Beheer

Infrastructuur
internetkabels

Routering internet vaker mis

Omleiding van internetverkeer gebeurt al per ongeluk, maar met kwade opzet kan ook.

26 november 2010

Tot nog toe waren het ongelukken die de routering van het internetverkeer flink in de war stuurden. Het is echter een kwestie van tijd voor kwaadwillende regimes of criminelen een keer deze strategie gebruiken om moedwillig het internetverkeer te storen.

“Op het ogenblik zijn botnets en virussen makkelijk en effectief om je doel (geld of destabilisatie) te bereiken”, zegt de Nederlandse internetonderzoeker Benno Overeinder van NLnetLabs. “Als botnets en virussen effectiever aangepakt worden, door bijvoorbeeld recente ontwikkelingen in besturingssystemen, wordt het wellicht interessant en lucratief voor criminelen en vijandige mogendheden zich te richten op de achilleshiel van het internet, de routinginfrastructuur. De scriptkiddies zijn er nog niet voor internetrouting, maar ook hier is het een kwestie van tijd en geld dat er te verdienen valt.”

 

Beveiliging lastig door beheermodel

De routering van internet is gebaseerd op het doorgeven van informatie (‘routing by rumour’). Daardoor is er geen gezaghebbende (‘authoritative’) database waarin is vastgelegd welke netwerkeigenaar is gemachtigd een bepaald blok IP-adressen te publiceren als eigendom.

 

De vijf Regional Internet Registries, zoals RIPE voor Europa, werken aan een certificatiesysteem dat begin 2011 in werking moet treden. Border Gateway Protocol (BGP)-routers kunnen met dit Resource Certification-systeem en een Resource Public Key Infrastructure (RPKI) het publiceren van adresblokken controleren in de databases van de vijf RIR’s. Daarmee kunnen de meeste fouten en simpele misleidingen van het BGP-systeem worden voorkomen. Technologisch geavanceerde aanvallen kunnen echter niet worden gekeerd met deze vorm van beveiliging, waarschuwen deskundigen.

Deze week werd duidelijk uit onderzoek in opdracht van de Amerikaanse senaat dat technici van China Telecom in april foute informatie hebben gepubliceerd in het Border Gateway Protocol (BGP). Die foute informatie verspreidde zich razendsnel over internet waardoor veel andere routers in de wereld ‘meenden’ dat de gunstigste verkeersroute via het netwerk van China Telecom liep. Gedurende 18 minuten probeerde 15 procent van het totale internetverkeer zich door deze routers te persen, met grote vertraging tot gevolg.

 

Vergelijkbare problemen kwamen eerder in het nieuws
Zo probeerde de Pakistaanse overheid in 2008 het BGP te gebruiken om de eigen onderdanen het bekijken van een onwelgevallig YouTube-filmpje te onthouden. Het gevolg was echter dat YouTube enige tijd onbereikbaar was voor een groot deel van de internetgemeenschap. In augustus raakten een aantal Cisco-routers ontregeld door een experiment met nieuwe routeringsinformatie. Overeinder: “Voor internet security researchers was het een verrassing dat het incident met China Telecom nu groot in het nieuws kwam. Het incident van 8 april was vrijwel direct bekend bij de Network Operations Centre (NOC) engineers en internet researchers.”

Volgens Overeinder zijn verstoringen in de internetroutering aan de orde van de dag, meestal menselijke vergissingen en een enkele keer om spam te verspreiden. De incidenten die het nieuws halen, zijn bijzonder door de schaalgrootte waarin de incorrecte publicatie van de BGP-router zijn overgenomen door andere netwerken/ISP’s. Daardoor kon de fout zich propageren over internet. “Dit type fouten wordt doorgaans bijtijds opgemerkt en gefilterd door de zogenaamde upstreams, de grote carriernetwerken die kleinere netwerken met elkaar verbinden. China Telecom is echter zelf een grote carrier en dergelijke ‘upstreams’ sturen elkaars BGP-informatie ongefilterd door ”

Problemen kunnen veel langer gaan duren
Wanneer het probleem is ontdekt, kan het in de regel binnen 10 tot 20 minuten worden opgelost. De bron van het probleem herstelt de fout en vervolgens duurt het 5 tot 15 minuten voordat de nieuwe informatie zich wereldwijd heeft verspreid. Wanneer er opzet in het spel is en de bron niet wil meewerken aan de oplossing van het probleem, kan de storing veel langer duren. Dan moeten alle netwerkenexploitanten in een gecoördineerde filteractie de publicaties van het netwerk dat de storing veroorzaakt, verwijderen.

Een betere beveiliging van het BGP-systeem is lastig. Het routeringsysteem is nooit ontworpen met beveiliging in het achterhoofd. Het was alleen bedoeld om op een betrouwbare manier informatie over honderdduizenden routes tussen verschillende netwerkaanbieders uit te wisselen.

ISP's niet geneigd te investeren
Belangrijk obstakel is het ontbreken van een hiërarchie op internet (zie kader). Oplossingen van het probleem zijn afhankelijk van de deelname van alle betrokken partijen, maar die kunnen niet gedwongen worden mee te doen. De marges op de diensten van internetaanbieders zijn bovendien klein zodat zij niet geneigd zijn investeringen te doen die niet snel nieuwe omzet opleveren. Een team van onderzoekers van de universiteit van New Mexico en Princeton University heeft een eenvoudige en goedkope oplossing bedacht, die de naam Pretty Good BGP heeft gekregen. Wanneer de netwerkaanbieders allemaal afspreken wijzigingen aan de routetabellen 24 uur te vertragen, ontstaat er meer tijd om fouten en doelbewuste misleidingen te ontdekken en aan te pakken. Het grote nadeel van deze aanpak is dat er niet meer snel gereageerd kan worden op verstoringen in het internetverkeer.

 

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!