Fejl hos malaysisk teleselskab gav knas med NemID- og Rejsekort

En fejl hos en malaysisk internetudbyder endte med at store dele af internettet fik problemer og Rejsekort og Nets fik driftsforstyrrelser.

En fejl hos Telekom Malaysia og en dårlig filtrering hos telegiganten Level3 gav for nyligt problemer på hele internettet. Også i Danmark, hvor Nets og Rejsekort meldte om driftsforstyrrelser som følge af problemer med NemID.

Fredag 12. juni kunne Version2 fortælle om driftsforstyrrelser i forhold til NemID.

Læs også: Nets leder efter årsag til NemID-driftsforstyrrelser

Forstyrrelserne har vist sig ikke at være lokale - hverken i forhold til den danske login-løsning eller Danmark. En fejl hos det malaysiske teleselskab Telekom Malaysia endte med at brede sig som ringe i vandet og påvirke stabiliteten på hele internettet.

Det lader sig gøre på grund af den måde, den aldrende Border Gateway Protocol (BGP), fungerer på. Protokollen er udklækket i 1989 - dog opdateret siden - og den styrer hvilke router, altså veje, trafikken på internettet tager.

Det foregår ved, at - eksempelvis - en internetudbyder via BGP annoncerer til andre udbydere, hvor godt den pågældende udbyder håndterer vejen til forskellige netværk. Og på den måde findes den bedste vej til eksempelvis serverne bag Youtube. Det er i hvert fald princippet.

Washington Post har en detaljeret artikel fra maj om BGP's historie her. Og også om de problemer, der er forbundet med BGP.

Blandt andet er det problematisk, at der ikke er nogen ordentlig validering af BGP-annonceringer. Altså om noget nu også er den bedste vej, bare fordi en internetudbyder hævder det.

Og det betyder, at enhver - i den rette position - i princippet kan råbe ud på nettet, at vedkommende har den hurtigste vej til et eller andet sted, hvorefter nettrafikken bliver sendt den vej. Og måske i den forbindelse forbi en ondsindet server, hvor trafikken kan blive opsnappet.

Der behøver dog ikke være ondt på færde, før dårlig BGP-håndtering kan ødelægge trafikken på nettet.

Et kendt eksempel var en internetudbyder i Pakistan, der i 2008 forsøgte at blokere pakistaneres adgang til Youtube og i stedet endte med at sende al Youtube-trafik i hele verden forbi internetudbyderens servere, der ikke kunne håndtere presset. Resultatet blev, at Googles videotjeneste var utilgængelig i et par timer for alle.

I fredags kom Telekom Malaysia ved en fejlkonfiguration til at lække en stribe router til Level3. Og samtidig bevirkede en fejl hos Level3, at de fejlagtige oplysninger fra Telekom Malaysia blev taget for gode varer.

»Når man lækker sådanne router, så betyder det, man lige pludseligt kommer til at annoncerer nogle netværk, som man egentlig ikke selv har. Men det så lige pludseligt ud som om, Telekom Malaysia var den bedste vej gennem internettet for at nå bestemte netværk, og det gav så nogle kæmpe problemer,« siger Henrik Lund Kramshøj, direktør i den danske internetudbyder Solido Networks og blogger på Version2.

Han vurderer at den form for fejl opstår et par gange om året.

Fejlen med Telekom Malaysia var en dobbeltfejl i og med, Level3 heller ikke havde orden i deres systemer, forklarer han.

Løsning på vej

Selvom der ikke er meget sikkerhed forbundet med BGP, så er det muligt at opsætte nogle import-filtre i forhold til, hvilke router, altså veje, man - i dette tilfælde Level3 - vil tillade import af. Og disse filtre, har Level3 ikke haft på plads, forklarer Kramshøj.

Men filtrene er kun en lappeløsning på det, der flere gange har vist sig at være en ganske sårbar netværks-struktur som følge af den manglende sikkerhed i BGP, fortæller han.

»Hele internettet kan sådan set overtages og ødelægges, hvis man er det rigtige sted.«

En erstatning til den aldrende BGP-protokol er på vej. Resource Public Key Infrastructure (RPKI) kan begrænse risikoen for, at internettrafikken bliver sendt forkerte veje, enten bevidst eller ved fejl.

Med RPKI bliver route-annonceringerne signerede, og så bliver det lettere at skelne mellem valide annonceringer og fejl, forklarer Henrik Kramshøj. Men der går nogle år endnu, før den form for validering bliver en realitet.

»Hvis der er tilstrækkeligt mange, der har RPKI, så kan jeg sætte min router op, så dem, der har RPKI, dem stoler jeg på, og dem der ikke har det, dem stoler jeg langt mindre på,« siger han og tilføjer:

»Men vi skal nok desværre en 2-3 år ud i fremtiden, før folk de tjekker RPKI.«

BGPMon har en teknisk gennemgang af problemerne forårsaget af Malaysia Telekom her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Jn Madsen

Det her handler om kompetent personale/planlægning/design/aftaler/ressourcer.

At antyde et problem i at BGP er en "aldrende protokol" er lige så tudetosset som at kalde hjulet for en aldrende teknologi.

RPKI er et værktøj mere i værktøjs kassen ... men internettet er først og fremmest, og helt grundlæggende,- afhængigt af at de store ISP'er (tier 1) har styr på deres ting.

  • 0
  • 3
#5 Carsten Berggreen

Nu ved man hvordan man lægger resten af internettet ned? Man skal bare påstå at man er det hurtigste hop for routere og så vil alt trafik flokkes for at komme igennem netop vores routere.

Kanon - HEY NSA, her løsningen på jeres overvågnings problemer ... haha!

Spekulerer bare på, mon ikke det her er et opråb til de ansvarlige om at få omkonfigureret eller opgraderet nogle protokoller snarest?

  • 1
  • 3
#6 Baldur Norddahl

Den nuværende RPKI vil ikke kunne forhindre denne hændelse. Den har kun origin verification og de beholdt den oprindelige origin.

Path verification er endnu kun på tegnebrættet.

  • 1
  • 0
Log ind eller Opret konto for at kommentere