Habe ein wenig über Weihnachten recherchiert und eine kostengünstige Open-Source-Lösung gefunden:
Routinator von NLnet Labs ist ein RPKI-Relying-Party-Open-Source-Software-Tool, das zur Validierung von RPKI-Daten verwendet wird. Es dient dazu, die Herkunft von IP-Adressen zu überprüfen und sicherzustellen, dass IP-Routen autorisiert sind. Routinator selbst bestimmt jedoch keine Routen. Stattdessen validiert es die Informationen, die von den RPKI-Zertifikaten bereitgestellt werden, und hilft Netzbetreibern, Entscheidungen über die Annahme oder Ablehnung von Routen basierend auf diesen Informationen zu treffen. Die tatsächliche Routenentscheidung wird von den Router-Konfigurationen getroffen, die die validierten Daten als Input verwenden.
https://routinator.docs.nlnetlabs.nl/en ... index.html
https://github.com/NLnetLabs/routinator
Es funktioniert folgendermaßen:
1. Datenabruf: Routinator lädt RPKI-Daten von verschiedenen Trust Anchors herunter. Diese Daten enthalten Zertifikate und ROAs (Route Origin Authorizations), die angeben, welche Autonomous Systems (AS) berechtigt sind, bestimmte IP-Präfixe zu bewerben.
2. Validierung: Die heruntergeladenen RPKI-Daten werden validiert. Routinator überprüft die Signaturen der Zertifikate und stellt sicher, dass sie mit den veröffentlichten Trust Anchors übereinstimmen.
3. Erstellung einer Validierungsdatenbank: Nach der Validierung wird eine Datenbank mit den gültigen ROAs erstellt. Diese Datenbank wird dann von Netzbetreibern verwendet, um Routing-Entscheidungen zu treffen.
4. Bereitstellung der Daten: Die validierten Daten können über verschiedene Schnittstellen bereitgestellt werden, wie z.B. RTR (RPKI-to-Router Protocol) oder HTTP, um von Routern genutzt zu werden.
5. Integration: Netzbetreiber können die validierten Daten in ihre Routing-Policies integrieren, um sicherzustellen, dass nur autorisierte Routen akzeptiert werden.
Routinator hilft somit, die Sicherheit und Integrität des Internetroutings zu verbessern, indem es sicherstellt, dass nur vertrauenswürdige Routen verwendet werden.
Ein Beispiel für die Verwendung von Routinator wäre ein Internetdienstanbieter (ISP), der sicherstellen möchte, dass er nur autorisierte Routen von seinen Peers oder Kunden akzeptiert:
1. Installation und Konfiguration: Der ISP installiert Routinator auf einem Server innerhalb seines Netzwerks und konfiguriert ihn, um regelmäßig RPKI-Daten von den Trust Anchors (wie RIPE NCC, ARIN, etc.) herunterzuladen.
2. Regelmäßige Validierung: Routinator lädt die neuesten RPKI-Daten herunter, validiert die Zertifikate und erstellt eine Liste der gültigen ROAs. Diese Liste enthält Informationen darüber, welche Autonomous Systems (AS) berechtigt sind, bestimmte IP-Präfixe zu bewerben.
3. Bereitstellung der Daten: Routinator stellt diese validierten Daten über das RTR-Protokoll bereit, das von den Routern im Netzwerk des ISP genutzt wird.
4. Routing-Entscheidungen: Die Router verwenden die Informationen von Routinator, um zu entscheiden, ob sie eine Route annehmen oder ablehnen sollen. Wenn eine Route von einem AS kommt, das nicht in den validierten ROAs für das beworbene IP-Präfix enthalten ist, wird die Route abgelehnt.
5. Erhöhung der Sicherheit: Durch die Verwendung von Routinator kann der ISP sicherstellen, dass er nur legitime Routen in sein Netzwerk aufnimmt, was die Sicherheit und Zuverlässigkeit des Netzwerks erhöht.
Dieses Beispiel zeigt, wie Routinator als Teil einer umfassenden Sicherheitsstrategie im Routing eingesetzt werden kann, um das Risiko von Angriffen wie IP-Spoofing zu reduzieren.
Schadcode auf dem Client: Jede weiter installierte App birgt gefahren! Warum nicht alles über den Browser? Der ist meistens schon mit dabei.