US-Behörden sollen Internet-Routing absichern
Das Weiße Haus macht Druck auf Behörden: Sie sollen ihre Netzrouten kryptografisch absichern. Erst dann können Fehler auffallen.
(Bild: Maximumm/Shutterstock.com)
Internet Service Provider in den USA sollen dazu verpflichtet werden, ihre Border Gateways kryptografisch abzusichern, damit sie weniger anfällig gegen falsche oder manipulierte Datenroutings werden. Weil das Internet in Nordamerika älter ist, sind Sicherungsmaßnahme dort weniger verbreitet als in Europa. Jetzt macht das Weiße Haus auch US-Bundesbehörden Dampf. Sie sitzen auf einem Fünftel aller nordamerikanischen IP-Adressen, hinken bei der Absicherung der Border Gateways den privaten Netzbetreibern aber hinterher.
Am Dienstag hat der National Cyber Director einen Fahrplan für die Aufrüstung der bundesbehördlichen Netzinfrastruktur mit RPKI (Resource Public Key Infrastructure) veröffentlicht. Zentrales Element ist eine Vertragsvorlage für Bundesbehörden, mit der sie die American Registry for Internet Numbers (ARIN) beauftragen können, entsprechende kryptographische Zertifikate auszustellen, zu verwalten, und in ein öffentliches Verzeichnis einzutragen. ARIN soll auch die Route Origin Authorizations (ROA) für die behördlichen Netze übernehmen.
RPKI ist Voraussetzung für ROA, was Voraussetzung dafür ist, dass Dritte die Routen verifizieren können (Route Origin Validation, ROV). Bis Jahresende sollen 60 Prozent der öffentlichen IP-Adressen von US-Bundesbehörden von entsprechenden Verträgen mit ARIN erfasst sein. Das bedeutet noch nicht, dass sie zu Weihnachten bereits ROV unterstützen oder selbst durchführen, aber eine Voraussetzung dafür wäre geschaffen.
BGP und RPKI
Das Border Gateway Protokoll (BGP, beruhend auf RFC 1105) spezifiziert den Austausch von Informationen zwischen Routern, auf deren Basis sie die beste Route für die zwischen Netzen – den Autonomen Systemen (AS) – übermittelten Datenpaketen identifizieren können. In Routing-Tabellen halten die Border-Router die besten Pfade fest. Das Border Gateway Protocol krankt daran, dass es aus einer Zeit stammt, als man einander im Netz vertraut hat. Jeder darf beliebige Routen verlautbaren, automatische Kontrollen sind nicht vorgesehen.
Beim sogenannten Präfix-Hijacking gibt ein Angreifer die Präfixe seiner Opfer als eigene aus. Beispielsweise kann das angreifende Netz spezifischere Adressen aus dem Netz des Opfers ankündigen, oder behaupten, eine Abkürzung zu bestimmten IP-Adressblöcken zu bieten. Router ohne RPKI müssen das einfach glauben.
Mit RPKI (RFC 6840 plus über 40 weitere RFCs) kann mittels Route Origin Authorisations (ROA) festgelegt werden, für welche IP-Präfixe ein Autonomes System verantwortlich ist. Kündigt es plötzlich andere IP-Präfixe an, löst das Alarm aus. Damit sollen in erster Linie die häufig vorkommenden Fehler bei der Ankündigung von Routen verhindert werden. Das vielleicht bekannteste Beispiel dafür ist die Umleitung von YouTube-Verkehr zur Pakistan Telecom.
Netzbetreiber sollen zum Hinschauen verpflichtet werden
Wenn US-Behördennetze mittel ROA kryptografisch gesichert mitteilen, für welche IP-Adressen sie "zuständig" sind, ist das jedenfalls ein Schritt in die richtige Richtung. Erst dann können Dritte diese Angaben mittels ROV überprüfen. Besonders wertvolle und besonders risikobehaftete Ressourcen sollen bevorzugt umgestellt werden. Helfen soll ein Playbook mit schönen Screenshots.
Gleichzeitig fordert der National Cyber Director alle Bundesbehörden dazu auf, Netzbetreiber in neuen Verträgen dazu zu verpflichten, BGP-Routen mittels ROV zu filtern. Subventionen für Kritische Infrastruktur sollen ebenfalls nur noch an Projekte fließen, die ihr Routing absichern. Zudem soll es weiterhin Geld für einschlägige Forschungs- und Entwicklungsprojekte geben.
Zukunftsmusik BGPsec
Theoretisch gibt es seit 2017 auch eine Waffe gegen absichtliches BGP-Hijacking: BGPsec (RFC 8204). Es sichert die Routing-Informationen auf dem Weg durch das Netz ab. Statt allein die Authentizität des Ursprungs einer Routenankündigung zu prüfen, soll so sichergestellt werden, dass entlang des Pfades keine Manipulationen passieren. Es hülfe aber nur, wenn erstens RPKI ausgerollt ist und zweitens alle Netzbetreiber gleichzeitig auf BGPsec umstellten, sodass unsignierte Informationen ignoriert werden dürften. Eine solche Umstellung ist nicht in Sicht, weil dafür viele Router ausgetauscht werden müssen und die Netzbetreiber erheblichen Mehraufwand für die Verwaltung all der BGPsec-Schlüssel hätten, die für jeden Routing-Hop notwendig sind.
Außerdem setzt BGPsec voraus, dass man den Ausstellern der kryptografischen Zertifikate vertraut. Stehen diese Stellen jedoch unter staatlicher Kontrolle, ist vielleicht nicht viel gewonnen. Denn die meisten Manipulationen gehen auf Täter aus korrupten Ländern oder gar auf staatliche Akteure, die ihre eigenen Interessen verfolgen, zurück. Sie könnten auch Zertifikate ausstellen, die ihren Attacken den Anschein von Legitimität verleihen.
(ds)
