BGP Hijack: Cloudflare bietet Sicherheitscheck für Border Gateway Protocol

Cloudflare bietet ab sofort einen kostenlosen Sicherheitscheck an, mit dem Nutzer prüfen können, ob ihre Internetverbindung vor sogenannten BGP-Hijack-Angriffen geschützt ist. Das Prüf-Tool soll es Nutzer ermöglichen, Druck auf ihren Internetanbieter auszuüben, um die notwendigen Maßnahmen gegen derartige Attacken umzusetzen.

Bei BGP-Hijack-Angriffen wird das Border Gateway Protocol benutzt, um Datenverkehr im Internet umzuleiten. Eigentliche Aufgabe des Protokolls ist es, die beste Route für Daten im Internet zu ermitteln. Allerdings ist dieses System anfällig für Manipulationen. Es stammt aus den Achtziger Jahren und verzichtet auf jegliche Sicherheitskontrollen.

2018 wurde beispielsweise dem chinesischen Telekommunikationsanbieter China Telecom vorgeworfen, „den lebenswichtigen Internet-Backbone westlicher Länder“ abzuhören. Forscher stellten fest, dass Datenverkehr, der nicht für China gedacht war, von den USA aus über China geleitet wurde. Im selben Jahr gelang es zudem einem nigerianischen ISP, für Google gedachten Traffic umzuleiten. Der ISP beanspruchte zu dem Zweck IP-Adressen, die eigentlich Googles Rechenzentren zugeordnet sind. Allerdings dauerte die Umleitung nur 74 Minuten.

Auch Russland wird immer wieder verdächtigt, Traffic per BGP zu entführen. Erst kürzlich wurde dem russischen ISP Rostelecom vorgeworfen, Traffic, der für Unternehmen wie Google, Amazon, Akamai und Cloudflare gedacht war, über seine eigenen Server geleitet zu haben.

Eine Technik, mit der sich das Border Gateway Protocol absichern lässt, ist Resource Public Key Infrastructure (RKPI). Sie versieht IP-Prefixe mit kryptografischen Zertifikaten. Damit soll verhindert werden, dass Prefixe für BGP-Hijack-Angriffe gefälscht werden.

Das von Cloudflare angebotene Tool isBGPSafeYet.com prüft, ob ein ISP RKPI einsetzt. Dafür werden Anfragen an zwei Websites verschickt, von der eine hinter einem ungültigen RKPI-Prefix steckt. Werden beide Anfragen vom ISP ausgeführt, ist das laut Cloudflare ein Hinweis dafür, dass der ISP ungültige Routen akzeptiert.

Ein Provider, der RKPI nicht unterstützt, ist die Deutsche Telekom. Allerdings soll das Unternehmen laut Cloudflare bereits mit der Einführung von RKPI begonnen haben. Im Mai 2018 betonte Matthias Maurer, zu dem Zeitpunkt Head of Product Management Internet and Content bei der Deutschen Telekom, dem Unternehmen das Problem des BGP-Hijacking bekannt sei. „Wir stellen sicher, dass die Routen unserer Kunden korrekt registriert werden und dass die von ihnen angekündigten Prefixe auch wirklich zu ihnen gehören“, wird er in einer Pressemitteilung zitiert. “ Darüber hinaus waren wir eine treibende Kraft hinter dem RPKI-Framework.“