Het internet heeft begin deze week een bizarre storing ondergaan. Het was echter geen bewuste aanval van kwaadwillenden, maar het domino-effect van een foute instelling. De fout zat in een router bij de Tsjechische internetprovider Supronet. Die machine had een verkeerde instelling voor het Border Gateway Protocol (BGP), wat automatisch werd doorgegeven en daarmee wereldwijd lookup-tabellen voor BGP vervuilde, meldt netwerkbeheerder Renesys.

Te lange paden

Die vervuiling bestond uit het flink verlengen van de paden voor de routing van het internetverkeer. Routers van andere providers konden die lengte niet altijd aan en lieten verbindingen vallen. Daardoor werden delen van het internet afgesneden. Het effect was onder meer in de Verenigde Staten merkbaar. Eindgebruikers hebben relatief weinig hiervan gemerkt, maar telecombedrijven en isp’s zijn geschrokken.

De storing, die slechts twee uur duurde, is namelijk snel en wijdverbreid opgetreden. Dit is te wijten aan de volautomatische werking van routing. Dat gebeurt via doorverwijzing op basis van blokken (prefixes) van IP-netwerken. De ene router weet dat een andere router verbonden is met dat IP-blok. Vervolgens geeft die router het weer verder door, dieper het BGP-pad in. De aard van internet is dat er meerdere paden mogelijk zijn en dat verkeer automatisch omgeleid kan worden.

Ook Europa en VS

De gemiddelde lengte van BGP-paden is vier stappen, wat dan dus een optimale route is. De fout bij Supronet leverde pieken op van meer dan 255 stappen. Dergelijke lange paden zijn zwaar suboptimaal en worden dus weinig gebruikt, maar kosten wel routergeheugen en –capaciteit.

Bovendien konden sommige oudere routers die lengte helemaal niet aan. Die machines bevinden zich niet alleen in gebieden als Afrika en China, maar ook in het grootste deel van Europa en de hele Verenigde Staten. Uitschieters waren België, Spanje, Letland, Bosnië, Israel en Nieuw-Zeeland.

Vertrouwensrelatie

Normaliter werken routers samen om verkeer te geleiden. Daarbij delen die machines constant informatie met elkaar en vertrouwen ze dus sterk op elkaar. BGP is het basisprotocol voor routing op het wereldwijde netwerk. In tabellen van dit protocol worden IP-netwerken en hun bereikbaarheid (routering) bijgehouden. BGP is ontworpen als vervanger voor EGP (Exterior Gateway Protocol) dat vertrouwde op een centraal backbone-netwerk. EGP is in 1982 ontworpen.

Begin vorig jaar heeft een foute YouTube-blokkering van Pakistan ook voor wereldwijde problemen gezorgd. Dat is echter veroorzaakt door een geheel andere zwakke plek in de internetinfrastructuur. De overeenkomst is wel dat ook in dat geval de vertrouwensrelatie onder internetapparatuur zorgde voor doorgifte van het probleem.

BGPSEC

Ondertussen is de Amerikaanse overheid druk bezig met een project om routers beter te beveiligen. Dit gaat zeker vier jaar in beslag nemen. Die security-upgrade wordt wel BGPSEC genoemd, omdat het initiatief vergelijkbaar is met de overgang van DNS naar DNSSEC.

Het Witte Huis heeft na de ophef over het zogeheten Kaminsky-lek in DNS die beter beveiligde variant al verplicht gesteld voor Amerikaanse overheidsinstanties. Dit moet eind 2009 uitgerold zijn. Het ministerie voor Binnenlandse Veiligheid (Homeland Security) heeft in 2004 al aangegeven dat BGP en DNS zwakke plekken zijn. Homeland Security geeft vanaf dit jaar zo’n 2,5 miljoen dollar per jaar uit aan routersecurity. Dit was de afgelopen drie jaar 600.000 dollar op jaarbasis.