Uitleg over kapen Nederlandse IP adressen

BGP-Bulgariakopie630415Dit weekend stak nog een andere fikse storm de kop op. Aanleiding was het nieuws waarmee de Volkskrant zaterdag kwam: een aantal IP-adressen van het ministerie van Buitenlandse Zaken is vorig jaar in handen gekomen van Bulgaarse criminelen. ISPtoday vroeg Erik Bais van A2B-Internet om uitleg.

 

Hoe kon het gebeuren?
Iedere netblok eigenaar op het internet heeft (helaas) wel eens last van een bewuste of onbewuste BGP hijack. Dat kan zijn omdat iemand anders op een router aan de andere kant van de wereld een type-fout maakt en opeens jou IP adressen ook in BGP zet of door een config probleem of zelfs door een ‘feature’ of bug in bepaalde netwerk apparatuur. In dit specifieke geval heeft een Bulgaarse spamgang bewust gezocht naar ongebruikte IP ranges. Ranges die niet in BGP staan.

De reden hiervoor is dat men denkt dat als die blokken toch niet gebruikt worden, ze dus langer ongestoord hun gang kunnen gaan om die blokken te misbruiken om spam te versturen. De hijackers hadden dat dus goed aangenomen. Blijkbaar niet in gebruik, dus geen monitoring. Niemand die het merkt. Dat er bij niemand een belletje afgaat is echt heel erg, zeer gênant zelfs.

Waarom is dit erg?
IP ranges die niet in BGP staan, kunnen wel degelijk intern bij een organisatie in gebruik zijn, alleen niet publiekelijk bereikbaar zijn op het internet. Met name bij overheden die veel verbindingen hebben met andere en dus geen ‘normale’ private ranges of RFC 1918 space ranges kunnen gebruiken in verband met overlapping maken als ze verstandig zijn, juist gebruik van unieke IP ranges.

Maar ook het BGP hijacken van actieve ranges gebeurt helaas. Soms gebeurt dat onbewust en is het naast ‘hinderlijk’ relatief onschuldig. Het echte probleem krijg je als iemand héél bewust een specifieke range gaat adverteren naar een bepaalde partij om verkeer tijdelijk om te gooien, af te tappen of om bijvoorbeeld wachtwoord reset requests of andere zaken af te vangen.
Of de situatie dat cybercriminelen hun Command & Control Server proberen terug te krijgen (en hun hele botnet leger aan zombie’s ) omdat $hoster hun C&C afgesloten heeft op een bepaald IP adres. Om die zombies daarna te kunnen update’n naar een andere locatie.

Het eerste probleem in deze specifieke zaak is reputatie schade voor de Nederlandse Overheid en het Ministerie van Buitenlandse Zaken specifiek, welke verantwoordelijk is voor toch zeer belangrijke communicatie tussen Nederlandse ambassades etc. Dat ze dit een week lange hebben laten gaan en er waarschijnlijk geen eens aangifte tegen hebben gedaan is niet goed.
Daarnaast hebben ze er gewoon last van dat die IP range nu op een blacklist staat, zeker als men die dat op een bepaald moment wel zou willen gaan gebruiken.

Wie kan dit overkomen -kan dit ook een hoster / provider overkomen?
Dit kan (helaas) iedereen overkomen die eigen IP ranges heeft en of je die ranges nu wel of niet gebruikt, je zal misbruik van je ranges altijd moeten blijven monitoren. Daarbij heeft ook de upstream provider hier een schonende taak. Die heeft namelijk gewoon alles geaccepteerd wat men het internet op wilde sturen, terwijl er geen valide route object in de RIPE DB stond of dat men kon aantonen eigenaar van de IP space te zijn.

Kan hoster/ provider/ datacenter hier iets tegen doen?
Volmondig Ja. Je netwerk leverancier kan je vragen om dit als dienst voor je in te regelen. A2B Internet doet dit voor zowel PI space klanten waar wij Sponsoring LIR voor zijn als voor klanten die hun eigen LIR hebben en of ze dan in ons netwerk zitten of elders, dat staat hier helemaal lost van. Bij ons is dat een onderdeel van onze abuse en netwerk beheer.
En vraag ook bij je huidige netwerk provider of ze naast correct filteren in BGP ook monitoren wat er met hun klant prefixes gebeurt op het internet mbt hijacks.

Wat is je advies?
De tools die wij gebruiken hiervoor zijn voor de enkele prefixes gratis te gebruiken. Denk daarbij aan BGPMon of de RPKI toolset in de RIPE LIR Portal.
Ik heb in 2013 een RIPE policy geschreven en die is ook al geïmplementeerd waarbij ook niet RIPE (LIR) members gebruik mogen maken van RPKI. En met deze route certificering tools kan je een melding krijgen als een combinatie AS Nummer – Prefix opeens niet meer klopt. En na zo’n melding kan je dan snel ingrijpen, onderzoek starten, de overtreder aanspreken.

Het is zo belangrijk dat iedereen hier bovenop zit tbv de stabiliteit van het internet. Zowel bij BGP leaks op een Internet Exchange, maar ook bij moedwillige aanvallen door cybercriminelen of zelfs een inlichtingen dienst. BGP is helaas zeer kwetsbaar en alleen door het HEEL goed te beheren EN te monitoren, kan je je eigen infrastructuur en reputatie beschermen.

NB die cursus die je de overheid aanbood – geldt dat aanbod ook voor lezers van ISPtoday?
ErikBais-Tweet250Wij hebben vanmorgen via Twitter het NCSC aangeboden om hier in een aparte sessie uitleg over te geven. De huidige status in kaart brengen, de risico’s, wat er aan te doen is etc. en niet geheel onbelangrijk: het ook voor ze in regelen als ze willen dat we dat voor ze doen. Als netwerk leverancier is het beheren van IP space namens klanten bij ons een onderdeel van onze dienstverlening. Wij ontzorgen klanten graag voor dit soort dingen.
Als er lezers van ISPtoday van ons willen horen hoe wij dat doen, hoe ze zelf kunnen doen of het door ons willen laten uitvoeren, dan gaan we daar graag over met ze in gesprek.

Het uitleggen hoe wij, door gebruik te maken van sommige tools, het internet beter kunnen beschermen zien wij als onze community taak. Net zoals het schrijven van procedures bij RIPE, al de tijd die we daarin steken is om onze kennis te delen en om ervoor te zorgen dat het voor ons allemaal beter wordt. De transit en IP diensten die we aanbieden zorgen ervoor dat de schoorsteen kan blijven roken.

(update: aantal typo’s gefixed)

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.