Rpki: het antwoord op dikke vingers en prefixhijacking?

Door menselijke fouten en prefixhijacking komt internetverkeer regelmatig op verkeerde bestemmingen terecht. De beveiligingsstandaard rpki, nog volop in ontwikkeling, gaat dit tegen. Hij kan echter alleen effectief zijn als internetproviders certificaten ook actief controleren.

Dit stelt SIDN, die onder meer het .nl-domein beheert en zich richt op een beter, veiliger internet. Met de opkomst van rpki moet internet een stuk veiliger worden. Zeker geen overbodige luxe, want maar al te vaak blijkt dat menselijke fouten bij het configureren van het bgp of het moedwillig manipuleren ervan grote impact kunnen hebben, door storingen of het omleiden van internetverkeer. Zo legde een configuratiefout bij een Pakistaanse netwerkprovider ooit YouTube wereldwijd plat. In het afgelopen jaar leidde een vergissing bij Verizon ertoe dat grote delen van internet, waaronder Cloudflare, onbereikbaar werden. Eveneens vorig jaar waren er geruchtmakende aanvallen van cybercriminelen op betaalsystemen en cryptocurrencydiensten.

Systeem met certificaten

Rpki moet dit soort 'routelekken' tegengaan door het gebruik van een digitale handtekening en een certificatensysteem dat gelijkenissen vertoont met secure webbrowsing via https in zijn oorspronkelijke vorm. Daarbij voeren de verbindende partijen een handshake uit, waarna verkeer versleuteld wordt uitgewisseld. Een certificaat, uitgegeven door een vertrouwde partij, bevestigt de authenticiteit van de site, zodat je als gebruiker zeker weet dat je ook écht bijvoorbeeld de online omgeving van je eigen bank bezoekt en niet een door cybercriminelen opgetuigde omgeving die is ingericht om je geld te stelen. In principe werkt het bgp met rpki net als secure webbrowsing, alleen in plaats van webbrowsing valideert het systeem routering tegenover een reeks certificaten, ook wel roa's genoemd.

Rpki verkleint het probleem dat internetverkeer kwetsbaar is voor prefixhijacking. De standaard bestaat al jaren, maar wint de laatste tijd rap aan volwassenheid en wordt inmiddels door alle grote Nederlandse netwerkproviders en ook de meeste kleinere aanbieders toegepast, evenals door diverse organisaties met eigen autonome netwerken. "We zitten met Nederland wereldwijd in de top drie van landen waar rpki een succes aan het worden is", signaleert Marco Davids, technisch adviseur bij SIDN. Als manager van het .nl-domein en voorvechter van online veiligheid is zijn organisatie blij met deze ontwikkeling. SIDN doet namelijk veel meer dan alleen de registratie van domeinnamen, zoals het delen van kennis en het steunen van initiatieven om internet te verbeteren.

Nederland is koploper

Davids wijst op de aanwezigheid van het internetregister RIPE NCC in Amsterdam en een netwerk van it-professionals die ambassadeurs zijn van rpki. Dit levert veel activiteiten op, zoals onlangs nog een hackaton die leidde tot een experimentele rpki-test waarmee valt te meten hoe snel een netwerk valse bgp-verzoeken afwijst. Ook is inmiddels veel goede documentatie beschikbaar, zoals van het Nederlandse NLNet Labs, dat opensource-rpki-software (Routinator) schrijft. Dit versnelt de adoptie van de standaard in ons land aanzienlijk. Toch is het lek met rpki nog niet volledig gedicht, waarschuwt Davids. "Het is een standaard die nog in ontwikkeling is en op dit moment echt nog wel tekortkomingen heeft in bepaalde scenario's. Zo beschermt rpki op dit moment nog minder goed tegen moedwillige manipulatie dan tegen menselijke configuratiefouten."

Waar Davids op doelt, is dat rpki op dit moment vooral voorziet in origin validation. Iets wat begrijpelijk is, want het gaat de voornaamste oorzaak tegen van verkeerd gerouteerd internetverkeer: fat-fingering, oftewel menselijke operators die per ongeluk een verkeerde prefix gebruiken. Kwaadwillenden kunnen nog altijd misbruik maken van het gebrek aan path validation. Path validation in bgpsec, ontwikkeld door IETF, voorkomt dit en voegt daarmee een extra beveiligingsmaatregel toe.

Laaghangend fruit raakt op

De toenemende inspanningen om protocollen als bgp, maar ook bijvoorbeeld dns (met dnssec), beter te beveiligen, is een belangrijke ontwikkeling, vindt Davids. "Deze protocollen zijn belangrijk voor de werking van internet en een belangrijke factor als het gaat om veiligheid. Vooral omdat het laaghangend fruit voor cybercriminelen op begint te raken en zij hun aandacht verplaatsen naar kwetsbare stukken van internet." Ook voor SIDN als initiator van nieuwe technologie om internet veiliger te maken is deze ontwikkeling belangrijk. "Wij draaien servers om .nl-domeinen beter bereikbaar te maken en zijn daarmee ook een potentieel slachtoffer van aanvallen. Als wij onze nameservers niet goed beveiligen, kan het zomaar eens gebeuren dat 5,8 miljoen Nederlandse .nl-domeinen onbereikbaar worden."

Voor wie is rpki interessant?

Dit is vooral interessant voor isp’s en organisaties met een autonomous system. Verder kan iedereen deze beveiliging controleren bij de eigen provider via de eerder in dit artikel beschreven rpki-tool. SIDN beschermt de eigen dns-infrastructuur tegen onder meer ddos-aanvallen met extra nameservers, gebruikmakend van de Anycast-methode. Ze maakt hiervoor gebruik van een asn en een autonomous system, en heeft voor deze reeks ip-adressen eigen rpki-roa's geactiveerd, iets wat hier ook valt na te gaan.

Rpki werkt twee kanten op

Tot slot de vraag: moet SIDN dit eigenlijk wel vertellen, zo in het openbaar? Davids: "Nou, aan de ene kant zijn wij daarin ook wel enigszins terughoudend. Maar aan de andere kant is het in principe ook gewoon bekend en kan elke hacker googlen dat wij ons met anycast weerbaar hebben gemaakt tegen aanvallen en daarbij rpki hanteren. Belangrijker is onze boodschap dat rpki twee kanten op werkt. Wij hebben een certificaat aangevraagd voor onze adresreeksen, maar dit moet ook door netwerkpartijen worden gecontroleerd. De cirkel moet rond zijn om het systeem effectief te laten zijn. Het is eigenlijk net als met een watermerk op een geldbiljet: je kunt het er wel opzetten, maar als niemand het tegen het licht houdt, kun je nog steeds met vals geld betalen."

Meer weten over rpki? Tijdens de tweede SIDN TechTalk op 18 september gaan experts in drie presentaties in op ontwikkelingen rondom veiligheid en data. Zo spreekt onder anderen Benno Overeinder, directeur van NLnet Labs, over standaarden die aanvallen zoals in het bovenstaande artikel voorkomen of in ieder geval zichtbaar maken. Voor meer informatie over het programma en inschrijven: bezoek de site van SIDN.