Overheid moet voor eind 2024 verplicht RPKI voor alle servers toepassen
Alle Nederlandse overheidsorganisaties moeten voor het einde van 2024 verplicht Resource Public Key Infrastructure (RPKI) voor alle gebruikte ip-adressen en overheidsnetwerken toepassen. Dat is afgesproken tijdens het Overheidsbreed Beleidsoverleg Digitale Overheid dat vorige week plaatsvond. Het gaat hier om een streefbeeldafspraak, wat inhoudt dat RPKI zowel bij nieuwe aanschaffen vereist is, maar ook op alle bestaande overheidssystemen geïmplementeerd moet worden.
Het routeren van internetverkeer vindt plaats via allerlei netwerken wat op basis van wederzijds vertrouwen gebeurt. Elke partij vertrouwt dat de route die wordt gebruikt voor het versturen van informatie veilig is, klopt en niet voor malafide doeleinden wordt aangepast. Dit model is echter kwetsbaar voor misbruik en aanvallen, maar ook een simpele typefout van een netwerkbeheerder kan ervoor zorgen dat internetverkeer wordt omgeleid.
Een voorbeeld hiervan is een incident waarbij een set ip-adressen van het ministerie van Buitenlandse Zaken in 2014 tijdelijk gekaapt werd door een Bulgaarse netwerkbeheerder. Bij een ander voorbeeld in 2019 werd netwerkverkeer van onder andere KPN omgeleid naar China Telecom. Met cryptografisch verifieerbare statements zorgt RPKI ervoor dat netwerkproviders de keten kunnen valideren.
Hiervoor worden digitale certificaten gebruikt. Die geven aan naar welke netwerkprovider (‘oorsprong’) het internetverkeer voor een bepaald ip-adres verstuurd dient te worden. Deze certificaten worden centraal opgeslagen, wat het voor netwerkproviders wereldwijd mogelijk maakt de routes van internetverkeer te valideren. "Hiermee beveiligt RPKI een fundamenteel onderdeel van het internet", aldus het Forum Standaardisatie.
Sinds 2019 staat RPKI op de ‘pas toe of leg uit’-lijst en moeten overheidsorganisaties het eisen tijdens de aanschaf van ict-diensten en -systemen. Door de nu gemaakte streefbeeldafspraak moet het ook voor alle bestaande systemen worden geïmplementeerd. Uit een nulmeting van afgelopen december blijkt dat 78 procent van de overheidswebsites RPKI volledig ondersteunt, tegenover 75 procent van de e-maildomeinen. Uit de meting blijkt dat vooral lokale overheden nog stappen te zetten hebben.
Andere netwerken moeten RPKI wel valideren inderdaad, maar voor overheidsnetwerken is het mooi als ze die validatie gaan toepassen. En natuurlijk netjes als een overheid de mogelijkheid tot veilige routering wel aanbiedt.
Net zoals SPF of DMARC records pas effect hebben wanneer mail ontvangers er wat mee doen .
Alleen - als je zelf *geen* rPKI records publiceert heb je in elk geval geen baat binnen de netwerken die er iets mee zouden kunnen doen.
Goed, logisch om het te doen - alleen maar jezelf niet bovenmatig rijk rekenen met 100% effect op het hele Internet.
https://www.security.nl/posting/786452/Belastingdienst+heeft+nog+jaren+nodig+voor+moderniseren+ict-systemen
https://www.security.nl/posting/786452/Belastingdienst+heeft+nog+jaren+nodig+voor+moderniseren+ict-systemen
Deze aanpassing is infrastructuur gerelateerd en specifiek voor 1 onderdeel, wat heel goed te beheren is?
Niet te vergelijken met elkaar.
https://www.security.nl/posting/786452/Belastingdienst+heeft+nog+jaren+nodig+voor+moderniseren+ict-systemen
Deze aanpassing is infrastructuur gerelateerd en specifiek voor 1 onderdeel, wat heel goed te beheren is?
Niet te vergelijken met elkaar.
PRKI-ROA zou je als je masochistisch aangelegd bent ook voor je interne netwerk infrastructuur vast wel kunnen toepassen, Dat is dan alleen bij de complexere infrastructuren, aangezien het van toepassing is op BGP advertisements maar in de kern is het een functionaliteit die op Internet van toepassing is. Wat dat betreft valt het dus wel heel erg mee met de relatie tot de interne modernisering van de automatisering. Overheid zelf kan daar dan ook technisch zelf maar relatief weinig mee, het is vooral aan Internet/Hosting/Service Providers om dat gefixed te krijgen, in opdracht van diezelfde overheidspartijen. Moeten de vragen wel concreet gesteld worden ;-)
Misschien moet overheidsdata ook voortaan maar via een betrouwbare vpn verbinding. dan is al die data misschien ook minder makkelijk dan nu te onderscheppen door kwaadwillende of andere individuen die geen recht hebben die data in te zien.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!