Autonomes System (ASN)

Das Internet ist kein monolithisches Netzwerk, sondern ein Verbund aus über 100.000 unabhängig verwalteten Netzwerken. Jedes dieser Netzwerke wird als Autonomes System (AS) bezeichnet und erhält von einer Regional Internet Registry (RIR) eine weltweit eindeutige Nummer — die Autonomous System Number (ASN). Diese Nummer dient als Identifikator im globalen Routing und ermöglicht es, Datenpakete über Netzwerkgrenzen hinweg korrekt zuzustellen.

Aufbau und Nummernvergabe

ASN-Nummern werden von den fünf Regional Internet Registries vergeben: RIPE NCC (Europa, Naher Osten, Zentralasien), ARIN (Nordamerika), APNIC (Asien-Pazifik), LACNIC (Lateinamerika) und AFRINIC (Afrika). Ursprünglich waren ASNs 16-Bit-Zahlen (1 bis 65.535), doch seit der Einführung von 4-Byte-ASNs (RFC 6793) stehen über vier Milliarden Nummern zur Verfügung. Typische Inhaber eines AS sind Internet-Service-Provider, Cloud-Anbieter, große Unternehmen mit eigener Netzwerkinfrastruktur und Content-Delivery-Netzwerke.

BGP — das Routing-Protokoll des Internets

Autonome Systeme kommunizieren untereinander über das Border Gateway Protocol (BGP). BGP ist das einzige Routing-Protokoll, das im globalen Internet für den Austausch von Erreichbarkeitsinformationen zwischen autonomen Systemen eingesetzt wird. Jedes AS kündigt seine IP-Adressbereiche (Präfixe) über BGP an und informiert benachbarte Netzwerke darüber, über welche Pfade diese Adressen erreichbar sind.

BGP basiert auf Vertrauen: Ein AS akzeptiert die Routing-Ankündigungen seiner Nachbarn ohne kryptographische Verifizierung — eine architekturelle Schwachstelle, die BGP-Hijacking ermöglicht. Bei einem solchen Angriff kündigt ein bösartiges AS fremde IP-Präfixe an und leitet den Datenverkehr um. Resource Public Key Infrastructure (RPKI) und Route Origin Validation (ROV) sind Gegenmaßnahmen, die zunehmend implementiert werden.

RDAP als Abfrageprotokoll

Informationen zu einem Autonomen System lassen sich über RDAP (Registration Data Access Protocol) abfragen — den modernen Nachfolger des klassischen WHOIS-Protokolls. RDAP liefert strukturierte JSON-Daten über HTTPS und leitet die Anfrage automatisch an die zuständige RIR weiter. Zu den typischen Informationen gehören der Name des AS, die verwaltende Organisation, das Land, Registrierungsdatum und Kontaktdaten für Abuse-Meldungen.

ASN in der Sicherheitsanalyse

In der IT-Sicherheit sind ASN-Daten ein unverzichtbares Werkzeug. Sicherheitsanalysten nutzen ASN-Lookups in verschiedenen Szenarien:

Die angekündigten Präfixe eines AS zeigen alle IP-Adressbereiche, die dieses Netzwerk im Internet routet. In einer Schwachstellenprüfung ist diese Information der Ausgangspunkt für die Kartierung der externen Angriffsoberfläche: Jede IP-Adresse innerhalb dieser Präfixe ist potenziell aus dem Internet erreichbar und muss auf offene Dienste und Schwachstellen geprüft werden.

Praxistipp

Mit dem kostenlosen ASN-Lookup können Sie Autonome Systeme in Sekundenschnelle abfragen — Organisation, angekündigte IPv4- und IPv6-Präfixe, RIR-Zugehörigkeit und Kontaktdaten. Das Tool unterstützt sowohl die direkte Eingabe einer ASN-Nummer (z. B. AS13335) als auch die Auflösung einer IP-Adresse zum zugehörigen AS. Kombinieren Sie die ASN-Abfrage mit dem Blacklist-Check, um die Reputation einzelner IP-Adressen zu prüfen, und mit der WHOIS-Abfrage, um ergänzende Domain-Registrierungsdaten zu ermitteln.

Relevanz für Unternehmen

Für Unternehmen, die ein eigenes AS betreiben, ist die regelmäßige Überprüfung der angekündigten Präfixe essenziell. Fehlkonfigurationen in BGP können dazu führen, dass IP-Bereiche unbeabsichtigt nicht erreichbar sind oder — schlimmer — dass interne Netzwerkbereiche versehentlich im Internet angekündigt werden. Ein regelmäßiger Abgleich der tatsächlich angekündigten Präfixe mit der geplanten Routing-Policy gehört zur Netzwerkhygiene und ist Bestandteil einer umfassenden Zero-Trust-Strategie.