60 procent van de providers blijkt nog nooit gehoord te hebben van een nieuwe beveiligingsinfrastructuur die zij moeten opbouwen om omleidingen van het internetverkeer te voorkomen. Deze nieuwe infrastructuur maakt het mogelijk om te kiezen tussen conflicterende IP-routes op basis van echtheidscertificaten. Providers zien daarnaast op tegen de nieuwe investeringen en voelen huiver om de bereikbaarheid van het eigen netwerk in handen te leggen van één centrale, certificerende instantie.
Om een nieuwe golf van cybercriminaliteit voor te zijn begint internetorganisatie RIPE in januari 2011 met een nieuwe technische maatregel: het uitreiken van echtheidscertificaten aan de netwerken van internet service providers en andere netbeheerders. De organisatie hoopt internet service providers ervan te kunnen overtuigen internetverkeer alleen door te sturen aan gecertificeerde netwerken. Dat kan door het opbouwen van een Resource Public Key Infrastructure (RPKI).
Internetonderzoeker Benno Overeinder van NLnet Labs polste in februari en maart 2010 de bereidheid van 130 Europese providers om tijd en geld te investeren in de Resource Public Key Infrastructure (RPKI). Dat deed hij samen met Maarten Botterman van GNKS Consult in opdracht van de Europese onderzoeksorganisatie ENISA .
RPKI vergroot complexiteit netwerkbeheer
60 procent van de providers blijkt volgens het onderzoek nog nooit gehoord te hebben van de nieuwe beveiligingsinfrastructuur die zij moeten opbouwen om deze certificaten te benutten.
Niet alle providers die al wel van RPKI hebben gehoord, zijn daarnaast meteen enthousiast. Zij zien op tegen de investering die nodig is om te leren omgaan met het protocol RPKI. Ook bestaat er huiver om de bereikbaarheid van het eigen netwerk in handen te leggen van één centrale, certificerende instantie.
Overeinder: 'RPKI vergroot de complexiteit van het netwerkbeheer voor providers. Bovendien is er altijd een klein risico dat, wanneer RPKI vastloopt, netwerken helemaal niet meer bereikbaar zijn.' Volgens de onderzoeker is er echter altijd een fall-back strategie mogelijk: 'om terug te vallen op niet gevalideerde routes.'
Overeinder spreekt van een 'risico-afweging': 'tussen de mogelijke schade wanneer een netwerk gekaapt wordt en de extra complexiteit die RPKI oplevert.'
SURFnet test RPKI
Toch vindt Overeinder het belangrijk om 'providers en andere netbeheerders te overtuigen RPKI te gaan gebruiken'.
Surfnet gaat samen met NLnet Labs in een pilot-studie bekijken wat de uitdagingen zijn om RPKI operationeel in te zetten op hun netwerken. 'Om te kijken wat het biedt, wat barrières zijn en wat de voordelen.' Een RPKI test-infrastructuur is sinds een klein jaar in de lucht: 'Het kan gecerfiticeerd en geautoriseerd worden. Routers in bijvoorbeeld Texas weten welk IP-adresblok van Surfnet is. Niemand kan daar nog aankomen.'
Serie: Routingsysteem BGP vormt beveiligingsrisico
Overige delen:
– 'Routingsysteem internet is doelwit criminelen'
– RIPE start met secure routing certificaten
Benno Overeinder
Nadat hij in 1989 zijn studie Informatica aan de Universiteit van Amsterdam had afgerond, promoveerde Benno Overeinder aan diezelfde universiteit op parallelle en gedistribueerde simulatietechnieken. Na zijn promotie zette hij dit werk als onderzoeker voort tot aan 2001. Hij ontwikkelde onder meer parallelle simulatietechnieken voor natuurkundige en biologieproblemen, zoals koraal- en sponsgroei. Ook parallelliseerde hij voor de autoindustrie software voor het simuleren van autobotsingen, om ervoor te zorgen dat deze kon draaien op computerclusters.
Tussen 2001 en 2007 ontwikkelde Overeinder middleware voor intelligente gedistribueerde systemen als universitair docent aan de Vrije Universiteit.
Sinds 2007 is hij onderzoeker bij NLnet Labs op het gebied van internetarchitectuur, internetrouting en de beveiliging daarvan. Hij omschrijft zijn functie ook wel als 'onderzoeksingenieur', omdat hij zijn onderzoek wil vertalen naar bruikbare toepassingen.
