Nu de IPv4-adressen aan het opraken zijn, neemt de kans toe dat providers claimen ip-adressen te bezitten die nooit aan hen zijn uitgedeeld. 'Geen haan die daar naar kraait, maar het kan er wel toe leiden dat hele netwerken onbereikbaar worden', zegt product manager Alex Band van RIPE NCC. Om die reden is het volgens hem belangrijk dat providers gebruik gaan maken van de Resource Public Key Infrastructure (RPKI). Dat maakt het mogelijk om te kiezen tussen conflicterende ip-routes op basis van echtheidscertificaten.
'Het gebeurt dagelijks dat een netwerkbeheerder per ongeluk, via een foutieve configuratie van zijn router, ten onrechte aankondigt een blok ip-adressen te bezitten. Dat heet route leaking', legt Band uit. 'De oorzaak kan een simpele typefout zijn. Omdat routeringsprotocol BGP in veel gevallen gebaseerd is op vertrouwen, nemen andere netwerkbeheerders de fout echter wel over. Dat gebeurde bijvoorbeeld ook tijdens het YouTube-incident in Pakistan (zie kader). Maar nu de IPv4-adressen aan het opraken zijn, neemt de kans toe dat providers claimen ip-adressen te bezitten die nooit aan hen zijn uitgedeeld. Geen haan die daar naar kraait, maar het kan er wel toe leiden dat hele netwerken onbereikbaar worden.'
'Dus als het netwerk van Google ge-hijackt wordt, kunnen de domeinen google.com, youtube.com en gmail.com platgaan, afhankelijk van in welk adresblok de servers zich bevinden', legt Band uit. 'Het is nog een lange weg voordat het hele internet IPv6 heeft geïmplementeerd en operationeel gebruikt. Iedereen heeft veertien jaar duimen zitten draaien. De problemen met internet worden eerst groter voordat ze kleiner worden.'
Resource Public Key Infrastructure (RPKI)
Een oplossing tegen dat probleem is de Resource Public Key Infrastructure (RPKI). Dat maakt het mogelijk om te kiezen tussen conflicterende ip-routes op basis van echtheidscertificaten. 'Via RPKI-certificaten kunnen providers controleren of een andere provider echte de legitieme eigenaar is van een bepaald adresblok', zegt Band.
Internetorganisatie RIPE is in januari 2011 begonnen met het uitreiken van RPKI-certificaten aan de netwerken van internet service providers. De organisatie hoopt providers ervan te kunnen overtuigen internetverkeer alleen door te sturen aan gecertificeerde netwerken.Tot nu toe hebben bijna driehonderd van de ongeveer zevenduizend providers die bij RIPE NCC zijn aangesloten, aan deze oproep gehoor gegeven. Dat is zeer belangrijk volgens Band: 'Je moet 100 procent kunnen vertrouwen op de aankondiging van een provider dat hij een bepaald blok ip-adressen aan zijn netwerk toevoegt.'
Nu is in beperkte mate mogelijk om te controleren of een provider daadwerkelijk de legitieme gebruiker van een adresblok is. 'Wereldwijd zijn er ongeveer dertig organisaties die Internet Routing Registry-databases bijhouden van uitgedeelde ip-blokken', aldus Band. 'Providers kunnen de informatie uit die databases gebruiken om te filteren. Omdat de informatie uit die databases echter niet in alle gevallen 100 procent correct is, maken steeds minder providers er gebruik van.'
Vrijwillige deelname
Providers hoeven volgens Band niet te vrezen voor hun autonomie, wanneer ze RPKI gaan gebruiken. 'Het is niet zo dat RIR's als een soort routing-olitie op een grote rode knop kunnen drukken om de toegang tot bepaalde providernetwerken te verbieden. Dat willen we niet en dat zouden onze leden ook niet toestaan. Bovendien kan het technisch gezien niet eens: als een RIR het certificaat van een provider intrekt, dan is die daarmee niet van internet verdwenen. Via RPKI-certificaten kunnen providers alleen maar controleren of een andere provider echt de legitieme gebruiker is van een bepaald adresblok. RPKI-deelname gebeurt op basis van vrijwilligheid.'
Bovendien kunnen providers kiezen volgens Band: 'Ze kunnen gebruikmaken van de infrastructuur van RIPE NCC om certificaten aan te vragen of te controleren, maar ze kunnen ook zelf een eigen certificeringsinfrastructuur opzetten. In eerste instantie deelt RIPE NCC in onze regio RPKI-certificaten uit. Maar vanaf het tweede kwartaal wordt een gedistribueerd certificeringsysteem opgezet, die providers ook de mogelijkheid geeft subnetwerken van klanten te certificeren.'
Internet moet solide zijn
'Het internet hangt aan elkaar van de 'random acts of kindness'', vervolgt Band zijn verhaal. 'Vanaf de jaren tachtig weet de internetgemeenschap al dat BGP eigenlijk beveiligd moet worden. Sinds de milleniumwisseling wordt er over gediscussieerd, maar het is een moeilijke discussie omdat providers hun autonomie niet willen verliezen. Het internet is oneindig veel groter en complexer geworden, en daarmee ook de belangen. Het wordt steeds belangrijker dat we een solide infrastructuur hebben, zodat het internet altijd blijft draaien.'
RIPE NCC
RIPE NCC is de vereniging die, dankzij contributie van zevenduizend providers in Europa, Rusland, Midden-Oosten en delen van Centraal Azië de ip-adressen verdeelt in die regio. 'Iedere ISP in die regio, of deze zich in Wladiwostok, Lissabon, Dubai of Amsterdam bevindt, neemt voor nieuwe blokken met ip-adressen contact op met deze organisatie aan de Singel in Amsterdam', vertelt product manager Alex Band van RIPE NCC. Daarnaast verzorgt de vereniging andere diensten, zoals het beheer van één van de dertien root servers van DNS.
YouTube-incident Pakistan
Op zondag 24 februari 2008 was YouTube wereldwijd twee uur onbereikbaar door een onhandige binnenlandse censuurpoging van Pakistan. Het land routeerde binnenlandse ip-verzoeken om YouTube-filmpjes te bekijken naar een binnenlandse server, waar de verzoeken werden weggegooid. De verantwoordelijke technici maakten echter een technische fout: zij stuurden de 'route-advertentie' ook naar buiten Pakistan. Bovendien was het onjuiste Pakistaanse adres specifieker dan het echte YouTube-adres, waardoor het de voorkeur kreeg. Het gevolg was dat ook buitenlandse YouTube-verzoeken naar Pakistan werden doorgestuurd en vervolgens werden weggegooid. 'Internetroutingprotocol BGP kiest namelijk de kortste route. Als er vier stappen nodig zijn om bij het echte YouTube-domein te komen en drie om een Pakistaanse server te bereiken, kiest BGP voor het laatste', legt Band uit.
Aardig artikel, maar het YouTube-incident Pakistan moet nog plaats vinden??
Ik vraag me toch echt af of het wel een reëel risico is dat een provider een blok IP adressen “inpikt”. De kans op ontdekking is toch bijna 100%? En dan kom je als provider op zwarte lijsten en wil niemand meer met je peeren. Dan ben je nog verder van huis. Toch?