FCC-Chefin will das Border Gateway Protocol absichern
Das Internet ist seit jeher anfällig für Fehler beim Datenrouting. RPKI würde abhelfen, ISPs sind dazu aber nicht verpflichtet. Die FCC-Chefin will das ändern.
(Bild: Maximumm/Shutterstock.com)
Die Routingtabellen des Internet (Border Gateway Protocol, BGP) sind anfällig für Manipulation. Durch "BGP-Hijacking" wird Datenverkehr böswillig umgeleitet, untergeschoben oder zum Erliegen gebracht. Hinzu kommen irrtümlich falsche Einträge, die Störungen nach sich ziehen. Die Vorsitzende der US-Regulierungsbehörde FCC, Jessica Rosenworcel, will US-Breitbandanbieter nun dazu verpflichten, zumindest Vorkehrungen gegen irrtümlich falsche Routen zu setzen.
Dazu dient Resource Public Key Infrastructure (RPKI). Erst wenn RPKI ausgerollt ist, kann die nächste Sicherheitsmaßnahme BGPsec greifen, die besseren Schutz gegen absichtliches BGP-Hijacking bietet. Rosenworcel möchte ihre vier Kollegen in der FCC davon überzeugen, dass die Behörde US-Breitbandanbieter dazu verpflichtet, ihre Datenrouten mit RPKI abzusichern.
Die neun größten ISP des Landes sollen außerdem Berichte vorlegen müssen: Einen geheimen Bericht, der ihre Pläne zur Einführung von RPKI darlegt, sowie quartalsweise öffentliche Fortschrittsberichte, die auch zeigen sollen, ob der Umsetzungsplan vernünftig ist. Zur Begründung verweist Rosenworcel auf nicht spezifizierte Sicherheitswarnungen von US-Geheimdiensten, sowie auf Ergebnisse einer FCC-Untersuchung aus dem Jahr 2022 und einen Border Gateway Protocol Security Workshop aus dem letzten Sommer.
Verzögerung durch Abschaffung der Netzneutralität
Das Problem ungesicherter Datenrouten ist lange bekannt. Schon als BGP 1989 eingeführt wurde, haben Experten darauf hingewiesen, dass Verkehr im Internet leicht umgeleitet werden kann, sodass Angreifer den Datenverkehr sehen, verändern oder einfach verschwinden lassen könnten. Lange geschah wenig. Vor etwa 20 Jahren wurde schließlich die kryptographische Absicherung des Routing-Systems durch RPKI und BGPsec entworfen. Die Einführung erfolgt jedoch nur schleppend, obwohl staatliche Angreifer insbesondere aus Russland immer wieder die Internet-Infrastruktur angreifen.
Warum die FCC erst jetzt tätig wird, ist allerdings leicht erklärt: Kurz vor Ende der Amtszeit Donald Trumps als US-Präsident hat sich die FCC selbst die Zuständigkeit zur Internetregulierung entzogen. Auf diese Weise schaffte es die damalige Republikaner-Mehrheit in der FCC, die Netzneutralität abzuschaffen. Und nach dem Amtsantritt des Demokraten Joe Biden verhinderten Republikaner im US-Parlament lange Zeit die Nachbesetzung eines den Demokraten zustehenden FC-Commissioners.
Erst vor wenigen Wochen konnte die FCC sich die Zuständigkeit für die Regulierung von Internet Service Providern wieder sichern und die Netzneutralität wieder einführen. Das greift Ende Juni. Entsprechend hat es nun Sinn, weitere Aspekte der Internetregulierung in Angriff zu nehmen.
BGP und RPKI
Das BG-Protokoll (RFC 1105) spezifiziert den Austausch von Informationen zwischen Routern, auf deren Basis sie die beste Route für die zwischen ihren Netzen – den Autonomen Systemen (AS) – übermittelten Datenpaketen identifizieren können. In Routing-Tabellen halten die Border-Router die besten Pfade fest. Das Border Gateway Protocol krankt daran, dass es aus einer Zeit stammt, als man einander im Netz noch vertraut hat. Jeder darf beliebige Routen verlautbaren, automatische Kontrollen sind nicht vorgesehen.
Beim sogenannten Präfix-Hijacking gibt ein Angreifer die Präfixe seiner Opfer als eigene aus. Beispielsweise kann das angreifende Netz spezifischere Adressen aus dem Netz des Opfers ankündigen oder behaupten, eine Abkürzung zu bestimmten IP-Adressblöcken zu bieten. Router ohne RPKI müssen das einfach glauben.
Mit RPKI (RFC 6840 plus über 40 weitere RFCs) kann mittels Route Origin Authorisations (ROA )festgelegt werden, für welche IP-Präfixe ein Autonomous System verantwortlich ist. Kündigt es plötzlich andere IP-Präfixe an, löst das Alarm aus. Damit sollen in erster Linie die häufig vorkommenden Fehler bei der Ankündigung von Routen verhindert werden. Das vielleicht bekannteste Beispiel dafür ist die Umleitung von YouTube-Verkehr zur Pakistan Telecom.
Zukunftsmusik BGPsec
Theoretisch gibt es seit 2017 auch eine Waffe gegen absichtliches BGP-Hijacking: BGPsec (RFC 8204). Es sichert die Routing-Informationen auf dem Weg durch das Netz ab. Statt allein die Authentizität des Ursprungs einer Routenankündigung zu prüfen, soll so sichergestellt werden, dass entlang des Pfades keine Manipulationen passieren. Es hülfe aber nur, wenn erstens RPKI ausgerollt ist und zweitens alle Netzbetreiber gleichzeitig auf BGPsec umstellten, sodass unsignierte Informationen ignoriert werden dürften. Eine solche Umstellung ist nicht in Sicht, weil dafür viele Router ausgetauscht werden müssen und die Netzbetreiber erheblichen Mehraufwand für die Verwaltung all der BGPsec-Schlüssel hätten, die für jeden Routing-Hop notwendig sind.
Außerdem setzt BGPsec voraus, dass man den Ausstellern der kryptografischen Zertifikate vertraut. Stehen diese Stellen jedoch unter staatlicher Kontrolle, ist vielleicht nicht viel gewonnen. Denn die meisten Manipulationen gehen auf Täter aus korrupten Ländern oder gar auf staatliche Akteure, die ihre eigenen Interessen verfolgen, zurück. Sie könnten auch Zertifikate ausstellen, die ihren Attacken den Anschein von Legitimität verleihen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(ds)