Fazit: Sicherheitsmaßnahmen für BGP und Verantwortung der ISPs | Teil 4
Für die Sicherheit im BGP-Umfeld sind primär Internet Service Provider (ISPs) verantwortlich, die BGP-Verbindungen und Routing für ihre Kunden verwalten. Die wichtigsten Sicherheitsmechanismen sind:
Sicherheitsmaßnahmen im Überblick
- RPKI (Resource Public Key Infrastructure)
RPKI authentifiziert Routen, um zu verhindern, dass Datenverkehr über unautorisierte Routen umgeleitet wird. Mit diesem Mechanismus wird gewährleistet, dass die Routing-Ankündigungen nur von den tatsächlich autorisierten Netzwerkbetreibern stammen. Der Endkunde kann diese Maßnahmen nicht selbst umsetzen, aber er sollte darauf achten, dass sein ISP RPKI einsetzt. - BGPsec
BGPsec fügt BGP eine Signaturmethode hinzu, die sicherstellt, dass die Routeninformationen unverändert bleiben. Hiermit kann der Datenfluss nicht manipuliert werden, ohne dass es auffällt. ISPs sind die zentralen Akteure, die dieses Sicherheitsprotokoll implementieren und überwachen können. - Route Filtering
ISPs setzen Route Filtering ein, um ungewollte oder schadhafte Routen abzuwehren. Durch gezielte Filtereinstellungen wird der Zugang zu potenziell unsicheren Routen blockiert, wodurch das Risiko von Route Leaks und Hijacking verringert wird. - Monitoring und Anomalieerkennung
ISPs führen oft ein umfassendes Monitoring ihrer BGP-Routen durch. Anomalien wie plötzliche Routenänderungen oder ungewöhnliche Traffic-Muster können dadurch frühzeitig erkannt werden, und der ISP kann die notwendigen Gegenmaßnahmen ergreifen.
Was können Endkunden tun?
Für Endkunden bleibt BGP oft unsichtbar, da sie keinen direkten Zugriff auf die BGP-Mechanismen haben. Dennoch ist es sinnvoll, auf einen ISP mit soliden BGP-Sicherheitsstandards zu setzen und zusätzlich den eigenen öffentlichen IP-Adressbereich zu überwachen. Anomalien oder plötzliche Traffic-Änderungen können auf mögliche Probleme hinweisen.
Zusammengefasst
BGP ist ein komplexes, aber grundlegendes System, das unser modernes Internet verbindet und absichert. Die Sophos Firewall, die als Grundlage für die Firewall-Systeme unserer Kunden dient, unterstützt ebenfalls BGP und bietet zusätzliche Konfigurationsmöglichkeiten für anspruchsvolle Netzwerkumgebungen.
Wollen Sie mehr über sicheres Netzwerkdesign und Schutzmechanismen für Ihre Netzwerkinfrastruktur erfahren?
Kontaktieren Sie uns unter 06103 9707-500 oder
Alle Beiträge der BGP Reihe
- BGP – Das Rückgrat des Internets | Teil 1
- BGP und die unsichtbaren Risiken – Route Leaks und BGP Hijacking | Teil 2
- BGP-Angriffe und reale Bedrohungen für das Internet | Teil 3
- Fazit: Sicherheitsmaßnahmen für BGP und Verantwortung der ISPs | Teil 4
- SCION als mögliche Alternative zu BGP – ein Ausblick | Teil 5