Managed hosting door True

Serie: Routingsysteem BGP vormt beveiligingsrisico

Providers aarzelen over secure routing

Deel 3 en slot: Surfnet heeft test-infrastructuur in de lucht

60 procent van de providers blijkt nog nooit gehoord te hebben van een nieuwe beveiligingsinfrastructuur die zij moeten opbouwen om omleidingen van het internetverkeer te voorkomen. Deze nieuwe infrastructuur maakt het mogelijk om te kiezen tussen conflicterende IP-routes op basis van echtheidscertificaten. Providers zien daarnaast op tegen de nieuwe investeringen en voelen huiver om de bereikbaarheid van het eigen netwerk in handen te leggen van één centrale, certificerende instantie.

Om een nieuwe golf van cybercriminaliteit voor te zijn begint internetorganisatie RIPE in januari 2011 met een nieuwe technische maatregel: het uitreiken van echtheidscertificaten aan de netwerken van internet service providers en andere netbeheerders. De organisatie hoopt internet service providers ervan te kunnen overtuigen internetverkeer alleen door te sturen aan gecertificeerde netwerken. Dat kan door het opbouwen van een Resource Public Key Infrastructure (RPKI).

Internetonderzoeker Benno Overeinder van NLnet Labs polste in februari en maart 2010 de bereidheid van 130 Europese providers om tijd en geld te investeren in de Resource Public Key Infrastructure (RPKI). Dat deed hij samen met Maarten Botterman van GNKS Consult in opdracht van de Europese onderzoeksorganisatie ENISA .

RPKI vergroot complexiteit netwerkbeheer

60 procent van de providers blijkt volgens het onderzoek nog nooit gehoord te hebben van de nieuwe beveiligingsinfrastructuur die zij moeten opbouwen om deze certificaten te benutten.
Niet alle providers die al wel van RPKI hebben gehoord, zijn daarnaast meteen enthousiast. Zij zien op tegen de investering die nodig is om te leren omgaan met het protocol RPKI. Ook bestaat er huiver om de bereikbaarheid van het eigen netwerk in handen te leggen van één centrale, certificerende instantie.

Overeinder: 'RPKI vergroot de complexiteit van het netwerkbeheer voor providers. Bovendien is er altijd een klein risico dat, wanneer RPKI vastloopt, netwerken helemaal niet meer bereikbaar zijn.' Volgens de onderzoeker is er echter altijd een fall-back strategie mogelijk: 'om terug te vallen op niet gevalideerde routes.'

Overeinder spreekt van een 'risico-afweging': 'tussen de mogelijke schade wanneer een netwerk gekaapt wordt en de extra complexiteit die RPKI oplevert.'

SURFnet test RPKI

Toch vindt Overeinder het belangrijk om 'providers en andere netbeheerders te overtuigen RPKI te gaan gebruiken'.

Surfnet gaat samen met NLnet Labs in een pilot-studie bekijken wat de uitdagingen zijn om RPKI operationeel in te zetten op hun netwerken. 'Om te kijken wat het biedt, wat barrières zijn en wat de voordelen.' Een RPKI test-infrastructuur is sinds een klein jaar in de lucht: 'Het kan gecerfiticeerd en geautoriseerd worden. Routers in bijvoorbeeld Texas weten welk IP-adresblok van Surfnet is. Niemand kan daar nog aankomen.'

Serie: Routingsysteem BGP vormt beveiligingsrisico

Overige delen:
- 'Routingsysteem internet is doelwit criminelen'
- RIPE start met secure routing certificaten

Benno Overeinder

Nadat hij in 1989 zijn studie Informatica aan de Universiteit van Amsterdam had afgerond, promoveerde Benno Overeinder aan diezelfde universiteit op parallelle en gedistribueerde simulatietechnieken. Na zijn promotie zette hij dit werk als onderzoeker voort tot aan 2001. Hij ontwikkelde onder meer parallelle simulatietechnieken voor natuurkundige en biologieproblemen, zoals koraal- en sponsgroei. Ook parallelliseerde hij voor de autoindustrie software voor het simuleren van autobotsingen, om ervoor te zorgen dat deze kon draaien op computerclusters.

Tussen 2001 en 2007 ontwikkelde Overeinder middleware voor intelligente gedistribueerde systemen als universitair docent aan de Vrije Universiteit.

Sinds 2007 is hij onderzoeker bij NLnet Labs op het gebied van internetarchitectuur, internetrouting en de beveiliging daarvan. Hij omschrijft zijn functie ook wel als 'onderzoeksingenieur', omdat hij zijn onderzoek wil vertalen naar bruikbare toepassingen.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Vacatures bij Surfnet

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.