In 2024 hebben we verschillende risico’s geïdentificeerd, maar één in het bijzonder willen we uitlichten: BGP hijacking.
Het Border Gateway Protocol (BGP) vormt de ruggengraat van het internet en is verantwoordelijk voor de routering van data tussen verschillende netwerken wereldwijd. Het zorgt ervoor dat internetverkeer de meest efficiënte route naar de bestemming vindt door netwerkoperators in staat te stellen routeringsinformatie uit te wisselen.
BGP laat het internet functioneren als een wereldwijd netwerk van onderling verbonden systemen en leidt verkeer op basis van de best beschikbare routes. Omdat het echter gebaseerd is op vertrouwen, is het vatbaar voor manipulatie—wat leidt tot beveiligingsdreigingen zoals BGP hijacking.
Dit is een complex concept, maar we leggen het eenvoudig uit met een technisch onderbouwde toelichting.
Je kunt het vergelijken met het volgende scenario: stel je een persoon met kwade bedoelingen voor die opzettelijk straatnaamborden verwisselt in een stad. Bijvoorbeeld, hij verandert ‘Hoogstraat’ in ‘Kerkstraat’ en omgekeerd. Het doel van deze persoon is om een postbode te misleiden, zodat een pakket op het verkeerde adres wordt afgeleverd en zo in zijn handen terecht komt.
BGP hijacking treedt op wanneer een netwerkoperator IP-prefixen aankondigt die hij niet legitiem bezit, waardoor internetverkeer wordt omgeleid. Dit kan met opzet gebeuren, met kwaadaardige bedoelingen, of per ongeluk door configuratiefouten. De gevolgen zijn echter ernstig, waaronder verkeeronderschepping, datadiefstal, verstoringen van diensten en grootschalige aanvallen zoals Distributed Denial-of-Service (DDoS).
Een concreet voorbeeld: hackers kunnen een website creëren die identiek is aan die van jou, met als doel inloggegevens te stelen. Wanneer BGP hijacking plaatsvindt, worden jouw klanten ongemerkt doorgestuurd naar deze nepwebsite, waar ze hun inloggegevens invoeren. Vervolgens kunnen de hackers deze gegevens misbruiken om toegang te krijgen tot de echte website.
Er zijn twee belangrijke maatregelen om BGP hijacking te voorkomen:
Dit is een beveiligingsmechanisme binnen het Resource Public Key Infrastructure (RPKI) framework dat ervoor zorgt dat alleen geautoriseerde Autonomous Systems (AS) bepaalde IP-prefixen mogen aankondigen. Een ROA is een cryptografisch ondertekend object dat door een IP-adresseigenaar wordt gecreëerd en bepaalt welk AS de routes voor zijn IP-prefixen mag initiëren.
Tijdens het BGP-routevalidatieproces vergelijken netwerkoperators inkomende routeringsaankondigingen met de ROA’s die zijn opgeslagen in het RPKI. Elke netwerkoperator die RPKI heeft geïmplementeerd, kan nu de aangekondigde prefixen van Cloud2be valideren.
Vergelijk het met het volgende: een postbode controleert je adres door het te verifiëren op je identiteitskaart voordat hij een pakket aflevert.
Onze vertrouwde telecomprovider heeft RPKI-infrastructuur geïmplementeerd op hun backbone. Dit zorgt ervoor dat alle ongeldige routeringsaankondigingen worden geweigerd, waardoor de openbare IP-adressen en routes van Cloud2be correct blijven.
Vergelijk het met het volgende: de postbode vertrouwt niet langer op fysieke straatnaamborden, maar gebruikt voortaan zijn GPS-systeem.
Je kunt controleren of jouw internetprovider een veilige BGP-configuratie heeft geïmplementeerd om je netwerk te beschermen via: https://isbgpsafeyet.com.
BGP hijacking is een serieuze cyberdreiging die kan leiden tot verkeeronderschepping, datadiefstal en grootschalige aanvallen zoals identiteitsfraude en DDoS. Net zoals een postbode kan worden misleid door verwisselde straatnaamborden, kunnen kwaadwillenden IP-routeringsaankondigingen manipuleren om internetverkeer om te leiden.
Om dit te voorkomen, moeten organisaties Route Origin Authorization (ROA) validatie en Resource Public Key Infrastructure (RPKI) implementeren, zodat alleen legitieme netwerken IP-prefixen kunnen aankondigen. Het beveiligen van BGP is essentieel om vertrouwen in online communicatie te behouden.
Heb je hulp nodig bij het beveiligen van je BGP-configuratie of andere cybersecurity-uitdagingen? Aarzel niet om contact op te nemen met een van onze experts.