Nederlands overheid verplicht rpki-certificaten op alle overheidssystemen

Alle ict-systemen van de Nederlandse overheid moeten voor het einde van 2024 rpki-certificaten gebruiken. Zo wil de overheid voorkomen dat netwerkverkeer wordt gekaapt en daarbij gegevens worden gestolen of sites offline worden gehaald.

Nederlandse overheden zijn al verplicht om bij aanschaf van nieuwe ict-systemen ervoor te zorgen dat ze certificaten op basis van de Resource Public Key Infrastructure-standaard gebruiken. Eind 2024 moeten bestaande systemen ook rpki gebruiken, kondigt Forum Standaardisatie aan. Dan moeten de overheidsnetwerken de certificaten van andere netwerken ook certificeren.

De centraal opgeslagen rpki-certificaten zorgen ervoor dat routes van internetverkeer gevalideerd kunnen worden. Zo kan de overheid naar eigen zeggen voorkomen dat internetverkeer wordt omgeleid naar de systemen van een niet-geautoriseerd netwerk, omdat een beheerder bijvoorbeeld een typfout maakte of door een doelgerichte aanval.

Forum Standaardisatie wijst op twee voorbeelden uit het verleden waarin netwerkverkeer gekaapt werd. Zo bleek in 2015 dat Bulgaarse criminelen IP-adressen van het ministerie van Buitenlandse Zaken zeven dagen in handen hadden. Voor zover bekend zijn die IP-adressen daarbij niet actief misbruikt. Vier jaar later, in 2019, werd netwerkverkeer van onder meer KPN omgeleid via het netwerk van China Telecom. Daardoor hadden KPN-klanten last van internetproblemen en ondervond het pinverkeer hinder. Met rpki-certificaten kunnen dergelijke problemen voorkomen worden, stelt Forum Standaardisatie.

De adviescommissie Forum Standaardisatie zegt verder dat uit een nulmeting in december 2022 bleek dat 77,9 procent van de overheidswebsites rpki al volledig ondersteunden. Onder de e-maildomeinen was het percentage iets lager, met 75,1 procent. Voornamelijk bij provincies ligt het percentage certificaten laag.

Gebruik van rpki-certificaten bij overheidswebsites

IT-banen

Reacties (39)

Xieoxer 5 april 2023 19:14

Bij met Nerds om Tafel hebben zij mooie podcast aflevering gemaakt over RPKI met Job Snijders. Hij is belangrijke persoonlijk als het gaat over RPKI. Je kan hem onderandere kennen van Faslty of PeeringDB. Bij Fastly is hij verantwoordelijk voor BGP en RPKI. Daarnaast is hij vicepresident bij PeeringDB. Hij legt in de aflevering uit in normale mensen taal waarom RPKI hard nodig is. Een hele interessante aflevering, omdat ik nooit wist dat het zo makkelijk was om IP blokken te kunnen claimen, zonder dat gevalideerd wordt. Hierdoor kan het internet verkeer op de verkeerde plek gerouteerd worden. Persoonlijk merk ik sinds die aflevering dat iedereen in mijn omgeving er over ging praten en waarom het nodig is. Daarnaast heb ik zelf ook mijn contacten gemaild hoe ver ze waren met RPKI.

De aflevering: https://www.metnerdsomtaf...nog-met-job-snijders.html

Aflevering waar medewerker van KPN verteld dat ze RPKI geactiveerd hebben: https://www.metnerdsomtaf...rins-en-job-snijders.html

Bedankt Job Snijders voor je inzet en dat je het internet weer stukje veiliger hebt gemaakt!

[Reactie gewijzigd door Xieoxer op 23 juli 2024 11:35]

jurroen @Xieoxer • 5 april 2023 21:44

Helemaal eens! Ik moet deze aflevering zelf nog luisteren (...of kijken). Job heeft als OpenBSD ontwikkelaar ook code getypt voor rpki-client. Ook heeft 'ie gezorgd dat rpki is geimplementeerd bij ISP Tweak.

Thanks Job

Yzord 5 april 2023 19:31

En hoe kunnen certificaten ip adressen beschermen dan? Ik dacht dat certs domeingericht waren en niet op ip.

Is een oprechte vraag, want ik zie niet precies in hoe dit dus het overnemen van ip blokken beschermd.

Scriptkid @Yzord • 5 april 2023 19:44

Zover ik begrijp gaat het over het valideren van de bgp routes dus welke ips zijn aan wie uitgedeeld.

Als mijn site in dns zegt ik heb een ip van kpn hier is mijn bewijst dan die je dus ook uit te kkmen bij ee. Block vannkpn.

Kom je bij een block van china uut dan moet jouw pc dat dus niet accepteren.

Hele simple taal natuurlijk technisch heel stuk anders

Bor Coördinator Frontpage Admins / FP Powermod @Yzord • 5 april 2023 20:07

En hoe kunnen certificaten ip adressen beschermen dan? Ik dacht dat certs domeingericht waren en niet op ip.

Je beschermt IP adressen niet direct met RPKI. Resource Public Key Infrastructure (RPKI) is een methode waarmee route-updates of Border Gateway Protocol (BGP)-aankondigingen tussen openbare internetnetwerken kunnen worden gevalideerd en beveiligd. Het wordt gebruikt voor het controleren van de associatie tussen specifieke IP-adresblokken of ASN's en de houders van die resources.

slaapkopje @Yzord • 5 april 2023 20:14

Certificaten hebben een subject waar het geldig voor is, dat kan een DNS of IP zijn, maar eigenlijk kun je alles specificeren in een standaard en dan iets certificeren, hier hebben ze dus ook de ASN aan de certificaten toegevoegd.

Van wiki
RPKI uses X.509 PKI certificates (RFC 5280) with extensions for IP addresses and AS identifiers

bvdli @Yzord • 6 april 2023 11:07

RPKI is een beveiligingssysteem om het internet veiliger te maken. Het helpt ervoor te zorgen dat alleen de juiste organisaties bepaalde IP-adressen en AS-nummers mogen gebruiken. Dit wordt gedaan met speciale digitale certificaten, RPKI-certificaten genaamd.

Als een router informatie ontvangt over hoe internetverkeer te routeren, controleert RPKI of de verzender toestemming heeft om die informatie te geven. Dit voorkomt dat verkeerde of kwaadwillende partijen internetverkeer kunnen sturen of kapen.

Dus door RPKI te gebruiken, kunnen netwerkbeheerders het internet veiliger en stabieler maken en problemen met het routeren van verkeer verminderen.

GarBaGe 5 april 2023 19:27

In hoeverre zijn rpki certificaten anders dan reguliere X509 pki certificaten?

Bor Coördinator Frontpage Admins / FP Powermod @GarBaGe • 5 april 2023 20:10

RPKI maakt gebruik van een X509 extentie zoals omschreven in RFC3779 "X.509 Extensions for IP Addresses and AS Identifiers "

the_stickie @Bor • 5 april 2023 20:28

maw, het gaat om 'reguliere' x.509 certificaten, want het gebruik van extensies zit niet alleen in de standaard, maar is ook zeer gebruikelijk in allerhande toepassingen van x.509 certificaten.

Bor Coördinator Frontpage Admins / FP Powermod @the_stickie • 5 april 2023 20:43

Het gaat om reguliere X509 certificaten met deze extensie. Gewone / plain / vanilla X509 certificaten kunnen niet worden gebruikt.

Aldy @Bor • 6 april 2023 13:49

Het verschil zit dus in een punt tussen de X en de 5. Natuurlijk met de achterliggende verschillen, maar dat is het uiterlijke kenmerk, begrijp ik.

ik222 5 april 2023 19:35

Heel goed natuurlijk maar het heeft alleen zin als ISP’s ook RPKI validatie doen op de routes die ze importeren via peering en transit. Via https://isbgpsafeyet.com/ kun je controleren of jou ISP dit al doet.

bossanova @ik222 • 5 april 2023 22:08

Wordt het daarmee niet lastig om VPN's te gebruiken om de censuur te omzeilen?

De EU blokkeert van alles. We geven china de schuld van censuur maar bepaalde sites worden hier net zo goed door EU-routers tegengehouden.

Als ik naar sputnik wil om hun mening te lezen of naar een chinese site, kan de EU-gateway mij tegenhouden en door rpki kom ik er dan nooit meer omheen.

ik222 @bossanova • 5 april 2023 23:09

Nee, dat is totaal niet wat RPKI is of waarvoor het gebruikt kan worden. Zolang die sites of VPN diensten geen IP blokken gebruikt die eigendom zijn van een andere partij zal RPKI dit niet belemmeren.

RPKI stelt je puur in staat om als eigenaar van IP blokken je eigen IP blokken te ondertekenen, routers die valideren controleren vervolgens puur en alleen of routes die ze via BGP krijgen een origin AS hebben wat klopt met het RPKI certificaat voor het blok indien dat er is

Overigens worden routes die geen RPKI certificaat hebben (status unknown) sowieso gewoon geaccepteerd in alle huidige implementaties, anders zou een groot deel van het internet onbereikbaar zijn. Alleen routes die wel RPKI ondertekent zijn en vervolgens aangekondigd worden met een ander origin AS krijgen de status invalid en die horen dus gedropt te worden als je provider RPKI correct geimplementeerd heeft.

jurroen @bossanova • 5 april 2023 23:04

Nee daar staat het los van

Autisme_tech @bossanova • 6 april 2023 08:59

Je kan Lantern of tor gebruiken als alternatief

CP1977 @ik222 • 8 april 2023 19:17

Voor de grap je link getest, zit bij freedom.nl en die is unsafe

Your ISP (Freedom Internet, AS206238) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks

Welke voldoen al wel?

ollie1965 @CP1977 • 14 april 2023 10:22

Hebben ze geluisterd?
Ik krijg nu een

Success
Your ISP (Freedom Internet, AS206238) implements BGP safely. It correctly drops invalid prefixes.

CP1977 @ollie1965 • 14 april 2023 19:02

Ja je hebt gelijk, bij mij ziet het er nu ook goed uit.

Your ISP (Freedom Internet, AS206238) implements BGP safely. It correctly drops invalid prefixes.

Heb het niet gemeld bij hun ofzo.

OruBLMsFrl 5 april 2023 19:15

Voor Border gateway protocol routing security, specifiek BGP route origin validation, niet zozeer de websites zelf:
https://en.m.wikipedia.or...Public_Key_Infrastructure

Gillie 5 april 2023 20:03

Daardoor hadden KPN-klanten last van internetproblemen en ondervond het pinverkeer hinder. Met rpki-certificaten kunnen dergelijke problemen voorkomen worden, stelt Forum Standaardisatie.

RPKI voorkomt hijacking van prefixes, d.w.z. origin-AS (aka. right-most AS). Maar voorkomt geenszins verkeerde AS-paden. Zover ik kan herinneren betrof met KPN in 2019, een BGP route-leak. RPKI gaat vooral over prefix en AS. Het voorkomt geen BGP route-leak. Hiervoor is gebruik van correcte prefix-lists. Alsook maximum prefixes aanbevolen. Zodat de klant of upstream netwerken alleen accepteren wat vooraf is afgesproken. Helaas doet niet iedereen aan MANRS (https://www.manrs.org/).

Een mogelijke oplossing hiervoor is BGPsec path. Maar voor dit daadwerkelijk een veilig internet geeft. Het is nog niet bij alle router fabrikanten (Cisco, Juniper, Nokia en anderen) geimplementeerd.
Daarvoor is een relatief nieuwe RFC, RFC8205 t/m RFC8209.

edit: typ0

[Reactie gewijzigd door Gillie op 23 juli 2024 11:35]

jurri@n @Gillie • 6 april 2023 12:37

Dat soort fouten kun je ook voorkomen met IRR-based filtering. Dat zie je al volop gebruikt worden en is niet afhankelijk van de fabrikant (misschien wel of je hardware de hoeveelheid filters aan kan, mar dat is in principe op te lossen met betere hardware).

Gillie @jurri@n • 6 april 2023 18:45

Weet je wat 'MANRS' inhoud?

jurri@n @Gillie • 6 april 2023 21:19

Jazeker, ik beheer meerdere netwerken die al ruime tijd door op de MANRS participant list staan

djwice

5 april 2023 23:33

Ik zie dat diverse cloud providers dit al ondersteunen voor servers in hun netwerk:
https://aws.amazon.com/bl...-secure-internet-routing/

Dus de overheid kan bijvoorbeeld gewoon de Amazon CloudFront (CDN), AWS API Gateway, AWS Route53 (DNS) en AWS Certificate Manager en Amazon Shield en AWS WAFv2 en AWS SES gebruiken - allemaal public cloud infrastructuur - voor het veilig en robuust beveiligen van de web omgeving.

Ik heb enkele honderden websites, waaronder een sites met miljoen bezoekers per dag, op deze manier verbeterd. De backend wordt via een ZeroTrust connectie over internet met de public cloud verbonden. Publieke statische bestanden krijgen een extra cache op S3 - naast die in de CDN - om de servers maximaal te ontlasten. Publieke dynamische bestanden worden gecached in de CDN en persoonlijke bestanden worden nooit gecached.
Dit schaalt extreem goed tegen lage kosten t.o.v. zelf hosten en alles is geautomatiseerd, zelfs het vervangen/updaten van certificaten en inrichten van -indien gewenst - honderden endpoints die elk duizenden requests per seconde af kunnen handelen.

[Reactie gewijzigd door djwice op 23 juli 2024 11:35]

Verwijderd @djwice • 6 april 2023 09:50

Als overheid al je eieren in handen leggen van een enorme buitenlandse megacorp....
Ik moet zeggen, dat klinkt wel als een actie die de overheid zou nemen....

Maar ik neem aan dat ze dit juist doen om hun routes binnen europa te houden en uit buitenlandse handen... Dus ik ga ervan uit dat ze dan niet voor Jeff Bozos kiezen

Niets tegen jouw keuze, uiteraard. Commercieel kan het zeer interessant zijn.

Tomatoman 5 april 2023 19:38

Voornamelijk bij provincies ligt het percentage certificaten laag.

In totaal heeft dit onderzoek naar 2517 websites gekeken, zo valt af te leiden uit de optelsom van de vijf balken in de grafiek. Dit geeft echter nogal een vertekend beeld, omdat die 22 provinciale websites een zeer kleine fractie van het totaal omvat. Als nog eens 5 van de provinciale websites van een RPKI-certificaat voorzien waren geweest, had dat al tot een andere conclusie geleid: voornamelijk bij provincies waterschappen ligt het percentage certificaten laag. Als een verandering van slechts 5 van de 2517 certificaten al tot een andere conclusie leidt, moge duidelijk zijn dat die conclusie nogal wankel is.

ocn @Tomatoman • 5 april 2023 20:03

Maar was het wel een conclusie? Of gewoon een feitelijke observatie.

Saint2Saint @ocn • 5 april 2023 20:32

Dan is het nog steeds een bijzonder cijfer dat alleen iets zegt over de websites van de overheid. RPKI certificaten moeten op alle ict systemen komen, door alleen naar de websites te kijken krijg je een verkeerd beeld. Hier worden bijvoorbeeld de legacy systemen van de belastingdienst niet in bekeken, terwijl de website(s) van de belastingdienst hoogstwaarschijnlijk wel voldoen.

ocn @Saint2Saint • 5 april 2023 21:35

RPKI is voor internetverkeer. Ik mag hopen dat de legacy systemen niet (direct) aan het internet hangen.

Saint2Saint @ocn • 6 april 2023 08:09

Dan nog dekt het inventariseren van gebruik op websites maar een deel van de toepassingen. Er is meer internetverkeer dan alleen de websites, denk hierbij onder andere aan open data van bijvoorbeeld basisregistraties die via API's te benaderen is. Er wordt gesproken over alle ict-systemen, dat staat haaks op alleen internet verkeer.

Daarnaast ben ik benieuwd of deze eis ook gaat gelden voor het verkeer binnen de de overheid eigen (gesloten) netwerken.

Als laatste, is er samenhang met dit bericht: https://logius.nl/actueel...erver-ssltls-certificaten?

ocn @Saint2Saint • 6 april 2023 08:41

Er is geen samenhang; RPKI en PKIo gaan over totaal verschillende dingen, netwerklaag vs applicatielaag. RPKI werkt op blokken/reeksen IP-adressen, als je dus met internet.nl ziet dat je webserver, mailserver of nameserver geen ROA heeft voor z'n IP-adressen, kan je je (netwerk)leverancier hier op aanspreken om ROA's te publiceren. Omdat RPKI niet per IP-adres werkt, maar op grote reeksen, ontstaat er een hefboomeffect waarbij ineens heel veel systemen met RPKI beveiligd zijn. En vaak maken organisaties gebruik van verschillende web en SaaS-leveranciers, met dito IP-reeksen daarachter, daarom is het slim om te beginnen met websites en webapplicaties, dat is makkelijk testbaar en schaalt door het hefboomeffect snel. Daarnaast gebruiken de meeste partijen internetdomeinen om IP-adressen human readable te maken, ik weet veel internetdomeinen van mijn organisatie wel uit mijn hoofd en kan die zo invoeren op internet.nl, maar de IP-adressen ken ik niet. Gelukkig maakt internet.nl die vertaling voor mij. Maar ja, je kan ook IP-adressen gebruiken zonder er een internetdomein aan te hangen, dus die (blokken) IP-adressen kan je ook los testen met andere tools, bijv https://stat.ripe.net/app/launchpad Dat ze dus websites testen hangt samen met hun adoptiebevorderingsstrategie.

[Reactie gewijzigd door ocn op 23 juli 2024 11:35]

Bor Coördinator Frontpage Admins / FP Powermod @ocn • 6 april 2023 12:56

Er is geen samenhang; RPKI en PKIo gaan over totaal verschillende dingen, netwerklaag vs applicatielaag.

Ho ho, dat is wel heel kort door de bocht. Totaal verschillende zaken zijn het zeker niet. RPKI is namelijk gewoon een vorm van een Public Key Infrastructure (PKI) en binnen RPKI worden ook gewoon X.509 certificaten gebruikt (met een hiervoor eerder door mij aangehaalde extensie).