ein Präfix von YouTube. Durch mangelnde Prüfung des Backbone Providers PCCW Global wurde daher für die Seiten des US-Streamingdienstes bestimmter Verkehr an die Pakistan Telecom geleitet. YouTube war dadurch für viele Teilnehmer für zwei Stunden nicht erreichbar. Das eigentliche Ziel war dabei, bestimmte blasphemische Inhalte auszufiltern, aber eigentlich hatte man wohl in den eigenen Netzen vor.
Wie funktioniert das mit dem Routing – der Verkehrsleitung im Netz - genau?
Die Kernvereinbarung für den Austausch von Datenverkehr zwischen den Netzen basiert auf den im Border Gateway Protocol festgelegten Verfahren. BGP-Router tauschen laut dem von der IETF verabschiedeten Standardinformationen über die Erreichbarkeit von Präfixen in verschiedenen AS aus.
Über BGP kündigt ein AS an, welche Präfixe in seinem Netz erreicht werden können, und welche Präfixe weggezogen sind. Mitgeliefert wird auch eine Liste von Durchgangs-AS, über die das jeweilige Ziel erreicht werden kann. Dadurch kann ein Router einen Pfad festlegen, über den er Verkehr zu einem Zielnetz schicken will. Solche Pfade werden vom Protokoll in Routingtabellen festgehalten. Es gibt statische Routen und dynamisch Routen. Bei Letzteren treffen die Routingprotokolle die Entscheidung, welche Pfade aufgenommen werden.
Die zwischen den verschiedenen AS ausgetauschten Routing-Tabellen sind inzwischen sehr umfangreich (etwa 920.000 Präfixe für IPv4, etwa 150.000 für IPv6) und brauchen damit besonders leistungsfähige Router, die entsprechend viel Speicher für Routinginformationen haben. Eine übliche Fritz!Box hat weder eine Implementation von BGP4 an Bord noch genug Speicher für die kompletten Tabellen.
Die Arbeit des Interdomain Routing übernehmen sogenannte Edge- oder Border-Router, die sich von Internet-Access-Routern oder auch den großen Backbone-Routern unterscheiden.
Wie entscheidet sich ein Netz für den „richtigen“ Pfad?
Die bestmögliche Verbindung für den Transport der Pakete durch das Netz stehen im Zentrum von Routing-Entscheidungen. Ein AS veröffentlicht gemäß dem BGP-Standard Informationen zum Ziel-IP-Präfix und zu möglichen Teilnetzen (Subnetzmasken), die im AS erreicht werden können. Auch bevorzugte Stationen, sogenannte Hops, in der Nachbarschaft auf dem Weg zum Ziel, werden mit eingetragen. Dies kann händisch oder durch Software automatisiert erfolgen. In den entstehenden Routing-Tabellen werden auch Informationen über die jeweilige Zahl an Hops und damit eine Art Länge der Strecke vermerkt. In der Regel wird ein schneller Pfad bevorzugt, um kürzere Laufzeiten zu erreichen. Allerdings können Entscheidungen darüber, mit wem man Kooperationen pflegt, eine Rolle spielen. Diese Informationen werden von den BGP-Routern schließlich genutzt, um Verkehr auf die Reise durchs Netz zu schicken.
Was hat es mit Peering und Transit im Routing auf sich?
Viele Netzbetreiber setzen auf den direkten Austausch von Verkehr an sogenannten Internet-Exchange-Punkten (IXP). Die Exchange-Punkte fungieren als zentrale Verkehrsknoten. Großer Vorteil des sogenannten Peerings, also des direkten Austauschs von Datenpaketen zwischen zwei Partnern, ist etwa, dass lokaler Verkehr nicht über große Backbones erst um die halbe Welt geschickt werden müssen. Vielmehr können zwei deutsche Provider die Datenpakete zwischen ihren Kunden zum Beispiel über den DeCix in Frankfurt austauschen. Beim Peering am IXP fließt in der Regel kein Geld zwischen den Partnern, allerdings muss der Anschluss an den IXP bezahlt werden. An große Backbone-Provider, über deren Kabel Netzverkehr global konnektiert wird, müssen AS dagegen mengenabhängige Transitgebühren bezahlen. Der Provider bezahlt also für die Menge des Verkehrs, die der Transitbetreiber an andere AS in aller Welt verteilt. An einem großen Knoten wie dem DeCix lassen sich aber auch direkte Verbindungen mit internationalen Partnern schalten und damit teure Transitgebühren für große Backbone-Provider vermeiden.
Warum ist Internet-Routing so resilient?
Anders als bei den alten geswitchten Telefonnetzen profitiert das Internet von der Flexibilität des dynamischen Routings. Fällt ein Netzbereich auf ihrer Strecke aus, können sie Datenpakete über einen alternativen Pfad schicken. Je stärker vermascht ein AS ist, desto höher die Zahl möglicher Alternativpfade und damit der Resilienz. Trotz erkannter Schwächen von BGP ist dies ein Teil der Erfolgsgeschichte. Solche Alternativpfade werden automatisch von BGP ermittelt.
Welche Schwächen hat BGP?
Wie bei vielen Kernprotokollen des heutigen Internets wurde BGP in einer Zeit entwickelt, in der die Manager der verschiedenen ans Internet angeschlossenen Netze einander vertrauten. Auf eine Absicherung gegen falsche oder auch nur fehlerhafte Einträge wurde verzichtet. Ankündigungen von neuen Routen wurden also automatisch in Routing-Tabellen eingetragen – und so konnte es zu Umleitungen kommen wie im Fall der Pakistan Telecom und YouTube. Das Problem bei der YouTube-Umleitung: Die Pakistan Telecom hatte einfach eine spezifischere Route für ein kleines Präfix aus dem Google-Block angekündigt, das in die Routing-Tabellen übernommen wurde. Die Ankündigung immer kleinteiligerer Netzbereiche löste zeitweilig die Sorge von explodierenden Routing-Tabellen aus. Man fürchtete, die Router könnten die zigtausend Einträge nicht mehr schnell genug verarbeiten.
Wurde BGP inzwischen besser abgesichert?
Die Sorge von explodierenden Routing-Tabellen verflog mit dem Bau immer mächtigerer Edge-Router und der Fortschreibung kluger Routing-Software. Die Sorgen über die Sicherheit blieben dagegen und führten unter anderem zur Entwicklung der Route Public Key Infrastructure (RPKI). RPKI erlaubt den Inhabern von Präfixen, ihre IP-Adressresourcen kryptografisch zu signieren. Damit kann bei Routing-Ankündigungen überprüft werden, ob derjenige, der die Route ankündigt, dazu tatsächlich berechtigt ist. Ein Angreifer kann das nach wie vor umgehen und schlicht ein eigenes Zertifikat für seine falsche Route anlegen.
Was zudem nach wie vor fehlt, ist eine Absicherung entlang der Routingpfade. Das soll das 2017 verabschiedete BGPSec realisieren, doch dessen Umsetzung ist ähnlich zäh wie die Annahme von IPv6- statt IPv4-Adressen.
Könnte die politische Zeitenwende durch den Angriff auf die Ukraine und die damit verbundenen Hacks- und Hackbacks den Umstieg auf das aufwendige, sichere Protokoll voranbringen?
Die Möglichkeit besteht, hat sich doch kurz nach dem Start der Invasion die Chefin der US-Telekomaufsichtsbehörde Federal Communications Commission zu Wort gemeldet, mit der Frage, ob man bei der Absicherung des Routing nicht vorankommen müsse.
Wenn Routing-Entscheidungen auch politische Entscheidungen sind, kann man dann Russland nicht auf dieser Basis sanktionieren?
Die ukrainische Regierung wandte sich zu Beginn des Krieges mit der Forderung an das RIPE NCC, den operativen Arm des RIPE, es möge alle an russische Netzbetreiber vergebenen IP-Adressen und AS-Nummern einziehen. Der Geschäftsführer des RIPE, Hans Petter Holen, verwies in seiner Antwort auf zwei Hauptargumente gegen einen solchen Schritt. Einerseits verwies er auf die Neutralitätsverpflichtung. Schon in der Vergangenheit hat sich das RIPE dagegen ausgesprochen, staatliche Sanktionen etwa gegen iranische Unternehmen oder Regierungsstellen auch im Routing-System des Internet umzusetzen. Ein zweites Argument lautete aber zugleich, dass der Entzug der Adressen nicht gleichbedeutend damit ist, dass diese sofort aus den Routing-Tabellen von Netzbetreibern getilgt würden. Ein Widerruf der von russischen AS hinterlegten RPKI-Zertifikaten hätte fast den unmittelbarsten Effekt. Im Endeffekt würde er die Überprüfung, ob angekündigte Routen aus russischen AS fake sind oder nicht, unmöglich machen. Das könnte Sicherheitsprobleme für alle Nutzer in Russland mit sich bringen. Das RIPE NCC lehnte im Ergebnis, übrigens ebenso wie die Domainverwaltung ICANN, die Sanktionsforderungen in Bezug auf die Infrastruktur erst einmal ab.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Was bedeutet es, wenn immer mehr Netze russische Verkehre nicht mehr entgegennehmen?
Nacheinander haben mehrere Netzbetreiber angekündigt, dass sie Verkehr von russischen AS nicht mehr annehmen und auch keinen Verkehr dorthin mehr weiterleiten. Eine Gruppe von Politikern und Technikern veröffentlichte zudem einen offenen Brief und forderte eine Debatte über einen Mechanismus für ganz präzise Sanktionen gegen AS, die von russischen Militärs und der russischen Regierung genutzt würden. Statt eines Entzugs durch das RIPE schlagen die Unterzeichner vor, russische IP-Präfixe und AS auf spezielle Listen zu setzen, die beim dynamischen Erstellen der Routing-Tabellen mit abgeprüft werden, geradeso wie bösartige IP-Bereiche auf der Basis von Blacklisten geblockt werden.
Selbst diese Maßnahme schafft aber bestenfalls eine 80prozentige Blockade. Zum einen können AS und IP-Präfixe genutzt werden, die nicht als von der russischen Regierung genutzte in der RIPE-Routing-Datenbank verzeichnet sind. Die betroffenen Stellen können sich auch gezielt unverdächtiger Adressen bedienen. Zum anderen wird es aber auch schlicht schwierig, alle Welt davon zu überzeugen, das Sanktionsregime zu befolgen, sodass alternative Routen, wenn auch mit gewissen Einbußen, realisiert werden können. Das macht die Resilienz des Routing-Systems aus.
Wie viel Politik steckt im Routing – und wie viel sollte drin stecken?
Dass Technik unpolitisch ist, dürfte heute kaum noch jemand glauben. Unternehmen nutzen bestimmte Peeringpunkte – oder nicht –, um Marktsegmente zu erhalten. Techunternehmen fördern bestimmte Standards, um eigene Produkte erfolgreich zu machen. Staaten schließen bestimmte technische Produkte von ihren Märkten aus, weil sie auf ihre Souveränität pochen, beziehungsweise Abhängigkeiten fürchten. Eine Politisierung des Routing oder der Internetinfrastruktur ist angesichts wachsender geopolitischer Spannungen unvermeidlich.
Die von der deutschen Politik beschriebene politische Zeitenwende findet eine Entsprechung in aktuellen Vorschlägen einer Gruppe von Politikern und Technikern, die sich einen Sanktionsmechanismus für Internet-Routen vorstellen können. So wie über Blacklists Malware liefernde Quellen an Netzwerkprovider weltweit kommuniziert und von diesen dann ausgefiltert wird, so könnten auch die Routen von Aggressoren auf eine öffentliche Routing-Sanktionsliste gesetzt werden, lautet der Vorschlag. Auf der Basis dieser von einer Community erstellten Liste könnten direkt dem Kreml oder dem russischen Militär zugeordnete AS und IP-Adressbereiche ausgefiltert werden.
Einer der deutschen Pioniere des Netz der Netze, Daniel Karrenberg, drängt in einem Aufruf an Kollegen zur Vorsicht: "Wir sehen, dass das Internet für Zwecke verwendet wird, die viele von uns ablehnen. Das darf aber nicht zur Begründung dafür herangezogen werden, die Infrastruktur selbst zu beschädigen und die guten und oft lebenswichtigen Nutzungsmöglichkeiten zu blockieren, von denen viele Dinge abhängen." Karrenberg appelliert an die Community, das Internet – und das dafür notwendige Routing – offenzuhalten.
Neben diesen grundsätzlichen Überlegungen sprechen aber auch einzelne Abwägungen gegen eine weitere Politisierung des Routing. Zuvörderst ist erst einmal unklar, wer denn überhaupt darüber entscheiden soll, welche Routen auf eine Blacklist gesetzt werden sollen. Dass auch autoritäre Regime solche Mechanismen gegen unliebsamen Datenverkehr nutzen können, ist ebenfalls unerwünscht. Dazu kommt, dass die Blockade großer AS unter Umständen nicht nur irgendwelche Regime trifft, sondern auch die Bürger eines Landes, die auf das Internet zur Kommunikation und Information angewiesen sind. Im Extremfall trifft eine solche Blockade weniger ein autoritäres Regime, als gerade diejenigen, die dagegen Widerstand organisieren wollen.
(anka)
