terug naar blogs

Route authorisation (RPKI)

Afbeelding voor Route authorisation (RPKI)
avatar van Colin
auteur
Colin
auteur
avatar van Colin
Colin
16 september 2022 leestijd 3 minuten

Sinds 31 augustus is de online check internet.nl uitgebreid met route authorisation. Wat is dit en waarom is het belangrijk om dit te hebben?

Op internet.nl kun je eenvoudig checken of je website, e-mail en internetverbinding voldoet aan belangrijke moderne standaarden. Denk aan IPv6, HSTS en DNSSEC. Misschien klinken ze niet allemaal even bekend maar ze vallen wel onder de ‘Pas toe of leg uit’-verplichting voor overheidsorganisaties. Sinds kort is de check uitgebreid met route authorisation (RPKI – Resource Public Key Infrastructure).

Om te begrijpen wat het doet moeten we kijken naar de werking van het internet. Dat is één groot netwerk waar weer een hoop kleinere netwerken aan verbonden zijn. Bezoek je een website dan reizen duizenden kleine datapakketjes over het internet van de webserver naar jouw computer. Deze datapakketjes zelf weten de weg niet, ze bevatten wel het IP-adres waar ze naar toe moeten. Routers op het internet houden een lijst bij waarin staat naar welk netwerk ze het verkeer (datapakketjes) voor een bepaalde IP-range heen moeten sturen. Een aantal routers (hops) verder komt datapakketje zo op zijn bestemming.

en globale internet routing lijst bevat ongeveer zo’n 500.000 regels en krijgt continu updates. Bijvoorbeeld omdat een IP-range via een ander netwerk moet gaan lopen. Die informatie wisselen routers uit middels het Border Gateway Protocol (BGP). Dit vormt zich het “navigatiesysteem” van het internet. Alleen stamt BGP wel uit een tijd waarin het internet ook bestond uit een stuk vertrouwen.

Afgelopen jaren zijn er meerdere incidenten geweest waarbij landen, beheerders en soms ronduit criminelen een onterechte BGP announcement uitsturen. Ze informeren daarmee onterecht routers op het internet dat een IP-range via hun netwerk moet lopen. Hiermee kapen ze het verkeer voor deze IP-ranges en kan onversleuteld verkeer uitgelezen worden.

Route authorisation (RPKI) is hier het antwoord op. Eigenaren van IP-ranges en netwerken bevestigen middels een cryptografische sleutel hun eigenaarschap over deze adressen. Routers die RPKI ondersteunen kunnen zo controleren of een BGP announcement als legitiem kan worden gezien. Hiermee kan een per ongeluk gemaakte fout, of daadwerkelijke hijack, geen doorgang krijgen. Met de check van internet.nl kun je eenvoudig zien of jouw website op infrastructuur is ondergebracht met ondersteuning voor RPKI. Het is een verplichting voor websites van overheidsorganisaties, maar geen enkele organisatie zou het risico moeten lopen dit niet te hebben.