zurück zum Artikel

Die noch junge RPKI-Technik, die Routing-Tabellen eigentlich vor Manipulation durch Kriminelle schützen soll, können prinzipiell Regierungen mißbrauchen, um so Zugriffe auf bestimmte Teile des Internets zu sperren.

Auf dem 87. Treffen der Internet Engineering Task Force (IETF [1]) wurden vergangene Woche in Berlin [2] auch mögliche Folgen der Einführung der RPKI-Technik diskutiert. Mittels RPKI lassen sich annoncierte BGP-Routen automatisch prüfen und das Kapern von Routen wie im berüchtigten Youtube-Fall [3] verhindern. Entsprechend ausgerüstete Router nutzten aber nur per RPKI abgesicherte Routing-Informationen und verwerfen ungesicherte. Das chinesische Militär, so wurde von den Experten kolportiert, habe nun Bedenken, dass die Technik missbraucht werden könnte: Deren RPKI-Zertifikate könnten Ziel von Attacken werden. Beispielsweise kann der Widerruf der Zertifikate dazu führen, dass ein IP-Adressbereich nicht mehr von überall aus erreichbar ist.

Bislang war dies vor allem als ein Angriffsszenario "Strafverfolger gegen Straftäter" diskutiert worden. Doch mit dem Start der RPKI-Technik rückt auch der "Hack" einer Regierung gegen eine andere ins Blickfeld. Feindliche Einflussnahme auf Routingeinträge sei nicht nur durch den Widerruf der Basiszertifikate, sondern auch der darauf aufbauenden Routing-Origin-Announcement-Zertifikate möglich, warnte Steve Kent, Chefwissenschaflter bei der US-Technologieschmiede BBN. Auch das Löschen eines Zertifikats aus einer von vielen Parteien genutzten RPKI-Datenbank oder die Verbreitung eines konkurrierenden Schlüssels für denselben oder einen darunter liegenden Adressbereichs seien denbkare Angriffstechniken.

Innerhalb der eigenen Jurisdiktion könnten staatliche Stellen derartige Angriffe ausschließen, indem sie RPKI-Informationen national verbreiten, am besten gleich, indem sie Provider nur durch staatliche Stellen versorgen. Zu Ende gedacht, könnten Regierungen so aber selbst globale Routing-Tabellen manipulieren [-] das ist eine der Gefahren, vor denen RPKI-Kritiker schon gewarnt hatten.

Solche politischen Aspekte helfen dem als Absicherung fürs Routing-System gedachten RPKI-System nicht, räumt Matthias Wählisch ein. Die Einführung kommt seiner Meinung nach trotzdem gar nicht so schlecht voran. Dienstleister wie die Telekom, Facebook oder Mozilla hätten allesamt begonnen, ihre IP-Präfixe zu schützen. Rund 11 Prozent der IP-Adressbereiche in Lateinamerika (LACNIC) und rund 6 Prozent der Bereiche in Europa und dem Nahen Osten (RIPE) erlauben aktuell [4] (PDF-Datei) eine Überprüfung der annoncierten IP-Adressbereiche mittels RPKI. Nordamerika (ARIN) liegt demgegenüber weit abgeschlagen bei nur 0,4 Prozent.

Mit RPKI habe sich die Qualität der Routing-Tabellen deutlich verbessert. Fehlkonfigurationen wie bei AT&T seien seltener. Der US-Netzbetreiber hatte während einer Testphase 2011 ein großes Präfix per RPKI gesichert, berichtete Wählisch. Weil jedoch Teilpräfixe für die Adressbereiche von Kunden fehlten, seien deren BGP-Updates plötzlich ungültig geworden. Eine ganze Reihe von Tools [5] (PDF-Datei) sollen bei der Bewältigung solcher Kinderkrankheiten helfen. Wählisch hat gemeinsam mit Kollegen der Hochschule Hamburg eine Library [6] zum Validieren und Monitoring der Zertifikate entwickelt. (dz [7])

URL dieses Artikels:
https://www.heise.de/-1930050

Links in diesem Artikel:
[1] http://www.ietf.org
[2] http://www.ietf.org/meeting/87/index.html
[3] https://www.heise.de/news/Routing-Kleinkrieg-Ursache-fuer-YouTube-Ausfall-205345.html
[4] http://www.ietf.org/proceedings/87/slides/slides-87-sidr-4.pdf
[5] http://www.ietf.org/proceedings/87/slides/slides-87-sidr-13.pdf
[6] http://rpki.realmv6.org/
[7] mailto:dz@ct.de

Copyright © 2013 Heise Medien