BGP security: waarom het belangrijk is dat iedere provider RPKI implementeert

RPKI (Resource Public Key Infrastructure) is een manier om de veiligheid van het Border Gateway Protocol te verbeteren. Een belangrijke nuance hierbij is dat alle internet service providers deze standaard moeten implementeren om 100% effectief te zijn.

Het 'Border Gateway Protocol' of BGP bestaat sinds 1994 en vormt de basis van internet routering. Het protocol zorgt ervoor dat de massale hoeveelheid aan individuele netwerken waaruit het internet bestaat, met elkaar kunnen ‘praten’.

BGP werd echter niet ontwikkeld met het oog op security. Tot op vandaag is het voor een Autonoom Systeem (AS), een deelnetwerk van het internet met een eigen routeringsagenda, nog altijd mogelijk om IP-adressen te adverteren die het niet op een legitieme wijze bezit. Dit wordt BGP- of prefix ‘hijacking’ genoemd. Het gebeurt om twee belangrijke redenen: door een verkeerde configuratie of kwaadwillig.

Een mogelijk effect van zo’n 'gekaapte' prefix is dat een internetgebruiker die een IP-adres binnen de gekaapte range probeert te bereiken, niet op de legitieme bestemming terechtkomt. In plaats daarvan zal hij zijn connectiviteit verliezen of, erger nog, op een kwaadaardige website terechtkomen. In dat laatste geval wordt het dataverkeer dus opzettelijk omgeleid naar een ander platform.

Digitale handtekening van prefixen

In de loop der jaren zijn er verschillende verbeteringen aangebracht om de beveiliging van BGP te verbeteren. RPKI (Resource Public Key Infrastructure) is er slechts één van. Dit framework maakt het mogelijk om een digitale handtekening aan prefixen toe te voegen waardoor BGP-routers ongeldige prefixen kunnen weigeren. Een ROA (Route Origin Authorisation) record linkt een prefix aan een AS-nummer en zorgt daarmee voor een verifieerbaar bewijs dat de internet service provider eigenaar is van die prefix.

RPKI helpt dus om het beveiligingsrisico van BGP te verminderen, maar het is tot op vandaag nog steeds geen wijdverspreide praktijk. Minder dan 20% van de huidige IPv4-prefixen is momenteel gemarkeerd als legitiem.

Cirkel met een vergrendeld hangslot in het midden

Gemeenschappelijke inspanning is noodzakelijk

Onlangs lanceerde een CDN-provider (content delivery network) een online tool waarmee gebruikers hun internetprovider konden checken op BGP-beveiligingsproblemen. Op Belnet aangesloten gebruikers kregen als melding te zien dat Belnet BGP niet veilig zou implementeren.

De tool is enigszins misleidend omdat het niet betekent dat het Belnet-netwerk minder veilig is: het implementeren van RPKI verhindert dat gekaapte prefixen door Belnet worden gerouteerd maar zal niet voorkomen dat de prefixen van Belnet (en zijn klanten) worden ‘gekaapt’.

Met andere woorden, BGP zal alleen veiliger worden als álle internet service providers RPKI implementeren. Ze dienen allemaal hun prefixen digitaal te ondertekenen, de geldigheid van de ontvangen prefixen te controleren en ongeldige prefixen te weigeren. Het is dus een kwestie van een gemeenschappelijke inspanning.

Belnet draagt al sinds 2013 zijn steentje bij. Alle prefixen van Belnet zijn namelijk gecoverd door een ROA en we zijn bezig met het voltooien van de RPKI-implementatie door ongeldige routes die ons netwerk binnenkomen te filteren.

Continu verbeterproces

Bij Belnet hebben we daarnaast al heel wat maatregelen genomen om bij te dragen aan de veiligheid van het internet. Zo hebben we ons netwerk ook beschermd tegen spoofing-aanvallen (waarbij datapakketten met een vals afzenderadres worden verzonden) (“BCP 38”). We volgen nieuwe ontwikkelingen op vlak van security nauwgezet op en evalueren hoe we deze kunnen toepassen om ons netwerk voortdurend veiliger te maken voor onze klanten.

Copyright © 2020 Belnet.