Ist BGP noch immer nicht sicher?

 (isbgpsafeyet.com)
2 Punkte von GN⁺ 27 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • BGP (Border Gateway Protocol), das zentrale Routing-Protokoll des Internets, ist für die Pfadauswahl zuständig, verfügt jedoch über keine eingebaute Sicherheitsprüfung
  • Dadurch können bei der Verbreitung falscher Routing-Informationen Traffic-Entführungen oder großflächige Ausfälle entstehen; um dies zu verhindern, wurde RPKI (Resource Public Key Infrastructure) eingeführt
  • RPKI prüft die Echtheit von Routen kryptografisch, kann falsche Routen als invalid einstufen und blockieren
  • Cloudflare verfolgt und veröffentlicht den RPKI-Einführungsstand wichtiger globaler ISPs und Transit-Anbieter; einige Anbieter verbleiben weiterhin im Status unsafe
  • Erst wenn alle wichtigen Netzbetreiber RPKI und Filtering vollständig einführen, kann Internet-Routing sicher werden

Ist BGP noch immer nicht sicher?

  • Das Border Gateway Protocol (BGP) ist so etwas wie der „Postdienst“ des Internets und wählt unter den verfügbaren Datenpfaden den optimalen Weg aus
  • Allerdings sind keine Sicherheitsfunktionen eingebaut; werden falsche Routing-Informationen verbreitet, kann das zu großflächigen Internetausfällen oder zur Entführung von Traffic führen
  • Um dieses Problem zu lösen, kann mit dem Authentifizierungssystem Resource Public Key Infrastructure (RPKI) die Echtheit von Routen geprüft werden
  • Mehrere globale ISPs und Transit-Anbieter führen RPKI bereits ein, und Cloudflare verfolgt und veröffentlicht den Fortschritt
  • Erst wenn alle wichtigen Netzbetreiber RPKI übernehmen, kann Internet-Routing sicher werden

Neueste Updates

  • Am 3. Februar 2026 begann der globale Tier-1-Transit-Anbieter Sparkle (AS6762) damit, RPKI-invalid-Präfixe abzulehnen
  • Am 1. Oktober 2025 startete der große slowakische Transit-Anbieter Energotel (AS31117) mit dem Filtering von RPKI-invalid-Routen
  • Am 28. August 2025 begann der große kanadische ISP Bell Canada (AS577) innerhalb seines Netzwerks mit dem Filtering von RPKI-invalid-Routen
  • Am 22. Februar 2024 führte einer der größten europäischen ISPs, Deutsche Telekom (AS3320), RPKI Origin Validation im globalen Netzwerk ein
  • Am 24. Januar 2024 rollte Verizon (AS701) in den USA RPKI Origin Validation vollständig im gesamten Netzwerk aus

Status wichtiger Anbieter

  • Cloudflare veröffentlicht den Status der RPKI-Signierung und des Filterings von 31 großen Anbietern
  • Wichtige Transit-Anbieter wie Lumen, Arelion, Cogent, NTT, Sparkle, Hurricane Electric, GTT, TATA, Zayo, Vodafone haben alle den Status safe
  • Große ISPs wie Comcast, AT&T, Verizon, Deutsche Telekom, KPN, Swisscom, Bell Canada haben Signierung und Filtering abgeschlossen
  • Einige Anbieter (Google, IIJ, OCN, Vivacom usw.) haben dies nur teilweise umgesetzt und werden als partially safe eingestuft
  • China Telecom, KT, SK Broadband, TurkTelekom, Vodafone DE, PLDT, IBM Cloud, OVH usw. verbleiben weiterhin im Status unsafe

Was ist BGP-Hijacking?

  • Das Internet ist eine verteilte Netzwerkstruktur, die aus Tausenden autonomer Systeme (AS) besteht
  • Jeder Knoten bestimmt seinen Pfad nur anhand der Informationen, die er von direkt verbundenen Knoten erhält
  • BGP-Hijacking bezeichnet den Vorgang, bei dem ein böswilliger Knoten falsche Routing-Informationen verbreitet und so Traffic abfängt
  • Ohne Sicherheitsprotokoll können sich diese falschen Informationen weltweit ausbreiten, sodass Daten über falsche Pfade übertragen werden
  • RPKI ermöglicht es, solche falschen Routen durch kryptografische Prüfung zu invalidieren und zu blockieren

Die Rolle von RPKI

  • RPKI (Resource Public Key Infrastructure) ist ein Sicherheits-Framework, das Routen und autonome Systeme kryptografisch verknüpft und prüft
  • Da es unmöglich ist, mehr als 800.000 Internet-Routen manuell zu validieren, automatisiert RPKI diesen Prozess
  • Ist RPKI aktiviert, stuft der Router falsche Routing-Informationen auch dann als invalid ein und lehnt sie ab, wenn sie verbreitet werden
  • Im Cloudflare-Blog werden die Funktionsweise von RPKI und Beispiele für die Einführung ausführlich erklärt

Warum BGP nicht sicher ist

  • Grundsätzlich verfügt BGP über kein eingebautes Sicherheitsprotokoll
  • Jedes autonome System muss falsche Routen selbst filtern
  • Route Leaks entstehen durch Fehlkonfigurationen oder böswilliges Verhalten und können Teile des Internets unerreichbar machen
  • BGP-Hijacking kann Traffic auf andere Systeme umleiten und dadurch Datendiebstahl oder Abhören ermöglichen
  • Sichere Weiterleitung ist nur möglich, wenn alle AS ausschließlich legitime Routen ankündigen und Filtering durchführen

Testmethode

  • Cloudflare bietet eine Funktion, mit der getestet werden kann, ob ein ISP sicheres BGP implementiert hat
  • Dabei wird eine legitime, aber absichtlich als invalid markierte Route angekündigt, und es wird geprüft, ob Nutzer die betreffende Website erreichen können
  • Ist der Zugriff möglich, bedeutet das, dass der betreffende ISP falsche Routen akzeptiert

Weitere Sicherheitsmaßnahmen

  • Netzwerkbetreiber und Entwickler arbeiten an Standardisierungsmaßnahmen zur Verbesserung unsicherer Routing-Protokolle
  • Cloudflare beteiligt sich an der Initiative MANRS (Mutually Agreed Norms for Routing Security)
    • MANRS ist eine globale Community zur Stärkung der Routing-Infrastruktur; die Mitglieder verpflichten sich zur Implementierung von Filtering-Mechanismen
  • Je mehr Anbieter teilnehmen, desto stärker verbessert sich das Routing-Sicherheitsniveau des gesamten Internets

Was Nutzer tun können

  • Die Seite isbgpsafeyet.com kann geteilt werden, um auf die Notwendigkeit der RPKI-Einführung aufmerksam zu machen
  • Nutzer können ihren ISP oder Hosting-Anbieter auffordern, RPKI einzuführen und MANRS beizutreten
  • Erst wenn die großen ISPs RPKI übernehmen, kann das gesamte Internet sicherer werden
  • Cloudflare betont die Botschaft: „Wenn das Internet sicherer wird, profitieren alle davon

Verwandte Beiträge

1 Kommentare

 
GN⁺ 27 일 전
Hacker-News-Kommentare

  • RPKI macht BGP nicht vollständig sicher, sondern nur sicherer
    BGP-Hijacking ist weiterhin möglich, und RPKI validiert nur die Eigentümerschaft eines Präfixes, schützt aber nicht den Pfad selbst
    Ein Angreifer kann sich weiterhin so ausgeben, als liege er auf dem Pfad des Opfer-AS, und den Traffic abfangen
    BGPSec, das zur Lösung dieses Problems vorgeschlagen wurde, gilt in der Praxis als schwer ausrollbar

    • Als Möglichkeit, die Sicherheitsprobleme von BGP zu lösen, wird Proof-Carrying Data vorgeschlagen
      Dabei enthält jede Nachricht einen kryptografischen Beweis, dass sie korrekt erzeugt wurde; die Verifizierungszeit bleibt unabhängig von Netzwerkgröße oder Hop-Anzahl konstant
      Da bei BGP Latenz nicht kritisch ist und das Protokoll einfach aufgebaut ist, könnte dieser Ansatz realistisch sein
      Mehr dazu im Beitrag auf rot256.dev
      RPKI wäre weiterhin nötig, BGPSec jedoch nicht mehr
    • Derzeit gibt es mit ASPA einen Versuch, dieses Problem abzumildern
      Es ist noch ein weiter Weg, aber große Organisationen arbeiten bereits daran mit
      Link zum IETF-Entwurf
    • RPKI macht die Validierung der Präfix-Eigentümerschaft möglich, aber der Pfad basiert weiterhin auf Vertrauen
      Es wirkt so, als wäre nur der leicht überprüfbare Teil verstärkt worden
    • Ein idealer Zustand von „Sicherheit“ ist unmöglich
      Letztlich beruhen alle kryptografischen Systeme auf dem Vertrauen in von Menschen betriebene Register oder Institutionen
      RPKI ist besser als gar kein RPKI, aber die Interpretation „jetzt ist es sicher genug“ ist gefährlich

  • Wenn große US-ISPs und Mobilfunkanbieter diese Funktion unterstützen, wirkt die Verbreitung recht hoch
    Aber ich frage mich, wie viele ISPs ausreichen, damit man es wirklich als „sicher“ bezeichnen kann, und ob es regionale Unterschiede gibt

    • Wenn alle großen Transit-ISPs es umsetzen, dürfte das wohl ausreichen
      Wenn nicht-RPKI-Pfade nicht mehr durch den Transit kommen, verlieren sie automatisch ihre Bedeutung
    • Tatsächlich sind weit mehr als 4, nämlich 254 Anbieter, als „unsafe“ markiert
      Die vollständige Liste sieht man erst nach einem Klick auf „Show all“
    • Ich nutze in Großbritannien Sky, und es wird als „unsafe“ angezeigt
      Eine Tabelle mit Filtern nach Land und Anbietertyp wäre hilfreich
    • Bei T-Mobile USA zeigt das Testergebnis gleichzeitig bestanden und nicht bestanden, was verwirrend ist
    • Auch große Anbieter wie British Telecom, NTT Docomo, Vodafone Espana, Starlink und Rogers erscheinen als „unsafe“
      Dass nur 31 sicher sind, zeichnet ein allzu optimistisches Bild

  • Dass es eine von Cloudflare erstellte Website ist, ist ironisch
    Sie könnten 2026 zu den Akteuren gehören, die das Internet am ehesten kaputtmachen

    • Heutzutage ist es für Unternehmen üblich, Kampagnen zur Beeinflussung der Öffentlichkeit in eine für sie vorteilhafte Richtung zu führen
      Wenn RPKI ihnen nützt, bewerben sie es als „unverzichtbare Technologie für ein sicheres Internet“,
      und wenn Identitätsprüfung nötig ist, wird „Kinderschutz“ vorgeschoben
      Diese Art von Marketing hat man auch in der Impfstoff-, Waffen- und Tabakindustrie immer wieder gesehen

  • RPKI ist inzwischen nicht mehr nur ROA
    BGP-Hijacking kann auch an anderen Stellen als dem ersten oder letzten Hop auftreten
    Die Website sollte so aktualisiert werden, dass sie auch ASPA-invalid-Präfixe testet

  • Der Free-SAS-ISP wird als „unsafe“ angezeigt, im tatsächlichen Test aber als erfolgreich
    Auf valid.rpki.isbgpsafeyet.com wird ein gültiges Präfix,
    auf invalid.rpki.isbgpsafeyet.com ein ungültiges Präfix korrekt behandelt

  • Ein ISP wird in der Tabelle als unsafe angezeigt, im Test jedoch als sicher

    • Das letzte Update der Tabelle war am 3. Februar; offenbar wurde RPKI inzwischen eingeführt

  • Die Grafik, in der ein Angreifer Traffic auf eine bösartige Website umleitet, ist leicht irreführend
    Wenn das SSL-Zertifikat ungültig ist, blockiert der Browser, daher ist der tatsächliche Schaden begrenzt
    Für Denial-of-Service-Angriffe (DoS) lässt sich das aber weiterhin missbrauchen

    • Ein Angreifer, der das Ziel kontrolliert, könnte sich über Let’s Encrypt usw. auch ein gültiges SSL-Zertifikat ausstellen lassen

  • RPKI und ASPA machen gegenüber anderen Netzwerken sicherer, erhöhen aber die Abhängigkeit von Registern
    Wenn ein Land sanktioniert wird und der Zugriff auf Register blockiert ist, können Einträge nicht mehr aktualisiert werden

    • Tatsächlich konnten Register schon früher Nummernzuweisungen widerrufen
      RPKI hat diese Befugnis nur stärker gemacht
      Wir betreiben Networking letztlich unter Genehmigung der IANA,
      und um davon wegzukommen, müsste man ASN- und IP-Zuweisungssysteme komplett neu entwerfen

  • Wirklich sicher wird BGP wohl erst, wenn wir es aufgeben und SCION verwenden
    Siehe den SCION-Wikipedia-Artikel

    • Allerdings gilt SCION unter Netzbetreibern als snake oil
      Eine auf einen einzelnen Vendor zentrierte Struktur, fehlender ASIC-Support, Blockchain und Greenwashing haben Vertrauen zerstört
      In der Schweiz wird damit experimentiert, aber branchenweit wird es nicht ernsthaft angenommen
    • Wenn es wirklich sicher werden soll, braucht es eine neue Routing-Architektur wie Yggdrasil
      Siehe das Yggdrasil-Projekt
    • Ich frage mich, warum dieser Wechsel noch nicht stattgefunden hat

  • RPKI macht BGP nur ein wenig sicherer und ist keine vollständige Lösung
    Es verhindert einige Hijackings, bleibt aber letztlich nur ein provisorischer Aufsatz auf ein vertrauensbasiertes System