Beveiliging van route-informatie

In deze blogpost gaan we wat dieper in op het beveiligen van route-informatie op basis van RPKI.
Dit onderwerp is een wat technischer onderwerp maar wij vinden het van belang dat u weet welk gevaar er is, hoe wij u hiertegen beschermen en wat de gevolgen hiervan kunnen zijn.

Het probleem

Het internet werkt op basis van IP-adressen. Ieder IP-adres behoort tot een zogeheten netwerk. Deze netwerken zijn onderling aan elkaar gekoppeld. Maar hoe gaat een data-pakket van netwerk A naar netwerk B? Hoe weet een router waar uw data naar toe moet? Hiervoor is BGP ontwikkeld. Dit protocol zorgt er voor dat routers weten welke netwerken langs waar bereikbaar zijn. Hiervoor wordt gebruik gemaakt van het BGP protocol en AS nummers.
Dit protocol is bijzonder krachtig. Zonder dat iedere Internet Service Provider handmatig routes moet toevoegen wanneer er een extra netwerk gekoppeld wordt, is dat nieuw netwerk toch bereikbaar. De kracht van dit protocol is ook gelijk de grootste zwakte gebleken. Zo is het mogelijk om routes te “adverteren” zonder dat je daar het beheer over hebt. Dit kan het gevolg zijn van een menselijke fout (denk aan een typefout in de configuratie). Het kan echter ook een bewuste actie zijn om verkeer om te leiden om bijvoorbeeld gegevens buit te maken!

De oplossing

Om dit te voorkomen is RPKI (Resource Public Key Infrastructure) bedacht. In grote lijnen werkt dit op hetzelfde principe als DNSSEC. Er wordt een handtekening gemaakt van het “netwerk” wat een provider heeft. Deze handtekening wordt gepubliceerd bij de regionale registry (in Europa is dat RIPE). Andere providers die route-informatie uitwisselen op basis van BGP kunnen die gepubliceerde handtekening weer controleren met de handtekening die ze van een adverterende router ontvangen.
Als die informatie niet overeenstemt is er mogelijk sprake van een zogeheten BGP-hijack.

Uitrol bij BusinessConnect

Omdat RPKI tot gevolg kan hebben dat onjuiste routes onbereikbaar kunnen worden hebben we deze beveiliging in een aantal stappen ingevoerd.

1. Eerst hebben we onze eigen netwerken voorzien van de RPKI informatie en deze gepubliceerd bij RIPE.
2. Vervolgens zijn we actief de route-informatie welke we van andere netwerken ontvangen en gaan controleren. Een mismatch van de informatie was mogelijk en had verder geen gevolgen.
3. De laatste stap is het weigeren van routes met onjuiste informatie. Ook deze stap is inmiddels ingevoerd bij ons.

Wilt u meer lezen over RPKI? Op de website van RIPE kunt u meer lezen. Ook heeft Wikipedia een uitstekend engelstalig artikel over RPKI gepubliceerd.