RPKI für Praktiker: Funktionsweise, Nutzen und Implementierungsphasen

RPKI (Resource Public Key Infrastructure) ist für viele Netzbetreiber der pragmatischste Hebel, um BGP-Routing sicherer zu machen, ohne das Internet „neu zu erfinden“. Während klassische BGP-Mechanismen historisch auf Vertrauen und bilateralen Policies basieren, liefert RPKI eine kryptografisch abgesicherte Antwort auf eine zentrale Frage: Darf dieses autonome System (ASN) dieses IP-Präfix überhaupt originieren? Genau hier setzt RPKI an – und adressiert damit eine der häufigsten Ursachen für großflächige Störungen und Sicherheitsvorfälle: falsche Origin-Ankündigungen, ob durch Fehlkonfiguration, Route Leaks mit Seiteneffekten oder gezielte BGP Hijacks. Für Praktiker ist vor allem wichtig: RPKI ist nicht „alles oder nichts“. Sie können in klaren Phasen starten, schnell messbaren Nutzen erzielen und die Einführung schrittweise härten – von Visibility und Auditierbarkeit bis hin zu konsequentem Enforcement (ROV) auf Edge- und Peering-Routern. Dieser Leitfaden erklärt die Funktionsweise von RPKI verständlich, zeigt den operativen Nutzen und beschreibt Implementierungsphasen, die in realen Netzwerken funktionieren.

Was RPKI löst – und was nicht

RPKI schützt primär vor falscher Route-Originierung. Das bedeutet: Wenn ein AS ein Präfix ankündigt, prüft RPKI, ob dieses AS gemäß kryptografisch signierter Autorisierung (ROA) dazu berechtigt ist. Dadurch werden viele klassische Hijack-Szenarien deutlich schwerer – insbesondere „blinde“ oder opportunistische Fehlankündigungen.

• RPKI hilft besonders gegen: falsche Origin-AS-Ankündigungen, Subprefix-Hijacks (wenn ROAs passend gesetzt sind), unbeabsichtigte Fehl-Originierung.
• RPKI hilft nur indirekt gegen: Route Leaks (Policy-Fehler im Export), Traffic-Engineering-Missbrauch, Path-Manipulation ohne Origin-Wechsel.
• RPKI löst nicht: alle BGP-Probleme. Ein Leak kann weiterhin Traffic umleiten, obwohl die Origin korrekt ist; auch kann ein korrekt autorisierter Origin dennoch schlechte Policies exportieren.

Als praktischer Merksatz: RPKI beantwortet die „Wer darf originieren?“-Frage, aber nicht automatisch die „Wer darf transitieren?“ oder „Über welche Beziehung darf exportiert werden?“-Frage. Für Route-Leak-Schutz benötigen Sie zusätzlich saubere Export-Policies, BGP Roles, Communities, Prefix- und AS-Path-Filter sowie Max-Prefix-Grenzen.

Die Bausteine von RPKI: ROA, VRP und ROV

RPKI besteht aus wenigen Kernkonzepten, die Sie im Betrieb sauber voneinander trennen sollten.

ROA: Route Origin Authorization

Eine ROA ist eine signierte Aussage: „Das Präfix X darf vom AS Y originieren (bis zu einer bestimmten maximalen Präfixlänge).“ ROAs werden typischerweise über den jeweiligen Regional Internet Registry (RIR) Bereich verwaltet (z. B. RIPE NCC für Europa). Eine praxisnahe Einführung in ROAs und RPKI-Services finden Sie bei RIPE NCC: RPKI und Zertifizierung von Ressourcen.

VRP: Validated ROA Payload

Ein VRP ist das validierte Ergebnis, das ein RPKI-Validator aus ROAs erzeugt: eine Liste aus (Präfix, Origin-AS, MaxLength). Router konsumieren in der Regel nicht direkt die ROAs, sondern VRPs, weil VRPs bereits geprüft und „zusammengefasst“ sind.

ROV: Route Origin Validation

ROV ist die eigentliche Policy-Entscheidung im Routing: Der Router bewertet eine BGP-Route anhand der VRPs als valid, invalid oder unknown. Der entscheidende Punkt ist die Umsetzung:

• valid: Route entspricht einer ROA (Origin-AS erlaubt, Präfixlänge innerhalb MaxLength).
• invalid: Route widerspricht einer ROA (falscher Origin-AS oder zu spezifisches Präfix).
• unknown: Für dieses Präfix existiert keine passende ROA.

„Unknown“ ist in vielen Netzen anfangs der Normalfall, weil RPKI-Abdeckung global noch nicht 100 % erreicht. Deshalb ist die Einführung in Phasen so wichtig: Sie möchten zunächst sehen, was „invalid“ wäre, bevor Sie hart droppen.

Wie die Validierung technisch läuft: Validator, TALs und RTR

Operativ funktioniert RPKI in den meisten Umgebungen so: Ein RPKI-Validator lädt kryptografisch signierte Objekte (ROAs, Zertifikate, Listen) aus den RPKI-Repositories, prüft Signaturen und Gültigkeiten und stellt daraus VRPs bereit. Router abonnieren diese VRPs typischerweise über ein Protokoll wie RPKI-to-Router (RTR) oder dessen moderne Varianten.

Trust Anchor und TALs

Damit der Validator weiß, welchen „Wurzeln“ er vertrauen soll, nutzt er Trust Anchors – praktisch häufig als TALs (Trust Anchor Locators). Diese verweisen auf die RIR-Trust-Anker. Der Validator baut dann eine Vertrauenskette auf, ähnlich wie bei Web-PKI, aber speziell für Internetressourcen. Hersteller- und Community-Ressourcen zur Validator-Praxis und Rollout-Strategien finden Sie unter anderem bei MANRS, das konkrete Maßnahmen für Routing-Sicherheit beschreibt.

Cache- und Verteilmodell

Ein verbreitetes Muster ist ein zentraler Validator (oder ein redundantes Paar) im Management-Netz, der VRPs an Router in verschiedenen POPs verteilt. Wichtig sind dabei:

• Redundanz: Mindestens zwei Validator-Instanzen, idealerweise in getrennten Failure Domains.
• Stabilität: Saubere Update-Intervalle, Monitoring von Fetch/Validation-Errors.
• Security: Zugriff auf RTR-Feeds nur aus autorisierten Netzen; Management-Plane schützen.

MaxLength verstehen: Der häufigste Praxisfehler

Der MaxLength-Parameter in ROAs ist ein zweischneidiges Schwert: Er ermöglicht legitime Deaggregation (z. B. Traffic Engineering), erhöht aber gleichzeitig die Angriffsfläche für Subprefix-Hijacks, wenn er zu großzügig gesetzt ist. Praktisch gilt: Setzen Sie MaxLength so restriktiv wie möglich – und nur so weit offen wie betrieblich nötig.

Eine einfache Regel für die Bewertung lautet: Je größer der Unterschied zwischen dem aggregierten Präfix und der maximal erlaubten spezifischen Länge, desto größer der „Spielraum“ für Missbrauch. Sie können diesen Spielraum als Differenz ausdrücken:

ΔL = L_max − L_agg

• L_agg: Präfixlänge des aggregierten, geplanten Announcements (z. B. /20)
• L_max: MaxLength in der ROA (z. B. /24)
• ΔL: Erlaubte zusätzliche Spezifität (größer = mehr potenzielle Angriffsfläche)

Ein kleiner Wert ist in der Regel besser, solange er Ihre legitime Betriebsrealität abdeckt. Wenn Sie beispielsweise nur /23 und /24 als TE nutzen, setzen Sie MaxLength nicht pauschal auf /24 für jeden Aggregate, sondern differenziert nach tatsächlichem Bedarf.

Nutzen im Betrieb: Was RPKI messbar verbessert

RPKI ist nicht nur „Security“, sondern auch Reliability. In vielen Netzen reduziert ROV die Wahrscheinlichkeit, dass man fehlerhafte Routen übernimmt, die zu Blackholing, Umwegen oder instabilen Pfaden führen. Der Nutzen lässt sich in drei Kategorien beschreiben:

• Schutz vor falschen Origins: „Invalid“ wird sichtbar und kann gefiltert werden, bevor Traffic betroffen ist.
• Schnellere Incident-Diagnose: RPKI-Status liefert ein klares Signal im NOC: Ist das eine legitime Route oder nicht?
• Auditierbarkeit: Sie können nachweisen, dass Ihre Prefixes autorisiert sind (ROAs) und dass Sie Validierung anwenden (ROV-Policy, Monitoring).

Für den strukturierten Einstieg in Routing-Security und betriebliche Maßnahmen ist auch die Standard- und Best-Practice-Landschaft der IETF hilfreich, etwa über den IETF SIDROPS Working Group Überblick, die zentrale Dokumente rund um RPKI und BGP-Sicherheitsmechanismen betreut.

Implementierungsphasen: RPKI in der Praxis einführen

Eine erfolgreiche Einführung folgt einem Reifegradmodell. Der wichtigste Grundsatz lautet: erst Sichtbarkeit schaffen, dann durchsetzen. So vermeiden Sie Outages durch falsch gepflegte ROAs oder unklare Upstream-Policy-Interaktionen.

Phase 1: Vorbereitung und Inventarisierung

Bevor Sie technische Komponenten installieren, schaffen Sie Klarheit über Ressourcen und Ankündigungsrealität:

• Prefix-Inventar: Welche IPv4/IPv6-Prefixes besitzen Sie? Welche werden aktiv announced? Welche sind reserviert?
• Origin-ASN(s): Welche ASNs originieren welche Prefixes? Gibt es Multi-Origin (MOAS) Szenarien?
• Deaggregation: Welche spezifischen Längen announcen Sie im Normalbetrieb (TE, Anycast, DDoS-Mitigation)?
• Abhängigkeiten: Gibt es Provider-Managed Announcements, DDoS-Scrubbing, Cloud-Edges oder CDN-Ankündigungen in Ihrem Namen?

In dieser Phase passieren die meisten späteren Fehler: Wenn Sie nicht wissen, wer Ihre Prefixes wann und wie announct, setzen Sie ROAs unvollständig oder zu restriktiv – und erzeugen selbst „invalid“-Routen.

Phase 2: ROAs erstellen – konservativ und korrekt

Nun erstellen Sie ROAs für Ihre Prefixes. Ziel ist eine vollständige, aber nicht übermäßig offene Autorisierung.

• Start mit aktiven Prefixes: Priorisieren Sie Präfixe, die produktiven Traffic tragen.
• Restriktive MaxLength: Erlauben Sie nur die Längen, die Sie wirklich announcen.
• Mehrere Origins: Wenn mehrere ASNs legitim originieren (z. B. Anycast oder Migrationsphasen), bilden Sie das bewusst ab – und dokumentieren Sie den Zeitplan.
• Change-Prozess: Jede Routing-Änderung (neue TE-Länge, neues ASN, neues POP) braucht eine ROA-Änderung als Pflichtschritt.

Wichtig ist, ROA-Änderungen wie produktionskritische Changes zu behandeln: mit Review, Rollback-Plan und Monitoring. Für RIR-spezifische Bedienung bieten die jeweiligen RIR-Portale und Dokumentationen die praktische Anleitung, zum Beispiel RIPE NCC RPKI-Portal und Guides.

Phase 3: Validator aufsetzen und Monitoring etablieren

Jetzt folgt die technische Pipeline. Sie benötigen einen Validator (idealerweise redundant), der VRPs bereitstellt. Wichtiger als die konkrete Software ist die Betriebsfähigkeit:

• Verfügbarkeit: Zwei Validatoren, Health-Checks, Alerting auf Fetch- und Validation-Fehler.
• Zeit: NTP/Zeitsynchronisation ist kritisch, weil Zertifikate Gültigkeitsfenster haben.
• Observability: Dashboards für Anzahl VRPs, Fetch-Dauer, Serial/Session-Status, Error-Raten.
• Security: Management-Zugriffe hart segmentieren; RTR-Feed nur intern, wenn möglich authentifiziert.

Parallel definieren Sie, wie NOC und SecOps mit „invalid“ umgehen: Ist „invalid“ automatisch ein Incident? Wer prüft ROA-Fehler vs. echte Hijacks? Welche Eskalationswege gibt es?

Phase 4: ROV im Router aktivieren – zunächst ohne harte Drops

In vielen Netzen ist der beste Einstieg „ROV sichtbar machen“, bevor Sie filtern. Praktisch bedeutet das: Router klassifizieren Routen, aber „invalid“ wird zunächst nur markiert oder depriorisiert, nicht gedroppt.

• Tagging: Routen je nach Status mit Communities/Local-Policy markieren.
• Prefer valid: Valid-Routen bevorzugen, ohne invalid sofort zu verwerfen (vorsichtige Stufe).
• Telemetry: Anteil valid/invalid/unknown pro Peer messen; Trends beobachten.

Diese Phase ist entscheidend, um False Positives zu vermeiden und „unknown“-Anteile richtig zu interpretieren. „Unknown“ ist nicht automatisch „schlecht“ – es ist oft nur „noch nicht signiert“.

Phase 5: Enforcement – invalid konsequent filtern

Wenn Sie Daten gesammelt, ROAs bereinigt und die Auswirkungen verstanden haben, folgt die konsequente Stufe: invalid Routen werden verworfen. Das ist der Sicherheitsgewinn, den viele sich von RPKI erhoffen – aber er muss operativ vorbereitet sein.

• Scope definieren: Beginnen Sie mit ausgewählten Peers/Edges (z. B. Internet-Edge), nicht sofort überall.
• Ausnahmen vermeiden: Ausnahmen sind teuer. Wenn nötig, zeitlich begrenzen und dokumentieren.
• Runbooks: Klare Schritte, wenn legitime Routen „invalid“ werden (ROA prüfen, RIR-Portal, Upstream informieren).

Ein nützliches begleitendes Framework zur organisatorischen Umsetzung und zur Zusammenarbeit mit anderen Netzbetreibern ist MANRS, das Routing-Sicherheitsmaßnahmen inklusive RPKI und Filtering in einen operativen Kontext stellt.

Phase 6: Automatisierung und Policy-as-Code

Reife RPKI-Implementierungen behandeln ROAs als Teil eines kontrollierten Workflows. Ziel ist, dass Routing-Changes nicht „vergessen“, sondern deterministisch begleitet werden.

• IPAM-Integration: Prefix-Quellen aus IPAM/Inventory, um ROAs konsistent zu halten.
• CI/CD für Policies: Validierung von ROA-Änderungen (MaxLength, Origin-ASN, Konflikte) vor dem Rollout.
• Drift-Detection: Alarm, wenn announced Prefix/Origin nicht mehr zur ROA-Lage passt.
• Audit-Trails: Wer hat wann welche ROA geändert – inklusive Genehmigungen.

Praxisfallen: Wie RPKI im Alltag „wehtun“ kann

RPKI wird dann riskant, wenn es ohne Prozess eingeführt wird. Typische Stolpersteine sind gut bekannt – und vermeidbar.

• Falsche MaxLength: Zu restriktiv führt zu „invalid“ für legitime TE-Deaggregation; zu offen erhöht Angriffsfläche.
• ASN-Wechsel/Migration: Bei Migrationen werden alte ROAs nicht rechtzeitig angepasst; Ergebnis: Outage bei Enforcement.
• DDoS-Scrubbing/CDN: Drittparteien announcen in Ihrem Namen. Ohne abgestimmte ROAs werden diese Ankündigungen invalid.
• Multi-Origin ohne Dokumentation: MOAS kann legitim sein, erzeugt aber Verwirrung, wenn nicht sauber geplant.
• Validator-Probleme: Zeitdrift, Fetch-Errors, falsche TAL-Konfiguration oder fehlende Redundanz führen zu „Blindflug“.

Operationalisierung: Welche Metriken und Alarme Sie brauchen

Damit RPKI nicht nur „eingeschaltet“, sondern wirksam ist, brauchen Sie ein kleines Set an Pflichtmetriken. Diese Metriken sind sowohl für NOC-Betrieb als auch für Security-Reporting geeignet.

• ROV-Status-Verteilung: Anteil valid/invalid/unknown pro Peer, pro POP, pro Address-Family (v4/v6).
• Invalid-Events: Neue invalid Routen (Zuwachsrate), Top-Präfixe, Top-Origin-AS, Zeitpunkt.
• Validator Health: Fetch-Status, letzte erfolgreiche Validierung, VRP-Anzahl, Error-Zähler.
• Policy-Impact: Drops/Rejects aufgrund ROV (Counters) und Korrelation mit Traffic-Anomalien.

Als externe Referenz zur schnellen Validierung des RPKI-Status einzelner Präfixe in der Praxis ist ein Validator-Frontend hilfreich, zum Beispiel Cloudflare RPKI Validator. Nutzen Sie solche Tools vor allem für „Sanity Checks“ im Incident, nicht als Ersatz für eigene Validator-Infrastruktur.

RPKI im Incident: Schnell entscheiden, ob es ein Hijack oder ein ROA-Problem ist

Wenn ein Alarm auftaucht („Route invalid“, Traffic weg, Traceroute anders), müssen Sie in Minuten klären, ob es ein echtes Sicherheitsereignis oder ein eigenes Konfigurationsproblem ist. Ein pragmatischer Ablauf:

• Präfix identifizieren: Welches Präfix ist betroffen? Ist es ein Aggregate oder ein Subprefix?
• Origin-AS prüfen: Hat sich der Origin-AS geändert? Passt er zu Ihrer ROA?
• MaxLength prüfen: Ist das Prefix zu spezifisch im Vergleich zur ROA? (klassischer Fehler bei TE)
• Scope bestimmen: Betrifft es alle Peers oder nur einen? Global vs. regional?
• Handlung: Bei offensichtlichem Hijack: Upstream/Peers informieren und filtern/depriorisieren. Bei ROA-Fehler: ROA korrigieren, Change dokumentieren, anschließend Normalisierung beobachten.

Best Practices für den Start: Minimal-Blueprint, der in fast jedem Netz funktioniert

• ROAs für alle aktiven Prefixes mit restriktiver MaxLength und dokumentierten Ausnahmen.
• Zwei Validatoren mit Monitoring, NTP, sicheren Management-Zugängen und klaren Update-Intervallen.
• ROV zunächst „sichtbar“ (Tagging/Prefer valid), dann stufenweise Enforcement für invalid.
• Runbook und Ownership: Wer pflegt ROAs? Wer reagiert auf invalid? Wie läuft Eskalation?
• Automation als Zielbild: ROA-Änderungen als Pflichtteil jeder Routing-Änderung (Policy-as-Code/CI).

Wenn Sie RPKI als Produktiv-Control betrachten – mit Lifecycle, Monitoring, Change-Prozess und klaren Phasen – ist der Nutzen meist schnell spürbar: weniger Risiko durch falsche Origins, schnellere Diagnose im NOC und ein insgesamt robusteres Routing-Fundament. Für den fachlichen Unterbau und aktuelle Standardisierung ist die IETF SIDROPS-Arbeitsgruppe eine verlässliche Quelle, während RIPE NCC die praktische Umsetzung für viele europäische Betreiber abdeckt.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.