Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Is BGP rijp voor vervanging?

13 mei 2019 11:29 | Wido Potters
Topic Infrastructuur
Dit artikel delen:
vernieuwing

‘Onder de motorkap’ van internet wordt het border gateway protocol (BGP) gebruikt voor uitwisseling van routeringsinformatie tussen netwerken. In de loop der jaren is er het nodige aan het protocol verbeterd, maar een van de basisprincipes is hetzelfde gebleven: vertrouwen tussen netwerken is het uitgangspunt. In de praktijk zien we echter twee problemen die regelmatig voorkomen en hieraan gerelateerd zijn.

Die twee fouten zijn:

  • Onopzettelijke fouten in de BGP-configuratie op routers, bijvoorbeeld door typfouten van ip-adressen en subnetmasks, zorgen ervoor dat netwerkbeheerders onbedoeld routes adverteren waar zij niet verantwoordelijk voor zijn. Hierdoor wordt het betreffende netwerk onbereikbaar vanuit netwerken die deze foutieve route accepteren.
  • Kwaadwillenden proberen opzettelijk verkeer naar bepaalde ip-adressen om te leiden door daar routes voor te adverteren. Gebruikers die zo’n route accepteren komen op de verkeerde plek uit. Het doel hiervan kan bijvoorbeeld zijn om accountgegevens te verzamelen van bezoekers en vervolgens (digitaal) geld buit te maken.

De frequentie en de impact van dit type incidenten is de afgelopen jaren sterk gestegen. Het is daarom hoog tijd om routering op internet veiliger te maken. Gelukkig is er inmiddels een oplossing om een groot deel van deze problemen te voorkomen, namelijk resource public key infrastructure (RPKI). Met RPKI is het mogelijk om van eigenaren van ip-blokken te registreren bij welk netwerk ze horen en wat de omvang van het blok in de routeringstabellen hoort te zijn. Door middel van een digitale handtekening kunnen deze op correctheid worden gecheckt.

Stappen

"Het risico van BGP staat als een paal boven water"

De ingebruikname van RPKI bestaat uit twee stappen. De eerste stap is het registreren van RPKI-informatie van alle aan het netwerk toegewezen ip-blokken. De tweede is het controleren van RPKI-informatie voor alle routes die worden ontvangen vanuit andere netwerken, om hier vervolgens op te handelen. Als een ip-blok niet aan de registratie voldoet, moet de route worden geweigerd. De regionale internet-registries, die verantwoordelijk zijn voor het toewijzen van ip-adressen aan isp’s, zorgen ervoor dat het registeren van de RPKI-informatie mogelijk is en gevalideerd kan worden door derden.

Het risico van BGP staat als een paal boven water. Het kan zijn dat gebruikers van je netwerk worden omgeleid naar een ander (frauduleus) netwerk. Tevens kan het voorkomen dat een ander netwerk ten onrechte ip-adressen van jouw netwerk adverteert, waardoor bezoekers niet meer bij jou uitkomen, maar bij een ander, mogelijk kwaadwillend, netwerk. Het toevoegen van RPKI-validatie is de oplossing om routering op internet te beveiligen.

Auteur Wido Potters is sales- en supportmanager bij BIT.

(Deze bijdrage verscheen eerder in Computable-magazine #01/2019)

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Lees verder
Meer Opinie
 
Meer Infrastructuur
 
Whitepapers
Architecture Guide; Backup, Disaster Recovery, and Data Mobility
De complete PQR Gids voor Network Access Control (NAC) bij lokale overheden
De complete PQR Gids voor Network Access Control (NAC) bij lokale overheden
Migreren naar SD-WAN: is een externe beheerpartij nog wel nodig?
Hoe Managed DNS Security bijdraagt aan een optimaal beveiligd netwerk

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2019-05-13T11:29:00.000Z Wido Potters
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.