Нидерланды улучшают безопасность интернет-маршрутизации с помощью стандарта RPKI

Правительство Нидерландов повысит безопасность своей интернет-маршрутизации, приняв до конца 2024 года стандарт Resource Public Key Infrastructure (RPKI).

RPKI ( Resource Certification ) защищает от ошибочного перенаправления интернет-трафика посредством криптографической проверки маршрутов. Стандарт использует цифровые сертификаты для защиты протокола пограничного шлюза (BGP), используемого для обмена информацией о маршрутизации, и гарантирует, что трафик проходит через легитимного сетевого оператора, контролирующего IP-адреса на пути назначения.

Форум по стандартизации в Нидерландах объявил, что к 2024 году все коммуникационные устройства, управляемые правительством Нидерландов, должны использовать стандарт RPKI. Правительство поддержало эту рекомендацию и приняло политику, которая касается как вновь добавленного ИКТ-оборудования, так и существующих систем.

RPKI-сертификаты хранятся централизованно и общедоступны, что позволяет сетевым провайдерам из любой точки мира проверять маршруты интернет-трафика. Интернет-трафик в сетях, которые реализуют RPKI, направляется только по авторизованным путям, что устраняет риски MiTM-атаки («человек посередине») или утечки и перехвата данных.

Без RPKI интернет-маршрутизация зависит от доверия сетевых операторов, рекламирующих правильные IP-префиксы, которыми они управляют. Но если оператор ложно объявляет, что он обрабатывает определенный набор IP-адресов, он будет получать трафик, который в противном случае пошел бы по другому пути.

Помимо влияния на производительность (например, задержки в сети, сбои), модель на основе доверия позволяет злоумышленникам перехватывать BGP и отслеживать трафик, а также подделывать законные IP-адреса для рассылки спама. Один из примеров перехвата BGP произошёл в 2019 году, когда сетевой трафик от голландского интернет-провайдера KPN более двух часов перенаправлялся на China Telecom.

Уровень внедрения RPKI в Нидерландах уже составляет 77,9% государственных веб-сайтов и 75,1% доменов электронной почты уже поддерживают этот стандарт. Однако глобальное внедрение RPKI продвигается медленнее, чем надеялись его разработчики и сторонники, и интернет-провайдеры второго уровня отстают.

По данным NIST за апрель 2023 года, около 41% поддающихся проверке пар префикс-источник IPv4 соответствуют RPKI, 58% подвержены инцидентам маршрутизации, а 1% имеют несоответствие в своих ключах источника маршрута, поэтому они недействительны.

Стоит отметить, что в 2021 году из-за масштабной утечки маршрутов BGP тысячи крупных сайтов и сетей по всему миру оказались недоступными . Хотя инцидент произошел с автономной системой Vodafone (AS55410) в Индии, он затронул крупные компании в США, включая Google.

Инцидент длился 10 минут, и в течение этого времени пользователи по всему миру испытывали трудности с подключением к интернет-ресурсам с IP-адресами в утекших маршрутах, ошибочно направлявших трафик на автономную систему AS55410 в Индии. Эксперт в области BGP Анураг Бхатия (Anurag Bhatia) идентифицировал 20 тыс. префиксов по всему миру, затронутых инцидентом.