Zusätzlicher Sicherheits-Layer im SWITCHlan

Mit der Einführung einer RPKI (Resource Public Key Infrastructure) haben wir die Routing-Sicherheit im SWITCHlan weiter verbessert.

Text: Fabian Mauchle, publiziert am 10.09.2020

Arbeit, Forschung, Lehre und Studium: Ohne ein sicheres und stabiles Netzwerk läuft an Schweizer Universitäten heute fast nichts mehr. 30 Jahre Aufbau und Weiterentwicklung haben das Forschungs- und Ausbildungsnetzwerk SWITCHlan zu einem der leistungsstärksten Netze der Schweiz gemacht. Um den steigenden Sicherheits- und Stabilitätsanforderungen auch in Zukunft gerecht zu werden, investieren wir laufend in die Verbesserung unserer Infrastruktur.

Der Routing-Layer, der den Pfad auswählt, den die IP-Pakete innerhalb des Netzwerks nehmen, stellt ein Kernelement des SWITCHlan dar. Das BGP (Border Gateway Protocol) ist das Standardprotokoll zur Steuerung von IP-Traffic im Internet. Über dieses Protokoll tauschen benachbarte Netzwerke an den jeweiligen Netzgrenzen Routing-Daten aus. Da die Netzbetreiber jeweils nur die Routing-Daten des eigenen Netzes steuern können, müssen sie den von den anderen Providern bereitgestellten Daten vertrauen.

Leider kann es vorkommen, dass die vorgeschlagenen Routen aufgrund von Konfigurationsfehlern falsch sind oder böswillig geändert wurden. Solche fehlerhaften Routing-Informationen zu erkennen, ist grundlegend für die Lösung von Routing-Problemen, um einen Abfall des Service-Levels zu verhindern und den Nutzern mehr Sicherheit zu bieten.

Es gibt verschiedene Methoden, um die Routing-Sicherheit zu verbessern. Das SWITCHlan erfüllt internationale Normen wie die MANRS (Mutually Agreed Norms for Routing Security), die aufzeigen, wie sich die häufigsten Routing-Risiken bewältigen lassen. Solche Best-Practices legen konkrete, von den Netzbetreibern zu ergreifende Massnahmen fest (Filtern, Spoofing-Schutz, Validierung usw.). Ein Sicherheitskonzept, welches die Routing-Sicherheit weiter verbessert, ist die Ressourcenzertifizierung RPKI (Resource Public Key Infrastructure).

«Die RPKI hilft Netzbetreibern, zuverlässigere Routing-Entscheidungen zu treffen. Dabei werden digitale Zertifikate (auf Grundlage von X.509-Zertifikaten) genutzt, um die Verbindung zwischen (beispielsweise) IP-Adress-Blöcken und dem Inhaber dieser sogenannten «Internet Number Resources» nachzuweisen. Internet-Routing-Informationen können also als Nachweis für das Recht des Ressourceninhabers dienen, seine Ressourcen zu nutzen, und lassen sich kryptografisch validieren.» RIPE NCC

SWITCH hat bereits 2015 seine IP-Ressourcen signieren lassen und mittlerweile auch die Signierung von Kundenressourcen abgeschlossen. Dabei handelt es sich um Ressourcen, für die SWITCH als LIR agiert. Als letzten Implementierungsschritt lässt das SWITCHlan nun auch die Validierung von Routing-Informationen zu, die von anderen Providern kommen.

Die Validierung von Routing-Informationen erfolgt dabei zweistufig: Zunächst lädt eine Validierungs-Software die signierten ROA (Route Origin Authorization) von den fünf Internetregistrierungsstellen herunter und führt die kryptografische Validierung durch. Die abschliessende Liste der gültigen ROA wird dann den Grenzroutern zur Verfügung gestellt, die jede von einem Provider erhaltene Route mit der Liste abgleichen. Wenn eine Route nicht den ROA entspricht, wird sie ignoriert.

SWITCH nutzt zwei verschiedene Validierer-Implementierungen, um die Fehlertoleranz zu erhöhen, auch wenn Software-Bugs vorliegen. Dennoch ist das Gesamtsystem ausfallsicher konzipiert, da Routing-Informationen nie aufgrund fehlender Informationen abgelehnt werden.

Wenn Sie Inhaber einer IP-Ressource und bei RIPE als LIR (Local Internet Registry) registriert sind, helfen Sie bitte mit, die Sicherheit und Funktionstüchtigkeit des Internet-Routing-Systems zu gewährleisten, indem Sie Ihre IP-Ressourcen zertifizieren. RIPE bietet dazu ein einfach anzuwendendes Tool an.

Weitere Informationen:

ripe.net/rpki

ripe.net/manage-ips-and-asns/resource-management/certification/what-is-rpki

manrs.org/

manrs.org/isps/participants/entry/466/

switch.ch/switch-listed-with-manrs/

wikipedia.org/Resource_Public_Key_Infrastructure

Über den Autor
Fabian   Mauchle

Fabian Mauchle

Nach einem Informatikstudium an der Hochschule Rapperswil mit Abschluss als MSc FHO startete Fabian Mauchle 2010 bei SWITCH. Er arbeitet als Network Engineer im Team Network.

E-Mail
Weitere Beiträge