Routing soll etwas sicherer werden

Nach den Domains sollen auch IP-Adressen sicherer werden. Mit einer Public-Key-Infrastruktur (PKI) wollen die Regional Internet Registries (RIRs) und die Number Ressource Organisation (NRO) künftig unter anderem das Kapern von Routen im Netz wie im Youtube-Fall erschweren. Die pakistanische Regierung hatte einfach über das Netz propagiert, dass sie der Inhaber der zu Youtube gehörenden IP-Adressen sei. Eine Validierung der an IP-Adressen geknüpfte Signaturen soll zukünftig sicherstellen, dass man es mit den richtigen IP-Adressinhaber zu tun hat.

Allerdings gab es beim Treffen der Internet Engineering Task Force (IETF) in Stockholm auch Warnungen: Ein Stück Autonomie würde der Sicherheit geopfert, warnte Danny McPherson, Mitglied des Internet Architecture Board (IAB). McPherson mahnte gleichzeitig, dass man auf halbem Weg Halt mache. Vorerst bestätige das Vefahren lediglich, dass der Datenverkehr vom Inhaber der entsprechenden IP-Adressen ausgehe. Auf dem Weg zum Adressaten könne allerdings noch manches passieren, fügt er hinzu. Rüdiger Volk, Routing-Experte der deutschen Telekom, forderte dagegen, den ersten Schritt so schnell wie möglich zu machen und nicht darauf zu warten, dass die gesamten Routen auf ihrem Weg durchs Netz abgesichert werden. Manche Experten fürchten, dass Verbesserungen der Sicherheit im Routing-System auf den Sankt-Nimmerleins-Tag verschoben werden.

Druck kommt auch von Seiten der fünf regionalen IP-Adressverwalter (Regional Internet Registries, RIR). Sie blicken besorgt auf den bevorstehenden Handel mit knapper werdenden IPv4-Adressen und wollen dafür sorgen, dass ihre Datenbanken über die Zuordnung der Adressressourcen korrekt bleiben. Anfang der Woche kündigte daher die Number Ressource Organisation (NRO) an, dass sie spätestens am 1. Januar 2011 anfangen wolle, Zertifikate für die zugeteilten IP-Adressen auszugeben. Innerhalb der für Europa und Teile des Nahen Ostens zuständigen Region des Réseaux IP Européens (RIPE) ist man mit der testweisen Umsetzung des PKI-Systems schon sehr weit.

Zunächst will jedes RIR selbst als Zertifizierungsstelle für die eigenen Ressourcen arbeiten. Zwar räumt die NRO in ihrer Stellungnahme ein, dass die optimale Lösung für ein globales RPKI-System eine einzelne Wurzel wäre. Technische Experten bei der IETF sehen die Internet Assigned Numbers Authority (IANA) als logische Stelle dafür, denn die IANA vergibtdie IP-Adressblöcke an die fünf RIRs.

Eine solche Lösung sei jedoch kurzfristig "nicht realisierbar", schreibt die NRO verklausuliert und verweist auf notwendige Gespräche mit den eigenen Mitgliedern, IAB, IETF und "anderen Partnern". Das Hauptproblem einer solchen Lösung ist schlicht, dass die IANA sehr eng an die US-Regierung gebunden ist. Eine unabhängige IANA hätte bessere Chancen, als vertrauenswürdige, zentrale Zertifikatsstelle akzeptiert zu werden. Eine Debatte wie bei der kryptographischen Absicherung von Domains mittels DNSSEC wollen alle Beteiligten vermeiden.

Vorerst aber wird an einem System gebaut, in dem alle RIRs (AfriNIC, LacNIC, RIPE, ARIN und Apnic) und IANA jeweils ihre eigenen Bereiche zertifizieren. Die Internet Service Provider (ISPs) gabeln diese Zertifikaten auf und legen sie in einen Cache ab, der dann als Datenbasis für aktuelle Routing-Entscheidungen dient. Dabei stehe es dem ISP frei, ob er validieren will oder nicht beziehungsweise welche Ausnahmen er zulässt.

Stephen Kent von BBN Technologies stellte in Stockholm eine Software vor, die es Unternehmen, Militärs und Regierungen erlaubt, auf Basis der vorhandenen Zertifikate das Routing nach eigenen Regeln zu bewerten und zu organisieren. Wie man mit den Informationen der verschiedenen Zertifizierungsstellen umgehe, sei eine lokale Angelegenheit, erläuterte Kent. Auf der Basis der eingesammelten Zertifikate könnten daher auch neue eigene Zertifikate vergeben werden – je nach gewünschter Politik. So lasse sich eine ganz eigene Sicht auf den IP-Adressraum zusammen zimmern. (Monika Ermert) / (rek)