Kabinet: BGP bij IETF in goede handen (geplaatst 2021-11-11)
Tweede-Kamerlid Laurens Dassen van Volt heeft naar aanleiding van de storing bij Facebook op 4 oktober een aantal kamervragen gesteld, waar gister antwoord op kwam van demissionair minister Blok van Economische Zaken en Klimaat. De vierde vraag ging onder andere over BGP.
Die storing bij Facebook kwam omdat ze een update hadden gedaan van hun BGP-configuratie waar een fout in zat. Dit onderstreept wat ik altijd zeg: als je alle belangrijke onderdelen van je netwerk meervoudig uitgevoerd hebt en het BGP-protocol gebruikt om automatisch te herrouteren bij uitval, dan betekent dat dat wanneer het dan alsnog misgaat, het jouw fout was. Zware verantwoordelijkheid dus. Want aan de redundantie lag het niet: Facebook heeft datacenters overal ter wereld die elkaars functie kunnen overnemen. Maar ja, als je die geautomatiseerd allemaal tegelijk van een foute configuratie voorziet, dan is het ook gelijk volledig over en uit. Van buitenaf inloggen kon ook niet meer, en ik begrijp zelfs dat de toegang tot de gebouwen niet meer werkte. Misschien niet helemaal wat Zuckerberg bedoelde met move fast and break things.
Dit was de BGP-gerelateerde vraag die Dassen stelde:
Is het demissionaire kabinet voornemens tijdens de Europese wetgevingsonderhandelingen inzake de Digital Services Act, de Digital Markets Act en de Artificial-Intelligence-verordeningen, en direct al bij de komende Europese top, het belang van het vernieuwen en updaten van de Border Gateway Protocol aan te kaarten? Zo ja, hoe gaat het demissionaire kabinet dit aanpakken? Zo niet, waarom niet?
Het antwoord:
Deze casus heeft geen invloed op de Nederlandse positie in de onderhandelingen aangaande de Europese wetsvoorstellen voor een Digital Services Act, een Digital Markets Act en een AI Act, omdat de casus buiten de reikwijdtes van deze voorstellen valt. Wel ziet het kabinet het belang van het doorontwikkelen van internetstandaarden zoals het Border Gateway Protocol (BGP).Facebook heeft na afloop van de storing verklaard dat deze veroorzaakt is door een menselijke fout in de BGP-configuratie van het Facebook-netwerk die niet tijdig is opgemerkt.6 Het BGP is het belangrijkste routeringsprotocol van het internet. Het zorgt ervoor dat zogenaamde Autonome Systemen (AS) elkaar kunnen vinden op het internet. Het BGP zorgt voor de koppeling tussen verschillende AS-netwerken. In dit geval heeft Facebook, door een interne (menselijke) fout, abusievelijk alle routes tussen haar netwerk en de rest van het wereldwijde Internet opgeheven, waardoor de Facebook-servers voor de rest van het Internet niet meer bereikbaar waren. Het BGP-protocol heeft in deze correct gefunctioneerd.
Het BGP wordt ontwikkeld onder de vlag van de Internet Engineering Task Force (IETF). De doorontwikkeling van een dergelijke essentiƫle standaard is complex en vereist een wereldwijde consensus tussen betrokken en deskundige partijen. De IETF is een grote, open, internationale gemeenschap van netwerkontwerpers, - operators, -leveranciers en -onderzoekers die zich bezighoudt met de evolutie van de internetarchitectuur en de soepele werking van het internet. Om bij deze casus te blijven, ook Facebook neemt deel aan de IETF. Nederland staat voor het multi- stakeholder model van internet governance, waarvan de IETF een goed voorbeeld is. Het kabinet ziet naar aanleiding van deze casus geen noodzaak de werkwijze van de IETF ter discussie stellen.
Wel laat ik de ontwikkelingen rond dergelijke standaardisatievraagstukken volgen en duiden. Agentschap Telecom voert daartoe op dit moment een onderzoek uit naar de belangrijkste vraagstukken rond technische internetstandaardisatie.
Wat de vragensteller en -beantwoorders zich wellicht niet realiseren is dat in de basis, BGP al 27 jaar hetzelfde is: in 1994 werd BGP versie 4 gedefinieerd en dat is de versie die we vandaag nog steeds gebruiken, met relatief beperkte aanvullingen. Maar Blok heeft gelijk dat BGP tijdens het Facebook-incident correct functioneerde.
Zie ook:
- Mijn presentatie BGP-beveiliging en route leaks (enigszins beginner-vriendelijk)
- Presentatie NL-ix BGP security update (minder beginner-vriendelijk)
- Geoff Huston's Survey on Securing Inter-Domain Routing part one en part two (beginner-onvriendelijk) en "epic diatribe" in podcast-vorm over dit onderwerp, ook in twee delen: deel 1 en deel 2
door Iljitsch van Beijnum.