- Alle Räder stehen still, wenn Dein starker Arm das will
- Telekom, wie heißt gleich das Produkt mit BGP?
- Kommentar zu aktuellen Hypes um DNS
- Microsofts BGP Router im Internet
- HTTPS Absicherung mit DANE durch Middleboxen
- Bereit zum Wechsel des Schlüssels der Root Zone?
- Der Hauptschlüssel des Internets wird gewechselt
RIPE56: DNSSEC zu Absicherung des globalen Routings
Das globale Routing des Internets ist anfällig gegenüber Fehlkonfigurationen und aktiven Angriffen. Einer der letzten bekannteren Vorfälle war die ungewollte Umleitung des Filmportals "YouTube" nach Pakistan durch Fehlkonfiguration.
Vorschläge zur Absicherung des Internet-Routing-Protokolls BGP4 gibt es seit Jahren, scheiterten jedoch an der Skalierbarkeit auf die Größe des Internets oder an den vielen Ausnahmen, die nur regionale Bedeutung haben.
Auf dem 56. RIPE Meeting in Berlin konnte ich meine Idee vorstellen, wie man mittels DNSSEC, dem zertifikatsgeschützten Abfragesystem des Internets, das globale Routing absichern kann. Die IKS fördert die Entwicklung eines neuen Internet-Standards zusammen mit den NL Netlabs aus den Niederlanden.
Darüberhinaus betreibe ich bei der IKS eine Testumgebung, die den europäischen Teil des Internets simuliert. Dieses Testbed umfaßt derzeit ca. 90.000 signierte DNS-Zonen und schützt damit ca. 10.000 Internet-Service-Provider, 700 IPv6 Routen und 75000 IPv4 Routen. Die Aktualität der Signaturen sowie die Bereitstellung für den globalen Zugriff sind Voraussetzung für eine erfolgreiche Überprüfung der Konzepte. Mit Hilfe des Testbeds sind Router-Hersteller, wie Cisco, Juniper und Huawai in der Lage, die robuste und sichere Software zu erstellen, die für einen zukunftsfähigen Betrieb des Internets notwendig ist.
Bei der IKS haben wir langjährige Erfahrungen mit DNSSEC und sind einer der drei größten Verwalter von signierten Zonen. Zusammen mit fünfzehn Jahren Erfahrung im globalen Routing ist dies die Voraussetzung für die sachkundige Arbeit an dem Standard und dessen erfolgreicher Umsetzung.