RPKI-test voor websites en mailvoorzieningen via Internet.nl

Content

Vanaf vandaag kunt u met Internet.nl testen of uw website en mailvoorziening worden beschermd door RPKI. Door toepassing van deze moderne internetstandaard zal u minder snel last hebben van onbedoelde of kwaadwillige internetrouteringsfouten. Fouten die bijvoorbeeld kunnen leiden tot onbereikbaarheid van uw website en mailvoorziening.

Wat is RPKI?

Resource Public Key Infrastructure (RPKI) is een techniek met als doel om bepaalde route-lekken en -hijacks te voorkomen. Het gaat om gevallen waarbij internetverkeer wordt omgeleid naar de systemen van een niet-geautoriseerd netwerk.

Route-lekken en -hijacks

Een omleiding kan per ongeluk ontstaan, bijvoorbeeld door een simpele typefout van een netwerkbeheerder. Maar het kan ook een doelgerichte aanval zijn op de infrastructuur van het internet. Bijvoorbeeld om websites onbereikbaar te maken of om gegevens van internetgebruikers afhandig te maken. Een Nederlands voorbeeld hiervan betreft een incident waarbij een set IP-adressen van het ministerie van Buitenlandse Zaken in 2014 tijdelijk gekaapt is door een Bulgaarse netwerkbeheerder.

Hoe werkt RPKI?

Met RPKI kan de rechtmatige houder van een blok IP-adressen een digitaal getekende verklaring publiceren met betrekking tot de intenties van de routering vanaf zijn netwerk. Deze verklaringen, genaamd Route Origin Authorisations (ROA’s), kunnen andere netwerkbeheerders cryptografisch valideren en vervolgens gebruiken om filters in te stellen. Hiermee filteren routers routes uit die in strijd zijn met de voor de betreffende IP-adressen gepubliceerde ROA’s (invalid = reject).

RPKI vraagt dus om actie vanuit twee partijen. Ten eerste moet de houder van de IP-adressen ROA’s publiceren. Ten tweede moet de partij die via Border Gateway Protocol (BGP) routes ontvangt van andere netwerken filteren op basis van alle wereldwijd gepubliceerde ROA’s, waarbij invalide routes nooit geaccepteerd of geadverteerd mogen worden.

Hoe test ik RPKI?

De nieuwe RPKI-test is onderdeel van de websitetest en van de e-mailtest. Alle gevonden IP-adressen die horen bij de webserver, mailservers en nameservers van een domein worden getest.

Eerst wordt per IP-adres gecontroleerd of er tenminste één ROA is gepubliceerd. Vervolgens checkt de test of de route-aankondiging van ieder IP-adres wordt gematcht door de eventueel gevonden ROA. Voorlopig wegen de resultaten van de RPKI-test nog niet mee in de totaalscore van het testresultaat. Vanaf begin 2023 zal dat wel het geval zijn. Later dit jaar zal de RPKI-test ook worden toegevoegd aan de API en het dashboard van Internet.nl.

Speciale dank gaat uit naar NCSC-NL dat een groot deel van de nieuwe RPKI-test heeft ontwikkeld en, in overeenstemming met staand overheidsbeleid ("open, tenzij"), als open source beschikbaar heeft gesteld. Daarbij werd intensief samengewerkt met de kernontwikkelaars van Internet.nl die voor Platform Internetstandaarden werken. Het fundament van de nieuwe RPKI-test wordt gevormd door Routinator, open source RPKI Relying Party software die wordt ontwikkeld door NLnet Labs.

Aanvullende maatregelen

Naast RPKI zijn er andere, aanvullende technieken die internetroutering veiliger maken. Het MANRS-initiatief geeft een overzicht van 'best practices' die wij aanbevelen om ook te implementeren.

Over Internet.nl

De testtool Internet.nl is een initiatief van het Platform Internetstandaarden, een samenwerkingsverband van partijen uit de Internetgemeenschap en de Nederlandse overheid. Het doel van het platform is om gezamenlijk het gebruik van moderne internetstandaarden verder te vergroten om daarmee het internet voor iedereen toegankelijker, veiliger en betrouwbaarder te maken. De softwarecode van Internet.nl is online beschikbaar onder een open source licentie.