Cloudflare stellt das Sicherheitsüberprüfungstool für das Border Gateway Protocol vor

Keine Ausreden mehr, sagt Cloudflare, wenn es um BGP-Sicherheit geht, mit der Einführung eines neuen Tools, das ISPs für ihre BGP-Sicherheitsmaßnahmen zur Rechenschaft ziehen kann.

Letzte Woche, die sagte der Cloud-Dienstleister dass Sicherheitsprobleme des Border Gateway Protocol (BGP) zu lange ein akzeptierter Teil der Bedrohungslandschaft waren und Datenlecks und Hijacking an der Tagesordnung waren.

Das BGP-Protokoll wird verwendet, um die Weiterleitung des Datenverkehrs durch Internetdienstanbieter (ISPs) zu erleichtern. Das System wird seit den 1980er Jahren verwendet und hat im Laufe dieser Zeit eine Weiterentwicklung erfahren, einschließlich der Einführung neuer Sicherheitsmaßnahmen wie TLS, DNSSEC und Projekte wie Resource Public Key Infrastructure (RPKI), um Lecks zu verhindern und Entführung.

Diese Angriffe dauern jedoch weiterhin auf ISP-Ebene an. So steht beispielsweise Russlands staatlicher Telekommunikationsanbieter Rostelecom im Verdacht, a wiederholter BGP-Hijacking-Täter.

Siehe auch: Coronavirus: Wirtschaft und Technologie in einer Pandemie

Anfang dieses Monats war der Datenverkehr für über 200 Cloud-Dienstanbieter und die Bereitstellung von Inhalten bestimmt Netzwerke (CDNs) – darunter Google, Amazon, Akamai und Cloudflare – wurden über die ISPs umgeleitet Server.

Letztes Jahr, China Telecom Europaverkehr umgeleitet zwei Stunden lang über seine eigenen Server, obwohl nicht bekannt ist, ob der Vorfall böswillig war oder auf menschliches Versagen zurückzuführen war.

BGP-Hijacking kann zu Datenkompromittierung und Internetausfällen führen.

Cloudflare sagte letzte Woche, dass „es an der Zeit ist, BGP sicher zu machen“ und ISPs „keine Ausreden mehr“ haben, nicht zu handeln. Um zu versuchen, ISPs zur Rechenschaft zu ziehen, hat das Unternehmen ins Leben gerufen isBGPSafeYet.com, eine Website, mit der Sie überprüfen können, ob Ihr ISP RPKI verwendet, um ungültige Verkehrsrouten herauszufiltern.

Zum Testen von RPKI werden zwei Präfixe verwendet. Der Test veranlasst Ihren Browser, zwei Seiten abzurufen: valid.rpki.cloudflare.com und invalid.rpki.cloudflare.com. Die erste Seite steht hinter einem RPKI-gültigen Präfix und die zweite Seite hinter einem RPKI-ungültigen Präfix.

CNET: Richter entscheidet gegen Twitter-Transparenzbemühungen unter Berufung auf die nationale Sicherheit

Wenn beide Seiten ohne Probleme abgerufen werden, weist dies darauf hin, dass der ISP eine ungültige Route akzeptiert und RPKI nicht aktiviert hat. Cloudflare sagt, wenn valid.rpki.cloudflare.com die einzige Seite ist, die abgerufen wurde, hat Ihr ISP die Sicherheitsmaßnahme aktiviert und Benutzer sind „weniger empfindlich gegenüber Routenlecks“.

Wenn Sie Ihren ISP testen und feststellen, dass RPKI nicht vorhanden ist, wird auf der Webseite eine twitterbare Nachricht angezeigt:

„Leider implementiert mein Internetprovider (XXX) BGP NICHT sicher. Kasse https://isbgpsafeyet.com um zu sehen, ob Ihr ISP BGP auf sichere Weise implementiert oder ob es das Internet anfällig für böswillige Routenentführungen macht.“

Mit anderen Worten: Es besteht die Hoffnung, dass der öffentliche Druck die Einführung von RPKI bei mehr Internetdienstanbietern verstärken wird.

TechRepublic: Abonnementgeschäfte erweisen sich als widerstandsfähig, während die Wirtschaft aufgrund des Coronavirus schrumpft

RPKI ist kein narrensicherer Standard zur Verhinderung von BGP-Hijacking, aber das Unternehmen gibt an, dass Tests darauf hindeuten, dass etwa die Hälfte aller Netzwerke, die das Tool verwenden, weniger anfällig für Routenlecks sind.

„Wir gehen davon aus, dass diese Initiative RPKI für jedermann zugänglicher machen und letztendlich die Auswirkungen von Routenlecks verringern wird“, sagt Cloudflare.

Die von isbgpsafeyet.com verwendeten Skripte wurden auf verfügbar gemacht GitHub.