Gepubliceerd op
Met de uitrol van RPKI wil BNIX bijdragen aan de beveiliging van het wereldwijde internet.

Wat is RPKI ?

RPKI staat voor Resource Public Key Infrastructure. Het is een hiërarchische openbare sleutelinfrastructuur die steeds vaker wordt gebruikt om de routeringsinfrastructuur van internet te beveiligen. RPKI wordt vaak geïmplementeerd naast het Border Gateway Protocol, om een instrument te hebben om ontvangen routes te valideren. Het verbindt de internetbroninformatie (meestal IP-adressen) met een vertrouwensanker en werkt zo preventief tegen het kapen van routes en andere aanvallen.

BGP is een kwetsbaar routeringsprotocol en naarmate het internet groeide, werd er steeds vaker melding gemaakt van gekaapte routes. Dit betekent dat een Autonoom Systeem routes naar het internet adverteerde die het niet bezit en hierdoor de service verstoorde en mogelijk schade toebracht aan individuele gebruikers of netwerken. Daarom bood de IETF een veilige manier om de toegewezen internetbronnen te certificeren en routering te beveiligen. De Internet Architecture Board beschouwt "een goed ontworpen en uitgerolde RPKI als een absolute voorwaarde voor het hebben van een veilig globaal routeringsysteem, wat op zijn beurt een voorwaarde is voor een betrouwbaar wereldwijd internet."

De ROA of Route Origin Authorization vormt de basis van deze architectuur. Het is een record van een routeaankondiging dat cryptografisch kan worden geverifieerd met behulp van RPKI.

RPKI bij Belnet en BNIX

Belnet, het Belgisch onderzoeksnetwerk, heeft RPKI geïmplementeerd op al zijn grenzen. De infrastructuur is opgezet in 2020 en maakt gebruik van 2 RPKI-servers om inkomende routes te valideren. Deze infrastructuur wordt sinds begin 2022 ook gebruikt door de BNIX route servers. Naast de reeds bestaande IRRDB-filtering, hebben we een nieuwe beveiligingslaag toegevoegd aan de routes die via de route servers worden geleerd.

Een route wordt enkel geweigerd als er een certificaat bestaat voor een bepaalde internetbron dat niet correct is gevalideerd. Afwezigheid van RPKI zal niet resulteren in het weren van de routeaankondiging, maar we raden ten zeerste aan om deze architectuur in uw netwerk te implementeren.

Heeft u vragen of wenst u hulp bij het opzetten van RPKI op uw netwerk?
Vond u dit nieuws interessant?

Copyright © 2024 BNIX - Disclaimer - AUP