Het ‘border gateway protocol’, een veel gebruikte technologie om informatie efficiënt door internet te sturen, is alleen veilig omdat internetaanbieders en telecombedrijven er voorzichtig mee omspringen. De beveiliging moet sterk worden verbeterd.
Een router geeft met bgp aan naburige routers door welke ip-adressen via welke internetaanbieder bereikbaar zijn. Een verkeerd ingestelde router of een apparaat waarvan de besturing is overgenomen door een hacker kan een chaos veroorzaken door zichzelf als de meest efficiënte poort tot een niet op internet aangesloten netwerk te benoemen. Dit kan doordat de huidige generatie routers onvoldoende authenticatie gebruiken bij het versturen en ontvangen van informatie. Ook zouden kwaadwillenden zichzelf ip-adressen toe kunnen eigenen of internetverkeer kunnen overnemen.
Weinig problemen
Volgens router-expert Iljitsch van Beijnum zijn er tot nu toe weinig problemen geweest met bgp, omdat internetbedrijven secuur te werk gaan. In het huidige bgp zijn er uitgebreide filtermogelijkheden om onbetrouwbare informatie uit de eigen routers te houden. Zo zijn er filtermogelijkheden op niet bestaande ip-adressen. Kleinere isp’s filteren over het algemeen maar zeer beperkt de informatie die ze van andere internetaanbieders krijgen. Zij vertrouwen erop dat iedere aanbieder zijn eigen klanten afdoende filtert. Als dat niet zo is, kunnen er bedoelde of onbedoelde fouten in de bgp-informatie terechtkomen. Van Beijnum stelt dat internationale internetaanbieders deze fouten er wel uithalen met complexer filterbeheer.
Toch meent ook Van Beijnum dat authenticatie van bgp-verkeer met digitale certificaten een betere oplossing is, dan alleen te vertrouwen op goed beheer door de sector. Hij wijst op twee voorstellen om bgp uit te rusten met mogelijkheden voor digitale authenticatie: ‘secure bgp’ (s-bgp) en ‘secure origin bgp’ (sobgp). Het eerste voorstel is al twee jaar oud en vergt veel investeringen. S-bgp haalt encryptie en authenticatie naar de router zelf toe. Bestaande routers zijn niet krachtig genoeg om dit zelf te doen. Cisco stelde eind vorig jaar sobgp voor, dat het mogelijk maakt de authenticatie van bgp-informatie uit te voeren op andere hardware. Ook rond sobgp blijft het al enkele maanden stil. < BR>
