De implementatie van RPKI
Het RPKI-protocol maakt gebruik van cryptografische certificaten om het eigendom van IP-adresblokken en autonome systeemnummers te valideren. Deze certificaten worden uitgegeven door geautoriseerde instanties en gebruikt om de legitimiteit van BGP-routeadvertenties te verifiëren.
Door RPKI te implementeren kunnen netwerkbeheerders route-validatie uitvoeren en ongeldige routes blokkeren.
Waarom is RPKI belangrijk voor internetbeveiliging?
RPKI (Resource Public Key Infrastructure) is een belangrijk instrument voor de beveiliging van het internet. Het biedt een manier om de legitimiteit van BGP-routes te verifiëren, waardoor route-lekken en route-hijacks kunnen worden voorkomen.
Door RPKI te implementeren, kunnen organisaties onder andere de beveiliging van hun websites en systemen verbeteren. Het valideert de eigendom van IP-adressen en AS-nummers, zodat internetverkeer alleen via de juiste routes wordt gerouteerd. Dit helpt om de impact van beveiligingsincidenten te beperken en de algehele internetveiligheid te vergroten.
RPKI is vooral nuttig voor ISP’s, hostingproviders en grote ondernemingen die afhankelijk zijn van een veilig en betrouwbaar internet. Het is een belangrijk hulpmiddel om de risico’s van routing-gerelateerde bedreigingen te verminderen en de integriteit van internetverbindingen te waarborgen.
Een officieel statement van de Digitale Overheid luidt: “Sinds 2019 zijn overheidsorganisaties verplicht de RPKI-standaard te eisen bij de aanschaf van nieuwe ICT-systemen en -diensten. De internetroutering van de overheid moet veiliger worden. Daarom heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) als doel vastgesteld dat alle ICT-systemen van de overheid voor het einde van 2024 gebruik moeten maken van de standaard RPKI.”.
Verdere ontwikkeling en implementatie van RPKI essentieel
In een tijd waarin cyberdreigingen steeds groter worden, is verdere ontwikkeling en implementatie van RPKI essentieel. Dit zal leiden tot een robuustere en betrouwbaardere internetinfrastructuur, met een betere bescherming tegen aanvallen en manipulatie. De toekomst van RPKI omvat onder meer verdere standaardisatie, betere integratie in bestaande systemen en bredere adoptie door internetserviceproviders en netwerkeigenaren. Naarmate RPKI een prominentere rol gaat spelen in internet-governance, zal het bijdragen aan het creëren van een veiliger en betrouwbaarder online landschap voor gebruikers wereldwijd.
De netwerken van SouthernHill zijn RPKI-ready
SouthernHill focust zich al jaren op innovatie, connectiviteit en beveiliging. Door goed te luisteren, een flexibele houding én pro-actief mee te denken, maken we moeilijke dingen makkelijk. Zo bouwen wij voor onze klanten slimme, snelle én veilige netwerken om mensen, machines, gebouwen en organisaties met elkaar te verbinden. Waarbij we adviseren en faciliteren van de eerste schep in de grond, tot de laatste login. Het resultaat: de optimale verbinding die meer mogelijk maakt.
Met onze jarenlange ervaring, vergaande expertise en brede netwerk hebben we al heel wat (inter)nationale organisaties verbonden. Daarbij maken we gebruik van passende maatwerkoplossingen, deskundig advies en vergaande expertise op het gebied van connectivity, security en IT projecten.
Passende maatwerkoplossingen en deskundig advies
Om onze doelstellingen te realiseren is het monitoren van de Border Gateway Protocol (BGP) routes van het netwerkverkeer (de weg naar het internet) van klanten een belangrijke dienst die wij leveren. Uit onderzoek is gebleken dat netwerk routes naar externe verbindingspunten steeds vaker (herhalend) wijzigen in de BGP-routetabel. Deze herhalende wijzigingen in de BGP-tabel duiden op mogelijk BGP-hijacking, waarmee kwaadwillende internetverkeer manipuleren.
Daarom zijn we op zoek gegaan naar een oplossing waarmee BGP-hijacking tegengegaan kan worden. Dit is gedaan door een dynamische routetabel op de BGP-routers te implementeren waardoor deze veilige routes (routes die gevalideerd worden door RPKI) prefereert over onveilige routes. Het prefereren van deze veilige routes heeft als gevolg dat het uitgaande klantverkeer van SouthernHill een reëlere kans heeft om bij de juiste bestemming aan te komen.
De voorkeur voor gevalideerde routes
- Wat zijn gevalideerde routes?
Een gevalideerde BGP-route heeft een gecontroleerde herkomst met een cryptografische handtekening. De border router kan de route valideren door de handtekening te controleren. Als de handtekening overeenkomt, is de route geldig. Anders is de route ongeldig. - Waarom zijn gevalideerde routes belangrijk?
Het gebruik van gevalideerde routes verhoogt de betrouwbaarheid van BGP-routes voor uitgaand internetverkeer. RPKI-implementatie en gevalideerde routes voorkomen BGP-hijacking en verbeteren de routebetrouwbaarheid. - Hoe kan SouthernHill gevalideerde routes verkrijgen?
SouthernHill ontvangt gevalideerde routes via een RPKI-cache server. De cache server valideert ROA’s en genereert een database met gevalideerde prefixen en AS’en. Deze database wordt beveiligd naar de router gedownload, waardoor de router zelf geen validaties hoeft uit te voeren. - Waarom voorkeur geven aan gevalideerde routes?
Het gebruik van gevalideerde routes in een import-policy maakt BGP-hijacks moeilijker. Hierdoor gaat het uitgaande klantverkeer eerst via gevalideerde routes voordat onbekende routes worden gebruikt. Dit voorkomt dat kwaadwillende partijen valse IP-prefix ASN combinaties kunnen verspreiden die door andere AS’en worden overgenomen.
Verbeteren van de veiligheid en betrouwbaarheid van het uitgaande klant-internetverkeer
SouthernHill kan voorkeur geven aan gevalideerde routes binnen de gebruikte protocollen door het opzetten van een RPKI-cache server, ook wel RPKI-validator genoemd. Door het aanpassen van de bestaande border router configuratie zullen de inkomende routes worden gevalideerd aan de hand van deze validator. Hiermee verbeteren we de veiligheid en betrouwbaarheid van het uitgaande klant-internetverkeer.
Voor meer informatie over RPKI en de manier waarop SouthernHill dit geïmplementeerd heeft, kun je contact met ons opnemen.