RIPE-NCC, de beheerder van IP-adressen voor Europa en het Midden-Oosten, is begonnen met het uitdelen van certificaten aan netwerkbeheerders zoals internetproviders. Met zo’n certificaat kunnen netwerkbeheerders bewijzen dat zij echt eigenaar zijn van de IP-adressen waarvan zij claimen dat die via hun netwerk moeten.

Kapen voorkomen

Met behulp van die certificaten kunnen netwerkbeheerders tegelijkertijd ook voorkomen dat hun IP-reeksen worden gekaapt door andere netwerken. Er kunnen namelijk problemen met routes op het hele internet optreden als twee verschillende netwerken abusievelijk dezelfde IP-adressen claimen.

Dat gebeurde de afgelopen jaren minimaal twee keer op grote schaal. In 2008 maakte Pakistan Telecom een fout met het BGP protocol dat wordt gebruikt om de juiste route tussen twee hosts op het internet te bepalen. De regering van Pakistan droeg de internetprovider toen op om YouTube te blokkeren.

Al het verkeer via China

De internetprovider maakte echter een fout en vertelde alle netwerken ter wereld dat verkeer voor YouTube over hun eigen netwerk moest gaan. Het resultaat: YouTube was wereldwijd onbereikbaar.

“Als Pakistan Telecom een digitaal certificaat had gehad dan zou het duidelijk zijn geweest dat zij niet aan de IP-adressen van Google mogen zitten. Vervolgens zouden de andere ISP’s het verkeer dus ook niet via Pakistan hebben gestuurd”, zegt Andrew de la Haye van RIPE tegen PCWorld.

Vorig jaar werd ruim 15% van het internetverkeer afkomstig uit de VS een tijdlang omgeleid via het netwerk van China Telecom. Ook hier was een foute melding in het BGP protocol de oorzaak. Hoewel het onduidelijk is of dit opzettelijk gebeurde, had ook dat met een certificaat bij de provider voorkomen kunnen worden.

Automatische filters

“Het gebeurt vaak dat mensen fouten maken”, stelt De la Haye. “Met behulp van deze certificering kunnen internetproviders een filter in hun routers aanmaken die het verkeer dat via ongeautoriseerde netwerken loopt automatisch blokkeert.” Dat kon voorheen ook wel, maar toen moest dat met de hand gecontroleerd worden.

Het certificeringssysteem van RIPE is gebaseerd op de public key infrastructure. Een standaard methode om certifcaten uit te delen. RIPE heeft enkele open-source tools ontwikkeld die gebruikt kunnen worden om de certificaten te checken. Ook de beheerders van IP-adressen voor andere regio’s gaan een gelijksoortig systeem gebruiken.