sakkmesterke - Fotolia
Resource Public Key Infrastructure: Schutz fürs Internet
Per RPKI können Personen oder Unternehmen einen Adressraum offiziell für sich registrieren. Das erschwert es Cyberkriminellen, IP-Adressen nachzuahmen oder zu fälschen.
Seit der COVID-19-Pandemie hat sich die Internetnutzung um etwa ein Drittel gesteigert, denn viele der verwendeten Programme und Services sind auf das Internet angewiesen. Unter normalen Umständen wird dieses Wachstum innerhalb eines ganzen Jahres erreicht. Ein Großteil dieses enormen Datenvolumens lässt sich auf Home-Schooling, Business-Anwendungen und Streaming-Angebote zurückführen. Ebenso zählt Social Media dazu, um trotz räumlicher Distanzierung den Kontakt zu Kollegen, Freunden und Familie in Form von virtuellen Videokonferenzen, Videostreaming und Fernarbeit zu halten. Deshalb ist es ein grundlegendes Bedürfnis aller Anbieter, digitale Services dauerhaft und sicher zur Verfügung stellen zu können.
Oftmals sind die Netzwerke für diesen explosionsartigen Zuwachs beim Datenverkehr nicht ausgelegt. Hier gilt es aufzurüsten, um weltweit eine hohe Übertragungsgeschwindigkeit oder ein gutes Nutzererlebnis zu bieten. Dieser Herausforderung stellen sich Tier-1-Anbieter, indem sie den Kern des weltweiten Internets bilden. Eine weitere Hürde in diesem Zusammenhang ist das Thema Sicherheit. Websites und Cloud-Anwendungen benötigen vor allem in Zeiten von Remote Work und Digitalisierung effektive Sicherheitsmaßnahmen, die alle wichtigen Nutzerinformationen schützen. Nur mit einem guten Netzwerkpartner erhalten die Internet-basierten Anwendungen die erforderliche Stabilität, die Anwender auch in intensiven Nutzungszeiträumen erwarten.
Unzureichende Registrierungsmaßnahmen gefährden den Internetverkehr
Der weltweite Internet-Traffic bewegt Daten von einem Punkt zum nächsten. Dabei dienen ihm die hinterlegten IP-Adressen wie eine Ausweisfunktion, der zum Ziel der Verbindung führt – beispielsweise zu einem Router im Haus, einer Blog-Seite oder einem Online-Shop. Diese ausgewiesenen Adressen schicken Netzwerke an das globale Internet weiter, um den Traffic in sogenannten Routen zu registrieren. Dabei sind sie durch Filter der Upstream-Provider geschützt und bestehen aus Einträgen in der Internet Routing Registry (IRR), einer Datenbank mit registrierten Internet-Routen. Doch hier liegt bereits das erste Problem: Diese Registry-Einträge können leicht manipuliert werden und bedürfen keiner weiteren Überprüfung oder Validierung durch eine übergeordnete Instanz. Das macht das System sehr anfällig für den Missbrauch durch Cyberkriminelle.
Ohne Überwachung können Hacker IRR-Einträge für IP-Räume ohne Berechtigung erstellen, wodurch sich Routenlecks ergeben. Diese können wiederum zu Angriffen auf ein Netzwerk führen, bei denen der Angreifer die Kontrolle über die Kommunikation zwischen zwei Teilnehmern übernimmt und sich als einer der beiden ausgibt. In diesem Fall spricht man von einem sogenannten Hijack. Diese Methode wird häufig angewendet, wenn es um den Diebstahl von Online-Kreditkarten- oder Krypto-Währungstransaktionen geht, bei denen die IP-Präfixe des beabsichtigten Ziels immer in der IRR registriert sind. Ohne eine weitere Prüfung gelangen diese IP-Blöcke dann zu den Upstream-Providern und gelten umgehend als autorisiert. Dieses Vorgehen ermöglicht es dem Hacker, den gesamten Datenverkehr zu übernehmen, der für den eingetragenen IP-Adressraum des rechtmäßigen Eigentümers bestimmt ist. Diese Berechtigung besitzt der Hacker so lange, bis die von ihm eingetragene Ankündigung in der IRR abgelaufen oder deaktiviert ist.
„Eine zentrale Datenbank zur Validierung von IP-Adressen über das RPKI ist ein erster wichtiger Schritt zu mehr Sicherheit im Internet.“
Volker Schiemann, GTT
Doch auch menschliches Versagen kann zum Problem werden, wenn Websites und Webshops durch Konfigurationsprobleme unerreichbar sind. Einfache Tippfehler beim Eintrag in die IRR oder in der zugehörigen Netzwerkankündigung in einem IP-Block können fatale Folgen haben. Denn Websites können mitunter vollkommen funktionsunfähig werden, wenn ein fehlerhafter Eintrag durch den rechtmäßigen Betreiber von den Upstream-Providern ungeprüft übermittelt wird. Diese Fehler müssen zunächst identifiziert und korrigiert werden, bis eine Website oder ein Webshop für seine Internetnutzer wieder erreichbar ist.
Weltweite Internet-Routing-Systeme durch Validierung absichern
Heute sind mehr Menschen als je zuvor von einem funktionierenden Internet abhängig. Deswegen sind bessere Schutzmaßnahmen bei Verbrauchern und Unternehmen notwendig, um Ausfallzeiten von Dienstleistungen oder Produktionsprozessen zu vermeiden. Die Implementierung eines neuen Verifizierungssystems für IP-Adressen kann hierbei helfen. Über die Resource Public Key Infrastructure (RPKI) können Einzelpersonen oder Unternehmen einen Adressraum offiziell für sich registrieren. Das gilt auch, wenn sie mehrere IP-Adressen besitzen. Diese Registrierung wird anschließend von einer der fünf Regional Internet Registries (RIRs), die IP-Adressen verwalten und zuweisen, ordnungsgemäß autorisiert. So entsteht eine durchgehende Authentifizierung mithilfe eines offiziellen IP-Adressen-Registers. In diesem Fall spricht man von einer Route Origin Authorization (ROA).“
Dadurch wird es für Cyberkriminelle immer schwieriger, IP-Adressen nachzuahmen oder zu „fälschen“, um Traffic auf eine Fake-Website zum Login-Datendiebstahl umzuleiten. Denn die zusätzliche Validierungsebene sorgt dafür, dass Netzwerkbetreiber jede IP-Ankündigung, die in der RPKI als ungültig ausgewertet wird, explizit zurückweisen können und die eigene IP-Adresse so weiterhin aktiv bleibt.
Mehr Sicherheit dank RIR-Autorisierung
Eine zentrale Datenbank zur Validierung von IP-Adressen über das RPKI ist ein erster wichtiger Schritt zu mehr Sicherheit im Internet. Unternehmen mit eigenen Websites und Webshops stehen nun in der Pflicht, sich auf der RIR-Ebene ordnungsgemäß zu autorisieren. Der dort erstellte RPKI- ROA-Datensatz sorgt für eine erhöhte Sicherheitsstufe des eigenen Netzwerks. Doch sollten Unternehmen nicht auf interne Due-Diligence-Prüfungen verzichten. Wenn sie einen online gehosteten Blog- oder Website-Dienst von einem anderen Unternehmer übernehmen, ist darauf zu achten, ob der Anbieter seinen Adressraum bei dem entsprechenden System ebenfalls registriert hat.
Netzbetreiber reagieren kollektiv auf die Herausforderung, das Internet sicherer und zuverlässiger zu gestalten, da die gesamte Weltbevölkerung zunehmend auf verbesserte Security-Maßnahmen angewiesen ist. Als erster großer globaler Tier-1-Provider setzt GTT die RPKI-basierte Routenvalidierung über sein gesamtes globales Internet-Backbone ein. Denn nur, wenn die IP-Routen der Kunden durch einen RPKI-ROA-Datensatz abgebildet sind, gewährleistet ein Netzwerk-Anbieter, dass der Internet-Traffic seiner Kunden im Intranet sicherer ist. Dennoch ist es ein langer Weg zu mehr Routing-Sicherheit und RPKI ist ein weiterer, wichtiger Schritt in diese Richtung. Denn dadurch erhält das Internet eine zusätzliche Schutzebene und verbessert die Stabilität und Nutzererfahrung der global digitalisierten Gesellschaft.
Über den Autor:
Volker Schiemann ist VP Operations & Consulting DACH bei GTT und Experte rund um das Thema IT- und Telekommunikation. Seit 2005 berät und begleitet er Unternehmen aller Größen und Branchen bei der Modernisierung von IT-Netzwerken und bei der Implementierung von SD-WAN-Projekten.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.