Hoe ‘nationaal’ is de Nederlandse vitale IP-infrastructuur?

Na de publicatie van het ‘Bescherming Vitale Infrastructuur’ rapport meer dan tien jaar geleden, vroegen we ons af hoe bedrijven die de vitale infrastructuur beheren met elkaar zijn verbonden over het internet, hoe resistent deze verbindingen zijn en in welke mate ze afhankelijk zijn van buitenlandse entiteiten.

Nederland startte in 2002 met het ‘Bescherming Vitale Infrastructuur’ (BVI)-project, met als doel de ontwikkeling van ‘een geïntegreerd pakket van maatregelen om de infrastructuur van de overheid en industrie te beschermen’. Bedrijven en overheidsinstanties die goederen en diensten verzorgen die noodzakelijk zijn voor het dagelijks leven van mensen in Nederland, behoren ook tot de vitale infrastructuur. Deze is verdeeld in 12 kritieke sectoren, waarvan het internet binnen de Informatie Communicatie Technologie (ICT) er één van is (zie figuur 1).

In dit artikel kijken we naar een specifiek aspect van de vitale infrastructuur in Nederland, namelijk hoe organisaties die tot vitale infrastructuur worden gerekend, afhankelijk zijn van internetdiensten, en in welke mate deze internetdiensten deel uit maken van een nationale IP-infrastructuur in Nederland. Daartoe hebben we de aanwezigheid op het internet in kaart gebracht van Nederlandse vitale infrastructuur-organisaties en geanalyseerd hoe deze organisaties zijn verbonden via netwerken in Nederland ten opzichte van netwerken buiten het land.

Vorige studies

De aanwezigheid van organisaties op het internet wordt bepaald door de IP resources die ze gebruiken en hoe de netwerken zijn verbonden met andere netwerken. De interconnectie tussen de netwerken wordt geregeld door het ‘BGP routing protocol’.

In 2012 is een gezamenlijk project met twee universiteiten en het Duitse Federaal Bureau voor Informatiebeveiliging (BSI) het Duitse ‘nationale internet’ in kaart gebracht. Hun methodologie begon met een lijst van IP-prefixes toegewezen aan in Duitsland geregistreerde organisaties. Uit deze informatie haalden ze de oorspronkelijke Autonomous System Numbers (ASN’s) en vervolgens hun onderlinge verbindingen met behulp van BGP dumps.

Wij hebben het in ons onderzoek net iets anders aangepakt. We hadden geen toegang tot vertrouwelijke informatie (zoals bijvoorbeeld van de interne IP-blokken die door vitale infrastructuur organisaties in Nederland worden gebruikt). Daarom Verder besloten we om ASen van buiten Nederland op te nemen, die web- en e-maildiensten verzorgen voor organisaties die als vitale infrastructuur in Nederland worden gezien.

Aanpak , methoden en technieken

In de analyse om te ontdekken en om in kaart brengen wat de onderlinge verbindingen tussen de vitale infrastructuur organisaties zijn, identificeerden we drie fasen in onze benadering van het probleem: We zijn begonnen met het identificeren van de aanwezigheid van de organisaties op het internet: hun AS-nummers of de AS-nummers van de entiteiten die optreden als hun gevolmachtigden (ISP’s). Zodra we deze lijst hadden gemaakt, hebben we bekeken hoe deze ASen met elkaar zijn verbonden. Tot slot beschreven we een methode om ze visueel in kaart brengen.

Het vinden van de Data Points

Bij het identificeren van de organisaties in kwestie kwam veel handmatig werk kijken. Daarvoor gebruikten we twee verschillende benaderingen:

Bottom-up benadering
De RIPE NCC publiceert een officiële lijst met alle AS-nummers die zijn toegekend aan organisaties in de RIPE NCC dienstverleningsregio. We identificeerden alle AS-nummers toegekend aan organisaties in Nederland. Dit resulteerde in een uitgebreide lijst van 727 organisaties.

Van die lijst hebben we al die organisaties geselecteerd die actief zijn in een vitale sector, zoals gedefinieerd door de Nederlandse overheid in het BVI-project (zie figuur 1 hierboven). Dit was geen makkelijke taak:

We zijn alle 727 AS-nummers langsgegaan in RIPEstat om hun domeinnaam vast te stellen en van daaruit de naam van de organisatie. We controleerden de websites van al deze organisaties om te achterhalen of ze actief zijn in een van de 12 sectoren hierboven. Na het filterproces bleven 335 inzendingen in onze lijst over.

Toen realiseerden we ons dat ongeveer 80% van de organisaties in onze AS-lijst actief zijn in de ICT-sector en dus hun eigen ASN behouden. Er bleven nog 67 organisaties over in de andere 11 sectoren die hun eigen AS hebben. Alle andere organisaties in deze sectoren moeten een ‘proxy AS’ gebruiken, zoals een ISP om hun aanwezigheid op het internet te regelen. Dit bracht ons naar onze tweede benadering:

Top-down benadering
Wij selecteerden een aantal organisaties uit elke vitale sector (met behulp van gegevens van de Nederlandse Kamer van Koophandel, Google, Wikipedia,  enzovoort). Toen vroegen we de ASN’s op die aan hen zijn toegewezen (via de naam van de organisatie, de domeinnaam (A , AAAA en MX-records) en de bijbehorende IP-adressen).

Het combineren van de resultaten van deze twee benaderingen gaf ons een hoofdlijst van vitale infrastructuur gerelateerde ASN’s. Na een zorgvuldige analyse kwamen we met ongeveer 150 entiteiten die we verder wilden onderzoeken .

Connecting the Dots

De volgende stap was om te bepalen hoe deze ASN’s met elkaar zijn verbonden. CAIDA en UCLA Internet Research Lab bieden beide internet topologie kaarten. Deze kaarten laten alle koppelingen tussen AS-paren zien. Voor onze analyse selecteerden we de UCLA IRL topologie kaart, want het was de meest recente van de twee.

Bij het in kaart brengen van de vitale infrastructuur in Nederland, selecteerden we in eerste instantie alle verbindingen die voor beide knooppunten deel uit maakten van onze gecombineerde lijst van ASN’s (zoals hierboven beschreven). In dit stadium hebben we geen rekening gehouden met eventuele andere providers waarmee deze organisaties een verbinding hebben. Dat resulteerde in een netwerk met veel niet verbonden knopen. Dit is een interessant, omdat het laat zien dat grote delen van de vitale infrastructuur in Nederland afhankelijk zijn van tussenpersoon of doorvoer knooppunten buiten Nederland.

Aangezien het doel was om een netwerk te maken die alle verbindingen laat zien van ASN’s van de vitale infrastructuur, was de volgende stap om een provider voor elke ASN toe te voegen aan onze lijst (UCLA bood ook deze informatie) en het selectieproces opnieuw te doen. Het resultaat van deze manier was een veel beter beeld van de verhoudingen tussen ASen van de Nederlandse vitale infrastructuur en haar afhankelijkheid van tussenpersonen of doorvoer netwerken van buiten het land.

De laatste stap was om deze informatie op een manier te visualiseren om zo een overzicht van de relaties per vitale sector te krijgen, maar die het indien nodig ook mogelijk maakt om in meer detail te treden. Voor dit onderzoek overwogen we Data-Driven Documents (D3.js) JavaScript-bibliotheek en Sigma.js bibliotheek. Voor onze doeleinden, voldeden de visualisatiemethodes van de Sigma.js bibliotheek het beste: die geven een goed perspectief op elke sector en maakt het mogelijk om naadloos in te zoomen in een gebied voor meer informatie. Het plaatsen van de (proxy) ASen (die van buiten Nederland) tegenover die zich in Nederland bevinden gaf een nog intuïtievere representatie van de AS interconnecties .

Resultaten

Voor elke vitale sector hebben we netwerk-grafen samengesteld en gebruikten ze als gegevensbron voor verdere analyse (zie ons verslag voor meer details). Om een voorbeeld te geven, kijken we naar de energie sector die 3 subsectoren bevat: elektriciteit, gas en olie. Figuur 2 hieronder geeft de ASN netwerkgrafiek voor deze sector waarbij alleen rekening is gehouden met rechtstreekse verbindingen tussen elke twee ASN’s. Hierin zijn geen providers opgenomen.

Zoals duidelijk mag zijn bevat de graaf teveel niet verbonden knopen om conclusies uit te trekken. De verdeling van de verbindingen aan elke kant is vrijwel gelijk: 44 % zijn ASNs in het buitenland (aan de linkerkant van de graaf) en 56 % zijn ASNs in Nederland (aan de rechterkant van de graaf). Let op de kleine vlaggen op de verbindingspunten (je kunt het plaatje vergroten door erop te klikken).

Figuur 3 hieronder toont dezelfde graaf nadat we de directe provider voor elke AS hebben toegevoegd. De graaf is nu meer verbonden en toont ook een andere verdeling van de connecties: 69% zijn ASN’s die zich buiten Nederland bevinden en 31% zijn ASN’s binnen Nederland.

Zoals te verwachten heeft elk knooppunt ten minste één verbinding (die van het knooppunt naar de provider), maar is er ook nog een geïsoleerde ASN aan de rechterkant van de grafiek: volgens RIPEstat is dat ASN 61013 (Alliander NV). Hoewel Alliander NV één van de grootste bedrijven is in het beheer, de uitbreiding en aanpassing van het gas-en elektriciteitsnetwerk in Nederland, is er nooit één IP-prefix door dit AS gebruikt. In plaats daarvan wordt hun webserver en mailserver gehost door British Telecommunications plc (ASN 5400 ).

Opmerking: de bovenstaande voorbeelden zijn specifiek voor de energie sector. Voorbeelden voor andere sectoren is te vinden in het volledige rapport.

Conclusies

In dit onderzoek hebben we de representatieve vitale infrastructuur organisaties in Nederland in kaart gebracht met behulp van twee identificatiemethoden (bottom – up en top-down). De geselecteerde organisaties werden één voor één handmatig gecontroleerd, dus we hebben een hoge mate van vertrouwen in de juistheid van de resultaten. Echter, we hebben alleen gewerkt met openbare bronnen en we hebben dus geen fysieke-, privé- en back-up verbindingen gezien. Een uitgebreidere lijst van organisaties kan alleen worden verkregen met gespecialiseerde informatie of met bevoorrechte toegang tot informatie. Die zou ons in staat stellen om te weten welke IP-adresruimte daadwerkelijk binnen elke organisatie wordt gebruikt.

We zagen dat veel vitale infrastructuur organisaties betrouwbare verbindingen hebben met het internet (de nationale en proxy ASen zijn goed met elkaar verbonden), maar ze vertrouwen voor hun communicatiebehoeften veel op aanbieders in het buitenland.

Als we van het denkbeeldige scenario van een noodsituatie uitgaan waarin organisaties aangemerkt als vitale infrastructuur alleen kunnen communiceren met behulp van binnenlandse verbindingen, dan zou ongeveer de helft van hen (die proxy ASen buiten het land gebruiken) van het internet worden afgesneden. In deze context zou het interessant zijn om een discussie te voeren over de veiligheid- en privacy-implicaties van het hosten van e-mail- en webservers van vitale infrastructuur organisaties buiten Nederland, vooral als die entiteiten van buiten de Europese Unie (EU) zijn en niet noodzakelijkerwijs dezelfde wetten hebben met betrekking tot de privacy van gegevens en vertrouwelijkheid.


Benno Overeinder is Senior Research Engineer bij NLnet Labs.

Dit artikel (Engels) verscheen op 23 oktober 2013 op de blog van RIPE Labs en is met toestemming van de auteur gepubliceerd op ISP Today.

Dankwoord
Dit onderzoek werd uitgevoerd als een System and Network Engineering (UvA) Master thesis onderzoeksproject door Fahimeh Alizadeh en Razvan C. Oprea, onder begeleiding van Benno Overeinder (NLnet Labs) en Marco Davids (SIDN) .

Deze blogpost is gebaseerd op het rapport “Discovery and Mapping of the Dutch National Critical IP Infrastructure” door Fahimeh Alizadeh en Razvan C. Oprea. Dit onderzoek werd ook gepresenteerd door Razvan C. Oprea bij de recente RIPE 67 Meeting.