image

Witte Huis komt met plannen om BGP-kwetsbaarheden aan te pakken

woensdag 4 september 2024, 14:20 door Redactie, 9 reacties

Het Witte Huis heeft plannen gepresenteerd om kwetsbaarheden in het Border Gateway Protocol (BGP) aan te pakken (pdf). BGP wordt gebruikt om verkeer tussen internetproviders te routeren en essentieel is voor de werking van het internet. Het routeren van internetverkeer vindt plaats via allerlei netwerken wat op basis van wederzijds vertrouwen gebeurt.

Elke partij vertrouwt dat de route die wordt gebruikt voor het versturen van informatie veilig is, klopt en niet voor malafide doeleinden wordt aangepast. Dit model is echter kwetsbaar voor misbruik en aanvallen, maar ook een simpele typefout van een netwerkbeheerder kan ervoor zorgen dat internetverkeer onbedoeld wordt omgeleid. Resource Public Key Infrastructure (RPKI) is ontwikkeld om BGP en de routering van verkeer te beschermen.

"De eigenaar van een blok ip-adressen legt in verklaringen vast bij welk netwerk ze horen en hoe groot het blok hoort te zijn. Zo kunnen andere netwerkbeheerders controleren of er geen onbedoelde of kwaadwillige omleiding van internetverkeer plaatsvindt. RPKI voorkomt route-lekken en -hijacks en is essentieel voor de beveiliging van websites en systemen", aldus de uitleg van het Forum Standaardisatie.

RPKI bestaat uit twee primaire onderdelen: Route Origin Authorizations (ROA) en Route Origin Validation (ROV). Een ROA is een digitaal gesigneerd certificaat dat een netwerk geautoriseerd is om een bepaald blok van 'internet space', zoals ip-adressen, aan te kondigen. ROV is het proces waarbij BGP-routers van ROA-data gebruikmaken om BGP-aankondigingen die als ongeldig zijn aangemerkt te filteren. Het Witte Huis benadrukt dat ROV alleen de internetadressen van een organisatie kan beschermen als die organisatie ROA's heeft gemaakt.

Volgens het Witte Huis loopt het gebruik van RPKI in de Verenigde Staten achter bij andere regio's. Dat komt met name omdat een aantal grote netwerkpartijen in het land geen gebruikmaken van ROA's. Het White House Office of the National Cyber Director (ONCD) is nu met een roadmap gekomen waarin wordt opgeroepen tot het gebruik van RPKI. Ook gaat de Amerikaanse overheid maatregelen nemen om het gebruik van RPKI binnen federale netwerken te vergroten.

"Internetveiligheid is te belangrijk om te negeren. Dat is waarom de federale overheid het voorbeeld geeft door een snelle adoptie van BGP-beveiligingsmaatregelen door overheidsdiensten aan te moedigen", zegt Harry Coker, National Cyber Director van het Witte Huis. De plannen zijn zowel gericht op de federale overheid, netwerkpartijen als andere stakeholders.

Reacties (9)
04-09-2024, 14:50 door Anoniem
Wat ze bedoelen is:

Tot nu toe heeft Rusland hier geen misbruik van gemaakt.
Wij willen dit wel doen, en tegelijk niet opvallen. Als wij de touwtjes in handen hebben, kunnen wij onbeperkt misbruik maken, en als we het goed doen, valt het niemand op.
04-09-2024, 17:02 door Anoniem
Ik kan dit niet los zien van https://www.security.nl/posting/31356/Amerikaanse+internet+kill-switch+uitgeschakeld. Met de Internet Kill Switch zou toenmalig president Obama het internet met een knop (switch) uit kunnen schakelen. Biden was toen vicepresident.

Wie beheert de sleutels om de BGP routeringen goed te keuren?
04-09-2024, 17:28 door Anoniem
Ik raad mensen altijd aan om ook offline bronnen te houden.
Een aantal goede voorstellen zijn:
-Kiwix (Offline Wikis)
-Briar (Offline chats)
-Organic maps (Offline landkaarten)
-ChatterUI/SDAI (Offline AI)
-Survival Manual (Overlevingshandleiding)
-TrailSense (Digitale overlevingstoolset)
Vergeet ook niet wat multimedia zoals boeken, films, foto's, ondeugende inhoud, games en stripboeken erop te zetten evenals apps om deze af te kunnen spelen.
Zorg dat ook deze apps niet afhankelijk van het internet zijn.
04-09-2024, 17:30 door Anoniem
Door Anoniem: Ik kan dit niet los zien van https://www.security.nl/posting/31356/Amerikaanse+internet+kill-switch+uitgeschakeld. Met de Internet Kill Switch zou toenmalig president Obama het internet met een knop (switch) uit kunnen schakelen. Biden was toen vicepresident.

Wie beheert de sleutels om de BGP routeringen goed te keuren?

Het zou helpen als je je wat inlas op de genoemde technologie, en niet je paranoia als vervangende informatie gebruikte.

Als altijd - providers hebben en houden controle over hun netwerk.

BGP meldt welk subnet waar zit , en op basis van BGP metadata (AS-pad) kiezen routers "de beste" route.
Dat kan (lokaal binnen de provider) getweaked worden om routes voorrang of minder voorrang te geven.

Daarnaast kunnen(/willen/moeten) providers routes filteren - je accepteert ze alleen van je klanten en nog wat sanity checks tegen "overduidelijke fouten" .

IP reeksen worden toegekend door de Internet registries - RIPE in de EU, ARIN in de VS, APNIC in AsiaPac (e.a.) .
Die hebben ook een database wie welk subnet heeft .

En de eigenaren van het subnet documenteren er wat/hoe/aan wie ze het subnet annonceren.

Idealiter - configureren andere providers hun filters op die basis .

Als de eigenaar van 8.8.8.0 bij ARIN staat als AS 666, dan moet je geen route accepteren voor 8.8.8.8 met AS 8888 als bron.

rPKI is het protocol/framewerk om die informatie in een standaard formaat, en voorzien van certificaten voor authenticatie beschikbaar te stellen .
En providers kunnen een server configureren die die informatie ophaalt - en hun routers met die server (in hun domein) laten praten om een routing update te controleren.

Omdat het hun eigen netwerk is kunnen ze die rPKI informatie zonodig overrulen - als een ISP iets fout in de registry gezet heeft bijvoorbeeld .

https://www.sidn.nl/en/news-and-blogs/rpki-secures-bgp-internet-routing-system

En veel meer als je die termen in een search engine gegooid had.

En het _is_ met enige regelmaat misgegaan.
Vaak vanwege 'gewoon een configuratie fout', soms omdat een ISP in een bepaald land iets met censureren (pakistan/youtube , 2008) en het omleiden van dat verkeer naar buiten lekt. rPKI moet dat type fout en hijack veel lastiger maken.


Sommige mensen hier denken dat alles vanzelf goed blijft werken, en alle initiatieven dus alleen maar een kwaadaardige inslag kunnen hebben .
Gegeven het belang dat "de VS" hebben bij een redelijk normaal werkend Internet is het stimuleren van een stel BCPs (best current practices) gewoon ook een reden voor dat soort initiatieven. Zeker als de sector daar achterloopt.
04-09-2024, 17:41 door Anoniem
Door Anoniem: Ik kan dit niet los zien van https://www.security.nl/posting/31356/Amerikaanse+internet+kill-switch+uitgeschakeld. Met de Internet Kill Switch zou toenmalig president Obama het internet met een knop (switch) uit kunnen schakelen. Biden was toen vicepresident.

Wie beheert de sleutels om de BGP routeringen goed te keuren?

Yubikeys?
04-09-2024, 20:49 door Anoniem
Ah, de gebuikelijke complotreacties weer bovenaan natuurlijk....

In het verleden is het al meerdere keren goed mis gegaan dooe foutjes, kijk een naar de twee voorbeelden die in dit uitlegartikel genoemd worden:

https://www.forumstandaardisatie.nl/nieuws/beter-beveiligde-internetroutering-overheid-voor-eind-2024

Of lees dit artikel waarin de BGP mishaps op een rijtje worden gezet:

https://nanog.org/stories/articles/a-brief-history-of-the-internets-biggest-bgp-incidents/
05-09-2024, 09:45 door Anoniem
Door Anoniem: Ah, de gebuikelijke complotreacties weer bovenaan natuurlijk....

In het verleden is het al meerdere keren goed mis gegaan dooe foutjes, kijk een naar de twee voorbeelden die in dit uitlegartikel genoemd worden:

https://www.forumstandaardisatie.nl/nieuws/beter-beveiligde-internetroutering-overheid-voor-eind-2024

Of lees dit artikel waarin de BGP mishaps op een rijtje worden gezet:

https://nanog.org/stories/articles/a-brief-history-of-the-internets-biggest-bgp-incidents/

Dank voor de links. Die BGP mishap 2008 via Witrusland en IJsland is een aparte.
06-09-2024, 03:39 door johanw
Door Anoniem: Ik raad mensen altijd aan om ook offline bronnen te houden.
Een aantal goede voorstellen zijn:
-Kiwix (Offline Wikis)
-Briar (Offline chats)
-Organic maps (Offline landkaarten)
-ChatterUI/SDAI (Offline AI)
-Survival Manual (Overlevingshandleiding)
-TrailSense (Digitale overlevingstoolset)
Vergeet ook niet wat multimedia zoals boeken, films, foto's, ondeugende inhoud, games en stripboeken erop te zetten evenals apps om deze af te kunnen spelen.
Zorg dat ook deze apps niet afhankelijk van het internet zijn.

En een off the grid stroomvoorziening. Goedkope 2-takt generator of zonnecellen i.c.m. een camping accu.
07-09-2024, 22:43 door Anoniem
Door johanw:
Door Anoniem: Ik raad mensen altijd aan om ook offline bronnen te houden.
Een aantal goede voorstellen zijn:
-Kiwix (Offline Wikis)
-Briar (Offline chats)
-Organic maps (Offline landkaarten)
-ChatterUI/SDAI (Offline AI)
-Survival Manual (Overlevingshandleiding)
-TrailSense (Digitale overlevingstoolset)
Vergeet ook niet wat multimedia zoals boeken, films, foto's, ondeugende inhoud, games en stripboeken erop te zetten evenals apps om deze af te kunnen spelen.
Zorg dat ook deze apps niet afhankelijk van het internet zijn.

En een off the grid stroomvoorziening. Goedkope 2-takt generator of zonnecellen i.c.m. een camping accu.
Mooi overlevingspakket in geval van lange stroomuitval, of de inrichting van een off grid (vakantie)woning. Een jaar of tien geleden werd zo'n noodpakket geassocieerd met politiek extremisme.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.