Beter beveiligde internetroutering overheid voor eind 2024

Content

Alle ICT-systemen van de overheid dienen voor het einde van 2024 gebruik te maken van de standaard RPKI, zodat de internetroutering van de overheid veiliger wordt. Dit doel stelde het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) op 30 maart vast in een streefbeeldafspraak. Het betekent dat RPKI niet alleen bij nieuwe aanschaffen vereist is, maar ook op alle bestaande overheidssystemen geïmplementeerd moet worden. Onderaan dit bericht leest u hoe u dat doet.

Waarom RPKI gebruiken?

Resource Public Key Infrastructure (RPKI) is een techniek met als doel om bepaalde route-lekken en -hijacks te voorkomen. Het gaat om gevallen waarbij internetverkeer wordt omgeleid naar de systemen van een niet-geautoriseerd netwerk. Ze kunnen het gevolg zijn van een simpele typefout van een netwerkbeheerder, of van een doelgerichte aanval. Bijvoorbeeld om websites onbereikbaar te maken of om gegevens van internetgebruikers afhandig te maken.

Een voorbeeld hiervan is een incident waarbij een set IP-adressen van het ministerie van Buitenlandse Zaken in 2014 tijdelijk gekaapt werd door een Bulgaarse netwerkbeheerder. Bij een ander voorbeeld in 2019 werd netwerkverkeer van onder andere KPN omgeleid naar China Telecom.

Hoe werkt RPKI?

De open standaard RPKI wordt gebruikt om de routes die internetverkeer aflegt beter te beveiligen. Hiervoor worden digitale certificaten gebruikt. Die geven aan naar welke netwerkprovider (‘oorsprong’) het internetverkeer voor een bepaald IP-adres verstuurd dient te worden. Deze certificaten worden centraal opgeslagen, wat het voor netwerkproviders wereldwijd mogelijk maakt de routes van internetverkeer te valideren. Hiermee beveiligt RPKI een fundamenteel onderdeel van het internet.

Ook voor bestaande systemen

Sinds 2019 staat RPKI op de ‘pas toe of leg uit’-lijst en moeten overheidsorganisaties het eisen tijdens de aanschaf van ICT-diensten/-systemen. De nieuwe afspraak die door het OBDO is gemaakt betekent dat RPKI ook op alle bestaande overheidssystemen geïmplementeerd moet worden. Naast het zelf publiceren van RPKI-autorisatiecertificaten, moeten netwerken van de overheid ook deze certificaten van anderen valideren.

“De overheid spreekt met deze afspraak een duidelijke ambitie uit om bij te dragen aan de betrouwbaarheid van internetconnectiviteit", aldus Benno Overeinder, directeur NLnet Labs en lid van Forum Standaardisatie. "Het implementeren van deze eerste RPKI-gebaseerde maatregelen zal bijdragen aan de beschikbaarheid van de digitale overheid. Het legt ook een stevige basis voor toekomstige adoptie van moderne internetstandaarden, waar mijn organisatie dagelijks aan werkt.”

Hoeveel wordt RPKI al gebruikt?

Forum Standaardisatie voerde in december 2022 een nulmeting uit. Hieruit bleek dat 77,9% van de overheidswebsites RPKI al volledig ondersteund, tegenover 75,1% van de e-maildomeinen. Uit de cijfers bleek dat vooral lokale overheden nog stappen te zetten hebben.

Hoe implementeer je RPKI?

Publicatie:

  1. Test met Internet.nl of voor de IP-adressen van websites en maildomeinen van jouw organisatie geldige RPKI-autorisatiecertificaten zijn gepubliceerd.
  2. Als de test een afwijking constateert, neem dan contact op met de beheerder van de gebruikte IP-adressen. Meestal is dat de websitehoster of mailprovider. Beheerders van IP-adressen kunnen de certificaten (ROA’s) aanmaken bij hun Internet Routing Registry (IRR). Voor Europese IP-adressen is dit RIPE NCC.

Validatie:

  1. Test of voor internetverkeer vanuit het netwerk van jouw organisatie naar andere netwerken RPKI-validatie wordt toegepast zodat ongeldige routes worden gefilterd. Maak hiervoor gebruik van https://isbgpsafeyet.com/ en https://rpkitest.nlnetlabs.net/, en doe aanvullend navraag bij je netwerkbeheerder.
  2. Als uit de test en/of navraag een afwijking naar voren komt, neem dan nader contact op met je netwerkbeheerder om ervoor te zorgen dat RPKI-validatie wordt geïmplementeerd. Het is mogelijk dat RPKI-validatie niet plaatsvindt op het lokale netwerk maar op het netwerk van de upstream netwerkprovider die het lokale netwerk koppelt met het internet.

Meer informatie