RPKI

Ustabilt Internett: Nå skal det bli slutt på hippie-trafikken

Ustabilitet hos de store skyleverandørene de siste månedene har fått Google på banen.

Sikkert nettverk.
Sikkert nettverk. (Illustrasjon: Colourbox/10900011)

Ustabilitet hos de store skyleverandørene de siste månedene har fått Google på banen.

Som versjon 2 beskrev i 2019, har Internett lidd av ulike Border Gateway Protocol (BGP)-krasj de siste årene, noe som har skapt flaskehalser og krasjer i verdens internettinfrastruktur. Også hos noen av de største skyleverandørene.

Mens noen av krasjene har sett ut som åpenlyse forsøk på å villede verdens internettrafikk, stammer noen av dem også fra svakhetene som alltid har preget BGP-protokollen.

Nå ser det imidlertid ut til at det endelig blir gjort noe med det. Det skriver Wired.

Les også

– Vi kan bedre enn dette

Internett blir ikke mindre viktig globalt. Så nå har sammenslutningen av nettoperatører, MANRS, for alvor kastet seg inn i kampen for å forbedre protokollen.

– Med nesten 600 operatører i MANRS, tror vi at entusiasme og hardt arbeid fra vår side vil få andre operatører rundt om i verden til å forbedre rutesikkerheten, sier Aftab Siddiqui, som leder MANRS' prosjekt for å forbedre rutesikkerheten på medlemmene.

Det er akkurat det som trengs hvis sikkerheten skal bli jevnere og sikrere globalt. For Internett, og spesielt BGP-protokollen, er basert på tillit.

– BGP er notorisk usikker. Alle kan koble seg til Internett og åpne en BGP-økt, og som utgangspunkt er det ingen utbredt metode for å sjekke om den er gyldig eller ikke, sier Lasse Jarlskov, som er nettverksarkitekt i Telia Danmark og jobber daglig med Border Gateway- Protokoller (BGP).

Han får støtte av Henrik Kramselund Jereminsen, som er direktør for nettselskapet Zencurity.

– Internett er omtrent bygget av sporadiske hippier som har veldig høy tillit til hverandre. Slik det er i dag, kan enhver stat, russisk, kinesisk eller amerikansk, bare si at de har en raskere rute, trafikken bør ta i stedet for den ruten som faktisk er den raskeste, sier Henrik Kramselund:

– Og så går trafikken seg som et utgangspunkt dit.

BGP-kapring

 Fenomenet er basert på en svakhet i BGP-protokollen som får én enhet til å stole på det andre enheter rapporterer.

Derfor kan du rapportere at du har direkte tilgang til steder på Internett, og at trafikk derfor raskt kan komme gjennom serverne dine.

BGP velger alltid den som rapporterer de smaleste prefiksene. Derfor kan du enkelt målrette en kapring mot bestemte IP-er ved å rapportere et smalt prefiks som bare dekker adressene du vil lokke gjennom serverne dine.

Hvis du lykkes, kan du blant annet se ukryptert kommunikasjon.

Kilde: Lars Dittman, professor ved Institutt for fotonikk ved DTU, Wikipedia

Løsningen er lite utbredt

For å unngå uønskede og potensielt farlige omrutinger, har ulike aktører på Internett i årevis prøvd å lage en kryptografisk løsning som hindrer folk i å lyve om hvor de er koblet til.

På den måten kan ingen si at de har en raskere vei til en gitt forbindelse uten å ha det.

Løsningen heter RPKI.

Mens det er enighet om at det fungerer og gir mening, er det fortsatt veldig få som har implementert RPKI, sier Henrik Kramselund.

Det er særlig her MANRS vil komme inn.

Frykt for flere feil

Når det krever press fra store organisasjoner som MANRS, er det delvis fordi noen er redde for at den utestede kryptografiske standarden vil generere feil.

Hvis en telekommunikasjonsleverandør implementerer RPKI og gjør en feil i oppsettet, kan det oppstå et kryptografisk avvik mellom de oppgitte dataene og de faktiske tilkoblingene fordi databasen som krysses av er feil.

For systemet vil det se ut som om noen prøvde å lure det - og da kom–er ikke trafikken igjennom.

Det er katastrofe for en telekommunikasjonsleverandør eller et av selskapene som selve ryggraden på internett, de viktigste transportveiene.

Likevel mener Henrik Kramselund at RPKI gjør ruting på internett sikrere.

- Det er også veldig lite sikkert å ikke bruke RPKI, for da er man i teorien bare en skrivefeil fra at trafikken din ender opp hos en annen, noe som er ekstra ille hvis den ikke er kryptert, sier Henrik Kramselund.

I tillegg krever ikke RPKI mye ekstra datakraft og forsinker derfor ikke trafikken vesentlig, forklarer Henrik Kramselund, som selv har implementert RPKI uten å oppleve problemer.

– Jeg anbefaler alle kunder å skru på RPKI med så tidlig som mulig, for siden den ikke er så utbredt ennå, er risikoen lavere. Hvis du gjør en feil i oppsettet, er det bare de som har implementert RPKI selv som sender trafikken i retur, sier nettverkskonsulenten.

Denne artikkelen ble først publisert på Version 2.

Les også

Kommentarer (1)

Kommentarer (1)
Til toppen