Beveiliging van netwerkroutering en de toepassing van RPKI: problemen en uitdagingen in Frankrijk
In de huidige cyberbeveiligingsomgeving is de beveiliging van netwerkroutering een fundamentele pijler van de veerkracht van de IT-infrastructuur. Hoewel vertrouwelijkheid van gegevens en beveiliging van toepassingen vaak voorop staan in beveiligingsstrategieën, blijft bescherming tegen bedreigingen zoals routing hijacking en routing lekken net zo essentieel om de continuïteit en betrouwbaarheid van universitaire en wetenschappelijke diensten te garanderen. De eerste tests werden in Lyon uitgevoerd op Lyonix (het toekomstige France-IX Lyon) in 2014.
Waarom is netwerkroutering cruciaal?
Incidenten met betrekking tot de beveiliging van routing, zoals kapingsaanvallen of configuratiefouten, kunnen leiden tot grote dienstonderbrekingen, het verlies van cruciale gegevens en aanzienlijke financiële gevolgen. Naast de directe gevolgen kunnen dergelijke gebeurtenissen de reputatie van instellingen schaden en hun aantrekkelijkheid ondermijnen. Bedrijven en openbare diensten zijn afhankelijk van betrouwbare connectiviteit om toegang te krijgen tot cloudresources en internationaal samen te werken.
De rol van RPKI bij het beschermen van netwerkroutering
De Resource Public Key Infrastructure (RPKI) is een raamwerk dat sinds 2008 gestandaardiseerd is voor de authenticatie van routeringsinformatie op het internet. Het is gebaseerd op de aanmaak van cryptografische certificaten (Route Origin Authorizations - ROA's) die houders van IP-adressen authenticeren en Autonome Systemen (AS) machtigen om routeringsprefixen te adverteren. Zoals een paspoort- en visumsysteem, fungeren certificaten als digitale paspoorten die de identiteit valideren, terwijl ROA's fungeren als visa die de legitimiteit van IP-advertenties autoriseren. Deze infrastructuur voorkomt pogingen tot routekaping en beveiligt het globale digitale ecosysteem verder.
Verder maakt de wijdverspreide toepassing van RPKI de weg vrij voor de integratie van nieuwe standaarden zoals Autonomous System Provider Authorization (ASPA) en Border Gateway Protocol Security (BGPsec), die de algemene netwerkbeveiliging zullen versterken.
Initiatieven, toepassing en uitdagingen: waar staat het Franse internet?
Problemen met de beveiliging van netwerkrouting zijn van belang voor de hele Franse economie, met name voor de privésector en bedrijven van alle groottes. Vandaag de dag moeten particuliere bedrijven zich inzetten voor het structureren van benaderingen die gebaseerd zijn op het overnemen van standaarden zoals RPKI en het MANRS-initiatief, maar op een schaal en met profielen die soms heel verschillend zijn.
Initiatieven en toepassing in bedrijven
Veel Franse bedrijven, met name in het MKB, worden in toenemende mate blootgesteld aan digitale risico's en aanvallen gericht op netwerkroutering, zoals BGP-kapingen of routeringslekken. Het bewustzijn groeit: de meerderheid van de leidinggevenden erkent dat cyberbeveiliging, en dus veilige routering, een topprioriteit is om de bedrijfscontinuïteit te waarborgen en te voldoen aan wettelijke vereisten, waaronder de RGPD en de NIS 2-richtlijn. Grote bedrijven, operators en leveranciers van digitale diensten nemen veilige routering nu op in hun aanbestedingen en contracten met partners, waarbij ze de voorkeur geven aan leveranciers die zich houden aan standaarden zoals MANRS of een robuust RPKI-beleid aanbieden.
Bedrijven - vaak minder gestructureerd dan overheidsinstellingen - worden geconfronteerd met een aantal obstakels:
- Een gebrek aan middelen of specifieke expertise, vooral in KMO's.
- Een soms ontoereikend begrip van de uitdagingen van veilige routering en de tastbare voordelen ervan voor het bedrijf, de reputatie en de naleving van de regelgeving.
- Een complexe toeleveringsketen: veel aanvallen maken gebruik van de zwakke punten van onderaannemers, waardoor veilige routing een collectieve uitdaging wordt die de grenzen van het bedrijf overschrijdt.
- Technische en regelgevende processen die als complex worden beschouwd, met name voor de integratie van oplossingen zoals RPKI, waarvoor coördinatie nodig is tussen interne spelers (IT, cyberbeveiliging, management) en externe spelers (leveranciers, partners).
Naar een wijdverspreide toepassing van best practices
Onder impuls van beroepsorganisaties en sectorautoriteiten worden bedrijven uitgenodigd om :
- Beveiliging van routing (RPKI, MANRS) integreren in hun algemene cyberbeveiligingsbeleid en inkooppraktijken.
- Train IT-teams en maak managers bewust van de risico's en bestaande oplossingen.
- Van hun leveranciers eisen dat ze voldoen aan industriestandaarden en prioriteit geven aan automatisering (Cloud tools, IAM, netwerkbewaking).
- Samenwerken met partner- en onderaannemersnetwerken om de veiligheid in de hele waardeketen te bevorderen.
Uitdagingen voor de publieke en private sector
De convergentie van uitdagingen op het gebied van routingbeveiliging tussen de academische en de private sector weerspiegelt een verandering in het Franse digitale landschap: alle spelers, ongeacht hun omvang of bedrijf, maken zich nu zorgen over de veerkracht, betrouwbaarheid en vertrouwelijkheid van internetuitwisselingen. Deze behoefte groeit gezien de toenemende en geavanceerdere aanvallen en de toenemende druk van de regelgeving in Frankrijk en Europa.
Kortom, netwerkrouteringsbeveiliging, geïllustreerd door de geleidelijke overname van de beste praktijken van RPKI en MANRS, wordt nu erkend als een functieoverschrijdende prioriteit, van universiteiten tot bedrijven, voor het opbouwen van een veerkrachtige en concurrerende Franse digitale economie. Een collectieve inspanning, een combinatie van bewustmaking, samenwerking en het in gang zetten van internationale normen, is essentieel om de huidige en toekomstige uitdagingen het hoofd te bieden.
Hoe kunnen we de invoering van RPKI in Frankrijk versnellen?
Een massale invoering van RPKI kan alleen worden bereikt door een collectieve inspanning, waarbij alle bestuursniveaus worden betrokken en door voortdurende uitwisselingen tussen belanghebbenden:
- Integreer routeringsbeveiliging in het algehele cyberbeveiligingsbeleid.
- Het trainen en informeren van technische en managementteams over de uitdagingen en voordelen van RPKI.
- Samenwerken met nationale en Europese netwerken om ondersteuning te krijgen bij het implementeren van best practices.
- Gebruik de hulpmiddelen en bronnen die beschikbaar zijn gesteld door RENATER, ARIN of MANRS.
Conclusie
Beveiliging van netwerkroutering is een groeiende prioriteit in de cyberbeveiligingsstrategie. Het versnellen van de invoering van RPKI is van vitaal belang om compromitteringsrisico's te voorkomen, academische bronnen te beschermen en internationale samenwerking in een veilige en betrouwbare omgeving aan te moedigen. Een collectieve inspanning, de bereidheid om best practices te delen en de mobilisatie van strategische spelers zullen ons in staat stellen om een beslissende stap voorwaarts te zetten in Frankrijk en daarbuiten.
Bronnen en credits
Dit artikel is gebaseerd op :
Kantoor van de nationale cyberdirecteur, Stappenplan voor betere internetrouteringsbeveiliging, September 2024.
Campus Technologie, “Internet2: Netwerkrouteringsbeveiliging en toepassing van RPKI in onderzoek en onderwijs,”4 november 2024.
Gblogs Cisco Frankrijk, “LYONIX loopt voorop in het beveiligen van het Franse internet.” geschreven door Jerome Durand
Aanvullende referenties die in LyonIX-publicaties worden aangehaald: RIPE NCC, LACNIC, IETF draft over BGP best practices, Stephane Bortzmeyer blog, ANSSI-aanbevelingen.
