29-07-2015 08:50:44

Door: Wido Potters

In november 2014 is een deel van de IP-adressen van het Nederlandse ministerie van Buitenlandse Zaken gekaapt geweest door criminelen. Hierover hebben afgelopen weekend vrijwel alle kranten en IT-websites gepubliceerd. De aanval die de criminelen hebben gebruikt wordt een "BGP hijack" genoemd. Wat behelst een dergelijke aanval en op welke wijze heeft BIT zich daartegen beschermd?

De netwerken waar het internet uit bestaat (bijvoorbeeld BIT, Tele2 en Google) koppelen hun netwerken aan elkaar via directe verbindingen (private interconnects), op internet exchanges (peering) en via speciale 'vervoerders' (transit). Op deze drie mogelijke koppelpunten laten de netwerken aan elkaar weten welk deel van het internet (welke IP-adressen) via hun netwerk bereikt kan worden. Over het algemeen wordt deze informatie met elkaar gedeeld via het Border Gateway Protocol (BGP). Het uitwisselen van BGP informatie is gebaseerd op vertrouwen. "Ik vertrouw jou als je zegt dat jij verantwoordelijk bent voor dat deel van het internet en daarom zal ik verkeer voor dat deel naar jou sturen."

Helaas wordt dat vertrouwen in elkaar ook wel eens beschaamd. Vaak wordt dat veroorzaakt door een foutje van een netwerkbeheerder. Het gevolg hiervan is dan dat al het verkeer voor bepaalde IP-adressen onbedoeld dóór het netwerk gaat of dat verkeer voor bepaalde IP-adressen onbedoeld náár het netwerk gaat. Het bekendste voorbeeld hiervan is de onopzettelijke BGP hijack door Pakistan Telecom in 2008 waarbij zij een groot deel van het wereldwijde verkeer voor YouTube naar zich toe haalden. Zie de uitleg van RIPE NCC in de video hieronder.
 

Soms zijn het bewuste acties, bijvoorbeeld ten behoeve van financieel gewin. Een voorbeeld hiervan is begin dit jaar gepresenteerd, hierbij werden IP-adressen van een Bitcoin-collector 'gestolen' met als doel het onderscheppen van Bitcoinhandel gerelateerde berichten. De hijack waarover in het weekend gepubliceerd is, was ook bewust. Het is echter niet duidelijk wat het doel van deze hijack was. Het idee dat de Nederlandse overheid langdurig niet wist dat de IP-adressen gestolen waren, is echter beangstigend. Hoeveel schade zou er gedaan kunnen worden als een crimineel het IP-adres voor bijvoorbeeld digid.nl tijdelijk steelt?

Het beveiligen van BGP is helaas niet eenvoudig. Het protocol stamt uit een tijd waarin internetbeveiliging een beperkte prioriteit had. Bovendien was de groep mensen die zich met routing bezighield beperkt, er heerste een ons-kent-ons cultuur. En zoals we dat met andere oudere internetprotocollen hebben gezien, blijkt het achteraf beveiliging inbouwen lastig. Er worden weliswaar stappen gemaakt, in de vorm van RPKI. Maar de eerlijkheid gebied te zeggen dat de implementatie van dergelijke beveiliging echt nog in de kinderschoenen staat.

Omdat beveiliging tegen BGP hijacks momenteel nog nagenoeg ondoenlijk is, is het zaak in ieder geval in de gaten te houden als netwerk of (een deel van) je prefixes (IP-adressen) gestolen wordt. BIT heeft daar twee methodes toe, die beiden tegelijkertijd actief zijn. Het eerste middel staat inhouse, wordt door onszelf beheerd en is een GenieATM. Dit verkeersanalyse systeem detecteert BGP hijacks op de plaatsen waar ons netwerk met andere netwerken koppelt en alarmeert onze netwerkbeheerders hierover.

Het tweede systeem dat gebruikt wordt voor detectie is externe monitoring. BIT maakt gebruik van de dienst BGPmon, de industriestandaard voor prefix monitoring. Vanuit vele locaties op het internet ontvangt BGPmon een overzicht van de BGP-routes die op ieder van die locaties gezien worden. Ook BIT levert deze informatie aan. Op deze manier staan er honderden sensors over het internet verspreid. Afwijkingen voor onze prefixes worden aan ons gemeld.

De detectiemaatregelen waarin wij hebben voorzien hebben nog nooit tot een melding over een BGP hijack geleid.