De Nederlandse overheid gaat de beveiliging van haar internetroutering verbeteren door vóór eind 2024 de Resource Public Key Infrastructure (RPKI)-standaard goed te keuren.
RPKI, of Resource Certification, beschermt tegen foutieve routering van internetverkeer, al dan niet met kwade bedoelingen, door middel van versleuteling van routes.
De norm maakt gebruik van digitale certificaten om het Border Gateway Protocol (BGP) dat wordt gebruikt voor de uitwisseling van routeringsinformatie te beveiligen en ervoor te zorgen dat het verkeer via de legitieme netwerkexploitant komt die de IP-adressen op het bestemmingspad controleert.
RPKI voor alle ICT-systemen
Het Forum Standaardisatie in Nederland, een onderzoeks- en adviesorganisatie die de publieke sector bedient bij het gebruik van open standaarden, heeft aangekondigd dat alle communicatieapparatuur (ICT) die door de Nederlandse overheid wordt beheerd, tegen 2024 de RPKI-standaard moet gebruiken.
De overheid steunt de aanbeveling en heeft vorige week in een besluit het beleid vastgesteld dat zowel betrekking heeft op nieuw toegevoegde ICT-apparatuur als op de bestaande systemen.
RPKI-certificaten worden centraal opgeslagen en openbaar gehouden, zodat netwerkproviders van overal ter wereld de routes van het internetverkeer kunnen valideren.
Netwerken die RPKI implementeren kunnen erop vertrouwen dat het internetverkeer alleen via geautoriseerde paden wordt geleid, waardoor de risico’s van man-in-the-middle of andere aanvallen voor het omleiden en onderscheppen van gegevens worden geëlimineerd.
Zonder RPKI hangt de internetroutering af van het vertrouwen van de netwerkexploitanten die de juiste IP-prefixen adverteren die zij beheren. Als een exploitant echter ten onrechte adverteert dat hij een bepaalde reeks IP-adressen beheert, ontvangt hij verkeer dat anders een ander pad zou volgen.
Afgezien van de gevolgen voor de prestaties (bv. netwerklatentie, verstoring) zet dit op vertrouwen gebaseerde model de deur open voor kwaadwillige BGP-kaping waardoor verkeer kan worden onderschept en gecontroleerd, en legitieme IP-adressen kunnen worden gespooft voor spamming.
Een voorbeeld van BGP-kaping dateert van 2019, toen netwerkverkeer van de Nederlandse internetprovider KPN meer dan twee uur lang werd omgeleid naar China Telecom.
Omleiding van internetverkeer kan ook per ongeluk gebeuren wanneer een netwerkexploitant door een configuratiefout de IP-ruimte van een andere partij aankondigt. In 2021 verstoorde een dergelijk ongeluk duizenden netwerken over de hele wereld.
Lees meer op https://forumstandaardisatie.nl/nieuws/beter-beveiligde-internetroutering-overheid-voor-eind-2024
