BGP und RPKI: Cloudflare will sicheres Internet durch Anprangern von ISPs

Das Absichern von BGP-Routen im Internet ist wichtig. Aber nicht alle ISPs sind mit der Methode von Cloudflare einverstanden.

Artikel veröffentlicht am ,
BGP soll sicherer werden, dazu nutzt Cloudflare eine Social-Media-Kampagne.
BGP soll sicherer werden, dazu nutzt Cloudflare eine Social-Media-Kampagne. (Bild: Bru-nO/Pixabay)

Mit einer Social-Media-Kampagne will der Internetdiensteanbieter Cloudflare andere ISPs dazu bringen, die Verwendung des Border Gateway Protocol (BGP) besser abzusichern. Dazu hat das Unternehmen die Webseite Is BGP safe yet? gestartet und fordert Nutzer auf, darüber zu testen, ob ihr eigener Provider BGP absichert. Über eine Schaltfläche kann ein vorgefertigter Tweet an den ISP gesendet werden, der BGP laut Cloudflare nicht ausreichend absichert. Das finden aber nicht alle Provider gut.

Stellenmarkt
  1. Softwareentwickler (m/w/d) Webanwendungen - Java und relationale Datenbanken
    WIBU-SYSTEMS AG, Karlsruhe
  2. Empirum Administrator (m/w/d)
    ASYS Automatisierungssysteme GmbH, Dornstadt bei Ulm
Detailsuche

BGP wird für die grundlegende Routing-Infrastruktur des Internets genutzt, um einzelne autonome Systeme (AS) miteinander zu verbinden und so das Internet zu bilden. Das Protokoll ist vergleichsweise alt und enthält keine Sicherheitsmechanismen. Das wiederum führt immer wieder zu sogenannten Route-Leaks oder aber auch dem bösartigen Route-Hijacking. Um dagegen vorzugehen, kann auf Route Origin Validation (ROV) gesetzt werden, also die Überprüfung von BGP-Routen.

Als Grundlage dienen dafür kryptographische Schlüssel, Zertifikate und die Resource Public Key Infrastructure (RPKI). Damit lässt sich validieren, ob die Ankündigung von BGP-Routen von einem bestimmten Netzwerk ausgehen darf oder eben nicht. Cloudflare überprüft mit seiner Webseite nun, ob diese Validierung stattfindet.

Für das Unternehmen ist die Absicherung von BGP offenbar ein sehr wichtiges Anliegen. So hat sich Cloudflare etwa bereits im vergangenen Sommer öffentlich über einen Fehler im Zusammenhang mit BGP beschwert. Das Magazin Wired berichtet darüber hinaus, dass ein BGP-Fehler vor wenigen Wochen für den Cloudflare-CEO Matthew Prince "der letzte Strohhalm" gewesen sei, um etwas gegen die fehlende Absicherung von BGP zu unternehmen.

Kritik von ISPs

Golem Akademie
  1. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Zwei-Tage-Workshop
    27.–28. Januar 2022, Virtuell
  2. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    9.–10. Dezember 2021, virtuell
Weitere IT-Trainings

Die Art und Weise der Umsetzung und möglicherweise auch der Zeitpunkt stört einige ISPs, die nun auf Twitter die ständig gleichlautenden Meldungen bekommen. Der Schweizer ISP Init7 bezeichnet diese etwa auf Twitter als "Spam". Der kleinere britische ISP Andrews and Arnold hat darüber hinaus einen ausführlichen technischen Blogpost veröffentlicht.

Mit relativ deutlichen Worten schreibt Andrews and Arnolds dort zu der Kampagne von Cloudflare: "Wir glauben, dass es Internetnutzer, die möglicherweise keine Ahnung haben, was BGP überhaupt ist, unnötig und absichtlich erschreckt und diese dann glauben, dass ihre ISPs verantwortungslos handeln, um sie dann auf Twitter automatisch anzuprangern, vielleicht zu Unrecht".

Der Provider schreibt weiter, dass dieser zwar daran arbeite, RPKI umzusetzen. Das sei aber ein kompliziertes Unterfangen und nichts, "was wir mitten in einer Pandemie machen wollen". Der Provider hat nun schlicht die von Cloudflare für den Test genutzten Routen manuell blockiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Temoc 23. Apr 2020

wihelm.tel filtert bereits seit dem 16. Juli 2019 aktiv invalide RPKI routen raus. So...

LinuxMcBook 20. Apr 2020

Allerdings. Von dem Ausfall auf die Zuverlässigkeit der CDN-Dienste von Cloudflare zu...

ikhaya 20. Apr 2020

Stehen auch drin mit " started ". Bis man das sauber eingerichtet hat, dauert es halt. Is...

ikhaya 20. Apr 2020

Du hast keinen RPKI Anbieter. Es sind pro Internet Region die jeweiligen Institutionen...



Aktuell auf der Startseite von Golem.de
Feldversuch E-Mobility-Chaussee
So schnell bringen E-Autos das Stromnetz ans Limit

Das Laden von Elektroautos stellt Netzbetreiber auf dem Land vor besondere Herausforderungen. Ein Pilotprojekt hat verschiedene Lösungen getestet.
Ein Bericht von Friedhelm Greis

Feldversuch E-Mobility-Chaussee: So schnell bringen E-Autos das Stromnetz ans Limit
Artikel
  1. Encrochat-Hack: Damit würde man keinen Geschwindigkeitsverstoß verurteilen
    Encrochat-Hack
    "Damit würde man keinen Geschwindigkeitsverstoß verurteilen"

    Der Anwalt Johannes Eisenberg hat sich die Daten aus dem Encrochat-Hack genauer angesehen und viel Merkwürdiges entdeckt.
    Ein Interview von Moritz Tremmel

  2. Geforce Now (RTX 3080) im Test: 1440p120 mit Raytracing aus der Cloud
    Geforce Now (RTX 3080) im Test
    1440p120 mit Raytracing aus der Cloud

    Höhere Auflösung, mehr Bilder pro Sekunde, kürzere Latenzen: Geforce Now mit virtueller Geforce RTX 3080 ist Cloud-Gaming par excellence.
    Ein Test von Marc Sauter

  3. SpaceX: Starlink testet Satelliteninternet in Flugzeugen
    SpaceX
    Starlink testet Satelliteninternet in Flugzeugen

    Bald dürften mehrere Flugesellschaften Starlink-Service anbieten. Laut einem Manager soll es so schnell wie möglich gehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gaming-Monitore zu Bestpreisen (u. a. Samsung G9 49" 32:9 Curved QLED 240Hz 1.149€) • Spiele günstiger: PC, PS5, Xbox, Switch • Zurück in die Zukunft Trilogie 4K 31,97€ • be quiet 750W-PC-Netzteil 87,90€ • Cambridge Audio Melomonia Touch 89,95€ • Gaming-Stühle zu Bestpreisen [Werbung]
    •  /