Cloudflare wil einde aan Border Gateway Protocol-problemen

Abonneer je gratis op Techzine!

Cloudflare, een leverancier van webinfrastructuur- en beveiligingsoplossingen, heeft een webtool gelanceerd die internet service providers (ISP’s) controleert en aansprakelijk houdt voor mogelijke Border Gataway Protocol (BGP)beveiligingsproblemen.

Volgens de CDN-provider hebben te veel ISP’s nog last van BGP-beveiligingsproblemen. Beveiligingsproblemen met BGP kunnen onder meer zorgen voor het kapen van websites en content, maar ook tot het ontvreemden van data.

Onlangs werd bekend dat veel verkeer van leveranciers als Akamai, Google en Amazon en ook van Cloudflare zelf door BGP-beveiligingsfouten werd omgeleid via het netwerk van de Russische staatstelecomoperator Rostelcom. Ook de Chinese staatstelecomoperator China Telecom heeft vorig jaar gedurende twee uur Europees internetverkeer via zijn eigen servers laten lopen. Naar eigen zeggen ‘een menselijke fout’.

Tool voor checken gebruik RPKI-standaard

Cloudflare is dit nu blijkbaar in het verkeerde keelgat geschoten en heeft daarom besloten werk te maken van een tool die ISP’s kan checken op BGP-beveiligingsproblemen en hen zo aansprakelijk kan stellen voor hun BGP-beveiligingsmaatregelen.

De gelanceerde tool is de website isBGPSafeYet.com. Via deze website kan worden gecheckt of de gebruikte ISP wel of niet de open Resource Public Key Infrastructure (RPKI)-standaard gebruikt. Deze standaard heeft als doel om zogenoemde route hijacks te voorkomen. Een route hijack leidt internetverkeer om naar de systemen van een niet geautoriseerd netwerk. ISP’s moeten deze standaard toepassen als BGP-beveiliging. Door te checken of ISP’s al dan niet de RPKI-standaard gebruiken, kunnen aanbieders van internetverkeer makkelijker ongeldige verkeersroutes opsporen.

Testen met prefixes

De tool van Cloudflare gebruikt voor het testen twee prefixes. Hierdoor probeert de browser twee verschillende pagina’s op te halen: valid.rpki.cloudflare.com en invalid.rpki.cloudflare.com. De eerste pagina bevindt zich achter een RPKI-veilige prefix en de tweede achter een RPKI-onveilige prefix.

Wanneer beide pagina’s zonder problemen zijn opgehaald, dan betekent het dat de betreffende ISP een onveilige route heeft geaccepteerd en dus niet RPKI heeft ingeschakeld. Als alleen de RPKI-veilige pagina, valid.rpki.cloudflare.com, wordt opgehaald, dan heeft de ISP de beveiligingsstandaard ingeschakeld en is het verkeer dus minder gevoelig voor routinglekken.

Publieke druk bij ontbreken standaard

Is dit niet het geval, dan laat de webpagina een bericht zien waarin de betreffende ISP wordt geattendeerd op het beveiligingsprobleem. Wanneer bedrijven een dergelijke boodschap via Twitter wordt gestuurd, hoopt Cloudflare dat publieke druk de betreffende ISP’s beweegt tot actie. Echt afdwingen van aanpassingen is er dus niet bij.

Cloudflare heeft de scripts die voor isbgpsafeyet.com worden gebruikt open source gemaakt. De scripts zijn beschikbaar via GitHub.