Es ist dringend erforderlich, die Routing-Sicherheit des Internets zu sichern, und es ist eine Zusammenarbeit erforderlich

Das Internet ist zerbrechlich. Viele seiner Protokolle wurden zu einer Zeit entwickelt, in der das Ziel der schnellen Netzwerkerweiterung auf dem Vertrauen der Betreiber beruhte. Heute ist das offene Wesen des Internets das, was es für Wirtschaft, Bildung und Kommunikation so groß macht, aber das Fehlen von Sicherheitsmechanismen im Kern ist etwas, das Kriminelle gerne ausnutzen.

Ende Januar, Verkehr zu vielen IP (Internet Protokoll) Adressen des US Marine Corps wurde vorübergehend durch einen ISP in Venezuela umgeleitet. Laut Doug Madory, Leiter der Internet-Analyse bei Dyn, treten solche Routing-Lecks fast täglich auf und während viele von ihnen Unfälle sind, sind einige eindeutig Versuche, den Internetverkehr zu kapern.

Ein weiteres häufiges Vorkommnis ist die Entführung von ruhenden oder unbenutzte IP-Adressräume. Diese Technik, die als IP-Adressen-Squatting bekannt ist, wird von E-Mail-Spammern bevorzugt, die Blöcke von IP-Adressen benötigen, die noch nicht von Spamfiltern auf die schwarze Liste gesetzt wurden.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

An Wenn Spammer solche Attacken ausnutzen, müssen sie ISPs finden, die ihre betrügerischen Routing-Anzeigen ohne zu viel Kontrolle akzeptieren. Anfang Februar meldete das Spam-Schutz-Team Spamhaus, dass Verizon Communications über 4 Millionen von Kriminellen entführte IP-Adressen route und damit in die Top-10-Liste der ISPs weltweit gehöre, die den Spam-Verkehr routen.

Die Missbräuche hören nicht auf . Das User Datagram Protocol (UDP), das in der Internetkommunikation häufig verwendet wird, ist besonders anfällig für das Spoofing von Quelladressen. Dadurch können Angreifer Datenpakete senden, die scheinbar von den IP-Adressen anderer Personen stammen.

Die Schwachstelle wurde in den letzten Jahren zunehmend genutzt, um DDoS-Angriffe (Distributed Denial-of-Service) auszulösen. DDoS-Reflektion, wie die Technik bekannt ist, beinhaltet Angreifer, die Anfragen mit gefälschten Adressen an falsch konfigurierte Server im Internet senden. Dies zwingt diese Server, ihre Antworten an die gefälschten Adressen zu senden, anstatt an die echten IP-Adressen, von denen die Anfragen stammten.

Dies verbirgt die Quelle von bösartigem Verkehr, kann aber auch einen Verstärkungseffekt haben, wenn die erzeugten Antworten größer sind als Anfragen, die sie ausgelöst haben. Durch die Verwendung von Reflektionen gegen Server, auf denen UDP-basierte Dienste wie DNS (Domain Name System), mDNS (Multicast-DNS), NTP (Network Time Protocol), SSDP (Simple Service Discovery Protocol), SNMP (Simple Network Management Protocol) und andere laufen, Angreifer können zehn- oder hundertmal mehr Datenverkehr generieren als sonst.

All diese Probleme erfordern ein hohes Maß an Zusammenarbeit zwischen den Netzbetreibern, da das Internet im Gegensatz zu anderen Branchen keine zentrale Instanz hat, die ISPs erzwingen könnte Implementierung von Routing-Sicherheitsmaßnahmen.

Die Internet Society (ISOC), eine internationale Non-Profit-Organisation, die internetbezogene Standards, Bildung und Politik voranbringt, ist der festen Überzeugung, dass die Bewältigung von Sicherheitsfragen eine gemeinsame Verantwortung ist, die einen kooperativen Ansatz erfordert. Ende 2014 startete die Organisation zusammen mit neun Netzbetreibern eine Initiative mit dem Namen MANRS (Mutual Agreed Norms for Routing Security).

Netzbetreiber, die sich für das MANRS-Programm entscheiden, verpflichten sich zur Einführung verschiedener Sicherheitskontrollen um die Verbreitung von inkorrekten Routing - Informationen über ihre Netzwerke zu verhindern, den Verkehr mit gefälschten Quell - IP - Adressen zu verhindern und die globale Validierung von Routing - Informationen zu erleichtern.

Im Laufe des vergangenen Jahres ist das Programm stetig gewachsen, die Teilnehmerzahl liegt nun bei 40. ISOC hofft, dass die MANRS-Mitgliedschaft ein Ehrenzeichen oder ein Gütezeichen wird, das Netzbetreiber anstreben, um sich von der Konkurrenz abzuheben.

Ob der freiwillige Ansatz ausreicht, um das Programm weiter wachsen zu lassen, bleibt abzuwarten. Wenn sie jedoch genügend Bodenhaftung gewinnt und groß genug wird, könnten ISPs, die nicht daran interessiert sind, sich jetzt zu beteiligen, in Zukunft von den Marktkräften gedrängt werden. Wenn beispielsweise drei Internetprovider um ein Projekt konkurrieren und nur eines von ihnen MANRS-konform ist, könnte der Kunde das MANRS-Mitglied wählen, weil es angeblich mehr Wert auf Sicherheit legt.

In Ländern wie China oder Russland gibt es Netzbetreiber Machen Sie eine Menge Geschäfte, indem Sie Cyberkriminellen Dienstleistungen anbieten. Solche Unternehmen würden diese Sicherheitsmaßnahmen wahrscheinlich nicht umsetzen wollen, aber wenn MANRS groß genug wird, könnten sie isoliert sein und keine Uplink-Provider finden, die ihren Verkehr international transportieren.

Umsetzung der MANRS-Empfehlungen, die auf der bestehenden Industrie basieren Best Practices, können einige kurzfristige Kosten für ISPs haben, aber laut ISOC ist das wahrscheinlich nicht der Grund, warum viele von ihnen es versäumt haben, sie umzusetzen. Das größere Problem, glaubt die Organisation, ist ein mangelndes Bewusstsein für diese Probleme oder nicht das nötige Know-how, um sie zu beheben.

Die Methoden, mit denen Routing-Lecks und IP-Spoofing behandelt werden können, sind vielfältig und aktuell an verschiedenen Orten dokumentiert über das Internet. Aus diesem Grund arbeiten ISOC und die MANRS-Mitglieder an einem Best-Practice-Dokument (BCOP), das diese Empfehlungen zusammenfassen und eine klare Anleitung für ihre Umsetzung geben soll.

Ziel ist es, die kleinen, regionalen ISPs bei der Umsetzung dieser Maßnahmen zu unterstützen , da sie etwa 80 Prozent des Internets ausmachen, sagte Andrei Robachevsky, der Technologieprogramm-Manager von ISOC.

Wenn diese ISPs die Routing-Ankündigungen ihrer eigenen Kunden validieren würden, gäbe es eine viel geringere Chance für Rogue-Ankündigungen Erreichen des globalen Routing-Systems.

Eine weitere Sache, an der die MANRS-Mitglieder 2016 arbeiten werden, ist eine Reihe von Konformitätstests, um sicherzustellen, dass neue potenzielle Mitglieder tatsächlich die Ziele des Programms erreicht haben und im Laufe der Zeit konform bleiben. Ein Beispiel für einen solchen Test ist ein Tool namens Spoofer, das prüft, ob ein Netzwerk IP-Spoofing zulässt oder nicht. MANRS-Teilnehmer könnten dieses Tool regelmäßig in ihren Netzwerken verwenden und die Ergebnisse zurückmelden.

Auch die Schaffung von Anreizen für ISPs, sich dem Programm anzuschließen, ist ein wichtiges Thema, über das ISOC und die bestehenden MANRS-Mitglieder diskutieren. Einige Teilnehmer erwägen beispielsweise, die MANRS-Anforderungen in ihre Peering-Vereinbarungen aufzunehmen oder eine höhere Bandbreite nur für MANRS-konforme Netzbetreiber anzubieten, sagte Robachevsky.

In diesem Stadium wächst das Programm jedoch hauptsächlich durch Identifizierung und Kooptierung ISPs, die aus Sicherheitssicht branchenführend sind. Das sind ISPs, die alle diese Schutzmechanismen unabhängig von MANRS bereits implementiert haben.

Es ist unwahrscheinlich, dass die MANRS-Empfehlungen jemals von allen Netzbetreibern der Welt angenommen werden und leider auch einige Angriffe, wie die DDoS-Reflexion , wird nicht vollständig verschwinden ohne weit verbreitete Implementierung von Anti-IP-Spoofing-Maßnahmen. Aber selbst wenn es MANRS gelingt, nur kleine, aber sichere Nachbarschaften im Internet zu schaffen, würde dies das Problem verringern.

Stellen Sie sich eine Cyberkriminelle vor, die Zugang zu 1.000 infizierten Computern aus der ganzen Welt hat, die in einem Botnetz organisiert sind. Wenn sie eine Liste von 1.000 falsch konfigurierten DNS- oder NTP-Servern erhalten, könnten sie diese Server missbrauchen, um den Datenverkehr zu verstärken, den sie sonst von diesen 1.000 Computern mit der DDoS-Reflektionstechnik generieren könnten.

Allerdings, wenn 20 Prozent dieser infizierten Computer waren In Netzwerken, die das IP-Spoofing verhindern, könnten die Angreifer sie überhaupt nicht für DDoS-Reflektionen verwenden, da ihre gefälschten Anfragen von ihren ISPs blockiert würden und niemals die anfälligen DNS- oder NTP-Server erreichen würden.

Glücklicherweise werden die MANRS-Vorschläge bei inkrementellen Bereitstellungen von Nutzen sein, sagte Danny Cooper, Sicherheitsforscher bei Akamai. "Selbst wenn nicht alle im Internet teilnehmen und es nur eine partielle Aufnahme gibt, reduziert es immer noch die Stellen im Internet, von denen bestimmte Angriffe gestartet werden können."

Die von MANRS vorgeschlagenen Verteidigungstechniken sind keineswegs perfekt, und es gibt einige Techniken, um sie teilweise zu umgehen, aber insgesamt zwingen sie Angreifer, den Umfang ihrer Angriffe zu reduzieren, sagte Cooper.

MANRS stellt eine Sammlung von ziemlich intelligenten Netzbetreibern dar, die zusammen kamen und einige Best Practices vorbrachten, um das zu verbessern Zustand des Internet-Routing, sagte Dyn's Madory. "Unabhängig davon, ob es von allen ISPs übernommen wird, ist es sicherlich das Richtige. Wir sollten versuchen, alle Lektionen der verschiedenen Netzwerkingenieure auf der ganzen Welt zu erfassen und für deren Implementierung einzutreten."

Immerhin perfekt oder Nicht, es gibt nicht viele Alternativen zu dieser Art von Selbstregulierung der Industrie. Angriffe werden mit der Zeit immer schlimmer und wenn nichts unternommen wird, besteht die Gefahr, dass nationale Regierungen mit Gesetzen eingreifen können, die die Offenheit des Internets gefährden. Die Zersplitterung des Internets findet bereits in gewissem Maße aus politischen, wirtschaftlichen, religiösen und anderen Gründen statt.

Die gute Nachricht ist, dass die Zahl der Netzbetreiber, die Anti-Spoofing- und Routen-Hijacking-Schutz implementieren, zunimmt. Laut dem Worldwide Infrastructure Security Report, den der DDoS-Mitigation-Anbieter Arbor Networks im Januar veröffentlichte, haben schätzungsweise 44 Prozent der ISPs Anti-Spoofing-Filter implementiert. Dies ist ein Plus von 37 Prozent im Jahr 2014. Darüber hinaus überwachen 54 Prozent nun auch Routenpannen, verglichen mit 40 Prozent im Jahr 2014. Der Bericht basiert auf einer Umfrage unter 354 globalen Netzbetreibern.

"Es gibt noch eine Menge Verbesserungsbedarf, natürlich, aber wir sehen Zahlen, die in die richtige Richtung gehen ", sagte Gary Sockrider, leitender Sicherheitstechnologe bei Arbor Networks.

Laut Sockrider hat Arbor Networks im vergangenen Jahr ein enormes Wachstum sowohl in der Anzahl und Größe von DDoS-Reflektions- / Amplifikationsangriffen über viele Protokolle.

"Ich begrüße die Bemühungen aller Organisationen, einschließlich der MANRS-Initiative, die Sicherheit zu verbessern, Netzwerke widerstandsfähiger zu machen und Dinge wie IP-Spoofing zu stoppen", sagte Sockrider . "Ich denke wirklich, dass das wichtig ist und ich unterstütze es voll und ganz."