RPKI & ROA: Sicherung Ihrer IPv4-Routen
Alles, was Sie über Resource Public Key Infrastructure (RPKI) und Route Origin Authorization (ROA) wissen müssen — von Konzepten bis zur praktischen Umsetzung.
Was ist RPKI?
Resource Public Key Infrastructure (RPKI) ist ein kryptografisches Framework zur Absicherung der Routing-Infrastruktur des Internets. Es bietet eine Möglichkeit zu verifizieren, dass der Inhaber eines IP-Adressblocks ein bestimmtes Autonomes System (AS) autorisiert hat, Routen für dieses Präfix anzukündigen.
Ohne RPKI funktioniert BGP — das Protokoll, das den Datenverkehr im Internet routet — weitgehend auf Vertrauensbasis. Jedes AS kann jedes IP-Präfix ankündigen und so möglicherweise den Datenverkehr über unbefugte Netzwerke umleiten. RPKI fügt eine Schicht kryptografischer Verifizierung hinzu, um solche Hijacks zu verhindern.
RPKI wurde von der IETF entwickelt und wird von den fünf regionalen Internet-Registries (RIR) verwaltet: RIPE NCC, ARIN, APNIC, LACNIC und AFRINIC. Jedes RIR fungiert als Zertifizierungsstelle (CA) innerhalb des RPKI-Frameworks.
Was ist ROA?
Eine Route Origin Authorization (ROA) ist ein digital signiertes Objekt innerhalb des RPKI-Frameworks. Es legt fest, welche AS-Nummer berechtigt ist, ein bestimmtes IP-Präfix anzukündigen, und die maximale Präfixlänge, die angekündigt werden darf.
Eine ROA könnte beispielsweise besagen: „AS64500 ist berechtigt, 192.0.2.0/24 mit einer maximalen Länge von /24 anzukündigen." Dies bedeutet, dass nur AS64500 dieses Präfix legitimerweise ankündigen kann, und es nicht als spezifischere Präfixe wie /25 angekündigt werden darf.
ROAs werden vom IP-Adressinhaber über das Portal seines RIR erstellt und im RPKI-Repository des RIR gespeichert. Netzwerkbetreiber verwenden dann RPKI-Validatoren, um eingehende BGP-Ankündigungen gegen veröffentlichte ROAs zu prüfen.
Wie RPKI Funktioniert
RPKI funktioniert über eine Vertrauenskette, die bei den RIR verankert ist. Wenn Sie eine IP-Adresszuweisung oder -übertragung erhalten, stellt das RIR ein Ressourcenzertifikat aus, das Ihre Organisation mit diesen IP-Ressourcen verknüpft. Sie können dann ROA-Objekte unter diesem Zertifikat erstellen.
Netzwerkbetreiber betreiben RPKI-Validatoren (wie Routinator, FORT oder rpki-client), die alle ROAs aus den RIR-Repositories herunterladen und verifizieren. Diese Validatoren speisen die Validierungsergebnisse über das RPKI-to-Router (RTR) Protokoll an die Router.
Wenn eine BGP-Routenankündigung eintrifft, prüft der Router sie gegen die RPKI-Validierungsdaten. Routen werden als Valid (übereinstimmend mit einer ROA), Invalid (im Widerspruch zu einer ROA) oder NotFound (keine ROA vorhanden) klassifiziert. Betreiber können dann Richtlinien konfigurieren — üblicherweise Valid-Routen akzeptieren, Invalid ablehnen und NotFound-Routen zulassen.
Valid
Die BGP-Ankündigung stimmt mit einer veröffentlichten ROA überein — korrektes AS und Präfixlänge. Die Route wird akzeptiert.
Invalid
Die Ankündigung steht im Widerspruch zu einer ROA — falsches AS oder überschreitet die maximale Präfixlänge. Die Route sollte abgelehnt werden.
NotFound
Für dieses Präfix existiert keine ROA. Die Route wird standardmäßig akzeptiert, hat aber keine kryptografische Verifizierung.
Unknown
Der Validator kann den Status nicht bestimmen, typischerweise aufgrund von Verbindungsproblemen mit den RPKI-Repositories.
ROA-Einträge Erstellen
Das Erstellen von ROA-Einträgen ist unkompliziert und kann über das Mitgliederportal Ihres RIR durchgeführt werden. Der Prozess variiert leicht zwischen den RIR, folgt aber den gleichen allgemeinen Schritten.
Für RIPE NCC melden Sie sich im LIR-Portal an, navigieren zum Bereich „RPKI", wählen das zu schützende Präfix aus, geben die autorisierte AS-Nummer und maximale Präfixlänge an und veröffentlichen die ROA. RIPE bietet auch eine „One-Click-RPKI"-Funktion, die automatisch ROAs basierend auf bestehenden Route-Objekten erstellt.
Für ARIN nutzen Sie das ARIN-Online-Portal, um auf den RPKI-Bereich zuzugreifen. Sie können ROAs für Ihre Ressourcen erstellen und Ihre RPKI-Zertifikate verwalten. ARIN bietet sowohl gehostete als auch delegierte RPKI-Optionen.
Für APNIC enthält das MyAPNIC-Portal RPKI-Verwaltungstools. Sie können ROAs für Ihre IP-Ressourcen erstellen und deren Status über das Dashboard überwachen.
RIPE NCC
LIR-Portal → RPKI → ROA erstellen. Unterstützt One-Click-ROA-Erstellung aus bestehenden Route-Objekten. Sofortige Veröffentlichung.
ARIN
ARIN Online → RPKI → ROA erstellen. Bietet sowohl gehostetes als auch delegiertes RPKI. Veröffentlichung innerhalb von Minuten.
APNIC
MyAPNIC → RPKI → ROA erstellen. Integriertes Dashboard zur Überwachung des ROA-Status und der Abdeckung.
LACNIC / AFRINIC
Ähnliche portalbasierte ROA-Erstellung. Prüfen Sie die jeweilige RIR-Dokumentation für spezifische Schritte und Funktionen.
RPKI-Validierung
Die RPKI-Validierung wird von spezieller Software namens Validatoren durchgeführt. Diese Tools laden den vollständigen Satz an RPKI-Daten von allen fünf RIR-Repositories herunter, verifizieren die kryptografischen Signaturen und erstellen einen validierten Cache von Route Origin Authorizations.
Beliebte Open-Source-Validatoren sind Routinator (von NLnet Labs), FORT Validator, rpki-client (von OpenBSD) und OctoRPKI (von Cloudflare). Diese Validatoren liefern validierte Daten über das RTR-Protokoll an Router.
Große Netzwerkbetreiber und Cloud-Anbieter — darunter Cloudflare, Google, Amazon AWS und Microsoft Azure — haben RPKI-Validierung implementiert und lehnen Invalid-Routen ab. Mit zunehmender Verbreitung wird es immer wichtiger, korrekte ROA-Einträge zu haben, um die globale Erreichbarkeit Ihrer Präfixe sicherzustellen.
Warum RPKI bei IPv4-Transfers Wichtig Ist
Wenn Sie IPv4-Adressen kaufen oder leasen, gehört die Einrichtung von RPKI und ROA-Einträgen zu den ersten Maßnahmen, die Sie ergreifen sollten. Ohne ROA-Einträge fehlt Ihren neu erworbenen Präfixen die kryptografische Herkunftsvalidierung, was sie anfälliger für versehentliches oder absichtliches Hijacking macht.
Zudem können Präfixe ohne gültige ROA-Einträge mit zunehmender Verbreitung der RPKI-basierten Routenfilterung eine eingeschränkte Erreichbarkeit erfahren. Einige Netzwerke bevorzugen oder verlangen bereits RPKI-valide Routen, und dieser Trend beschleunigt sich.
Bei IPv4Center.com unterstützen wir unsere Kunden nach jedem IPv4-Transfer bei der RPKI-Einrichtung. Ob Sie IPv4-Adressraum kaufen oder leasen — unser Team hilft Ihnen, die entsprechenden ROA-Einträge zu erstellen und zu verifizieren, dass Ihre Präfixe ordnungsgemäß geschützt sind.
Routenschutz
ROA-Einträge verhindern, dass unbefugte Parteien Ihre IPv4-Präfixe über BGP hijacken, und schützen Ihren Datenverkehr und Ihre Reputation.
Globale Erreichbarkeit
Mit zunehmender RPKI-Verbreitung stellen gültige ROA-Einträge sicher, dass Ihre Präfixe über alle großen Netzwerke weltweit erreichbar bleiben.
Compliance
Viele Unternehmenskunden und Regierungsnetzwerke verlangen RPKI-valide Routen. ROA-Einträge helfen, diese Compliance-Anforderungen zu erfüllen.
Transfer-Bereitschaft
Nach einem IPv4-Transfer ist die Erstellung von ROA-Einträgen unerlässlich, bevor das Präfix angekündigt wird. IPv4Center.com unterstützt bei diesem Prozess.
Häufig gestellte Fragen
Häufige Fragen zu RPKI und ROA für IPv4-Adressinhaber.
Ohne ROA-Einträge hat Ihr Präfix den RPKI-Status „NotFound". Obwohl die meisten Netzwerke NotFound-Routen noch akzeptieren, ist Ihr Präfix nicht vor BGP-Hijacking geschützt. Mit zunehmender RPKI-Verbreitung können einige Netzwerke NotFound-Routen herabstufen oder filtern.
ROA-Einträge propagieren typischerweise innerhalb von 15–30 Minuten nach der Erstellung. RPKI-Validatoren aktualisieren ihre Caches periodisch (normalerweise alle 10–20 Minuten), sodass die globale Sichtbarkeit schnell erreicht wird.
Das hängt von der Leasing-Vereinbarung ab. In den meisten Fällen erstellt der IP-Inhaber (Vermieter) den ROA in Ihrem Namen und autorisiert Ihre AS-Nummer. Bei IPv4Center.com übernehmen wir die ROA-Erstellung für alle geleasten Präfixe als Teil unseres Service.
RPKI sichert das BGP-Routing, indem es validiert, welches AS ein IP-Präfix ankündigen darf. DNSSEC sichert DNS, indem es gewährleistet, dass DNS-Antworten nicht manipuliert wurden. Sie schützen verschiedene Schichten der Internet-Infrastruktur, verwenden aber beide kryptografische Signaturen.
RPKI mit ROA verhindert Origin-Hijacking (unbefugtes AS kündigt Ihr Präfix an). Es verhindert jedoch keine Pfadmanipulationsangriffe. BGPsec, eine Erweiterung von RPKI, befasst sich mit Pfadsicherheit, ist aber nur begrenzt verbreitet.
RPKI ist von keiner RIR verpflichtend, wird aber dringend empfohlen. Große Netzwerke wie Cloudflare, Google und AWS lehnen bereits RPKI-ungültige Routen ab. Die Branche bewegt sich auf eine universelle RPKI-Bereitstellung für ein sichereres Internet zu.