.. titel: RPKI- en BGP-routeoorsprongvalidatie
.. naaktslak: rpki-bgp-route-oorsprong-validatie
.. datum: 07-04-2026 12:00:00 UTC
.. tags: rpki, bgp, beveiliging, routing, route-kaping, roa
.. categorie: Artikelen
.. link:
.. beschrijving: Hoe RPKI en Route Origin Validation BGP beschermen tegen kapingen en routelekken - met betrekking tot ROA's, validatiestatussen, het RTR-protocol en implementatiestatistieken.
.. typ: tekst
<style>
.calc-container { max-width: 860px; margin: 20px auto; padding: 20px; }
.calc-header { margin-bottom: 30px; padding: 25px; background: linear-gradient(135deg, #667eea 0%, #764ba2 100%); border-radius: 12px; box-shadow: 0 4px 6px rgba(0,0,0,0.1); color: white; }
.calc-header h2 { margin-top: 0; color: white; font-size: 28px; margin-bottom: 10px; }
.calc-header p  { margin: 10px 0; opacity: 0.95; font-size: 15px; }
.result-section { background: white; border: 1px solid #e0e0e0; border-radius: 8px; margin-top: 20px; overflow: hidden; box-shadow: 0 2px 4px rgba(0,0,0,0.05); }
.section-content { padding: 20px; background: #fafafa; }
@media (max-width: 768px) { .calc-header h2 { font-size: 22px; } .calc-container { padding: 10px; } }
.article-body { padding: 24px; background: white; line-height: 1.8; font-size: 15px; color: #333; }
.article-body h3 { color: #2d6a2d; border-bottom: 2px solid #4CAF50; padding-bottom: 6px; }
.article-body a { color: #2d6a2d; }
.article-body a:hover { color: #4CAF50; }
.callout { background: #e8f5e9; border-left: 4px solid #4CAF50; padding: 12px 16px; border-radius: 6px; margin: 16px 0; font-size: 14px; }
.callout.warn { background: #fff8e0; border-color: #f0a500; }
pre, .code-block { background: #1e1e2e; color: #cdd6f4; padding: 14px 18px; border-radius: 8px; font-family: 'Courier New', monospace; font-size: 13px; overflow-x: auto; line-height: 1.5; margin: 12px 0; white-space: pre; }
table { width: 100%; border-collapse: collapse; margin: 16px 0; font-size: 14px; }
th { background: #2d6a2d; color: white; padding: 10px 12px; text-align: left; }
td { padding: 8px 12px; border-bottom: 1px solid #e0e0e0; vertical-align: top; }
tr:nth-child(even) td { background: #f5f5f5; }
.state-valid   { color: #276227; font-weight: 600; }
.state-invalid { color: #b91c1c; font-weight: 600; }
.state-unknown { color: #92400e; font-weight: 600; }
</style>
<div class="calc-container">
<div class="calc-header">
<h2>RPKI- en BGP-routeoorsprongvalidatie</h2>
<p>Hoe de Resource Public Key Infrastructure routekapingen voorkomt - met betrekking tot de ROA-vertrouwensketen, validatiestatussen, het RTR-protocol en waar de implementatie vandaag de dag staat.</p>
</div>
<div class="result-section">
<div class="section-content article-body">
<h3 id="problem">1. Waarom BGP geen native origin-validatie heeft</h3>
<p>BGP is ontworpen voor een coöperatief internet waar alle deelnemers vertrouwd werden. Een router accepteert een UPDATE-bericht en verspreidt dit zonder cryptografische verificatie dat de oorspronkelijke AS daadwerkelijk geautoriseerd is om die IP-voorvoegsels aan te kondigen. Dit betekent dat elke AS – door een verkeerde configuratie of kwaadwilligheid – de voorvoegsels van iemand anders kan aankondigen, en die aankondiging kan zich binnen enkele minuten wereldwijd verspreiden.</p>
<p>Opmerkelijke incidenten die de adoptie van RPKI hebben versneld:</p>
<ul>
<li><strong>2008 - Pakistan Telecom:</strong>PTCL kondigde per ongeluk een specifieker voorvoegsel aan voor de adresruimte van YouTube (208.65.153.0/24), waardoor YouTube ongeveer twee uur lang wereldwijd op de zwarte lijst werd gezet voordat upstream-providers de route introkken.</li>
<li><strong>2010 — China Telecom:</strong>China Telecom heeft gedurende ~18 minuten ongeveer 50.000 voorvoegsels gemaakt die behoren tot Amerikaanse militaire, overheids- en commerciële netwerken. Of het nu per ongeluk of opzettelijk was, werd nooit bevestigd.</li>
<li><strong>2018 — Amazon Route 53 DNS-kaping:</strong>Een aanvaller gebruikte BGP om 205.251.196.0/24 (Amazon DNS) te kapen en het cryptocurrency-portemonneeverkeer om te leiden om geld te stelen. Bij de aanval werd gebruik gemaakt van een BGP-UPDATE van eNet (AS10297).</li>
<li><strong>2019 — Europees verkeer omgeleid via China Telecom:</strong>Het Europese mobiele verkeer (waaronder Vodafone en het Zwitserse Swisscom) werd ongeveer twee uur lang omgeleid via China Telecom vanwege een BGP-routelek.</li>
</ul>
<h3 id="rpki-trust">2. De RPKI-vertrouwenshiërarchie</h3>
<p>RPKI (<a href="https://www.rfc-editor.org/rfc/rfc6480" target="_blank">RFC-6480</a>) bouwt een hiërarchie van X.509-certificaten op die weerspiegelt hoe IP-adresruimte wordt gedelegeerd:</p>
<ol>
<li><strong>IANA</strong>bevat het root trust anchor. Het geeft broncertificaten uit aan de vijf RIR's (ARIN, RIPE NCC, APNIC, LACNIC, AFRINIC), die elk hun adresruimte bestrijken.</li>
<li><strong>RIR's</strong>certificaten uitgeven aan hun leden (ISP's, ondernemingen) voor de adresruimte die deze leden bezitten.</li>
<li><strong>Leden</strong>EE-certificaten (End Entity) uitgeven en ondertekenen<em>Autorisaties van herkomst routeren</em>(ROA's) - ondertekende attesten die een specifiek ASN autoriseren om specifieke voorvoegsels te maken.</li>
</ol>
<p>Verificateurs downloaden deze ondertekende objecthiërarchie uit vijf RIR-opslagplaatsen (plus eventuele gedelegeerde opslagplaatsen), valideren de certificaatketen en bouwen een gevalideerde ROA-payload-tabel (VRP). Routers vragen vervolgens een lokale RPKI-cache op via de<em>RTR-protocol</em> (<a href="https://www.rfc-editor.org/rfc/rfc8210" target="_blank">RFC8210</a>) om deze tabel op te halen en de oorsprongsvalidatie uit te voeren op binnenkomende BGP-UPDATE's.</p>
<h3 id="roa">3. Autorisaties van routeoorsprong (ROA's)</h3>
<p>Een ROA (<a href="https://www.rfc-editor.org/rfc/rfc6482" target="_blank">RFC6482</a>) is een ondertekend object dat drie velden bevat:</p>
<ul>
<li><strong>ASN</strong>: Het autonome systeem dat geautoriseerd is om het voorvoegsel te creëren.</li>
<li><strong>Voorvoegsel</strong>: Het IP-voorvoegsel (IPv4 of IPv6) dat wordt geautoriseerd.</li>
<li><strong>maximale lengte</strong>: De maximale prefixlengte die de ASN mag aankondigen. Indien niet gespecificeerd, is alleen het exacte voorvoegsel toegestaan. Indien ingesteld op bijvoorbeeld 24 voor een /20-voorvoegsel, kan de ASN ook een meer specifiek voorvoegsel tussen /20 en /24 aankondigen.</li>
</ul>
<div class="callout warn">
<strong>maxLength is een veel voorkomende misconfiguratievector.</strong>Door maxLength = 32 (IPv4) of maxLength = 128 (IPv6) op een ROA in te stellen, kan het ASN elk specifieker subnet aankondigen, inclusief /32 hostroutes die bij een kaping kunnen worden gebruikt. Best practice: stel maxLength in op het langste voorvoegsel dat u daadwerkelijk aankondigt (vaak hetzelfde als de lengte van het voorvoegsel).</div>
<p>Eén ROA kan meerdere voorvoegsels autoriseren voor hetzelfde ASN, maar één ROA kan niet meerdere ASN's autoriseren voor één enkel voorvoegsel. Als u wilt dat een secundair ASN (bijvoorbeeld een transitprovider of CDN) uw voorvoegsel kan genereren, maakt u een afzonderlijke ROA voor dat ASN.</p>
<h3 id="validation-states">4. Validatiestatussen</h3>
<p>Wanneer een router een BGP-UPDATE ontvangt, voert deze een oorsprongsvalidatie uit (<a href="https://www.rfc-editor.org/rfc/rfc6811" target="_blank">RFC6811</a>) tegen zijn lokale VRP-tabel:</p>
<table>
<tr><th>Staat</th><th>Voorwaarde</th><th>Typische Local-Preference-behandeling</th></tr>
<tr><td><span class="state-valid">Geldig</span></td><td>Ten minste één ROA dekt het voorvoegsel (voorvoegsel ⊆ ROA-voorvoegsel EN voorvoegsellengte ≤ maxLength) EN de ASN van de ROA komt overeen met de oorspronkelijke ASN van de BGP UPDATE</td><td>+20 of voorkeur (vaak)</td></tr>
<tr><td><span class="state-invalid">Ongeldig</span></td><td>Ten minste één ROA dekt het voorvoegsel, maar geen enkele overkoepelende ROA heeft een overeenkomende ASN en een maxLength ≥ de aangekondigde voorvoegsellengte</td><td>Stel local-pref in op 0 of laat vallen (keuze van de operator; RFC 6811 raadt aan om maar markering toe te staan)</td></tr>
<tr><td><span class="state-unknown">Niet gevonden</span></td><td>Er bestaat geen ROA die het aangekondigde voorvoegsel dekt</td><td>Ongewijzigd (behandeld zoals voordat RPKI bestond)</td></tr>
</table>
<p>Het belangrijkste inzicht:<em>Ongeldig</em>is een sterker bewijs van een probleem dan<em>Niet gevonden</em>. NotFound betekent eenvoudigweg dat de eigenaar van het voorvoegsel nog geen ROA heeft gemaakt. Ongeldig betekent dat er een ROA bestaat waarin staat dat dit ASN is<em>niet</em>geautoriseerd – een sterk signaal van een verkeerde configuratie of kaping.</p>
<h3 id="rtr">5. Het RTR-protocol</h3>
<p>Routers valideren zelf de X.509-certificaatketens niet; dat zou rekentechnisch duur zijn en een volledige RPKI-cache vereisen. In plaats daarvan een toegewijde<em>RPKI-validator</em>(Routinator, OctoRPKI, Fort, rpki-client) downloadt en valideert de volledige RPKI-repository en exporteert alleen de resulterende gevalideerde ROA Payloads (VRP's) naar routers via het RTR-protocol (<a href="https://www.rfc-editor.org/rfc/rfc8210" target="_blank">RFC8210</a>).</p>
<p>RTR gebruikt TCP (door IANA toegewezen poort 323; validators zoals Routinator gebruiken standaard poort 3323 om te voorkomen dat rootrechten nodig zijn) met een incrementeel synchronisatiemechanisme: de validator verzendt serienummers en routers vragen alleen om de delta sinds hun laatste synchronisatie. Hierdoor blijft de bandbreedte laag, zelfs voor grote VRP-tabellen (momenteel ~400.000+ IPv4-vermeldingen wereldwijd).</p>
<h3 id="deployment">6. Implementatie en statistieken</h3>
<p>Vanaf begin 2026 heeft de RPKI-implementatie een aanzienlijke omvang bereikt:</p>
<ul>
<li>Meer dan 50% van de wereldwijd gerouteerde IPv4-voorvoegsels heeft ten minste één dekkende ROA (tegenover ~10% in 2019).</li>
<li>Een meerderheid van de Tier-1- en Tier-2-ISP's voeren nu Route Origin Validation uit en laten ongeldige routes vallen of geven er geen prioriteit meer aan.</li>
<li>MANRS (Mutually Agreed Norms for Routing Security) vereist het maken van RPKI ROA als voorwaarde voor lidmaatschap en publiceert een per-AS-conformiteitsdashboard.</li>
</ul>
<p>Live-statistieken:<a href="https://rpki-monitor.antd.nist.gov/" target="_blank">NIST RPKI-monitor</a>, <a href="https://www.rov.rpki.net/" target="_blank">ROV++</a>, <a href="https://stats.labs.apnic.net/rpki" target="_blank">APNIC RPKI-statistieken</a>.</p>
<h3 id="beyond-rov">7. Verder dan ROV: ASPA en BGPsec</h3>
<p>RPKI Route Origin Validation verifieert alleen dat de<em>herkomst ASN</em>is bevoegd het voorvoegsel bekend te maken. Het valideert de AS_PATH niet: een aanvaller kan aan het einde nog steeds een valse AS_PATH construeren met een legitieme oorsprong AS. Twee IETF-standaarden behandelen dit:</p>
<ul>
<li><strong>BGPsec</strong> (<a href="https://www.rfc-editor.org/rfc/rfc8205" target="_blank">RFC-8205</a>): Elke AS in het pad ondertekent de UPDATE cryptografisch, waardoor een onbreekbare bewakingsketen ontstaat. Vereist dat alle transit-AS'en BGPsec ondersteunen – een aanzienlijke implementatiebarrière. Zelden ingezet vanaf 2026.</li>
<li><strong>ASPA</strong>(autorisatie van autonome systeemaanbieder,<a href="https://datatracker.ietf.org/doc/draft-ietf-sidrops-aspa-profile/" target="_blank">draft-ietf-sidrops-aspa-profiel</a>): Een AS ondertekent een object met een lijst van zijn geautoriseerde upstream-providers. Verificateurs kunnen ongeldige dalvrije paden detecteren (bijvoorbeeld een klant die routes aankondigt alsof hij een aanbieder is). Eenvoudiger te implementeren dan BGPsec en wint terrein vanaf 2025-2026.</li>
</ul>
<h3 id="references">Referenties</h3>
<ul>
<li><a href="https://www.rfc-editor.org/rfc/rfc6480" target="_blank">RFC-6480</a>— Een infrastructuur ter ondersteuning van veilige internetroutering (RPKI-overzicht)</li>
<li><a href="https://www.rfc-editor.org/rfc/rfc6482" target="_blank">RFC6482</a>— Een profiel voor routeoorsprongautorisaties (ROA's)</li>
<li><a href="https://www.rfc-editor.org/rfc/rfc6811" target="_blank">RFC6811</a>— Validatie van oorsprong BGP-voorvoegsel</li>
<li><a href="https://www.rfc-editor.org/rfc/rfc8210" target="_blank">RFC8210</a>— Het RPKI naar Router Protocol, versie 1 (RTR)</li>
<li><a href="https://www.rfc-editor.org/rfc/rfc8416" target="_blank">RFC-8416</a>— Vereenvoudigd beheer van lokale internetnummerbronnen met de RPKI (SLURM — lokale overschrijvingen)</li>
<li><a href="https://www.rfc-editor.org/rfc/rfc9286" target="_blank">RFC9286</a>— Manifesten voor de Resource Public Key Infrastructure (RPKI)</li>
<li><a href="https://www.rfc-editor.org/rfc/rfc8205" target="_blank">RFC-8205</a>— BGPsec-protocolspecificatie</li>
<li><a href="https://www.manrs.org/" target="_blank">MANRS</a>— Onderling overeengekomen normen voor routeringsbeveiliging</li>
<li><a href="https://rpki.cloudflare.com/" target="_blank">Cloudflare RPKI-portaal</a>- live ROA-zoekopdracht</li>
</ul>
</div>
</div>
</div>