Heute sprechen wir über das Border Gateway Protocol (BGP) und einen Schritt, den wir kürzlich unternommen haben, um es in unseren Netzwerken zu sichern. Während wir unsere Präfixe schon seit einiger Zeit mit Route Origin Authorizations (ROAs) signieren, haben wir auf allen unseren Edge-Gateway-Routern weltweit eine Routenvalidierung implementiert und lassen nun RPKI-ungültige Präfixe fallen.
Um diese Änderung zu verstehen, müssen wir wissen, wie das TCP-Protokoll funktioniert. BGP ist eines der Protokolle, die für das Funktionieren des Internets verantwortlich sind. Das Internet ist ein riesiges Netz von Netzen. Diese unabhängigen Netze haben ihre eigenen IP-Adressbereiche, die von den Regional Internet Registries (RIRs) bereitgestellt werden. Diese Bereiche werden von BGP als Präfixe bezeichnet.
Anschließend werden diese Präfixe in einem abstrakten System, dem Autonomen System (AS), zusammengefasst, das durch eine Nummer, die Autonomous System Number (ASN), identifiziert wird. Schließlich wird der BGP-sprechende Edge-Router jedes unabhängigen Netzes als Peer bezeichnet. Damit BGP funktioniert, tauscht jeder Peer mit seinen benachbarten Peers Routing-Informationen in Form von Netzpräfix-Ankündigungen aus. Da Peers je nach Routing-Politik alle ihnen zur Verfügung stehenden Routen austauschen können, muss ein AS nicht direkt mit einem anderen AS verbunden sein, um dessen Präfixe zu erfahren. In einem solchen Fall dient der zwischengeschaltete AS als Transit-AS, der Routing-Informationen mit den Edge-AS austauscht.
BGP-Hijacking
Falsche Werbung für Präfixe, die man nicht kontrolliert, ob absichtlich oder versehentlich, wird als BGP-Hijacking bezeichnet. Das Ergebnis sind verschiedene Arten von Angriffen wie DDoS, Überwachung, Spam und mehr.
Damit ein BGP-Hijack-Angriff erfolgreich ist, müssen andere Netze den gekaperten Pfad auf eine der folgenden Arten als besten Pfad auswählen:
- Da BGP im Allgemeinen die kürzeste AS-Pfadlänge bevorzugt, könnte der Angreifer eine kürzere AS-Pfadlänge anbieten als der rechtmäßige Präfixbesitzer. Andere BGP-Attribute können ebenfalls verwendet werden, um einen Pfad zu bevorzugen, aber dieses Verhalten ist sehr stark von den Routing-Richtlinien eines ASN abhängig.
- Der Angreifer muss ein spezifischeres Präfix ankündigen als das, was der eigentliche Herkunfts-AS ankündigen könnte. Auf der Präfixlänge basierende Hijacks sind wahrscheinlicher erfolgreich, da sie nicht auf potenziell komplizierten BGP-Richtlinien beruhen.
Obwohl die Komplexität eines solchen Angriffs recht hoch ist, ist es fast unmöglich, BGP-Hijacking ohne eine Form der Autorisierung zu verhindern. Und genau hier kommt RPKI ins Spiel.
RPKI
Man kann sich RPKI wie eine digitale Unterschrift vorstellen; sie bescheinigt, dass BGP-sprechende Router nur bestimmte Autonome Systeme akzeptieren, die berechtigt sind, bestimmte Präfixe zu erstellen. Im Wesentlichen können mit RPKI BGP-Routenankündigungen, die von einem Router ausgegeben werden, auf der Grundlage des ROA-Zertifikats signiert und validiert werden, um sicherzustellen, dass die Route vom Inhaber der Ressource stammt und dass es sich um eine gültige Route handelt.
Wenn RPKI in unseren Netzwerken aktiviert ist, signieren wir unsere Routenpräfixe mit den ROAs und verwerfen BGP-Anzeigen von Quellen mit ungültigen RPKI-Signaturen. Dies dient als vorbeugende Maßnahme gegen viele Bedrohungen im Zusammenhang mit BGP-Hijacking, einschließlich DDoS, Spam, Phishing, Datenüberwachung und mehr.
Wir tragen unseren Teil dazu bei, das Internet zu einem sichereren Ort zu machen. Um mehr über RPKI zu erfahren, lesen Sie diese Dokumentation von ARIN.
Wenn Sie sich für ein paar Statistiken interessieren, finden Sie hier einen coolen RPKI-Monitor von NIST.
Kommentare