Das öffentliche Internet ist eine ganze Menge. Es ist eine kostengünstige Verbindung für entfernte Büros. Es bietet Studenten Zugang zu unzähligen öffentlichen Lernprogrammen. Es ist der Mechanismus, über den das Wissen der Welt auf unsere Geräte gelangt. Es ist die Lebensader eines jeden Unternehmens für seine Kunden.
Bei allem Nutzen, den das Internet bietet, sind wir uns einig, dass das Internet nicht sicher ist. Internet Service Provider (ISPs) auf der ganzen Welt beginnen jetzt, das zu ändern. Um zu verstehen, wie das geht, sollten wir uns kurz ansehen, was das Internet zum Brummen bringt.
Das Internet ist ein zusammenhängendes Netzwerk von Netzwerken. Das Kernstück des Internets sind die miteinander verbundenen Netzwerke der größten Internet Service Provider (ISPs) – die “Tier-1s”. Ein Tier-1 ISP hat Zugang zum gesamten Internet, ohne für IP Transit bezahlen zu müssen.
Sie tun dies durch “Peering”, d.h. durch die Einrichtung von abrechnungsfreien Inter-ISP-Verbindungen, die dazu dienen, den Datenverkehr von einem Netzwerk zu einem anderen weiterzuleiten, das für die Zustellung des Pakets benötigt wird. Diese Vereinbarungen sind freiwillig, unbezahlt, für beide Seiten vorteilhaft, bilateral, direkt mit anderen Tier-1s oder strategischen Netzwerken und dienen den Bedürfnissen ihrer gegenseitigen Kunden und dem Internet insgesamt.
Durch diese “Peering”-Vereinbarungen tauschen die Tier-1s Daten zwischen ihren Netzwerken aus und übertragen sie, und kleinere ISPs kaufen den Internetzugang von den Tier-1s. Die Tier-1-ISPs, die Peering betreiben, halten ihre Netzwerke aufrecht, indem sie stets für eine ausreichende Bandbreite sorgen, um den zwischen ihnen ausgetauschten Content und “Eyeball”-Verkehr zu unterstützen.
Ohne eine solche unternehmensübergreifende Zusammenarbeit würde das Internet nicht so reibungslos funktionieren.
Die Zusammenschaltung durch Peering ist nur der erste Schritt. Im nächsten Schritt werden die Regeln für den Austausch von Paketen festgelegt – wie das Routing erfolgt. Alle miteinander verbundenen Netzwerke tauschen Pakete nach den Regeln aus, die in einem Protokoll namens BGP (Border Gateway Protocol) definiert sind, dem globalen Routing-System für den Internetverkehr.
BGP ist eines der Kernprotokolle des Internets. Aber es wurde nicht mit Blick auf die Sicherheit entwickelt.
Resource Public Key Infrastructure (RPKI) ist eine “begleitende” Technologie, die das BGP-Routing sicherer machen soll. Sie tut dies, indem sie die Herkunft des Datenverkehrs überprüft. RPKI ermöglicht es Netzwerkbetreibern, die Authentizität von BGP-Routenankündigungen zu überprüfen, ihre Gültigkeit sicherzustellen und die Routenankündigung zurückzuweisen, wenn sie von einer nicht autorisierten Quelle stammt.
RPKI – Der “Türsteher” des Internets
RPKI hat ein schärferes Auge auf die Ankündigungen, die in das Netzwerk eines ISP gelangen, und stellt sicher, dass sie autorisiert sind.
Stellen Sie sich vor, Sie sind Türsteher in einem Nachtclub und ein Gast kommt an die Tür und behauptet, VIP zu sein. Sie fragen zunächst nach dem Namen des Gastes, erhalten ihn und gleichen ihn mit den Informationen auf Ihrer VIP-Gästeliste ab. Wenn der Name des Gastes auf der VIP-Gästeliste zu finden ist, können Sie ihn hereinlassen.
Oder… wie beim RPKI können Sie auch einen Nachweis verlangen, dass der Gast derjenige ist, der er zu sein vorgibt, und um einen Ausweis bitten, der mit den Angaben auf seinem VIP-Pass übereinstimmt. Erst wenn er diese Dokumente vorlegt und diese Dokumente überprüft wurden, wird der Gast eingelassen.
RPKI ist der Club-Türsteher des Internets. Wenn Netzwerke die Autorität beanspruchen, Routen anzukündigen (den Club zu betreten), überprüft der Türsteher die Autorität und Identität anhand eines virtuellen VIP-Passes.
Bei diesen VIP-Pässen handelt es sich um die digitalen Zertifikate, die von den fünf globalen Regional Internet Registries (RIRs) veröffentlicht und jedem Clubgast zugewiesen werden. Die fünf RIRs sind AfriNIC (Afrika), APNIC (Asien-Pazifik), ARIN (Nordamerika), LACNIC (Lateinamerika) und RIPE NCC (Europa, MIdlerer Osten und Zentralasien). Die Zertifikate werden in der RPKI (unserer Türsteherliste) veröffentlicht.
RPKI prüft dieses digitale Zertifikat mit den Informationen in seinem System. Wenn dieser digitale VIP-Pass von einer vertrauenswürdigen Stelle erkannt und signiert wird, wird der Zugang gewährt.
Wie das gesamte Internet erfordert auch der RPKI Zusammenarbeit
Die RPKI-Validierung erfolgt in zwei Richtungen: sowohl durch das Ursprungsnetz als auch durch das Empfangsnetz. Ähnlich wie das freiwillige gute Verhalten beim Peering erfordert RPKI auch ein freiwilliges gutes Verhalten der gepeerten ISPs, um alle Internetnutzer zu schützen. Der Schutz durch die Überprüfung der Ursprungsidentität wird am sinnvollsten, wenn Netzwerke ihre eigenen Routenherkünfte “signieren” oder identifizieren und wenn sie die Ursprünge des für ihre Netzwerke bestimmten Verkehrs validieren.
Als Tier-1 ISP ist sich Zayo der Verantwortung bewusst, ein solides, ausgewogenes und gut verteiltes Peering aufrechtzuerhalten. Wir nehmen uns auch die Verantwortung zu Herzen, Technologien wie RPKI einzuführen, um das gesamte Internet sicherer zu machen. Zayo ist stolz darauf, zu den Tier-1 ISPs zu gehören, die sich diese Technologie zu eigen gemacht haben. Zunächst durch die Überprüfung der Herkunft des Datenverkehrs, der in unser Netzwerk gelangt, und später in diesem Jahr durch das “Signieren” – die Erstellung und Anbringung digitaler Signaturen auf unseren eigenen Routen, um deren Authentizität zu gewährleisten.
Über die hier beschriebene anfängliche Grundlage von RPKI hinaus liegt das ultimative Versprechen noch in der Zukunft. Die Grundlage ist geschaffen und wird derzeit von ISPs weltweit übernommen. Aus dieser Grundlage werden sich zukünftige Verbesserungen ergeben, wie z.B. Autonomous System Provider Authorization (ASPA)-Objekte, die Hinzufügung von Pfaden für autonome Systeme (AS) und schließlich BGPSec, bei dem BGP signierte Anzeigen enthalten wird.
Was macht das RPKI derzeit konkret?
Die RPKI-Technologie schützt vor Route Hijacking. BGP-Route-Hijacking ist ein häufiger Angriff, bei dem der Angreifer (ein Clubgast, der den VIP-Status für sich beansprucht) eine falsche Route ankündigt (er präsentiert eine gefälschte ID oder einen VIP-Pass und gibt sich als derjenige aus, der er nicht ist), um den Datenverkehr in das eigene Netzwerk des Angreifers umzuleiten. Warum sollten sie das tun? Weil der umgeleitete Datenverkehr die Art von gewünschten Informationen enthält, die für böswillige Zwecke verwendet werden können, z. B. Kontonummern, Passwörter oder andere persönliche Daten.
Diese Angriffe haben reale Konsequenzen.
Ein erfolgreicher Hijack:
Im Jahr 2018 wurde ein groß angelegter Angriff auf MyEtherWallet, einen Kryptowährungs-Wallet-Dienst, gestartet. Die Angreifer erlangten die Kontrolle über die BGP-Router und waren in der Lage, den für MyEtherWallet bestimmten Datenverkehr auf eine Phishing-Website umzuleiten, die von den eigenen Servern der Angreifer gehostet wurde. Die Website sah identisch aus wie die MyEtherWallet-Website, so dass die Benutzer nicht wussten, dass sie umgeleitet worden waren. Sie gaben ihre Benutzernamen und Passwörter ein, und damit hatten die Angreifer Zugriff auf ihre Anmeldedaten (und stahlen ihr Geld). Wären die Routen ordnungsgemäß mit RPKI validiert worden, wäre die Umleitung zurückgewiesen worden und der Datenverkehr wäre zu seinem eigentlichen, vorgesehenen Ziel weitergeleitet worden.
Weitere erfolgreiche Hijacks:
Sehr ähnliche BGP-Hijack-Angriffe gab es 2022 auf Kryptowährungs-“Überbrückungsdienste”: Ronin Network (600 Millionen Dollar gestohlen), Wormhole Network (325 Millionen Dollar gestohlen) und Harmony Horizon Bridge (100 Millionen Dollar gestohlen).
Abgesehen von den offensichtlichen lukrativen Kryptoangriffen zielen BGP-Hijacker auch auf den Datenverkehr von ISPs und DNS-Providern ab, um Benutzer auf ihre eigenen Server umzuleiten. Und warum? Um den Zugang zu bestimmten Websites zu kontrollieren, um sensible Informationen im Datenverkehr abzufangen, zu überwachen und zu entschlüsseln oder einfach nur, um den Internet-Service zu stören. Seit 2020 gab es über 1.400 BGP-Hijacking-Vorfälle – etwa 14 pro Tag – und unabhängig vom Grund des Angriffs scheinen die Angreifer ihre Ziele zu erreichen.
Unbeabsichtigte “Hijacks” – die Verheerungen eines Tippfehlers
BGP-Umleitungen sind nicht immer beabsichtigt oder böswillig. Versehentliche BGP-Umleitungen werden als “Routenlecks” bezeichnet und können durch menschliche Programmierfehler, Softwarefehler, Konfigurationsprobleme oder andere unbeabsichtigte Fehler entstehen. Im Jahr 2019 wurde beispielsweise ein großer Teil des Internetverkehrs von Verizon versehentlich über das IP-Netzwerk eines seiner Kunden umgeleitet. Dieser Kunde, ein kleiner Metallhersteller aus Pennsylvania, stellte fest, dass sein System schnell überlastet war und die IP-Benutzer von Verizon nie ihr eigentliches Ziel erreichten.
Da BGP immer nach dem effizientesten Routing durch das Internet sucht, können versehentliche Fehlkodierungen oder andere Fehler viele Benutzer umleiten und zu weitreichenden Ausfällen, verminderter Leistung und unterbrochenen Reisen zu den beliebtesten Zielen wie Google, Facebook, YouTube, Amazon, Netflix und anderen beliebten Websites führen.
Wie unser Club Bouncer bietet RPKI die Sicherheitsvorkehrungen, die die Sicherheitslücken von BGP schließen können. Unabhängig davon, ob BGP-Umleitungen absichtlich oder versehentlich vorgenommen werden, stellt RPKI sicher, dass ISPs den Datenverkehr an vorher genehmigte, autorisierte und gültige Ziele weiterleiten.
Zayo’s investiert in den Erfolg seiner Kunden
In den vergangenen zwei Jahren hat Zayo unser Netzwerk erheblich verbessert und seine Leistungsfähigkeit für unsere Kunden sichergestellt. Wir verbessern unser Netzwerk, erweitern seine Reichweite und modernisieren unsere IP-Schicht. Unsere Prioritäten waren einfach: Erweiterung der geografischen Abdeckung, Sicherheit für unsere Kunden – und letztlich auch für deren Kunden – und gleichzeitige Bereitstellung flexibler Bandbreiten auf automatisierte Weise.
Die Rolle von Zayo beim Aufbau von RPKI als Grundlage des Internets ist Teil dieser allgemeinen Netzwerkstrategie. Eine weitere Initiative ist die Forderung nach einer Zwei-Faktor-Authentifizierung für alle BGP-Routing-Änderungen, die Kunden anfordern. Zayo ist einer der ersten Internet-Provider, der die BGP-Sicherheit auf diese Weise verschärft.
Zu den jüngsten IP-bezogenen Netzwerk-Updates von Zayo gehören unter anderem:
- Tier 1 IP-Status
- Vielfältige Langstrecken- und Metro-Glasfaserstrecken
- DDoS Protection Service
- Unsere Umarmung der RPKI-Technologie
- Router vorkonfiguriert und bereit für ASPA, die nächste Sicherheitsebene von RPKI
- Ein Zwei-Faktoren-Authentifizierungsverfahren für BGP-Änderungsanfragen
Da das Internet insgesamt immer sicherer wird, ist Zayo stolz darauf, der globalen Internet-Community das Versprechen einer großartigen IP-Performance und einer sichereren Erfahrung zu geben.
