Seite 5: Lange Wunschlisten – und bitte international agieren

Inhaltsverzeichnis

Wird das angesichts der FCC Frage zu ihren Interventionsmöglichkeiten so bleiben? Etwa 40 Antworten hat die Behörde erhalten und die Einigkeit in einem Punkt ist groß. Eine Mandatierung von RPKI oder gar BGPsec macht insbesondere als rein nationale Maßnahme wenig Sinn, warnen die meisten.

Ein weiterer Punkt, in dem es große Überschneidungen gibt, ist die Aufforderung an die FCC, vor etwaigen regulatorischen Schritten eine klare Taxonomie der vorhandenen Technologien zu erstellen. Ein solcher Überblick über die verschiedenen Tools, ihrer Effekte und ihrer Beschränkungen fehle generell, sagt Volk. Auch hierzulande könnte man so etwas gut gebrauchen, findet er.

Eine Idee des Router-Herstellers Juniper lautet, die FCC solle sich um die internationale Vernetzung von für die Routing-Sicherheit zuständigen Organisationen und Behörden kümmern. "Hier könnte die FCC eine Führungsrolle übernehmen", wirbt Juniper, denn da gebe es ein Vakuum.

Snijders empfiehlt mit Blick auf Europa, dass die EU Geld und Expertise bereitstellt, um der Internet-Community dabei zu helfen, durch BSD-lizenzierte Software-Tools für mehr Sicherheit zu sorgen. "Die Absicherung des Routing-Systems ist eine gesellschaftliche Aufgabe." Auch bei der Aufklärung könnte die öffentliche Hand helfen und vielleicht einfach mal ein IETF-Meeting oder Gruppen sponsern, die quelloffene Standards wie RPKI und BGP-4, die aktuelle Version von BGP, implementieren.

Vielleicht doch ein neues, sicheres Routing-Protokoll?

Eine Alternative zum alten BGP offerieren Forscher von der ETH in Zürich der FCC. Professor Adrian Perrig, der das BGP-freie Routing Konzept "Scalability, Control and Isolation on Next Generation Networks" entwickelt hat, listet alle Schwierigkeiten mit BGP und BGPsec auf und nennt das noch nicht sehr weit verbreitete SCION die Lösung für alle Probleme. Geroutet wird bei SCION in den sogenannten Isolation Domains, zwischen diesen wird über eine Art Edge-Router die Verbindung zwischen den Inseln hergestellt. Für kleinere Gruppen wie die bisherigen Anwender, die Schweizer Banken, vielleicht keine schlechte Sache, urteilten kürzlich Teilnehmer der IETF, wo Perrig das Konzept in der Routing-Arbeitsgruppe vorstellte. Die Werbung damit, dass SCION durch die Isolation Domains kleinen Gruppen oder eben auch Ländern die Hoheit über Zertifikatserteilung und -entzug verschafft, könnte allerdings auch den Weg in souveräne, nationale Internet-Inseln weisen, sagt BGP-Experte Volk.

Eine Komplettmigration weg von BGP zu einem Nicht-BGP-gerouteten Internet ist ziemlich unwahrscheinlich, urteilt Bush. "Wer meint, das ginge, hat die Migration von IPv4 auf IPv6 vergessen." Solche Migrationen würden, gerade bei einem so großen Schritt, auch dadurch erschwert, dass sie praktisch dem Tausch von Maschinen einer 747 im Flug gleichen, meint Bush. Das sei schon heikel. BGP, da ist er sicher, wird überleben.

[Update 20.04.2022 16:20]:

Im Artikel wird nicht deutlich, dass RPKI die Infrastruktur für beides, Route Origin Validation (ROV) und BGPSec, ist. Die in den RPKI-Datenbanken der fünf Regional Internet Registries hinterlegten Route Origin Autorizations (ROAs) können im Rahmen der ROV automatisch von den Routern geprüft werden. Damit wird sichergestellt, dass nur der Inhaber der entsprechenden Präfixe und IP-Adressen diese seinen Routing-Partnern announciert. Die ROV ist es auch, die Randy Bush das "upps-Feature" nennt. Bush teilte außerdem mit, dass die Arbeiten der ersten Designgruppe bis ins Jahr 1999 zurückreichen. Die aktuellen Ideen für eine Umstrukturierung des BGPSec Headers stammen von Ignas Bagdonas.

(tiw)