Produkte
Lösungen
Info
Über uns
Einloggen
Demo anfordern

Produkt-Updates

Nutzen Sie die Stärke der Resource Public Key Infrastructure (RPKI)

Von Arun Mehra & Kemal Sanjta
| 14. November 2024 | 10 Minuten Lesezeit

Dieser Beitrag ist auch verfügbar für: United States (English), Mexico (Español), Spain (Español), France (Français), Canada (Français), Italy (Italiano), Japan (日本語), Korea (한국어), Brazil (Português) & Mainland China (简体中文).

Zusammenfassung

RPKI überprüft anhand von digitalen Zertifikaten, ob bestimmte AS-Nummern bestimmte Blöcke von IP-Adressen ankündigen können. Mit der neuen Funktion von ThousandEyes profitieren Sie von reibungslosem Monitoring Ihres RPKI-Status.

Willkommen in der Welt von Resource Public Key Infrastructure (RPKI), einem System, das die Sicherheit beim Routing im Internet in völlig neue Bahnen lenkt. Wenn sich Ihr Unternehmen noch nicht mit RPKI beschäftigt hat, ist dieser Blog-Eintrag genau das Richtige für Sie. Wir werden die wesentlichen Punkte behandeln, die wichtigsten Vorteile hervorheben und erklären, welche Vorteile RPKI für Ihre Netzwerksicherheitsstrategie mit sich bringt. Wir werden außerdem eine neue Funktion von ThousandEyes vorstellen, mit der Sie ein effizienteres RPKI-Monitoring erreichen.

Was ist RPKI?

RPKI ist ein Framework, das speziell dafür entwickelt wurde, um die Sicherheit der Routing-Infrastruktur des Internets zu stärken. Mithilfe von RPKI wird sichergestellt, dass die von autonomen Systemen (AS) angezeigten IP-Präfixe seriös und autorisiert sind. Diese Technologie begrenzt die Schlagkraft von böswilligen Akteuren, die den Adressbereich des Internetprotokolls missbrauchen, und minimiert die Folgen von Fehlkonfigurationen durch arglose Beteiligte. Dadurch trägt sie zur Verbesserung der allgemeinen Sicherheit und Zuverlässigkeit des Routings im Internet bei.

Warum lohnt sich RPKI für Unternehmen?

RPKI validiert die Authentizität der Herkunft von IP-Präfixen und hilft so, die Verbreitung unzulässiger Präfix-Anzeigen aufgrund von Fehlkonfigurationen und Hijacking einzudämmen. Da immer mehr Einrichtungen, darunter große Finanzinstitute und die US-Bundesregierung, RPKI annehmen, wird es zu einem Muss für eine verbesserte Routing-Sicherheit. Eine Begrenzung der Angriffsfläche für Border Gateway Protocol(BGP)-Hijacks und -Fehlkonfigurationen kommt zahlreichen Aspekten zugute – von der Netzwerksicherheit, Betriebsstabilität, finanziellen Sicherheit und Einhaltung von Vorschriften bis hin zum Wettbewerbsvorteil. Mit Investitionen in Maßnahmen zur Verhinderung und Eindämmung von BGP-Hijacking schützen Einrichtungen und Unternehmen ihre Vermögenswerte, ihren Ruf und ihre Einnahmequellen und stärken gleichzeitig das Vertrauen und die Zufriedenheit ihrer Kunden.

Ein kurzer Blick auf die Entstehung von RPKI

Bei der Entwicklung von BGP wurde der Sicherheit keine besondere Aufmerksamkeit geschenkt, was die Möglichkeiten der Betreiber begrenzt, wenn eine Route von Hijacking betroffen ist. Wenn es nicht möglich ist, ein spezifischeres Präfix anzuzeigen, bleibt oft nur die Möglichkeit, sich direkt an Peers zu wenden. Um diese Herausforderungen zu bewältigen, hat die für das Routing zuständige Community verschiedene Best Practices angenommen, wie z. B. die Konfiguration der maximalen Präfixe, die angezeigt werden können, und die Verwendung von Filterfunktionen für Routen.

Außerdem wurde in den letzten zehn Jahren viel unternommen, um RPKI aufzubauen und zu fördern, und so sowohl böswillige als auch versehentliche Hijacks von Routen zu verhindern. Derzeit verfügen etwa 53 % der IPv4-Präfixe und etwa 60 % der IPv6-Präfixe über gültige Route Origin Authorizations (ROAs).

Trotz der Fortschritte ist die Umsetzung von Sicherheitsmaßnahmen wie RPKI für Netzwerkbetreiber nicht verpflichtend. Es liegt also noch ein langer Weg vor uns, bis BGP vollständig abgesichert ist. Doch es gibt auch positive Entwicklungen: Große Anbieter von Übertragungsdiensten wie NTT, Cogent und Lumen sowie große Anbieter von Inhalten wie Amazon und Netflix haben die RPKI-Validierung eingeführt und tragen so zu einem besseren Schutz im Internet bei. Betreiber müssen gemeinsam alles daran setzen, dass mehr Anbieter diese Verfahren annehmen und das Internet für alle sicherer machen.

Wie funktioniert RPKI?

RPKI überprüft anhand von digitalen Zertifikaten, ob bestimmte Blöcke von IP-Adressen von bestimmten AS-Nummern angekündigt werden können. Es folgen zwei Schritte: Signatur und Validierung. Dies ist eine vereinfachte Darstellung des Prozesses:

  1. Zertifizierungsstelle (CA): Eine vertrauenswürdige Stelle, die als Zertifizierungsstelle (Certification Authority, kurz „CA“) bekannt ist, stellt digitale Zertifikate für Inhaber von IP- und AS-Präfixen aus. Diese Zertifikate bestätigen, für welche IP-Präfixe und autonome Systeme die Entität ROAs ausstellen kann.

  2. Route Origin Authorizations (ROAs): Der IP-Präfixinhaber erstellt ROAs, die die AS-Nummern angeben, die berechtigt sind, ihre Blöcke von IP-Adressen anzukündigen. Diese ROAs werden mit den von der CA ausgestellten digitalen Zertifikaten signiert.

  3. Validierung: Netzwerkbetreiber überprüfen mithilfe von RPKI-Validatoren die Echtheit der ROAs. Wenn die ROAs gültig sind und die Bekanntmachungen der Route mit ihnen übereinstimmen, werden die Routen akzeptiert; andernfalls sollten sie abgelehnt werden. Dieser Prozess wird als Route Origin Validation (ROV) bezeichnet.

RPKI-Validierung in der Praxis

In Abbildung 1 stellt die BGP-Routenvisualisierung von ThousandEyes Pfadänderungen bei einem bestimmten Präfix dar. Durchgezogene rote Linien stellen neue Pfade dar, die installiert werden, während gestrichelte rote Linien Pfade anzeigen, die entfernt werden. Zwei ThousandEyes BGP-Monitore in New York und Amsterdam melden die Nichterreichbarkeit des Präfix. Dies liegt daran, dass zwei Provider, AT&T und KPN, ungültige ROAs für das angezeigte Präfix erkannt haben. Aufgrund ihrer ROV-Implementierung verwerfen sie diese Anzeige, was zu einer mangelnden Sichtbarkeit des Präfix führt. Diese Situation ist nicht auf eine böswillige Handlung, sondern auf eine falsche ROA-Konfiguration zurückzuführen. An diesem Szenario wird jedoch deutlich, wie RPKI die Verbreitung ungültiger Bekanntmachungen im Falle von Hijacking verhindern kann.

ThousandEyes BGP route visualization shows lack of prefix visibility for some monitors
Abbildung 1: Die BGP-Routenvisualisierung von ThousandEyes zeigt mangelnde Präfix-Sichtbarkeit bei einigen Monitoren

Sobald die Netzwerkbetreiber die ROA korrigieren, funktioniert alles wie erwartet, wie in Abbildung 2 unten dargestellt.

ThousandEyes platform shows paths are restored following an ROA fix
Abbildung 2: Wiederhergestellte Pfade nach einer ROA-Korrektur

Einstieg in RPKI

Die Implementierung von RPKI mag zunächst kompliziert klingen, ist aber einfacher als Sie denken. Gehen Sie wie folgt vor:

  1. Befassen Sie sich mit der Rolle von Regional Internet Registries (RIRs): Regional Internet Registries (RIRs, ARIN, RIPE NCC, APNIC, LACNIC und AFRINIC) agieren als Root-CAs für RPKI-Dienste und fungieren als Vertrauensanker. Melden Sie sich zunächst im Portal Ihres RIR an und lesen Sie die Anleitung zur Erstellung von ROAs.

  2. Erstellen Sie ROAs: Erstellen Sie ROAs über die Benutzeroberfläche oder API des RIR. Eine ROA gibt an, welches AS berechtigt ist, ein bestimmtes IP-Präfix zu erzeugen. In vielen Fällen kann dies automatisch vom RIR vorgeschlagen werden und Sie müssen es nur noch bestätigen.

  3. Nutzen Sie Monitoring: Überwachen Sie RPKI-Ungültigkeiten mit ThousandEyes.

  4. Pflegen Sie das System: Die Betreiber müssen außerdem die maximale Präfixlänge festlegen, die Auswirkungen auf bestehende Systeme wie die DDoS-Abwehr bewerten und die entsprechenden Workflows aktualisieren. So bleiben die ROAs auf dem neuesten Stand, was die Sicherheit und Compliance gewährleistet und globale Ausfälle verhindert. (Hinweis: Für die Zwecke dieses Blogs haben wir einige Details absichtlich vereinfacht.)

Monitoring von RPKI in ThousandEyes

Nachdem Sie ROAs für Ihre ASN-Präfix-Paare eingerichtet haben, können Sie Warnmeldungen mithilfe des neuen Warnmeldungstyps für den RPKI-Status von ThousandEyes (siehe Abbildung 3) konfigurieren, um zu überwachen, ob von unseren BGP-Monitoren ungültige RPKI-Bekanntmachungen erkannt werden. Verknüpfen Sie diese Warnmeldungen mit den spezifischen Tests oder Präfixen, die Sie überwachen möchten.

RPKI alert configuration on the ThousandEyes platform
Abbildung 3: Konfiguration von RPKI-Warnmeldungen

Wenn die BGP-Monitore von ThousandEyes eine ungültige RPKI-Ankündigung erkennen, erhalten Sie eine Warnmeldung und sehen wie in Abbildung 4 gezeigt eine visuelle Darstellung in den BGP-Ansichten, die Aufschluss darüber gibt, welches AS das ungültige RPKI-Präfix ankündigt.

The ThousandEyes platform showing an RPKI invalid announcement
Abbildung 4: Anzeige einer ungültigen RPKI-Ankündigung durch die ThousandEyes-Plattform

Fazit

RPKI ist ein leistungsstarkes Security-Framework, das die Sicherheit und Zuverlässigkeit Ihrer BGP-Struktur verbessern kann. Durch die Eindämmung der Auswirkungen von Fehlkonfigurationen und BGP-Hijacking erleichtert RPKI den Schutz Ihrer Daten und hilft Ihnen, eine vertrauenswürdige Internetpräsenz sicherzustellen. Begeben Sie sich noch heute auf Ihre RPKI-Reise und erschließen Sie das volle Potenzial eines sicheren Routings für Ihr Unternehmen.

Wenn Sie Fragen haben oder Hilfe bei der Implementierung von RPKI benötigen, steht Ihnen unser Team gerne zur Seite. Wir unterstützen Sie auf Ihrer Reise zu einer Welt mit sichererem Routing im Internet!

Veröffentlicht am 14. November 2024

Author Portrait:Arun Mehra
Arun Mehra
Engineering Product Manager (BGP)
Author Portrait:Kemal Sanjta
Kemal Sanjta
Senior Internet Analyst
Kategorien:
Produkt-Updates
Themen:
Border Gateway Protocol (BGP) Resource Public Key Infrastructure (RPKI)
Teilen!
  Zurück zum ThousandEyes Blog

Ähnliche Beiträge

Blog Thumbnail: ThousandEyes Connected Devices: Einblicke für Service-Provider in das Last-Mile-Netzwerk
Produkt-Updates
ThousandEyes Connected Devices: Einblicke für Service-Provider in das Last-Mile-Netzwerk
Tiefere Einblicke in die Subscriber Experience: Mit Connected Devices stellt ThousandEyes auf dem Mobile World Congress (MWC) eine Innovation vor, die Service-Providern zu mehr Performance verhilft.
Von David Puzas & Hassan Qadir | 3. März 2025 | 10 Minuten Lesezeit
Blog Thumbnail: Traffic Insights: Der Gamechanger im Bereich NetOps
Produkt-Updates
Traffic Insights: Der Gamechanger im Bereich NetOps
ThousandEyes Kunden haben die Möglichkeit, bei einer privaten Vorschau von Traffic Insights dabei zu sein, das mithilfe von NetFlow die Netzwerksicherheit in Unternehmen auf eine neue Stufe heben kann.
Von Jonathan Zarkower | 11. Februar 2025 | 12 Minuten Lesezeit
Blog Thumbnail: ThousandEyes ist jetzt auch auf Cisco ISR 1000-Geräten verfügbar
Produkt-Updates
ThousandEyes ist jetzt auch auf Cisco ISR 1000-Geräten verfügbar
Die ThousandEyes Integration mit Cisco ISR 1000 bietet IT- und Netzwerk-Teams Einblicke in Echtzeit, proaktives Monitoring und zuverlässige Troubleshooting-Funktionen. So können sie die Performance ihrer Netzwerke und Applikationen sicherstellen.
Von Chitra Shastri | 14. Januar 2025 | 8 Minuten Lesezeit
AMERICAS
EUROPE
ASIA