FS:Rpki: verschil tussen versies
(besluit OBDO van 2019-11-28) |
Geen bewerkingssamenvatting |
||
(16 tussenliggende versies door 4 gebruikers niet weergegeven) | |||
Regel 1: | Regel 1: | ||
{{FS- | {{#element: | ||
| | |Elementtype=FS-Standaard | ||
|Titel=RPKI | |||
|Introductie=Resource Public Key Infrastructure is een techniek. De eigenaar van een blok IP-adressen legt in verklaringen vast bij welk netwerk ze horen en hoe groot het blok hoort te zijn. Zo kunnen andere netwerkbeheerders controleren of er geen onbedoelde of kwaadwillige omleiding van internetverkeer plaatsvindt. RPKI voorkomt route-lekken en -hijacks en is essentieel voor de beveiliging van websites en systemen. | |||
|Status lijst Forum Standaardisatie=Verplicht (pas toe leg uit) | |||
|Functioneel toepassingsgebied=RPKI moet worden toegepast door netwerkaanbieders en houders van blokken IP-adressen bij het aanbieden van netwerkconnectiviteit, ter beveiliging van het BGP (Border Gateway Protocol). Dit geldt zowel voor het publiceren van ROA's (Route Origin Authorisations) als voor het valideren en het 'droppen' van invalide routes. | |||
|Organisatorisch werkingsgebied=Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector. | |||
|Omschrijving=Beveiligen van de routing infrastructuur | |Omschrijving=Beveiligen van de routing infrastructuur | ||
|Nut=Resource Public Key Infrastructure (RPKI) is een standaard met als doel om zogenaamde route hijacks te voorkomen. Bij een route hijack wordt internetverkeer omgeleid naar de systemen van een niet geautoriseerd netwerk. Een hijack kan het gevolg zijn van een simpele typefout van een netwerkbeheerder die daarmee onbedoeld internetverkeer omleidt, of het gevolg zijn van een doelgerichte aanval op de infrastructuur van het internet om bijvoorbeeld websites onbereikbaar te maken of om gegevens van internetgebruikers afhandig te maken. | |||
|Nut=Resource Public Key Infrastructure (RPKI) is een standaard met als doel om zogenaamde route hijacks te voorkomen. Bij een route hijack wordt internetverkeer omgeleid naar de systemen van een niet geautoriseerd netwerk. Een hijack kan het gevolg zijn van een simpele typefout van een netwerkbeheerder die daarmee onbedoeld internetverkeer omleidt, of het gevolg zijn van een doelgerichte aanval op de infrastructuur van het internet om bijvoorbeeld websites onbereikbaar te maken of om gegevens van internetgebruikers afhandig te maken. | |Werking=Met RPKI kan de rechtmatige houder van een blok IP-adressen een autoritatieve, digitaal getekende verklaring publiceren met betrekking tot de intenties van de routering vanaf haar netwerk. Deze verklaringen kunnen andere netwerkbeheerders cryptografisch valideren en vervolgens gebruiken om filters in te stellen die onrechtmatige routering negeren. Het netwerk valt terug op het 'oude' onbeveiligde routering als RPKI wegvalt. | ||
|Domein Forum Standaardisatie=Veilig internet | |||
|Community=Hoe je RPKI implementeert wordt in [https://www.forumstandaardisatie.nl/nieuws/beter-beveiligde-internetroutering-overheid-voor-eind-2024 dit nieuwsbericht] onderaan toegelicht. | |||
How to implement RPKI is explained in detail at bottom of [https://www.forumstandaardisatie.nl/nieuws/secured-internet-routing-dutch-government-end-2024 news article]. | |||
|Toelichting bij opname lijst Forum Standaardisatie=Het functioneel toepassingsgebied voor RPKI betekent dat publieke IP-adressen van IT-systemen van de overheid ondertekend moeten zijn én dat overheden de geldigheid van handtekeningen valideren bij het verbinden met publieke IP-adressen. | |||
|Uitstekend beheer=Nee | |||
|Datum van aanmelding lijst Forum Standaardisatie=2019-01-25 | |||
|Datum van besluit lijst Forum Standaardisatie=2019-11-28 | |||
|Volledige naam=Resource Public Key Infrastructure | |||
|Specificatiedocument=https://tools.ietf.org/html/rfc6480 | |||
|Beheerorganisatie=IETF | |Beheerorganisatie=IETF | ||
| | |Aanvullende verplichtingen=Voor RPKI heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een [https://forumstandaardisatie.nl/onderwerpen/veilig-internet/streefbeeldafspraken streefbeeldafspraak] gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten. | ||
|Adoptieadviezen=Aan NLnet Labs om advies en documentatie over het gebruik van RPKI te communiceren. Dit geldt voor zowel het faciliteren van online documentatie als het adviseren van het gebruik van RPKI. | |Adoptieadviezen=Aan NLnet Labs om advies en documentatie over het gebruik van RPKI te communiceren. Dit geldt voor zowel het faciliteren van online documentatie als het adviseren van het gebruik van RPKI. | ||
Regel 15: | Regel 27: | ||
Aan Rijkswaterstaat om in de verlenging van de Rijksbrede internetdiensten (het ON2013 raamcontract: https://on2013.nl/) toepassing van RPKI van leveranciers te vereisen. | Aan Rijkswaterstaat om in de verlenging van de Rijksbrede internetdiensten (het ON2013 raamcontract: https://on2013.nl/) toepassing van RPKI van leveranciers te vereisen. | ||
Aan het Forum Standaardisatie om te monitoren op de juiste toepassing van de standaard, met name op het publiceren van ROA’s en het valideren met het principe “invalid = reject”.Het Platform Internetstandaarden wordt opgeroepen om monitoring van RPKI publicaties te faciliteren via het platform internet.nl | Aan het Forum Standaardisatie om te monitoren op de juiste toepassing van de standaard, met name op het publiceren van ROA’s en het valideren met het principe “invalid = reject”.<br /> | ||
Het Platform Internetstandaarden wordt opgeroepen om monitoring van RPKI publicaties te faciliteren via het platform internet.nl | |||
Aan RIPE NCC om in gesprek te gaan met partijen over de invulling en intensiveren van cursussen over RPKI met partijen die hierin geïnteresseerd zijn. | Aan RIPE NCC om in gesprek te gaan met partijen over de invulling en intensiveren van cursussen over RPKI met partijen die hierin geïnteresseerd zijn.<br /> | ||
| | |Opgenomen op Europese lijst MSP=Nee | ||
|Implementatiehulpmiddelen=* Overheidsorganisaties kunnen voor door hen gebruikte IP-adressen uit de nummerblokken van de overheid via het [https://logius.nl/domeinen/infrastructuur/ipv4-en-ipv6-adressen-voor-de-overheid/ip-adressen-en-rpki-roa-aanvragen aanvraagformulier] RPKI ROA’s laten instellen door Logius. | |||
* Het advies is om IP-adressen waarvoor geen publieke route wordt aangekondigd (bijv. ongebruikte IP-adressen en IP-adressen die niet via internet worden gerouteerd) te configureren met een AS0 ROA om de kans op misbruik door derden te verkleinen. Voor achtergrondinformatie zie [https://www.rfc-editor.org/rfc/rfc6483#section-4 RFC 6483] en [https://www.rfc-editor.org/info/rfc7607 RFC 7607]. | |||
* Aan te raden is om voor iedere BGP route-aankondiging een RPKI ROA te publiceren. Daarbij is het verstandig om “maxLength” alleen te gebruiken in uitzonderlijke gevallen. Voor achtergrondinformatie zie [https://www.rfc-editor.org/rfc/rfc9319.html RFC 9319]. | |||
|Concept-pagina FS=Nee | |||
|Relatie met andere FS-standaarden=FS:Tls | |||
}} | }} |
Huidige versie van 2 nov 2023 om 12:28
Deze gegevens zijn afkomstig van https://www.forumstandaardisatie.nl/open-standaarden/Rpki
Over de standaard | |
---|---|
Lijst status | Verplicht (pas toe leg uit) |
Beschrijving | Beveiligen van de routing infrastructuur |
Uitleg | |
Nut | Resource Public Key Infrastructure (RPKI) is een standaard met als doel om zogenaamde route hijacks te voorkomen. Bij een route hijack wordt internetverkeer omgeleid naar de systemen van een niet geautoriseerd netwerk. Een hijack kan het gevolg zijn van een simpele typefout van een netwerkbeheerder die daarmee onbedoeld internetverkeer omleidt, of het gevolg zijn van een doelgerichte aanval op de infrastructuur van het internet om bijvoorbeeld websites onbereikbaar te maken of om gegevens van internetgebruikers afhandig te maken. |
Werking | Met RPKI kan de rechtmatige houder van een blok IP-adressen een autoritatieve, digitaal getekende verklaring publiceren met betrekking tot de intenties van de routering vanaf haar netwerk. Deze verklaringen kunnen andere netwerkbeheerders cryptografisch valideren en vervolgens gebruiken om filters in te stellen die onrechtmatige routering negeren. Het netwerk valt terug op het 'oude' onbeveiligde routering als RPKI wegvalt. |
Waarvoor geldt de verplichting | |
Aanvullende verplichtingen | Voor RPKI heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten. |
Trefwoorden | |
Detailinformatie | |
Beheerorganisatie | IETF |
Uitstekend beheer | Nee |
Specificatiedocument | https://tools.ietf.org/html/rfc6480 |
Volledige naam | Resource Public Key Infrastructure |
Versie | |
Inkoop | |
Aandachtspunten | |
Sjabloon-bestektekst | |
CPV-code(s) | |
Implementatie | |
Conformiteitstest | |
Domein | |
Relatie met andere standaarden | |
Toelichting | |
Toetsingsinformatie | |
Hulpmiddelen |
|
Functioneel toepassingsgebied | RPKI moet worden toegepast door netwerkaanbieders en houders van blokken IP-adressen bij het aanbieden van netwerkconnectiviteit, ter beveiliging van het BGP (Border Gateway Protocol). Dit geldt zowel voor het publiceren van ROA's (Route Origin Authorisations) als voor het valideren en het 'droppen' van invalide routes. |
Organisatorisch werkingsgebied | Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector. |
Toelichting bij opname | Het functioneel toepassingsgebied voor RPKI betekent dat publieke IP-adressen van IT-systemen van de overheid ondertekend moeten zijn én dat overheden de geldigheid van handtekeningen valideren bij het verbinden met publieke IP-adressen. |
Datum van aanmelding | 2019-01-25 |
Datum van besluit | 2019-11-28 |
Europese status (MSP) | Nee |
Documentatie |
|
Forum-Adviezen | |
Advies aan beheerder | |
Adoptieadviezen |
Aan NLnet Labs om advies en documentatie over het gebruik van RPKI te communiceren. Dit geldt voor zowel het faciliteren van online documentatie als het adviseren van het gebruik van RPKI. Aan experts van de standaard RPKI om het Forum Standaardisatie actief te informeren over beschikbare vervolgstappen op het gebied van Route Origin Validation. De experts monitoren het speelveld van RPKI en zullen het Forum Standaardisatie actief informeren bij nieuwe ontwikkelingen. Aan Rijkswaterstaat om in de verlenging van de Rijksbrede internetdiensten (het ON2013 raamcontract: https://on2013.nl/) toepassing van RPKI van leveranciers te vereisen. Aan het Forum Standaardisatie om te monitoren op de juiste toepassing van de standaard, met name op het publiceren van ROA’s en het valideren met het principe “invalid = reject”. |
Leveranciers |
- Besluit-OBDO.pdf (Definitief,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/RPKI/Besluit-OBDO.pdf,PDF Document)
- Consultatiedocument-RPKI.pdf (Consultatie,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/RPKI/Consultatiedocument-RPKI.pdf,PDF Document)
- Expertadvies-RPKI_0.pdf (Expertadvies,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/RPKI/Expertadvies-RPKI 0.pdf,PDF Document)
- FS-190612.4B_Intakeadvies_RPKI.pdf (Intakeadvies,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/RPKI/FS-190612.4B Intakeadvies RPKI.pdf,PDF Document)
- Forumadvies-RPKI.pdf (Forumadvies,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/RPKI/Forumadvies-RPKI.pdf,PDF Document)