FCC bereitet sichere Internet-Routen vor

Inhaltsverzeichnis

Internet Service Provider in den USA sollen rechtlich dazu verpflichtet werden, ihre Border Gateways kryptografisch abzusichern, damit sie weniger anfällig gegen falsche oder manipulierte Datenroutings werden. Das hat die Regulierungsbehörde FCC (Federal Communications Commission) am Donnerstag einstimmig beschlossen. Grund ist, dass die Routingtabellen des Internet (Border Gateway Protocol, BGP) anfällig sind für Fehler und absichtliche Manipulation. Durch "BGP-Hijacking" wird Datenverkehr böswillig umgeleitet, untergeschoben oder zum Erliegen gebracht.

"BGP hat Netzbetreibern ermöglicht, zu wachsen und das moderne Internet hervorzubringen, aber es wurde nicht mit ausdrücklichen Sicherheitsfunktionen designt, um Vertrauen in die ausgetauschten Informationen sicherzustellen", sagte FCC-Vorsitzende Jessica Rosenworcel anlässlich des FCC-Beschlusses. "Ich möchte dem Verteidigungsministerium und dem Justizministerium dafür danken, dass sie öffentlich gemacht haben, dass China Telecom BGP genutzt hat, um US-Internetverkehr bei mindestens sechs Gelegenheiten umzuleiten. Diese BGP-Highjackings können personenbezogene Daten offenlegen und Diebstahl, Erpressung und staatliche Spionage ermöglichen." Diese Offenlegung hat Rosenworcel sicherlich dabei geholfen, auch die Unterstützung ihrer FCC-Kollegen aus der Republikanischen Reichshälfte zu bekommen. Denn die Sicherungspflicht für das BGP ist eine Initiative der FCC-Chefin, die Demokratin ist.

Die FCC möchte US-Breitbandanbieter zunächst dazu verpflichten, ihre Datenrouten mit RPKI (Resource Public Key Infrastructure) abzusichern. Das hilft gegen irrtümlich falsche Routen. Mindestens jährlich sollen Provider vertrauliche BGP security risk management plans mit Umsetzungsstand und -plänen einreichen. Erst wenn RPKI ausgerollt ist, kann die nächste Sicherheitsmaßnahme BGPsec greifen, die besseren Schutz gegen absichtliches BGP-Hijacking bietet.

Die neun größten ISP des Landes sollen ihre Berichte sogar quartalsweise erstatten, bis sie ein annehmbares Sicherheitsniveau erreicht haben. Zusätzlich sollen sie bestimmte Informationen quartalsweise öffentlich machen müssen. Kleine Betreiber würden von regelmäßiger Berichtspflicht ausgenommen, müssten der FCC allerdings auf Anfrage einschlägige Informationen geben. Die entsprechende FCC-Verordnung geht nun in Begutachtung (Notice of Proposed Rulemaking FCC 24-62), bei der Interessierte Stellungnahmen einreichen können.

BGP und RPKI

Das BG-Protokoll (RFC 1105) spezifiziert den Austausch von Informationen zwischen Routern, auf deren Basis sie die beste Route für die zwischen ihren Netzen – den Autonomen Systemen (AS) – übermittelten Datenpaketen identifizieren können. In Routing-Tabellen halten die Border-Router die besten Pfade fest. Das Border Gateway Protocol krankt daran, dass es aus einer Zeit stammt, als man einander im Netz vertraut hat. Jeder darf beliebige Routen verlautbaren, automatische Kontrollen sind nicht vorgesehen.

Beim sogenannten Präfix-Hijacking gibt ein Angreifer die Präfixe seiner Opfer als eigene aus. Beispielsweise kann das angreifende Netz spezifischere Adressen aus dem Netz des Opfers ankündigen oder behaupten, eine Abkürzung zu bestimmten IP-Adressblöcken zu bieten. Router ohne RPKI müssen das einfach glauben.

Mit RPKI (RFC 6840 plus über 40 weitere RFCs) kann mittels Route Origin Authorisations (ROA )festgelegt werden, für welche IP-Präfixe ein Autonomes System verantwortlich ist. Kündigt es plötzlich andere IP-Präfixe an, löst das Alarm aus. Damit sollen in erster Linie die häufig vorkommenden Fehler bei der Ankündigung von Routen verhindert werden. Das vielleicht bekannteste Beispiel dafür ist die Umleitung von YouTube-Verkehr zur Pakistan Telecom.

Zukunftsmusik BGPsec

Theoretisch gibt es seit 2017 auch eine Waffe gegen absichtliches BGP-Hijacking: BGPsec (RFC 8204). Es sichert die Routing-Informationen auf dem Weg durch das Netz ab. Statt allein die Authentizität des Ursprungs einer Routenankündigung zu prüfen, soll so sichergestellt werden, dass entlang des Pfades keine Manipulationen passieren. Es hülfe aber nur, wenn erstens RPKI ausgerollt ist und zweitens alle Netzbetreiber gleichzeitig auf BGPsec umstellten, sodass unsignierte Informationen ignoriert werden dürften. Eine solche Umstellung ist nicht in Sicht, weil dafür viele Router ausgetauscht werden müssen und die Netzbetreiber erheblichen Mehraufwand für die Verwaltung all der BGPsec-Schlüssel hätten, die für jeden Routing-Hop notwendig sind.

Außerdem setzt BGPsec voraus, dass man den Ausstellern der kryptografischen Zertifikate vertraut. Stehen diese Stellen jedoch unter staatlicher Kontrolle, ist vielleicht nicht viel gewonnen. Denn die meisten Manipulationen gehen auf Täter aus korrupten Ländern oder gar auf staatliche Akteure, die ihre eigenen Interessen verfolgen, zurück. Sie könnten auch Zertifikate ausstellen, die ihren Attacken den Anschein von Legitimität verleihen.

Detektor für Firmennetze

Berühmt ist ein Fall aus 2013; damals wurde 21 Mal Datenverkehr aus anderen Ländern, darunter Deutschland, Iran, Südkorea und die USA, über Weißrussland geroutet -- manchmal für einige Minuten, manchmal aber auch stundenlang. Aufgefallen ist das erst nach Wochen. Um solche Vorfälle schnell aufzudecken, hat eine Gruppe an der Informatik-Fakultät der Universität Indiana in Bloomington vor sieben Jahren ein Programm namens Bongo veröffentlicht.

Bongo ist für lokale Netze gedacht, die BGP-Routing-Daten von ihrem Internetprovider erhalten, beispielsweise Firmen und Universitäten. Der Administrator kann für jedes Autonome System einstellen, welche Länder im Routing (nicht) auftauchen dürfen. Erspäht die Software eine nicht akzeptable Route, kann sie, je nach Konfiguration, den Administrator alarmieren oder selbst die Firewall anweisen, den Datenstrom zum entsprechenden Autonomen System zu unterbinden.

(ds)