Het telkens veiliger worden van de Nederlandse digitale infrastructuur

De interne werking van het internet. Je hoort er bijna nooit wat over. Wel dat de AMS-IX weer een nieuwe mijlpaal qua piek bandbreedte heeft gebruikt of dat een netwerk nieuwe routers heeft gekregen. En dan zijn er ook genoeg minder positieve aanleidingen die al veel te veel aandacht krijgen.

Veel leuker is om te melden dat het Nederlandse Tuxis Internet Engineering de Routinator 3000 van het eveneens Nederlandse NLnet Labs heeft geïnstalleerd.

De Routinator 3000 is “RPKI relying party software written in Rust”. Als je direct weet wat dat is, complimenten want dan ben je beter al beter op de hoogte dan ik. In alle eerlijkheid had ik zelfs nog nooit van Rust gehoord. Dat ken ik alleen als de plaats waar Cloudfest wordt gehouden. Het is blijkbaar ook een programmeertaal die sterk lijkt op C alleen meer gefocust is op veiligheid.

RPKI is zelfs nóg mooier. Dat is namelijk een manier om eigenaren van IP-adressen aan te laten geven welke ASN’s de routing daarvoor mogen verzorgen of meer technisch zoals het in de RPKI docs staat beschreven:

Currently, RPKI is used to let the legitimate holder of a block of IP addresses make an authoritative statement about which AS is authorised to originate their prefix in the BGP. In turn, other network operators can download and validate these statements and make routing decisions based on them. This process is referred to as route origin validation (ROV). This provides a stepping stone to provide path validation in the future.

Dat lijkt op de welbekende SPF-records bij e-mail, daarbij kan de eigenaar van een domeinnaam met een TXT-record aangeven welke IP-adressen e-mail mogen versturen van de domeinnaam. In het geval van SPF is de domeinnaam zelf en in ultimo het domain registry het zogeheten “trust anchor” in het geval van RPKI zijn het de Regionale Internet Registries (RIR’s) zoals RIPE en ARIN die deze rol vervullen.

De werking van RPKI en SPF zijn ook vergelijkbaar. In het geval dat een router op basis van RPKI constateert dat een bepaald ASN niet bevoegd is om een bepaalde reekse IP-adressen te announcen dan kan die ervoor zorgen dat het verkeer niet wordt geaccepteerd of in meer technische termen de packets droppen.

De enorme capaciteit van Nederlandse digitale infrastructuur

Kniest MultiMedia meldt trots “[wij maken] gebruik van het AS49544 netwerk, [met] meer dan 32.280 KM glasvezel. Dit 435 Gbit/s netwerk bestaat uit meerdere grote Tier-1 transit aansluitingen en maakt gebruik van de grootste internet exchanges in europa. Doordat het netwerk is aangesloten bij meerdere aanbieders zorgt dit voor maximale performance en beschikbaarheid. Kortom een Premium Netwerk.”.

Wanneer we AS opzoeken dan blijkt het van i3D.net te zijn dat tegenwoordig onderdeel van gamebouwer Ubisoft is. Bij PeeringDB is er meer te vinden over het bewuste netwerk. De netwerkcapaciteit blijkt vandaag de dag zelfs nóg groter te zijn. De gemiddelde hoeveelheid traffic ligt tussen de 300 en 500 Gbps. Op de eigen website van i3D.net wordt aangegeven dat het netwerk een capaciteit van 1 Tb+ Gbps heeft. Ook is het netwerk van het bedrijf letterlijk op elk continent, behalve Antarctica vertegenwoordigd.

Kniest MultiMedia laat ook op een andere manier duidelijk zien te begrijpen hoe belangrijk de capaciteit én betrouwbaarheid van digitale infrastructuur is. In de vorm van een SLA biedt het bedrijf namelijk een failover oplossing aan waarbij er volledige redundantie op lokaal (rack) niveau ontstaat waarmee directe overschakeling naar het backup systeem mogelijk is.

Dit is een prachtig voorbeeld van twee bedrijven die beide op hun eigen niveau en binnen hun eigen mogelijkheden de Nederlandse digitale infrastructuur vormgeven en ambassadeurs zijn van de hoge normen en standaarden die er in de sector zijn. Dat is prachtig om te zien!

De schoonheid van digitale infrastructuur

Op de pagina met high availability virtual private servers van FraJa Web zie ik een plaatje met daaronder “Infrastructure”. Als techneut is dat wat mijn hart sneller laat kloppen. De pakket specificaties van de VPS’en zie ik overal en nergens al voorbij komen. Dit schematische plaatje van hoe de infrastructuur daadwerkelijk in elkaar zit. Dat is gaaf.Drie Xen Servers met SSD’s en twee storage servers die via switches kruislings verbonden zijn met één of twee 1 Gbps uplinks. Het plaatje maakt ook duidelijk dat FraJa Web niet de grootste hoster is. Grote hosters hebben véél meer infrastructuur. En toch laat dit mijn hart sneller kloppen want FraJa Web laat de schoonheid van haar infrastructuur trots zien!