Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Is BGP rijp voor vervanging?

vernieuwing

‘Onder de motorkap’ van internet wordt het border gateway protocol (BGP) gebruikt voor uitwisseling van routeringsinformatie tussen netwerken. In de loop der jaren is er het nodige aan het protocol verbeterd, maar een van de basisprincipes is hetzelfde gebleven: vertrouwen tussen netwerken is het uitgangspunt. In de praktijk zien we echter twee problemen die regelmatig voorkomen en hieraan gerelateerd zijn.

Die twee fouten zijn:

  • Onopzettelijke fouten in de BGP-configuratie op routers, bijvoorbeeld door typfouten van ip-adressen en subnetmasks, zorgen ervoor dat netwerkbeheerders onbedoeld routes adverteren waar zij niet verantwoordelijk voor zijn. Hierdoor wordt het betreffende netwerk onbereikbaar vanuit netwerken die deze foutieve route accepteren.
  • Kwaadwillenden proberen opzettelijk verkeer naar bepaalde ip-adressen om te leiden door daar routes voor te adverteren. Gebruikers die zo’n route accepteren komen op de verkeerde plek uit. Het doel hiervan kan bijvoorbeeld zijn om accountgegevens te verzamelen van bezoekers en vervolgens (digitaal) geld buit te maken.

De frequentie en de impact van dit type incidenten is de afgelopen jaren sterk gestegen. Het is daarom hoog tijd om routering op internet veiliger te maken. Gelukkig is er inmiddels een oplossing om een groot deel van deze problemen te voorkomen, namelijk resource public key infrastructure (RPKI). Met RPKI is het mogelijk om van eigenaren van ip-blokken te registreren bij welk netwerk ze horen en wat de omvang van het blok in de routeringstabellen hoort te zijn. Door middel van een digitale handtekening kunnen deze op correctheid worden gecheckt.

Stappen

"Het risico van BGP staat als een paal boven water"

De ingebruikname van RPKI bestaat uit twee stappen. De eerste stap is het registreren van RPKI-informatie van alle aan het netwerk toegewezen ip-blokken. De tweede is het controleren van RPKI-informatie voor alle routes die worden ontvangen vanuit andere netwerken, om hier vervolgens op te handelen. Als een ip-blok niet aan de registratie voldoet, moet de route worden geweigerd. De regionale internet-registries, die verantwoordelijk zijn voor het toewijzen van ip-adressen aan isp’s, zorgen ervoor dat het registeren van de RPKI-informatie mogelijk is en gevalideerd kan worden door derden.

Het risico van BGP staat als een paal boven water. Het kan zijn dat gebruikers van je netwerk worden omgeleid naar een ander (frauduleus) netwerk. Tevens kan het voorkomen dat een ander netwerk ten onrechte ip-adressen van jouw netwerk adverteert, waardoor bezoekers niet meer bij jou uitkomen, maar bij een ander, mogelijk kwaadwillend, netwerk. Het toevoegen van RPKI-validatie is de oplossing om routering op internet te beveiligen.

Auteur Wido Potters is sales- en supportmanager bij BIT.

(Deze bijdrage verscheen eerder in Computable-magazine #01/2019)

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met je persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2019-05-13T11:29:00.000Z Wido Potters
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.