Zahlreiche Telekom-Kunden hatten am Morgen Probleme, sich etwa mit Microsofts Online-Diensten zu verbinden. Grund ist wohl ein BGP-Fehler.
Am heutigen Donnerstagmorgen haben zahlreiche Endkunden, die die DSL-Dienste der Deutschen Telekom nutzen, massive Verbindungsprobleme zu großen Online-Diensten. Betroffen sind hier wohl vor allem Microsofts Online-Dienste wie Azure, Teams oder auch Office 365. Wie aus dem Fehlerportal Allestörungen hervorgeht, waren aber auch weitere Dienste betroffen.
Sowohl die Telekom selbst als auch Microsoft 365 bestätigen inzwischen die Probleme. Die Ursache des Fehlers liegt dabei aber offenbar nicht direkt bei der Telekom selbst, sondern bei einem anderen ISP, der einen BGP-Fehler verursacht. Microsoft hat eigenen Angaben zufolge Gegenmaßnahme eingeleitet.
BGP wird für die grundlegende Routing-Infrastruktur des Internets genutzt, um einzelne autonome Systeme (AS) der Internetprovider miteinander zu verbinden und so das Internet zu bilden. Im Fall des Fehlers heute Morgen sieht es derzeit danach aus, dass ein anderer ISP den IPv4-Adressraum der Deutschen Telekom als seinen eigenen ausgibt und dies so auch per BGP ankündigt, worauf unter anderem auf Twitter hingewiesen wird. Das falsche Routing wiederum führt letztlich zu den beobachteten Verbindungsfehlern.
Betroffene Nutzer und Kunden, auch aus der Golem.de-Redaktion, melden zwar inzwischen, dass der Fehler wieder behoben ist. Je nachdem, wie lange die fälschlicherweise genutzte Route aber noch auf einzelnen Routern etwa in einem Cache vorgehalten wird, könnte es weiter zu einigen Einschränkungen kommen. Die Telekom empfiehlt hier einen Neustart des eigenen Routers, wodurch die Probleme behoben werden könnten.
BGP ist alt und wird nur schlecht gesichert
BGP selbst ist vergleichsweise alt und enthält grundlegend keinerlei Sicherheitsmechanismen. Das wiederum führt immer wieder zu sogenannten Route-Leaks oder aber auch dem bösartigen Route-Hijacking und damit verbundenen Fehlern. Um dagegen vorzugehen, kann auf Route Origin Validation (ROV) gesetzt werden, also die Überprüfung von BGP-Routen. Als Grundlage dienen dafür kryptographische Schlüssel, Zertifikate und die Resource Public Key Infrastructure (RPKI). Damit lässt sich validieren, ob die Ankündigung von BGP-Routen von einem bestimmten Netzwerk ausgehen darf oder nicht.
Der Netzwerkdienstenanbieter Cloudflare hatte im vergangenen Jahr mit einer Social-Media-Kampagne und der Seite Is BGP safe yet? versucht, Aufmerksamkeit auf die Probleme mit BGP zu lenken sowie ISPs darüber dazu zu drängen, BGP sicher zu implementieren. An dem Vorgehen gab es Kritik von ISPs.
Nachtrag vom 29. Juli 2021, 12:18 Uhr
Der für das BGP-Hijacking der Telekom offenbar verantwortliche bulgarische Provider ist laut dem Monitoringdienst BGPStream von Cisco am heutigen Morgen für eine Reihe weiterer Hijackings anderer Netzwerke verantwortlich.
Microsoft Office: BGP-Fehler macht zahlreichen Telekom-Kunden Probleme - Golem.de - Golem.de
Read More
No comments:
Post a Comment