Witte Huis komt met plannen om BGP-kwetsbaarheden aan te pakken
Het Witte Huis heeft plannen gepresenteerd om kwetsbaarheden in het Border Gateway Protocol (BGP) aan te pakken (pdf). BGP wordt gebruikt om verkeer tussen internetproviders te routeren en essentieel is voor de werking van het internet. Het routeren van internetverkeer vindt plaats via allerlei netwerken wat op basis van wederzijds vertrouwen gebeurt.
Elke partij vertrouwt dat de route die wordt gebruikt voor het versturen van informatie veilig is, klopt en niet voor malafide doeleinden wordt aangepast. Dit model is echter kwetsbaar voor misbruik en aanvallen, maar ook een simpele typefout van een netwerkbeheerder kan ervoor zorgen dat internetverkeer onbedoeld wordt omgeleid. Resource Public Key Infrastructure (RPKI) is ontwikkeld om BGP en de routering van verkeer te beschermen.
"De eigenaar van een blok ip-adressen legt in verklaringen vast bij welk netwerk ze horen en hoe groot het blok hoort te zijn. Zo kunnen andere netwerkbeheerders controleren of er geen onbedoelde of kwaadwillige omleiding van internetverkeer plaatsvindt. RPKI voorkomt route-lekken en -hijacks en is essentieel voor de beveiliging van websites en systemen", aldus de uitleg van het Forum Standaardisatie.
RPKI bestaat uit twee primaire onderdelen: Route Origin Authorizations (ROA) en Route Origin Validation (ROV). Een ROA is een digitaal gesigneerd certificaat dat een netwerk geautoriseerd is om een bepaald blok van 'internet space', zoals ip-adressen, aan te kondigen. ROV is het proces waarbij BGP-routers van ROA-data gebruikmaken om BGP-aankondigingen die als ongeldig zijn aangemerkt te filteren. Het Witte Huis benadrukt dat ROV alleen de internetadressen van een organisatie kan beschermen als die organisatie ROA's heeft gemaakt.
Volgens het Witte Huis loopt het gebruik van RPKI in de Verenigde Staten achter bij andere regio's. Dat komt met name omdat een aantal grote netwerkpartijen in het land geen gebruikmaken van ROA's. Het White House Office of the National Cyber Director (ONCD) is nu met een roadmap gekomen waarin wordt opgeroepen tot het gebruik van RPKI. Ook gaat de Amerikaanse overheid maatregelen nemen om het gebruik van RPKI binnen federale netwerken te vergroten.
"Internetveiligheid is te belangrijk om te negeren. Dat is waarom de federale overheid het voorbeeld geeft door een snelle adoptie van BGP-beveiligingsmaatregelen door overheidsdiensten aan te moedigen", zegt Harry Coker, National Cyber Director van het Witte Huis. De plannen zijn zowel gericht op de federale overheid, netwerkpartijen als andere stakeholders.
Tot nu toe heeft Rusland hier geen misbruik van gemaakt.
Wij willen dit wel doen, en tegelijk niet opvallen. Als wij de touwtjes in handen hebben, kunnen wij onbeperkt misbruik maken, en als we het goed doen, valt het niemand op.
Wie beheert de sleutels om de BGP routeringen goed te keuren?
Een aantal goede voorstellen zijn:
-Kiwix (Offline Wikis)
-Briar (Offline chats)
-Organic maps (Offline landkaarten)
-ChatterUI/SDAI (Offline AI)
-Survival Manual (Overlevingshandleiding)
-TrailSense (Digitale overlevingstoolset)
Vergeet ook niet wat multimedia zoals boeken, films, foto's, ondeugende inhoud, games en stripboeken erop te zetten evenals apps om deze af te kunnen spelen.
Zorg dat ook deze apps niet afhankelijk van het internet zijn.
Wie beheert de sleutels om de BGP routeringen goed te keuren?
Het zou helpen als je je wat inlas op de genoemde technologie, en niet je paranoia als vervangende informatie gebruikte.
Als altijd - providers hebben en houden controle over hun netwerk.
BGP meldt welk subnet waar zit , en op basis van BGP metadata (AS-pad) kiezen routers "de beste" route.
Dat kan (lokaal binnen de provider) getweaked worden om routes voorrang of minder voorrang te geven.
Daarnaast kunnen(/willen/moeten) providers routes filteren - je accepteert ze alleen van je klanten en nog wat sanity checks tegen "overduidelijke fouten" .
IP reeksen worden toegekend door de Internet registries - RIPE in de EU, ARIN in de VS, APNIC in AsiaPac (e.a.) .
Die hebben ook een database wie welk subnet heeft .
En de eigenaren van het subnet documenteren er wat/hoe/aan wie ze het subnet annonceren.
Idealiter - configureren andere providers hun filters op die basis .
Als de eigenaar van 8.8.8.0 bij ARIN staat als AS 666, dan moet je geen route accepteren voor 8.8.8.8 met AS 8888 als bron.
rPKI is het protocol/framewerk om die informatie in een standaard formaat, en voorzien van certificaten voor authenticatie beschikbaar te stellen .
En providers kunnen een server configureren die die informatie ophaalt - en hun routers met die server (in hun domein) laten praten om een routing update te controleren.
Omdat het hun eigen netwerk is kunnen ze die rPKI informatie zonodig overrulen - als een ISP iets fout in de registry gezet heeft bijvoorbeeld .
https://www.sidn.nl/en/news-and-blogs/rpki-secures-bgp-internet-routing-system
En veel meer als je die termen in een search engine gegooid had.
En het _is_ met enige regelmaat misgegaan.
Vaak vanwege 'gewoon een configuratie fout', soms omdat een ISP in een bepaald land iets met censureren (pakistan/youtube , 2008) en het omleiden van dat verkeer naar buiten lekt. rPKI moet dat type fout en hijack veel lastiger maken.
Sommige mensen hier denken dat alles vanzelf goed blijft werken, en alle initiatieven dus alleen maar een kwaadaardige inslag kunnen hebben .
Gegeven het belang dat "de VS" hebben bij een redelijk normaal werkend Internet is het stimuleren van een stel BCPs (best current practices) gewoon ook een reden voor dat soort initiatieven. Zeker als de sector daar achterloopt.
Wie beheert de sleutels om de BGP routeringen goed te keuren?
Yubikeys?
In het verleden is het al meerdere keren goed mis gegaan dooe foutjes, kijk een naar de twee voorbeelden die in dit uitlegartikel genoemd worden:
https://www.forumstandaardisatie.nl/nieuws/beter-beveiligde-internetroutering-overheid-voor-eind-2024
Of lees dit artikel waarin de BGP mishaps op een rijtje worden gezet:
https://nanog.org/stories/articles/a-brief-history-of-the-internets-biggest-bgp-incidents/
In het verleden is het al meerdere keren goed mis gegaan dooe foutjes, kijk een naar de twee voorbeelden die in dit uitlegartikel genoemd worden:
https://www.forumstandaardisatie.nl/nieuws/beter-beveiligde-internetroutering-overheid-voor-eind-2024
Of lees dit artikel waarin de BGP mishaps op een rijtje worden gezet:
https://nanog.org/stories/articles/a-brief-history-of-the-internets-biggest-bgp-incidents/
Dank voor de links. Die BGP mishap 2008 via Witrusland en IJsland is een aparte.
Een aantal goede voorstellen zijn:
-Kiwix (Offline Wikis)
-Briar (Offline chats)
-Organic maps (Offline landkaarten)
-ChatterUI/SDAI (Offline AI)
-Survival Manual (Overlevingshandleiding)
-TrailSense (Digitale overlevingstoolset)
Vergeet ook niet wat multimedia zoals boeken, films, foto's, ondeugende inhoud, games en stripboeken erop te zetten evenals apps om deze af te kunnen spelen.
Zorg dat ook deze apps niet afhankelijk van het internet zijn.
En een off the grid stroomvoorziening. Goedkope 2-takt generator of zonnecellen i.c.m. een camping accu.
Een aantal goede voorstellen zijn:
-Kiwix (Offline Wikis)
-Briar (Offline chats)
-Organic maps (Offline landkaarten)
-ChatterUI/SDAI (Offline AI)
-Survival Manual (Overlevingshandleiding)
-TrailSense (Digitale overlevingstoolset)
Vergeet ook niet wat multimedia zoals boeken, films, foto's, ondeugende inhoud, games en stripboeken erop te zetten evenals apps om deze af te kunnen spelen.
Zorg dat ook deze apps niet afhankelijk van het internet zijn.
En een off the grid stroomvoorziening. Goedkope 2-takt generator of zonnecellen i.c.m. een camping accu.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
