Hollanda hükümeti, 2024’ün sonundan önce Kaynak Ortak Anahtar Altyapısı (RPKI) standardını benimseyerek internet yönlendirme güvenliğini yükseltecek.
RPKI veya Kaynak Sertifikası, yolların kriptografik doğrulaması yoluyla, kötü niyetli olsun ya da olmasın, internet trafiğinin hatalı yeniden yönlendirilmesine karşı koruma sağlar.
Standart, yönlendirme bilgilerini değiş tokuş etmek için kullanılan Sınır Ağ Geçidi Protokolünü (BGP) güvence altına almak ve trafiğin, hedef yoldaki IP adreslerini kontrol eden meşru ağ operatörü aracılığıyla gelmesini sağlamak için dijital sertifikalar kullanır.
Tüm BİT sistemleri için RPKI
Açık standartların kullanımı konusunda kamu sektörüne hizmet veren bir araştırma ve danışmanlık kuruluşu olan Hollanda’daki Standardizasyon Forumu, Hollanda hükümeti tarafından yönetilen tüm iletişim cihazlarının (ICT) 2024 yılına kadar RPKI standardını kullanması gerektiğini duyurdu.
Hükümet tavsiyeyi destekledi ve geçen hafta aldığı bir kararla hem yeni eklenen BİT ekipmanına hem de mevcut sistemlere atıfta bulunan politikayı benimsedi.
RPKI sertifikaları merkezi olarak depolanır ve halka açık tutulur, böylece dünyanın her yerinden ağ sağlayıcılarının internet trafik rotalarını doğrulamasına olanak tanır.
RPKI uygulayan ağlar, internet trafiğinin yalnızca yetkili yollardan yönlendirildiğinden emin olabilir, böylece ortadaki adam veya diğer veri saptırma ve engelleme saldırılarının risklerini ortadan kaldırır.
RPKI olmadan İnternet yönlendirmesi, yönettikleri doğru IP ön eklerini tanıtan ağ operatörlerinin güvenine bağlıdır. Bununla birlikte, bu model altında, bir operatör yanlış bir şekilde belirli bir IP adresleri kümesini işlediklerini bildirirse, aksi takdirde farklı bir yol izleyecek olan trafiği alırlar.
Performans etkisinin (ör. ağ gecikmesi, kesinti) yanı sıra, bu güvene dayalı model, trafiğin kesilmesine ve izlenmesine ve ayrıca istenmeyen e-posta göndermek için yasal IP adreslerinin yanıltılmasına izin veren kötü niyetli BGP korsanlığına kapı açar.
BGP korsanlığının bir örneği, Hollandalı internet servis sağlayıcısı KPN’den gelen ağ trafiğinin iki saatten fazla bir süre China Telecom’a yönlendirildiği 2019’dandır.
Bir yapılandırma hatası, bir ağ operatörünün başka bir tarafın IP alanını duyurmasına neden olduğunda, İnternet trafiğinin yeniden yönlendirilmesi de yanlışlıkla gerçekleşebilir. 2021’de böyle bir kaza tüm dünyada binlerce ağı bozdu.
RPKI’nin benimsenmesi
RPKI’nin benimsenmesi, devlet web sitelerinin %77,9’u ve e-posta alan adlarının %75,1’i zaten standardı desteklediğinden, Hollanda’da zaten yüksektir.
Bununla birlikte, RPKI’nin küresel olarak benimsenmesi, geliştiricilerinin ve destekçilerinin umduğundan daha yavaş ilerledi ve ikinci kademe ISP’ler geride kaldı.
ABD’deki Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), BGP yönlendirme bilgileri de dahil olmak üzere çeşitli veri havuzlarından alınan RPKI ekosistemi hakkında gerçek zamanlı bilgiler sağlayan canlı bir RPKI monitörüne sahiptir.
Nisan 2023 tarihli NIST verilerine göre, doğrulanabilir IPv4 önek-kaynak çiftlerinin yaklaşık %41’i RPKI ile uyumludur, %58’i yönlendirme olaylarına karşı hassastır ve %1’inin rota kaynak anahtarlarında uyumsuzluk vardır, dolayısıyla bunlar geçerli değildir.
RPKI daha güvenli ve daha iyi bir internete katkıda bulunuyor, ancak %41’lik benimseme oranı, dünya genelinde trafik güvenliğini iyileştirmenin hâlâ uzun bir yolu olduğunu gösteriyor.
2020’nin başlarında, RPKI benimseme oranı %18’di ve Ocak 2021’de %27’ye ve 2022’nin başında %33,5’e yükseldi.