Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Agentschap Telecom doet aanbevelingen voor beveiligen BGP

donderdag 17 december 2020, 15:15 door Redactie, 13 reacties

Het Agentschap Telecom heeft verschillende aanbevelingen gepubliceerd voor het beveiligen van het Border Gateway Protocol, dat wordt gebruikt om verkeer tussen internetproviders te routeren en essentieel is voor de werking van het internet.

BGP werkt door een tabel van ip-netwerken of 'prefixes' bij te houden die de netwerkbereikbaarheid tussen autonome systemen aangeeft. Dit zijn onafhankelijk beheerde netwerken, bijvoorbeeld van internetproviders. Via BGP wordt de meest efficiënte route gezocht voor het routeren van verkeer.

In het verleden zijn er meerdere incidenten met BGP-hijacking geweest waarbij aanvallers het internetverkeer via hun netwerken weten te routeren en zo kunnen onderscheppen of manipuleren. Aanvallers doen dit door aan te kondigen dat ze eigenaar van bepaalde ip-prefixes zijn, terwijl dit in werkelijkheid niet het geval is.

"Zonder BGP kan er ook geen internet zijn. Beveiliging van dat protocol is dan ook erg belangrijk. Om beheerders van autonome systemen daarbij te helpen hebben we een aantal best practices in een infographic verzameld. Als iedereen die met BGP te maken heeft de best practices volgt beperken we gezamenlijk de risico's", zo laat het Agentschap Telecom vandaag weten.

De aanbevelingen bestaan onder andere uit monitoring, detectie, filtering, gebruik van Resource Public Key Infrastructure (RPKI) en TTL Security. Zo moet RPKI het kapen van routes voorkomen en is TTL Security bedoeld om aanvallen met vervalste ip-pakketten tegen te gaan.

"Organisaties zoals internetproviders en ondernemingen worden aangemoedigd om deze aanbevelingen te implementeren, aangezien ze de security en stabiliteit van het internet verbeteren. Een veerkrachtig internet is essentieel voor het publieke welzijn en economische stabiliteit", stelt het Agentschap Telecom.

Image

Bits of Freedom doet onderzoek naar Corona Opt-in
FBI: slachtoffers van ransomware opgebeld door criminelen
Reacties (13)
Reageer met quote
17-12-2020, 15:30 door Anoniem
Ik zet zelf altijd de TTL op 1 in de router maar toen ik ook een rule had toegevoegd in de firewall die checked of the
TTL bij de peer wel op 1 stond kwamen er allerlei problemen omdat kennelijk niet alle peers in staat waren deze
instelling te doen. Ik ben er eigenlijk nooit achter gekomen of hun routers dat niet konden of dat het de admins waren
die dat niet konden.
Toch maar weer eens proberen aan de orde te stellen...
Reageer met quote
17-12-2020, 18:15 door Anoniem
wat is dat nu voor onzin? zonder bgp geen internet.
natuurlijk kun je elk routeringsprotocol voor internet gebruiken, desnoods statische routes.
onhandig, ja, bijna onwerkzaam, ook wel, maar onmogelijk, nee, zeker niet
Reageer met quote
17-12-2020, 18:41 door Anoniem
Door Anoniem: wat is dat nu voor onzin? zonder bgp geen internet.
natuurlijk kun je elk routeringsprotocol voor internet gebruiken, desnoods statische routes.
onhandig, ja, bijna onwerkzaam, ook wel, maar onmogelijk, nee, zeker niet
Je kunt wel proberen over te stappen op een ander protocol, maar de ervaring met IPv6 leert dat dat een operatie
is die 20 jaar gaat duren als er geen dwang achter zit.
En het zal waarschijnlijk nog best lastig zijn om een geleidelijke overstap te doen waarbij iedereen op een moment dat
em zelf goed uitkomt de overstap maakt...
Daarom worden er steeds pleisters op het bestaande protocol geplakt.

Vergelijk het met het gebruik van SMTP voor mail, daar kom je ook niet meer vanaf en wordt ook vanalles op geplakt
zoals STARTTLS, SPF, DKIM, DMARC enz enz.
Reageer met quote
17-12-2020, 18:48 door Anoniem
Door Anoniem: Ik zet zelf altijd de TTL op 1 in de router maar toen ik ook een rule had toegevoegd in de firewall die checked of the
TTL bij de peer wel op 1 stond kwamen er allerlei problemen omdat kennelijk niet alle peers in staat waren deze
instelling te doen. Ik ben er eigenlijk nooit achter gekomen of hun routers dat niet konden of dat het de admins waren
die dat niet konden.
Toch maar weer eens proberen aan de orde te stellen...

Liever niet - Je doet juist de verkeerde check .
Lees de RFC over het TTL security mechanisme .

Als ik 10 hops verderop zit, zet ik de TTL op 11, en komt ik bij jouw firewall precies aan met TTL=1 .
https://tools.ietf.org/html/rfc5082

Je wilt de TTL op 255 zetten en daarop controleren omdat alleen een directe peer verkeer met TTL = 255 (of evt 254, als de decrement in het uitgaande interface gedaan wordt) kan afleveren.
Iedere aanvaller die een hop verder zit , komt met een te lage TTL aan.
Reageer met quote
17-12-2020, 18:48 door Anoniem
Door Anoniem: wat is dat nu voor onzin? zonder bgp geen internet.
natuurlijk kun je elk routeringsprotocol voor internet gebruiken, desnoods statische routes.
onhandig, ja, bijna onwerkzaam, ook wel, maar onmogelijk, nee, zeker niet
Yep, klopt.

- Nederland werd in 1982 aangesloten op het internet (CWI)
- In 1993 kwam Internet in Nederland publiekelijk beschikbaar door XS4ALL (ontstaan vanuit Hacktic).
- BGP is in 1994 op het internet in gebruik gekomen.

BGP is dus niet randvoorwaardelijk voor 'het internet'; met de hedendaagse complexiteit en omvang zijn we wel heel afhankelijk van BGP. Maar de stelling: 'zonder BGP geen internet' is inderdaad iets te kort door de bocht.
Reageer met quote
17-12-2020, 18:49 door Anoniem
Door Anoniem: wat is dat nu voor onzin? zonder bgp geen internet.
natuurlijk kun je elk routeringsprotocol voor internet gebruiken, desnoods statische routes.
onhandig, ja, bijna onwerkzaam, ook wel, maar onmogelijk, nee, zeker niet

Geboren pedant ?
Ga maar RSA-2048 op papier doen - en kom niet terug voordat je klaar bent.
Reageer met quote
17-12-2020, 19:08 door Anoniem
Door Anoniem: wat is dat nu voor onzin? zonder bgp geen internet.
natuurlijk kun je elk routeringsprotocol voor internet gebruiken, desnoods statische routes.
Nou in de beginjaren ging het wel zo. Geen DNS, geen DHCP. Afzien was het.
Reageer met quote
17-12-2020, 22:19 door Anoniem
Door Anoniem:
Door Anoniem: Ik zet zelf altijd de TTL op 1 in de router maar toen ik ook een rule had toegevoegd in de firewall die checked of the
TTL bij de peer wel op 1 stond kwamen er allerlei problemen omdat kennelijk niet alle peers in staat waren deze
instelling te doen. Ik ben er eigenlijk nooit achter gekomen of hun routers dat niet konden of dat het de admins waren
die dat niet konden.
Toch maar weer eens proberen aan de orde te stellen...

Liever niet - Je doet juist de verkeerde check .
Lees de RFC over het TTL security mechanisme .

Als ik 10 hops verderop zit, zet ik de TTL op 11, en komt ik bij jouw firewall precies aan met TTL=1 .
https://tools.ietf.org/html/rfc5082

Je wilt de TTL op 255 zetten en daarop controleren omdat alleen een directe peer verkeer met TTL = 255 (of evt 254, als de decrement in het uitgaande interface gedaan wordt) kan afleveren.
Iedere aanvaller die een hop verder zit , komt met een te lage TTL aan.

Dat is een manier. Maar als ik de TTL op 1 zet en jij zit 11 hops weg dan krijg je de SYN ACK niet binnen en komt
er dus nooit een connectie. De check op TTL = 1 is meer om te controleren of jij het aan jouw kant ook wel goed hebt
ingesteld...
En die manier om met 255 te beginnen en dan op 254 te checken is denk ik meer bedacht voor routers waar je de TTL
van BGP verkeer niet kunt instellen.
Reageer met quote
17-12-2020, 23:42 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik zet zelf altijd de TTL op 1 in de router maar toen ik ook een rule had toegevoegd in de firewall die checked of the
TTL bij de peer wel op 1 stond kwamen er allerlei problemen omdat kennelijk niet alle peers in staat waren deze
instelling te doen. Ik ben er eigenlijk nooit achter gekomen of hun routers dat niet konden of dat het de admins waren
die dat niet konden.
Toch maar weer eens proberen aan de orde te stellen...

Liever niet - Je doet juist de verkeerde check .
Lees de RFC over het TTL security mechanisme .

Als ik 10 hops verderop zit, zet ik de TTL op 11, en komt ik bij jouw firewall precies aan met TTL=1 .
https://tools.ietf.org/html/rfc5082

Je wilt de TTL op 255 zetten en daarop controleren omdat alleen een directe peer verkeer met TTL = 255 (of evt 254, als de decrement in het uitgaande interface gedaan wordt) kan afleveren.
Iedere aanvaller die een hop verder zit , komt met een te lage TTL aan.

Dat is een manier. Maar als ik de TTL op 1 zet en jij zit 11 hops weg dan krijg je de SYN ACK niet binnen en komt
er dus nooit een connectie. De check op TTL = 1 is meer om te controleren of jij het aan jouw kant ook wel goed hebt
ingesteld...

Default is/was al dat eBGP met TTL=1 naar buiten gaat, zodat je alleen een directly connected peer kunt configureren.
Maar deze thread gaat over BGP _security_ , en daarvoor heeft een TTL=1 check geen waarde.

Er zijn goede redenen waarom je aanvallers ook geen kans wilt geven om one-way verkeer naar je control plane af te leveren.


En die manier om met 255 te beginnen en dan op 254 te checken is denk ik meer bedacht voor routers waar je de TTL
van BGP verkeer niet kunt instellen.

Er zijn/waren platformen waarop de uitgaande lijnkaart een TTL decrement doet van verkeer, ook als het afkomstig van main processor. Dan wel , waar de ontvangende lijnkaart eerst de decrement TTL doet voordat de vergelijking TTL= gedaan wordt .
Dat is de reden waarom je de ontvangende check eventueel op 254 doet en niet op 254 .

Maar voor het doel 'een aanvaller die meer dan één hop weg zit kan nooit matchend verkeer leveren' werkt alleen met de hoogst mogelijke TTL waarde als start.
Reageer met quote
18-12-2020, 11:17 door Anoniem
Door Anoniem:
Default is/was al dat eBGP met TTL=1 naar buiten gaat, zodat je alleen een directly connected peer kunt configureren.
Maar deze thread gaat over BGP _security_ , en daarvoor heeft een TTL=1 check geen waarde.

Er zijn goede redenen waarom je aanvallers ook geen kans wilt geven om one-way verkeer naar je control plane af te leveren.

BGP werkt met TCP. Dat betekent dat er alleen verkeer kan worden afgeleverd als er beide kanten op connectiviteit is.
Met uitgaand verkeer op TTL 1 is dat niet mogelijk als de peer meer dan 1 hop weg zit. Immers die krijgt nooit de SYN ACK.
Reageer met quote
18-12-2020, 13:28 door Anoniem
BGP multihop moet je uiteraard niet op 255 zetten, dan kan elke gespoofte peer tussen dit aantal hops je verbinding kapen.
Er zijn omdat dit een meerledig issue is meerdere zaken die ook moeten gebeuren,
BCP84 en BCP38.
Oftewel antspoofing. Ik snap niet dat daar een supergeleerde, of in dit geval het Agentschap Telecom iets over moet blaten. Dit zijn items die standaard bekend zijn bij netwerkspecialisten. Het wordt tijd dat men luistert naar hun specialisten.
Reageer met quote
18-12-2020, 13:50 door Anoniem
Door Anoniem:
Door Anoniem:
Default is/was al dat eBGP met TTL=1 naar buiten gaat, zodat je alleen een directly connected peer kunt configureren.
Maar deze thread gaat over BGP _security_ , en daarvoor heeft een TTL=1 check geen waarde.

Er zijn goede redenen waarom je aanvallers ook geen kans wilt geven om one-way verkeer naar je control plane af te leveren.

BGP werkt met TCP. Dat betekent dat er alleen verkeer kan worden afgeleverd als er beide kanten op connectiviteit is.
Met uitgaand verkeer op TTL 1 is dat niet mogelijk als de peer meer dan 1 hop weg zit. Immers die krijgt nooit de SYN ACK.

Zuch en zucht. Ik zit hier niet om aanvallers wijs te maken .
Als je iets van doen hebt met internet facing BGP routers - ga leren over router security - en router architectuur. De vendors van die dingen hebben een hoop presentaties.
Denk breder over risico's dan "er is niks aan de hand als er maar geen twee weg verkeer mogelijk is".
Reageer met quote
18-12-2020, 18:58 door Anoniem
Door Anoniem: BGP multihop moet je uiteraard niet op 255 zetten, dan kan elke gespoofte peer tussen dit aantal hops je verbinding kapen.
Er zijn omdat dit een meerledig issue is meerdere zaken die ook moeten gebeuren,
BCP84 en BCP38.
Oftewel antspoofing. Ik snap niet dat daar een supergeleerde, of in dit geval het Agentschap Telecom iets over moet blaten. Dit zijn items die standaard bekend zijn bij netwerkspecialisten. Het wordt tijd dat men luistert naar hun specialisten.

Yep. Iedere netwerk specialist heeft bcp38 allang goed ingesteld.
https://spoofer.caida.org/country_stats.php
Ip6 draait bij allemaal al jaren, tls1.3 ook iedereen al in orde..mailservers hebben allemaal al láng spf, dkim, dmarc..
Maar inderdaad, niet iedere specialist heeft de ruimte waar die werkt om protocollen uit 1998 uit te faseren.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search

Smartengeld bij misbruik persoonsgegevens moet de regel zijn:

6 reacties
Aantal stemmen: 434
Image
Vacature
Vacature

Junior specialist OSINT

Ben jij enthousiast en leergierig en wil je het cybercrimeteam Oost Nederland verder helpen in de aanpak van digitale criminaliteit? We zijn op zoek naar een junior specialist Open Source Intelligence (OSINT). Weet jij de digitale wereld van buiten naar binnen te halen? Dan is deze functie iets voor jou!

Lees meer
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op een betaalbare en snelle internetverbinding, 'digitale inburgering' of digitaal stemmen, het ...

8 reacties
Lees meer
Certified Secure LIVE Online training
Mag ik mijn oude werklaptop geformatteerd inleveren bij einde dienstverband?
17-02-2021 door Arnoud Engelfriet

Juridische vraag: Helaas helaas houdt het bij mijn huidige werkgever op en moet ik eerdaags mijn laptop inleveren. Nu ...

66 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter