Met IP / Routing kan de cybersecurity vergroot worden

De op IP / BGP gebaseerde routering van verkeer op het Internet is de cruciale basis voor alle op internet gebaseerde diensten. Bij een onderzoek naar de beschikbare maatregelen om de veiligheid te vergroten, kwamen meer dan honderd verschillende veiligheidsmaatregelen aan het licht.

Internet en Cybersecurity krijgen terecht veel aandacht door het aantal cybersecurity incidenten met hoge zichtbaarheid. Om inzicht te krijgen in de maatregelen om op het niveau van internetroutering de beveiliging te verbeteren, zijn 12 deskundigen geïnterviewd. De verkregen inzichten werden verrijkt met resultaten van deskresearch en enkele architectuur principes. De quickscan is in verschillende vormen beschikbaar: LinkedIN (om te delen), Github (om te onderhouden) en PDF.

Dit artikel is bedoeld voor het senior management en licht de mogelijkheden toe.

Er zijn steeds meer mogelijkheden bekend

IP en BGP (waarmee IP adres informatie uitgewisseld wordt) stammen uit de vorige eeuw en er komen nog steeds aanvullingen op om het Internet veiliger te maken. Voor een belangrijk gedeelte komt dit doordat deze protocollen ontwikkeld zijn met het veiligheidsperspectief van dat moment. En dat was behoorlijk beperkt. Bovendien zijn de schaal en de toepassingen van deze routeringsprotocollen veel groter en breder dan voorzien.

  • Vaak voorkomende security eisen aan netwerkapparatuur zijn beschreven in RFC3871 en deze kunnen goed gebruikt worden in RFP’s.
  • Er zijn ook een flink aantal algemene BGP-maatregelen om de operationele kwaliteit en beveiliging te vergroten. Door deze maatregelen neemt ook de stabiliteit van de routering op het Internet toe.
  • Onderschat wordt vaak het bijhouden van de on-line administratie in bv de RIPE database, terwijl die van cruciaal belang is bij het snel oplossen van security incidenten. Het gaat hierbij om IP adres en routeringsinformatie, maar ook om de juiste contact informatie.
  • Security audit, Security certification en Contingency planning zijn algemene maatregelen om de veiligheid te vergroten. Specifieke maatregelen om de veiligheid te vergroten zijn het inrichten van een CERT / CSIRT (incident afhandeling) of een Security Operations Center (voor detectie van en onderzoek naar kwetsbaarheden en het interpreteren en afhandelen van incidenten).

Corporates en hosters kunnen veiliger

Op architectuurniveau zijn er verschillende maatregelen mogelijk om de veiligheid te vergroten. Het is mogelijk de IP verkeersstromen naar high volume diensten te splitsen op basis van bv DDOS risico’s. Zo kan een groot gedeelte van de server capaciteit toegekend worden aan verkeer wat van betrouwbare bronnen komt en een kleinere capaciteit aan riskanter verkeer. Hierdoor blijft de dienst bij DDOS aanvallen beschikbaar voor gebruikers in betrouwbare netwerken.

Hoewel basaal, is er door gebruik te maken van port filtering een redelijke basis bescherming te realiseren. Hierdoor kunnen gevoelige diensten op servers afgeschermd worden.

Omdat de IP routering dynamisch aangepast kan worden is het mogelijk om dit mechanisme in te zetten t.b.v. Cybersecurity. Een goed voorbeeld hiervan is de NaWas (Nationale Wasstraat tegen DDOS-aanvallen). Hierbij wordt in geval van een DDOS aanval het verkeer naar een Shared DDOS scrubbing center gestuurd wordt. Op deze manier kan de impact van een DDOS aanval grotendeels weggenomen worden.

Hoe maken we het Internet nog veiliger?

Het implementeren van security maatregelen is altijd lastig, zelfs als het voor de eigen organisatie of klanten gebeurd. Daarnaast zijn er ook nog maatregelen die het Internet als geheel veiliger maken, terwijl ze geen direct voordeel voor de eigen klanten of organisatie hebben. Een flink aantal van de geïdentificeerde maatregelen gaan nu juist hier over.

Het probleem van vrij in te vullen IP source adressen, kan met IP maatregelen opgelost worden. Er zijn in ieder geval meer mogelijkheden dan de vrij bekende BCP38.

Een stuk complexer zijn de maatregelen om BGP veiliger te maken. Deze zijn vooral relevant in de core van het Internet. Hierbij is het ook mogelijk om ongewenste injectie van routeringsinformatie te voorkomen.

Het is in Nederland vrij gebruikelijk dat ISP’s een aansluiting of dienst van een gebruiker bij misbruik in quarantaine zetten. Bijvoorbeeld als een PC of IoT device op deze aansluiting geïnfecteerd is. Er zijn ook ontwikkelingen waarbij het mogelijk wordt individuele devices in het thuisnetwerk in quarantaine te plaatsen (ook op IPv4).

De ISP’s die quarantaines toepassen nemen duidelijk een verantwoordelijkheid om het Internet veiliger te maken, terwijl de helpdesk kosten aanzienlijk kunnen zijn. Voor ISP’s is het voordeel wel dat hiermee de beoordeling op verschillende abuse lijsten beter wordt.

Bronnen

Deze bijdrage is gebaseerd op de “Quickscan on routing measures to increase the security of the Internet”, waarvan verschillende versies bestaan:

LinkedIN versie:
https://www.linkedin.com/pulse/measures-increase-routing-security-internet-ad-bresser/

Github versie:
https://github.com/AdBresser/measures-to-increase-IP-security

Originele versie:
http://startupinc.nl/wp-content/uploads/2017/10/20171027-Quickscan-on-routing-measures-to-increase-the-security-of-the-Internet.pdf