Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Advertorial

Door Tweakers Partners

Rpki: het antwoord op dikke vingers en prefixhijacking?

09-09-2019 • 12:00

9 Linkedin Google+

Door menselijke fouten en prefixhijacking komt internetverkeer regelmatig op verkeerde bestemmingen terecht. De beveiligingsstandaard rpki, nog volop in ontwikkeling, gaat dit tegen. Hij kan echter alleen effectief zijn als internetproviders certificaten ook actief controleren.

SIDN TechTalk 18/09

Dit stelt SIDN, die onder meer het .nl-domein beheert en zich richt op een beter, veiliger internet. Met de opkomst van rpki moet internet een stuk veiliger worden. Zeker geen overbodige luxe, want maar al te vaak blijkt dat menselijke fouten bij het configureren van het bgp of het moedwillig manipuleren ervan grote impact kunnen hebben, door storingen of het omleiden van internetverkeer. Zo legde een configuratiefout bij een Pakistaanse netwerkprovider ooit YouTube wereldwijd plat. In het afgelopen jaar leidde een vergissing bij Verizon ertoe dat grote delen van internet, waaronder Cloudflare, onbereikbaar werden. Eveneens vorig jaar waren er geruchtmakende aanvallen van cybercriminelen op betaalsystemen en cryptocurrencydiensten.

Systeem met certificaten

Rpki moet dit soort 'routelekken' tegengaan door het gebruik van een digitale handtekening en een certificatensysteem dat gelijkenissen vertoont met secure webbrowsing via https in zijn oorspronkelijke vorm. Daarbij voeren de verbindende partijen een handshake uit, waarna verkeer versleuteld wordt uitgewisseld. Een certificaat, uitgegeven door een vertrouwde partij, bevestigt de authenticiteit van de site, zodat je als gebruiker zeker weet dat je ook écht bijvoorbeeld de online omgeving van je eigen bank bezoekt en niet een door cybercriminelen opgetuigde omgeving die is ingericht om je geld te stelen. In principe werkt het bgp met rpki net als secure webbrowsing, alleen in plaats van webbrowsing valideert het systeem routering tegenover een reeks certificaten, ook wel roa's genoemd.

Rpki verkleint het probleem dat internetverkeer kwetsbaar is voor prefixhijacking. De standaard bestaat al jaren, maar wint de laatste tijd rap aan volwassenheid en wordt inmiddels door alle grote Nederlandse netwerkproviders en ook de meeste kleinere aanbieders toegepast, evenals door diverse organisaties met eigen autonome netwerken. "We zitten met Nederland wereldwijd in de top drie van landen waar rpki een succes aan het worden is", signaleert Marco Davids, technisch adviseur bij SIDN. Als manager van het .nl-domein en voorvechter van online veiligheid is zijn organisatie blij met deze ontwikkeling. SIDN doet namelijk veel meer dan alleen de registratie van domeinnamen, zoals het delen van kennis en het steunen van initiatieven om internet te verbeteren.

Nederland is koploper

Davids wijst op de aanwezigheid van het internetregister RIPE NCC in Amsterdam en een netwerk van it-professionals die ambassadeurs zijn van rpki. Dit levert veel activiteiten op, zoals onlangs nog een hackaton die leidde tot een experimentele rpki-test waarmee valt te meten hoe snel een netwerk valse bgp-verzoeken afwijst. Ook is inmiddels veel goede documentatie beschikbaar, zoals van het Nederlandse NLNet Labs, dat opensource-rpki-software (Routinator) schrijft. Dit versnelt de adoptie van de standaard in ons land aanzienlijk. Toch is het lek met rpki nog niet volledig gedicht, waarschuwt Davids. "Het is een standaard die nog in ontwikkeling is en op dit moment echt nog wel tekortkomingen heeft in bepaalde scenario's. Zo beschermt rpki op dit moment nog minder goed tegen moedwillige manipulatie dan tegen menselijke configuratiefouten."

Waar Davids op doelt, is dat rpki op dit moment vooral voorziet in origin validation. Iets wat begrijpelijk is, want het gaat de voornaamste oorzaak tegen van verkeerd gerouteerd internetverkeer: fat-fingering, oftewel menselijke operators die per ongeluk een verkeerde prefix gebruiken. Kwaadwillenden kunnen nog altijd misbruik maken van het gebrek aan path validation. Path validation in bgpsec, ontwikkeld door IETF, voorkomt dit en voegt daarmee een extra beveiligingsmaatregel toe.

Laaghangend fruit raakt op

De toenemende inspanningen om protocollen als bgp, maar ook bijvoorbeeld dns (met dnssec), beter te beveiligen, is een belangrijke ontwikkeling, vindt Davids. "Deze protocollen zijn belangrijk voor de werking van internet en een belangrijke factor als het gaat om veiligheid. Vooral omdat het laaghangend fruit voor cybercriminelen op begint te raken en zij hun aandacht verplaatsen naar kwetsbare stukken van internet." Ook voor SIDN als initiator van nieuwe technologie om internet veiliger te maken is deze ontwikkeling belangrijk. "Wij draaien servers om .nl-domeinen beter bereikbaar te maken en zijn daarmee ook een potentieel slachtoffer van aanvallen. Als wij onze nameservers niet goed beveiligen, kan het zomaar eens gebeuren dat 5,8 miljoen Nederlandse .nl-domeinen onbereikbaar worden."

Voor wie is rpki interessant?

Dit is vooral interessant voor isp’s en organisaties met een autonomous system. Verder kan iedereen deze beveiliging controleren bij de eigen provider via de eerder in dit artikel beschreven rpki-tool. SIDN beschermt de eigen dns-infrastructuur tegen onder meer ddos-aanvallen met extra nameservers, gebruikmakend van de Anycast-methode. Ze maakt hiervoor gebruik van een asn en een autonomous system, en heeft voor deze reeks ip-adressen eigen rpki-roa's geactiveerd, iets wat hier ook valt na te gaan.

Rpki werkt twee kanten op

Tot slot de vraag: moet SIDN dit eigenlijk wel vertellen, zo in het openbaar? Davids: "Nou, aan de ene kant zijn wij daarin ook wel enigszins terughoudend. Maar aan de andere kant is het in principe ook gewoon bekend en kan elke hacker googlen dat wij ons met anycast weerbaar hebben gemaakt tegen aanvallen en daarbij rpki hanteren. Belangrijker is onze boodschap dat rpki twee kanten op werkt. Wij hebben een certificaat aangevraagd voor onze adresreeksen, maar dit moet ook door netwerkpartijen worden gecontroleerd. De cirkel moet rond zijn om het systeem effectief te laten zijn. Het is eigenlijk net als met een watermerk op een geldbiljet: je kunt het er wel opzetten, maar als niemand het tegen het licht houdt, kun je nog steeds met vals geld betalen."

Meer weten over rpki? Tijdens de tweede SIDN TechTalk op 18 september gaan experts in drie presentaties in op ontwikkelingen rondom veiligheid en data. Zo spreekt onder anderen Benno Overeinder, directeur van NLnet Labs, over standaarden die aanvallen zoals in het bovenstaande artikel voorkomen of in ieder geval zichtbaar maken. Voor meer informatie over het programma en inschrijven: bezoek de site van SIDN.

Dit artikel is geen redactioneel artikel, maar een advertorial. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen, daar zullen collega's aanwezig zijn om jouw vragen en/of opmerkingen te bespreken/beantwoorden.

Reacties (9)

Wijzig sortering
Het is jammer dat de .adv wellicht lezers afschrikt om de moeite te nemen het artikel te lezen.

Eigenlijk best interessant dat het al heel lang over het algemeen best goed gaat met BGP, een protocol dat al zo oud is als wat wij nu kennen en gebruiken als "het internet".
Toch is het fijn om te vantevoren duidelijk te weten dat de inhoud niet noodzakelijkerwijs geheel objectief is.
Als IT-beheerder zijn de meeste onderwerpen in deze .Adv mij wel in mindere of meerdere mate bekend, desondanks een interessante .Adv! Leuk om te lezen :)
KPN lijkt in ieder geval nog niet aan controle te doen volgens de test.
Inderdaad, KPN failed the test.
Wereldwijd in de top 3.
Met KPN erbij zou dat flink kunnen stijgen.
Als je meer wilt weten over onder andere RPKI kan ik je aanraden om deze aflevering van Met nerds om tafel te luisteren.
Te gast is Job Snijders, een van de makers van de RPKI tool en lid van NLNOG
Jammer dat dit slechts een week van te voren gepost wordt. Toevallig had ik net vanochtend een andere afspraak gemaakt, maar anders had ik dit zeker graag bijgewoond.
Ik kom ook regelmatig op een verkeerde site maar dat komt dan door een reclamebanner die er ineens inspringt als ik ergens op wil klikken. Hoogst irritant!
Ik ben blij dat .Adv me niet heeft tegengehouden, maar het is jammer dat het als advertentie wordt weggezet.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Games

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True