Kabinet: BGP bij IETF in goede handen

Thu, 11 Nov 2021 08:50:31 GMT

Tweede-Kamerlid Laurens Dassen van Volt heeft naar aanleiding van de storing bij Facebook op 4 oktober een aantal kamervragen gesteld, waar gister antwoord op kwam van demissionair minister Blok van Economische Zaken en Klimaat. De vierde vraag ging onder andere over BGP.

Die storing bij Facebook kwam omdat ze een update hadden gedaan van hun BGP-configuratie waar een fout in zat. Dit onderstreept wat ik altijd zeg: als je alle belangrijke onderdelen van je netwerk meervoudig uitgevoerd hebt en het BGP-protocol gebruikt om automatisch te herrouteren bij uitval, dan betekent dat dat wanneer het dan alsnog misgaat, het jouw fout was. Zware verantwoordelijkheid dus. Want aan de redundantie lag het niet: Facebook heeft datacenters overal ter wereld die elkaars functie kunnen overnemen. Maar ja, als je die geautomatiseerd allemaal tegelijk van een foute configuratie voorziet, dan is het ook gelijk volledig over en uit. Van buitenaf inloggen kon ook niet meer, en ik begrijp zelfs dat de toegang tot de gebouwen niet meer werkte. Misschien niet helemaal wat Zuckerberg bedoelde met move fast and break things.

Dit was de BGP-gerelateerde vraag die Dassen stelde:

Is het demissionaire kabinet voornemens tijdens de Europese wetgevingsonderhandelingen inzake de Digital Services Act, de Digital Markets Act en de Artificial-Intelligence-verordeningen, en direct al bij de komende Europese top, het belang van het vernieuwen en updaten van de Border Gateway Protocol aan te kaarten? Zo ja, hoe gaat het demissionaire kabinet dit aanpakken? Zo niet, waarom niet?

Het antwoord:

Deze casus heeft geen invloed op de Nederlandse positie in de onderhandelingen aangaande de Europese wetsvoorstellen voor een Digital Services Act, een Digital Markets Act en een AI Act, omdat de casus buiten de reikwijdtes van deze voorstellen valt. Wel ziet het kabinet het belang van het doorontwikkelen van internetstandaarden zoals het Border Gateway Protocol (BGP).
Facebook heeft na afloop van de storing verklaard dat deze veroorzaakt is door een menselijke fout in de BGP-configuratie van het Facebook-netwerk die niet tijdig is opgemerkt.6 Het BGP is het belangrijkste routeringsprotocol van het internet. Het zorgt ervoor dat zogenaamde Autonome Systemen (AS) elkaar kunnen vinden op het internet. Het BGP zorgt voor de koppeling tussen verschillende AS-netwerken. In dit geval heeft Facebook, door een interne (menselijke) fout, abusievelijk alle routes tussen haar netwerk en de rest van het wereldwijde Internet opgeheven, waardoor de Facebook-servers voor de rest van het Internet niet meer bereikbaar waren. Het BGP-protocol heeft in deze correct gefunctioneerd.

Het BGP wordt ontwikkeld onder de vlag van de Internet Engineering Task Force (IETF). De doorontwikkeling van een dergelijke essentiële standaard is complex en vereist een wereldwijde consensus tussen betrokken en deskundige partijen. De IETF is een grote, open, internationale gemeenschap van netwerkontwerpers, - operators, -leveranciers en -onderzoekers die zich bezighoudt met de evolutie van de internetarchitectuur en de soepele werking van het internet. Om bij deze casus te blijven, ook Facebook neemt deel aan de IETF. Nederland staat voor het multi- stakeholder model van internet governance, waarvan de IETF een goed voorbeeld is. Het kabinet ziet naar aanleiding van deze casus geen noodzaak de werkwijze van de IETF ter discussie stellen.

Wel laat ik de ontwikkelingen rond dergelijke standaardisatievraagstukken volgen en duiden. Agentschap Telecom voert daartoe op dit moment een onderzoek uit naar de belangrijkste vraagstukken rond technische internetstandaardisatie.

Wat de vragensteller en -beantwoorders zich wellicht niet realiseren is dat in de basis, BGP al 27 jaar hetzelfde is: in 1994 werd BGP versie 4 gedefinieerd en dat is de versie die we vandaag nog steeds gebruiken, met relatief beperkte aanvullingen. Maar Blok heeft gelijk dat BGP tijdens het Facebook-incident correct functioneerde.

Zie ook:

Mijn presentatie BGP-beveiliging en route leaks (enigszins beginner-vriendelijk)
Presentatie NL-ix BGP security update (minder beginner-vriendelijk)
Geoff Huston's Survey on Securing Inter-Domain Routing part one en part two (beginner-onvriendelijk) en "epic diatribe" in podcast-vorm over dit onderwerp, ook in twee delen: deel 1 en deel 2

BGP hands-on trainingen in in 2020

Tue, 10 Mar 2020 11:58:28 GMT

Vrijdag 20 maart, NL-ix kantoor Den Haag is uitgesteld/afgelast
Vrijdag 26 juni, NL-ix kantoor Den Haag (aanmelden)
Vrijdag 9 oktober, NL-ix kantoor Den Haag (aanmelden)

IPv6 is nu een succes, zelfs bij 25% adoptie

Thu, 23 Jan 2020 13:57:43 GMT

We moeten niet het succes van IPv6 afmeten aan in hoeverre IPv6 IPv4 vervangt, maar in hoeverre IPv6 IPv4 aanvult. En dat doet het al heel aardig op dit moment door IPv4aaS (IPv4 as a service) mogelijk te maken. En IPv4aaS zal ervoor zorgen dat ISPs IPv6 gaan eisen voor peering met streamingdiensten en andere grote contentaanbieders.

IPv4 nu ook op in Afrika

Thu, 23 Jan 2020 14:01:56 GMT

Met ingang van een paar dagen geleden is IPv4 nu op in alle regio's van de wereld nu AFRINIC, de Regional Internet Registry die Afrika bedient, IPv4 exhaustion phase 2 bereikt heeft.

Zie mijn verhaal De opkomst van IPv6 en ondergang van IPv4 in de jaren 2010 voor meer over het opraken van IPv4 de afgelopen tien jaar.

Presentatie: BGP-beveiliging en route leaks

Mon, 22 Nov 2021 05:13:57 GMT

Mijn presentatie bij NiVo Network Architects over BGP-beveiliging en route leaks, 10 september 2019 in Weesp.

iljitsch.com - bgp (nl)

Kabinet: BGP bij IETF in goede handen

BGP hands-on trainingen in in 2020

IPv6 is nu een succes, zelfs bij 25% adoptie

IPv4 nu ook op in Afrika

Presentatie: BGP-beveiliging en route leaks