Все сети правительства Нидерландов должны использовать RPKI для предотвращения перехвата BGP

Правительство Нидерландов повысит безопасность своей интернет-маршрутизации, приняв до конца 2024 года стандарт инфраструктуры открытых ключей ресурсов (RPKI).

RPKI, или сертификация ресурсов, защищает от ошибочного перенаправления интернет-трафика, злонамеренного или нет, посредством криптографической проверки маршрутов.

Стандарт использует цифровые сертификаты для защиты протокола пограничного шлюза (BGP), используемого для обмена информацией о маршрутизации, и обеспечения того, чтобы трафик проходил через законного сетевого оператора, контролирующего IP-адреса на пути назначения.

RPKI для всех систем ИКТ

Форум по стандартизации в Нидерландах, исследовательская и консультационная организация, которая обслуживает государственный сектор по использованию открытых стандартов, объявила, что все устройства связи (ИКТ), управляемые правительством Нидерландов, должны использовать стандарт RPKI к 2024 году.

Правительство поддержало рекомендацию и в решении на прошлой неделе оно приняло политику, которая относится как к недавно добавленному ИКТ-оборудованию, так и к существующим системам.

Сертификаты RPKI хранятся централизованно и являются общедоступными, что позволяет сетевым провайдерам из любой точки мира проверять маршруты интернет-трафика.

Сети, которые внедряют RPKI, могут быть уверены, что интернет-трафик направляется только по авторизованным путям, тем самым устраняя риски “человек посередине” или других атак с утечкой и перехватом данных.

Без RPKI маршрутизация Интернета зависит от доверия сетевых операторов, рекламирующих правильные IP-префиксы, которыми они управляют. Однако в соответствии с этой моделью, если оператор ложно объявляет, что он обрабатывает определенный набор IP-адресов, они будут получать трафик, который в противном случае проходил бы по другому пути.

Помимо влияния на производительность (например, задержка в сети, сбои), эта модель, основанная на доверии, открывает возможности для вредоносного взлома BGP, который позволяет перехватывать и отслеживать трафик, а также подделывать законные IP-адреса для рассылки спама.

Один из примеров перехвата BGP относится к 2019 году, когда сетевой трафик от голландского интернет-провайдера KPN был перенаправлен на China Telecom более двух часов.

Перенаправление интернет-трафика также может произойти по ошибке, когда ошибка конфигурации заставляет оператора сети объявлять IP-адрес другой стороны. В 2021 году такая авария нарушила работу тысяч сетей по всему миру.

Внедрение RPKI

Внедрение RPKI в Нидерландах уже на высоком уровне: 77,9% правительственных веб-сайтов и 75,1% доменов электронной почты уже поддерживают стандарт.

Однако глобальное внедрение RPKI продвигается медленнее, чем надеялись его разработчики и сторонники, при этом интернет-провайдеры второго уровня отстают.

Национальный институт стандартов и технологий (NIST) в США имеет оперативный монитор RPKI, который предоставляет информацию об экосистеме RPKI в режиме реального времени, полученную из различных хранилищ данных, включая информацию о маршрутизации BGP.

Согласно данным NIST за апрель 2023 года, около 41% проверяемых пар IPv4 с префиксом источника соответствуют RPKI, 58% подвержены инцидентам маршрутизации, а 1% имеют несоответствие в своих исходных ключах маршрута, поэтому они недействительны.

RPKI способствует более безопасному и качественному Интернету, но показатель внедрения 41% показывает, что до повышения безопасности трафика по всему миру еще далеко.

В начале 2020 года уровень внедрения RPKI составлял 18% и вырос до 27% в январе 2021 года и 33,5% в начале 2022 года.