Konzeption und Entwicklung einer Client-seitigen RPKI-RTR Library zur Validierung der Präfix-Zugehörigkeit von autonomen Systemen in BGP-Routen

Abstract

Die Routing-Infrastruktur des Internets ist anfällig für eine Reihe von Angriffen, welche die Stabilität des Internets gefährden. Um die Robustheit des Internet-Routings zu verbessern, entwickelt die SIDR Arbeitsgruppe der IETF eine RPKI zur Validierung der Präfix-Zugehörigkeit von autonomen Systemen. Auf lokalen Cache-Servern werden Zertifikate für IP-Präfixe validiert und Routern über das RPKI-RTR Protokoll zur Verfügung gestellt. Mithilfe der Validierungsdatensätze des Cache-Servers kann ein Router valide Routen-Annoncierung von gefälschten unterscheiden. In dieser Arbeit wird eine Bibliothek zur Nutzung des Client-seitigen RPKI-RTR Protokolls entworfen und implementiert. Mithilfe der Bibliothek soll es ermöglicht werden, vorhandene BGP-Daemons um RPKI-Unterstützung zu erweitern sowie Test- und Analyseprogramme für RPKI-Cache-Server zu entwickeln. Diese Arbeit gibt eine Übersicht über die vorhandenen BGP-Sicherheitsprobleme und erläutert mögliche Lösungen. Des Weiteren wird die Funktionsweise der RPKI und des RPKI-RTR-Protokolls erläutert. Es erfolgt eine Dikussion des Architekturentwurfs und derImplementierung der Bibliothek. Abschließend wird die Performanz der Bibliothek evaluiert und die Validierungsergebnisse aktueller BGP-Annoncierungen analysiert.

One of the most fragile and vulnerable parts of the Internet is its core routing- infrastructure. To improve the robustness of the internet routing, the SIDR working group of the IETF recently developed a RPKI that certifies network prefixes as belonging to certain autonomous systems. A BGP-Router retrieves a list of certified origin ASs for network routes with the RPKI-RTR protocol from a local certificate validation server. The validation records enable a router to distinguish authorized route annoncements from forged ones. In this bachelor thesis, a client-sided RPKI-RTR library is developed. The library shall simplify the enhancement of existent BGP server implementations with RPKI support and the development of RPKI cache server analysis and test tools. This thesis gives an overview of BGP security issues and possible countermeasures in particular it describes the functionality of the RPKI and the RPKI-RTR Protocol. Furthermore the devolpment and implementation of a client-sided RTR C library is discussed. Finally the performance of the library is evaluated and the validation results of current BGP-Announcements are analyzed.