Everything you need to know about Resource Public Key Infrastructure (RPKI) wird von BTW Media profiliert, weil veröffentlichte Belege es mit Internetinfrastruktur, Governance, betrieblichen Abhängigkeiten oder Marktsichtbarkeit in Verbindung bringen.
Everything you need to know about Resource Public Key Infrastructure (RPKI) wird als Internetinfrastruktur-Institution im Internetinfrastruktur-Ökosystem verfolgt.
Mehrere öffentliche Quellen
- Informationssicherheit ist ein ewiges heißes Thema, und dasBorder Gateway Protocol (BGP)ist seit langem anfällig für Schwachstellen. Es lohnt sich, sich über ein neues Verschlüsselungsrahmenwerk zu informieren: die Resource Public Key Infrastructure, kurz RPKI.
- Netzbetreiber nutzen vertrauensbasierte Mechanismen wie Peer-to-Peer-Protokolle und manuelle Routenfilterung, um das Risiko von BGP-Hijacking zu verringern. Obwohl sie bis zu einem gewissen Grad wirksam sind, haben diese Lösungen ihre eigenen Grenzen.
- Durch die Nutzung der Kryptographie bietet RPKI eine standardisierte und skalierbare Lösung für die anhaltenden Herausforderungen durch BGP-Schwachstellen.
UNSERE MEINUNG:
RPKI stellt einen monumentalen Fortschritt in der Sicherheit des Internet-Routings dar, indem es Kryptographie nutzt, um eine standardisierte und skalierbare Lösung für die anhaltenden Herausforderungen durch BGP-Schwachstellen zu bieten.
–Fei Wang, BTW-Journalist
Warum brauchen wir RPKI?
Im Bereich der Netzwerksicherheit haben Sie vielleicht schon vom Border Gateway Protocol (BGP) gehört. Als Rückgrat des Internet-Routings ist BGP jedoch seit langem Schwachstellen ausgesetzt und anfällig für Manipulation und Hijacking. Die Resource Public Key Infrastructure (RPKI) ist ein Verschlüsselungsrahmenwerk, das entwickelt wurde, um BGP zu stärken und Internet-Routen vor böswilligen Akteuren zu schützen.
Lesen Sie auch:Was ist das Routing Information Protocol (RIP)?
Das zugrundeliegende BGP ist das Protokoll, das das Rückgrat des Internets verbindet und Routern hilft, den effizientesten Weg für den Pakettransport im Internet zu bestimmen. Es tauscht Routing-Informationen zwischen Netzwerken (autonomen Systemen) aus, ähnlich wie GPS mit Satelliten und anderen GPS-Geräten kommuniziert, um präzise Navigationsanweisungen zu geben. Router kündigen ihre verfügbaren Routen über BGP-Nachrichten an benachbarte Router an. Diese Nachrichten enthalten Informationen über erreichbare IP-Präfixe und den Weg dorthin.
Anschließend nutzen die benachbarten Router diese Informationen, um ihre Routing-Tabelle zu aktualisieren und den optimalen Pfad für die Weiterleitung von Paketen zur Ziel-IP-Adresse zu bestimmen.
Lesen Sie auch:Sicherheit, Anonymität und Stabilität: Warum Proxy-Server ein immer beliebter werdendes Internet-Tool sind
Ein Szenario, das wir nicht ignorieren können, ist jedoch, dass eine böswillige Entität das Netzwerk eines Internetdienstanbieters infiltriert und betrügerisch die falsche Weiterleitung von IP-Präfixen ankündigt. Plötzlich wird legitimer Datenverkehr zu unerwünschten Zielen umgeleitet, was Chaos verursacht und die Vertraulichkeit, Integrität und Verfügbarkeit von Online-Diensten gefährdet. Dieses heimtückische Phänomen, manchmal als BGP-Hijacking bezeichnet, unterstreicht den dringenden Bedarf an robusten Sicherheitsmaßnahmen zum Schutz des Internet-Routings.
Hier ein Beispiel: Im Februar 2008 kündigte Pakistan Telecom versehentlich eine BGP-Route an, um den Datenverkehr von YouTube auf seine eigenen Server umzuleiten, um einer Regierungsanordnung nachzukommen. Leider akzeptierte der vorgelagerte Anbieter, der die Route erhielt, diese ohne Überprüfung und leitete dann die Information weiter, wodurch sich die falsche Route im gesamten Internet verbreitete, bis fast jeder glaubte, Facebook habe seine Server in das pakistanische Netzwerk verlegt.
Dieses Missgeschick legte nicht nur YouTube lahm, sondern brachte auch den pakistanischen Internetdienstanbieter (ISP) in eine schwierige Lage, da dieser schnell Millionen von Anfragen von YouTube-Nutzern erhielt.
Weil BGP die Authentizität von Routing-Ankündigungen nicht garantieren kann, können absichtliche Angriffe von Hackern und falsche Konfigurationen der Netzwerkparameter zu Routen-Hijacking führen.
Als nächste wichtige Internetsicherheitsinfrastruktur, die von der ICANN nach DNSSEC bereitgestellt wird, bildet RPKI ein Authentifizierungssystem für die Autorisierung von IP-Adressressourcen aus der Perspektive der IP-Adressverwaltung, um zu überprüfen, ob die Routing-Ankündigung für ein bestimmtes IP-Adresspräfix legitim ist, und bietet ein Sicherheitsschema für das domänenübergreifende Routing (wie S-BGP und BGPS EC), dessen Implementierung eine zuverlässige Informationsquelle bietet.
Ma Di, China Internet Network Information Center
Bestehende Lösungen: IRR, BGPsec, RPKI
Netzbetreiber setzen vertrauensbasierte Mechanismen wie Peer-to-Peer-Protokolle und manuelle Routenfilterung ein, um das BGP-Hijacking-Risiko zu mindern. Obwohl sie bis zu einem gewissen Grad wirksam sind, sind diese Lösungen grundsätzlich begrenzt und auf menschliche Aufsicht und Kooperation angewiesen, um die Routenintegrität zu wahren. Eine dieser elastischen Lösungen besteht darin, mit den imInternet Routing Registry (IRR)verfügbaren Informationen zu filtern. Das IRR ist eine öffentliche Datenbank für Routing-Informationen, die von den Regional Internet Registries (RIRs) und Drittanbietern bereitgestellt wird. Diese Lösung hat jedoch ihre Grenzen, da die beteiligten Dritten die Daten nicht systematisch pflegen können.
Border Gateway Protocol Security (BGPsec)ist eine weitere fortschrittliche Lösung, die eine sichere Erweiterung von BGP gemäß RFC 8205 darstellt. Bei BGPsec wird das AS_PATH-Attribut durch das neue BGPsec_Path-Attribut ersetzt, das eine Möglichkeit bietet, die von Peers empfangenen Routen kryptografisch zu validieren.
Fortschrittliche Lösungen stützen sich auf die Resource Public Key Infrastructure (RPKI) zur kryptografischen Authentifizierung von Routing-Informationen.
Schnelles Quiz
Welches ist keine bestehende Lösung für die BGP-Krise?
A. BGPsec
B. RPKI
C. AS
D. IRR
Die Antwort finden Sie am Ende dieses Artikels.
Was ist RPKI?
Sie können RPKI als Pass- und Visa-Kontrollsystem für den Internetverkehr betrachten. Routing-Informationen sind wie das Internetziel oder das Land. Genauso wie wir einen gültigen Pass und ein Visum benötigen, um legal in ein bestimmtes Land einzureisen, benötigen Internet-Router ein gültiges Verschlüsselungszertifikat und eine Route Origin Authorisation (ROA), die von RPKI ausgestellt wurden, um IP-Präfixe anzukündigen und zu überprüfen. Das kryptografische Zertifikat fungiert als Pass zur Überprüfung der Identität des IP-Adressinhabers, während die ROA als Visum zur Autorisierung des legitimen Ursprungs des IP-Präfixes dient.
Ohne den richtigen „Pass“ (Verschlüsselungszertifikat) und das richtige „Visum“ (ROA) können Internet-Router keine Routen (IP-Präfixe) sicher zu bestimmten Zielen ankündigen, wodurch unbefugter Verkehr verhindert und sichergestellt wird, dass Pakete sicher und effizient ihr beabsichtigtes Ziel erreichen. Bei aktiviertem RPKI fungieren Netzbetreiber und Router als wachsame Grenzkontrollbeamte, die die Legitimität von Routing-Ankündigungen überprüfen, bevor sie diese speichern und weiterleiten, um zu verhindern, dass unbefugter Verkehr in ein bestimmtes „Land“ (IP-Präfix) im Internet ein- oder ausgeht.
Lesen Sie auch: Was ist das RIPENCC?
Wie RPKI für die regionale Internet-Registry APNIC funktioniert

Das RPKI-Zertifikatausstellungssystem entspricht der Zuteilungsarchitektur für Internetnummernressourcen, wie in der Abbildung oben dargestellt. Dieses System autorisiert Ressourcen durch die Ausstellung von Ressourcenzertifikaten von oben nach unten. Der Zertifikatsinhalt umfasst die Verbindung zwischen dem IP-Adresspräfix / der AS-Nummer und der berechtigten Institution und zeigt an, dass der Ressourceninhaber rechtmäßig autorisiert wurde, diesen Teil der Nummernressourcen zu nutzen.
RPKI funktioniert nach einem hierarchischen Modell, bei dem die Regional Internet Registries (RIRs) als oberste Instanzen für die Verwaltung der Internetnummernressourcen dienen. Zu diesen Ressourcen gehören IP-Adressblöcke und Autonomous System Numbers (ASNs), die wesentliche Bestandteile des Internet-Routings sind. Die RIRs stellen Ressourceninhabern kryptografische Zertifikate aus, die ihre IP-Adresszuweisungen mit kryptografischen Schlüsseln verknüpfen. Diese Zertifikate werden dann verwendet, um Route Origin Authorisations (ROAs) zu generieren, die die legitimen Ursprünge von IP-Adresspräfixen angeben.
Warum ist RPKI wichtig?
Die Einführung von RPKI hat dem Internet-Ökosystem viele Vorteile gebracht. RPKI bietet einen Mechanismus zur Überprüfung der Authentizität von Routenankündigungen, der BGP-Hijacking und Routenlecks verhindern und die Sicherheit und Stabilität der Internet-Routen verbessern kann. Darüber hinaus gibt RPKI den Netzbetreibern die Kontrolle über ihre Routing-Richtlinien, stellt sicher, dass der Datenverkehr entlang des beabsichtigten Pfades fließt, und minimiert das Risiko von Fehlkonfigurationen oder böswilligen Aktivitäten.
Vorteile von RPKI
A. Viel sicherer als die manuelle Überprüfung der Whois- oder IRR-Datenbank.
B. Der gesicherte Präfix-Ursprung oder die AS-Quelle ist der erste Schritt zur Verhinderung vieler Angriffe auf die BGP-Integrität.
C. Die Anweisungen/Informationen des Ressourceninhabers können kryptografisch überprüft werden (z. B. Signatur des Autorisierungsschreibens).
F: Wie kann ein Internet-Edge-Router mit einem Server für die RPKI-Routervalidierung synchronisiert werden?
Gibt es öffentliche Server, die man dafür abfragen kann?
„Was mit dem Repository passiert, ist, dass es eine Software gibt, die als Vermittler zwischen LACNIC und den Routern fungiert. Das ist der RPKI-Validator, der Gegenstand eines Hafenprojekts in Zusammenarbeit mit Mexiko war, und er stellt den Edge-Routern die kryptografisch validierten Informationen zur Verfügung. Die Beziehung zwischen dem Edge-Router und einem Validator muss äußerst vertrauenswürdig sein, da die Nähe und die Sicherheit zwischen beiden gut sein müssen. Es wird nicht empfohlen, Validatoren für Ihre Router zu verwenden, denn es gibt zwar öffentliche Validatoren, aber diese sind nur dazu da, um zu sehen, wie ein Validator aussieht usw. Sie sind nicht dazu gedacht, sie mit einem Edge-Router zu verbinden.“Gianina Pensky, Leiterin der Registrierungsdienste, antwortete während desLACNIC-Webinars „Netzwerksicherheit mit RPKI“.
RPKI stellt somit einen wichtigen Entwicklungsbereich für die Sicherheit des Internet-Routings dar. Durch die Nutzung der Kryptographie bietet RPKI eine standardisierte und skalierbare Lösung für die anhaltenden Herausforderungen durch BGP-Schwachstellen. Während wir uns weiterhin einer komplexen digitalen Umgebung gegenübersehen, ist die Einführung von RPKI ein entscheidender Schritt auf dem Weg zu einer sichereren, widerstandsfähigeren und zuverlässigeren Internetinfrastruktur.
Die richtige Antwort ist C.
Signalbericht
- Signal: Alles, was Sie über Resource Public Key Infrastructure (RPKI) wissen müssen
- Region: Asien-Pazifik
- Marktklasse: Globale Trends bei regionalen ISPs
Betriebspräsenz
- Veröffentlichte Quellen sollten die betroffenen Parteien, den Betriebsfußabdruck und die Marktexposition identifizieren, bevor diese Trendkarte als vollständig betrachtet wird.
Marktkontext
- Operative Relevanz: Mittel
- Zeithorizont: Nächstes Quartal
Was ansehen?
- Achten Sie auf offizielle Stellungnahmen, regulatorische Aktualisierungen, Gefährdung von Kunden oder Partnern sowie ergänzende Offenlegungen.
Mitgliederbriefing
Vertiefter Trendkontext
Melden Sie sich mit der richtigen Mitgliedschaftsstufe an, um das vollständige Briefing und die Quellennotizen freizuschalten.
Nur für Strategic Circle
Strategic Circle
Offen für alle Leser. Schalten Sie Trend-Briefings nach Beitritt und Anmeldung frei.
Strategic Circle beitretenNur für Leadership Alliance
Leadership Alliance
Für Betreiber, Investoren und Politikteams, die Belege für Beziehungen, Fehlerpfade und Quellennotizen benötigen. Melden Sie sich an, um freizuschalten.
Leadership Alliance beitreten
