[avatar user=”Ad Bresser” size=”thumbnail” align=”left” link=”file” /]
Het implementeren van security maatregelen is lastig. Ze hebben vaak consequenties voor de gebruiksvriendelijkheid en leveren lang niet altijd een zichtbaar voordeel in de markt op. In het vorige artikel over IP en Cybersecurity zijn een aantal algemene maatregelen toegelicht en meer specifieke voor hosters en corporates. In dit artikel wordt dieper ingegaan op de IP maatregelen die de veiligheid op het Internet voor iedereen kunnen vergroten.
Het Internet is niet ontworpen met security in gedachten. Voor een flink aantal van de veiligheidsgaten in e-mail, DNS en web-sites, zijn er oplossingen bedacht die vrij snel gemeengoed aan het worden zijn. Op het gebied van IP en BGP zijn er wel oplossingen voor de veiligheidsproblemen, maar die worden nauwelijks geïmplementeerd. Zo heeft het MANRS initiatief, waarin de belangrijkste maatregelen beschreven staan, sinds 2014 slechts een acceptatie graad van 6% bereikt.
De verdeling van de kosten en voordelen liggen bij verschillende partijen
Een van de belangrijkste IP Cybersecurity problemen is het niet afdwingen van het juiste IP source adres van IP pakketten. Voor regulier verkeer is dit IP source adres altijd ingevuld, omdat er anders geen reactie kan komen op het IP pakket. Het ontbreken van het juiste IP source adres is dus altijd een indicatie dat het om ongewenst verkeer gaat van een geïnfecteerd systeem. Er is slechts één vrij obscure toepassing bekend waarbij het IP source adres van een IP pakket bewust niet het afzender adres is.
Door het bewust veranderen van het IP source adres, is het voor IP operators omslachtig tot praktisch onmogelijk om de bron te achterhalen. Zeker als het geïnfecteerde systeem het IP source adres continue wijzigt. Met deze aanvalsmethode kan bijvoorbeeld een DDoS aanval uitgevoerd worden, waarvan de bronnen niet te achterhalen zijn. Ook is het mogelijk om een systeem aan te vallen door als IP source adres, het IP adres van dit systeem te geven. Hierdoor wordt het retour verkeer naar dit systeem gestuurd (hier is overigens nog wel iets meer voor nodig).
Dit probleem kan vrij eenvoudig opgelost worden door de ISP’s van de klanten met mogelijk geïnfecteerde systemen. Dit vereist een initiële actie en goed beheer bij netwerk of IP adres wijzigingen. De ISP’s die dit toepassen verrichten een inspanning, terwijl de voordelen liggen bij de systemen die niet meer op deze manier aangevallen kunnen worden (vanuit deze ISP). Bovendien lopen ze het risico op juridisch haarkloverij. Door dit filteren grijpen ze in op het Internet verkeer, wat wellicht niet past bij Netneutrality (maar het is onwaarschijnlijk dat hier klachten over komen). Daarnaast weet een ISP door het blokkeren van het verkeer, dat één van zijn klanten een cybersecurity probleem heeft. En het is niet duidelijk hoe hier mee om te gaan ihkv een zorgplicht.
Een ander IP cybersecurity probleem is de mogelijkheid om ongewenste of foutieve routeringsinformatie aan de routeringstabellen toe te voegen. Hierdoor kan verkeer omgeleid worden, met het risico van overbelaste verbindingen of de mogelijkheid om het verkeer te onderzoeken op de nieuwe route. In 2017 waren er 5304 van dit soort BGP Hijacks. Dit probleem kan opgelost worden door een betere cryptografische controle bij het uitwisselen van BGP routeringsinformatie. Ook hier moet de inspanning door partijen uitgevoerd worden, terwijl de voordelen meestal niet bij deze partijen liggen.
De genoemde oplossingen aangevuld met verplichting tot het juist registreren van contact informatie zijn onderdelen van de vrijwillige MANRS certificering. Maar omdat de inspanning en voordelen bij verschillende partijen liggen, is spontane snelle acceptatie onwaarschijnlijk.
Wie is verantwoordelijk of neemt verantwoordelijkheid?
Er is geen organisatie die beweert zelfs enige verantwoordelijkheid te hebben op het gebied van de globale IP operations. Er zijn enkele organisaties die in de buurt komen:
- RIR’s zoals RIPE NCC: zijn verantwoordelijk voor uitgifte van IP routering elementen zoals IP-adressen, ASN’s en routing policies. Inclusief solide operaties hieromtrent. Ze dienen als platform voor discussies over IP-operations, maar hebben hierin geen verantwoordelijkheid.
- Europese regulators richten hun energie op belangrijke elementen in de buurt van IP operations zoals: NetNeutrality, Internet exchanges, DNS, IoT en netwerkinfrastructuur. IP operations valt niet binnen de scope. Er is zelfs een ENISA IoT Cybersecurity rapport verschenen, waarin IP maatregelen niet mee genomen worden.
- ICANN: Geven in een multi-stakeholder model, richtlijnen aan RIR’s op het gebied van IP componenten.
- IETF: Levert standaarden en richtlijnen voor IP operations, maar heeft geen operationele verantwoordelijkheid.
- ISOC: Stimuleert verbeteringen op alle aspecten van het Internet, maar heeft geen verantwoordelijkheid bij IP operations.
- Het Nederlandse Platform Internetstandaarden speelt sinds kort een rol op het gebied van IPv6, maar richt zich voor de rest niet op IP.
- Het Global Forum on Cyber Expertise heeft een Internet infrastructuur initiatief, waarin IPv6 wel benoemd wordt, maar verder niet ingaat op IP en security.
Samenwerking of in ieder geval informatie uitwisseling, vindt wel plaats op RIR (zoals RIPE) meetings, NOG’s en ook steeds meer commerciële events. Dit heeft echter niet de impact om het Internet veiliger te maken (op routing niveau). Curieus genoeg werkt de multi-stakeholder aanpak wel in het DNS/domeinnamen werkveld. Waarschijnlijk omdat de belangen op het gebied van oa domeinnamen en merken, veel zichtbaarder zijn.
Kortom, veel partijen met belangrijke rollen, maar geen platform met enige verantwoordelijkheid op het gebied van IP operations.
En:
Het werkveld van IP Operators is veelomvattend
In de markt van IP routing bestaat uit wel erg veel verschillende soorten IP routing organisaties:
- Natuurlijk de Access Providers en de transit partijen.
- Daarnaast zijn er de hosters en content partijen die een steeds belangrijkere rol spelen op routing gebied.
- Hoewel de corporates nog steeds een beperkte impact hebben op de IP Routing, worden ze wel steeds belangrijker op het gebied van IP. Denk maar aan de DDoS aanvallen waarvan ze zo nu en dan het slachtoffer zijn.
- Tenslotte zijn de DNS operators en IXP’s cruciale spelers op het gebied van IP routing en de Operations daarvan.
Het werkveld van IP operations is dus complexer geworden en daarnaast is het aantal partijen (internationaal) zo gegroeid is dat de samenwerking waarop het Internet gebaseerd is, steeds moeilijker wordt. Ook richten IP Operators zich steeds minder op samenwerking en zien ze het Internet gewoon als een component in hun Business Model. Dit uit zich ook in een lage participatie van IP Operators in standaardisatie organisaties als IETF. Het is wel zo dat gelijksoortige partijen (zoals bv hosters) zich als groep organiseren om verbeteringen door te voeren, maar van een gezamenlijkheid van alle soorten IP Operators is geen sprake.
Conclusie
Hoewel IP (Internet Protocol) de kern is van het Internet, is opvallend weinig aandacht voor. En hierdoor worden een aantal cruciale veiligheidsproblemen niet opgelost.
