Die twee fouten zijn:
- Onopzettelijke fouten in de BGP-configuratie op routers, bijvoorbeeld door typfouten van ip-adressen en subnetmasks, zorgen ervoor dat netwerkbeheerders onbedoeld routes adverteren waar zij niet verantwoordelijk voor zijn. Hierdoor wordt het betreffende netwerk onbereikbaar vanuit netwerken die deze foutieve route accepteren.
- Kwaadwillenden proberen opzettelijk verkeer naar bepaalde ip-adressen om te leiden door daar routes voor te adverteren. Gebruikers die zo’n route accepteren komen op de verkeerde plek uit. Het doel hiervan kan bijvoorbeeld zijn om accountgegevens te verzamelen van bezoekers en vervolgens (digitaal) geld buit te maken.
De frequentie en de impact van dit type incidenten is de afgelopen jaren sterk gestegen. Het is daarom hoog tijd om routering op internet veiliger te maken. Gelukkig is er inmiddels een oplossing om een groot deel van deze problemen te voorkomen, namelijk resource public key infrastructure (RPKI). Met RPKI is het mogelijk om van eigenaren van ip-blokken te registreren bij welk netwerk ze horen en wat de omvang van het blok in de routeringstabellen hoort te zijn. Door middel van een digitale handtekening kunnen deze op correctheid worden gecheckt.
Stappen
De ingebruikname van RPKI bestaat uit twee stappen. De eerste stap is het registreren van RPKI-informatie van alle aan het netwerk toegewezen ip-blokken. De tweede is het controleren van RPKI-informatie voor alle routes die worden ontvangen vanuit andere netwerken, om hier vervolgens op te handelen. Als een ip-blok niet aan de registratie voldoet, moet de route worden geweigerd. De regionale internet-registries, die verantwoordelijk zijn voor het toewijzen van ip-adressen aan isp’s, zorgen ervoor dat het registeren van de RPKI-informatie mogelijk is en gevalideerd kan worden door derden.
Het risico van BGP staat als een paal boven water. Het kan zijn dat gebruikers van je netwerk worden omgeleid naar een ander (frauduleus) netwerk. Tevens kan het voorkomen dat een ander netwerk ten onrechte ip-adressen van jouw netwerk adverteert, waardoor bezoekers niet meer bij jou uitkomen, maar bij een ander, mogelijk kwaadwillend, netwerk. Het toevoegen van RPKI-validatie is de oplossing om routering op internet te beveiligen.
Auteur Wido Potters is sales- en supportmanager bij BIT.
(Deze bijdrage verscheen eerder in Computable-magazine #01/2019)
Uw reactie
LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren