Nieuwe release van Internet.nl met RPKI-test

31 augustus 2022
Vanaf vandaag kan je met Internet.nl testen of jouw website en mailvoorziening worden beschermd door RPKI. Door toepassing van deze moderne internetstandaard zul je minder snel last hebben van onbedoelde of kwaadwillige internetrouteringsfouten. Fouten die bijvoorbeeld kunnen leiden tot onbereikbaarheid van je website en mailvoorziening. Veel plezier met testen en, zo nodig, succes met verbeteren!

Route-lekken en -hijacks

Resource Public Key Infrastructure (RPKI) is een techniek met als doel om bepaalde route-lekken en -hijacks te voorkomen. Het gaat om gevallen waarbij internetverkeer wordt omgeleid naar de systemen van een niet-geautoriseerd netwerk. Een dergelijke omleiding kan het gevolg zijn van een simpele typefout van een netwerkbeheerder die daarmee onbedoeld internetverkeer omleidt, of het gevolg zijn van een doelgerichte aanval op de infrastructuur van het internet om bijvoorbeeld websites onbereikbaar te maken of om gegevens van internetgebruikers afhandig te maken. Een relevant Nederlands voorbeeld hiervan betreft een incident waarbij een set IP-adressen van het ministerie van Buitenlandse Zaken in 2014 tijdelijk gekaapt is door een Bulgaarse netwerkbeheerder.

Werking van RPKI

Met RPKI kan de rechtmatige houder van een blok IP-adressen een digitaal getekende verklaring publiceren met betrekking tot de intenties van de routering vanaf zijn netwerk. Deze verklaringen, genaamd Route Origin Authorisations (ROA’s), kunnen andere netwerkbeheerders cryptografisch valideren en vervolgens gebruiken om filters in te stellen. Hiermee filteren routers routes uit die in strijd zijn met de voor de betreffende IP-adressen gepubliceerde ROA’s (invalid = reject).

RPKI vraagt dus om actie vanuit twee partijen. Ten eerste moet de houder van de IP-adressen ROA’s publiceren. Ten tweede moet de partij die via Border Gateway Protocol (BGP) routes ontvangt van andere netwerken filteren op basis van alle wereldwijd gepubliceerde ROA’s, waarbij invalide routes nooit geaccepteerd of geadverteerd mogen worden.

RPKI-test in Internet.nl

De nieuwe RPKI-test is onderdeel van de websitetest en van de e-mailtest. Alle gevonden IP-adressen die horen bij de webserver, mailservers en nameservers van een domein worden getest.

Eerst wordt per IP-adres gecontroleerd of er tenminste één ROA is gepubliceerd. Vervolgens checkt de test of de route-aankondiging van ieder IP-adres wordt gematcht door de eventueel gevonden ROA. Voorlopig wegen de resultaten van de RPKI-test nog niet mee in de totaalscore van het testresultaat. Vanaf begin 2023 zal dat wel het geval zijn. Later dit jaar zal de RPKI-test ook worden toegevoegd aan de API en het dashboard van Internet.nl.

Speciale dank gaat uit naar NCSC-NL dat een groot deel van de nieuwe RPKI-test heeft ontwikkeld en, in overeenstemming met staand overheidsbeleid ("open, tenzij"), als open source beschikbaar heeft gesteld. Daarij werd intensief samengewerkt met de kernontwikkelaars van Internet.nl die voor Platform Internetstandaarden werken. Het fundament van de nieuwe RPKI-test wordt gevormd door Routinator, open source RPKI Relying Party software die wordt ontwikkeld door NLnet Labs.

Aanvullende maatregelen

Naast RPKI zijn er andere, aanvullende technieken die internetroutering veiliger maken. Het MANRS-initiatief geeft een overzicht van 'best practices' die we aanbevelen om ook te implementeren.

Over Internet.nl

De testtool Internet.nl is een initiatief van het Platform Internetstandaarden, een samenwerkingsverband van partijen uit de Internetgemeenschap en de Nederlandse overheid. Het doel van het platform is om gezamenlijk het gebruik van moderne internetstandaarden verder te vergroten om daarmee het internet voor iedereen toegankelijker, veiliger en betrouwbaarder te maken. De softwarecode van Internet.nl is online beschikbaar onder een open source licentie.

Release notes 1.5.0

New

  • RPKI support [(#613)]. For all IPs of all name servers, mail servers and web server, this check looks for the existence of an RPKI ROA, and whether all BGP routes covering these IPs are valid. As this is a new check, the total score does not yet include RPKI results.

Other changes

  • Fixed issues with the IPv4/IPv6 consistency test for large pages [(#665)]
  • Various dependencies updated [(#721)] [(#725)] [(#695)] [(#688)] [(#712)]
  • Internal documentation improvements [(#717)]
  • Small improvements in cache reset requests [(#724)]
  • Small improvements in various test explanations.
  • The privacy statement was updated to clarify the use of third party services.

Upgrading to 1.5 from 1.4.x

See the change overview for the steps to upgrade if you have your own deployment of the internet.nl codebase.