Zurück zum Blog

Folgen und abonnieren

Fastly forciert die weltweite Einführung der RPKI, um das Routing im Internet sicherer zu machen

Rob Bushell

Senior Product Manager

Job Snijders

Principal Software Engineer, Fastly

Jeremiah Millay

Principal Network Engineer, Fastly

Joel Jaeggli

Network Architect

Wussten Sie eigentlich, dass Fastly die Internet Engineering Task Force (IETF) unterstützt und sich aktiv für die weltweite Einführung der Resource Public Key Infrastructure (RPKI) einsetzt?

Neben der aktiven Unterstützung von und Beteiligung an den Bemühungen der globalen Netzwerk-Community bei der Einführung von RPKI hat Fastly kürzlich Verbesserungen der Routing-Sicherheit in unserem eigenen Netzwerk implementiert.

Warum machen wir uns stark für die Netzwerksicherheitsstandards der IETF? Die Tatsache, dass wir für unsere Kunden kritische Workloads ausführen, bedeutet, dass sie sich darauf verlassen, dass Fastly für die höchstmögliche Netzwerksicherheit sorgt. Und wir nehmen dieses Vertrauen sehr ernst. Die Verbesserung der Branchenstandards trägt nicht nur zum Schutz der Fastly Kunden bei, sondern auch zur Sicherheit des gesamten Internets.

Was versteht man unter Internet-Routing?

Das Border Gateway Protocol (BGP) gibt Auskunft über die Verfügbarkeit von Netzwerkrouten im Internet, was sich mit der Bekanntgabe der Verkehrsverhältnisse auf bestimmten Autobahnstrecken vergleichen lässt. Wenn Sie also von A nach B kommen wollen, müssen Sie wissen, dass eine entsprechende Route existiert und wie diese beschaffen ist. Ein derartiger Vergleich ist insofern angebracht, als dass Unternehmen ihren Services und Servern Routen vorgeben müssen, die sie mithilfe der vom BGP ankündigten Internetpfade bestimmen. Die BGP-Spezifikation wird von der IETF im Rahmen eines offenen, kollaborativen Modells gepflegt.

Bedenken bei Sicherheit und Zuverlässigkeit

Das BGP wird seit Jahrzehnten für das Routing von Internet-Traffic verwendet und bildet das Herzstück des modernen Internets, denn es legt die Routen zwischen Unternehmen, ISPs und Content-Anbietern im Internet fest. Allerdings hat das BGP auch seine Tücken, allen voran seine Anfälligkeit für Hijacking. BGP-Hijacking bedeutet, dass Unternehmen versehentlich oder fälschlicherweise die Routen (IP-Adressen) anderer Unternehmen bekanntgeben. Wenn man bedenkt, wie nahe die Zifferntasten auf Tastaturen beieinanderliegen, kann man sich leicht vorstellen, dass bei Router-Konfigurationen hin und wieder Tippfehler passieren. Es ist also durchaus denkbar, dass es sich bei vielen Hijacks um unbeabsichtigte Anwenderfehler handelt, aber auch die Gefahr einer böswilligen Traffic-Umleitung ist real. Es war längst an der Zeit, Klarheit darüber zu schaffen, wer für welche Präfixe BGP-Ankündigungen machen darf!

Worum handelt es sich bei der RPKI?

Die RPKI bietet eine Möglichkeit, die Korrektheit von BGP-Ankündigungen im Internet auf kryptografisch überprüfbare Weise zu zertifizieren, um das oben genannte Sicherheitsproblem zu lösen. Die RPKI ermöglicht Ressourceninhabern demnach die Verwendung von Route Origin Authorizations (ROAs), um legitime Absender (im globalen BGP) für eine Reihe von Präfixen zu kennzeichnen. Auf der anderen Seite dieses Zertifizierungsprozesses können Netzbetreiber als Relying Parties (RP) agieren und die veröffentlichten ROAs verarbeiten, um die Routenankündigungen zu validieren, die sie von BGP-Peers und -Transits erhalten. 

Wie sich mit validierten RPKI-Daten die BGP-Herkunft von Präfixen in Routenankündigungen genau verifizieren lässt, ist in RFC 6811 beschrieben. Obwohl der Text auf den ersten Blick etwas abschreckend wirken mag, ist dieses Dokument sehr leicht zugänglich, gut lesbar und Ihre Zeit wert.

Bisherige Maßnahmen von Fastly

Fastly hat ROAs für seinen gesamten IP-Adressraum vergeben. So können andere Internetanbieter die Gültigkeit von Routenankündigungen für den Fastly IP-Raum überprüfen. Fastlyans haben wichtige Beiträge zu verschiedenen RPKI-bezogenen Open-Source-Projekten wie rpki-client und StayRTR geleistet, auf die Notice Of Inquiry der FCC über sicheres Internet-Routing reagiert und eine Reihe von RPKI-Standardspezifikationen wie RFC 9319, RFC 9323, RFC 9582 und RFC 9589 mitverfasst und mitgestaltet.

Job Snijders von Fastly hat sich maßgeblich für die Einführung der RPKI innerhalb der Branche eingesetzt. Er ist seit langem in der Internet-Community aktiv und engagiert sich für die Einführung der RPKI. Im Zuge dessen hat er bereits Vorträge gehalten, Analysen vorgelegt sowie Standards und Tools entwickelt, um die Branche bei der Einführung der RPKI zu unterstützen und ihr dabei zu helfen, diese globale Sicherheitslücke im Internet zu schließen. Zum 1. Mai 2024 waren über 50 % der Routen im Internet durch ROAs abgedeckt.

RFC 9582 und RFC 9589 verdienen besondere Aufmerksamkeit, da sie nicht zuletzt dank Job Snijders Bemühungen mittlerweile endgültig verabschiedet und veröffentlicht wurden. Während RFC 9589 eine Optimierungsstrategie für den Transport von RPKI-Daten skizziert, ist RFC 9582 eine abwärtskompatible Überarbeitung der ROA-Spezifikation, die Unklarheiten wie das Verbot unendlich großer positiver und negativer Ganzzahlen beseitigt, da Autonomous System Numbers offensichtlich keine negativen Ganzzahlen sein können. Es mag vielleicht als ein nebensächliches Detail erscheinen, aber das Abstecken von Grenzen hilft bei der sicheren Programmierung.

Ausblick

Kunden, die die Fastly Plattform nutzen, lagern ihr Internet-Routing samt ihrer Inhalte und Workloads effektiv an uns aus. Dies gilt besonders für Bring-Your-Own-IP-Kunden (bei Fastly auch als Subscriber Provided Prefix bekannt). Wir nehmen das uns entgegengebrachte Vertrauen sehr ernst. 

In den letzten Jahren hat Fastly von Kunden, die ihre eigenen IP-Adressen mitbringen, verlangt, dass sie RPKI ROAs installieren, bevor wir die Präfixe bekanntgeben (zusätzlich zu der in der Branche weit verbreiteten Methode der schriftlichen Autorisierung). Indem wir branchenweite Netzwerksicherheitsstandards vorantreiben, können wir unseren Teil dazu beitragen, das gesamte Internet sicherer zu machen – nicht nur für unsere Kunden, sondern für alle.