‘Onder de motorkap’ van internet wordt het border gateway protocol (BGP) gebruikt voor uitwisseling van routeringsinformatie tussen netwerken. In de loop der jaren is er het nodige aan het protocol verbeterd, maar een van de basisprincipes is hetzelfde gebleven: vertrouwen tussen netwerken is het uitgangspunt. In de praktijk zien we echter twee problemen die regelmatig voorkomen en hieraan gerelateerd zijn.
Die twee fouten zijn:
- Onopzettelijke fouten in de BGP-configuratie op routers, bijvoorbeeld door typfouten van ip-adressen en subnetmasks, zorgen ervoor dat netwerkbeheerders onbedoeld routes adverteren waar zij niet verantwoordelijk voor zijn. Hierdoor wordt het betreffende netwerk onbereikbaar vanuit netwerken die deze foutieve route accepteren.
- Kwaadwillenden proberen opzettelijk verkeer naar bepaalde ip-adressen om te leiden door daar routes voor te adverteren. Gebruikers die zo’n route accepteren komen op de verkeerde plek uit. Het doel hiervan kan bijvoorbeeld zijn om accountgegevens te verzamelen van bezoekers en vervolgens (digitaal) geld buit te maken.
De frequentie en de impact van dit type incidenten is de afgelopen jaren sterk gestegen. Het is daarom hoog tijd om routering op internet veiliger te maken. Gelukkig is er inmiddels een oplossing om een groot deel van deze problemen te voorkomen, namelijk resource public key infrastructure (RPKI). Met RPKI is het mogelijk om van eigenaren van ip-blokken te registreren bij welk netwerk ze horen en wat de omvang van het blok in de routeringstabellen hoort te zijn. Door middel van een digitale handtekening kunnen deze op correctheid worden gecheckt.
Stappen
De ingebruikname van RPKI bestaat uit twee stappen. De eerste stap is het registreren van RPKI-informatie van alle aan het netwerk toegewezen ip-blokken. De tweede is het controleren van RPKI-informatie voor alle routes die worden ontvangen vanuit andere netwerken, om hier vervolgens op te handelen. Als een ip-blok niet aan de registratie voldoet, moet de route worden geweigerd. De regionale internet-registries, die verantwoordelijk zijn voor het toewijzen van ip-adressen aan isp’s, zorgen ervoor dat het registeren van de RPKI-informatie mogelijk is en gevalideerd kan worden door derden.
Het risico van BGP staat als een paal boven water. Het kan zijn dat gebruikers van je netwerk worden omgeleid naar een ander (frauduleus) netwerk. Tevens kan het voorkomen dat een ander netwerk ten onrechte ip-adressen van jouw netwerk adverteert, waardoor bezoekers niet meer bij jou uitkomen, maar bij een ander, mogelijk kwaadwillend, netwerk. Het toevoegen van RPKI-validatie is de oplossing om routering op internet te beveiligen.
Auteur Wido Potters is sales- en supportmanager bij BIT.
(Deze bijdrage verscheen eerder in Computable-magazine #01/2019)
