BEVEILIGEN VAN DE ROUTING INFRASTRUCTUUR D.M.V. RPKI

True voegt Resource Public Key Infrastructure toe aan zijn routing infrastructuur

Onjuiste routing beslissingen kunnen grote gevolgen hebben

Het belang van internet is tegenwoordig groter dan ooit. De grootste bedrijven van de wereld draaien op de inkomsten van diensten die voor iedereen overal en altijd beschikbaar moeten zijn. Deze bedrijven doen hun uiterste best om hun diensten constant goed te laten draaien en bereikbaar te houden, echter is zelfs dat soms niet genoeg. De realiteit wijst uit dat derde partijen, al dan niet expres, ervoor kunnen zorgen dat wereldwijde diensten ineens niet meer te gebruiken zijn. Ik doel hier op het feit dat de internet routing infrastructuur onvoldoende bescherming biedt tegen het injecteren van foutieve routes.

YouTube en Pakistan Telecom

Het bekendste voorbeeld van een dergelijke situatie is het hijacken (kapen) van de IP-ranges van YouTube door Pakistan Telecom in 2008. Door een ongeautoriseerde route announcement vanuit AS17557 van Pakistan Telecom wordt de 208.65.153.0/24 range gehijacked. Normaliter zouden de transitpartijen waar Pakistan Telecom gebruik van maakt deze prefix announcement niet toelaten en negeren. Het bleek echter dat de filters van transitprovider PCCW Global niet juist geconfigureerd waren, waardoor zij deze route over de rest van het internet hebben gepropageerd. Resultaat was dat een kwart van de IP’s uit de 208.65.152.0/22 range van YouTube niet langer te bereiken waren.

Prefix hijacking

Het voorbeeld van Pakistan Telecom en YouTube is een extreem voorbeeld van prefix hijacking, echter is het een probleem dat nog altijd veel te vaak voorkomt. Peers op een internet exchange of op private peerings maken lang niet altijd gebruik van routefilters en kunnen op deze manier nog altijd slechte routes binnenkrijgen die ervoor zorgen dat een deel van het verkeer van een peer niet meer op de juiste plek terechtkomt. Er wordt gebruikgemaakt van routefilters en prefix-limits, maar dit zijn niet de meest elegante oplossingen en hiermee worden niet alle risico’s afgevangen.

Opkomst van Resource Public Key Infrastructure

De afgelopen jaren is hard gewerkt om RPKI op gang te krijgen. RPKI is een techniek die gebruikt kan worden om de routing infrastructuur van het internet te beveiligen. Als gebruikgemaakt wordt van RPKI voor Route Origin Validation wordt elke route die een router ontvangt, gevalideerd tegenover een set aan certificaten die ROA’s genoemd worden. ROA’s of Route Origin Authorizations zijn certificaten die door een organisatie gegenereerd kunnen worden die een combinatie van een prefix en een AS-nummer bevatten. Een voorbeeld van de informatie die een ROA kan bevatten:

• AS-nummer: 15703
• Prefix: 87.233.0.0/16
• Max length: 18

De ROA die hier beschreven is, zorgt ervoor dat de 87.233.0.0/16 route enkel als valide route wordt gezien als deze geadverteerd wordt vanuit AS15703. De max length heeft betrekking op hoe specifiek de route mag zijn, in dit geval mogen de vier /18′s die binnen deze /16 vallen ook geadverteerd worden. Mocht er daarentegen een /24 uit deze range geadverteerd worden dan wordt deze als ‘invalid’gemarkeerd, omdat de max length overschreden wordt.

Validatiestatus toekennen

Op het moment dat een route als invalid gemarkeerd wordt op de router, gebeurt er nog niets mee. De validatiestatus die routes op deze manier toegekend krijgen, kunnen vervolgens gebruikt worden in routing policies om bijvoorbeeld valid routes over invalid routes te prefereren door de local preference aan te passen. Het zou zelfs mogelijk zijn om invalid routes geheel te negeren en niet in de routing tabel op te nemen. Momenteel is dit nog niet aan te raden door de lage mate van adoptie, er is nog niet genoeg informatie beschikbaar en het percentage routes dat momenteel door RPKI geïnvalideerd is procentueel gezien vrij hoog.

Zelf Route Origin Authorizations aanmaken

Om uw eigen ROA’s aan te maken, moet u een Certificate Authority (CA) aanmaken. Dit kunt u zelf doen om de controle volledig in eigen hand te houden, het is echter ook mogelijk om een hosted oplossing van uw RIR te gebruiken. RIPE NCC heeft hiervoor een systeem geïmplementeerd in de LIR-portal die het creëren van de nodige ROA’s enorm vergemakkelijkt. Zo kunt u binnen enkele minuten alle prefixes binnen uw AS voorzien van ROA’s.

RPKI voor betere organisatie

Door gebruik te maken van deze ROA’s RPKI-informatie kunnen in de toekomst betere routing beslissingen gemaakt worden. Het huidige model waar de verschillende AS’en elkaar vertrouwen, is gebrekkig en de toevoeging van RPKI kan zorgen voor een betere organisatie van de internet routing infrastructuur. Voordat RPKI echt nuttig is, is het echter nodig dat het overgrote gedeelte van het internet er gebruik van maakt. Het RPKI-dashboard laat zien dat momenteel de mate van adoptie nog net onder de 6% van alle internet routes ligt. Voor een systeem dat uiteindelijk origin validation mogelijk moet maken voor het gehele internet is dat natuurlijk veel te weinig. Hoe meer AS’en gebruik gaan maken van RPKI hoe bruikbaarder de informatie wordt die het systeem bevat. Zelfs als u zelf geen gebruik gaat maken van RPKI-informatie in uw routing configuratie is het nuttig om alvast de ROA’s aan te maken voor uw routes zodat andere partijen die de RPKI-informatie wel willen gebruiken de mogelijkheid daartoe krijgen.

BGPSEC

Naast Origin Validation wordt RPKI in de toekomst ook gebruikt voor BGPSEC, een extensie voor het internet routing protocol BGP dat naast Origin Validation ook Path Validation mogelijk maakt. Dit houdt in dat de gehele internetroute van A tot Z zal worden beveiligd, in plaats van alleen het eindpunt. Het duurt nog wel enige tijd totdat BGPSEC daadwerkelijk wordt uitgerold, maar als RPKI tegen die tijd gemeengoed is, vergemakkelijkt het de uitrol wel aanzienlijk.

Toekomst

Het komt er op neer dat meer mensen zich klaar moeten maken voor RPKI door hun ROA’s aan te maken. Als genoeg AS’en hun ROA’s in orde hebben, kan het RPKI-systeem voor Origin Validation in gebruik genomen worden. Momenteel zitten we in een soort kip-ei situatie waar het inrichten van RPKI nog weinig oplevert, maar als niemand dat doet, wordt het nooit een nuttig systeem. Het is dus van groot belang dat ieder AS zijn ROA’s in orde maakt. Met de tools die aangeboden worden, zou dat ook helemaal geen probleem moeten zijn.

Zondag 2 november is er voor de 69e RIPE-meeting in Londen ook een gratis RIPE NCC trainingscursus te bezoeken waar onder andere aandacht besteed wordt aan RPKI.